Fundamentos de Segurança da Informação

Fundamentos de Segurança da Informação
Introdução Segurança da informação nas empresas. Quem investe? Fonte: 1 1

Algumas notícias Ataques a servidores web crescem 34% no 1º trimestre no Brasil / IDG Tentativas de fraude na web brasileira crescem 96% no 2º trimestre / IDG Cresce em 50% o uso de vermes para roubo de dados / Computerworld Operadora de telefonia Britânica deixa vazar Fotos enviadas por MMS / ISTF Metade dos varejistas dos EUA já perderam dados de clientes / Gartner Cracker divulga dados de 6 milhões de cidadãos chilenos na web / IDG Hackers atacam e deixam cidades sem luz / Wordpress Executivo é condenado por roubar dados da IBM para a HP / ISTF Roubo de informações da Petrobras pode indicar espionagem industrial / Globo 2 2

3 3

Algumas notícias 4 4

Introdução Principais responsáveis por ataques: Fonte: 9ª Pesquisa de Segurança da Informação - Módulo 5 5

Introdução Principais ameaças: Fonte: 9ª Pesquisa de Segurança da Informação - Módulo 6 6

Introdução O que é segurança da informação? Conjunto de disciplinas que visa proteger a informação; Possui como objetivo reduzir as ameaças ao ambiente; Garantir a continuidade dos negócios; Maximizar o retorno dos investimentos; É indispensável para a maioria das empresas; Se faz segurança da informação com os pilares: Disponibilidade e Integridade; Autenticidade e Confidencialidade ; Não-repúdio. 7 7

Introdução O que é segurança da informação? É custo (overhead); Profissionais capacitados; Aquisição de equipamentos; Contratação de consultorias; Desenvolvimento de sistemas; Revisão de processos; Implementação de disciplinas. 8 8

Introdução O que é segurança da informação? É difícil justificar investimentos Return On Investment (ROI) e Payback Todo investimento deve trazer um retorno: Financeiro; Imagem; Legal (atender regulamentações). 9 9

Introdução O que é segurança da informação? Não existe 100% de segurança; A segurança da informação deve realizar o seu trabalho “engessando” o mínimo possível a organização; 10 10

0% 99% -R$ +R$ Fundamentos de Segurança da Informação Introdução
O que é segurança da informação? Exercício de análise de custo x benefício; Realizar investimentos baseando-se na regra de Pareto. 0% 99% -R$ +R$ 11 11

Introdução Quem são os responsáveis pela segurança? Todos os funcionários da organização guardado as devidas proporções; Fornecedores e parceiros de negócio; Os próprios clientes; No entanto deve existir uma área centralizada; As Metas, os objetivos, as definições dos papéis e como operacionalizar a segurança; Necessita de imparcialidade e autonomia; É recomendado que esteja ligada e apoiada pela alta direção; 12 12

Introdução Quais os ganhos produzidos? Reduzir os níveis de riscos a patamares aceitáveis; Produzindo melhores produtos e serviços; Satisfazendo a maior parte dos clientes e principalmente os acionistas da empresa. Os ganhos visíveis são: Redução na probabilidade de incidentes de segurança; Redução das perdas e impactos causadas por incidentes; Melhor recuperação frente a danos, desastres ou incidentes. 13 13

Introdução Como as empresas se protegem? Tecnologia: Firewall, VPN, IPS, Proxy, antivírus, controle de e navegação, armazenamento e análise centralizada de logs, gerenciamento centralizado de identidades, segregação de redes e acessos, sistema de backup... Processos: tratamento de incidentes, auditoria, gerenciamento e monitoração constante, planos de contingência e recuperação de desastres, análise e gerenciamento de riscos... Pessoas: políticas, procedimentos, normas, instruções de trabalho, treinamentos, plano de aculturação... 14 14

15 15

Pilares da Segurança da Informação
Fundamentos de Segurança da Informação Pilares da Segurança da Informação 16 16

Principais Conceitos Pilares da segurança Disponibilidade Os ativos e a informação devem estar disponíveis aos usuários; É implementado através da redundância do ambiente; Normalmente afetada pela negação de serviço. (DoS; DDoS); Aspecto mais físico. 17 17

Principais Conceitos Pilares da segurança Disponibilidade 18 18

Fonte: 19 19

Fonte: 20 20

21 21

22 22

23 23

24 24

25 25

26 26

Principais Conceitos Pilares da segurança Confidencialidade Garantir o sigilo das informações; Autorização de acesso das partes envolvidas. É ajudada através da classificação da informação; Integridade Permitir que os envolvidos verifiquem se a informação não foi alterada intencionalmente ou não durante o seu transporte. 27 27

Principais Conceitos Pilares da segurança Autenticidade Permitir ao receptor identificar a autenticidade do remetente; Permite identificar quando uma pessoa tenta se passar por outra; Não-repúdio Garantir que o remetente não possa negar a autoria de seus atos. 28 28

