Documente Academic
Documente Profesional
Documente Cultură
de Sistemas
Prof. Fernando Curvelo
A Era da Informao
Informao: cada vez mais valorizada;
Empresarial;
Particular;
Crescimento da dependncia;
Dcadas atrs a informao no era to automatizada e era armazenada em um
nico local centralizado;
A TIC evoluiu e o compartilhamento das informaes passou a ser uma prtica
necessria;
Se misturar tudo isso e mais um pouco, o produto final desta receita ser
amargo e difcil de degustar;
Segurana Lgica
Processamento e acesso
Consistncia no processamento
O tratamento dos dados um processo com vulnerabilidades.
Testes dos programas.
Conhecimento do processo.
Filtros e limites.
Histrico e documentao.
concesso
de
permisso
para
acesso
informao
segurana.
Incidente: Fato decorrente da ao de uma ameaa que explorou
Destino
da
informao
Fluxo normal
Interrupo
Interceptao
Modificao
Fabricao
Dificultar: esta barreira tem o objetivo dificultar o acesso indevido e para isso
pode-se utilizar dispositivos de autenticao para acesso fsico, leitores de
cartes, senhas, entre outros;
Segurana em TIC
Controle sobre o acesso on-line da informao:
Identificao do usurio.
Filtros de pacotes e listas de acesso.
Firewall.
Anlise de contedos (sites, palavras, figuras?).
Vrus e cavalos de Tria.
Controle de acesso por faixa etria.
Segurana em TIC
Controle sobre informao pessoal:
Um perfil para cada usurio e com senhas diferentes.
Backup dos documentos, fotos em um local fora do computador pessoal.
Utilizao de programas de segurana, como por exemplo, firewalls, antivrus e
controles de pais (para quem tem filhos).
Quando no estiver utilizando o computador, no deixar o perfil logado.
Se for preciso levar o dispositivo a um tcnico, evite de deixar arquivos salvos
no nele.
Lei contra crimes eletrnicos lei 12.737 (Carolina Dieckmann).
Segurana em TIC
INTERNET
Motivos do sucesso:
Aplicaes padronizadas FTP (Transmisso de arquivos) e SMTP (e-mail).
Rpida evoluo do microprocessador.
Ambiente grfico.
Relao entre custos e os benefcios.
Profissionalizao da microinformtica.
Vulnerabilidades
Conectividade mundial
Conhecimento disponvel para interessados, de forma fcil e gratuita.
Segurana em TIC
INTERNET
Expectativas do usurio
Disponibilidade
Consideraes
24 horas X 7 dias
Desempenho
Navegabilidade
Segurana e Privacidade
Segurana em TIC
REDE
Item Alvo
Consideraes
Redimensionamento
Confiabilidade
Flexibilidade
Continuidade operacional
Segurana em TIC
Risco
Denominao genrica dos eventos que podem causar algum tipo de impacto
na capacidade de uma organizao em alcanar os seus objetivos de negcio.
Esto presentes na esfera de abrangncia do risco os seguintes elementos:
incerteza preocupao com a eficincia operacional;
ameaa perda financeira, mcula na imagem;
oportunidade investimentos na estrutura de proteo.
Segurana em TIC
Identificao do Risco
uma atividade contnua que deve observar as seguintes orientaes:
entender os objetivos estratgicos e operacionais da empresa e os fatores
crticos de sucesso, ameaas e oportunidades;
anlise das funes crticas para identificar os riscos das atividades que as
compem;
classificar os riscos para priorizar investimentos;
definir aes que diminuam e monitorem os riscos identificados;
avaliao do equilbrio entre risco e ROI dos produtos e servios.
Segurana em TIC
Avaliao do Risco
Aps a identificao dos riscos importante elaborar os relatrios que apresentem:
possveis riscos;
impactos;
ocorrncias;
aes preventivas;
gerenciamento a ser adotado;
Segurana em TIC
Ambiente de controle
O ambiente de controle importante para o gerenciamento de
riscos.
Fatores importantes para a implantao do ambiente:
comprometimento da administrao;
padres para a linguagem e os processos;
coordenao no gerenciamento de mudanas;
envolvimento das reas de negcio, tecnologia, segurana e auditoria;
aculturao dos funcionrios;
acompanhamento dos casos de sucesso e fracasso;
monitorao dos processo;
reviso contnua do ambiente.
