Major changes and lots of clarifications (#25404)
The original text had misconceptions and mistakes (specially regarding the term "hacking"). i fixed them and added a link to clarify the difference between information security and cybersecurity. Plus, a fixed the Medium link reference, that was completely badly written.pull/25400/head^2
parent
eb2ef18905
commit
4268d58428
|
@ -4,18 +4,22 @@ localeTitle: Segurança
|
|||
---
|
||||
## Segurança
|
||||
|
||||
A Segurança da Informação (também chamada de "infosec" ou apenas "segurança") lida com a proteção e invasão de sistemas.
|
||||
A Segurança da Informação (também chamada de "infosec" ou apenas "segurança") lida com a proteção da informação, o ativo mais importante para qualquer empresa. E isto acontece em diversas esferas, não apenas no mundo digital. Portanto, uma confusão bastante comum é feita com Ciber Segurança (ou Cyber Security), que corresponde ao conjunto de técnicas de defesa para proteger sistemas de processamento e armazenamento digital de informação. A Segurança da Informação está muito mais relacionada com metodologias, normas e procedimentos de proteção da informação.
|
||||
|
||||
Este é um espaço particularmente importante no momento, após as principais violações, como a [violação Equifax 2017](https://medium.freecodecamp.org/the-equifax-hack-and-how-to-protect-your-family-all-explained-in-5-minutes-a2b5187cb6c0) .
|
||||
Para facilitar a compreensão, vamos citar um exemplo de aplicação de cada uma:
|
||||
* **Ciber Segurança**: através do uso de um _web application firewall_, proteger os servidores _web_ internos, de maneira a evitar a exploração de possíveis vulnerabilidades ou mesmo o uso de técnicas de invasão contra os mesmos;
|
||||
* **Segurança da Informação**: criar uma política interna de proteção da informação, ressaltando a importância de evitar conversas em elevadores, conservar mesa de trabalho limpa (sem o acúmulo de documentos com dados confidenciais ou de clientes), troca periódica de senhas de acesso aos sistemas.
|
||||
|
||||
Profissionais de segurança da informação são freqüentemente chamados de "pesquisadores de segurança", embora eles também sejam freqüentemente chamados de "hackers" para invadir sistemas.
|
||||
Um bom artigo para perceber a diferença entre ambos os termos foi escrito por Miguel Mendoza e está [disponível aqui](https://www.welivesecurity.com/br/2017/01/17/ciberseguranca-ou-seguranca-da-informacao/ "Diferenças entre Segurança da Informação e Ciber Segurança").
|
||||
|
||||
Existem "hackers de chapéu branco" (hackers éticos) que tentam descobrir novas vulnerabilidades e chamar a atenção das pessoas que mantêm esses sistemas, o que é chamado de "divulgação ética". Eles geralmente fazem isso por prestígio no campo, ou por "recompensas de bugs" que as empresas reservam para compensar as pessoas por ajudá-las a descobrir vulnerabilidades.
|
||||
Profissionais de segurança da informação são freqüentemente chamados de "pesquisadores de segurança". Todo aquele que tem interesse em pesquisar o funcionamento de um sistema operacional, protocolo ou aplicação, incluindo seus detalhes de segurança, pode ser chamado **"hacker"**. Apesar de algumas fontes ligarem este nome a um comportamento ilícito ou criminoso, nem todo hacker tem este propósito.
|
||||
|
||||
Em um interessante hack no Parity (no blockchain da Ethereum), "white hack hackers" exploraram uma vulnerabilidade e drenaram todas as carteiras de dinheiro antes que um verdadeiro hacker pudesse explorar a mesma vulnerabilidade (sem devolver fundos): https: //medium.freecodecamp .org / a-hacker-stole-31m-de-ether-como-aconteceu-e-o-que-significa-ethereum-9e5dc29e33ce. Isso levou a uma perda de US $ 31 milhões, em vez de uma perda de mais de US $ 180 milhões.
|
||||
Existem "hackers white hat" (hackers éticos), que tentam descobrir novas vulnerabilidades em sistemas, e divulgá-las a pessoas ou empresas que mantêm esses sistemas, o que é chamado de "divulgação ética". Eles geralmente fazem isso por prestígio no campo, ou por "recompensas de bugs" que as empresas reservam para compensar as pessoas por ajudá-las a descobrir vulnerabilidades.
|
||||
|
||||
Há também "hackers black hat" que não divulgam as vulnerabilidades descobertas e, ao invés disso, os utilizam para criar exploits para atacar sistemas de pessoas, ou vender os exploits para o maior lance. Eles costumam fazer isso para roubar dados que podem ser resgatados ou apenas liberados para causar caos.
|
||||
Em um interessante hack no Parity (no blockchain da Ethereum), "white hack hackers" exploraram uma vulnerabilidade e drenaram todas as carteiras de dinheiro antes que um verdadeiro hacker pudesse explorar a mesma vulnerabilidade (sem devolver fundos). A matéria pode ser encontrada [aqui](https://medium.freecodecamp.org/a-hacker-stole-31m-of-ether-how-it-happened-and-what-it-means-for-ethereum-9e5dc29e33ce). Isso levou a uma perda de US$ 31 milhões, evitando uma possível maior de mais de US$ 180 milhões.
|
||||
|
||||
Há também "hackers black hat" (criminosos digitais), que não divulgam as vulnerabilidades descobertas e, ao invés disso, as usam para criar exploits (ou seja, códigos para explorar vulnerabilidades presentes), e invadir sistemas alheios. Alguns exploits são vendidos, outros são simplesmente disponibilizados gratuitamente na Internt. Alguns criminosos se ocupam em roubar dados, com o propósito de posteriormente solicitar resgate financeiro (normalmente em moeda virtual). Outros geram tráfegos massivamente grandes com o intuito de tirar do ar um ou mais sistemas, usando uma técnica conhecida como DDoS (Ataque Distribuído de Negação de Serviço).
|
||||
|
||||
Os pesquisadores de segurança usam uma grande variedade de métodos e ferramentas, que são discutidos nesta seção.
|
||||
|
||||
Embora o hacking seja uma ameaça fundamental para proteger aplicativos, ele não é o único. Os desenvolvedores de aplicativos precisam equilibrar a experiência do usuário com os recursos de segurança. Alguns cyber breches são auto-infligidos devido a configurações de segurança complexas ou difíceis de entender. Quais recursos de segurança devem ser definidos por padrão? Quais recursos devem ser sem aparência e quais devem exigir o consentimento explícito do usuário?
|
||||
Os desenvolvedores de aplicativos precisam equilibrar a experiência do usuário com os recursos de segurança. Algumas brechas podem ser auto-infligidas devido a configurações de segurança complexas ou difíceis de entender. Quais recursos de segurança devem ser definidos por padrão? Quais recursos devem ser sem transparentes e quais devem exigir o consentimento explícito do usuário? Estas são algumas perguntas que podem não ter respostas simples ou diretas, mas que precisam definitivamente serem respondidas antes de lançar qualquer produto digital.
|
||||
|
|
Loading…
Reference in New Issue