Principais Conceitos Pilares da segurança 29 29

Processo de Gestão de Senhas
Fundamentos de Segurança da Informação Processo de Gestão de Senhas 30 30

Processos de Segurança da Informação Gerenciamento de Senhas Disciplina que visa orientar os usuários com relação à segurança das senhas; Esta disciplina define muitas vezes: Tamanho mínimo; Complexidade; Idade máxima; (Expiração) Histórico; Idade mínima; Bloqueio; Tempos de aviso; 31 31 31

32 32 32

36 36 36

37 37 37

38 38 38

Principais Conceitos de Segurança da Informação
Fundamentos de Segurança da Informação Principais Conceitos de Segurança da Informação 39 39

Principais Conceitos Hacker x Cracker; White Hat X Black Hat; Depende do lado da força. Phreaker; Ckackers de telefonia. Phracker. Crackers de telefonia IP. 40 40

Principais Conceitos Lamer ou Script Kiddies: Utiliza-se do trabalho intelectual dos verdadeiros especialistas técnicos. Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais. São meramente executores de scripts. 41 41

Principais Conceitos Defacers (Defacement) 42 42

43 43

44 44

Principais Conceitos Vírus Código de computador escrito com a intenção explícita de se auto-duplicar anexando-se a outros programa ou arquivos para poder se espalhar entre os computadores, infectando-os à medida que se desloca. Os vírus podem danificar seu software, hardware e arquivos. Os vírus necessitam da interação do usuário. barulho-em-2009 45 45

Principais Conceitos Wormes ou Vermes Um worm cria cópias de si mesmo e se espalha de um computador para outro, mas faz isso automaticamente, não necessitando da interação do usuário. A propagação pode ocorrer pela rede, pela lista de e Instante Messanger ou por programas P2P. O grande perigo dos worms é a sua capacidade de se replicar em grande volume criando um efeito domino. 46 46

Principais Conceitos Cavalo de Tróia Baseado na mitológico grega, o cavalo de tróia parece ser um presente, mas na verdade esconde códigos maliciosos com o objetivo de infectar o computador do usuário. Resumidamente o cavalo de tróia é um programa de computador que parece ser útil, mas na verdade causa danos. Eles se aproveitam da engenharia social para seduzir as pessoas a abrir o programa por pensar que vem de uma fonte legítima. 47 47

Principais Conceitos Crack ou ckacker Software utilizado para a quebra de senhas, chaves criptográficas ou códigos de licenciamento. Adware Softwares que apresentam propagandas sem o consentimento do usuário. 48 48

Principais Conceitos Keylogger Software Hardware 49 49

Principais Conceitos Spyware 50 50

Principais Conceitos Banker 51 51

Principais Conceitos Bot/Botnet 52 52

Principais Conceitos Malware 53 53

Também utilizada pelos crackers para verificar a “invisibilidade” dos seus trojans perante os anti-vírus. 54 54 54

Principais Conceitos Binder ou Joiner Ferramenta que anexa um segundo software a um software principal; Quando o software principal é executado o software anexado também é executado. 55 55

Principais Conceitos Backdoor Programa instalado por um intruso em um computador com o objetivo de oferecer uma forma de acesso futura; Um backdoor pode ser instalado através de uma ação do invasor localmente ou remotamente; Pode ser ainda instalada pelo próprio usuário como um cavalo de tróia. 56 56

Backdoor 57 57

Principais Conceitos Hoax Exemplos: Cruz da Honda, Cobra do Habibb’s 58 58

Principais Conceitos SPAM Uma mensagem eletrônica é "spam" SE: (1) a identidade pessoal do destinatário e o contexto são irrelevantes porque a mensagem é igualmente aplicável a muitos outros potenciais receptores; E (2) o beneficiário não tenha comprovadamente concedidos deliberada, explícita e ainda: revogável permissão para que ele seja enviado e (3) a transmissão e recepção da mensagem aparece para o receptor para dar um benefício desproporcional para o remetente. 59 59

Principais Conceitos SPAM 60 60

Principais Conceitos SPAM 61 61

62 62

Principais Conceitos Open Relay Servidor de mal configurado que permite o uso indevido de sua infra-estrutura por usuários na Internet para o envio de s onde a origem e o destino não fazem parte de seu domínio.. 63 63

Principais Conceitos 64 64

Principais Conceitos Phishing Scan 67 67

68 68

69 69

70 70

71 71

72 72

74 74

Principais Conceitos Recomendação Monitorar os principais canais de divulgação de fraudes e phising scans para identificar possíveis ameaças ao ambiente da empresa e realizar treinamentos e comunicações sobre estas ameaças. ww.fraudes.org 75 75

