O usuário que deseja fazer compras ou participar de leilões pela Internet, primeiramente precisa manter o microcomputador pessoal seguro, livre de vírus, trojans e programas espiões de modo a garantir que dados confidenciais não sejam roubados. Algumas medidas preventivas:
1) Conservar o sistema operacional sempre atualizado através das atualizações automáticas do Windows. Qualquer sistema operacional precisa de updates, que são correções para falhas. Os outros softwares instalados na máquina também devem ser atualizados pois podem conter brechas que permitem a execução de instruções por vírus ou outros códigos mal intencionados
2) Instalar um firewall, que é um software que impede acessos indevidos vindos da Internet ao computador que está conectado na rede
3) Instalar um programa antivírus e mantê-lo atualizado. Os programas antivírus trabalham com um banco de dados de informações sobre os vírus que precisa ser periodicamente modificado com novas informações pelo fabricante para que o software possa detectar ameaças recentes
4) Instalar um programa antispyware, cuja finalidade é combater outro tipo de código malicioso, que nem sempre é identificado pelo antivírus. O spyware é um tipo de programa que é introduzido no computador principalmente através da navegação em sites suspeitos ou através de softwares obtidos ilegalmente, cuja finalidade é roubar informações condifenciais armazenadas e transmití-las para alguém na rede
5) Fazer backup das informações armazenadas no microcomputador, para evitar perdas de dados em casos de problemas com o hardware ou o software do equipamento
6) Não fazer downloads nem instalação de programas piratas, pois podem ser portadores de malwares (malicious softwares) ou outros códigos prejudiciais
Ao utilizar a Internet o usuário deve tomar os seguintes cuidados:
1) Bloquear as mensagens indesejadas. A maioria dos emails que circulam pela rede são spam, denominação dada ao envio indiscriminado de mensagens a vários usuários, sem que estes tenham solicitado. Utilizando filtros de mensagens que vêm com o software leitor de email, essas mensagens são excluídas ou desviadas automaticamente para uma pasta especificada, que pode ser checada posteriormente, para ver se ele barrou algum email válido. O software Thunderbird (http://br.mozdev.org/thunderbird/), que é de livre distribuição e de fácil instalação, tem um filtro muito bom. O spam pode conter vírus, trojan ou outro código malicioso anexado. Além disso, um tipo de armadilha muito comum hoje em dia é o “phishing”, um email que traz um link chamariz para um site impostor. Por exemplo, está circulando na rede um email com uma mensagem sobre o acidente da TAM que traz links para supostas fotos, mas na verdade se trata de uma farsa, pois certamente instalará um malware ou um spyware na máquina do usuário
2) As imagens que vêm com os emails também devem ser bloqueadas pois podem conter códigos suspeitos também
3) Bloquear mensagens indesejadas nos programas de comunicação instantânea pelos mesmos motivos discutidos anteriormente. Esses programas vêm sendo largamente explorados por farsantes para disseminar vírus e outras armadilhas
4) Evitar cadastrar o endereço de email em formulários suspeitos pela rede, pois estes poderão ser utilizados para o envio de spam
5) Ter duas contas de email uma para o trabalho e outra para uso pessoal, de modo a proteger a conta institucional
6) Ler a política de privacidade da empresa fornecedora do serviço para se assegurar de que esta não utilize o email cadastrado para spam
7) Não navegar em sites suspeitos pois estes podem conter links para a instalação de programas espiões no computador do usuário
Evitando fraude e roubo de identidade ao utilizar o comércio eletrônico
As compras pela Internet podem causar uma enorme dor de cabeça aos usuários despreparados. Ao efetuar uma compra, o internauta vai fornecer nome, endereço, telefone, CPF, número do cartão de crédito, etc, por isso é preciso ser cuidadoso. Além disso, pode estar caindo num conto do vigário. Recentemente em Ribeirão Preto, uma loja virtual estabelecida foi alvo de várias denúncias de pessoas que adquiriram produtos, pagaram e não receberam a mercadoria
Algumas precauções devem ser observadas
Com relação à idoneidade da empresa:
1) Identificar a loja virtual fornecedora do produto: informar-se sobre a razão social, CNPJ, endereço físico e telefone da empresa. Mesmo estando estabelecida, essa firma pode ser uma fraude, por isso é preciso identificar o tempo de atuação no mercado e procurar por referências. Para evitar roubo de identidade, o usuário deve procurar por sinais de segurança:no site: o endereço na internet deve começar com https://, indicando que os dados trafegarão de modo seguro e uma pessoa que esteja capturando os sinais da rede terá muito trabalho para descriptografá-los; localizar o ícone do cadeado na barra de status do navegador, isso quer dizer que essa entidade poussui um certificado de segurança, fornecido por uma empresa especializada que confirma a identificação do titular do certificado e o nível de segurança do site que está sendo acessado
2) Cuidado com a clonagem: fraudadores criam sites que imitam as lojas virtuais conhecidas por isso é preciso digitar corretamente o endereço que se deseja e não simplesmente copiá-los de algum email
3) Ler atentamente a política de privacidade da empresa: significa ter o conhecimento sobre o que o site pode fazer com os dados fornecidos pelo comprador como nome, número do cartão de crédito, CPF, etc
4) Utilizar senhas difíceis.com letras, dígitos e caracteres especiais; a maioria dos sites de leilões ou compras cadastram senhas para sua utilização. Evitar informar a senha a desconhecidos e nunca responder emails que solicitam senhas, pois provavelmente tráta-se de um engodo, um artifício utilizado para atrair o usuário
5) Não fazer compras em computadores públicos ou compartilhados por outras pessoas. Quando fizer, apagar as informações gravadas pelo navegador. No Internet Explorer o usuário deve clicar em "Ferramentas", "Opções da Internet", na aba "Geral", clicar em “Histórico de navegação”, clicar em “Excluir arquivos temporários, histórico, cookies...”. Procurar pela mesma funcionalidade no Firefox ou outros navegadores
6) Ter cuidado com emails que contenham anexos ou links para clicar mesmo que pareçam ser de empresas com as quais o usuário já teve contato, pois podem conter vírus ou remeter a sites fraudulentos
Com relação às condições da compra e do produto a ser adquirido:
1. Ler atentamente a descrição do produto bem como as condições de compra fazendo comparações entre vários fornecedores, se possível, entrar em contato com o vendedor para checar detalhes
2. Pesquisar preço, formas de pagamento e taxas de entrega. Muitas vezes o preço do frete não está bem esclarecido
3. Verificar os termos da garantia assim como os prazos para devolução do produto que apresentar algum defeito ou não estiver de acordo com as especificações divulgadas no site
4. Manter um registro impresso da compra realizada assim como qualquer email recebido referente à transação efetuada para posterior reclamação junto aos órgãos de defesa do consumidor
5. Desconfiar quando o preço do produto estiver muito abaixo do preço de mercado, pois pode ser um forte indicativo de má-fé
6. Verificar se é possível efetuar o pagamento somente após a entrega. Se não for possível, e tiver que fazer depósito em alguma conta, checar a titularidade da mesma
Enfim, a combinação de boas práticas, aliadas ao uso de ferramentas adequadas assegurará ao usuário maior tranqüilidade.
REFERÊNCIAS:
– www. internetsegura.org
– http://www.camara-e.net/e-consumidor/
– http://cartilha.cert.br/
– http://www.febraban.org.br/seguranca_site/seguranca.asp
– http://www.certsign.com.br
segunda-feira, 27 de agosto de 2007
segunda-feira, 23 de abril de 2007
Como Trabalham os Programas Antivírus
Vírus não aparecem do nada, são programas reais e podem causar danos extensos. Mas como consistem em um simples conjunto de instruções com uma assinatura (seqüência de bytes, por exemplo: B4 3D CD 21 B8 00 00) e comportamento exclusivo, permitem que softwares de detecção os identifiquem e eliminem. Por exemplo, se um vírus se instalou no setor de boot (inicialização de um disco), o software antivírus vasculhará esta área à procura de alterações.
