PDF - VERSÃO DE IMPRESSÃO

LIÇÃO 17: Segurança de Banco de Dados: Autenticação e Ataques

objetivo

Olá, aluno(a)! Falamos anteriormente que, para acessar um sistema, precisamos ter um controle de acesso que envolve permitir ou negar o acesso dos usuários. Quando falamos em segurança de banco de dados, precisamos fazer uso de técnicas de restrição de acesso para a redução de alguns incidentes, falhas e ataques às informações das empresas e dados pessoais. E precisamos ter em mente que o controle de acesso é o conjunto de processos ou serviços de identificação, autenticação, autorização e auditoria de usuários para entrada em um sistema.

Dessa forma, o objetivo desta lição é introduzir o estudo sobre a autenticação e os tipos de recursos de autenticação e os tipos de ataques à segurança de dados. Vamos lá?

problematização

Neste momento, convido você a imaginar o seguinte cenário: você já observou seu correio eletrônico e a quantidade de e-mails indesejados ou e-mails que parecem verdadeiros com links de que você ganhou algo ou com cupons de descontos altos para comprar algo? Se você não tem o costume de acessar o correio eletrônico, pergunte para conhecidos se eles costumam receber esse tipo de e-mail. Esses e-mails geralmente são acompanhados de links que apontam sempre para algo que fará um download indesejado ou entrar em um site com muitas propagandas enganosas.

Essas situações são exemplos de ataques à segurança de seus dados, ou seja, são maliciosos. Muitos desses ataques podem ocorrer nos ambientes de empresas e também no cotidiano de usuários comuns. É importante conhecer os principais tipos de ataques que podem ocorrer na rede e como podemos nos proteger deles.

case

Você provavelmente já precisou acessar algo com senha, não é mesmo? Seja para acessar um jogo on-line, um curso on-line, ou até mesmo para utilizar um celular ou computador. Se você é uma pessoa atenta, deve ter observado que há diversos sistemas de senha, seja de número e letras, e outros tipos mais modernos.

Hoje, os sistemas utilizam cartões inteligentes, tokens, impressão digital, reconhecimento de voz, formato da retina, entre outros meios de autenticação de usuário. Apesar de haver sistemas bem tecnológicos, a senha individual continua sendo a mais usada para autenticação. E, para que se tenha sucessos com a senha individual, precisamos seguir algumas orientações (BARRETO et al., 2018):

Procure não divulgar nem compartilhar sua senha com outras pessoas.
Procure não anotar suas senhas em papel.
Procure alterar sua senha com frequência ou sempre que houver desconfiança de que alguém possa ter conhecimento dela.
Procure não utilizar as mesmas senhas já utilizadas no mesmo sistema ou em outros sistemas, como os bancários.
Procure alterar a senha original informada pelo sistema assim que o primeiro processo de login tenha sido efetuado com sucesso.
Procure escolher uma senha de fácil memorização, mas que seja difícil de ser adivinhada por outra pessoa.
Procure escolher senhas que possam ser digitadas rapidamente, dificultando que outras pessoas possam identificar os caracteres que foram digitados.
Procure evitar definir senhas com seu nome, sua identificação, nomes de familiares, letras ou números repetidos ou em sequência, datas, números de telefone, cartões de crédito, documentos como identidade e CPF e ainda marcas ou placas de veículos que possua.

Conceitualização

Quando acessamos um sistema, existe um controle de acesso que envolve permitir ou negar o acesso a determinados objetos do sistema, e esse controle de acesso possui outros processos menores dentro dele, entre eles, a autenticação de usuários, que é uma medida de segurança que as empresas adotam para garantir que os usuários estão realmente autorizados e cadastrados para o acessarem o sistema, plataforma, aplicativos, produtos ou serviços. De acordo com Barreto et al., (2018), temos muitos métodos e recursos que podem ser utilizados pelas empresas para fazer a autenticação de um usuário em um sistema, e um dos métodos de autenticação mais usado, mais conhecido, é o uso de senhas, porém, não é o mais seguro para as empresas.

Quando os usuários acessam os sistemas, eles são identificados e autenticados por meio de um processo chamado logon. Ele permite o acesso dos usuários aos dados, às informações e aos aplicativos de um sistema, é o ato da autenticação. E o login? É o nickname utilizado para entrar no sistema.