Segurana em TIC
Desenvolvimento do Servio
As fases que compem o desenvolvimento do servio a ser prestado:
desenvolvimento da estratgia do servio;
entendimento da organizao e das competncias;
definio dos processos;
Segurana em TIC
Desenvolvimento da estratgia do servio
As atividades dessa fase so:
Segurana em TIC
Entendimento da organizao e das competncias
As atividades dessa fase so:
identificao das estruturas gerencial e organizacional;
identificao e descrio de funes;
detalhamento das competncias necessrias por funo;
identificao dos profissionais internos e esternos e atribuio de responsabilidades;
desenvolvimento de programa de treinamento para os profissionais envolvidos com o
projeto;
elaborao de plano de recrutamento, se necessrio;
elaborao, aprovao e divulgao do plano para gerenciamento de mudanas;
Segurana em TIC
Definio dos processos
As atividades dessa fase so:
projeto dos processos para atender os servios;
definir as fases do projeto;
especificao o gerenciamento de risco dos clientes on-line;
anlise impactos e definir solues para processos existentes;
planejar, desenvolver e testar novos servios;
definio das responsabilidades de terceiros;
integrao entre os processos novos e os existentes;
definio da gerncia de clientes;
definio dos procedimentos de controle interno;
efetuar a avaliao da eficcia do website;
definio das variveis para medir os efeitos do servio.
Segurana em TIC
Definio dos indicadores de desempenho
As atividades dessa fase so:
definio de um sistema de medio geral do servio;
planejamento, medio, monitorao e controle do desempenho dos processos de:
atendimento aos clientes;
publicidade;
valor agregado de produtos e servios;
website;
preos;
Segurana em TIC
Projeto de sistema e tecnologia
As atividades dessa fase so:
definio da especificao funcional do sistema;
especificao de dados, funes e relacionamentos;
identificao das interfaces entre o sistema novo e os existentes;
especificao das interfaces com os usurios;
especificao da infra-estrutura tcnica para o sistema;
definio da arquitetura de segurana;
identificao de fornecedores e pacotes;
Criptografia
Criptografia a cincia que se utiliza de algoritmos matemticos para
encriptar (cripto = esconder) dados (texto claro) de uma forma no
legvel (texto cifrado) e depois recuper-los (decriptograf-los).
Com a criptografia, o custo para tentar decifrar o contedo das
mensagens cifradas torna-se maior do que o potencial ganho com os
dados.
Criptoanlise a cincia que estuda mtodos, algoritmos e dispositivos
a fim de quebrar a segurana dos sistemas criptogrficos, ou seja,
tentam descobrir o texto claro a partir do texto cifrado.
Criptografia
Encriptao: o processo de transformar texto claro em uma forma
ilegvel. O propsito da encriptao de manter a privacidade, ou seja,
manter a informao escondida para qualquer pessoa que no seja o
destinatrio.
Decriptao: o processo reverso da encriptao, ou seja, transformar
novamente em texto claro um texto cifrado.
Texto Claro: a mensagem a ser enviada. Se interceptado pode ser lido
sem problema.
Criptografia - Histria
Como a criptografia uma cincia matemtica ela existe muito antes do
computador.
Um exemplo de criptografia antiga a que Julio Cesar criou, chamada
de Julio Cypher. Como os meios de comunicao eram limitados e
usava-se mensageiros a cavalo para enviar mensagens ao campo de
batalha, as mensagens corriam o srio risco de serem interceptadas e
enviadas aos inimigos.
Jlio Cesar criou um algoritmo que consistia em deslocar as letras da
mensagem trs posies para a direita, com isso as mensagens ficavam
difceis de ler, caso fossem interceptadas pelo inimigo. Para fazer a
decriptao bastava deslocar trs posies para a esquerda.
Criptografia - Histria
Veja um exemplo de texto cifrado utilizando a cifragem de Jlio Cesar.
Cdigo: A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F GH I J K LMN O P Q R S T U V W X Y Z A B C
Chave com o deslocamento de 3
ATACAR (texto claro)
Criptografia - Histria
Outro exemplo de aplicao em guerra foi durante a Segunda Grande
Guerra, onde os nazistas desenvolveram um sistema criptogrfico que
se em equipamento mecnico para criar as mensagens criptografadas.
Elas eram enviadas via ondas de rdio para os submarinos que ficavam
no Atlntico Norte. Estes submarinos tambm possuam este
equipamento, pois s assim eles conseguiam fazer a decriptografia.
Criptografia - Uso
A criptografia pode ser usada para:
Garantir a confidencialidade da mensagem para que usurios desautorizados no
tenham acesso a ela;
Criptografia seguro?
