Curso Técnico de Informática Disciplina: Segurança da Informação

Curso Técnico de Informática
Disciplina: Segurança da Informação
Professor: Flávio Barboas
www.fbdesenvolvimento.eti.br
ESTUDO DE CASO 01: ESTÚDIO APAGOU TOY STORY 2 POR ACIDENTE EM 1998
O filme Toy Story 2, lançado em 1999 pela Pixar quase
desapareceu antes de ser finalizado - e que a culpa é de uma única e
simples linha de código.
No livro Creativity Inc., o cofundador do estúdio, Ed Catmull,
narra que o projeto foi problemático desde o início: o desenvolvimento
andava travado em termos de criatividade, o longa-metragem nem
estrearia nos cinemas (seria lançado direto em VHS e DVD) e o diretor
John Lasseter ficou exausto em ter que montar esse filme depois de
projetos intensos, como o primeiro "Toy Story" e "Vida de Inseto".
Em um dia de 1998 um funcionário não revelado colocou a
seguinte linha de comando nos drives em que os arquivos do filme
estavam armazenados:
/bin/rm -r -f *
Em resumo, o código significa remover rapidamente e de forma eficiente tudo de uma
determinada localização. Foi o que aconteceu: cenários, modelos de personagens, sequências inteiras
já montadas, tudo foi perdido. Um dos diretores técnicos que estava na Pixar quando isso aconteceu
viu o processo ser feito na tela e até pediu ao suporte técnico para cortar a energia, mas já era tarde
demais.
Assim, cerca de 90% do filme havia sido completamente deletado. Para piorar a situação, o
backup do sistema falhou e a Pixar não mantinha uma terceira cópia do projeto no sistema - ainda
mais um que não era exatamente uma prioridade.
O projeto estava completamente perdido e mais de um ano seria necessário para refazer tudo
do zero e chegar ao ponto em que a equipe havia parado. Isso sem contar as perdas financeiras e o
abalo psicológico dos funcionários, claro.
O projeto foi salvo, mesmo que indiretamente, por uma criança. Acontece que a supervisora
de direção técnica do filme, Galyn Susman, havia acabado de dar à luz o segundo filho e não estava
disposta a parar de trabalhar. Para cuidar do bebê e programar ao mesmo tempo, ela começou um
regime de "home office" que envolvia fazer uma cópia do projeto no escritório e levá-lo à residência
ao menos uma vez por semana.
Ou seja, acidentalmente, ela era a dona da única cópia que sobrou de Toy Story 2. O
computador de Galyn foi protegido em cobertores e transportado de carro para o escritório da Pixar,
onde cuidadosamente teve os arquivos copiados. É claro que o backup dela não era completo, mas os
danos "foram reduzidos significativamente", segundo Catmull.
Com muita pressa, a equipe conseguiu entregar o filme no prazo. Toy Story 2 foi um sucesso
de crítica e bilheteria, consolidando a franquia e abrindo espaço para o terceiro longa-metragem, que
foi ainda mais celebrado. Hoje muito maior e mais famosa, a Pixar garante que realiza mais cópias
de seus trabalhos - e que criou mecanismos de segurança para evitar que todo o trabalho seja perdido
por causa de poucas teclas.
Adaptação da reportagem: Como Toy Story 2 quase foi deletado para sempre por causa de um
comando. Autor: Nilton Kleina. Disponível em: http://www.tecmundo.com.br/cinema/81458-toystory-2-deletado-sempre-causa-comando.htm. Acessado em 20/08/15 às 11:00.
ESTUDO DE CASO 2: EX-FUNCIONÁRIO DA MICROSOFT É PRESO POR VAZAR
INFORMAÇÕES
Um ex-funcionário da Microsoft foi preso e acusado de vazar
cópias sigilosas do Windows 8 e Windows 7 para um blogueiro.
Segundo o jornal Seattle PI, o arquiteto de software Alex Kibkalo
foi acusado de roubar informações sigilosas e vazar cópias beta
confidenciais do Windows 8 para um blogueiro de tecnologia francês que
não teve o nome divulgado.
