Seção: Banda Larga

 

VoIP: Segurança da Informação

 

A informação já se tornou o ativo mais valioso das corporações e como tal, independente da forma como existe e é manipulada (em papel ou eletronicamente), sua proteção passou a ser mandatória.

 

A norma ABNT NBR ISO/IEC 27002 define segurança da informação como a proteção da informação contra os diferentes tipos de ameaças a fim de minimizar o risco ao negócio, garantir sua continuidade e maximizar o retorno sobre os investimentos e as oportunidades de negócio.

 

Existem três aspectos chave da segurança da informação comumente referidos como CIA Triad, ou Tríade CID: Confidencialidade, Integridade e Disponibilidade.

 

A seguir estão expostos estes conceitos de maneira breve e posteriormente apresentam-se definições para alguns dos termos mais usados em se tratando de segurança da informação.

 

Confidencialidade, Integridade e Disponibilidade

 

A confidencialidade significa, conforme (BRAUMANN, CAVIN e SCHMID, 2011), que nenhum acesso à informação deverá ser garantido a sujeitos ou sistemas não autorizados, isto é, apenas aqueles com os direitos e privilégios necessários serão capazes de acessar a informação, esteja ela armazenada, em processamento ou em trânsito.

 

A violação da confidencialidade pode ocorrer por modo intencional através de ataques, captura de tráfego, engenharia social, entre outros, bem como de forma não deliberada por imperícia ou negligência.

 

No caso específico do VoIP, a confidencialidade preocupa-se com a não intercepção de uma conversa por uma terceira parte não autorizada, como nos ataques do tipo man-in-the-middle (MITM).

 

A integridade é o aspecto que se preocupa com a confiança que pode ser depositada sobre uma informação obtida. Além disto, uma informação é dita íntegra se não sofreu nenhuma alteração entre os momentos de transmissão e recepção.

 

Desta forma, em (BRAUMANN, CAVIN e SCHMID, 2011) são definidas duas categorias de integridade: integridade de fonte e integridade de dados. A integridade de fonte garante que uma informação realmente vem do remetente correto. A integridade dados se refere à confiabilidade da informação em si, isto é se a informação não foi comprometida (manipulada) em algum momento anterior à leitura pelo destinatário pretendido.

 

Adicionalmente, (STEWART, TITTEL e CHAPPLE, 2008) atribui à integridade três objetivos:

  • Impedir que sujeitos não autorizados realizem modificações na informação;
  • Impedir que sujeitos autorizados realizem modificações não autorizadas; e
  • Garantir a legitimidade, verificabilidade e consistência da informação, esteja ela armazenada, em trânsito ou em processamento.

 

Em se tratando de VoIP, a integridade deve garantir que os pacotes de mídia cheguem ao destinatário sem sofrerem manipulações maliciosas.

 

A disponibilidade é o aspecto da segurança da informação que diz que esta deve estar disponível para ser acessada quando solicitada por um sujeito ou sistema legítimo (BRAUMANN, CAVIN e SCHMID, 2011). Isto requer que toda estrutura que permite acesso e transporte da informação deve ser protegida para que não seja degradada ou se torne indisponível.

 

Com relação à disponibilidade, os tipos de ataque que representam maior ameaça são DoS (Denial of Service) e DDoS (Distributed Denial of Service) , que visam danificar ou sobrecarregar sistemas.

 

Especificamente para o VoIP, disponibilidade significa garantir que o serviço estará operante para os usuários, evitando qualquer efeito adverso resultante de um ataque do tipo negação de serviço, cujas consequências podem ser perda total ou parcial da comunicação (BRAUMANN, CAVIN e SCHMID, 2011).

 

Definições

 

Nesta sessão definem-se termos importantes mais comumente usados quando se discute sobre segurança da informação. De acordo com (STEWART, TITTEL e CHAPPLE, 2008), tem-se:

    • Vulnerabilidade: Diz respeito às fraquezas de um sistema que podem ser exploradas maliciosamente. Podem estar relacionadas à software, hardware ou processos que apresentam falhas passíveis de serem exploradas de tal forma que comprometa o funcionamento de um sistema ou serviço.
    • Ameaça: A forma como uma vulnerabilidade pode ser explorada determina uma ameaça. É chamada de agente de ameaça a entidade que tira proveito da vulnerabilidade, que pode ser uma pessoa (hacker), um processo ou um evento natural.
    • Risco: É a probabilidade de um agente de ameaça se aproveitar de uma vulnerabilidade.
    • Proteção: É um mecanismo usado para diminuir o risco, podendo ser em nível de software, hardware ou processo. Exemplos de proteção são: firewalls, isolamento de tráfego (VLAN), antivírus, entre outros.
    • Incidente: Quando um agente de ameaça consegue explorar uma vulnerabilidade com sucesso, diz-se que houve um incidente de segurança. Neste caso, um ou mais princípios da tríada CID foram violados.