Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....

Fundamentos de Segurança da Informação

Introdução

Segurança da informação nas empresas. Quem investe?

Fonte: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf

Algumas notícias

Ataques a servidores web crescem 34% no 1º trimestre no Brasil / IDG

Tentativas de fraude na web brasileira crescem 96% no 2º trimestre / IDG

Cresce em 50% o uso de vermes para roubo de dados / Computerworld

Operadora de telefonia Britânica deixa vazar Fotos enviadas por MMS / ISTF

Metade dos varejistas dos EUA já perderam dados de clientes / Gartner

Cracker divulga dados de 6 milhões de cidadãos chilenos na web / IDG

Hackers atacam e deixam cidades sem luz / Wordpress

Executivo é condenado por roubar dados da IBM para a HP / ISTF

Roubo de informações da Petrobras pode indicar espionagem industrial / Globo

Algumas notícias

Introdução

Principais responsáveis por ataques:

Concorrentes

Ex-Associados

Prestadores de Serviço

Associados

Causa Desconhecida

Crackers e Hackers

Fonte: 9ª Pesquisa de Segurança da Informação - Módulo

Introdução

Principais ameaças:

Fraudes em e-mail

Uso de notebooks

Falha na segurança física

Crackers e Hackers

Fraudes, erros e acidentes

Vazamento de informações

Acessos indevidos

Divulgação de senhas

Associados insatisfeitos

Vírus

Fonte: 9ª Pesquisa de Segurança da Informação - Módulo

Introdução

O que é segurança da informação?

Conjunto de disciplinas que visa proteger a informação; Possui como objetivo reduzir as ameaças ao ambiente; Garantir a continuidade dos negócios; Maximizar o retorno dos investimentos; É indispensável para a maioria das empresas;

Se faz segurança da informação com os pilares: Disponibilidade e Integridade; Autenticidade e Confidencialidade ; Não-repúdio.

Introdução

É custo (overhead); Profissionais capacitados; Aquisição de equipamentos; Contratação de consultorias; Desenvolvimento de sistemas; Revisão de processos; Implementação de disciplinas.

Introdução

É difícil justificar investimentos Return On Investment (ROI) e Payback Todo investimento deve trazer um retorno:

Financeiro; Imagem; Legal (atender regulamentações).

Introdução

Não existe 100% de segurança; A segurança da informação deve realizar o seu trabalho

“engessando” o mínimo possível a organização;

Introdução

Exercício de análise de custo x benefício; Realizar investimentos baseando-se na regra de Pareto.

Introdução

Quem são os responsáveis pela segurança?

Todos os funcionários da organização guardado as devidas proporções;

Fornecedores e parceiros de negócio; Os próprios clientes;

No entanto deve existir uma área centralizada; As Metas, os objetivos, as definições dos papéis e

como operacionalizar a segurança; Necessita de imparcialidade e autonomia; É recomendado que esteja ligada e apoiada pela

alta direção;

Introdução

Quais os ganhos produzidos?

Reduzir os níveis de riscos a patamares aceitáveis; Produzindo melhores produtos e serviços;

Satisfazendo a maior parte dos clientes e principalmente os acionistas da empresa.

Os ganhos visíveis são: Redução na probabilidade de incidentes de segurança; Redução das perdas e impactos causadas por

incidentes; Melhor recuperação frente a danos, desastres ou

incidentes.

Introdução

Como as empresas se protegem?

Tecnologia: Firewall, VPN, IPS, Proxy, antivírus, controle de e-mail e navegação, armazenamento e análise centralizada de logs, gerenciamento centralizado de identidades, segregação de redes e acessos, sistema de backup...

Processos: tratamento de incidentes, auditoria, gerenciamento e monitoração constante, planos de contingência e recuperação de desastres, análise e gerenciamento de riscos...

Pessoas: políticas, procedimentos, normas, instruções de trabalho, treinamentos, plano de aculturação...

Pilares da Segurança da Informação

Principais Conceitos

Pilares da segurança

Disponibilidade Os ativos e a informação devem estar disponíveis

aos usuários; É implementado através da redundância do

ambiente; Normalmente afetada pela negação de serviço.

(DoS; DDoS); Aspecto mais físico.

Disponibilidade

Fonte: http://www.esecurityplanet.com/trends/print.php/1486981

Fonte: http://www.totalsecurity.com.br/noticia.php?cod=85

Confidencialidade Garantir o sigilo das informações; Autorização de acesso das partes envolvidas. É ajudada através da classificação da informação;

Integridade Permitir que os envolvidos verifiquem se a

informação não foi alterada intencionalmente ou não durante o seu transporte.

Autenticidade Permitir ao receptor identificar a autenticidade do

remetente; Permite identificar quando uma pessoa tenta se

passar por outra;

Não-repúdio Garantir que o remetente não possa negar a

autoria de seus atos.

