SEGURANÇA E AUDITORIA DE SISTEMAS FABRÍCIO SANTANA

As 3 Principais Propriedades da Segurança da Informação Confidencialidade: Apenas pessoas explicitamente autorizadas tem acesso a informação Integridade: A informação acessada está completa, sem alterações e, portanto, confiável. Disponibilidade: Está accessível, para pessoas autorizadas, sempre que necessário.

Princípios Complementares da Segurança da Informação Autenticidade: É preciso possuir mecanismos para verificar a identidade reclamada por uma entidade do sistema; Controle de Acesso: O acesso à informação deverá ser controlada de acordo os privilégios necessários à entidade relacionada; Não-repúdio: Mecanismo que deve garantir que uma entidade não pode negar o envolvimento numa transação.

Aplicação da Segurança da Informação em Níveis ESTRATÉGICO: GOVERNANÇA, NORMAS, (COBIT, ITIL, GRC) TÁTICO: POLÍTICAS DE SEGURANÇA, MAPEAMENTO DE RISCOS, PLANOS DE CONTINGÊNCIAS OPERACIONAL: FERRAMENTAS, CERTIFICADOS, CRIPTOGRAFIA DEFINIÇÕES AÇÕES

Conceitos de Segurança da Informação Ativo Incidente Ameaça Vulnerabilidade Probabilidade Impacto Risco

Ativo É qualquer elemento que possui valor para a organização e consequentemente necessita ser adequadamente protegido. Na sociedade atual, a informação é o principal ativo da empresa e está sob constante risco. A informação representa a inteligência competitiva dos negócios e é reconhecida como ativo crítico para a continuidade operacional e saúde da empresa. Dispor da informação correta, na hora adequada, significa tomar uma decisão de forma ágil e eficiente.

Incidente Em segurança da informação, um incidente é qualquer acontecimento que prejudique o andamento normal dos sistemas e/ou do negócio. Ex.: Uma falha de segurança no Yahoo! causou o vazamento de mais de 453 mil dados de usuários de diversos serviços oferecidos pelo portal, segundo o Ars Technica. Fonte: Olhar Digital. Julho/2012

Ameaça Em inglês, utiliza-se termo “threat” para definir ameaça. É qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, processo ou pessoa, através de uma vulnerabilidade e conseqüentemente gerando um determinado impacto. As ameaças apenas existem se houverem vulnerabilidades, sozinhas pouco fazem. Ex.: A companhia de segurança Trusteer está alertando sobre um vírus para Android que está sendo distribuído por criminosos e tem como alvo sistemas de autenticação por SMS empregados por bancos europeus para verificar transferências online. Fonte: IDG Now!

Ameaças Tipos de ameaças: Naturais – Ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, terremotos, tempestades, poluição, etc. Involuntárias – Ameaças inconscientes, quase sempre causadas pelo desconhecimento. Podem ser causados por acidentes, erros, falta de energia, etc. Voluntárias – Ameaças propositais causadas por agentes humanos como hackers, invasores, Espiões, ladrões, criadores e disseminadores de vírus de computador, incendiários.

Vulnerabilidade A vulnerabilidade é o ponto onde qualquer sistema é suscetível a um ataque ou falha, ou seja, é uma condição de risco encontrada em determinados recursos, processos, configurações, etc. Cada vez mais crackers buscam vulnerabilidades multiplataforma. Utilizando falhas já corrigidas por fornecedores, criminosos se aproveitam da negligência de usuários, que não atualizam seus softwares quando necessário.Cada vez mais crackers estão escolhendo como alvo as mesmas vulnerabilidades de aplicativos em Macs e Pcs com Windows, visando benefícios financeiros e para desenvolver malwares multiplataforma. Fonte: IDG Now! Agosto/2012.

Vulnerabilidade Conceito de vulnerabilidade Principais origens Deficiência de projeto: brechas no hardware/software Deficiência de implementação: instalação/configuração incorreta, por inexperiência, falta de treinamento ou desleixo Deficiência de gerenciamento: procedimentos inadequados, verificações e monitoramento insuficientes

Vulnerabilidades

Probabilidade A probabilidade é a chance de uma falha de segurança ocorrer levando-se em conta o grau das vulnerabilidades presentes nos ativos que sustentam o negócio e o grau das ameaças que possam explorar estas vulnerabilidades.