Principais Conceitos Engenharia Social 76 76

Exemplo de engenharia social: Pai: Filho, quero que você se case com uma moça que eu escolhi. Filho: Mas pai, eu quero escolher a minha mulher. Pai: Meu filho, ela é filha do Bill Gates. Filho: Bem neste caso eu aceito. Então o pai vai encontrar o Bill Gates. Pai: Bill, eu tenho o marido para sua filha. Bill Gates: Mas a minha filha é muito jovem para casar. Pai: Mas esse jovem é vice-presidente do Banco Mundial. Bill Gates: Neste caso tudo bem. Finalmente o pai vai ao Presidente do Banco Mundial. Pai: Sr. presidente, eu tenho um jovem que é recomendado para ser vice-presidente do Banco Mundial. Pres Banco Mundial: Mas eu já tenho muitos vice-presidentes, inclusive mais do que o necessário. Pai: Mas Sr. este jovem é genro do Bill Gates. Pres Banco Mundial: Neste caso ele está contratado.. 77 77

Principais Conceitos Comunicação em uma rede 78 78

Principais Conceitos Sniffer Ferramenta utilizada por crackers ou hackers o conteúdo das informações que estão trafegando na rede de computadores; É uma espécie de escuta telefônica para o mundo dos computadores; Através desta técnica é possível coletar qualquer informação transmitida entre dois computadores. 79 79

Sniffers 80 80

Principais Conceitos Port Scanner Ferramenta utilizada por crackers ou hackers para identificar quais as portas lógicas de um equipamento estão “abertas”; Em um ataque o cracker utiliza normalmente um port scanner na fase de reconhecimento do ambiente; Através de um port scanning é possível inferir quais serviços estão ativos em um equipamento; 81 81

Port Scanner 82 82

Principais Conceitos Firewall 83 83

Principais Conceitos Firewall 84 84

Principais Conceitos VPN 85 85

Principais Conceitos Proxy Open Proxy 86 86

Principais Conceitos IDS IPS 87 87

Principais Conceitos Footprint Técnica utilizada pelos crackers para o levantamento de informações do ambiente como versões de software, para posteriormente buscar vulnerabilidades conhecidas e exploits. 88 88

89 89

Principais Conceitos Rootkit Um rootkit é um programa com código mal intencionado que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação. Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos relacionados. 90 90

Principais Conceitos Vulnerability Scanner Ferramenta utilizada por crackers ou hackers para identificar quais vulnerabilidades um software possui; Este tipo de técnica analisa o alvo com base em vulnerabilidades conhecidas; Pode ser utilizado tanto para prevenção de vulnerabilidades pela ação proativa; Como também para identificar falhas e proceder com ataques. 91 91

Vulnerability Scanner 92 92

Principais Conceitos HoneyPots Sistemas preparados com vulnerabilidades propositais; O objetivo é estudar as técnicas de ataques dos crackers para a estruturação de defesas; HoneyNet Redes preparadas com vulnerabilidades propositais; O seu objetivo é o mesmo dos HoneyPots. 93 93 93

Principais Conceitos Disassembler Software que realiza a engenharia reversa de um executável, ou seja, transforma o executável com código fonte; Normalmente utilizado por crackers para identificar: senhas e chaves de criptografia “escondidas” ou até mesmo o funcionamento do software. 94 94

Principais Conceitos Hardening Hardening é um processo de mapeamento das falhas de segurança e mitigação das mesmas através da execução de atividades corretivas, através da implementação dos conceitos de segurança. O objetivo principal é tornar o ambiente preparado para enfrentar tentativas de ataque. 95 95

Principais Conceitos Checklist de Segurança Um checklist é um resumo das principais configurações de segurança recomendadas para serem implementadas nos ambientes computacionais. A implementação de checklists de segurança em sistemas operacionais, banco de dados, servidores de aplicações e outros serviços suportam o conceito de hardening. 96 96

Principais Conceitos Ameaça Indivíduos ou eventos que praticam atividades para afetar pessoas, ambientes ou negócios; Um cracker, um vírus, um desastre natural, Enchentes, terremotos, incêndios ... Ataque Ação realizada por uma ameaça; Pode ter sucesso ou não no comprometimento do ambiente; A ação bem sucedida compromete a segurança do ambiente; 97 97

Principais Conceitos Invasão É um ataque bem sucedido que compromete o ambiente; Toda invasão é um ataque; Nem todo ataque é uma invasão; Uma invasão deve permitir ao indivíduo. Controle do alvo; Manipulação da informação; Consulta; Remoção; Alteração. Invasões Ataque 98 98

Falhas ou bugs Vulnerabilidades Holes Principais Conceitos Bug ou Falha Uma falha é algo que conduz o sistema ao não planejado ou não previsto; Situação não prevista ou considerada no projeto original. Vulnerabilidade Resultado da existência de uma falha ou bug; Expõe o sistema sob algum dos aspectos de segurança; Pode comprometer uma parte do sistema ou o todo; Toda vulnerabilidade pode ser explorada; Exemplo: ping of death, multa de trânsito, pagamento com cartão de crédito sem senha; 99 99