Processo de Gestão de Senhas

Processos de Segurança da Informação

Gerenciamento de Senhas Disciplina que visa orientar os usuários com relação

à segurança das senhas; Esta disciplina define muitas vezes:

Tamanho mínimo; Complexidade; Idade máxima; (Expiração) Histórico; Idade mínima; Bloqueio; Tempos de aviso;

Principais Conceitos de Segurança da Informação

Hacker x Cracker; White Hat X Black Hat; Depende do lado da força.

Phreaker; Ckackers de telefonia.

Phracker. Crackers de telefonia IP.

Lamer ou Script Kiddies: Utiliza-se do trabalho intelectual dos verdadeiros

especialistas técnicos. Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais. São meramente executores de scripts.

Defacers (Defacement)

Vírus

Código de computador escrito com a intenção explícita de se auto-duplicar anexando-se a outros programa ou arquivos para poder se espalhar entre os computadores, infectando-os à medida que se desloca. Os vírus podem danificar seu software, hardware e arquivos. Os vírus necessitam da interação do usuário.

http://blog.pandasecurity.com.br/2010/01/os-virus-que-fizeram-barulho-em-2009

Wormes ou Vermes

Um worm cria cópias de si mesmo e se espalha de um computador para outro, mas faz isso automaticamente, não necessitando da interação do usuário. A propagação pode ocorrer pela rede, pela lista de e-mail e Instante Messanger ou por programas P2P. O grande perigo dos worms é a sua capacidade de se replicar em grande volume criando um efeito domino.

Cavalo de Tróia

Baseado na mitológico grega, o cavalo de tróia parece ser um presente, mas na verdade esconde códigos maliciosos com o objetivo de infectar o computador do usuário. Resumidamente o cavalo de tróia é um programa de computador que parece ser útil, mas na verdade causa danos. Eles se aproveitam da engenharia social para seduzir as pessoas a abrir o programa por pensar que vem de uma fonte legítima.

Crack ou ckacker Software utilizado para a quebra de senhas, chaves

criptográficas ou códigos de licenciamento.

Adware Softwares que apresentam propagandas sem o

consentimento do usuário.

Keylogger Software Hardware

http://www.keykatcher.com/http://www.keylogger.org/

Spyware

Banker

Bot/Botnet

http://informatica.hsw.uol.com.br/computador-zumbi.htm

Malware

54Também utilizada pelos crackers para verificar a “invisibilidade” dos seus trojans perante os anti-vírus.

Binder ou Joiner Ferramenta que anexa um segundo software a um

software principal; Quando o software principal é executado o software

anexado também é executado.

Backdoor Programa instalado por um intruso em um

computador com o objetivo de oferecer uma forma de acesso futura;

Um backdoor pode ser instalado através de uma ação do invasor localmente ou remotamente;

Pode ser ainda instalada pelo próprio usuário como um cavalo de tróia.

Backdoor

http://www.freewebs.com/geurle/piratage1.htm

Exemplos: Cruz da Honda, Cobra do Habibb’s

SPAM Uma mensagem eletrônica é "spam" SE: (1) a

identidade pessoal do destinatário e o contexto são irrelevantes porque a mensagem é igualmente aplicável a muitos outros potenciais receptores; E (2) o beneficiário não tenha comprovadamente concedidos deliberada, explícita e ainda: revogável permissão para que ele seja enviado e (3) a transmissão e recepção da mensagem aparece para o receptor para dar um benefício desproporcional para o remetente.

http://www.mail-abuse.com/spam_def.html

http://www.calculadorainteligente.com.br/spam/ Http://www.antispam.br/

http://info.abril.com.br/noticias/trend-micro/trend-mapa.html

Open Relay Servidor de email mal configurado que permite o uso

indevido de sua infra-estrutura por usuários na Internet para o envio de emails onde a origem e o destino não fazem parte de seu domínio..

Phishing Scan

Recomendação– Monitorar os principais canais de divulgação de fraudes e

phising scans para identificar possíveis ameaças ao ambiente da empresa e realizar treinamentos e comunicações sobre estas ameaças.

www.rnp.br/cais/fraudes.php ww.fraudes.org www.mhavila.com.br/topicos/seguranca/scam.html

Engenharia Social

Exemplo de engenharia social:

Pai: Filho, quero que você se case com uma moça que eu escolhi.Filho: Mas pai, eu quero escolher a minha mulher.Pai: Meu filho, ela é filha do Bill Gates.Filho: Bem neste caso eu aceito.Então o pai vai encontrar o Bill Gates.Pai: Bill, eu tenho o marido para sua filha.Bill Gates: Mas a minha filha é muito jovem para casar.Pai: Mas esse jovem é vice-presidente do Banco Mundial.Bill Gates: Neste caso tudo bem.Finalmente o pai vai ao Presidente do Banco Mundial.Pai: Sr. presidente, eu tenho um jovem que é recomendado para ser vice-presidente do Banco Mundial.Pres Banco Mundial: Mas eu já tenho muitos vice-presidentes, inclusive mais do que o necessário.Pai: Mas Sr. este jovem é genro do Bill Gates.Pres Banco Mundial: Neste caso ele está contratado..

