From 4268d58428297e71f9717c4d7ab231907ca09559 Mon Sep 17 00:00:00 2001 From: =?UTF-8?q?Maur=C3=ADcio=20Harley?= Date: Thu, 15 Aug 2019 00:56:20 +0200 Subject: [PATCH] Major changes and lots of clarifications (#25404) The original text had misconceptions and mistakes (specially regarding the term "hacking"). i fixed them and added a link to clarify the difference between information security and cybersecurity. Plus, a fixed the Medium link reference, that was completely badly written. --- guide/portuguese/security/index.md | 18 +++++++++++------- 1 file changed, 11 insertions(+), 7 deletions(-) diff --git a/guide/portuguese/security/index.md b/guide/portuguese/security/index.md index caee45482b3..3037328a347 100644 --- a/guide/portuguese/security/index.md +++ b/guide/portuguese/security/index.md @@ -4,18 +4,22 @@ localeTitle: Segurança --- ## Segurança -A Segurança da Informação (também chamada de "infosec" ou apenas "segurança") lida com a proteção e invasão de sistemas. +A Segurança da Informação (também chamada de "infosec" ou apenas "segurança") lida com a proteção da informação, o ativo mais importante para qualquer empresa. E isto acontece em diversas esferas, não apenas no mundo digital. Portanto, uma confusão bastante comum é feita com Ciber Segurança (ou Cyber Security), que corresponde ao conjunto de técnicas de defesa para proteger sistemas de processamento e armazenamento digital de informação. A Segurança da Informação está muito mais relacionada com metodologias, normas e procedimentos de proteção da informação. -Este é um espaço particularmente importante no momento, após as principais violações, como a [violação Equifax 2017](https://medium.freecodecamp.org/the-equifax-hack-and-how-to-protect-your-family-all-explained-in-5-minutes-a2b5187cb6c0) . +Para facilitar a compreensão, vamos citar um exemplo de aplicação de cada uma: +* **Ciber Segurança**: através do uso de um _web application firewall_, proteger os servidores _web_ internos, de maneira a evitar a exploração de possíveis vulnerabilidades ou mesmo o uso de técnicas de invasão contra os mesmos; +* **Segurança da Informação**: criar uma política interna de proteção da informação, ressaltando a importância de evitar conversas em elevadores, conservar mesa de trabalho limpa (sem o acúmulo de documentos com dados confidenciais ou de clientes), troca periódica de senhas de acesso aos sistemas. -Profissionais de segurança da informação são freqüentemente chamados de "pesquisadores de segurança", embora eles também sejam freqüentemente chamados de "hackers" para invadir sistemas. +Um bom artigo para perceber a diferença entre ambos os termos foi escrito por Miguel Mendoza e está [disponível aqui](https://www.welivesecurity.com/br/2017/01/17/ciberseguranca-ou-seguranca-da-informacao/ "Diferenças entre Segurança da Informação e Ciber Segurança"). -Existem "hackers de chapéu branco" (hackers éticos) que tentam descobrir novas vulnerabilidades e chamar a atenção das pessoas que mantêm esses sistemas, o que é chamado de "divulgação ética". Eles geralmente fazem isso por prestígio no campo, ou por "recompensas de bugs" que as empresas reservam para compensar as pessoas por ajudá-las a descobrir vulnerabilidades. +Profissionais de segurança da informação são freqüentemente chamados de "pesquisadores de segurança". Todo aquele que tem interesse em pesquisar o funcionamento de um sistema operacional, protocolo ou aplicação, incluindo seus detalhes de segurança, pode ser chamado **"hacker"**. Apesar de algumas fontes ligarem este nome a um comportamento ilícito ou criminoso, nem todo hacker tem este propósito. -Em um interessante hack no Parity (no blockchain da Ethereum), "white hack hackers" exploraram uma vulnerabilidade e drenaram todas as carteiras de dinheiro antes que um verdadeiro hacker pudesse explorar a mesma vulnerabilidade (sem devolver fundos): https: //medium.freecodecamp .org / a-hacker-stole-31m-de-ether-como-aconteceu-e-o-que-significa-ethereum-9e5dc29e33ce. Isso levou a uma perda de US $ 31 milhões, em vez de uma perda de mais de US $ 180 milhões. +Existem "hackers white hat" (hackers éticos), que tentam descobrir novas vulnerabilidades em sistemas, e divulgá-las a pessoas ou empresas que mantêm esses sistemas, o que é chamado de "divulgação ética". Eles geralmente fazem isso por prestígio no campo, ou por "recompensas de bugs" que as empresas reservam para compensar as pessoas por ajudá-las a descobrir vulnerabilidades. -Há também "hackers black hat" que não divulgam as vulnerabilidades descobertas e, ao invés disso, os utilizam para criar exploits para atacar sistemas de pessoas, ou vender os exploits para o maior lance. Eles costumam fazer isso para roubar dados que podem ser resgatados ou apenas liberados para causar caos. +Em um interessante hack no Parity (no blockchain da Ethereum), "white hack hackers" exploraram uma vulnerabilidade e drenaram todas as carteiras de dinheiro antes que um verdadeiro hacker pudesse explorar a mesma vulnerabilidade (sem devolver fundos). A matéria pode ser encontrada [aqui](https://medium.freecodecamp.org/a-hacker-stole-31m-of-ether-how-it-happened-and-what-it-means-for-ethereum-9e5dc29e33ce). Isso levou a uma perda de US$ 31 milhões, evitando uma possível maior de mais de US$ 180 milhões. + +Há também "hackers black hat" (criminosos digitais), que não divulgam as vulnerabilidades descobertas e, ao invés disso, as usam para criar exploits (ou seja, códigos para explorar vulnerabilidades presentes), e invadir sistemas alheios. Alguns exploits são vendidos, outros são simplesmente disponibilizados gratuitamente na Internt. Alguns criminosos se ocupam em roubar dados, com o propósito de posteriormente solicitar resgate financeiro (normalmente em moeda virtual). Outros geram tráfegos massivamente grandes com o intuito de tirar do ar um ou mais sistemas, usando uma técnica conhecida como DDoS (Ataque Distribuído de Negação de Serviço). Os pesquisadores de segurança usam uma grande variedade de métodos e ferramentas, que são discutidos nesta seção. -Embora o hacking seja uma ameaça fundamental para proteger aplicativos, ele não é o único. Os desenvolvedores de aplicativos precisam equilibrar a experiência do usuário com os recursos de segurança. Alguns cyber breches são auto-infligidos devido a configurações de segurança complexas ou difíceis de entender. Quais recursos de segurança devem ser definidos por padrão? Quais recursos devem ser sem aparência e quais devem exigir o consentimento explícito do usuário? \ No newline at end of file +Os desenvolvedores de aplicativos precisam equilibrar a experiência do usuário com os recursos de segurança. Algumas brechas podem ser auto-infligidas devido a configurações de segurança complexas ou difíceis de entender. Quais recursos de segurança devem ser definidos por padrão? Quais recursos devem ser sem transparentes e quais devem exigir o consentimento explícito do usuário? Estas são algumas perguntas que podem não ter respostas simples ou diretas, mas que precisam definitivamente serem respondidas antes de lançar qualquer produto digital.