Impacto São as potenciais consequências que este incidente possa causar ao negócio da organização. Ex.: Alguns impactos resultantes da invasão da rede Playstation Network da Sony: Exposição de dados sigilosos de 77 milhões de usuários; Serviço indisponível por três semanas; Segundo a Forbes, o prejuízo financeiro pode alcançar, no pior cenário, 24 bilhões de dólares.

Risco Uma expectativa de perda expressada como a probabilidade de que uma ameaça em particular poderá explorar uma vulnerabilidade com um possível prejuízo; Risco pode se definido como uma medida da incerteza associada aos retornos esperados de investimentos (Duarte Júnior, 2004); Subentende-se por risco, o nível do perigo combinado com: (1) a probabilidade de o perigo levar a um acidente e, (2) a exposição ou duração ao perigo (algumas vezes denominado de latente); algumas vezes, o risco é limitado ao relacionamento entre o perigo e o acidente, ou seja, a probabilidade do perigo conduzir a um acidente, mas não da probabilidade do perigo ocorrer (Leveson et al, 1997); Conforme (Scoy, 1992), risco não é ruim por definição, o risco é essencial para o progresso e as falhas decorrentes são parte de um processo de aprendizado.

Ataques Conceito Tipos de ataques Passivo Ativo Interceptação, monitoramento, análise de tráfego (origem, destino, tamanho, freqüência) Ativo Adulteração, fraude, reprodução (imitação), bloqueio

Ataques Ataques sobre o fluxo de informação Interrupção: ataca a disponibilidade Interceptação: ataca a confidencialidade Modificação: ataca a integridade Fabricação: ataca a autenticidade

Exemplos de Ataques / Ameaças Vírus Verme (Worm) Cavalo de Tróia (Trojan Horse) Malware Back Door (Porta dos Fundos) ou Trap Door (Armadilha, Alçapão) Bomba Lógica Port Scanning (Varredura de Portas) Spoofs (Falsificação ou Disfarce de identidade) DNS Spoof Quebra de Senha (Password Cracking)

Exemplos de Ataques / Ameaças Engenharia Social Sniffing (Monitoramento, “Grampo”) Web Site Defacement DoS - Denial of Service (Interrupção de Serviço) SPAM / Junk Mail Mensagem-Bomba (Mail Bomb) War Dialing Injeção de SQL (SQL Injection) Exploit

Exemplos de Ataques / Ameaças

Exemplos de Ataques / Ameaças

Exemplos de Ataques / Ameaças Depois de atacar ao longo da semana o Itaú, Bradesco, Banco do Brasil e HSBC, o grupo de hackers Anonymous assumiu nesta sexta-feira (3/02), em sua página no Twitter, o ataque aos sites do Citibank, Panamericano, BMG, Febraban, Cielo e Redecard. É a primeira vez que o grupo afirma fazer ataques simultâneos. Testes feitos porÉpoca NEGÓCIOS mostraram que os sites não estavam acessíveis. A assessoria de imprensa do Panamericano declarou que o site estava indisponível, possivelmente por sobrecarga de acessos. A Febraban também apontou volume de acessos acima do normal no começo da tarde, mas rechaçou que os sistemas internos não haviam sido afetados. O Citibank informou que sofreu uma interrupção temporária no serviço, mas que conseguiu restaurar as operações no prazo de uma hora. Também não houve problema na integridade dos dados dos clientes. O comunicado oficial da Cieloapontou que o site foi restabelecido após ter ficado temporariamente indisponível na tarde desta sexta-feira, devido a um volume de acessos acima do normal.  A assessoria de imprensa do BMG também relatou sobrecarga de acessos, acrescendo que a segurança operacional não havia sido afetada. A Redecard também apontou sobrecarga e relatou que houve apenas uma intermitência no site, o que não prejudicou as transações da rede de pagamentos. Fonte: Amanda Camasmie, para o site Época Negócios