Os softwares antivírus além de procurar por vírus conhecidos através de um banco de dados de informações, utilizam-se de outras técnicas tentando encontrar vírus desconhecidos através de análises complexas, observando mudanças no comportamento do computador e integridade dos arquivos do sistema operacional.
Um vírus pode permanecer no computador sem provocar nenhum efeito imediato. Ele pode aguardar um evento particular para começar a agir, por exemplo uma data especial, o acesso ao disco um determinado número de vezes, etc.
Enquanto não entra em ação, o vírus pode se espalhar para outros computadores através de compartilhamentos da rede ou envio automático de emails.
Geralmente o software antivírus irá primeiramente verificar a memória quanto a vírus críticos que podem impedir o funcionamento correto do próprio programa antivírus.
Depois de verificar a memória e as áreas do sistema, irá inspecionar os arquivos gravados no disco. A verificação do disco rígido pode levar algum tempo porque pode conter milhares de arquivos. Geralmente o programa antivírus gera um log (registro) fornecendo o nome do arquivo infectado, sua localização no disco e o tipo de vírus encontrado.
Os programas de detecção de vírus encontram vírus procurando por uma assinatura (seqüência de bytes) de um vírus conhecido. Se o computador ficar contaminado por um vírus com uma assinatura que o software ainda não conhece (por exemplo porque está desatualizado) o programa poderá não detectar o vírus, nem eliminá-lo.
As companhias que produzem software antivírus, informam que as maiores ocorrências de vírus são de uma dezena de vírus mais comuns. Novos vírus e mutações dos antigos podem aparecer e os programas devem estar sempre atualizados com as novas informações. A cada atualização são adicionadas proteções a novos vírus através de um banco de dados com informações a respeito de todos os vírus conhecidos até aquela data. Os programas antivírus utilizam estes identificadores durante o processo de busca por vírus no computador.
Uma outra técnica empregada pelos programas de detecção de vírus é a análise heurística que identifica o vírus não através de sua assinatura mas por um sofisticado mecanismo de análise da integridade dos arquivos e comportamento do sistema operacional à procura de vírus que ainda não são conhecidos.
Os softwares antivírus estão se sofisticando e apresentam uma série de opções que personalizam seu modo de ação permitindo atualização automática através da Internet, detecção em tempo real (ficam residentes na memória ativos o tempo todo examinando os arquivos locais ou da WEB que estejam sendo utilizados), vasculham os discos conforme uma programação do usuário, examinam as mensagens recebidas ou enviadas através de email automaticamente à procura de vírus e outras operações que facilitam a vida do usuário.
Muitas empresas de software antivírus disponibilizam em seus sites as ferramentas que podem ser utilizadas na eliminação de um vírus, que às vezes é detectado mas não pode ser eliminado pelo antivírus.
A remoção de um vírus pode ser um procedimento simples como apenas apagar o arquivo infectado ou requerer uma complicada reconstrução de arquivos, áreas e registros do sistema operacional.
MECANISMOS DE AUTO-DEFESA DOS VÍRUS
Os vírus também possuem mecanismos de auto-defesa que os protegem da ação dos antivírus. Utilizam-se de uma série de métodos para ocultar-se. Por exemplo os vírus polimórficos mudam o código de sua programação automaticamente impedindo sua identificação. Autores de vírus utilizam técnicas complexas de encriptação (codificação) que confundem os programas antivírus.
Uma outra técnica de autodefesa dos vírus é danificar ou apagar os bancos de dados utilizados pelos programas antivírus.
Outros mais sofisticados modificam o próprio código do software antivírus desabilitando-os.
Nestes casos, pode-se remover o vírus dando o boot no sistema através do disquete de emergência executando-se a ferramenta apropriada.
Dicas
Não assuma que todos os seus computadores estão livres de vírus, apenas porque um deles está. Repita o procedimento de verificação para todos os discos rígidos em todos os computadores da rede local. Se operar computadores em casa e no trabalho verifique ambos.
Não deixe qualquer um utilizar o seu computador inserindo disquetes ou CD’s de origem duvidosa. Teste toda mídia que seja inserida no seu micro.. Seja paranóico: até mesmo mídias distribuídas por fabricantes de software podem estar contaminadas.
Proteja contra gravação os disquetes que estão livres de contaminação.
Faça backup de seus dados em vários conjuntos diferentes protegendo-os da ação dos vírus e desastres com o disco
Crie o disco de reparo ou emergência do sistema operacional
Atualize periodicamente banco de dados do software antivírus. Este procedimento pode ser habilitado automaticamente usando a Internet. O programa antivírus também deve ser atualizado – o upgrade do software incorpora novas funcionalidades e novas técnicas de remoção e detecção.
Se um vírus for detectado, elimine-o imediatamente, não continue a operar a máquina e retire o cabo de rede evitando a sua propagação.
Links de softwares antivírus:
McAfee(http://www.mcafee.com/br/default.asp)
TrendMicro(http://www.trendmicro.com.br)
PandaSoftware(http://www.pandasoftware.com.br)
Grisoft(http://www.grisoft.com)
Sophos(http://www.sophos.com)
NOD32(http://www.nod32.com.br/)
Kaspersky(http://www.kaspersky.com/)
AVGFreeEdition(http://free.grisoft.com/)
Avast(http://www.avast.com)
Symantec(http://www.symantec.com.br/)
Referências:
Halliday, Caroline. Segredos do PC capítulo 9
AVG Free Edition On Line Help
Os softwares antivírus além de procurar por vírus conhecidos através de um banco de dados de informações, utilizam-se de outras técnicas tentando encontrar vírus desconhecidos através de análises complexas, observando mudanças no comportamento do computador e integridade dos arquivos do sistema operacional.
Um vírus pode permanecer no computador sem provocar nenhum efeito imediato. Ele pode aguardar um evento particular para começar a agir, por exemplo uma data especial, o acesso ao disco um determinado número de vezes, etc.
Enquanto não entra em ação, o vírus pode se espalhar para outros computadores através de compartilhamentos da rede ou envio automático de emails.
Geralmente o software antivírus irá primeiramente verificar a memória quanto a vírus críticos que podem impedir o funcionamento correto do próprio programa antivírus.
Depois de verificar a memória e as áreas do sistema, irá inspecionar os arquivos gravados no disco. A verificação do disco rígido pode levar algum tempo porque pode conter milhares de arquivos. Geralmente o programa antivírus gera um log (registro) fornecendo o nome do arquivo infectado, sua localização no disco e o tipo de vírus encontrado.
Os programas de detecção de vírus encontram vírus procurando por uma assinatura (seqüência de bytes) de um vírus conhecido. Se o computador ficar contaminado por um vírus com uma assinatura que o software ainda não conhece (por exemplo porque está desatualizado) o programa poderá não detectar o vírus, nem eliminá-lo.
As companhias que produzem software antivírus, informam que as maiores ocorrências de vírus são de uma dezena de vírus mais comuns. Novos vírus e mutações dos antigos podem aparecer e os programas devem estar sempre atualizados com as novas informações. A cada atualização são adicionadas proteções a novos vírus através de um banco de dados com informações a respeito de todos os vírus conhecidos até aquela data. Os programas antivírus utilizam estes identificadores durante o processo de busca por vírus no computador.
Uma outra técnica empregada pelos programas de detecção de vírus é a análise heurística que identifica o vírus não através de sua assinatura mas por um sofisticado mecanismo de análise da integridade dos arquivos e comportamento do sistema operacional à procura de vírus que ainda não são conhecidos.
Os softwares antivírus estão se sofisticando e apresentam uma série de opções que personalizam seu modo de ação permitindo atualização automática através da Internet, detecção em tempo real (ficam residentes na memória ativos o tempo todo examinando os arquivos locais ou da WEB que estejam sendo utilizados), vasculham os discos conforme uma programação do usuário, examinam as mensagens recebidas ou enviadas através de email automaticamente à procura de vírus e outras operações que facilitam a vida do usuário.