100 100

Principais Conceitos Vulnerabilidade Vulnerabilidade Física: Falta de extintores; Instalações prediais fora dos padrões de segurança; Falta de detectores de fumaça e de outros recursos para prevenção e combate a incêndios; Instalação elétrica antiga e em conjunto com a dos computadores. 101 101

Principais Conceitos Vulnerabilidade Vulnerabilidade Natural: Possibilidade de desastres naturais (incêndios, enchentes, terremotos, tempestades). Acúmulo de poeira, aumento de umidade e de temperatura. Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (tempo, mal uso). Erros ou problemas durante a instalação física. 102 102

Principais Conceitos Vulnerabilidade Vulnerabilidade de Software: Erros na instalação ou na configuração que podem acarretar acessos indevidos; Falhas e bugs nos sistemas operacionais e aplicativos; Falhas em programas que implementam serviços de rede. 103 103

Principais Conceitos Vulnerabilidade Vulnerabilidade de Mídias: Fita magnética de baixa qualidade; Relatórios impressos que podem ser perdidos ou danificados; Radiação eletromagnética que pode afetar diversos tipos de mídias magnéticas. 104 104

Principais Conceitos Vulnerabilidade Vulnerabilidade Humana: Falta de treinamento; Compartilhamento de informações confidenciais; Desobediência ou não execução de rotinas de segurança. 105 105

Principais Conceitos Exploit O exploit é uma ferramenta para automatizar o processo de exploração de uma vulnerabilidade; Os exploits são partes de software, de dados ou uma seqüência de comandos que exploram a vulnerabilidade em questão. Os exploits são desenvolvidos com base no detalhamento da vulnerabilidade. São ferramentas específicas às vulnerabilidades para as quais foram projetados. 107 107

Principais Conceitos Sites com banco de dados de exploits e vulnerabilidades: 108 108

Exemplo de Exploit 109 109

Exemplo de Catálogo de Vulnerabilidades 110 110

Exemplo de Exploit Oferece suporte a compartilhamento na rede de arquivo, impressão e pipes nomeados para este computador. Se este serviço for interrompido, quaisquer serviços que dele dependam diretamente não serão inicializados. 114 114

Introdução Alguns Conceitos Risco É um contexto que inclui as ameças as vulnerabilidades e a informação a se proteger ; O Diante da existência de uma ameaça a vulnerabilidade torna-se um risco. O risco surge quando existe ameaças com interesse em explorar as vulnerabilidades. Um risco só existe diante da presença de uma vulnerabilidade somada a uma ameaça; O risco pode ser medido como a probabilidade estatística de uma ameaça explorar a vulnerabilidade; 116 116

Introdução Alguns conceitos Risco Pode afetar diretamente no atingimento dos objetivos estabelecidos pela organização; Ex: Um servidor Web desatualizado Existem vários cracker e vários exploits disponíveis. Desta forma o risco é alto. 117 117

Introdução Alguns conceitos Elevação de privilégio Acesso indevido Força bruta 118 118

Principais Processos de Segurança da Informação
Fundamentos de Segurança da Informação Principais Processos de Segurança da Informação 119 119

Processos de Segurança da Informação Política de Segurança da Informação Conjunto de diretrizes claras e objetivas; Código de legislação de uma organização; Norteia como a segurança deve funcionar; Normalmente a política é um documento genérico que referencia outros documentos mais técnicos. A política deve ser publicada e aceitada por todos da organização. 120 120

Processos de Segurança da Informação Política de segurança da informação Documento que reúne os princípios de segurança relativos à toda informação e seus ativos; Deve ser um produto de discussões exaustivas entre a alta direção e o comitê de segurança; A política não deve contrariar a cultura de negócios, crenças ou valores da empresa; Por ser um documento estratégico deve ser apoiado pela alta direção. O produto final é um conjunto de diretrizes claras e objetivas; 121 121

Processos de Segurança da Informação Política de segurança da informação Estas diretrizes atribuem direitos e responsabilidades às pessoas que lidam com os recursos computacionais da organização; Por ser um documento estratégico deve ser apoiado pela alta direção; As diretrizes norteiam como a segurança deve funcionar; A política é um documento genérico que referencia outros documentos. A política deve ser publicada e aceitada por todos da organização. 122 122

Processos de Segurança da Informação Política de segurança da informação - Outras políticas existentes Para públicos alvo distintos; pode-se desenvolver uma outra política; O objetivo é atingir todas as áreas da organização; Dependendo do público admite-se uma linguagem mais técnica. Ex: Política para responsáveis por TI 123 123

Processos de Segurança da Informação Outros documentos que acompanham as políticas Carta do Presidente Tem como objetivo apresentar a política; Defender a necessidade e uso; Mostrar o comprometimento da alta direção; Oferecer credibilidade ao processo. Termo de Aceite Termo que deve ser assinado comprovando o recebimento, conhecimento e aceitação da política pelos envolvidos; Normalmente associado ao contrato de trabalho. 124 124

