Por ANTÔNIO MENDES DA SILVA FILHO

Professor do DIN/UEM. Doutor em Ciência da Computação

 

Segurança da Informação e Disponibilidade de Serviços na Era da Internet

 

A Internet foi, sem sombras de dúvidas, uma das principais inovações do século passado. Ela surgiu na década de 70 com uma rede do Departamento de Defesa dos Estados Unidos e, na época, era denominada de ARPAnet. Tratava-se de uma rede experimental projetada para resistir a inatividade parcial e suportar comunicação da defesa. Atualmente, a Internet é uma coleção de redes de computadores conectados por diferentes meios. Ela conecta várias redes comerciais, governamentais, de universidades, dentre outras.

A Internet possibilitou que pessoas e empresas cruzassem fronteiras de modo fácil e rápido, como nunca visto antes, criando um mundo virtual globalizado. Ela foi logo incorporada pelas pessoas e empresas por oferecer uma forma nova e ágil de comunicação. O correio eletrônico tornou-se ferramenta indispensável às empresas e as pessoas, não apenas para comunicação, mas também para o marketing pessoal e comercial.

Embora a Internet tenha e tem dados bons frutos até então, logo surgiram as pragas. Exemplos delas são vírus, spams, worms e spywares. Os vírus compreendem programas que têm a capacidade de, facilmente, multiplicar-se e invadir outros programas (como Word da Microsoft) e sistemas, podendo ser de natureza destrutiva. Já os worms são similares aos vírus com a capacidade de fazer cópias deles mesmos, sem a necessidade de outros programas para se multiplicarem. Os spywares compreendem programas que espionam os hábitos de navegação dos usuários a fim de instanciar janelas (do tipo pop-up) que exibem conteúdos de interesse dos usuários. Por outro lado, os spams, também conhecidos como UCE (Unsolicited Commercial Email), compreendem as mensagens eletrônicas indesejáveis que têm natureza comercial e são enviadas a uma quantidade enorme de pessoas que possuem correio eletrônico. Pode-se dizer que a idéia central do spam é mascatear, i.e., ir de um lugar para outro vendendo coisas sem importância como, por exemplo, produtos de valor duvidoso como remédios ou até fazendo oferta de empréstimos.

Dentre as pragas supracitadas, o spam tem merecido atenção especial por parte das empresas e autoridades em diversos países. Dados estatísticos indicam que o problema do spam ainda está longe de ser resolvido. Segundo a ITU (International Telecommunication Union), os spams representam aproximadamente 80% de todos os emails que circulam pela Internet hoje em dia o que corresponde a um custo de US$ 25 bilhões, anualmente, a nível global. Esses mesmos dados apontam que hoje, aproximadamente, 200 bilhões de mensagens eletrônicas ou emails estariam circulando pela Internet. Portanto, apenas 40 bilhões seriam mensagens com algum valor, enquanto que outros 160 bilhões não passariam de spams.

O pior é que produtores de spams ou spammers parecem estar um passo a frente das tecnologias preventivas. Em razão disto, uma indústria que desenvolve e comercializa filtros de spams tem sido criada a fim de banir ou minimizar seus efeitos. Os criadores dessas pragas da Internet têm gerado emails e desenvolvidos sites da Web que são, praticamente, idênticos aos originais que eles estão imitando, seduzindo e enganando usuários de computadores tidos como prevenidos e informados. Além disso, vírus têm sido utilizados para fazer com que os computadores dos usuários sejam usados para enviar spams, o que compromete a reputação do usuário bem como dificulta determinar qual a real origem da mensagem.

Para entender melhor o problema, considere um pouco mais de história e dados. Olhando para trás, um sistema computacional tinha um pequeno número de usuários, da ordem de dezena. Todos, geralmente, pertenciam a mesma instituição. Hoje em dia, há quase 600 milhões de usuários com correio eletrônico conectados a Internet e as projeções apontam que até o final de 2008, teremos quase 800 milhões. A Internet tornou a segurança dos sistemas computacionais mais difícil. Qualquer pessoa pode atacar seu computador ou sistema e, uma vez esse esteja infectado, os demais conectados em rede podem ser, automaticamente, infectados também. As pragas da Internet exploram as vulnerabilidades dos sistemas, procuram atacar alvos específicos a fim de roubar informações, corromper dados e danificar sistemas.