Muitas empresas de software antivírus disponibilizam em seus sites as ferramentas que podem ser utilizadas na eliminação de um vírus, que às vezes é detectado mas não pode ser eliminado pelo antivírus.
A remoção de um vírus pode ser um procedimento simples como apenas apagar o arquivo infectado ou requerer uma complicada reconstrução de arquivos, áreas e registros do sistema operacional.
MECANISMOS DE AUTO-DEFESA DOS VÍRUS
Os vírus também possuem mecanismos de auto-defesa que os protegem da ação dos antivírus. Utilizam-se de uma série de métodos para ocultar-se. Por exemplo os vírus polimórficos mudam o código de sua programação automaticamente impedindo sua identificação. Autores de vírus utilizam técnicas complexas de encriptação (codificação) que confundem os programas antivírus.
Uma outra técnica de autodefesa dos vírus é danificar ou apagar os bancos de dados utilizados pelos programas antivírus.
Outros mais sofisticados modificam o próprio código do software antivírus desabilitando-os.
Nestes casos, pode-se remover o vírus dando o boot no sistema através do disquete de emergência executando-se a ferramenta apropriada.
Dicas
Não assuma que todos os seus computadores estão livres de vírus, apenas porque um deles está. Repita o procedimento de verificação para todos os discos rígidos em todos os computadores da rede local. Se operar computadores em casa e no trabalho verifique ambos.
Não deixe qualquer um utilizar o seu computador inserindo disquetes ou CD’s de origem duvidosa. Teste toda mídia que seja inserida no seu micro.. Seja paranóico: até mesmo mídias distribuídas por fabricantes de software podem estar contaminadas.
Proteja contra gravação os disquetes que estão livres de contaminação.
Faça backup de seus dados em vários conjuntos diferentes protegendo-os da ação dos vírus e desastres com o disco
Crie o disco de reparo ou emergência do sistema operacional
Atualize periodicamente banco de dados do software antivírus. Este procedimento pode ser habilitado automaticamente usando a Internet. O programa antivírus também deve ser atualizado – o upgrade do software incorpora novas funcionalidades e novas técnicas de remoção e detecção.
Se um vírus for detectado, elimine-o imediatamente, não continue a operar a máquina e retire o cabo de rede evitando a sua propagação.
Links de softwares antivírus:
McAfee(http://www.mcafee.com/br/default.asp)
TrendMicro(http://www.trendmicro.com.br)
PandaSoftware(http://www.pandasoftware.com.br)
Grisoft(http://www.grisoft.com)
Sophos(http://www.sophos.com)
NOD32(http://www.nod32.com.br/)
Kaspersky(http://www.kaspersky.com/)
AVGFreeEdition(http://free.grisoft.com/)
Avast(http://www.avast.com)
Symantec(http://www.symantec.com.br/)
Referências:
Halliday, Caroline. Segredos do PC capítulo 9
AVG Free Edition On Line Help
segunda-feira, 2 de abril de 2007
ARMADILHAS QUE UTILIZAM EMAIL
SPAM
Spam é uma mensagem eletrônica não-solicitada enviada em massa. Além do caráter meramente publicitário o spam se tornou um incômodo veículo que transporta vírus ou outros códigos maliciosos, boatos, correntes ou fraudes.
HOAXES (boatos sobre vírus)
Circulam muito pela Internet emails contendo boatos sobre vírus, por exemplo aquela famosa mensagem que fazia alusão ao arquivo Jdbgmgr.exe orientando o usuário a apagá-lo porque se tratava de um perigoso vírus. A mensagem vinha acompanhada da figura de um ursinho.
Quem seguisse essa orientação teria problemas com o Windows já que esse arquivo pertence ao sistema operacional, não se tratando de vírus, mas sim de um banco de informações do Microsoft VM Visual Java J++, sem o qual as aplicações em Java não funcionam (Internet Explorer, Outlook, etc).
As pessoas de boa fé acabam espalhando o falso alarme, que além de prejudicar outros usuários entopem a rede com spam.
É preciso ter cuidado com emails que incitam o usuário a tomar atitudes precipitadas que podem prejudicá-lo. Toda informação sobre vírus deve ser primeiro confirmada para depois ser propagada.
Nos sites de programas antivírus há links para busca de informações que dão informações precisas sobre os vírus e boatos sobre vírus. Também há uma infinidade de listas que circulam informações sobre vírus e vulnerabilidades.
A única atitude a ser tomada pelo usuário ao receber essas mensagens, deve ser a procura por mais informações nos sites relacionados ou simplesmente apagá-las.
CORRENTES
Quem nunca recebeu dos próprios amigos emails de correntes das mais diversas naturezas? Pessoas doentes pedindo ajuda, promessas para ganho fácil de dinheiro, orações, campanhas sociais, etc incitando o usuário a reproduzí-las aos seus contatos?
O usuário deve evitar repassar estes emails que só fazem aumentar mais ainda o tráfego na rede e dar trabalho aos administradores de servidores.
PHISHING SCAM (“pescaria” de usuário)
O Phishing scam é uma outra técnica que vem sendo largamente utilizada na Internet para enganar os usuários desprevenidos.
Tráta-se de um email com informações falsas sobre algum órgão do governo, empresa, banco ou outra instituição conhecida, contendo links que remetem a sites falsificados, que via de regra promovem a instalação de algum malware (software malicioso) ou solicita dados confidenciais.
Uma maneira simples de verificar a falsificação é checar se o endereço do link confere com o da instituição.
As versões mais novas dos navegadores (IE 7 e Firefox) já possuem mecanismos para identificar sites falsificados baseados em listas negras.
Habilitar filtros antispam nos programas de leitura de email também é outra medida que pode amenizar o problema, pois reduzem a quantidade de phishing emails.
Os usuários devem ficar atentos a esse tipo de mensagem já que empresas sérias não solicitam informações por email. O melhor mesmo é apagar qualquer email suspeito.
Estudos indicam que uma em cada 6 mensagens desse tipo são abertas pelos usuários.
DICAS DE BOAS PRÁTICAS
- utilizar webmail ao invés de programas leitores instalados localmente. Outlook e outros leitores de email baixam as mensagens que ficam armazenadas em um servidor assim, muitos arquivos nocivos acabam sendo gravados no computador do usuário. Utilizando webmail, as mensagens ficam localizadas apenas no servidor
- ficar atento aos emails falsos, Receita Federal, Justiça Eleitoral, bancos, empresas de telefonia não solicitam dados pessoais por email
- não abrir arquivos anexados a emails
- trocar periodicamente a senha de Internetbanking e sites de comércio eletrônico
- evitar fazer transações em computadores públicos (cibercafés e outros)
- em computadores pessoais que são compartilhados por várias pessoas da família, alertar a todos sobre os procedimentos corretos no uso da Interrnet
- ter sempre instalado e atualizado um software antivírus, um firewall e um antispyware
- sempre utilizar versões mais recentes dos programas instalados no computador, pois já vêm com a solução de brechas encontradas em versões anteriores
Referências
Folha de São Paulo. Caderno Informática em 28/3/2007
Wikipedia. http://en.wikipedia.org/wiki/Phishing#Phishing_techniques em 28/3/2007
Spam é uma mensagem eletrônica não-solicitada enviada em massa. Além do caráter meramente publicitário o spam se tornou um incômodo veículo que transporta vírus ou outros códigos maliciosos, boatos, correntes ou fraudes.
HOAXES (boatos sobre vírus)
Circulam muito pela Internet emails contendo boatos sobre vírus, por exemplo aquela famosa mensagem que fazia alusão ao arquivo Jdbgmgr.exe orientando o usuário a apagá-lo porque se tratava de um perigoso vírus. A mensagem vinha acompanhada da figura de um ursinho.
Quem seguisse essa orientação teria problemas com o Windows já que esse arquivo pertence ao sistema operacional, não se tratando de vírus, mas sim de um banco de informações do Microsoft VM Visual Java J++, sem o qual as aplicações em Java não funcionam (Internet Explorer, Outlook, etc).