Processos de Segurança da Informação Segurança por perímetro Definição de várias camadas de proteção; Cada camada possui como objetivo dificultar o processo de invasão do ambiente. Firewall; Sistema de VPN; Anti-vírus; Política de segurança; Aculturação. 125 125

126 126

Processos de Segurança da Informação Análise de Risco Processo de identificação dos riscos que um ativo está sujeito; Objetivo é identificar e mitigar os riscos proativamente; Um processo de análise de riscos deve ser um trabalho orientado através de um escopo definido. 127 127

Processos de Segurança da Informação Gerenciamento de Riscos É um processo que através de uma metodologia de trabalho gerencia os riscos identificados no ambiente; Normalmente é suportado por uma política; Seu objetivo é mitigar os riscos; Após identificar os riscos estes são trabalhos para reduzir o impacto, o risco ou até mesmo a aceitação do risco; Mesmo o risco sendo mitigado poderá existir um risco residual; 128 128

129 129

Processos de Segurança da Informação Segurança por perímetro ou em profundidade Definição de várias camadas de proteção, semelhante a uma cebola; Sistema de VPN; Firewall; Anti-vírus; Política de segurança; Aculturação. 130 130

Processos de Segurança da Informação Segurança Física Disciplina que implementa mecanismos de segurança que controlam um ambiente físico; CFTV; Catracas; Cancelas; Alarme; Equipamento para controle de incêndio; 131 131

132 132

Processos de Segurança da Informação Segurança Lógica Disciplina que implementa mecanismos de segurança que controlam um ambiente computacional através de software e configurações; 133 133

Processos de Segurança da Informação Plano de Contingência ou Recuperação de Desastres Plano que visa recuperar a operação de um determinado ambiente; O objetivo é restaurar a operação mínima; No entanto ao término do plano o ambiente deve estar totalmente operacional; Os planos devem ser elaborados, testados e atualizados constantemente. 134 134

Processos de Segurança da Informação Plano de Continuidade de Negócios (PCN) Conjunto de planos de continuidade; Objetivo é recuperar e dar continuidade ao negócio frente a um desastre; O objetivo é restaurar a operação mínima; No entanto ao término do plano o negócio deve estar totalmente operacional; Os planos devem ser elaborados, testados e atualizados constantemente. 135 135

Processos de Segurança da Informação Incidente de segurança Qualquer evento que prejudique o bom funcionamento do ambiente; Algumas organizações consideram uma tentativa de ataque como um incidente. Tratamento de incidentes Metodologia para tratamento dos incidentes identificados pela organização; Metodologia mais comum: Identificação, Contenção; Erradicação e Encerramento. CERT (Centro de Estudos, Resposta e Tratamento de Incidentes) 136 136 136

Processos de Segurança da Informação CSIRTs Grupos de Resposta a Incidentes de Segurança em Computadores; Computer Security Incident Response Team; Trata-se de um grupo responsável por resolver incidentes de segurança; Pode ser um serviço prestado por uma empresa especializada, ou uma própria unidade de uma empresa; Incidentes que ocorram com os serviços prestados por estas empresas devem ser notificados para o CSIRT responsável pela empresa. Construção de um CSIRT 137 137 137

Processos de Segurança da Informação 138 138 138

Processos de Segurança da Informação AAA Autenticação Ato de confirmar em um ambiente virtual a identidade do usuário real ou equipamento; Pode ser feita através de diversas formas: senhas, certificados digitais, impressão digital, perguntas e respostas; A autenticação é o ato de prover ao autenticador a origem do autenticado. 139 139 139

Processos de Segurança da Informação Autenticação Pode ser realizada através de três categorias diferentes: Algo que você conhece: senhas, frases, números; Algo que você tem: cartão, chave, token; Algo que você é: digital, íris, reconhecimento da face. 140 140

141 141

142 142

143 143 143

Introdução Alguns conceitos Autenticação Formas de autenticação Biométrica Íris: padrão da formação da íris; Impressão Digital: padrão da formação dos traços dos dedos; Mão: Tamanho, comprimento da mão e dos dedos; Face: Tamanho, distribuição dos olhos, nariz, boca e características gerais; Assinatura: Formato da letra, ordem de escrita, pressão da caneta. 144 144

145 145

Introdução Alguns conceitos Autenticação Autenticação Forte Trata-se da utiliza de no mínimo dois mecânicos de autenticação diferentes. 146 146

147 147

Introdução Alguns conceitos Autorização Processo de conceder acessos ao autenticado; Accounting (contabilização): Complemento da operação de autenticação e autorização; O accounting registra todas as ações ou comandos aplicados ao sistema. 148 148

Introdução Alguns conceitos Controle de Acesso Conjunto de mecanismos que visa; Prover autenticação; Prover autorização; Prover rastreabilidade. Normalmemente conhecido como AAA Authentication; Authorization; Accounting. 149 149