Para ser considerado seguro, um algoritmo criptogrfico deve ter uma
chave que seja quase impossvel de ser quebrada ou que com o uso de
clculos seja impossvel extrair o texto claro do texto cifrado sem o
conhecimento da chave.
A encriptao computacionamente segura, ou seja, os dados esto a
salvo desde que no exista nenhum poder de computao de alta
capacidade capaz de quebrar a cifragem.
Os sistemas perderiam o seu uso se algum conseguisse reverter o
algoritmo usado para fazer a encriptao, ou seja, a reverso de um
algoritmo criptogrfico est associado a despendimento de tempo e
esforo.
Criptografia
Sistema de Chave Secreta
o conhecimento de uma chave secreta que as partes de uma
comunicao possui. Este sistema usado, geralmente, quando h uma
grande quantidade de dados a serem criptografados.
Criptografia
Sistema de Chave Pblica
Em 1977 os professores Ronald Rivest, Adi Shamir e Len Adleman do
Instituto de Tecnologia de Massachusetts criaram o Sistema Criptogrfico de
Chave Pblica.
Neste sistema usado um par combinado de chaves codificadoras e
decodificadoras. Cada chave tem uma funo, ou seja, cada chave executa
uma transformao de via nica nos dados. Cada chave tem uma funo
inversa da outra: o que uma faz a outra desfaz.
A chave pblica disponibilizada pelo proprietrio, enquanto que a privada
mantida em segredo. Para enviar uma mensagem criptografada o autor
embaralha a chave pblica do destinatrio. Isto quer dizer que, uma vez
criptografada, a mensagem s pode ser decriptografada com a chave privada
do destinatrio.
Criptografia
Message Digest
Nesse sistema, textos de tamanhos variados so crifrados em textos de
tamanho fixo. So usados para computar hashes e checksum de
mensagens.
O objetivo de produzir uma pequena string que ser nica para cada
texto criptografado.
Essa tcnica usada para saber se a mensagem foi alterada no meio do
caminho durante o seu transporte.
Criptografia
Implementao dos Sistemas Criptogrficos
A implementao via software mais barata, porm o processo mais
lento e no to seguro, visto que o software mais simples de ser
modificado e forjado.
Distribuio;
Entrada e sada;
Armazenamento;
Arquivamento de chaves;
Distribuio da chave
Para distribuir uma chave, o processo pode ser manual, automtico ou misto. A entrada da
chave pode ser feita atravs do teclado, automaticamente ou at mesmo atravs e smart
cards.
O canal que ser utilizado para a troca das chaves criptogrficas deve ser seguro.
Armazenamento da chave
As chaves no devem ser acessveis, porm aconselhvel e til manter as
chaves criptogrficas em um arquivo como uma forma de backup,
permitindo assim a sua recuperao caso seja necessrio. Este arquivo deve
ser mantido em computador que esteja em um ambiente controlado e seguro
Texto Cifrado
Texto Original
TADNC4
!@#$%
TADNC4
Origem
Encriptao
Decriptao
Destino
Criptografia
Criptografia Simtrica Principais Algoritmos
DES e 3DES
O DES (Data Encryption Standard) um algoritmo padro que foi desenvolvido nos
anos 70 pelo NIST (National Institute of Standards and Tecnology) em conjunto com a
IBM. Neste algoritmos a chave tem um tamanho de 56 bits.
No 3DES, o algoritmo DES aplicado trs vezes com trs chaves distintas a 168 bits
ou duas distintas de 112 bits.
Este algoritmo trabalha com a substituio dos bits do texto claro pelos bits do texto
cifrado. O processo simples e por conta disto os algoritmos so executados rpido.
Criptografia
Criptografia Simtrica Principais Algoritmos
RC2
Foi desenvolvido por Ronald Rivest (um dos fundadores da RSA). Permite o uso de
chaves criptogrficas de at 2048 bits e so comercializados pela prpria RSA.
RC4
a evoluo do RC2, sendo mais rpido. Trabalha com chaves de at 2048 bits e
tambm comercializado pela RSA.
Criptografia
Criptografia Simtrica Principais Algoritmos
RC5
Teve a sua publicao em 1994 e permite que o usurio defina o tamanho da chave.
IDEA
O IDEA (International Data Encryption Algorithm) foi desenvolvido por James Massey
e Xuejia Lai. Este algoritmo utiliza chaves de 128 bits e a sua patente est com a
empresa Ascom Tech AG, que da Suia.
Criptografia
Criptografia Simtrica Principais Algoritmos
AES
O AES um algoritmo que foi concebido tambm pela NIST. Ele um padro avanado e
tem como maior objetivo substituir os algoritmos DES e 3DES.