As pessoas de boa fé acabam espalhando o falso alarme, que além de prejudicar outros usuários entopem a rede com spam.
É preciso ter cuidado com emails que incitam o usuário a tomar atitudes precipitadas que podem prejudicá-lo. Toda informação sobre vírus deve ser primeiro confirmada para depois ser propagada.
Nos sites de programas antivírus há links para busca de informações que dão informações precisas sobre os vírus e boatos sobre vírus. Também há uma infinidade de listas que circulam informações sobre vírus e vulnerabilidades.
A única atitude a ser tomada pelo usuário ao receber essas mensagens, deve ser a procura por mais informações nos sites relacionados ou simplesmente apagá-las.
CORRENTES
Quem nunca recebeu dos próprios amigos emails de correntes das mais diversas naturezas? Pessoas doentes pedindo ajuda, promessas para ganho fácil de dinheiro, orações, campanhas sociais, etc incitando o usuário a reproduzí-las aos seus contatos?
O usuário deve evitar repassar estes emails que só fazem aumentar mais ainda o tráfego na rede e dar trabalho aos administradores de servidores.
PHISHING SCAM (“pescaria” de usuário)
O Phishing scam é uma outra técnica que vem sendo largamente utilizada na Internet para enganar os usuários desprevenidos.
Tráta-se de um email com informações falsas sobre algum órgão do governo, empresa, banco ou outra instituição conhecida, contendo links que remetem a sites falsificados, que via de regra promovem a instalação de algum malware (software malicioso) ou solicita dados confidenciais.
Uma maneira simples de verificar a falsificação é checar se o endereço do link confere com o da instituição.
As versões mais novas dos navegadores (IE 7 e Firefox) já possuem mecanismos para identificar sites falsificados baseados em listas negras.
Habilitar filtros antispam nos programas de leitura de email também é outra medida que pode amenizar o problema, pois reduzem a quantidade de phishing emails.
Os usuários devem ficar atentos a esse tipo de mensagem já que empresas sérias não solicitam informações por email. O melhor mesmo é apagar qualquer email suspeito.
Estudos indicam que uma em cada 6 mensagens desse tipo são abertas pelos usuários.
DICAS DE BOAS PRÁTICAS
- utilizar webmail ao invés de programas leitores instalados localmente. Outlook e outros leitores de email baixam as mensagens que ficam armazenadas em um servidor assim, muitos arquivos nocivos acabam sendo gravados no computador do usuário. Utilizando webmail, as mensagens ficam localizadas apenas no servidor
- ficar atento aos emails falsos, Receita Federal, Justiça Eleitoral, bancos, empresas de telefonia não solicitam dados pessoais por email
- não abrir arquivos anexados a emails
- trocar periodicamente a senha de Internetbanking e sites de comércio eletrônico
- evitar fazer transações em computadores públicos (cibercafés e outros)
- em computadores pessoais que são compartilhados por várias pessoas da família, alertar a todos sobre os procedimentos corretos no uso da Interrnet
- ter sempre instalado e atualizado um software antivírus, um firewall e um antispyware
- sempre utilizar versões mais recentes dos programas instalados no computador, pois já vêm com a solução de brechas encontradas em versões anteriores
Referências
Folha de São Paulo. Caderno Informática em 28/3/2007
Wikipedia. http://en.wikipedia.org/wiki/Phishing#Phishing_techniques em 28/3/2007
quinta-feira, 29 de março de 2007
Conceitos sobre Segurança da Informação
O oferecimento de serviços na Internet tem se expandido muito rapidamente. Bancos, órgãos do governo e empresas de atividades diversas implementam a cada dia novas facilidades de acesso pela rede aos seus clientes. Ao mesmo tempo, cresce o número de delitos cometidos utilizando a WEB. Em 2006 foram 69.509 incidentes reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) (1).
Recursos e procedimentos que impeçam ações fraudulentas de qualquer natureza ocupam grande parte do tempo e da energia dos profissionais de TI (Tecnologia da Informação).
Apesar de todos os esforços, existe um gap entre a prática do usuário final e os resultados que se buscam alcançar com a implantação de políticas de segurança.
Política de Segurança
É um conjunto formal de regras que devem ser seguidas pelos usuários dos recursos de uma organização a fim de manter:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado (2).
A informação é um patrimônio valioso para qualquer organização, por esta razão a proteção aos recursos (sistemas, pessoas, informações, equipamentos, etc) tem a finalidade de diminuir o nível de exposição aos riscos existentes em todos os ambientes. Quais os benefícios de se implementar uma política de segurança?
redução de riscos contra vazamento de informações sigilosas e confidenciais
redução da probabilidades de fraudes
diminuição de erros devido a treinamento e mudança de comportamento
manuseio correto de informações
aumento da produtividade através de um ambiente mais organizado
redução de ocorrências de incidentes de segurança
redução de perdas e danos causados por incidentes de segurança
recuperação de danos em caso de desastre ou incidente
Incidentes de Segurança
Um incidente de segurança é qualquer evento que prejudique o bom andamento dos sistemas ou redes. Pode ser o resultado de uma violação de segurança, acesso não autorizado a informações ou até mesmo um site tirado do ar por ação de hacker.
Vulnerabilidade
É o ponto onde qualquer sistema é suscetível a ataque. Identificar as vulnerabilidades que podem contribuir para a ocorrência de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Tipos de Vulnerabilidade:
Física
problemas com temperatura, umidade, exposição
instalação elétrica ruim
exposição a radiação eletromagnética
Hardware
falhas de hardware, obsolescência, erros de instalação
falhas nas mídias de gravação
Software
erros na instalação e configuração
falhas e bugs em aplicativos, sistemas operacionais e programas que implementam os serviços de rede. Produtos chegam ao mercado e pouco tempo depois são encontradas vulnerabilidades divulgadas na Internet. Os hackers são os primeiros a explorar as vulnerabilidades. As empresas produtoras de software disponibilizam as correções para que os administradores e usuários possam atualizar os seus sistemas. O SANS Institute disponibiliza em http://www.sans.org/top20/ uma relação das vinte maiores vulnerabilidades divulgadas no ano.
Comunicação
falhas nos links de comunicação
tráfego de informações sem proteção (criptografia)
perda de comunicação
Humana
falta de treinamento
compartilhamento de informações confidenciais
falta de execução de rotinas de segurança
falta de comprometimento
manuseio inadequado de informações confidenciais
Cada vulnerabilidade pode permitir a ocorrência de incidentes de segurança. Pessoas mal intencionadas podem explorar as fraquezas do sistema e entrar na rede copiando ou apagando informações. Tipos de ocorrência:
documentos confidenciais divulgados na Internet
funcionários divulgando material pornográfico
contas e senhas roubadas para posterior utilização
linhas de comunicação grampeadas com comprometimento de informações
pane em servidores através de inundação de pacotes recebidos pela rede
roubo, remoção ou destruição de informações
interrupção de serviços de rede
Medidas de Proteção
As medidas de segurança são esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrência de ameaças e incidentes de segurança.
Muitas medidas podem ser aplicadas combinadas a fim de minimizarem os riscos, entre elas:
política de segurança implementada pela empresa
criptografia de dados
certificação digital
controle de acesso
segurança física
backup
planos de contigngência
monitoração
firewall
segurança de roteadores
filtros de conteúdo
políticas de senhas
detecção de intrusos
testes de invasão
alertas
treinamentos de usuários
auditoria
programas antivírus
Referências
(1)Estatísticas dos Incidentes Reportados ao CERT.br, disponível em http://www.cert.br/stats/incidentes/, acesso em 28/10/2006.
(2)Segurança da informação, disponível em http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o#Pol.C3.ADticas_de_seguran.C3.A7a, acesso em 2/3/2007.
Moreira, Nilton Stringasci. Segurança Mínima, Axcel Books, 2001.
Recursos e procedimentos que impeçam ações fraudulentas de qualquer natureza ocupam grande parte do tempo e da energia dos profissionais de TI (Tecnologia da Informação).
