Lista de conteúdos
Article image
Fernando Araujo
Fernando Araujo22/03/2023 15:44
Compartilhe

Segurança digital: o perigo ao redor!

  • #Segurança no trabalho
  • #Boas práticas
  • #Segurança da informação

Olá, dev!

A tecnologia transformou o mundo de hoje em uma rede imensa de equipamentos e usuários conectados entre si, resultando em um tráfego absurdo de dados (pessoais, empresariais, etc) trafegando para lá e para cá.


A mesma tecnologia que proporciona avanços e interações entre as pessoas abre brechas para que pessoas mal-intencionadas busquem se aproveitar de brechas tecnológicas, ingenuidade dos usuários para cometer crimes na Internet.


Por isso, é importante que as empresas e pessoas tomem medidas de segurança digital, para evitar, ou pelo menos, dificultar, ações de criminosos virtuais na nossa vida.


Este artigo procura dar uma visão geral dos perigos a que estamos expostos ao se conectar à Internet para navegar, realizar serviços e se conectar a outras pessoas, bem como lista as técnicas mais comuns para se proteger destes perigos.

 

O que você vai ler aqui:

  1. Introdução
  2. O que é segurança digital
  3. Principais tipos de ameaças digitais
  4. Segurança nas empresas
  5. Segurança pessoal
  6. O que você deve fazer
  7. A LGPD e as leis que nos protegem no mundo virtual
  8. Conclusão
  9. Fontes de Consulta
  10. Outros artigos sobre o assunto

 

#DesafioDIO


1 – Introdução

A tecnologia transformou o mundo de hoje em uma rede quase infinita de equipamentos conectados, usuários usando aplicativos, servidores recebendo e retornando dados, que trafegam para todo canto. Da mesma forma que a tecnologia proporcionou tanta interação e solução de problemas, ela também deixou brechas para que pessoas mal-intencionadas encontrassem formas de burlar sistemas, regras e leis para cometer crimes, obtendo vantagens ilícitas, como dinheiro, poder etc.


Por isso, é imprescindível que sejam tomadas medidas de segurança digital, tanto por empresas como por pessoas, para evitar, ou pelo menos, minimizar, ações criminosas que possam invadir aparelhos conectados, servidores e softwares.


O avanço da tecnologia proporcionou o desenvolvimento de novas ferramentas e técnicas de cibersegurança, mas, ao mesmo tempo, essa mesma tecnologia permite que os criminosos digitais também criem novas formas de ações invasivas. As ações criminosas procuram se aproveitar de brechas de segurança nos softwares de rede das empresas e nos aplicativos dos aparelhos de usuários conectados, mas também se aproveitam da ingenuidade ou falta de conhecimento dos usuários da rede.


Os crimes mais comuns podem ser evitados com ações simples de atualização de softwares e comportamentos seguros na utilização de aparelhos conectados, mas outros necessitam de ações constantes e regulares de segurança digital para evitá-los.


No Brasil, já existem leis que tratam de ações digitais criminosas, mas a maioria tem caráter punitivo e são necessárias ações preventivas para garantir que os crimes não aconteçam.


Este artigo dá uma visão geral dos perigos a que estamos sujeitos no uso de aparelhos e equipamentos conectados à Internet, e aponta as medidas que podemos tomar, empresas e pessoas, para minimizar os riscos de ser atingido por um ataque virtual.

 

2 – O que é segurança digital

image


           Com o mundo cada vez mais conectado, com cada vez mais aparelhos ligados em rede, acessíveis de qualquer lugar do planeta, ficou mais fácil encontrar um aparelho com alguma brecha de segurança que permita o acesso remoto por uma pessoa mal intencionada.


A segurança digital consiste na utilização de ferramentas digitais ou técnicas que impeçam, ou dificultem, o acesso de pessoas não autorizadas aos aparelhos eletrônicos conectados em rede. Este acesso pode ser feito por uma invasão forçada que quebra as barreiras de segurança atuantes no aparelho, ou então, pode ser facilitado se o usuário dono do aparelho for convencido, por ingenuidade ou falta de conhecimento, a realizar ações que forneçam dados importantes ao criminoso, como senha de cartão de crédito, contas bancárias ou códigos de acesso a equipamentos.