Comunicação em uma rede

Sniffer Ferramenta utilizada por crackers ou hackers o

conteúdo das informações que estão trafegando na rede de computadores;

É uma espécie de escuta telefônica para o mundo dos computadores;

Através desta técnica é possível coletar qualquer informação transmitida entre dois computadores.

Sniffers

Port Scanner Ferramenta utilizada por crackers ou hackers para

identificar quais as portas lógicas de um equipamento estão “abertas”;

Em um ataque o cracker utiliza normalmente um port scanner na fase de reconhecimento do ambiente;

Através de um port scanning é possível inferir quais serviços estão ativos em um equipamento;

Port Scanner

Firewall

http://pt.wikipedia.org/wiki/Firewall

Firewall

http://pt.wikipedia.org/wiki/Virtual_Private_Network

Proxy Open Proxy

http://pt.wikipedia.org/wiki/Proxy

IDS IPS

http://en.wikipedia.org/wiki/Intrusion_prevention_systemhttp://en.wikipedia.org/wiki/Intrusion-detection_system

Footprint Técnica utilizada pelos crackers para o levantamento de

informações do ambiente como versões de software, para posteriormente buscar vulnerabilidades conhecidas e exploits.

Rootkit Um rootkit é um programa com código mal intencionado

que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos relacionados.

Vulnerability Scanner Ferramenta utilizada por crackers ou hackers para

identificar quais vulnerabilidades um software possui;

Este tipo de técnica analisa o alvo com base em vulnerabilidades conhecidas;

Pode ser utilizado tanto para prevenção de vulnerabilidades pela ação proativa;

Como também para identificar falhas e proceder com ataques.

Vulnerability Scanner

HoneyPots Sistemas preparados com vulnerabilidades

propositais; O objetivo é estudar as técnicas de ataques dos

crackers para a estruturação de defesas;

HoneyNet Redes preparadas com vulnerabilidades propositais; O seu objetivo é o mesmo dos HoneyPots.

Disassembler Software que realiza a engenharia reversa de um

executável, ou seja, transforma o executável com código fonte;

Normalmente utilizado por crackers para identificar: senhas e chaves de criptografia “escondidas” ou até mesmo o funcionamento do software.

Hardening Hardening é um processo de mapeamento das

falhas de segurança e mitigação das mesmas através da execução de atividades corretivas, através da implementação dos conceitos de segurança.

O objetivo principal é tornar o ambiente preparado para enfrentar tentativas de ataque.

Checklist de Segurança Um checklist é um resumo das principais

configurações de segurança recomendadas para serem implementadas nos ambientes computacionais.

A implementação de checklists de segurança em sistemas operacionais, banco de dados, servidores de aplicações e outros serviços suportam o conceito de hardening.

Ameaça Indivíduos ou eventos que praticam atividades para

afetar pessoas, ambientes ou negócios; Um cracker, um vírus, um desastre natural,

Enchentes, terremotos, incêndios ...

Ataque Ação realizada por uma ameaça; Pode ter sucesso ou não no comprometimento do

ambiente; A ação bem sucedida compromete a segurança do

ambiente;

Invasão É um ataque bem sucedido que compromete o

ambiente; Toda invasão é um ataque; Nem todo ataque é uma invasão; Uma invasão deve permitir ao indivíduo.

Controle do alvo; Manipulação da informação;

Consulta; Remoção; Alteração.

Invasões

Ataque

Bug ou Falha Uma falha é algo que conduz o sistema ao não

planejado ou não previsto; Situação não prevista ou considerada no projeto

original.

Vulnerabilidade Resultado da existência de uma falha ou bug; Expõe o sistema sob algum dos aspectos de segurança; Pode comprometer uma parte do sistema ou o todo; Toda vulnerabilidade pode ser explorada; Exemplo: ping of death, multa de trânsito, pagamento

com cartão de crédito sem senha;

Falhas ou bugs

VulnerabilidadesHoles

Vulnerabilidade

Vulnerabilidade Física: Falta de extintores; Instalações prediais fora dos padrões de

segurança; Falta de detectores de fumaça e de outros

recursos para prevenção e combate a incêndios; Instalação elétrica antiga e em conjunto com a

dos computadores.

Vulnerabilidade

Vulnerabilidade Natural: Possibilidade de desastres naturais (incêndios,

enchentes, terremotos, tempestades). Acúmulo de poeira, aumento de umidade e de

temperatura.

Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (tempo, mal uso). Erros ou problemas durante a instalação física.

