Embed Size (px)
Citation preview
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
PROTEÇÃO E SEGURANÇA DE SISTEMAS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CONCEITOS DE SEGURANÇA• Um computador (ou sistema computacional) é
considerado seguro se atende a três requisitos básicos:
1. A confidencialidade diz que a informação estará disponível para aqueles
devidamente autorizados;
1. A integridade diz que a informação não será destruída ou corrompida
e o sistema terá um desempenho correto;
1. A disponibilidade diz que os serviços/recursos do sistema estarão
disponíveis sempre que forem necessários.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CONCEITOS DE SEGURANÇA
Alguns exemplos de violações a cada um dessesrequisitos são:
• Confidencialidade: obtenção de acesso não autorizado ao seu computador e leitura de todas as informações contidas na sua declaração de Imposto de Renda;
• Integridade: obtenção de acesso não autorizado ao seu computador e alteração na sua declaração de Imposto de Renda;
• Disponibilidade: o seu provedor (Receita) sofre uma grande sobrecarga de dados e fica indisponível para receber a declaração de Imposto de Renda.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
O MOTIVO DA PREOCUPAÇÃO
• Suas senhas e números de cartões de crédito podem ser furtados e utilizados por terceiros;
• Sua conta de acesso a Internet pode ser utilizada por alguém não autorizado;
• Seus dados pessoais, ou até mesmo comerciais, podem ser alterados, destruídos ou visualizados por terceiros;
• Seu computador pode deixar de funcionar, por ter sido comprometido e arquivos essenciais do sistema ter sido apagados, etc....
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
QUAL O PROPÓSITO DA INVASÃO DA MINHA MÁQUINA ?
• Utilizar seu computador em alguma atividade ilícita, para esconder a real identidade e localização do invasor;
• Utilizar seu computador para lançar ataques contra outros computadores;
• Utilizar seu disco rígido como repositório de dados;
• Destruir informações (puro vandalismo);
• Disseminar mensagens alarmantes e falsas;
• Ler e enviar e-mails em seu nome;
• Propagar vírus de computador;
• Furtar números de cartões de crédito e senhas bancárias;
• Furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por você;
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
O HACKER
O termo "hacker de computador" apareceu pela primeira vez em meados da década de 1960. O hacker era um programador, uma pessoa que criava códigos de computação. Os hackers eram visionários que conseguiam enxergar novas maneiras de usar os computadores, criando programas que ninguém poderia imaginar.
Quando havia bug, uma seção de códigos errados que impediam o bom funcionamento do programa, os hackers criavam e distribuíam pequenas seções de códigos chamados "patches" para solucionar o problema.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
OS TIPOS DE HACKER
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
COMPUTADORES ZUMBIS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
O COMPUTADOR ZUMBI (O QUE PODE ACONTECER)
O usuário pode descobrir que seu provedor de
Internet cancelou sua conta, ou até que ele
está sob investigação por atividades criminosas.
Por outro lado, o hacker nem liga para a perda
de um de seus zumbis, porque ele tem mais. Às
vezes, ele tem muitos mais - uma investigação
descobriu que um único computador de um
hacker controlava uma rede de mais de 1,5
milhão de computadores (fonte: TechWeb).
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
SPAMS EM NÚMEROS
Aqui estão algumas estatísticas de spam impressionantes (fonte: 2007 Symantec Internet Security Threat Report):
Entre 1 de julho e 31 de dezembro de 2006, 59% de todo tráfego de e-mail monitorado era spam.
Spam escrito em inglês representa 65% de todos os spams. Os EUA são a origem de 44% de todo o spam do mundo.
10% de todo e-mail-zumbi estão nos EUA, o que coloca o país como a capital mundial do computador-zumbi.
Um em cada 147 spams contém algum tipo de código malicioso.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
USANDO DA NOSSA BOA FÉ
O que Engenharia Social ?
O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.
Que exemplos podem ser citados sobre este método de ataque?
Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O último exemplo apresenta um ataque realizado por telefone.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
EXEMPLOS DE ENGENHARIA SOCIALExemplo 1:
Você recebe uma mensagem e-mail, onde o remetente é o gerente ou alguém em nome do departamento de suporte do seu banco. Na mensagem ele diz que o serviço de Internet Banking está apresentando algum problema e que tal problema pode ser corrigido se você executar o aplicativo que está anexado à mensagem. A execução deste aplicativo apresenta uma tela análoga àquela que você utiliza para ter acesso a conta bancária, aguardando que você digite sua senha. Na verdade, este aplicativo está preparado para furtar sua senha de acesso a conta bancária e enviá-la para o atacante.
Exemplo 2:
Você recebe uma mensagem de e-mail, dizendo que seu computador está infectado por um vírus. A mensagem sugere que você instale uma ferramenta disponível em um site da Internet, para eliminar o vírus de seu computador. A real função desta ferramenta não é eliminar um vírus, mas sim permitir que alguém tenha acesso ao seu computador e a todos os dados nele armazenados.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
EXEMPLOS DE ENGENHARIA SOCIAL
Exemplo 3:
Algum desconhecido liga para a sua casa e diz ser do suporte técnico do seu provedor. Nesta ligação ele diz que sua conexão com a Internet está apresentando algum problema e, então, pede sua senha para corrigi-lo. Caso você entregue sua senha, este suposto técnico poderá realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome.
Estes casos mostram ataques típicos de engenharia social, pois os discursos apresentados nos exemplos procuram induzir o usurário a realizar alguma tarefa e o sucesso do ataque depende única eexclusivamente da decisão do usurário em fornecer informações sensíveis ou executar programas.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
SOFTWARES VULNERÁVEIS
O que é vulnerabilidade ?
Vulnerabilidade é definida como uma falha no projeto, implementação ou configuração de um software ou sistema operacional que, quando explorada por um atacante, resulta na violação da segurança de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploração remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador vulnerável.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
SOFTWARES MALICIOSOS
O que é um Código Malicioso (Malware) ?
Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.
Na literatura de segurança o termo malware também é conhecido por “software malicioso”.
Alguns exemplos de malware são:
• vírus;• worms e bots;• backdoors;• cavalos de tróia;• keyloggers e outros programas spyware;• rootkits.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE SOFTWARES MALICIOSOS
Spams: E-mails indesejáveis que podem incorporam programas perigosos, ou oferecer produtos para venda entre outras coisas.
Vírus: programas que desabilitam o computador da vítima, ou corrompendo arquivos necessários, ou sugando os recursos dos computadores.
Worms: programas que espalham-se rapidamente de uma máquina para outra, infectando centenas de computadores em um curto espaço de tempo.
Cavalo-de-Tróia: um programa que embute outro programa com o objetivo de danificar o computador ou abrir uma porta de entrada no sistema.
Rootkits: uma coleção de programas que dão o controle administrativo de um computador; hackers usam rootkits para controlar computadores e escapar da detecção.
Backdoors: portas de entrada para o sistema operacional que driblam os procedimentos normais, permitindo a um hacker acessar informações em um computador sem o conhecimento do usuário.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE SOFTWARES MALICIOSOS
Keyloggers: Programas que lêem as teclas digitadas pelo usuário no teclado do computador.
Screenloggers: Armazena a posição do cursor e a tela apresentada no monitor, nos momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado.
Bots: De modo similar ao worm o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.
Spyware: É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.
Adware: (Advertising software) É um tipo de software especificamente projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE ATAQUESProbing: Não é uma técnica de invasão propriamente dita, mas sim uma forma de obter informações sobre a rede. A informação obtida pode ser usada como base para uma possível invasão.
Buffer Overflow: É a técnica de tentar armazenar mais dados do que a memória suporta, causando erros e possibilitado a entrada do invasor. Geralmente em um ataque de buffer overflow o atacante consegue o domínio do programa atacado e privilégio de administrador na máquina hospedeira.