O processo de logon envolve que o usuário digite uma identificação (ID) e uma senha. Ela pode ser uma palavra, um conjunto aleatório de caracteres, uma matrícula de funcionário, de aluno ou de professor, ou qualquer outro tipo de identificação. Essas duas informações (ID e senha) informam ao computador quem é o usuário e provam que ele é quem realmente diz ser (BARRETO et al., 2018). A ID do usuário deve ser única, própria e individual e nenhum outro usuário pode ter uma identificação igual. Para as empresas, o fato de usarem a identificação sendo única permite que ela tenha um controle da segurança da informação nas ações e tarefas praticadas pelos usuários.

Para que o processo de logon seja considerado eficiente, segue algumas regras importantes a serem seguidas pelas empresas:

Deve ser deixado claro para o usuário que ele terá acesso somente se for autorizado.
Deve ser evitado divulgar informações sobre o sistema que será acessado antes de o logon ter sido feito com sucesso.
Deve ser validado o logon somente quando todas as informações necessárias tiverem sido inseridas.
Evite informar ao usuário qual foi o campo digitado incorretamente quando o logon falhou.
Deve ser estabelecido uma quantidade máxima de tentativas de logon sem sucesso.
Deve ser estabelecido um tempo que o usuário deverá aguardar para tentar um novo logon, após ter excedido as tentativas sem sucesso.

Depois que foi realizada a identificação do usuário no sistema, é necessário que seja feita a sua autenticação. De acordo com Barreto et al., (2018, p. 178), a autenticação “consiste no ato de confirmar se o usuário é quem realmente ele está dizendo ser, se ele é autêntico. A autenticação tem relação com a confirmação da procedência de um objeto ou de uma pessoa, ou seja, com a veracidade da sua identidade”.

Atenção: autenticação não é sinônimo de autorização!

Na autenticação é verificado a identidade do usuário. Na autorização é verificado se o usuário possui permissão para executar certas operações.

A autenticação é algo que vem antes da autorização.

Os processos envolvidos no controle de acesso de usuários são: Identificação, Autenticação, Autorização e Auditoria. Vejamos cada um desses processos a seguir.

Identificação
Processo que envolve o ato de o usuário informar um identificador único para o sistema, durante o início do processo de logon.

Autenticação
Processo que envolve o fato de o usuário provar para o sistema, durante o processo de logon, que ele é quem realmente diz ser, o que pode se dar por meio da inserção de uma senha, da leitura da impressão digital etc.

Autorização
Processo que acontece depois de identificado e autenticado, o usuário consegue acessar somente aqueles recursos do sistema para os quais esteja liberado.

Auditoria
Processo que consiste na coleta contínua de informações relacionadas à utilização dos recursos do sistema pelos usuários.

Dessa forma, temos que os processos envolvidos no controle de acesso de usuários seguem uma ordem conforme apresentado na Figura 1:

Figura 1 - Processos envolvidos no controle de acesso de usuários
Fonte: Barreto et al., (2018, p. 180)

#PraCegoVer: a figura mostra os processos envolvidos no controle de acesso de usuários. Na figura, temos uma seta grande apontando para a direita. Em cima da seta, temos quatro retângulos arredondados, com os textos na sequência: “identificação”, “autenticação”, “autorização” e “auditoria”.

Quando falamos em autenticação, precisamos compreender que existem alguns recursos que podem ser utilizados nesse processo, entretanto, vou citar e explicar os principais recursos de autenticação utilizados:

● Cartões inteligentes ou smart cards

são cartões que possuem microprocessadores e capacidade de memória interna suficiente para conseguir armazenar dados. É comum que o usuário precise informar uma senha à leitora do cartão para que possa utilizá-lo, e hoje os cartões podem ser usados por aproximação.

● Tokens

significa passe. É um dispositivo físico que gera uma senha temporária de proteção para as contas de sistemas que o usuário utilize. Hoje, o usuário pode utilizar o smartphone para gerar o token, que será utilizado para fazer sua autenticação.

● Biometria

é um sistema que verifica automaticamente a identidade do usuário, baseando-se nas suas características físicas como: impressões digitais, reconhecimento de voz, geometria da mão, formato da retina ou da íris do olho, reconhecimento facial.

Agora pense: Será que meus dados e informações interessam a invasores? Se você falar que não, está enganado. Todos os dados presentes em seu smartphone ou seu computador são de interesse de terceiros. Atualmente, as nossas informações se tornaram muito valiosas. Sabe por quê? Porque são informações sobre como você se comporta nas redes sociais, sobre o que você pesquisa na Internet, sobre o que você come, sobre quais marcas você veste, sobre quais suas preferências pessoais, quem são seus amigos e pessoas que te seguem e quem você segue, entre outras.