Kibkalo foi motivado a vazar os dados do software depois de uma péssima avaliação de
performance dele na Microsoft.
Os detalhes e cópias do Windows 7 e Windows 8 vazaram durante o desenvolvimento do
software, além disso o blogueiro francês utilizava um apelido para proteger sua identidade.
Além das cópias que foram amplamente compartilhadas e vazadas, Kibkalo também é acusado
de roubar um kit de desenvolvimento para ativação do software da empresa, programa utilizado para
proteção contra pirataria.
O blogueiro francês compartilhou esse kit online, permitindo que outras pessoas burlassem o
sistema de ativação utilizado pelos programas Microsoft Office e Windows.
A Microsoft conseguiu identificar o funcionário, após o próprio blogueiro francês ter
contatado outro funcionário da empresa por e-mail. Kibkalo foi preso na tarde de ontem (19) após um
ano de investigações.
Reportagem disponível no site da Info, no link: http://info.abril.com.br/noticias/tecnologiapessoal/2014/03/ex-funcionario-da-microsoft-e-preso-por-vazar-informacoes.shtml. Autor: Monica
Campi.
ESTUDO DE CASO 3: HACKER INVADE BANCO DE DADOS DE EMPRESA DE
SEGURANÇA DIGITAL
Um hacker obteve acesso a um banco de dados da Barracuda Networks e conseguiu nomes e
endereços de e-mail de alguns dos empregados da empresa de segurança, de parceiros de canais e de
vendas.
O hacker, publicou na web provas de seu ataque, exibindo endereços de e-mail e nomes de
empregados da companhia; e nome, e-mail, empresa e número de telefone de profissionais de vendas
registrados pelos canais.
O ataque teve início na noite de sábado e foi disparado num momento em que a aplicação web
firewall da Barracuda, que supostamente protegeria o site, estava offline ou em manutenção.
Depois de algumas horas de prospecção, o hacker encontrou uma falha de injeção de SQL –
um erro comum de programação – em um script usado para mostrar estudos de caso de clientes. Este
único erro o levou a um banco de dados que a empresa usa em seu programa de marketing e
desenvolvimento de canais de venda.
A Barracuda informou que não armazena informações financeiras neste banco de dados. O
hacker não explicou muito sobre o ataque – escreveu apenas que utilizou a técnica de SQL injection
e deixou saudações a alguns de seus amigos e a “todos os hackers da Malásia”. A notícia sobre o
incidente foi divulgada inicialmente pelo site The Register.
Outro site vítima de ataque SQL Injection, foi o site do Mysql em 2011. Em mais um exemplo
de como o ditado “casa de ferreiro, espeto de pau” é verdadeiro. O ataque não só foi bem-sucedido,
como os crackers também acessaram e roubaram diversas informações cruciais.
Ataques de SQL Injection normalmente acontecem em sistemas amadores, onde os
desenvolvedores (por desconhecimento ou desatenção) não otimizam os códigos fontes de chamadas
ao banco de dados, impedindo a inclusão de comandos SQL via adição de código extra.
Sem este tratamento, por exemplo, um simples:
SELECT * FROM 'clientes' WHERE 'id'=1
Pode virar um pesadelo simplesmente adicionando um comando extra, através de chamadas
GET ou POST:
SELECT * FROM 'clientes' WHERE 'id'=1;DROP TABLE 'usuarios';
Onde o segundo comando apagaria toda a tabela “usuarios”.
E é exatamente essa falha que foi explorada no site oficial do MySQL, por incrível que pareça.
Da invasão, foram obtidas listas de usuários, com seus e-mails e suas respectivas senhas
criptografadas. Tais listas já foram divulgadas pela internet, e algumas até mesmo já foram quebradas,
revelando dados curiosos: um diretor do MySQL tinha uma senha com apenas 4 (quatro) caracteres!