Para complicar ainda mais, com o avanço da tecnologia, que favorece a modernização das ferramentas e técnicas de proteção digital, os criminosos também se aproveitam para criar ferramentas e técnicas também mais avançadas. A impressão é que os criminosos sempre estão um passo à frente das ferramentas e técnicas usadas para a proteção cibernética.


No caso de empresas, os criminosos atacam as brechas de segurança dos equipamentos ou softwares e ganham acesso aos servidores e bancos de dados de clientes ou projetos estratégicos e sigilosos. O prejuízo causado por crimes digitais é enorme!


Segundo um artigo publicado no site da Voxel Digital, uma pesquisa realizada, em 2016, pela Consultoria Grant Thorton, com empresas de 36 países, estimou que o prejuízo delas com ameaças virtuais foi de aproximadamente 280 milhões de dólares!! [1]


Outro artigo, publicado no site da empresa Kaspersky [2], informa que as vítimas de fraude gastam, em média, 776 dólares do próprio bolso e perdem 20 horas tentando consertar a bagunça causada pelos ladrões de identidades.

 

3 – Principais tipos de ameaças digitais

Um artigo publicado no site da empresa CISCO lista algumas dicas importantes para proteger a empresa de ameaças virtuais [3]:

 

Malware - software mal-intencionado, como spyware, ransomware, vírus e worms. Geralmente, quando um usuário clica em um link ou anexo de e-mail perigoso, ele instala o software de risco, que pode:

  • Bloquear acesso aos componentes principais da rede (ransomware);
  • Instalar o malware ou software nocivo adicional;
  • Obter informações, secretamente, dos dados do disco (spyware);
  • Prejudicar alguns componentes e deixar o sistema inoperante;

 

Phishing – envio de comunicações fraudulentas que parecem vir de uma fonte confiável, geralmente por e-mail, roubando dados confidenciais (de cartões de crédito e senhas de acesso) ou instalação de malware no equipamento;

 

Ataque man-in-the-middle (MitM) - ataque de espionagem, ocorrendo quando os invasores se inserem em uma transação entre duas partes, interrompendo o tráfego para filtrar e roubar dados. Um lugar comum vulnerável a este tipo de ataque são os pontos de Wi-Fi público, como aeroportos, shoppings, etc.

 

Ataques de negação de serviço (DDoS) – este ataque inunda sistemas, servidores ou redes com tráfego para esgotar os recursos e a largura de banda, deixando o sistema incapaz de concluir solicitações legítimas;

 

Inserção de SQL - Um invasor insere um código mal-intencionado (numa caixa de pesquisa de um site, por exemplo) em um servidor que usa SQL, obtendo dados que ele não revelaria normalmente;

 

Exploração de dia zero – ataque lançado logo após o anúncio de uma vulnerabilidade, antes que uma correção ou solução seja implementada. Neste caso, é exigida atenção constante e monitoramento regular e constante da rede e dos avisos de vulnerabilidades, além proceder à instalação de atualizações de correção da vulnerabilidade tão logo sejam lançadas.

 

Outro artigo, publicado no site da empresa Karspersky, lista as 7 principais ameaças virtuais que merecem atenção [2]:

  • Violações de dados de lojas - roubo e venda de informações pessoais no mercado negro, que leva ao roubo de identidades;
  • Segurança de dispositivos móveis e ameaças às vulnerabilidades de smartphones - Essas vulnerabilidades podem vir dos aplicativos que você usa ou do próprio smartphone, bem como de malwares, que podem registrar pressionamentos de teclas e capturar telas;
  • Ataques de phishing e engenharia social - engenharia social é a manipulação de emoções para obter acesso a dados sigilosos. Phishing é quando alguém é induzido a revelar informações sigilosas, como senhas e números de identidade;
  • Roubo de identidades - sua identidade também está em risco por conta de documentos usados diariamente, como currículos, endereço residencial, fotos e vídeos em mídias sociais, dados financeiros, entre outros. De posse dos seus dados, podem ser abertas contas de empréstimo e cartão de crédito em seu nome;
  • Violações de dados da área da saúde - Os registros da área de saúde contêm informações sigilosas e importantes, e podem facilmente levar ao roubo de identidades. Essas informações são usadas para fraudes de seguro saúde;
  • Ataques a bancos - os criminosos virtuais conseguem simular o comportamento dos funcionários e transferir dinheiro para si mesmos, instruir caixas eletrônicos a liberar dinheiro em determinados horários e usar sistemas de pagamento eletrônico para receber o dinheiro.
  • As crianças na mira de predadores sexuais – Os predadores sexuais tentam induzir as crianças a se encontrar pessoalmente com eles, ou pedem que elas enviem fotos pornográficas. Além disso, podem comercializar fotos ilícitas de crianças. Isso é feito no mercado negro na Web (Dark Web), uma área da Internet que não é acessada por mecanismos de pesquisa comuns.