Exploits: São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos “verdadeiros hackers” e são utilizados por pessoas sem conhecimento da vulnerabilidade.
Finger: É um serviço de Internet que permite obter informações sobre usuários de uma máquina.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE ATAQUESPassword Crackers: São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema. Este tipo de descoberta de senha é chamado de Ataque de força bruta. Estes programas também podem ser utilizados pelos administradores de sistema para descobrir senhas fracas dos seus usuários.
Spoofing: É uma técnica que consiste em mascarar (spoof) pacotes IP com endereços remetentes falsificados. O atacante para não ser identificado falsifica o seu número de IP ao atacar para que nenhuma técnica de rastreá-lo tenha sucesso. Geralmente os números utilizados são de redes locais, como 192.168.x.x, 10.x.x.x ou 172.16.x.x. Estes números não são roteáveis e fica quase impossível o rastreamento. Porém é fácil impedir um ataque com o IP “Spooffado”.
Phreaking: É o uso indevido de linhas telefônicas, fixas ou celulares. No passado, os phreakers empregavam gravadores de fita e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE ATAQUESSmurf: Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Geralmente se escolhe para estes tipos de ataques, servidores em backbones de altíssima velocidade e banda, para que o efeito seja eficaz.
Sniffing: É a técnica de capturar as informações de uma determinada máquina ou o tráfego de uma rede sem autorização para coletar dados, senhas, nomes e comportamento dos usuários. Os programas geralmente capturam tudo que passa e depois utilizam filtros para que possa facilitar a vida do “sniffador”. Existem sniffers específicos de protocolos como o imsniffer que captura apenas as conversas via MSN Messenger em uma rede.
Scamming : Técnica que visa roubar senhas e números de contas de clientes bancários enviando um e-mail falso oferecendo um serviço na página do banco. A maioria dos bancos não envia e-mails oferecendo nada, portanto qualquer e-mail desta espécie é falso.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
TIPOS DE ATAQUES
DNS Poisoning: Um atacante compromete um servidor DNS para, quando este receber a solicitação de resolução de uma URL de interesse (por exemplo, www.bb.com.br), devolver o endereço IP de um site clonado ou malicioso, desviando o usuário sem que este perceba. Este tipo de ataque também é conhecido como “Envenenamento de DNS”.
BHOs: Browser Helper Objects são DLLs que funcionam como plugins do Internet Explorer, podendo ver (e alterar) todos os dados que trafegam entre o computador e um servidor web. Nem todos são, necessariamente, maliciosos, mas são muito usados para construir em cavalos-de-tróia e spyware.
Clonagem de URLs: URLs podem ser clonadas por semelhança (wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br, www.bancodobrasil.com.br, www.bbrasill.com.br) ou por falhas de segurança de browsers (por exemplo, falhas de interpretação de nomes de site em unicode).
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
NEGAÇÃO DE SERVIÇO
O que é uma Negação de Serviço (Denial of Service) ?
Nos ataques de negação de serviço (DoS – Denial of Service) o atacante utiliza um computador para tirar de operação um serviço ou computador conectado à Internet.
Exemplos deste tipo de ataque são:
• Gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usuário não consiga utilizá-lo;
• Gerar um grande tráfego de dados para uma rede, ocupando toda a banda disponível, de modo que qualquer computador desta rede fique indisponível;
• Tirar serviços importantes de um provedor do ar, impossibilitando o acesso dos usuários a suas caixas de correio no servidor de e-mail ou ao servidor Web.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
DDoS (Distributed Denial of Service)
Às vezes um hacker usa uma rede de computadores-zumbis para sabotar um site ou um servidor específico. A idéia é muito simples: um hacker diz a todos os computadores da sua botnet para contactar um servidor ou site específicos repetidamente. O aumento repentino no tráfego pode tornar o site lento para visitantes legítimos. Às vezes o tráfego é tão grande que derruba o site completamente. Nós chamamos isso de ataque distribuído de negação de serviço (DDoS).