Apesar de todos os esforços, existe um gap entre a prática do usuário final e os resultados que se buscam alcançar com a implantação de políticas de segurança.
Política de Segurança
É um conjunto formal de regras que devem ser seguidas pelos usuários dos recursos de uma organização a fim de manter:
A Disponibilidade: o sistema deve estar disponível de forma que quando o usuário necessitar possa usar. Dados críticos devem estar disponíveis ininterruptamente.
A Utilização: o sistema deve ser utilizado apenas para os determinados objetivos.
A Integridade: o sistema deve estar sempre íntegro e em condições de ser usado.
A Autenticidade: o sistema deve ter condições de verificar a identidade dos usuários, e este ter condições de analisar a identidade do sistema.
A Confidencialidade: dados privados devem ser apresentados somente aos donos dos dados ou ao grupo por ele liberado (2).
A informação é um patrimônio valioso para qualquer organização, por esta razão a proteção aos recursos (sistemas, pessoas, informações, equipamentos, etc) tem a finalidade de diminuir o nível de exposição aos riscos existentes em todos os ambientes. Quais os benefícios de se implementar uma política de segurança?
redução de riscos contra vazamento de informações sigilosas e confidenciais
redução da probabilidades de fraudes
diminuição de erros devido a treinamento e mudança de comportamento
manuseio correto de informações
aumento da produtividade através de um ambiente mais organizado
redução de ocorrências de incidentes de segurança
redução de perdas e danos causados por incidentes de segurança
recuperação de danos em caso de desastre ou incidente
Incidentes de Segurança
Um incidente de segurança é qualquer evento que prejudique o bom andamento dos sistemas ou redes. Pode ser o resultado de uma violação de segurança, acesso não autorizado a informações ou até mesmo um site tirado do ar por ação de hacker.
Vulnerabilidade
É o ponto onde qualquer sistema é suscetível a ataque. Identificar as vulnerabilidades que podem contribuir para a ocorrência de incidentes de segurança é um aspecto importante na identificação de medidas adequadas de segurança. Tipos de Vulnerabilidade:
Física
problemas com temperatura, umidade, exposição
instalação elétrica ruim
exposição a radiação eletromagnética
Hardware
falhas de hardware, obsolescência, erros de instalação
falhas nas mídias de gravação
Software
erros na instalação e configuração
falhas e bugs em aplicativos, sistemas operacionais e programas que implementam os serviços de rede. Produtos chegam ao mercado e pouco tempo depois são encontradas vulnerabilidades divulgadas na Internet. Os hackers são os primeiros a explorar as vulnerabilidades. As empresas produtoras de software disponibilizam as correções para que os administradores e usuários possam atualizar os seus sistemas. O SANS Institute disponibiliza em http://www.sans.org/top20/ uma relação das vinte maiores vulnerabilidades divulgadas no ano.
Comunicação
falhas nos links de comunicação
tráfego de informações sem proteção (criptografia)
perda de comunicação
Humana
falta de treinamento
compartilhamento de informações confidenciais
falta de execução de rotinas de segurança
falta de comprometimento
manuseio inadequado de informações confidenciais
Cada vulnerabilidade pode permitir a ocorrência de incidentes de segurança. Pessoas mal intencionadas podem explorar as fraquezas do sistema e entrar na rede copiando ou apagando informações. Tipos de ocorrência:
documentos confidenciais divulgados na Internet
funcionários divulgando material pornográfico
contas e senhas roubadas para posterior utilização
linhas de comunicação grampeadas com comprometimento de informações
pane em servidores através de inundação de pacotes recebidos pela rede
roubo, remoção ou destruição de informações
interrupção de serviços de rede
Medidas de Proteção
As medidas de segurança são esforços como procedimentos, software, configurações, hardware e técnicas empregadas para atenuar as vulnerabilidades com o intuito de reduzir a probabilidade de ocorrência de ameaças e incidentes de segurança.
Muitas medidas podem ser aplicadas combinadas a fim de minimizarem os riscos, entre elas:
política de segurança implementada pela empresa
criptografia de dados
certificação digital
controle de acesso
segurança física
backup
planos de contigngência
monitoração
firewall
segurança de roteadores
filtros de conteúdo
políticas de senhas
detecção de intrusos
testes de invasão
alertas
treinamentos de usuários
auditoria
programas antivírus
Referências
(1)Estatísticas dos Incidentes Reportados ao CERT.br, disponível em http://www.cert.br/stats/incidentes/, acesso em 28/10/2006.
(2)Segurança da informação, disponível em http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o#Pol.C3.ADticas_de_seguran.C3.A7a, acesso em 2/3/2007.
Moreira, Nilton Stringasci. Segurança Mínima, Axcel Books, 2001.
quinta-feira, 22 de março de 2007
Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta de EaD
Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta de EaD
Clélia CAMARGO CARDOSO*
*Centro de Informática de Ribeirão Preto, USP. Ribeirão Preto (SP), (16) 3602-3583, clelia@cirp.usp.br
Resumo
Desde 2004 o CIRP (Centro de Informática de Ribeirão Preto, USP) vem oferecendo treinamento à distância de Segurança da Informação para usuários finais de Informática. A idéia surgiu em vista da necessidade de sensibilizar o usuário para a adoção de práticas corretas no uso do computador e da Internet, que o protejam da ação de códigos maliciosos e outros agentes fraudulentos, reforçando a segurança da rede local e da instituição.
Palavras-Chave: Segurança da Informação, Treinamento a Distância de Usuários
1. Introdução
O oferecimento de serviços na Internet tem se expandido muito rapidamente, bancos, órgãos do governo e empresas de atividades diversas implementam a cada dia novas facilidades de acesso pela rede aos seus clientes. Ao mesmo tempo, cresce o número de delitos cometidos utilizando a WEB. Em 2006 foram 69.509 incidentes reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) (1).
Recursos e procedimentos que impeçam ações fraudulentas de qualquer natureza ocupam grande parte do tempo e da energia dos profissionais de TI (Tecnologia da Informação).
Apesar de todos os esforços, existe um gap entre a prática do usuário final e os resultados que se buscam alcançar com a implantação de políticas de segurança.
O Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta EaD (Educação a Distância) desenvolvido pelo CIRP desde 2004, teve sua origem na necessidade de informar usuários que utilizam a Informática como ferramenta de trabalho, sobre os riscos e as práticas recomendáveis na utilização do computador no dia-a-dia. O público alvo inicial era de alunos, docentes e funcionários do campus da USP de Ribeirão Preto. Posteriormente o treinamento foi estendido aos usuários de todos os campi e na última turma, foi aberto à participação da comunidade externa.
A dificuldade em se montar turmas presenciais, a facilidade para disseminar um conteúdo que muda muito rapidamente e a acessibilidade fortaleceram a idéia de um treinamento a distância que tratasse de assuntos presentes no cotidiano. Vírus, trojan, worm, spyware, spam entre outros, são tratados no treinamento com uma linguagem inteligível ao usuário final.Utilizou-se a plataforma WebCT durante o ano de 2004, substituída pelo TelEduc, adotada pelo CIRP em janeiro de 2005.
Foram utilizadas ferramentas síncronas e assíncronas de modo que o usuário tivesse acesso ao conteúdo e a oportunidade de discutir suas dúvidas, inclusive em uma sessão de chat com especialistas em TI. Foram propostas avaliações que permitissem ao aluno refletir sobre a sua rotina e ao instrutor aferir a aprendizagem.
O resultado se mostrou surpreendente, em vista dos altos índices de evasão de cursos à distância. Dos 463 usuários inscritos em 11 turmas ao longo de dois anos, 201 usuários concluíram o treinamento com êxito. Oriundos de quase todos os campi da USP, com as ocupações mais variadas (alunos, docentes, técnicos e auxiliares). O treinamento contou também com participantes da comunidade.
