48
Ataques Jorge Ávila

Aula 3 semana2

Embed Size (px)

Citation preview

  • 1. Jorge vila

2. Assinatura Digital extremamente importante garantir a autenticidade de uma informao Desde muito tempo at os dias atuais a assinatura de uma pessoa em um documento qualquer garante que este documento autntico e ainda mais, garante que a pessoa que o assinou est ciente do contedo e no pode mais voltar atrs 3. Assinatura Digital Com o advento dos documentos digitais Surgiu a necessidade de se criar um mecanismo que substitusse a assinatura convencional, surgindo assim a assinatura digital. 4. Assinatura Digital Tem validade jurdica inquestionvel e equivale a uma assinatura de prprio punho. uma tecnologia que utiliza a criptografia e vincula o certificado digital ao documento eletrnico que est sendo assinado. Assim, d garantias de integridade e autenticidade. [Texto extrado de www.documentoeletronico.com.br]. 5. Assinatura Digital Para acrescentar assinatura digital a caracterstica da integridade, podemos lanar mo de uma tcnica as Funes de Hashing, que como vimos, trata-se da aplicao de uma funo matemtica mensagem gerando um resultado de tamanho fixo chamado de digest que enviado junto com a mensagem ao destinatrio. 6. Assinatura Digital Este por sua vez, ao receber a mensagem e o digest, aplica a mesma funo matemtica na mensagem recebida e compara os digests: caso sejam iguais, a mensagem est ntegra. Juntar a criptografia assimtrica s funes de hashing a melhor forma de assinar digitalmente um documento. 7. Assinatura Digital Entretanto, criptografar todo um documento, que pode chegar a ter dezenas de pginas, faz com que o processo se torne lento a ponto de ser invivel em algumas situaes. Tendo este fato em vista, considerado mais prudente criptografar apenas o digest gerado pela mensagem. 8. Assinatura Digital Assim sendo, o processo se torna menos dispendioso e continua garantindo: A autenticidade e o no-repdio, j que o digest ser encriptado com a chave privada do emissor. A integridade, j que sero usadas funes de hashing para a verificao. 9. Certificado Digital De acordo com a Receita Federal do Brasil um certificado digital um arquivo eletrnico que identifica quem seu titular, pessoa fsica ou jurdica, ou seja, um Documento Eletrnico de Identidade. Quando so realizadas transaes, de uma forma presencial, muitas vezes solicitada uma identificao, por meio de um registro que comprove a identidade. Na internet, como as transaes so feitas de forma eletrnica o Certificado Digital surge como forma de garantir a identidade das partes envolvidas. 10. Certificado Digital Um certificado digital um arquivo de computador que contm a chave pblica e a chave privada de uma pessoa, uma empresa, um computador, uma pgina na internet ou aplicao de qualquer espcie. Este certificado s vlido se for assinado por uma Autoridade Certificadora AC. 11. Certificado Digital Os certificados digitais so muito usados em pginas na internet. Quando um site possui um certificado digital vlido, ele est garantindo que verdadeiro e de confiana. Alguns rgos pblicos como a Receita Federal do Brasil j exigem dos profissionais da rea contbil um certificado digital para que possam efetuar o envio de informaes como declaraes, retificaes, documentos, entre outros. 12. Certificado Digital 13. Certificado Digital Para facilitar seu uso, o certificado digital inserido em cartes criptogrficos ou tokens em forma de unidades de armazenamento com entrada USB. 14. Certificado Digital 15. Exercicio 1. Qual o motivo de ter se tornado necessrio criar a assinatura digital? 2. O que um Assinatura Digital? 3. O que um Certificado Digital? 4. O que uma Autoridade Certificadora? 5. O qu a assinatura digital garante? (Marque mais de uma opo se for o caso). a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Autenticidade. e) No-repdio. 