A recomendação dos responsáveis pelo site é que, se você tiver uma conta no mysql.com (ou
nos espelhos mysql.fr, mysql.de e mysql.it), que acesse o quanto antes e altere a senha atual. Se essa
senha for comum para contas em outros sites, faça o mesmo nesses serviços.
Referencias:
GRAVEHEART, Paulo. Site oficial do MySQL é invadido usando SQL Injection.
Disponível em https://tecnoblog.net/60547/site-oficial-do-mysql-e-invadido-usando-sql-injection/.
Acessado em 20/08/15 às 12:00.
Hacker invade banco de dados de empresa de segurança digital. Disponível em:
http://idgnow.com.br/seguranca/2011/04/12/hacker-invade-banco-de-dados-de-empresa-deseguranca-digital Acessado em 20/08/15 às 11:30.
ESTUDO DE CASO 4: ESTUDANTES DA UFU SERÃO INDICIADOS POR INVADIR
SISTEMA E ALTERAR NOTAS
Um grupo de sete estudantes da Universidade Federal de Uberlândia (UFU) é investigado sob
a suspeita de invadir o sistema interno da instituição para alterar notas. Segundo as informações da
Polícia Federal (PF), quatro dos suspeitos iriam completar o tempo limite da graduação e não
poderiam mais continuar no curso caso não concluíssem as disciplinas neste ano.
Os universitários têm entre 20 a 25 anos e são dos cursos de Educação Física, Ciência da
Computação, Direito e Engenharia Elétrica. Eles foram ouvidos, confessaram o crime e foram
liberados. A UFU informou que medidas administrativas serão tomadas e que poderá haver
advertência e expulsão.
De acordo com o delegado-chefe da PF, Carlos Henrique Cotta D'Ângelo, as investigações
duraram cerca de dois meses após a instituição desconfiar da fraude. Nesta terça-feira (2), foram
cumpridos seis mandados de busca e apreensão e seis mandados de condução coercitiva em
Uberlândia e Uberaba. “Eles foram interrogados e revelaram como era feita a fraude. Um deles
admitiu que era quem fazia a alteração de notas para os demais, sem pedir nada em troca”, contou.
A polícia identificou que os suspeitos são amigos. O estudante do curso de Ciência da
Computação descobriu uma brecha no sistema e há cerca de um ano estava fraudando as notas.
Conforme informou o delegado-chefe, o computador pessoal dele foi apreendido para auxiliar a
polícia nas investigações.
Um dos estudantes chegou a alterar 14 notas. Entre elas, o estudante de Direito modificou a
da disciplina de Ética Geral. O delegado informou, ainda, que a falha no sistema já foi detectada e
corrigida pela instituição. “Em posse do material levantado pela polícia, a UFU provavelmente deve
promover um processo administrativo que pode culminar na expulsão dos alunos”.
Depois de serem ouvidos na presença de uma advogada, o grupo foi liberado e será indiciado
pelos crimes de invasão de sistemas informatizados e formação de quadrilha, cuja pena pode chegar
até quatro anos de prisão.
Reportagem retirada disponível no site do G1 no link: http://g1.globo.com/minasgerais/triangulo-mineiro/noticia/2015/06/estudantes-da-ufu-serao-indiciados-por-invadir-sistema-ealterar-notas.html
ATIVIDADES:
Após analisar os estudos de caso apresentados acima, faça as questões 01 e 02.
QUESTÃO 1: Descreva quais pilares de informações foram abordados em cada estudo de
caso. Caso tenha ocorrido quebra de algum dos três princípios da segurança da informação, informe
qual(quais) foi quebrado e como se deu a quebra. Os pilares da informação são: Integridade,
disponibilidade, confidencialidade, autenticidade, confiabilidade, não repúdio e responsabilidade.
QUESTÃO 2: Qual (quais) origem de vulnerabilidades, foram explorados em cada estudo de
caso?
As origens das vulnerabilidades são: Naturais, organizacionais, físicas, hardware, software,
meios de armazenamento, humanas e comunicações.