A lista das vítimas de ataques DDoS incluem nomes conhecidos. A Microsoft, por exemplo, sofreu um ataque DDoS chamado MyDoom. Hackers também atacaram outros grandes sites, como Amazon, CNN, Yahoo! e eBay. No Brasil, a Globo.com sofreu um ataque de negação de serviço durante a final de uma das edições do Big Brother Brasil
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
COMO FUNCIONA UM DDOS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
OS NOMES DOS DDoS
Ping of Death (Ping da Morte) - bots criam grande pacotes eletrônicos e os enviam às vítimas.
Mailbomb (e-mail bomba) - bots enviam uma quantidade massiva de e-mails, tirando servidores de e-mail do ar.
Smurf Attack (Ataque dos smurfs) - bots enviam mensagens aos refletores via protocolo de mensagens de controle da Internet .
Teardrop (lágrima) - bots enviam pedaços de um pacote legítimo; o sistema-vítima tenta recombinar os pedaços dentro de um pacote e, como resultado, é derrubado.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ALGUNS CASOS DDoS
Script kiddies(hackers imaturos e muito jovens em busca de fama)
Em 4 de maio de 2001, um garoto de 13 anos usou um ataque de negação de serviço para tirar do ar o GRC.com, o site da Gibson Research Corporation. Ironicamente, o GRC.com trabalha com segurança na Internet.
Em 2006, a polícia de Hanói, no Vietnam, prendeu um aluno do segundo ano de faculdade por orquestrar um ataque de DDoS no site da Nhan Hoa Software Company. Ele disse ter feito isso por não gostar do site.
Aqui no Brasil, um hacker de 14 anos tirou do ar o site de seguros da Caixa Econômica Federal em 2000 - ano em que ocorreu a maioria dos ataques de DDoS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ENVENENAMENTO DE DNS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ENVENENAMENTO DE DNS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ENVENENAMENTO DE DNS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
PHISHING
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CARACTERÍSTICAS DE UM PHISHING
1. Cumprimentos genéricos, como "Caro Cliente"; se o seu banco te manda uma correspondência oficial, ela deve conter seu nome completo.
2. Ameaças a sua conta e pedidos para ação imediata, como "Favor responder dentro de cinco dias úteis ou sua conta será cancelada".
3. Pedido de informação pessoal. Links suspeitos. Links que são mais longos que o normal, com o símbolo @ ou mal escritos podem ser sinal de phishing.
4. Ortografia ruim e gramática pobre.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
Evolução dos ataques
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
UTILIZANDO SENHAS
Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha são:
• Ler e enviar e-mails em seu nome;
• Obter informações sensíveis dos dados armazenados em seu computador, tais como números de cartões de crédito;
• Esconder sua real identidade e então desferir ataques contra computadores de terceiros.
Portanto, a senha merece consideração especial, afinal ela é de sua inteira responsabilidade.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
QUANDO UMA SENHA É BOA ?
Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.
Quanto mais “bagunçada” for a senha melhor, pois mais difícil será descobri-la. Por exemplo, usando a frase “Eu vou entrar em um Órgão Público este ano” podemos gerar a senha “EveeuOPea!” .
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
FIREWALL
Um firewall é um software ou hardware que verifica informações oriundas da Internet ou de uma rede e bloqueia-as ou permite que elas passem pelo seu computador, dependendo das configurações do firewall.
Ajuda a impedir o computador de enviar software mal-intencionado para outros computadores.
Impede que hackers ou malwares (como worms) obtenham acesso ao seu computador.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
HONEYPOT
Geralmente é composta por um único computador ou uma rede local que esconde-se como normal um computador ou rede.
Ele pode enganar o hacker em pensar que é um proxy aberto.
Um honeypot é uma armadilha que é utilizado para identificar, evitar e, em certa medida, neutralizar as tentativas de adulteração sistemas de informação e redes.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
IDS – SISTEMA DE DETECÇÃO DE INTRUSO
Sistema de detecção de intrusos refere-se a meios técnicos de descobrir em uma rede quando esta está tendo acessos não autorizados que podem indicar a ação hacker ou até mesmo funcionários mal intencionados.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
Bastion Host
Bastion host é qualquer máquina configurada para desempenhar algum papel crítico na segurança da rede interna.