Vulnerabilidade

Vulnerabilidade de Software: Erros na instalação ou na configuração que podem

acarretar acessos indevidos; Falhas e bugs nos sistemas operacionais e

aplicativos; Falhas em programas que implementam serviços de

Vulnerabilidade

Vulnerabilidade de Mídias: Fita magnética de baixa qualidade; Relatórios impressos que podem ser perdidos ou

danificados; Radiação eletromagnética que pode afetar diversos

tipos de mídias magnéticas.

Vulnerabilidade

Vulnerabilidade Humana: Falta de treinamento; Compartilhamento de informações confidenciais; Desobediência ou não execução de rotinas de

segurança.

Exploit O exploit é uma ferramenta para automatizar o

processo de exploração de uma vulnerabilidade; Os exploits são partes de software, de dados ou uma

seqüência de comandos que exploram a vulnerabilidade em questão.

Os exploits são desenvolvidos com base no detalhamento da vulnerabilidade. São ferramentas específicas às vulnerabilidades para as quais foram projetados.

Sites com banco de dados de exploits e vulnerabilidades:

http://www.elhacker.net/exploits/ http://www.cve.mitre.org/ http://www.cert.org/ http://www.sans.org/ http://www.cisecurity.com/ http://www.sans.org/score http://isc.sans.org/ http://icat.nist.gov/icat.cfm http://www.security-focus.com/ http://www.rnp.br/cais/ http://cve.mitre.org/compatible/vulnerability_alerting.html http://web.nvd.nist.gov/view/vuln/search http://secunia.com/ http://www.milw0rm.com/

Exemplo de Exploit

Exemplo de Catálogo de Vulnerabilidades

Exemplo de Exploit

Oferece suporte a compartilhamento na rede de arquivo, impressão e pipes nomeados para este computador. Se este serviço for interrompido, quaisquer serviços que dele dependam diretamente não serão inicializados.

Exemplo de Exploit

Introdução

Alguns Conceitos Risco

É um contexto que inclui as ameças as vulnerabilidades e a informação a se proteger ;

O Diante da existência de uma ameaça a vulnerabilidade torna-se um risco.

O risco surge quando existe ameaças com interesse em explorar as vulnerabilidades.

Um risco só existe diante da presença de uma vulnerabilidade somada a uma ameaça;

O risco pode ser medido como a probabilidade estatística de uma ameaça explorar a vulnerabilidade;

Introdução

Alguns conceitos Risco

Pode afetar diretamente no atingimento dos objetivos estabelecidos pela organização;

Ex: Um servidor Web desatualizado Existem vários cracker e vários exploits

disponíveis. Desta forma o risco é alto.

Introdução

Alguns conceitos Elevação de privilégio Acesso indevido Força bruta

Principais Processos de Segurança da Informação

Política de Segurança da Informação Conjunto de diretrizes claras e objetivas; Código de legislação de uma organização; Norteia como a segurança deve funcionar; Normalmente a política é um documento genérico que

referencia outros documentos mais técnicos. A política deve ser publicada e aceitada por todos da

organização.

Política de segurança da informação Documento que reúne os princípios de segurança

relativos à toda informação e seus ativos; Deve ser um produto de discussões exaustivas

entre a alta direção e o comitê de segurança; A política não deve contrariar a cultura de negócios,

crenças ou valores da empresa; Por ser um documento estratégico deve ser apoiado

pela alta direção. O produto final é um conjunto de diretrizes claras e

objetivas;

Política de segurança da informação Estas diretrizes atribuem direitos e

responsabilidades às pessoas que lidam com os recursos computacionais da organização;

Por ser um documento estratégico deve ser apoiado pela alta direção;

As diretrizes norteiam como a segurança deve funcionar;

A política é um documento genérico que referencia outros documentos.

A política deve ser publicada e aceitada por todos da organização.

Política de segurança da informação - Outras políticas existentes Para públicos alvo distintos; pode-se desenvolver

uma outra política; O objetivo é atingir todas as áreas da organização; Dependendo do público admite-se uma linguagem

mais técnica. Ex: Política para responsáveis por TI

Outros documentos que acompanham as políticas Carta do Presidente

Tem como objetivo apresentar a política; Defender a necessidade e uso; Mostrar o comprometimento da alta direção; Oferecer credibilidade ao processo.

Termo de Aceite Termo que deve ser assinado comprovando o

recebimento, conhecimento e aceitação da política pelos envolvidos;

Normalmente associado ao contrato de trabalho.

Segurança por perímetro

Definição de várias camadas de proteção; Cada camada possui como objetivo dificultar o processo

de invasão do ambiente. Firewall; Sistema de VPN; Anti-vírus; Política de segurança; Aculturação.

Análise de Risco Processo de identificação dos riscos que um ativo

está sujeito; Objetivo é identificar e mitigar os riscos

proativamente; Um processo de análise de riscos deve ser um

trabalho orientado através de um escopo definido.