2. Materiais e Métodos
2.1 Formato do treinamento
O treinamento foi dividido em 12 aulas abordando vários temas relacionados à Segurança da Informação. A cada dia foi apresentado ao aluno um texto em arquivo html ou pdf com o conteúdo do tema abordado, que deveria ser lido e posteriormente debatido no respectivo fórum de discussão. A cada turma foi agendado um chat com a presença de especialistas em TI que responderam dúvidas dos alunos.
A interação entre os participantes se deu através do Perfil, ferramenta do TelEduc que permite editar informações pessoais e anexar foto. Os alunos também puderam postar mensagens de acesso comum a todos além de enviar emails internos. As instruções sobre o funcionamento do treinamento e avaliações foram colocadas na ferramenta Dinâmica do Curso. Uma agenda exibe toda a programação prevista para o treinamento. As participações no fórum, no chat e um trabalho em grupo, enviado ao término do treinamento compõem a avaliação que permitirá a emissão do certificado de participação.
2.2 A plataforma
A plataforma utilizada inicialmente foi o WebCT, atualmente denominado Blackboard Learning System. No início de 2005, o CIRP adotou o TelEduc, ambiente para EaD desenvolvido pela Unicamp.
2.3 Ferramentas do ambiente TelEduc utilizadas no treinamento
Dinâmica de Grupo: texto que contem orientações relacionadas ao desenvolvimento do treinamento e também sobre as avaliações.
Agenda: texto que contém a programação do treinamento com as datas das aulas e do chat dos alunos com convidados especialistas em TI.
Avaliações: contém dados sobre todas as avaliações do treinamento e um link para as notas dos participantes em cada avaliação.
Atividades: contém uma relação das atividades programadas com a descrição do trabalho, prazo de entrega e valor da avaliação
Material de Apoio: pode conter textos e/ou links, foi utilizado para apresentar um texto com a bibliografia utilizada no treinamento e organizar links de interesse dos alunos. Muitos desses links foram sugeridos pelos próprios alunos ao longo do treinamento.
Leitura: contém 12 links para arquivos html ou pdf com o conteúdo das aulas do treinamento.
Fórum de discussão: a cada aula foi elaborada uma questão para ser discutida pelos alunos no respectivo fórum. Pelo menos uma contribuição deveria ser remetida.
Bate-papo: em cada turma foi realizada uma sessão de chat com os alunos e convidados especialistas na área de TI para responder dúvidas.
Grupos: foi utilizada para a organização de grupos entre os alunos para a realização de uma apresentação sobre um dos temas abordados no treinamento a fim de complementar a avaliação. Os participantes deveriam ao final do treinamento postar um arquivo na pasta do grupo, compartilhando-o com os alunos e o instrutor.
Correio: foi utilizada para comunicação entre instrutor e alunos para sanar dúvidas específicas e entre os próprios alunos para comunicações que não caberiam no fórum.
Perfil: local onde ficam disponíveis as informações editadas pelo aluno, bem como a foto da pessoa, permitindo uma interação maior entre os participantes oriundos de lugares distintos.
Portfólio: ferramenta utilizada para os alunos postarem os trabalhos em grupo e arquivos individuais.
Acessos: ferramenta que permite elaborar vários tipos de relatórios da participação dos alunos no treinamento.
2.4 O conteúdo das aulas
Aula 1: aborda alguns conceitos utilizados no jargão da Segurança da Informação como incidentes de segurança, vulnerabilidades além de listar algumas medidas de proteção. No fórum dessa aula é solicitado ao aluno identificar possíveis falhas de segurança (física, hardware, software ou comunicação) em seu ambiente de trabalho.
Aula 2: explana o conceito de vírus, trojan e worm, formas de contaminação e sintomas. No fórum correspondente é solicitado ao aluno comentar alguma experiência com vírus em casa ou no trabalho.
Aula 3: expõe vários métodos sobre como os códigos maliciosos podem ser evitados desde a segurança física do equipamento, passando por senhas até medidas de prevenção. No fórum dessa aula é solicitado ao aluno escrever sobre as dificuldades na escolha, compra e atualização de software antivírus em casa ou no trabalho.
Aula 4: explica o funcionamento dos softwares antivírus, técnicas de assinatura e heurística. No fórum correspondente é solicitado ao aluno comentar alguma notícia recente sobre vírus.
Aula 5: apresenta o termo spam e formas de combatê-lo. No fórum o aluno é indagado sobre os prejuízos causados pelo spam.
Aula 6: mostra os hoaxes e suas implicações. Ao aluno é solicitado discutir no fórum a relação entre spam e hoax.
Aula 7: exibe o conceito de firewall e aponta alguns softwares disponíveis no mercado. No fórum o aluno deve comentar algum caso de invasão que tenha conhecimento pela mídia ou alguma experiência pessoal.
Aula 8: aborda os conceitos de spyware e adware e seus prejuízos para os usuários. O aluno deve comentar no fórum sobre a diferença entre vírus e spyware.
Aula 9: explana a importância das atualizações de software para a segurança do usuário. No fórum correspondente o aluno deverá discutir porque a instalação das atualizações de software torna o computador menos vulnerável a atividades mal-intencionadas.
Aula 10: explica como funciona a criptografia. No fórum o aluno deve discutir se as chaves de criptografia são totalmente seguras.
Aula 11: discute a importância do backup para a prevenção de perdas de dados e relaciona alguns softwares e mídias que podem ser utilizados. No fórum, o aluno deverá comentar sua prática no dia-a-dia.
Aula 12: aborda fundamentos sobre certificação digital e seu emprego tanto por empresas quanto por órgãos do governo. Ao aluno é solicitado no fórum comentar sobre a aplicação prática dos certificados digitais.
2.5 A avaliação
O certificado de 20 horas foi emitido para os alunos que participaram de no mínimo 75% das atividades previstas. Foram utilizados os seguintes critérios de avaliação:
fórum de discussão: a cada aula o aluno deveria enviar pelo menos uma contribuição pertinente ao assunto ao fórum apropriado
participação no chat: o aluno deveria comparecer e fazer pelo menos uma intervenção
trabalho em grupo: o grupo deveria postar uma apresentação sobre qualquer um dos temas abordados no treinamento
3. Resultados e Discussão
A Tabela 1 mostra as unidades com maior número de inscritos no treinamento.
Entidade - N° Inscritos
PCARP - 50
FFCLRP - 49
CCE - 26
EERP - 22
IAG - 21
FMRP - 21
Não identificada - 18
IFSC - 17
FO - 15
IP - 15
FE - 14
IME - 14
FZEA - 12
FORP - 12
FAU - 11
USP Leste - 11
INCOR - 10
Tabela 1 – Entidades com maior número de inscrições
A Tabela 2 mostra a distribuição dos inscritos por entidades (unidades da USP ou outras organizações da comunidade) em ordem alfabética. Houve interesse de usuários de todos os campi da USP e de algumas entidades externas.
Entidade - N° Inscritos
CCE - 26
CCS - 4
CEBIMar - 2
CECAE - 1
CEPEUSP - 1
CIAGRI - 1
CIRP - 8
CISC - 3
COSEAS - 1
CTI - 1
EA - 3
ECA - 3
EE - 3
EERP - 22
EESC - 2
EP - 5
FAMB - 1
FAU - 11
FCF - 4
FCFRP - 5
FE - 14
FEA - 7
FEARP - 8
FFCLRP - 49
FFLCH - 1
FM - 1
FMRP - 21
FO - 15
FOB - 6
FORP - 12
FSP - 2
FUNDACE - 1
FZEA - 12
HRAC - 1
IAG - 21
IB - 3
ICB - 2
ICMC - 5
IEE - 1
IF - 7
IFSC - 17
IGC - 7
IME - 14
INCOR - 10
IP - 15
IQ - 9
IQSC - 1
MAC - 2
Não identificada - 18
PCAB - 1
PCARP - 50
PEA - 1
RUSP - 3
SIBI - 4
SISUSP - 1
STI - 1
UFU - 1
Usina Albertina - 1
USP Leste - 11
Total de Inscritos - 463
Tabela 2 – Usuários inscritos
A Tabela 3 exibe as entidades com maior número de aprovados no treinamento e o percentual relativo ao número de inscritos.