Para exemplificar os crimes sexuais, nesta semana, o portal da revista Veja publicou uma matéria assustadora sobre uma cena de pedofilia mostrada na novela "Travessia", da Rede Globo, em que o criminoso conversa com uma adolescente utilizando ferramentas (que já existem e estão disponíveis!) para mudar a voz e do seu rosto em vídeo, se passando por uma mulher e a induzindo a mostrar o corpo para ele. [4]

image

 

Eu já falei que o avanço da tecnologia pode ser usado para o bem ou para o mal, vamos falar sobre cibersegurança e a Inteligência Artificial (IA).


   Um novo estudo, publicado no site Security Report, revelou como a indústria de cibersegurança pode utilizar o GPT-3 como aliado para derrotar cibercriminosos, por meio da simplificação da pesquisa de atividades maliciosas em bancos de dados de softwares de segurança, filtragem mais precisa do spam e aceleração a identificação de alguns tipos de ataques. [5]


Em outro artigo, publicado no mesmo site, foi apresentada uma análise inicial do ChatGPT4, que revelou 5 cenários que podem permitir que os atacantes otimizem esforços e preparações maliciosas com mais rapidez e precisão. Em alguns casos, mesmo os atacantes não técnicos podem criar ferramentas prejudiciais. [6]

 

Os cinco cenários são:

  • Malware em C++ que coleta arquivos PDF e os envia para FTP;
  • Phishing: representação de um banco;
  • Phishing: e-mails para funcionários;
  • Shell reverso do PHP;
  • Programa Java que baixa e executa o PuTTy (software gratuito de emulação de terminal), que pode ser iniciado como um powershell oculto. 

A figura a seguir mostra as manchetes destes dois artigos e outros em destaque no site Security Report.

image

4 – Segurança nas empresas

image

As empresas que oferecem serviços remotos aos seus clientes possuem equipamentos de armazenamento de dados (bancos de dados) e de envio/recebimento de dados (como servidores) que estão dentro de sua rede interna. Como estes equipamentos estão conectados em rede, existe um ponto de acesso deles à Internet, por onde passam os dados das transações remotas. É justamente neste ponto que deve estar instalada a segurança digital dos acessos para proteger sua rede interna e os bancos de dados de acesso.


As brechas de segurança podem aparecer nos softwares de rede e de uso interno, são descobertas todos os dias e os criminosos se aproveitam delas para as invasões. Além disso, estas vulnerabilidades costumam ser divulgadas rapidamente entre os grupos de hackers. Quando uma brecha de segurança em um software é descoberta, os desenvolvedores logo a corrigem e lançam patches (módulos de software) para atualizar o software. Não aplicar estes patches de segurança torna toda a rede insegura.


Outra questão importante é a segurança física, que deve definir regras para a entrada apenas de pessoas autorizadas nos ambientes digitais.


Além disso, a definição de uma política de segurança entre os funcionários das empresa também é importante, pois o uso ingênuo de senhas e acesso a mensagens com links maliciosos pode comprometer toda a política de segurança de uma rede.


Veja que esta parte da segurança de uma empresa se confunde com a segurança pessoal, pois uma senha de uma pessoa pode comprometer a segurança da empresa.

 

5 – Segurança pessoal

De forma semelhante às empresas, na sua casa, um computador pessoal (ou um smartphone) também está conectado à Internet. E os softwares instalados nele também podem apresentar brechas de segurança, da mesma forma como ocorre na rede de uma empresa.