Gerenciamento de Riscos

É um processo que através de uma metodologia de trabalho gerencia os riscos identificados no ambiente;

Normalmente é suportado por uma política; Seu objetivo é mitigar os riscos; Após identificar os riscos estes são trabalhos para

reduzir o impacto, o risco ou até mesmo a aceitação do risco;

Mesmo o risco sendo mitigado poderá existir um risco residual;

Segurança por perímetro ou em profundidade Definição de várias camadas de proteção,

semelhante a uma cebola; Sistema de VPN; Firewall; Anti-vírus; Política de segurança; Aculturação.

Segurança Física Disciplina que implementa mecanismos de

segurança que controlam um ambiente físico; CFTV; Catracas; Cancelas; Alarme; Equipamento para controle de incêndio;

Segurança Lógica Disciplina que implementa mecanismos de

segurança que controlam um ambiente computacional através de software e configurações;

Plano de Contingência ou Recuperação de Desastres Plano que visa recuperar a operação de um

determinado ambiente; O objetivo é restaurar a operação mínima; No entanto ao término do plano o ambiente deve

estar totalmente operacional; Os planos devem ser elaborados, testados e

atualizados constantemente.

Plano de Continuidade de Negócios (PCN) Conjunto de planos de continuidade; Objetivo é recuperar e dar continuidade ao negócio

frente a um desastre; O objetivo é restaurar a operação mínima; No entanto ao término do plano o negócio deve

estar totalmente operacional; Os planos devem ser elaborados, testados e

atualizados constantemente.

Incidente de segurança Qualquer evento que prejudique o bom

funcionamento do ambiente; Algumas organizações consideram uma tentativa

de ataque como um incidente.

Tratamento de incidentes Metodologia para tratamento dos incidentes

identificados pela organização; Metodologia mais comum:

Identificação, Contenção; Erradicação e Encerramento.

CERT (Centro de Estudos, Resposta e Tratamento de Incidentes)

CSIRTs Grupos de Resposta a Incidentes de Segurança em

Computadores; Computer Security Incident Response Team; Trata-se de um grupo responsável por resolver

incidentes de segurança; Pode ser um serviço prestado por uma empresa

especializada, ou uma própria unidade de uma empresa;

Incidentes que ocorram com os serviços prestados por estas empresas devem ser notificados para o CSIRT responsável pela empresa.

Construção de um CSIRT http://www.cert.br/csirts/

http://www.cert.br/csirts/brasil

Autenticação Ato de confirmar em um ambiente virtual a

identidade do usuário real ou equipamento; Pode ser feita através de diversas formas: senhas,

certificados digitais, impressão digital, perguntas e respostas;

A autenticação é o ato de prover ao autenticador a origem do autenticado.

Autenticação Pode ser realizada através de três categorias

diferentes: Algo que você conhece: senhas, frases,

números; Algo que você tem: cartão, chave, token; Algo que você é: digital, íris, reconhecimento da

Introdução

Alguns conceitos Autenticação

Formas de autenticação Biométrica Íris: padrão da formação da íris; Impressão Digital: padrão da formação dos traços

dos dedos; Mão: Tamanho, comprimento da mão e dos

dedos; Face: Tamanho, distribuição dos olhos, nariz,

boca e características gerais; Assinatura: Formato da letra, ordem de escrita,

pressão da caneta.

http://informatica.hsw.uol.com.br/biometria.htm

Introdução

Alguns conceitos Autenticação

Autenticação Forte Trata-se da utiliza de no mínimo dois mecânicos

de autenticação diferentes.

Introdução

Alguns conceitos Autorização

Processo de conceder acessos ao autenticado;

Accounting (contabilização): Complemento da operação de autenticação e

autorização; O accounting registra todas as ações ou comandos

aplicados ao sistema.

Introdução

Alguns conceitos Controle de Acesso

Conjunto de mecanismos que visa; Prover autenticação; Prover autorização; Prover rastreabilidade. Normalmemente conhecido como AAA

Authentication; Authorization; Accounting.

Introdução

Alguns conceitos Autenticação Centralizada

Mecanismo para centralização do processo de autenticação;

Exemplos: Radius; LDAP; Active Directory;

O processo de autenticação centralizada reduz custos de implementação e manutenção dos requisitos de segurança;

Melhora o nível de segurança.

Introdução

Alguns conceitos

Single SignOn Técnica utilizada para prover aos usuários o acesso à

todos os sistemas autorizados ao mesmo mediante uma única autenticação;

Normalmente implementado através de tokens de sessão.

Single SignOn é diferente de login único;

Introdução

Alguns conceitos

Auditoria Processo de levantamento das não conformidades

identificando os gaps com relação à uma norma ou uma política de segurança;

O processo de auditoria deve ser imparcial e autônoma;

Os tipos de auditoria mais comuns são: Interna; Externa; Certificação.