16. ATAQUES Evitar um ataque a um servio ou sistema o trabalho principal de um profissional da segurana das informaes. Infelizmente eles esto frequentemente presentes nas redes de uma forma geral e se apresenta de diferentes maneiras. importante que conheamos os principais tipos de ataques para tentar combat-los. 17. DoS (Denial of Service) o ataque de negao de servio. Este ataque visa tornar indisponvel algum servio na rede como uma aplicao, um site da Web, um servidor de qualquer tipo. A indisponibilidade acontece porque o atacante inunda a vtima de solicitaes a ponto de o servio no conseguir responder a contento e sair da rede. Em um ataque de DoS, a vtima acarreta um prejuzo ao ficar temporariamente fora do ar. 18. DoS (Denial of Service) 19. DoS (Denial of Service) Vdeo Dos 20. Ping da Morte O comando ping faz parte do protocolo ICMP e utilizado para testar conexes de rede. Ao executar este comando, insere-se o endereo da mquina que se quer testar. Da so enviados quatro pequenos pacotes de 32 bytes para o endereo informado Este processo extremamente simples e, se bem utilizado, no causa nenhum mal-estar na rede. 21. Ping da Morte 22. Ping da Morte O Ping da Morte trata-se de enviar vrias vezes para a vtima um ping com o tamanho mximo: 65500 bytes. Com uma rajada de pacotes maior que o tolervel, a placa de rede no consegue responder a todas as solicitaes e derrubada. O Ping da Morte tambm pode ser considerado um tipo de ataque de DoS, 23. Ataque que abalou a Internet Nesta semana aconteceu o maior ciberataque da histria. Uma briga entre a Spamhaus, organizao anti-spam, e a hospedeira de sites Cyberbunker, que estava na lista negra do grupo, quase derrubou a internet em diversas partes do mundo. Fonte : www. http://olhardigital.uol.com.br 24. Ataque que abalou a Internet A ofensiva, considerada seis vezes mais agressiva que as direcionadas a bancos, usou uma estratgia j conhecida, a de negao de servio distribudo (DDoS, na sigla em ingls). Fonte : www. http://olhardigital.uol.com.br 25. Ataque que abalou a Internet Normalmente, um ataque DDoS de 50 Gb/s (gigabits por segundo) suficiente para derrubar um site de banco. Mas no episdio desta semana a equipe da Spamhaus sofreu agresses de at 300 Gb/s por cerca de sete dias. Fonte : www. http://olhardigital.uol.com.br 26. Engenharia Social A engenharia social uma antiga tcnica usada para conseguir informaes importantes de pessoas descuidadas. O invasor normalmente engana a vtima se disfarando, ou mantendo uma conversa agradvel e amistosa at ganhar a confiana da mesma. 27. Engenharia Social Este tipo de ataque se caracteriza por no usar nenhum aparato tecnolgico para conseguir uma informao sigilosa A engenharia social busca trabalhar o fator humano, tendo em vista que os usurios das informaes so um risco em potencial segurana por serem muito sujeito a falhas, intencionais ou no. 28. Engenharia Social O invasor lana mo de ferramentas que lhe permitam se passar por outras pessoas ou que lhe concedam a confiana da vtima: uma ligao telefnica, um e-mail, uma visita empresa fingindo ser um cliente, ou um tcnico que ir fazer a manuteno de uma determinada impressora de rede e at mesmo revirar o lixo. 29. Ataque man in the middle (Homem no meio, em referncia ao atacante que intercepta os dados) uma forma de ataque em que os dados trocados entre duas partes, por exemplo voc e o seu banco, so de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem que as vitimas se apercebam. 30. Ataque man in the middle Durante o ataque man-in-the-middle, a comunicao interceptada pelo atacante e retransmitida por este de uma forma discricionria. O atacante pode decidir retransmitir entre os legtimos participantes os dados inalterados, com alteraes ou bloquear partes da informao. 31. Ataque man in the middle Como os participantes legtimos da comunicao no se apercebem que os dados esto a ser adulterados tomam-nos como vlidos, fornecendo informaes e executando instrues por ordem do atacante. 32. Spywares So programas espies, isto , sua funo coletar informaes sobre uma ou mais atividades realizadas em um computador. um programa que capta os nossos dados pessoais, tais como hbitos de navegao, configuraes atuais dos nossos programas e outros, colecionando-os para de seguida envi-los pela internet a empresas de publicidades e estudos de marketing, sem que para isso esse mesmo programa no nos tenha avisado explicitamente. 33. Spywares Muitas vezes, quando instalamos produtos gratuitos ou shareware (produtos em verso de demonstrao), esses parasitas tambm invadem o computador. 