Uma brecha de segurança em um sistema operacional de um computador, um editor de textos, uma planilha ou um aplicativo de um smartphone pode facilitar a entrada de um hacker no seu equipamento. Uma vez invadido o aparelho, o criminoso pode ter acesso a dados pessoais sensíveis, como fotos, senhas, número de cartões bancários, etc. De posse dos seus dados, o criminoso pode se passar por você na Internet e cometer mais crimes.

image

Alguém com os seus dados se passará por você na Internet e poderá abrir contas, fazer empréstimos, acessar suas contas, serviços etc. E você será responsabilizado por tudo!

 

6 – O que você deve fazer


No caso das empresas, uma primeira questão importantíssima para a segurança dos dados de uma empresa é manter atualização constante e regular dos softwares de rede, para corrigir as brechas de segurança que são descobertas e divulgadas.


Outras boas práticas são [1]:

  • Ter um bom antivírus, que funciona como uma primeira barreira contra programas maliciosos (vírus, worms e malwares);
  • Utilizar VPN, para seus funcionários navegarem pela Internet de forma anônima, camuflando o tráfego de dados;
  • Usar um software de criptografia, assim os dados só podem ser traduzidos ou lidos por quem detém a chave, nesse caso, a empresa. Assim, mesmo após um ataque bem-sucedido, os hackers não terão acesso ás informações sigilosas da empresa;
  • Fazer cópias de segurança regularmente;
  • Recomendar e orientar uma boa escolha de senhas fortes entre os funcionários da empresa, evitando senhas como datas ou a famosa “12345”;
  • Por último, os funcionários devem fazer a parte deles, evitando clicar em e-mails desconhecidos ou com endereço duvidoso, não baixar arquivos pessoais (boletos, extrato bancário, fotos ou vídeos) no computador da empresa, pois podem vir acompanhados por malwares e vírus.

 

no caso de uso pessoal, além de aplicar todos os itens acima, é muito importante orientar os mais jovens e os mais velhos a NUNCA clicar (tocar) em links recebidos em e-mails ou em mensagens no celular, pois eles podem conter vírus e outros malwares que podem instalar programas indesejáveis nos aparelhos, roubando dados pessoais, descobrindo senhas ou até mesmo clonando o aparelho. Além disso, orientá-los quanto a não confiar em contatos de pessoas desconhecidas, ou até mesmo conhecidas, com pedidos para transferir dinheiro ou compartilhar dados pessoais.

E também é muito importante monitorar os contatos, conversas e acessos feitos por crianças e adolescentes, alvo de crimes de pedofilia e outros.

Mais algumas etapas de precaução [2]:

  • Use senhas fortes para as contas, incluindo números, letras maiúsculas e minúsculas, que sejam difíceis de adivinhar, e não senhas como senha, 12345, etc
  • Não abra e-mails suspeitos que solicitam a inserção de dados sigilosos
  • Destrua documentos sigilosos
  • Use uma VPN para proteger sua conexão com a Internet, caso precise usar uma rede Wi-Fi pública
  • Sempre mantenha seu software antivírus atualizado.

 

E eu nem falei aqui sobre a Dark Web, o lado negro da Internet, que esconde as maiores barbaridades do mundo digital. Mas isso é assunto para um artigo futuro!

 

7 – A LGPD e as leis que nos protegem no mundo virtual


No Brasil, já existem algumas leis que podem dar proteção aos usuários do mundo digital, seja no caso de prevenção ou de punição a quem as descumpre. Só que a maioria delas tem efeito punitivo, não preventivo.

Uma das primeiras leis foi o Estatuto da Criança e do Adolescente – ECA (Lei Federal nº 8.069, de 1990), que regulamenta o artigo 227 da Constituição Federal. Ela define as crianças e os adolescentes como sujeitos de direitos, em condição peculiar de desenvolvimento, que demandam proteção integral e prioritária por parte da família, sociedade e do Estado. [7]

Na época, o serviço Web (WWW, ou a publicação de websites) da Internet ainda nem tinha chegado ao Brasil, mas essa pode enquadrar, no artigo 240, criminosos que filmam ou registram cenas pornográficas com crianças e adolescentes, podendo resultar em prisão de 4 a 8 anos e multa (artigo 240).