Um Bastion Host é um misto de Firewall, Router, Web Proxy, IDS, Servidor DNS e DHCP e Analisador de Tráfego, condensado numa única aplicação.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
PROTOCOLO KERBEROS1) Servidor de Autenticação - Responsável pela autenticação do usuário. A partir do pedido a este servidor, ele receberá um ticket e uma chave de sessão.
2) Servidor de Concessão de Ticket TGS – Responsável pela concessão de novos tickets para os serviços que utilizam o Kerberos.
3) Servidor de administração – Responsável pelo controle das chaves secretas, cadastrando-as tanto no cliente quanto no servidor. Para isso o usuário precisa fazer o seu cadastramento, escolhendo um username e uma senha.
4) Base de Dados – Responsável pelo armazenamento das chaves secretas.
TELNET, RLOGIN, LINUX, SOLARIS, WINDOWS 2000, WINDOWS.NET
1
2
3
4
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
Redes DMZTambém conhecida como Rede de Perímetro, a DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.
A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local, limitando assim o potencial dano em caso de comprometimento de algum destes serviços por um invasor.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CONCEITOS SOBRE CRIPTOGRAFIA
O que é Criptografia ?
Criptografia é a ciência e arte de escrever mensagens em forma cifrada ou em código. É parte de um campo de estudos que trata das comunicações secretas, usadas, dentre outras finalidades, para:
• Autenticar a identidade de usuários;
• Autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias;
• Proteger a integridade de transferências eletrônicas de fundos.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
MÉTODOS DE CRIPTOGRAFIA
Os métodos de criptografia atuais são seguros e eficientes e baseiam-se no uso de uma ou mais chaves. A chave é uma seqüência de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é convertida em um número, utilizado pelos métodos de criptografia para codificar e decodificar mensagens.
Atualmente, os métodos criptográficos podem ser subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a criptografia de chave única e a criptografia de chave pública e privada.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CRIPTOGRAFIA DE CHAVE ÚNICA
Quando um emitente cifra uma mensagem, ela utiliza um algoritmo de ciframento e uma chave secreta para transformar uma mensagem clara em um texto cifrado.
A pessoa que recebe a mensagem criptografada, para decifrá-la, utiliza o algoritmo de deciframento correspondente e a mesma chave para transformar o texto cifrado em uma mensagem em claro.
Qualquer pessoa (hacker), por não possuir a chave secreta, não conseguirá decifrar a mensagem.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CRIPTOGRAFIA DE CHAVE ÚNICA
Quando Alice cifra uma mensagem, ela utiliza um algoritmo de ciframento e uma chave secreta.
Bob utiliza o algoritmo de deciframento correspondente e a mesma chave para transformar o texto cifrado em uma mensagem em claro.
Eve, por não possuir a chave secreta, não conseguirá decifrar a mensagem.
CHAVE SIMÉTRICA
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CRIPTOGRAFIA DE CHAVE PÚBLICA E PRIVADA
Essas chaves são geradas simultaneamente e são relacionadas entre si, o que possibilita que a operação executada por uma seja revertida pela outra.
A chave privada deve ser mantida em sigilo e protegida por quem gerou as chaves.
A chave pública é disponibilizada e tornada acessível a qualquer indivíduo que deseje se comunicar com o proprietário da chave privada correspondente.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CRIPTOGRAFIA DE CHAVE PÚBLICA E PRIVADA
Assim, se Lula cifrar uma informação com sua chave privada e enviar para o Ministro, ele poderá decifrar esta informação pois tem acesso à chave pública de Lula. Além disto, qualquer pessoa poderá decifrar a informação, uma vez que todos conhecem a chave pública de Lula. Por outro lado, o fato de ser necessário o uso da chave privada de Lula para produzir o texto cifrado caracteriza uma operação que somente Lula tem condições de realizar.