34. Spywares Os chamados spyware podem ser de dois tipos: interno e externo. O spyware integrado ou interno est includo no cdigo fonte de um programa dando-lhe a possibilidade de recolher e transmitir informaes pela internet. o caso do Gator, Savenow, Webhancer, TopText e Alexa. 35. Spywares O spyware externo uma aplicao autnoma que dialoga com o programa que lhe est associado e a sua principal funo recolher informao, mostrar publicidade, etc. Este tipo de programa-espio concebido normalmente por empresas publicitrias (Cydoor, Web3000, Radiate...) que tm acordos com editores desoftware . Por exemplo, o Cydoor um spyware que se instala ao mesmo tempo que o famoso KaZaA. 36. Cavalo de Tria Tambm conhecido como Trojan, o cavalo de Tria um arquivo que entra no computador camuflado em aplicaes aparentemente inofensivas. O arquivo aparentemente inofensivo apresenta-se de forma destrutiva, causando danos e auxiliando na captura de informaes do sistema e dos usurios. 37. Keylogger Um keylogger um programa que monitora, captura e armazena todas as entradas feitas no teclado, em outras palavras, ele guarda tudo o que digitado em um arquivo de texto. Keyloggers so utilizados por invasores para descobrir senhas e conhecer o contedo de mensagens. Eles tambm so usados para capturar dados inocentemente inseridos em sites falsos. 38. MECANISMOS DE PROTEO E MONITORAMENTO O que pode ser feito para minimizar as chances de uma vtima sofrer um ataque? 39. MECANISMOS DE PROTEO E MONITORAMENTO Para conseguir um ambiente seguro, necessrio buscar executar trs processos importantes: Preveno; Deteco; Reao; 40. MECANISMOS DE PROTEO E MONITORAMENTO Os profissionais e estudiosos da rea da segurana das informaes esto constantemente criando mtodos que funcionem como solues s ameaas que encontramos hoje em dia. Dentre estas solues, temos algumas que agem na preveno contra estes ataques, j que, como sabemos: prevenir mais barato, mais rpido e menos trabalhoso que remediar. 41. MECANISMOS DE PROTEO E MONITORAMENTO Temos tambm solues de deteco, j que no possvel bloquear 100% do trfego de rede ou do acesso a ela. O processo de reao 42. IPS e IDS IPS : um Sistema de Preveno de Intruso. IDS: um Sistema de Deteco de Intruso e este conceito mais antigo que o IPS 43. IPS Ele tem a funo de prevenir qualquer tipo de ataque. Como se pode prever, um IPS trabalha antes que o problema acontea, na tentativa de impedir a sucesso de um ataque. Como forma de auxiliar o administrador de rede, um IPS deve alm de detectar o ataque, alertar sobre a tentativa. Assim, o administrador poder trabalhar no sentido de evitar novas tentativas dirimindo possveis brechas e possveis falhas de segurana que possam estar sendo utilizadas por invasores. 44. IPS Uma soluo de IPS pode estar em softwares ou hardwares. Cisco IPS 4270 Sensor 45. IDS Um IDS importante para controlar o trfego que no bloqueado por firewalls, por exemplo, e tambm o trfego que no passa por eles. Tambm encontrado na forma de software e na forma de hardware, o IDS atua durante um ataque, alertando o administrador da rede para que o mesmo tome as providncias cabveis. 46. IDS Como vantagem, um IDS consegue armazenar em um banco de dados os principais tipos de ataques e ao ataques j sofridos, para que assim, ele possa monitorar e perceber se uma ao na rede semelhante a de um ataque j conhecido. Como desvantagem, se o invasor utilizar um tipo de ataque pela primeira vez, este no ser detectado. 47. Firewall O Firewall um conjunto de softwares e tambm hardware que atua fazendo um isolamento da rede e filtrando, ou seja, verificando todo pacote que pretende entrar nela, assim ele pode permitir ou bloquear a entrada do mesmo. Ao comunicarmos a rede de uma corporao com a internet, estamos pondo-a em um ambiente de alto risco, onde as conexes no so seguras. Ao ligarmos uma rede internet, estamos ligando-a a uma rede mundial, onde qualquer um pode tentar penetrar e causar algum dano. 48. Firewall um firewall uma poderosa proteo que colocamos na entrada da rede. Podemos ter mais de um firewall na mesma rede separando sub- redes que no devem trocar pacotes especficos, como por exemplo, em uma empresa, onde queiramos isolar o setor contbil dos outros setores.