Uma lei que ficou famosa, e foi muito comentada na mídia, foi a Lei Carolina Dieckmann (Lei nº 12.737, de 2012), que é uma alteração no Código Penal Brasileiro voltada para crimes virtuais e delitos informáticos, criada a partir de um caso real vivido pela atriz [8].

Outra lei que também trata do mundo digital é o Marco Civil da Internet, (Lei nº 12.965, de 2014), que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil, já tratando dos princípios da proteção da privacidade e dos dados pessoais, dentre outros [9].

Por último, tem a LGPD - Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709, de 2018), que estabelece diretrizes importantes e obrigatórias para a coleta, processamento e armazenamento de dados pessoais. [10]

Como já foi dito, a maioria das leis brasileiras que tratam de ações digitais criminosas tem caráter punitivo e nós precisamos de ações preventivas para evitar que esses crimes cheguem a acontecer.

 

8 - Conclusão

Os avanços da tecnologia nos últimos 30 anos nos deram a possibilidade de navegar pela Internet, realizar serviços remotos, ter entretenimento na palma da mão, conectar-se a pessoas ao redor do mundo, e usufruir de coisas que só havia nos livros de ficção científica antes disso.


No entanto, ao abrir as portas para um mundo novo, também abriu outras portas para um submundo de criminosos virtuais, que, sorrateiramente, e se aproveitando da ingenuidade de muitas pessoas, que não estão familiarizadas com a tecnologia disponível atualmente e que caem facilmente em golpes, se tornaram um perigo para todos aqueles que estão conectados à rede mundial.


Os perigos virtuais não se apresentam apenas para as pessoas conectadas à Internet, mas também para aas empresas.


No caso das pessoas, a ingenuidade, ou falta de conhecimento, de quem repassa adiante para seus conhecidos toda sorte de mentiras (fake news) recebidas por e-mail ou nos grupos de redes sociais, é a brecha de segurança usada pelos criminosos para induzirem estas pessoas a revelarem dados pessoais sigilosos e até lhes enviar dinheiro.


No caso das empresas, brechas de segurança encontradas em softwares de rede são aproveitadas para invadir os sistemas e impor perdas enormes de dinheiro ou de dados estratégicos sigilosos.


 Nesse cenário de terror, que parece queos criminosos sempre estão um passo a frente des especialistas em segurança digital, é importante que as empresas e pessoas tomem medidas de proteção digital, para evitar, ou pelo menos, dificultar, ações de criminosos virtuais na nossa vida.


Este artigo apresentou uma visão geral dos perigos a que estamos expostos ao se conectar à Internet para navegar, realizar serviços e se conectar a outras pessoas, bem como lista as técnicas mais comuns para se proteger destes perigos.


Nós, que somos da área de informática, temos muito claro na nossa mente a importância de se ter uma segurança digital moderna e atualizada, mas temos que pensar também naqueles usuários mais ingênuos, ou sem tanto conhecimento ou experiência no assunto, como as crianças, adolescentes e idosos, que estão muito desprotegidos nesse mundo conectado.


E, embora já existam leis no Brasil que tratam de ações digitais criminosas, a maioria tem caráter punitivo e são necessárias ações preventivas para garantir que os crimes não aconteçam.

 

#DesafioDIO


9 – Fontes de Consulta


Segue a lista de fontes de consulta usadas para a escrita deste artigo, com referências no texto.

[1] Marcela Servano, Como proteger sua empresa de ataques virtuais. Disponível em: <https://www.voxeldigital.com.br/blog/como-proteger-sua-empresa-de-ataques-virtuais/. Acessado em: 17/03/2023.

 

[2] Kaspersky, As sete principais ameaças virtuais que merecem atenção. Disponível em:  <https://www.kaspersky.com.br/resource-center/threats/top-7-cyberthreats>. Acessado em: 20/03/2023.

 

[3] CISCO, Quais são os ataques virtuais mais comuns? Disponível em: <https://www.cisco.com/c/pt_br/products/security/common-cyberattacks.html>. Acessado em: 17/03/2023.