Este algoritmo surgiu em concurso realizado pela NIST e teve como fatores analisados para
a escolha do vencedor a segurana (esforo requerido para a criptoanalise), eficincia
computacional, requisitos de hardware e software, simplicidade e eficincia.
O padro foi definido em 2001 e o algoritmo vencedor foi o criado por Vicent Rijmen e Joan
Daemen.
Este algoritmo trabalha com blocos fixos de 128 bits e uma chave que tem o tamanho
variado que pode ser de 128, 192 ou 256 bits.
Criptografia
Criptografia Assimtrica
Este modo de criptografia est baseado na utilizao de duas chaves: uma mantida em
segredo e a outra pblica e ela foi criada em 1976 por Whitfield Diffie e Marin Hellman.
Enquanto uma chave e utilizada para a encriptao a outra usada para a decriptao.
Como este modo mais complexo, ele muito mais lento que a criptografia simtrica, algo
em torno de 100 a 1000 vezes mais lento.
Mas a vantagem desse modo que ele resolve o problema do gerenciamento das chaves. A
criptografia assimtrica tambm chamada de criptografia de chave pblica e como
requisito bsico, as chaves pblicas devem ser mantidas em um local seguro e autenticado.
A criptografia de chave pblica pode fornecer tambm mecanismos eficientes para a
assinatura digital e para o certificado digital.
Criptografia
Criptografia Assimtrica
A criptografia assimtrica possvel porque ela utiliza funes matemticas
unidirecionais, ou seja, no possvel conseguir o valor original se as funes forem
invertidas. A nica maneira de realizar a inverso ter a posse de parte do
contedo do texto cifrado, porm, computacionalmente falando, a inverso no
uma tarefa muito fcil.
Texto Claro
TADNC4
Texto Original
Texto Cifrado
Criptografia
Chave Pblica
do Fulano
!@#$%
Decriptografia
Chave Privada
do Fulano
TADNC4
Criptografia
Criptografia Assimtrica Principais algoritmos
RSA
O algoritmo RSA foi criado em 1977 pelos professores Ronald Rivest, Adi Shamir e
Len Adleman do Instituto de Tecnologia de Massachusetts.
A segurana deste algoritmo est ligado diretamente com o grau de dificuldade em
realizar fatorao, pois, as chaves pblicas e privadas so nmeros primos grandes
(com 100, 200 dgitos ou mais).
Este algoritmo muito utilizado para garantir a confidencialidade e autenticidade
das mensagens, porm, como ele mais lento que os algoritmos simtricos, ele no
utilizado para encriptar grandes blocos de dados.
Criptografia
Criptografia Assimtrica Principais algoritmos
Diffie-Hellman
Criado em 1975 pelo Whitfield Diffie e Martin Hellman este algoritmo baseia-se no
uso de chaves logartmicas discretas.
Este algoritmo utilizado pelos algoritmos criptogrficos para a troca de uma chave
pblica compartilhada por um canal pblico no seguro de comunicao.
Criptografia
Criptografia Assimtrica Principais algoritmos
Assinatura Digital
Criptografia
Criptografia Assimtrica Principais algoritmos
Assinatura Digital
A assinatura digital que est anexada ao documento garante que ela foi gerada pelo
criador da mensagem. Isto porque, qualquer mudana de caractere na mensagem
altera o hashing.
A autenticao pode ser fortalecida com o uso em conjunto de certificados digitais.
O princpio da assinatura digital o mesmo da assinatura normal de documentos
em papel, ou seja, o emitente no pode repudiar o documento depois que assinou.
A vantagem da assinatura digital que ela depende do documento e no h
maneira de copi-lo de um documento para o outro.
Criptografia
SSL Security Socker Layer
O SSL uma camada que fica entre a interface socket do TCP e a aplicao e tem
como benefcios:
Criptografar dados;
Verificao de identidade, ou seja, ambos lados podem verificar as identidades
apresentando certificados um para o outro;
A integridade garantida, pois qualquer alterao na mensagem invalida o
checksum;
Por ser uma poderosa ferramenta, a maioria dos bancos utiliza-o. A pea mais
importante deste sistema o certificado digital que comprova que o dono da
chave primaria.
Criptografia
PGP Pretty Good Privacy
Por ser uma aplicao de alta segurana, o PGP, permite que os usurios troquem
mensagens com total privacidade e com autenticao. As implementaes do PGP
disponibilizam mtodos para encriptar arquivos, criar chaves pblicas e privadas,
gerenciar a troca de chaves e o uso das assinaturas digitais.