Microeletrônica Aula 3

Microeletrônica Aula 3

Documents
Aula 3 - 3 ED3

Aula 3 - 3 ED3

Education
26881_AE Aula 3

26881_AE Aula 3

Documents
Aula 3 imuno

Aula 3 imuno

Documents
Plano de Aula Aula (3)

Plano de Aula Aula (3)

Documents
Aula Processos Extrativos Aula 3

Aula Processos Extrativos Aula 3

Documents
3 gestao-projetos-aula 3

3 gestao-projetos-aula 3

Automotive
Aula 3 - Nitrogênio

Aula 3 - Nitrogênio

Documents
quadrados aula 3

quadrados aula 3

Documents
Aula MBIT_2013-aula 3 - Gerenciamento de Escopo.ppt

Aula MBIT_2013-aula 3 - Gerenciamento de Escopo.ppt

Documents
Aula Fluor 3

Aula Fluor 3

Documents
Aula 3: Tabela Periódica - Professorprofessor.pucgoias.edu.br/SiteDocente/admin/arquivosUpload/6739... · Aula 3 - Profa. Adélia Aula 3: Tabela Periódica PESQUISA INDIVIDUAL –

Aula 3: Tabela Periódica - Professorprofessor.pucgoias.edu.br/SiteDocente/admin/arquivosUpload/6739... · Aula 3 - Profa. Adélia Aula 3: Tabela Periódica PESQUISA INDIVIDUAL –

Documents
Aula geologia 3

Aula geologia 3

Education
Aula 3 Aula 3 – Introdução à Robótica Móvel Introdução à ... · Aula 3 Aula 3 – Introdução à Robótica Móvel Introdução à Robótica Móvel Cinemática Prof. Dr.Prof

Aula 3 Aula 3 – Introdução à Robótica Móvel Introdução à ... · Aula 3 Aula 3 – Introdução à Robótica Móvel Introdução à Robótica Móvel Cinemática Prof. Dr.Prof

Documents
EmpurraoparaoEnem Intensivo Semana2 2

EmpurraoparaoEnem Intensivo Semana2 2

Documents
3) Aula Introdutória - Aula 1

3) Aula Introdutória - Aula 1

Documents
Informática Aula 3 Parte 3

Informática Aula 3 Parte 3

Documents
Empurraoparao enem intensivo-semana2 (1)

Empurraoparao enem intensivo-semana2 (1)

Documents
Aula VBA 3

Aula VBA 3

Documents
AULA 3 A CRIAÇÃO DO HOMEM. AULA 3 OS DIAS DA CRIAÇÃO

AULA 3 A CRIAÇÃO DO HOMEM. AULA 3 OS DIAS DA CRIAÇÃO

Documents
Sintaxe- Aula 3

Sintaxe- Aula 3

Documents
AULA 3 IDADE DA TERRA.. AULA 3 OS DIAS DA CRIAÇÃO

AULA 3 IDADE DA TERRA.. AULA 3 OS DIAS DA CRIAÇÃO

Documents
port aula 3

port aula 3

Documents
Aula 3 semana2

Aula 3 semana2

Technology
1 PROE Radiação – Aula 3 PROE 1S 0708 Rad Aula 3

1 PROE Radiação – Aula 3 PROE 1S 0708 Rad Aula 3

Documents
Aula 3 -3 Serie- Ecologia

Aula 3 -3 Serie- Ecologia

Documents
Plano de Estudo Analista Judiciário (Área Administrativa ... · (Aulas 1 a 3) • Administração ... • Aula 1 –Aula 2 –Aula 3 –Aula 4 –Aula 5 –Aula 6 –Aula 7 –Aula

Plano de Estudo Analista Judiciário (Área Administrativa ... · (Aulas 1 a 3) • Administração ... • Aula 1 –Aula 2 –Aula 3 –Aula 4 –Aula 5 –Aula 6 –Aula 7 –Aula

Documents
Aula 3 soteriologia

Aula 3 soteriologia

Documents
Aula 3 Gesso - Aula

Aula 3 Gesso - Aula

Documents
Aula 2 semana2

Aula 2 semana2

Technology