 

[4] Giovanna Fraguito, Valmir Moratelli, Especialista comenta assustadora cena de pedofilia virtual de ‘Travessia’. Disponível em: <https://veja.abril.com.br/coluna/veja-gente/especialista-comenta-assustadora-cena-de-pedofilia-virtual-de-travessia/>. Acessado em: 15/03/2023.

 

[5] Security Report, Análise inicial de segurança do ChatGPT4 aponta cenários potenciais para acelerar o cibercrime. Disponível em: <https://www.securityreport.com.br/overview/analise-inicial-de-seguranca-do-chatgpt4-aponta-cenarios-potenciais-para-acelerar-o-cibercrime/#.ZBh7o3bMJD8>. Acessado em: 20/03/2023.

 

[6] Security Report, Estudo aponta ChatGPT como aliado da cibersegurança. Disponível em: <https://www.securityreport.com.br/overview/estudo-aponta-chatgpt-como-aliado-da-ciberseguranca/#.ZBh7oXbMJD8>. Acessado em: 20/03/2023.

 

[7] Planalto, O Estatuto da Criança e do Adolescente - ECA. Disponível em: <https://www.gov.br/mdh/pt-br/navegue-por-temas/crianca-e-adolescente/publicacoes/o-estatuto-da-crianca-e-do-adolescente>. Acessado em: 18/03/2023.

 

[8] SEBRAE, Carolina Dieckmann: você sabe o que essa lei representa?. Disponível em: <https://fmp.edu.br/lei-carolina-dieckmann-voce-sabe-o-que-essa-lei-representa/>. Acessado em: 18/03/2023.

 

[9] TJDFT, Marco Civil da Internet. Disponível em: <https://www.tjdft.jus.br/institucional/imprensa/campanhas-e-produtos/direito-facil/edicao-semanal/marco-civil-da-internet#:~:text=O%20Marco%20Civil%20da%20Internet,da%20internet%20no%20Brasil>. Acessado em: 18/03/2023.

 

[10] SEBRAE, Lei Geral de Proteção de Dados Pessoais. Disponível em: <https://www.sebrae.com.br/sites/PortalSebrae/canais_adicionais/conheca_lgpd>. Acessado em: 18/03/2023.



10 – Outros artigos sobre o assunto


Segue uma lista de artigos publicados recentemente na DIO sobre o mesmo assunto:


A Lenda do Dev do Escudo. Escrito por: Luiz Zancanela.

Compartilhe
Comentários (4)
Luis Zancanela
Luis Zancanela - 22/03/2023 17:00

Muito bom, realmente é um artigo que dá para ser referência para outros mais pontais. Sobre a segurança em si, muita gente às vezes acha que a responsabilidade é do setor específico ou de uma empresa, por exemplo, de fabrica de antivírus e firewall, mas se o próprio usuário não levar à sério o uso do equipamento e software, pode ainda sofrer ataque mesmo com o sistema mais seguro. Todo cuidado é pouco

Fernando Araujo
Fernando Araujo - 22/03/2023 16:13

Obrigado, pessoal!

A ideia foi escrever um artigo bem geral, mas ele pode ser complementado com temas pontuais.

Vamos lá!!!

Luiz Café
Luiz Café - 22/03/2023 16:10

Ótimo artigo Fernando! Você escreveu um artigo importante citando referências no assunto para fortalecer seus argumentos.O tema segurança digital deve ser amplamente discutido principalmente nas escolas e universidades, para que o conhecimento sobre o tema seja divulgado de forma correta para combater fake news.

Todo o cuidado é pouco e a prevenção é uma solução importante para evitar prejuízos.

Na internet todo cuidado é pouco.

David Avelino
David Avelino - 22/03/2023 16:10

Muito bom o artigo. Parabéns

Leia a seguir

WS

Gerenciador de SenhasWglastonio Sousa - 21 de Abril
#Segurança, Autenticação, Autorização#Segurança no trabalho#Segurança da informação
CAIO FERREIRA
Inteligência Emocional: Um Ativo Essencial em TI e na VidaCAIO FERREIRA - 19 de Setembro
#Desperte o potencial#Segurança no trabalho#Equipe Motivada
Kevin Souza
A Crise do Software na Aviação: Lições a partir do Caso Boeing 737 MAXKevin Souza - 23 de Agosto
#Segurança no trabalho