Entidade Aprovados Inscritos % Aprovados
PCARP 26 50 52,0
FFCLRP 19 49 38,8
CCE 12 26 46,2
IAG 10 21 47,6
IFSC 10 17 58,8
Tabela 3 – Entidades com maior número de aprovados
Em seguida, a Tabela 4 exibe a quantidade de aprovados por entidade. Alunos de 40 entidades da USP e três da comunidade concluíram o treinamento com êxito
Entidade Aprovados
CCE 12
CEBIMAR 1
CIRP 4
CISC 1
ECA 1
EERP 8
EESC 2
EP 1
FAU 1
FCFRP 3
FE 7
FEA 1
FEARP 5
FFCLRP 19
FMRP 6
FO 6
FOB 6
FORP 8
FUNDAP 1
FZEA 8
IAG 10
IB 2
ICB 1
ICMC 3
IEE 1
IF 6
IFSC 10
IGC 5
IME 5
INCOR 2
IP 9
IQ 4
IQSC 1
MAC 1
Não identificada 4
Observatório de Valinhos 1
PCARP 26
PEA 1
RUSP 1
SISUSP 1
UFU (Universidade Federal de Uberlândia) 1
Usina Albertina (Região de Ribeirão Preto) 1
USP Leste 4
Total de Aprovados 201
Tabela 4 – Usuários aprovados
Ao longo de dois anos foram disponibilizadas 550 vagas em 11 turmas. Inscreveram-se 463 usuários através de um formulário na página do CIRP. Considerando-se as altas taxas de evasão em treinamentos à distância, a conclusão satisfatória por 43,4% desses alunos, indica que o treinamento foi bem recebido pelo público atingido. Não pudemos avaliar se após o treinamento, diminuiu o número de ocorrências de suporte aos usuários que participaram do treinamento, relacionadas à segurança.
Referências
(1) Estatísticas dos Incidentes Reportados ao CERT.br, disponível em http://www.cert.br/stats/incidentes/, acesso em 28/10/2006.
Agradecimentos
À Cláudia Helena Bianchi Lencioni, diretora e companheira de trabalho, pelo incentivo às nossas iniciativas. Aos colegas que participaram do treinamento como convidados no chat e aos alunos pela grande contribuição e reconhecimento do nosso esforço.
Clélia CAMARGO CARDOSO*
*Centro de Informática de Ribeirão Preto, USP. Ribeirão Preto (SP), (16) 3602-3583, clelia@cirp.usp.br
Resumo
Desde 2004 o CIRP (Centro de Informática de Ribeirão Preto, USP) vem oferecendo treinamento à distância de Segurança da Informação para usuários finais de Informática. A idéia surgiu em vista da necessidade de sensibilizar o usuário para a adoção de práticas corretas no uso do computador e da Internet, que o protejam da ação de códigos maliciosos e outros agentes fraudulentos, reforçando a segurança da rede local e da instituição.
Palavras-Chave: Segurança da Informação, Treinamento a Distância de Usuários
1. Introdução
O oferecimento de serviços na Internet tem se expandido muito rapidamente, bancos, órgãos do governo e empresas de atividades diversas implementam a cada dia novas facilidades de acesso pela rede aos seus clientes. Ao mesmo tempo, cresce o número de delitos cometidos utilizando a WEB. Em 2006 foram 69.509 incidentes reportados ao CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil) (1).
Recursos e procedimentos que impeçam ações fraudulentas de qualquer natureza ocupam grande parte do tempo e da energia dos profissionais de TI (Tecnologia da Informação).
Apesar de todos os esforços, existe um gap entre a prática do usuário final e os resultados que se buscam alcançar com a implantação de políticas de segurança.
O Treinamento de Segurança para Usuários de Informática Utilizando Ferramenta EaD (Educação a Distância) desenvolvido pelo CIRP desde 2004, teve sua origem na necessidade de informar usuários que utilizam a Informática como ferramenta de trabalho, sobre os riscos e as práticas recomendáveis na utilização do computador no dia-a-dia. O público alvo inicial era de alunos, docentes e funcionários do campus da USP de Ribeirão Preto. Posteriormente o treinamento foi estendido aos usuários de todos os campi e na última turma, foi aberto à participação da comunidade externa.
A dificuldade em se montar turmas presenciais, a facilidade para disseminar um conteúdo que muda muito rapidamente e a acessibilidade fortaleceram a idéia de um treinamento a distância que tratasse de assuntos presentes no cotidiano. Vírus, trojan, worm, spyware, spam entre outros, são tratados no treinamento com uma linguagem inteligível ao usuário final.Utilizou-se a plataforma WebCT durante o ano de 2004, substituída pelo TelEduc, adotada pelo CIRP em janeiro de 2005.
Foram utilizadas ferramentas síncronas e assíncronas de modo que o usuário tivesse acesso ao conteúdo e a oportunidade de discutir suas dúvidas, inclusive em uma sessão de chat com especialistas em TI. Foram propostas avaliações que permitissem ao aluno refletir sobre a sua rotina e ao instrutor aferir a aprendizagem.
O resultado se mostrou surpreendente, em vista dos altos índices de evasão de cursos à distância. Dos 463 usuários inscritos em 11 turmas ao longo de dois anos, 201 usuários concluíram o treinamento com êxito. Oriundos de quase todos os campi da USP, com as ocupações mais variadas (alunos, docentes, técnicos e auxiliares). O treinamento contou também com participantes da comunidade.
2. Materiais e Métodos
2.1 Formato do treinamento
O treinamento foi dividido em 12 aulas abordando vários temas relacionados à Segurança da Informação. A cada dia foi apresentado ao aluno um texto em arquivo html ou pdf com o conteúdo do tema abordado, que deveria ser lido e posteriormente debatido no respectivo fórum de discussão. A cada turma foi agendado um chat com a presença de especialistas em TI que responderam dúvidas dos alunos.
A interação entre os participantes se deu através do Perfil, ferramenta do TelEduc que permite editar informações pessoais e anexar foto. Os alunos também puderam postar mensagens de acesso comum a todos além de enviar emails internos. As instruções sobre o funcionamento do treinamento e avaliações foram colocadas na ferramenta Dinâmica do Curso. Uma agenda exibe toda a programação prevista para o treinamento. As participações no fórum, no chat e um trabalho em grupo, enviado ao término do treinamento compõem a avaliação que permitirá a emissão do certificado de participação.
2.2 A plataforma
A plataforma utilizada inicialmente foi o WebCT, atualmente denominado Blackboard Learning System. No início de 2005, o CIRP adotou o TelEduc, ambiente para EaD desenvolvido pela Unicamp.
2.3 Ferramentas do ambiente TelEduc utilizadas no treinamento
Dinâmica de Grupo: texto que contem orientações relacionadas ao desenvolvimento do treinamento e também sobre as avaliações.
Agenda: texto que contém a programação do treinamento com as datas das aulas e do chat dos alunos com convidados especialistas em TI.
Avaliações: contém dados sobre todas as avaliações do treinamento e um link para as notas dos participantes em cada avaliação.
Atividades: contém uma relação das atividades programadas com a descrição do trabalho, prazo de entrega e valor da avaliação
Material de Apoio: pode conter textos e/ou links, foi utilizado para apresentar um texto com a bibliografia utilizada no treinamento e organizar links de interesse dos alunos. Muitos desses links foram sugeridos pelos próprios alunos ao longo do treinamento.
Leitura: contém 12 links para arquivos html ou pdf com o conteúdo das aulas do treinamento.
Fórum de discussão: a cada aula foi elaborada uma questão para ser discutida pelos alunos no respectivo fórum. Pelo menos uma contribuição deveria ser remetida.
Bate-papo: em cada turma foi realizada uma sessão de chat com os alunos e convidados especialistas na área de TI para responder dúvidas.