Introdução

Alguns conceitos Single SignOn

Técnica utilizada para prover aos usuários o acesso à todos os sistemas autorizados ao mesmo mediante uma única autenticação;

Normalmente implementado através de tokens de sessão.

Single SignOn é diferente de login único;

Criptografia Mensagem não criptografadaMensagem não cifrada

Mensagem não encriptadaMensagem em texto claroMensagem em texto limpo

Mensagem criptografadaMensagem cifrada

Mensagem encriptadaMensagem em texto cifrado

DecriptografiaDecifragemDecriptação

CriptografiaCifragem

Encriptação

Invasor

Criptografia

Palavra derivada dos termos gregos: "kryptos", que significa secreto, e de "grapho", que significa escrita.

O fundamento é escrever conteúdos seja secretos. Apenas os envolvidos devem ser capazes de conhecer o real

conteúdo. A criptografia é um recurso bastante antigo. Os Reis utilizam

esta técnica para trocarem informações militares. Os temos mais comuns são:

Algoritmo; Chave O algoritmo se trata de uma série de procedimentos, pré-

definidos, usados para manipular a mensagem tornando-a secreta.

http://www.numaboa.com/criptografiahttp://informatica.hsw.uol.com.br/criptografia.htm

Criptografia

A chave é uma informação utilizada pelo algoritmo para gerar um conteúdo secreto baseado nesta informação.

Assim o segredo só poderá ser conhecido por aqueles que conhecerem a chave.

Antigamente os algoritmos eram bastante simples. Eram fáceis de serem quebrados. Estes algoritmos eram basicamente formados por substituição e

permutação de letras ou palavras de uma mensagem. Com o atual poder de processamento os algoritmos puderam ser

mais complexos garantindo uma maior segurança.

Criptografia

Criptologia: Estudo da Criptografia através de Criptoanálise em um Criptosistema.

Criptosistema: É o conjunto de algoritmos criptográficos, entidades, chaves e outros parâmetros da comunicação.

Criptoanálise: Análise do criptosistema de modo a tentar quebrar o sistema criptográfico. É muito utilizado durante o desenvolvimento de algoritmos de criptografia.

Criptografia: Estudo de mecanismos que protegem os ativos permitindo que os pilares da segurança sejam implementados, como autenticação, assinatura digital, proteção à confidencialidade... 162

Criptografia

Operações de Criptografia: Cifra de César

Consiste na substituição dos caracteres conforme a tabela abaixo:

Neste algoritmo o remetente e o destinatário, precisarão:

Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo;

A B C D E F G H I J K L M

N O P Q R S T U V W X Y Z

Criptografia

Operações de Criptografia: Cifra de César

Texto em Claro Texto Cifrado PITAGORAS CVGNTBENF

O algoritmo de César não prevê o uso de chave; Desta forma a segurança está toda no algoritmo; Se o funcionamento do algoritmo for descoberto por um

individuo não autorizado, todas as mensagens cifradas por este algoritmo podem ser descobertas;

A B C D E F G H I J K L M

N O P Q R S T U V W X Y Z

Texto em Claro: PITAGORAS

Criptografia

Operações de Criptografia: Rotação Circular

Consiste no deslocamento dos bits/caracteres para a esquerda, ou para a direita.

Para o processo de decrifragem, basta realizar o processo inverso.

Neste algoritmo o remetente e o destinatário, precisarão:

Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo; Conhecer previamente a chave utilizada.

Neste algoritmo, a segurança é definida pela chave; Assim o atacante além de conhecer o algoritmo deve

também conhecer a chave para quebrar a segurança.

Criptografia

Operações de Criptografia: C 3

C (Rotação Circular) (Esquerda Encriptação) (Direita Decriptação) 3 (Chave)

Texto em Claro C 3 Texto Cifrado PITAGORAS AGORASPIT

Texto Cifrado C 3 Texto em ClaroPITAGORAS AGORASPIT 168

Criptografia

Operações de Criptografia: Permutação

A permutação consiste em embaralhar os caracteres que compõem a mensagem;

O embaralhamento ocorre pela definição da chave; A chave na verdade é uma sequencia de números que

é utilizada para definir a ordem do embaralhamento;

Criptografia

Cifragem

Texto em Claro Chave Texto Cifrado PITAGORAS 341927568 TAPSIRGOA

1 2 3 4 5 6 7 8 9P I T A G O R A S

Criptografia

Decifragem

Texto em Cifrado Chave Texto em Claro TAPSIRGOA 341927568 PITAGORAS

3 4 1 9 2 7 5 6 8T A P S I R G O A

Criptografia

Quando o texto a ser cifrado é muito grande define-se uma chave de tamanho x;

Quebra-se o texto a ser cifrado em blocos de x em x; Realiza a permutação de cada bloco do texto com a

chave de permutação;

Mensagem: VAMOS NOS REUNIR AS 20 HORAS Chave: 4312

Criptografia

V A M O S N O S R E U N I R A S 2 0 H O R A S

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

O M V A O N S E R S R I U N S A H 2 0 S A O R

4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2

4 3 1 2 . . .