Fonte: Computer Crime and Security Survey, 2010

Fonte: Módulo – 10ª Pesquisa Anual de Segurança da Informação, Dezembro de 2007

Trabalho – 05 e 12/03/2012 1 2 5 3 4 FIM

Equipe 1 – Vírus, Vermes, Adwares, Spywares e Trojans Data: 05/03/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) Daniel Martiliano, Dermival, Josué Carneiro, Marcos Vinicius Uso de Recursos: 2,0 Postura: 2,0 Conteúdo: 1,5 Domínio do Tema: 2,0 Voltar

Equipe 2 - DNS Cache Poisoning e DNS Spoofing Data: 05/03/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) Gabriel Santos, Emerson, Vitor Hugo e Èlio Uso de Recursos: 2,5 Postura: 2,5 Conteúdo: 1,5 Domínio do Tema: 1,5 Voltar

Equipe 3 - SQL Injection Data: 05/03/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) Paulo Fernando, Dely Lima, Ronny Madison e Willys Andrade Uso de Recursos: 2,0 Postura: 2,0 Conteúdo: 1,5 Domínio do Tema: 2,0 Voltar

Equipe 4 - Negação de Serviço (DoS - Denial of Service Data: 12/03/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) Cristiane Queiroz, Igor Vitor, João Lobo, Wagner Uso de Recursos: 2,0 Postura: 2,0 Conteúdo: 2,0 Domínio do Tema: 2,0 Voltar

Equipe 5 – Engenharia Social Data: 12/03/2013 Tempo: 20 minutos Conceitue a ameaça Que tipo de vulnerabilidades são exploradas Como evitar a ameaça Relacionar 5 notícias ou matérias relevantes dos últimos 3 anos relacionadas ao tema (apresentar data da publicação, jornalista ou fonte e veículo de comunicação) Dalisson Santos, Amauri Leal, Wesley Carlos, Jeferson Herbert e Darlan Oliveira Uso de Recursos: 2,0 Postura: 1,0 Conteúdo: 1,5 Domínio do Tema: 1,5 Voltar

Medidas de Segurança Conceito Objetivos: Características: Reduzir vulnerabilidades; Minimizar os riscos; Limitar impactos. Características: Preventivas; Detectáveis; Corretivas.

Autenticação A autenticação é o processo de verificação da identidade de um usuário, isto é, garantir que um usuário é de fato quem diz ser.

Autenticação SYK – Something You Know (“algo que você sabe”): estas técnicas de autenticação são baseadas em informações conhecidas pelo usuário, como seu nome de login e sua senha.

Autenticação SYH – Something You Have (“algo que você tem”): são técnicas que se baseiam na posse de alguma informação mais complexa, como um certificado digital ou uma chave criptográfica, ou algum dispositivo material, como um smartcard, um cartão magnético, um código de barras, etc.

Autenticação SYA – Something You Are (“algo que você é”): se baseiam em características intrinsecamente associadas ao usuário, como seus dados biométricos: impressão digital, padrão da íris, timbre de voz, etc.

Firewall Conceito Essencial, porém não o bastante Pode ser usado para ajudar a impedir que sua rede ou seu computador seja acessado sem autorização. É possível evitar que os usuários acessem serviços ou sistemas indevidos, permitindo auditoria.

Firewall Um firewall pode ser um PC, um roteador, um servidor, um appliance ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora.

Firewall

Características do Firewall Todo tráfego entre a rede interna e a externa (entrada e saída) deve passar pelo Firewall Somente o tráfego autorizado passará pelo Firewall, todo o resto será bloqueado O Firewall em si deve ser seguro e impenetrável

Controles do Firewall Controle de Serviço: determina quais serviços Internet (tipos) estarão disponíveis para acesso Controle de Sentido: determina o sentido de fluxo no qual serviços podem ser iniciados Controle de Usuário: controla o acesso baseado em qual usuário está requerendo (tipicamente os internos, ou externo via VPN) Controle de Comportamento: controla como cada serviço pode ser usado (ex: anti-spam)