Grupos: foi utilizada para a organização de grupos entre os alunos para a realização de uma apresentação sobre um dos temas abordados no treinamento a fim de complementar a avaliação. Os participantes deveriam ao final do treinamento postar um arquivo na pasta do grupo, compartilhando-o com os alunos e o instrutor.
Correio: foi utilizada para comunicação entre instrutor e alunos para sanar dúvidas específicas e entre os próprios alunos para comunicações que não caberiam no fórum.
Perfil: local onde ficam disponíveis as informações editadas pelo aluno, bem como a foto da pessoa, permitindo uma interação maior entre os participantes oriundos de lugares distintos.
Portfólio: ferramenta utilizada para os alunos postarem os trabalhos em grupo e arquivos individuais.
Acessos: ferramenta que permite elaborar vários tipos de relatórios da participação dos alunos no treinamento.
2.4 O conteúdo das aulas
Aula 1: aborda alguns conceitos utilizados no jargão da Segurança da Informação como incidentes de segurança, vulnerabilidades além de listar algumas medidas de proteção. No fórum dessa aula é solicitado ao aluno identificar possíveis falhas de segurança (física, hardware, software ou comunicação) em seu ambiente de trabalho.
Aula 2: explana o conceito de vírus, trojan e worm, formas de contaminação e sintomas. No fórum correspondente é solicitado ao aluno comentar alguma experiência com vírus em casa ou no trabalho.
Aula 3: expõe vários métodos sobre como os códigos maliciosos podem ser evitados desde a segurança física do equipamento, passando por senhas até medidas de prevenção. No fórum dessa aula é solicitado ao aluno escrever sobre as dificuldades na escolha, compra e atualização de software antivírus em casa ou no trabalho.
Aula 4: explica o funcionamento dos softwares antivírus, técnicas de assinatura e heurística. No fórum correspondente é solicitado ao aluno comentar alguma notícia recente sobre vírus.
Aula 5: apresenta o termo spam e formas de combatê-lo. No fórum o aluno é indagado sobre os prejuízos causados pelo spam.
Aula 6: mostra os hoaxes e suas implicações. Ao aluno é solicitado discutir no fórum a relação entre spam e hoax.
Aula 7: exibe o conceito de firewall e aponta alguns softwares disponíveis no mercado. No fórum o aluno deve comentar algum caso de invasão que tenha conhecimento pela mídia ou alguma experiência pessoal.
Aula 8: aborda os conceitos de spyware e adware e seus prejuízos para os usuários. O aluno deve comentar no fórum sobre a diferença entre vírus e spyware.
Aula 9: explana a importância das atualizações de software para a segurança do usuário. No fórum correspondente o aluno deverá discutir porque a instalação das atualizações de software torna o computador menos vulnerável a atividades mal-intencionadas.
Aula 10: explica como funciona a criptografia. No fórum o aluno deve discutir se as chaves de criptografia são totalmente seguras.
Aula 11: discute a importância do backup para a prevenção de perdas de dados e relaciona alguns softwares e mídias que podem ser utilizados. No fórum, o aluno deverá comentar sua prática no dia-a-dia.
Aula 12: aborda fundamentos sobre certificação digital e seu emprego tanto por empresas quanto por órgãos do governo. Ao aluno é solicitado no fórum comentar sobre a aplicação prática dos certificados digitais.
2.5 A avaliação
O certificado de 20 horas foi emitido para os alunos que participaram de no mínimo 75% das atividades previstas. Foram utilizados os seguintes critérios de avaliação:
fórum de discussão: a cada aula o aluno deveria enviar pelo menos uma contribuição pertinente ao assunto ao fórum apropriado
participação no chat: o aluno deveria comparecer e fazer pelo menos uma intervenção
trabalho em grupo: o grupo deveria postar uma apresentação sobre qualquer um dos temas abordados no treinamento
3. Resultados e Discussão
A Tabela 1 mostra as unidades com maior número de inscritos no treinamento.
Entidade - N° Inscritos
PCARP - 50
FFCLRP - 49
CCE - 26
EERP - 22
IAG - 21
FMRP - 21
Não identificada - 18
IFSC - 17
FO - 15
IP - 15
FE - 14
IME - 14
FZEA - 12
FORP - 12
FAU - 11
USP Leste - 11
INCOR - 10
Tabela 1 – Entidades com maior número de inscrições
A Tabela 2 mostra a distribuição dos inscritos por entidades (unidades da USP ou outras organizações da comunidade) em ordem alfabética. Houve interesse de usuários de todos os campi da USP e de algumas entidades externas.
Entidade - N° Inscritos
CCE - 26
CCS - 4
CEBIMar - 2
CECAE - 1
CEPEUSP - 1
CIAGRI - 1
CIRP - 8
CISC - 3
COSEAS - 1
CTI - 1
EA - 3
ECA - 3
EE - 3
EERP - 22
EESC - 2
EP - 5
FAMB - 1
FAU - 11
FCF - 4
FCFRP - 5
FE - 14
FEA - 7
FEARP - 8
FFCLRP - 49
FFLCH - 1
FM - 1
FMRP - 21
FO - 15
FOB - 6
FORP - 12
FSP - 2
FUNDACE - 1
FZEA - 12
HRAC - 1
IAG - 21
IB - 3
ICB - 2
ICMC - 5
IEE - 1
IF - 7
IFSC - 17
IGC - 7
IME - 14
INCOR - 10
IP - 15
IQ - 9
IQSC - 1
MAC - 2
Não identificada - 18
PCAB - 1
PCARP - 50
PEA - 1
RUSP - 3
SIBI - 4
SISUSP - 1
STI - 1
UFU - 1
Usina Albertina - 1
USP Leste - 11
Total de Inscritos - 463
Tabela 2 – Usuários inscritos
A Tabela 3 exibe as entidades com maior número de aprovados no treinamento e o percentual relativo ao número de inscritos.
Entidade Aprovados Inscritos % Aprovados
PCARP 26 50 52,0
FFCLRP 19 49 38,8
CCE 12 26 46,2
IAG 10 21 47,6
IFSC 10 17 58,8
Tabela 3 – Entidades com maior número de aprovados
Em seguida, a Tabela 4 exibe a quantidade de aprovados por entidade. Alunos de 40 entidades da USP e três da comunidade concluíram o treinamento com êxito
Entidade Aprovados
CCE 12
CEBIMAR 1
CIRP 4
CISC 1
ECA 1
EERP 8
EESC 2
EP 1
FAU 1
FCFRP 3
FE 7
FEA 1
FEARP 5
FFCLRP 19
FMRP 6
FO 6
FOB 6
FORP 8
FUNDAP 1
FZEA 8
IAG 10
IB 2
ICB 1
ICMC 3
IEE 1
IF 6
IFSC 10
IGC 5
IME 5
INCOR 2
IP 9
IQ 4
IQSC 1
MAC 1
Não identificada 4
Observatório de Valinhos 1
PCARP 26
PEA 1
RUSP 1
SISUSP 1
UFU (Universidade Federal de Uberlândia) 1
Usina Albertina (Região de Ribeirão Preto) 1
USP Leste 4
Total de Aprovados 201
Tabela 4 – Usuários aprovados
Ao longo de dois anos foram disponibilizadas 550 vagas em 11 turmas. Inscreveram-se 463 usuários através de um formulário na página do CIRP. Considerando-se as altas taxas de evasão em treinamentos à distância, a conclusão satisfatória por 43,4% desses alunos, indica que o treinamento foi bem recebido pelo público atingido. Não pudemos avaliar se após o treinamento, diminuiu o número de ocorrências de suporte aos usuários que participaram do treinamento, relacionadas à segurança.
Referências
(1) Estatísticas dos Incidentes Reportados ao CERT.br, disponível em http://www.cert.br/stats/incidentes/, acesso em 28/10/2006.
Agradecimentos
À Cláudia Helena Bianchi Lencioni, diretora e companheira de trabalho, pelo incentivo às nossas iniciativas. Aos colegas que participaram do treinamento como convidados no chat e aos alunos pela grande contribuição e reconhecimento do nosso esforço.
Assinar:
Postagens (Atom)