Criptografia
Algoritmos de Clculo de Hashing
Os algoritmos de hashing so utilizados para garantir a integridade e checar se houveram
mudanas no previstas nas mensagens enviadas.
Quando utilizada, a funo de hashing mapeia blocos de dados de tamanho varivel ou
mensagens em valores de tamanho fixo que so chamados de cdigo hash. A funo foi
desenvolvida para trabalhar em via nica (unidirecionalmente) e quando protegida,
disponibiliza um elemento identificador da mensagem que o hash.
O mecanismo simples de entender, aplica-se mensagem uma funo de hashing e como
resposta teremos o hash, ou seja, um conjunto de bytes de tamanho fixo. Esse hash ser nico
para esta mensagem, ou seja, qualquer alterao por menor que seja, alterar o hash e com
isso o conjunto de bytes no ser o mesmo.
Exemplos de algoritmos de hash so: MD4, MD5, SHA1, entre outros.
Criptografia
Certificados Digitais
Para fazer a verificao (determinar o usurio) de uma chave pblica, utiliza-se o
certificado. Um Autoridade de Certificao (CA) assina digitalmente o certificado,
autenticando a chave pblica. Um dos padres mais utilizado definido pela norma ITU-T
X.509.
Criptografia
Certificados X.509
No certificado X.509 as seguintes informaes esto inseridas:
Criptografia
Emisso do Certificado
A CA faz algumas exigncias para emitir um certificado digital. Essas exigncias
variam de acordo com o grau de segurana do certificado.
O grau de segurana de um certificado pode ser:
Classe 1 fcil obteno;
Classe 2 verificao da base de dados de consumidores, como por exemplo o
SERASA;
Criptografia
Criao do Certificado
Randomicamente, o usurio cria as suas chaves pblicas e privadas. Depois ele
envia a chave pblica para a CA, que cria o certificado de acordo com as
informaes pertinentes e assina este certificado com a chave privada da CA.
Depois disso o certificado retorna para o usurio assinado e com data de validade.
Criptografia
Revogao do certificado
O certificado ser revogado quando:
Criptografia
Hierarquia de Certificao
H uma hierarquia de certificao em que as CAs de um nvel superior atestam a
autenticidade de CAs de um nvel inferior. O mesmo processo pode ocorrer entre
CAs que esto nas mesma hierarquia, e neste caso chamamos de verificao
cruzada.
As principais funes de uma CA so:
Distribuio dos certificados;
Emisso e assinatura de novos certificados;
Revogao de certificados;
Renegociao de certificados;
Criptografia
Criptoanlise Quebra da criptografia
a cincia que estuda tcnicas para quebrar os cdigos criptogrficos, ou seja,
descobrir o texto claro a partir do texto cifrado.
Um criptoanalista pode descobrir uma chave criptogrfica se ele souber o texto
claro. Com a comparao do texto claro e do texto cifrado possvel achar a chave.
Em outro tipo de ataque, o criptoanalista obtm o texto cifrado e com isso ele tenta
obter o texto claro, com isso tentar achar a chave criptogrfica.
Os ataques com textos escolhidos so mais usuais, pois para tentar quebrar o
sistema criptogrfico, o criptoanalista escolhe parte do texto cifrado e tenta
decriptografa-lo com sistemas computacionais, buscando assim sequencias claras
como uma srie de palavras.
Criptografia
Na tabela a seguir, uma estimativa de tempo para quebrar uma chave criptogrfica.
Tamanho da
chave
Hacker
individual
Grupo
Rede acadmica
Grande
empresa
Inteligncia
militar
40 bits
Algumas
semanas
Alguns dias
Algumas horas
Alguns
milissegundos
Alguns
microssegundos
56 bits
Alguns sculos
Algumas
dcadas
Alguns anos
Algumas horas
Alguns
segundos
64 bits
Alguns milnios
Alguns sculos
Algumas
dcadas
alguns dias
Alguns minutos
112 bits
Infinito
Infinito
Infinito
Alguns sculos
Alguns sculos
128 bits
Infinito
Infinito
Infinito
Infinito
Alguns milnios
Fonte: livro Segurana em Redes, pag 95, Alexandre Fernandes de Moraes, 2010, editora Erica
ameaas crescentes e cada vez mais fatais tais como: hackers, vrus, ataques
terroristas, enchentes, terremotos e do outro lado, a vulnerabilidade e a
empresa em fechar negcios, alm de deixar claro quais sero as solues prticas
que ela pode trazer para a resoluo dos problemas.
Obrigado!
Contato: prof.fercurvelo@gmail.com