Limitações de um Firewall O Firewall não protege contra ameaças internas O Firewall não protege contra transferência de arquivos infectados por vírus, pois seria impraticável analisar o conteúdo de tudo que trafega

Tipos de Firewall Filtragem de pacotes Firewalls de aplicação Firewalls baseados no estado

Filtragem de Pacotes Regras que avaliam as informações no cabeçalho de um pacote toda vez que um chega ao firewall, para então ser decidido se é permitido ou não a sua passagem. Caso seja permitido a passagem do pacote, ele toma o seu caminho normalmente. Porém nenhum pacote passa por roteador ou firewall sem sofrer algumas modificações. Antes do pacote tomar o seu caminho o roteador ou firewall reduz o valor da TTL (Time-To-Live) no cabeçalho em pelo menos 1. Se o TTL, que o emissor provavelmente configurou como 128, atingir a marca de 0, o pacote é descartado.

Filtragem de Pacotes IP de origem: É o endereço de IP que o pacote lista como seu emissor.  IP de destino: É o endereço de IP para onde o pacote está sendo mandado. ID de protocolo IP: Um cabeçalho IP pode ser seguido por vários cabeçalhos de protocolos. Cada um desses protocolos tem seu próprio ID de protocolo IP. Os exemplos mais conhecidos são TCP (ID 6) e UDP (ID 17). Numero de portas TCP ou UDP : O numero da porta indica que tipo de serviço o pacote é destinado. Flag de fragmentação: Pacotes podem ser quebrados em pacotes menores. Ajuste de opções do IP: Funções opcionais no TCP/IP que podem ser especificadas nesse campo. Essas opções são apenas usadas para diagnóstico, de forma que o firewall possa descartar pacotes com opções de IP determinadas.

Firewalls de Aplicação Com a utilização deste tipo de firewall, podemos usufruir da filtragem na base em informação de nível de aplicação (por exemplo, com base em URLS dentro de um servidor, possibilita o estabelecimento de zonas com diferentes tipos de acesso); Possibilita o modo de acordo com a informação e não simplesmente com base em regras de acesso estáticas; Possibilidade de funcionarem como repositórios (arquivos) temporários ocorrendo melhorias significativas ao longo do seu desempenho.

Firewall baseado em estado Firewall de Pacotes + Firewall de Aplicação Possibilita o funcionamento ao nível da aplicação de uma forma dinâmica; Inclui funcionalidades de encriptação e encapsulamento e balanceamento de carga; A manutenção e configuração requerem menos complexas operações. Alto custo

IDS – Intrusion Detection Systems Conceito Tipos: IDS localizados em hosts (H-IDS) IDS localizados na rede (N-IDS) IDS Híbridos

IDS baseados em Host Conceito Mais empregados nos casos em que a segurança está focada em informações contidas em um servidor e os usuários não precisam ser monitorados; Aplicado em redes onde a velocidade de transmissão é muito alta como em redes “Gigabit Ethernet”; Usados também quando não se confia na segurança corporativa da rede em que o servidor está instalado.

Verificações dos IDS baseados em Host Acesso a arquivos. Integridade de arquivos. Varredura de portas Modificação e privilégios de usuários. Processos do sistema. Execução de programas. Uso de CPU. Conexões.

Vantagens do IDS baseado em Host Ataques que ocorrem fisicamente num servidor podem ser detectados. Ataques que utilizam criptografia podem não ser notados pelos NIDS, mas descobertos pelos HIDS, pois o SO primeiro decifra os pacotes. Independem da topologia da rede. Geram poucos “falsos positivos”, que são alarmes falsos de ataques. Não necessita de hardware adicional.

Desvantagens do IDS baseado em Host São de difícil monitoramento, já que em cada estação deve ser instalado e configurado um IDS; Podem ser desativados por DoS; Recursos computacionais são consumidos nas estações monitoradas, com diminuição do desempenho; O IDS pode ser atacado e desativado, escondendo um ataque, se as fontes de informações residirem na estação monitorada; Fica difícil de configurar e gerenciar em todos os hosts de uma rede.