V. 3.1
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
Criptografia simétricaCriptografia simétrica
Criptografia assimétricaCriptografia assimétrica
MÉTODOS DE CRIPTOGRAFIA
mensagem h3kja1la mensagemh3kja1la
A B
mensagem
chave públicade B
chave privadade B
mensagem h3kja1la h3kja1la
mensagemmensagem h3kja1la h3kja1la
A
A
B
B
B B
BB
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ALGORITMOS DE CHAVE ÚNICA
DES (Data Encryption Standard): criado pela IBM em 1977, faz uso de chaves de 56 bits. Isso corresponde a 72 quadrilhões de combinações. É um valor absurdamente alto, mas não para um computador potente. Em 1997, ele foi quebrado por técnicas de "força bruta" (tentativa e erro) em um desafio promovido na internet;
IDEA (International Data Encryption Algorithm): criado em 1991 por James Massey e Xuejia Lai, o IDEA é um algoritmo que faz uso de chaves de 128 bits e que tem uma estrutura semelhante ao DES. Sua implementação em software é mais fácil do que a implementação deste último;
RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algoritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. Possui várias versões: RC2, RC4, RC5 e RC6. Essencialmente, cada versão difere da outra por trabalhar com chaves maiores.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ALGORITMOS DE CHAVE PÚBLICARSA (Rivest, Shamir and Adleman): criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman nos laboratórios do MIT (Massachusetts Institute of Technology), é um dos algoritmos de chave assimétrica mais usados. Nesse algoritmo, números primos (número primo é aquele que só pode ser dividido por 1 e por ele mesmo) são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor. Porém, descobrir os dois primeiros números a partir do terceiro (ou seja, fazer uma fatoração) é muito trabalhoso. Se dois números primos grandes (realmente grandes) forem usados na multiplicação, será necessário usar muito processamento para descobri-los, tornando essa tarefa quase sempre inviável.
ElGamal: criado por Taher ElGamal, esse algoritmo faz uso de um problema matemático conhecido por "logaritmo discreto" para se tornar seguro. Sua utilização é freqüente em assinaturas digitais.
DSA (Digital Signature Algorithm), o Schnorr (praticamente usado apenas em assinaturas digitais).
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ASSINATURA DIGITALNa assinatura digital, o documento não sofre qualquer alteração e o hash cifrado com a chave privada é anexado ao documento.
Para comprovar uma assinatura digital é necessário: Calcular o resumo criptográfico do documento e decifrar a assinatura com a chave pública do signatário. Se forem iguais, a assinatura está correta, o que significa que foi gerada pela chave privada corresponde à chave pública utilizada na verificação e que o documento está íntegro.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ASSINATURA DIGITAL
Um recurso conhecido por Assinatura Digital é muito usado com chaves públicas. Trata-se de um meio que permite provar que um determinado documento eletrônico é de procedência verdadeira.
O receptor da informação usará a chave pública fornecida pelo emissor para se certificar da origem. Além disso, a chave fica integrada ao documento de forma que qualquer alteração por terceiros imediatamente a invalide.
mensagemmensagemmensagem
resumo
= ?A
B
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
EXEMPLOS DE USO DA ASSINATURA DIGITAL
As transações comerciais ou bancárias via Web, utilizam conexões seguras baseado no método de criptografia de chave única, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usuário precisa informar ao site qual será a chave única utilizada na conexão segura, antes de iniciar a transmissão de dados sigilosos.
Para isto, o browser obtém a chave pública do certificado da instituição que mantém o site. Então, ele utiliza esta chave pública para codificar e enviar uma mensagem para o site, contendo a chave única a ser utilizada na conexão segura. O site utiliza sua chave privada para decodificar a mensagem e identificar a chave única que será utilizada. A partir deste ponto, o browser do usuário e o site podem transmitir informações, de forma sigilosa e segura, através da utilização do método de criptografia de chave única. A chave única pode ser trocada em intervalos de tempo determinados, através da repetição dos procedimentos descritos anteriormente, aumentando assim o nível de segurança de todo o processo.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CERTIFICADO DIGITAL
O certificado digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas num certificado digital são o que possibilita colocá-lo em repositórios públicos.