Texto em Claro

Texto Cifrado

Criptografia

Operações de Criptografia: Substituição monoalfabética

Esse tipo de operação, consiste em substituir uma letra pela outra, seguindo um determinado padrão definido pela chave (X).

Cada letra do alfabeto recebe um número sequencial; A letra (L) a ser criptografada, será substituída por

outra Letra, baseado na soma da sua posição (L) + a chave (X);

Assim (L+X) criptografa, e (L-X) decriptografa.

Criptografia

Encriptação

Texto em Claro Chave: 8 Texto Cifrado PITAGORAS XQBIOWZIA

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

16 9 20 1 7 15 18 1 19

( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )(16+8; 9+8; 20+8; 1+8; 7+8; 15+8; 18+8; 1+8; 19+8)( 24 ; 17 ; 28 ; 9 ; 15 ; 23 ; 26 ; 9 ; 27 )( 24 ; 17 ;28-26; 9 ; 15 ; 23 ; 26 ; 9 ;27-26)( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )

24 17 2 9 15 23 26 9 1

Criptografia

Decriptação

Texto Cifrado Chave: 8 Texto em Claro XQBIOWZIA PITAGORAS

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

16 9 20 1 7 15 18 1 19

( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )(24-8;17-8; 2-8 ; 9-8;15-8; 23-8; 26-8; 9-8; 1-8 )( 16 ; 9 ; -6 ; 1 ; 7 ; 15 ; 18 ; 1 ; -7 )( 16 ; 9 ;26-6 ; 1 ; 7 ; 15 ; 18 ; 1 ;26-7 )( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )

24 17 2 9 15 23 26 9 1

Criptografia

Operações de Criptografia: Substituição polialfabética

São aqueles em que se têm a combinação ordenada de diversos sistemas monoalfabéticos. Ele adota uma chave (x), com "n" letras, e divide a mensagem em "n" blocos.

mensagem (m) seria: O site da underlinux esta muito bom.

E a chave (x) seria Linux.

m=OSITEDAUNDERLINUXESTAMUITOBOM, que dividida em blocos de 5 (Linux tem 5 letras), ficaria:

Criptografia

m = (OSITE) (DAUND) (ERLIN) (UXEST) (AMUIT) (OBOM), e considerando cada Letra como um número, (a=1, b=2 ...)

m= (15 19 9 20 5) (4 1 21 14 4) (...), e somando com os números relativos da chave(x) = Linux, (12 9 14 21 24)

Mcript= (15 + 12, 19 + 9 , 9 + 14 , 20 + 21 , 5 + 24) (...) Mcript= (27, 28, 23, 41, 28) (16, 10, 35, 35, 27) (...) Mcript= (ACXPC) (PJJJB) (...) ficando assim o texto criptografado.

Criptografia

A substituição polialfabética é muito mais complexa que a monoalfabética, mas ambas são inúteis (usando-as isoladamente), visto que, qualquer computador atual pode quebrá-la facilmente.

Criptografia

Desenvolvida por Arthur Scherbius em 1918, a Enigma levantou um grande interesse por parte da marinha de guerra alemã em 1926, quando passou a ser usado como seu principal meio de comunicação e ficaram conhecidas como Funkschlüssel C.

A máquina era elétrico-mecânica e funcionava com rotores (primeiramente com 3 e depois com até 8 rotores). Ao pressionar uma tecla, o rotor mais da esquerda avançava uma posição, o que ocasionava a rotação dos outros rotores da direita. Esse movimento contínuo dos rotores ocasionava em diferentes combinações na encriptação.

A codificação de uma mensagem criptografada pela Enigma era considerada impossível na época (já que para tal, seria necessário uma alta força bruta computacional).

Criptografia

A título de curiosidade, os Aliados só conseguiram decifrar os códigos da Enigma graças ao roubo de uma dessas máquinas, e que com graças à engenharia reversa, foram construídas máquinas capazes de ler e codificar os códigos alemães, os Colossus.

A criptografia passou a ser usada em larga escala por todas as ações, principalmente em épocas de guerra, tal como durante a Guerra Fria, onde Estados Unidos e União Soviética usaram esses métodos a fim de esconder do inimigo suas ações e movimentações, criptografando-as e impedindo que outros que não possuíssem a chave pudessem ler, forçando-os a usar diversos métodos para quebrar os códigos de criptografia.

Criptografia

Depois disso surgiram diversos tipos de criptografia, tais como a por chave simétrica, por chave assimétrica e por hash.