Desvantagens do IDS baseado em Host Necessita de espaço de armazenamento adicional para os registros do sistema. É dependente do SO. HIDS para Linux é diferente de um HIDS Windows. Não têm bom desempenho em sistemas operacionais que geram poucas informações de auditoria. Apresenta diminuição do desempenho do host monitorado.

Componentes dos IDS baseados em rede Os sensores que cuidam dos segmentos de redes, fazem a captura, formatação de dados e análise de tráfego. Gerenciador: fazem com que os sensores sejam administrados de modo integrado, com a definição dos tipos de resposta para cada tipo de comportamento suspeito detectado. A comunicação entre sensores e gerenciador é criptografada.

Vantagens do IDS baseado em rede Com um bom posicionamento, pode haver apenas poucos IDS instalados para monitorar uma rede grande Um pequeno impacto é provocado na rede com a instalação desses IDS, pois são passivos, e não interferem no funcionamento da rede Difíceis de serem percebidos por atacantes e com grande segurança contra ataques Pode detectar tentativas de ataques (ataques que não tiveram resultados). Fica mais difícil um invasor apagar seu rastro.

Desvantagens do IDS baseado em rede Podem falhar em reconhecer um ataque em um momento de trafego intenso; Em redes mais modernas baseadas em switches, algumas das vantagens desse tipo de IDS não se aplicam; Não conseguem analisar informações criptografadas, sendo um grande problema, visto que muitos atacantes utilizam criptografia em suas invasões; Grande parte não pode informar se o ataque foi ou não bem sucedido, podendo apenas alertar quando o ataque foi iniciado.

Exemplos de IDS baseados em hosts Tripwire Swatch Portsentry OSSEC-HIDS

Exemplos de IDS baseados em rede Snort RealSecure NFR

Exemplo de ambiente híbrido OSSEC-HIDS + Snort

Formas de detecção Detecção por Assinatura Detecção por Anomalias Busca de eventos que correspondam a padrões pré-definidos de ataques e outras atividades maliciosas.; Se limita a detectar somente ataques conhecidos (assinaturas conhecidas). Detecção por Anomalias Ataques são ações diferentes das atividades normais de sistemas; IDS baseado em anomalias monta um perfil que representa o comportamento rotineiro de um usuário, Host e/ou conexão de rede. A principal desvantagem é a geração de um grande número de alarmes falsos devido ao comportamento imprevisível de usuários e do próprio sistema.

Honeypots Funcionam como armadilhas para os crackers. Não contém dados ou informações importantes para a organização. Seu único propósito é passar-se por um equipamento legítimo da organização. É configurado para interagir como o atacante. Detalhes de ataques podem ser capturados e estudados.

Backup Falhas técnicas: falha no disco rígido (HD), falha de energia, sobrecarga na rede de computadores que pode gerar falhas de comunicação e de software; Falhas ambientais: descargas elétricas provindas de raios, enchentes, incêndios; Falhas humanas: detém 84% das perdas de dados e são devidas à exclusão ou modificação de dados acidental ou mal-intencionada, vírus, roubo de equipamentos e sabotagem.

Tipos de Backup Backup normal Backup diferencial Backup incremental

Backup Normal Um backup normal copia todos os arquivos selecionados e os marca como arquivos que passaram por backup (ou seja, o atributo de arquivo é desmarcado). Com backups normais, você só precisa da cópia mais recente do arquivo ou da fita de backup para restaurar todos os arquivos. Geralmente, o backup normal é executado quando você cria um conjunto de backup pela primeira vez.

Backup Normal VANTAGENS: Os arquivos são mais fáceis de localizar porque estão na mídia de backup atual. Requer apenas uma mídia ou um conjunto de mídia para a recuperação dos arquivos. DESVANTAGENS: É demorado. Se os arquivos forem alterados com pouca freqüência, os backups serão quase idênticos.