Introdução Alguns conceitos Autenticação Centralizada Mecanismo para centralização do processo de autenticação; Exemplos: Radius; LDAP; Active Directory; O processo de autenticação centralizada reduz custos de implementação e manutenção dos requisitos de segurança; Melhora o nível de segurança. 150 150

151 151

152 152

153 153 153

154 154 154

155 155 155

Introdução Alguns conceitos Single SignOn Técnica utilizada para prover aos usuários o acesso à todos os sistemas autorizados ao mesmo mediante uma única autenticação; Normalmente implementado através de tokens de sessão. Single SignOn é diferente de login único; 156 156 156

Introdução Alguns conceitos Auditoria Processo de levantamento das não conformidades identificando os gaps com relação à uma norma ou uma política de segurança; O processo de auditoria deve ser imparcial e autônoma; Os tipos de auditoria mais comuns são: Interna; Externa; Certificação. 157 157 157

Introdução Alguns conceitos Single SignOn Técnica utilizada para prover aos usuários o acesso à todos os sistemas autorizados ao mesmo mediante uma única autenticação; Normalmente implementado através de tokens de sessão. Single SignOn é diferente de login único; 158 158 158

Criptografia Mensagem não criptografada Mensagem não cifrada Mensagem não encriptada Mensagem em texto claro Mensagem em texto limpo Chave Maria João Chave Criptografia Cifragem Encriptação Decriptografia Decifragem Decriptação Mensagem criptografada Mensagem cifrada Mensagem encriptada Mensagem em texto cifrado Invasor 159 159 159 159

Criptografia Palavra derivada dos termos gregos: "kryptos", que significa secreto, e de "grapho", que significa escrita. O fundamento é escrever conteúdos seja secretos. Apenas os envolvidos devem ser capazes de conhecer o real conteúdo. A criptografia é um recurso bastante antigo. Os Reis utilizam esta técnica para trocarem informações militares. Os temos mais comuns são: Algoritmo; Chave O algoritmo se trata de uma série de procedimentos, pré- definidos, usados para manipular a mensagem tornando-a secreta. 160 160 160

Criptografia A chave é uma informação utilizada pelo algoritmo para gerar um conteúdo secreto baseado nesta informação. Assim o segredo só poderá ser conhecido por aqueles que conhecerem a chave. Antigamente os algoritmos eram bastante simples. Eram fáceis de serem quebrados. Estes algoritmos eram basicamente formados por substituição e permutação de letras ou palavras de uma mensagem. Com o atual poder de processamento os algoritmos puderam ser mais complexos garantindo uma maior segurança. 161 161 161

Criptografia Criptologia: Estudo da Criptografia através de Criptoanálise em um Criptosistema. Criptosistema: É o conjunto de algoritmos criptográficos, entidades, chaves e outros parâmetros da comunicação. Criptoanálise: Análise do criptosistema de modo a tentar quebrar o sistema criptográfico. É muito utilizado durante o desenvolvimento de algoritmos de criptografia. Criptografia: Estudo de mecanismos que protegem os ativos permitindo que os pilares da segurança sejam implementados, como autenticação, assinatura digital, proteção à confidencialidade... 162 162 162

Criptografia Operações de Criptografia: Cifra de César Consiste na substituição dos caracteres conforme a tabela abaixo: Neste algoritmo o remetente e o destinatário, precisarão: Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo; A B C D E F G H I J K L M  N O P Q R S T U V W X Y Z 163 163

Criptografia Operações de Criptografia: Cifra de César Texto em Claro  Texto Cifrado PITAGORAS CVGNTBENF O algoritmo de César não prevê o uso de chave; Desta forma a segurança está toda no algoritmo; Se o funcionamento do algoritmo for descoberto por um individuo não autorizado, todas as mensagens cifradas por este algoritmo podem ser descobertas; A B C D E F G H I J K L M  N O P Q R S T U V W X Y Z 164 164

Texto em Claro: PITAGORAS 165 165

Texto em Claro: PITAGORAS 166 166

Criptografia Operações de Criptografia: Rotação Circular Consiste no deslocamento dos bits/caracteres para a esquerda, ou para a direita. Para o processo de decrifragem, basta realizar o processo inverso. Neste algoritmo o remetente e o destinatário, precisarão: Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo; Conhecer previamente a chave utilizada. Neste algoritmo, a segurança é definida pela chave; Assim o atacante além de conhecer o algoritmo deve também conhecer a chave para quebrar a segurança. 167 167

Criptografia Operações de Criptografia: C  3 C (Rotação Circular)  (Esquerda Encriptação)  (Direita Decriptação) 3 (Chave) Texto em Claro C  Texto Cifrado PITAGORAS AGORASPIT Texto Cifrado C  Texto em Claro PITAGORAS AGORASPIT 168 168 168