Para lidar com o problema da segurança, é preciso dispor de princípios que possam nortear as pessoas e instituições que tem a necessidade de prover segurança a informação. Esses princípios compreendem:

  • Sigilo – Controlar os indivíduos que têm acesso a informações.

  • Responsabilidade – Conhecer e gerenciar as pessoas que têm acesso a informações e recursos.

  • Integridade – Gerenciar a forma na qual mudanças de informações e recursos são feitas.

  • Disponibilidade – Prover de maneira ininterrupta acesso a informações e recursos.

A falta de segurança implica em diversos danos como, por exemplo, roubo de informações, perda de privacidade, roubo de dinheiro, interrupção de serviços e corrupção da informação. Assim, para lidar com tais problemas, torna-se necessário implementar os três seguintes mecanismos de segurança:

  • Responsabilidade de autenticação – Capacidade de determinar quem faz a solicitação. A responsabilidade de autenticação pode recair sobre pessoas, grupos ou programas.

  • Acesso de autorização – Capacidade de determinar quais usuários são seguros e podem realizar operações sobre recursos específicos.

  • Verificação das decisões de proteção – Capacidade de determinar, posteriormente, o que aconteceu e sob quais circunstâncias.

Agora, se considerarmos apenas o problema do spam, a única forma de eliminar tal problema é tornar economicamente inviável o custo de enviá-lo. Dentro de um universo de 160 bilhões de mensagens, qualquer percentual ínfimo de respostas dadas por usuários desinformados a essas solicitações já é o suficiente para os spammers terem lucro. Assim, se os usuários de email parassem de responder a infinidade de mensagens de ofertas de receitas de remédios e financiamentos, por exemplo, já contribuiria o bastante para reduzir e acabar com os spams.

Uma forma vislumbrada pela indústria para atacar o problema de spams é requisitar a autenticação do emitente da mensagem eletrônica, permitindo assim o usuário receptor verificar a origem da mensagem. Note que a autenticação do emitente de email constitui mais uma barreira a ser passada. Com isto, ao se verificar a origem da mensagem, identifica-se o domínio do qual a mensagem foi enviada. Isto, então, fecharia a brecha deixada pelo SMTP (Simple Mail Transfer Protocol) que possibilita mensagens na Internet serem anônimas. Tal brecha existe porque a Internet como foi originalmente concebida não havia previsto a necessidade desse tipo de salvaguarda, uma vez que a comunidade de usuários era tida como confiável. Entretanto, hoje em dia, esse mecanismo é visto como uma solução.

Por outro lado, os ‘puritanos’ argumentam que exigir autenticação de emitentes de emails modifica com a essência da Internet, a qual havia sido concebida como meio de comunicação livre. Todavia, se considerarmos o lado pragmático, toda liberdade deve vir acompanhada de uma dose de responsabilidade, sem a qual impera o caos.

Considero a Internet uma das maravilhas criadas pelo homem, pois ela oferece a seus usuários a capacidade de transpor quaisquer tipos de barreiras, sejam elas de natureza geográfica, econômica ou cultural. Ela pode e deve ser explorada por quaisquer indivíduos ou instituições, mas explorada com responsabilidade.

Para evitar as pragas da Internet, você deveria dispor de algum programa de proteção (firewall) e antivírus. Você pode encontrar informações deles em www.symantec.com.br ou www.trendmicro.com.br. No Brasil, há sites que trazem informações sobre spam. Visite www.antispam.org.br e www.brasilantispam.org.

Aos leitores interessados no tópico, recomendo a leitura dos textos abaixo:

A. M. Silva Filho. Entendendo e Evitando a Engenharia Social: Protegendo Sistemas e Informações. Revista Espaço Acadêmico, nº 43, dezembro de 2004.

________. Segurança da Informação: Sobre a Necessidade de Proteção de Sistemas de Informações. Revista Espaço Acadêmico, nº 42, novembro de 2004.

J. H. Saltzer, The Protection of Information in Computer Systems.

 

Clique e cadastre-se para receber os informes mensais da Revista Espaço Acadêmico

 

clique e acesse todos os artigos publicados...

http://www.espacoacademico.com.br - Copyright © 2001-2004 - Todos os direitos reservados