Backup Diferencial Um backup diferencial copia arquivos criados ou alterados desde o último backup normal ou incremental. Não marca os arquivos como arquivos que passaram por backup (o atributo de arquivo não é desmarcado). Se você estiver executando uma combinação dos backups normal e diferencial, a restauração de arquivos e pastas exigirá o último backup normal e o último backup diferencial.

Backup Diferencial VANTAGENS: A recuperação exige a mídia apenas dos últimos backups normal e diferencial. Fornece backups mais rápidos do que um backup normal. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal. Se ocorrerem muitas alterações nos dados, os backups podem levar mais tempo do que backups do tipo incremental.

Backup Incremental Um backup incremental copia somente os arquivos criados ou alterados desde o último backup normal ou incremental. e os marca como arquivos que passaram por backup (o atributo de arquivo é desmarcado). Se você utilizar uma combinação dos backups normal e incremental, precisará do último conjunto de backup normal e de todos os conjuntos de backups incrementais para restaurar os dados.

Backup Incremental VANTAGENS: Requer a menor quantidade de armazenamento de dados. Fornece os backups mais rápidos. DESVANTAGENS: A restauração completa do sistema pode levar mais tempo do que se for usado o backup normal ou diferencial.

Periodicidade de Backup Frequência de Modificações X Importância da Informação Backup Diário Backup Semanal Backup Mensal Backup Anual

Archive  Copia ou move os arquivos de acordo com o conteúdo real. Eles também localizam e retornam arquivos de acordo com seu conteúdo, incluíndo autor, data e outras tags customizadas.

Características a considerar na implementação de um archive Ser Content-Aware. Por exemplo, ele deve indexar o conteúdo dos documentos, não apenas os metadados do sistema de arquivos. Preencher tags de metadados customizados extraindo informações do conteúdo dos arquivos. Arquivar um subconjunto de dados (definido pela política de archive) seletivamente para atender à conformidade regulamentar e regras de governança corporativa da informação. Proporcionar acesso rápido aos dados arquivados.

Criptografia

Criptografia Conceito Histórico Tipos Criptografia Simétrica; Criptografia Assimétrica

Conceituação kryptos (oculto, secreto), graphos (escrever). Texto aberto: mensagem ou informação a ocultar Texto cifrado: informação codificada; Cifrador: mecanismo responsável por cifrar/decifrar as informações Chaves: elementos necessários para poder cifrar ou decifrar as informações Espaço de chaves: O número de chaves possíveis para um algoritmo de cifragem

Conceituação Algoritmo computacionalmente seguro Custo de quebrar excede o valor da informação O tempo para quebrar excede a vida útil da informação Meios de criptoanálise Força bruta Mensagem conhecida Mensagem escolhida (conhecida e apropriada) Análise matemática e estatística Engenharia social Conceitos para bom algoritmo de criptografia Confusão: transformações na cifra de forma irregular e complexa Difusão: pequena mudança na mensagem, grande na cifra

Histórico Cifrador de César mensagem aberta: Reunir todos os generais para o ataque mensagem cifrada com k = 1: Sfvojs upept pt hfofsbjt qbsb p bubrvf mensagem cifrada com k = 2: Tgwpkt vqfqu qu igpgtcku rctc q cvcswg mensagem cifrada com k = 3: Uhxqlu wrgrv rv jhqhudlv sdud r dwdtxh

Curiosidade Criptografia AES (Advanced Encryption Standard) Chaves de 128 bits, ou seja, espaço de chaves com 2128 possibilidades 340.282.366.920.938.463.463.374.607.431.768.211.456 chaves diferentes

Tipos de Cifras Cifras de Transposição Cifras de Substituição: Cifra de substituição simples ou monoalfabética ; Cifra de substituição polialfabética; Cifra de substituição de polígramos ; Cifra de substituição por deslocamento.

Criptografia Simétrica Algoritmo É o próprio processo de substituição ou transposição. Consiste nos passos a serem tomados para realizar a encriptação. Chave Define o alfabeto cifrado exato que será utilizado numa codificação em particular. O algoritmo utilizado em um processo de encriptação pode ser divulgado sem problemas. A chave, porém, deve ser uma informação confidencial do remetente e do destinatário.