Criptografia Operações de Criptografia: Permutação A permutação consiste em embaralhar os caracteres que compõem a mensagem; O embaralhamento ocorre pela definição da chave; A chave na verdade é uma sequencia de números que é utilizada para definir a ordem do embaralhamento; 169 169 169

Criptografia Operações de Criptografia: Permutação Cifragem Texto em Claro Chave Texto Cifrado PITAGORAS TAPSIRGOA . . . 1 2 3 4 5 6 7 8 9 P I T A G O R S 170 170 170

Criptografia Operações de Criptografia: Permutação Decifragem Texto em Cifrado Chave Texto em Claro TAPSIRGOA PITAGORAS . . . 3 4 1 9 2 7 5 6 8 T A P S I R G O 171 171 171

Criptografia Operações de Criptografia: Permutação Quando o texto a ser cifrado é muito grande define-se uma chave de tamanho x; Quebra-se o texto a ser cifrado em blocos de x em x; Realiza a permutação de cada bloco do texto com a chave de permutação; Mensagem: VAMOS NOS REUNIR AS 20 HORAS Chave: 4312 172 172 172

Criptografia Operações de Criptografia: Permutação Texto em Claro V A M O S N R E U I 2 H 1 3 4 O M V A N S E R I U H 2 4 3 1 Texto Cifrado 173 173 173

Criptografia Operações de Criptografia: Substituição monoalfabética Esse tipo de operação, consiste em substituir uma letra pela outra, seguindo um determinado padrão definido pela chave (X). Cada letra do alfabeto recebe um número sequencial; A letra (L) a ser criptografada, será substituída por outra Letra, baseado na soma da sua posição (L) + a chave (X); Assim (L+X) criptografa, e (L-X) decriptografa. 174 174 174

Criptografia Operações de Criptografia: Substituição monoalfabética Encriptação Texto em Claro Chave: Texto Cifrado PITAGORAS XQBIOWZIA A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 ( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 ) (16+8; 9+8; 20+8; 1+8; 7+8; 15+8; 18+8; 1+8; 19+8) ( 24 ; 17 ; 28 ; 9 ; 15 ; 23 ; 26 ; 9 ; 27 ) ( 24 ; 17 ;28-26; 9 ; 15 ; 23 ; 26 ; 9 ;27-26) ( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 ) 175 175 175

Criptografia Operações de Criptografia: Substituição monoalfabética Decriptação Texto Cifrado Chave: Texto em Claro XQBIOWZIA PITAGORAS A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 ( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 ) (24-8;17-8; 2-8 ; 9-8;15-8; 23-8; 26-8; 9-8; 1-8 ) ( 16 ; 9 ; -6 ; 1 ; 7 ; 15 ; 18 ; 1 ; -7 ) ( 16 ; 9 ;26-6 ; 1 ; 7 ; 15 ; 18 ; 1 ;26-7 ) ( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 ) 176 176 176

Criptografia Operações de Criptografia: Substituição polialfabética São aqueles em que se têm a combinação ordenada de diversos sistemas monoalfabéticos. Ele adota uma chave (x), com "n" letras, e divide a mensagem em "n" blocos. mensagem (m) seria: O site da underlinux esta muito bom. E a chave (x) seria Linux. m=OSITEDAUNDERLINUXESTAMUITOBOM, que dividida em blocos de 5 (Linux tem 5 letras), ficaria: 177 177 177

Criptografia Operações de Criptografia: Substituição polialfabética m = (OSITE) (DAUND) (ERLIN) (UXEST) (AMUIT) (OBOM), e considerando cada Letra como um número, (a=1, b=2 ...) m= ( ) ( ) (...), e somando com os números relativos da chave(x) = Linux, ( ) Mcript= ( , , , , ) (...) Mcript= (27, 28, 23, 41, 28) (16, 10, 35, 35, 27) (...) Mcript= (ACXPC) (PJJJB) (...) ficando assim o texto criptografado. 178 178 178

Criptografia Operações de Criptografia: Substituição polialfabética A substituição polialfabética é muito mais complexa que a monoalfabética, mas ambas são inúteis (usando-as isoladamente), visto que, qualquer computador atual pode quebrá-la facilmente. 179 179 179

Criptografia Desenvolvida por Arthur Scherbius em 1918, a Enigma levantou um grande interesse por parte da marinha de guerra alemã em 1926, quando passou a ser usado como seu principal meio de comunicação e ficaram conhecidas como Funkschlüssel C. A máquina era elétrico-mecânica e funcionava com rotores (primeiramente com 3 e depois com até 8 rotores). Ao pressionar uma tecla, o rotor mais da esquerda avançava uma posição, o que ocasionava a rotação dos outros rotores da direita. Esse movimento contínuo dos rotores ocasionava em diferentes combinações na encriptação. A codificação de uma mensagem criptografada pela Enigma era considerada impossível na época (já que para tal, seria necessário uma alta força bruta computacional). 180 180 180