E, por esse motivo, é importante que você saiba como se proteger dos ataques! Você já ouviu falar do termo “ataque” ou leu sobre algo na Internet, certo? Quando ouvimos, já sabemos que algo aconteceu e que poderá provocar alguma ameaça. E uma maneira de se proteger é conhecer os tipos de ataques:

Ataque passivo: esse ataque fará a descoberta e o uso de informações, mas tem a intenção de afetar o que está sendo utilizado.
Ataque ativo: esse ataque fará a descoberta e o uso de informações e acabará afetando também o funcionamento da máquina, na maioria das vezes de forma maliciosa.

O Quadro 1 mostra os tipos de ataques:

Quadro 1 - Tipos de ataques
Fonte: Barreto et al., (2018, p. 44).

#PraCegoVer: o quadro apresenta 2 colunas e 11 linhas. Na primeira linha, temos os nomes das colunas, sendo a primeira “Nome” e a segunda “Descrição”, dessa forma, a partir da segunda linha, temos o nome do tipo de ataque e uma breve descrição. Na segunda linha, temos como tipo de ataque “Vírus” e na descrição “Anexa-se a um programa e propaga cópias de si mesmo a outros programas”. Na terceira linha, temos como tipo de ataque “Verme (worm)” e na descrição “Programa que propaga cópias de si mesmo a outros computadores”. Na quarta linha, temos como tipo de ataque “Bomba lógica” e na descrição “Dispara uma ação quando ocorre uma determinada condição. Na quinta linha, temos como tipo de ataque “Cavalo de tróia” e na descrição “Programa que contém uma funcionalidade adicional inesperada. Na sexta linha, temos como tipo de ataque “Backdoor (trapdoor)” e na descrição “Modificação de programa que permite o acesso não autorizado à funcionalidade”. Na sétima linha, temos como tipo de ataque “Exploit” e na descrição “Código específico para uma única vulnerabilidade ou um conjunto de vulnerabilidades”. Na oitava linha, temos como tipo de ataque “Downloader” e na descrição “Programa que instala outros itens em uma máquina sob ataque; normalmente, é enviado em um e-mail. Na nona linha, temos como tipo de ataque “Auto-rooters” e na descrição “Ferramentas maliciosas de hacker usadas para invasão de novas máquinas remotamente. Na décima linha, temos como tipo de ataque “Kit (geradores de vírus)” e na descrição “Conjunto de ferramentas para gerar novos vírus automaticamente. Na décima primeira linha, temos como tipo de ataque “Programas de spam” e na descrição “Usados para enviar grandes volumes de e-mails indesejados.

Considerando o conteúdo estudado, é importante termos cuidado com o que disponibilizamos na rede, evitar ao máximo a exposição de informações confidenciais sem a devida proteção.

saiba aplicar

Para finalizar nossa lição, e para você fixar bem o conteúdo sobre os ataques, vamos conhecer um dos maiores ataques ocorrido no Brasil em 2022. O caso aconteceu com uma emissora de TV. Ela sofreu um ataque de ransomware em outubro de 2022. Após o ataque, foi necessário acionar as autoridades e especialistas em tecnologia para investigar, pois não sabiam como essa invasão foi possível.

A emissora de TV teve seu acervo de conteúdos sequestrado no ataque, e, após invadirem o sistema central da emissora de TV, os invasores criptografaram todo o material, o que passou a impossibilitar o acesso da emissora a esses arquivos. A “sorte” foi que o departamento de T.I da emissora fazia cópias de segurança de tudo o que estava armazenado, mas os dados supostamente vazaram na deep web dando acesso a uma planilha contendo as despesas detalhadas da emissora, assim como documentos secretos relativos à receita publicitária e ao departamento jurídico da empresa. Deep Web, traduzindo significa Internet Profunda – é considerada uma área da Internet que fica "escondida" e tem pouca regulamentação.

Esse é o maior ataque hacker sofrido por uma empresa de mídia em todo o mundo até hoje, e, como você viu, quem auxiliou a invasão foram especialistas em tecnologia. Dessa forma, como futuro(a) profissional da área, você poderá atuar na prevenção e proteção de informações, em ataques parecidos com esse. Viu como é importante estudar sobre a segurança de dados? E que tal você pesquisar mais sobre outros ataques ocorridos no Brasil? Pesquise e compartilhe com seus colegas os ataques ocorridos!

REFERÊNCIAS

BARRETO, J. S. et al. Fundamentos de segurança da informação. Porto Alegre: SAGAH, 2018.

Page updated

Report abuse