Desvantagens do Uso de Chaves Simétricas Se uma pessoa quer se comunicar com outra com segurança, ela deve passar primeiramente a chave utilizada para cifrar a mensagem. Grandes grupos de usuários necessitam de um volume grande de chaves, cujo gerenciamento é complexo

Criptografia Assimétrica Postulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin Hellman Algoritmos de chave pública e privada Baseada em princípios de manipulação matemática. Os algoritmos são computacionalmente pesados e lentos.

Criptografia Assimétrica

Criptografia Assimétrica RSA Ron Rivest / Adi Shamir / Leonard Adleman Criado em 1977. É o algoritmo de chave pública mais utilizado. Utiliza números primos. A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número.

Criptografia Assimétrica Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. O desenvolvimento dos algoritmos de criptografia assimétrica possibilitou o aparecimento de aplicações que trafegam dados internet de forma segura, notadamente do e-commerce.

Certificado Digital Assim como o RG ou o CPF identificam uma pessoa, um certificado digital contém dados que funcionam como um certificado físico, contendo informações referentes a: pessoa ou entidade a quem foi emitido o certificado digital e respectivo endereço; sua chave pública e respectiva validade; número de série; e nome da empresa que emitiu seu certificado (chamada de Autoridade Certificadora, ou AC) com respectiva assinatura digital.

Certificado Digital Qualquer modificação realizada em um certificado digital o torna inválido e por isso é impossível falsificá-lo. O objetivo da assinatura digital no certificado é indicar que uma outra entidade (a Autoridade Certificadora – AC) garante a veracidade das informações nele contidas. Fazendo uma analogia, a AC faz o papel dos órgãos públicos como a Secretaria de Segurança Pública quando emite um RG, ou seja, ela garante quem você é, dando-lhe legitimidade através de sua assinatura digital.

Assinatura Digital Um documento pode ser considerado genuíno quando não sofreu alterações. No mundo real, a autenticidade de um documento pode ser garantida pelo uso de assinaturas, rubricas e marcas especiais. No mundo virtual, este item pode ser assegurado através do uso de assinaturas digitais.

Assinatura Digital A assinatura digital visa garantir que um determinado documento não seja alterado após assinado. Etapas: O autor, através de um software próprio, realiza uma operação e faz um tipo de resumo dos dados do documento que quer enviar, também chamado de “função hash”. O Autor usa a chave privada de seu certificado digital para encriptar este resumo.

Assinatura Digital

Complexidade de Senhas A função primordial da senha Métodos de quebra de senha: Dedução inteligente Ataques de dicionário Automatização ou Força Bruta

Sugestões para a criação de senhas seguras Não utilize palavras existentes em dicionários nacionais ou estrangeiros; Não escreva suas senhas em papéis, muito menos salve na máquina documentos digitais, como o Word ou o bloco de notas; Não utilize informações pessoais fáceis de serem obtidas, tais como: nome ou sobrenome do usuário, nome da esposa, filhos ou animais de estimação, matrícula na empresa, números de telefone, data de nascimento, cidades de origem, etc.; Não utilize senhas constituídas somente por números ou somente por letras; Utilize senhas com, pelo menos, seis caracteres; Misture caracteres em caixa baixa e alta (minúsculas e maiúsculas);

Sugestões para a criação de senhas seguras Crie senhas que contenham letras, números e caracteres especiais (*,#,$,%...); Inclua na senha, pelo menos, um caractere especial ou símbolo; Utilize um método próprio para lembrar das senhas que dispense registrar a mesma em qualquer local; Não empregue senhas com números ou letras repetidos em sequência; Não forneça sua senha para ninguém; Altere as senhas, pelo menos, a cada 3 meses; Utilize senhas que possam ser digitadas rapidamente, sem que seja preciso olhar para o teclado; Para facilita a memorização da senha é possível criar uma frase secreta e extrair delas as iniciais de cada letra. Por exemplo da frase “É melhor 1 pássaro na mão do que 2 voando” se extrai “Em1pnmdq2v”.

Curiosidade http://www.nakedpassword.com/