Criptografia 181 181 181

Criptografia A título de curiosidade, os Aliados só conseguiram decifrar os códigos da Enigma graças ao roubo de uma dessas máquinas, e que com graças à engenharia reversa, foram construídas máquinas capazes de ler e codificar os códigos alemães, os Colossus. A criptografia passou a ser usada em larga escala por todas as ações, principalmente em épocas de guerra, tal como durante a Guerra Fria, onde Estados Unidos e União Soviética usaram esses métodos a fim de esconder do inimigo suas ações e movimentações, criptografando-as e impedindo que outros que não possuíssem a chave pudessem ler, forçando-os a usar diversos métodos para quebrar os códigos de criptografia. 182 182 182

Criptografia Depois disso surgiram diversos tipos de criptografia, tais como a por chave simétrica, por chave assimétrica e por hash. 183 183 183

Criptografia Tipos de Algoritmos de Criptografia Block Chiphers Criptografam as mensagens em blocos de dados tornando o processo mais demorado e consequentemente mais seguro; Stream Chiphers Criptografam as mensagens bit a bit tornando o processo mais simples porem menos seguro; 184 184 184

Criptografia Tipos de Criptografia Criptografia simétrica ou convencional ou de chave privada: Criptosistema que usa apenas uma chave pré- compartilhada entre as entidades de comunicação. É rápida e simples de ser implementada; Porém tem problemas na gerência e administração de chaves; É adequada a grandes volumes de dados. 185 185 185

Criptografia Tipos de Criptografia: Criptografia simétrica 186 186 186

Criptografia Tipos de Criptografia Criptografia assimétrica ou de chave pública: Criptosistema que usa um par de chaves, matematicamente relacionadas, denominadas pública e privada; Se a pública é usada para criptografar, apenas e privada pode decriptografar o texto, e vice-e-versa; É mais lenta, no entanto não apresenta os problemas da criptografia simétrica; É adequada a pequenos volumes de dados. 187 187 187

Criptografia Tipos de Criptografia: Criptografia assimétrica Alice envia sua chave pública para Bob 188 188 188

Criptografia Tipos de Criptografia: Criptografia assimétrica Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada 189 189 189

Criptografia Tipos de Criptografia: Criptografia assimétrica 190 190 190

Criptografia Tipos de Criptografia: Obtendo o benefício das duas técnicas (simétrica e assimétrica) 193 193 193

Criptografia Servidor de chaves públicas 194 194 194

Criptografia Tipos de Criptografia: Hash ou checksum criptográfico Cadeia de caracteres, de tamanho fixo; Pode ser utilizada para representar, de forma única, uma informação. Função “one way”; Exemplo: um arquivo de tamanho qualquer, pode ser representado por um checksum de, digamos, 15 caracteres. Se o arquivo for alterado o checksum (hash) será totalmente alterado. Pode ser utilizado para a verificação da integridade dos dados; 195 195 195

Criptografia Tipos de Criptografia Hash ou checksum criptográfico Funciona como uma uma espécie de selo de integridade. Exemplos: Uniminas:ae061f6a9af07bb4f5ec cd uniminas: d c ae939d11f905b MD5.ppt: bb819825b6e74ff05e87 196 196 196

Criptografia Tipos de Criptografia: Hash ou checksum criptográfico 197 197 197

198 198

199 199

200 200

201 201

Criptografia Sites para quebra de hashes md5/decrypter-dechiffrer-cracker-hash-md5.php 202 202 202

Criptografia Sites para quebra de hashes 203 203 203

Criptografia Funcionamento PGP (Pretty Good Privacy) Ks Chave sessão – Criptografia Convencional Kra Chave privada de A – Criptografia Pública Kua Chave pública de A – Criptografia Pública EP Processo de Encriptação de Chave pública DP Processo de Decriptação de Chave pública EC Processo de Encriptação Convencional DC Processo de Decriptação Convencional H Processo de Função Hash | | Processo de Concatenação Z Processo de Compressão com o Algoritmo ZIP R64 Processo de Conversão – RADIX 64 – ASCII 204 204 204

Criptografia Código Hash de 160 bits é gerado; A assinatura pode ser transmitida separadamente da mensagem ou documento; Pilares: Autenticação por meio da Assinatura 205 205 205

Criptografia Pilar: Confidencialidade 206 206 206

Criptografia Pilar: Confidencialidade Autenticidade por meio da assinatura 207 207 207

208 208 208

209 209 209

Fundamentos de Segurança da Informação

Apresentações semelhantes

Apresentação em tema: "Fundamentos de Segurança da Informação"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback

Login

Autorizar-se através da rede social:

Fundamentos de Segurança da Informação

Apresentações semelhantes

Apresentação em tema: "Fundamentos de Segurança da Informação"— Transcrição da apresentação:

Apresentações semelhantes

Sobre projeto

Feedback