Um Certificado Digital normalmente apresenta as seguintes informações:
Nome da pessoa ou entidade a ser associada à chave pública Período de validade do certificado Chave pública Nome e assinatura da entidade que assinou o certificado Número de série.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
COMO SE CERTIFICAR DIGITALMENTE
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
AUTORIDADE CERTIFICADORA
Autoridade Certificadora (AC) é a entidade responsável por emitir certificados digitais. Estes certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma instituição¸ etc....
Os certificados digitais possuem uma forma de assinatura eletrônica da AC que o emitiu. Graças a sua idoneidade, a AC é normalmente reconhecida por todos como confiável, fazendo o papel de “Cartório Eletrônico”.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
ONDE SE CERTIFICAR
No Brasil, a ICP-Brasil controla seis ACs: a Presidência da República, a Receita Federal, o SERPRO, a Caixa Econômica Federal, a Serasa e a CertiSign. Isso significa que, para que tenha valor legal diante do governo brasileiro, uma dessas instituições deve prover o certificado.
Porém, para que isso seja feito, cada instituição pode ter requisitos e custos diferentes para a emissão, uma vez que cada entidade pode emitir certificados para finalidades distintas. E isso se aplica a qualquer AC no mundo.
Agora, uma coisa que você deve saber é que qualquer instituição pode criar uma ICP, independente de seu porte. Por exemplo, se uma empresa criou uma política de uso de certificados digitais para a troca de informações entre a matriz e sua filiais, não vai ser necessário pedir tais certificados a uma AC controlada pela ICP-Brasil.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
USO DE CERTIFICADOS DIGITAIS
Alguns exemplos típicos do uso de certificados digitais são:
• Quando você acessa um site com conexão segura, como por exemplo o acesso a sua conta bancária pela Internet, é possível checar se o site apresentado é realmente da instituição que diz ser, através da verificação de seu certificado digital;
• Quando você consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes de fornecer informações sobre a conta;
• Quando você envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado para assinar “digitalmente” a mensagem, de modo a assegurar ao destinatário que o e-mail éseu e que não foi adulterado entre o envio e o recebimento.
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
USO DE CERTIFICADOS DIGITAIS
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
SPAM, MALWARES E PROTEÇÃO
Como tudo funciona?
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CUIDADOS
• Realizar transações somente em sites de instituições que você considere confiáveis;• Procurar sempre digitar em seu browser o endereço desejado. Nao utilize links em paginas de terceiros ou recebidos por e-mail;• Certificar-se de que o endereço apresentado em seu browser corresponde ao site que você realmente quer acessar, antes de realizar qualquer ação;• Certificar-se que o site faz uso de conexão segura (ou seja, que os dados transmitidos entre seu browser e o site serão criptografados) • Estar atento e prevenir-se dos ataques de engenharia social • Não acessar sites de comercio eletrônico ou Internet Banking através de computadores de terceiros;
Prof. Edu Benjamin
P
R
O
T
E
Ç
Ã
O
E
S
E
G
U
R
A
N
Ç
A
CUIDADOS
• Manter o seu browser sempre atualizado e com todas as correções (patches) aplicadas;• Alterar a configuração do seu browser para restringir a execução de Java script e de programas Java ou ActiveX, exceto para casos específicos;• Configurar seu browser para bloquear pop-up windows e permiti-las apenas para sites conhecidos e confiáveis, onde forem realmente necessárias;• Configurar seu programa leitor de e-mails para não abrir arquivos ou executar programas automaticamente;• Com estes cuidados adicionais você pode evitar que seu browser contenha alguma vulnerabilidade, e que programas maliciosos (como os cavalos de tróia e outros tipos de malware) sejam instalados em seu computador para, dentre outras finalidades, furtar dados sensíveis e fraudar seus acessos a sites de comercio eletrônico ou Internet Banking