Criptografia

Tipos de Algoritmos de Criptografia

Block Chiphers Criptografam as mensagens em blocos de dados

tornando o processo mais demorado e consequentemente mais seguro;

Stream Chiphers Criptografam as mensagens bit a bit tornando o

processo mais simples porem menos seguro;

Criptografia

Tipos de Criptografia

Criptografia simétrica ou convencional ou de chave privada: Criptosistema que usa apenas uma chave pré-

compartilhada entre as entidades de comunicação. É rápida e simples de ser implementada; Porém tem problemas na gerência e administração de

chaves; É adequada a grandes volumes de dados.

Criptografia

Tipos de Criptografia: Criptografia simétrica

Criptografia

Tipos de Criptografia

Criptografia assimétrica ou de chave pública: Criptosistema que usa um par de chaves,

matematicamente relacionadas, denominadas pública e privada;

Se a pública é usada para criptografar, apenas e privada pode decriptografar o texto, e vice-e-versa;

É mais lenta, no entanto não apresenta os problemas da criptografia simétrica;

É adequada a pequenos volumes de dados.

Criptografia

Tipos de Criptografia: Criptografia assimétrica

Alice envia sua chave pública para Bob

Criptografia

Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada

Criptografia

Tipos de Criptografia: Obtendo o benefício das duas técnicas (simétrica e assimétrica)

Criptografia

Servidor de chaves públicas

http://www.rnp.br/keyserver

Criptografia

Tipos de Criptografia: Hash ou checksum criptográfico Cadeia de caracteres, de tamanho fixo; Pode ser utilizada para representar, de forma única,

uma informação. Função “one way”; Exemplo: um arquivo de tamanho qualquer, pode ser

representado por um checksum de, digamos, 15 caracteres.

Se o arquivo for alterado o checksum (hash) será totalmente alterado.

Pode ser utilizado para a verificação da integridade dos dados;

Criptografia

Tipos de Criptografia Hash ou checksum criptográfico

Funciona como uma uma espécie de selo de integridade.

Exemplos:

Uniminas:ae061f6a9af07bb4f5ec125151366cd uniminas: d27931796c2991037ae939d11f905b MD5.ppt: bb819825b6e74ff05e87

Criptografia

Tipos de Criptografia: Hash ou checksum criptográfico

Criptografia

Sites para quebra de hashes

http://passcracking.ru http://md5crack.com/ http://md5decryption.com/ http://md5.thekaine.de http://authsecu.com/decrypter-dechiffrer-cracker-hash-md5/

decrypter-dechiffrer-cracker-hash-md5.php http://hashcrack.com/index.php http://hash.insidepro.com/ http://md5decrypter.com/ http://md5pass.info/ http://plain-text.info/add/

Criptografia

Sites para quebra de hashes

http://hashkiller.com/password/ http://www.cryptohaze.com/addhashes.php http://md5.rednoize.com/ http://milw0rm.com/cracker/insert.php http://gdataonline.com/seekhash.php http://www.c0llision.net/webcrack.php http://passcracking.com/ http://isc.sans.org/tools/reversehash.html

Criptografia

Funcionamento PGP (Pretty Good Privacy) Ks Chave sessão – Criptografia Convencional Kra Chave privada de A – Criptografia Pública KuaChave pública de A – Criptografia Pública EP Processo de Encriptação de Chave pública DP Processo de Decriptação de Chave pública EC Processo de Encriptação Convencional DC Processo de Decriptação Convencional H Processo de Função Hash | | Processo de Concatenação Z Processo de Compressão com o Algoritmo ZIP R64 Processo de Conversão – RADIX 64 – ASCII

Criptografia

M H ZEP | |KRa

Compara

EKRa[H(M)]Autenticação Envio - a Recepção - b

Código Hash de 160 bits é gerado; A assinatura pode ser transmitida separadamente da mensagem

ou documento;

Pilares:Autenticação por meio da Assinatura

Criptografia

Pilar:Confidencialidade

EC | |

MZ-1DP

KRbEKUb[KS]

ConfidencialidadeEnvio - a Recepção - b

Criptografia

207Pilar:ConfidencialidadeAutenticidade por meio da assinatura

M H ZEP | |KRa

Compara

EKRa[H(M)]

EC | |

MZ-1DP

EKUb[KS]

Recepção

EP | |

Geração de Mensagem PGP

ChaveiroChave Privada

ChaveiroChave Pública

Frase Secreta

SelecionaIDbSeleciona

ResumoMensagem

KRaEncriptado

ID Chave

Mensagem+

Assinatura

Mensagem+Assinatura

Encriptados

ID Chave

Saída

Recepção de Mensagem PGP

MensagemEncriptada

+Assinatura

ID ChaveReceptor

Chave SessãoEncriptada

DCMensagem

ID ChaveEmissor

ResumoEncriptado

Compara

Seleciona

SelecionaChavePrivadaEncriptada

Frase Secreta

ChaveiroChave Privada

ChaveiroChave Pública

Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....

Documents

Transcript of Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....

Segurança da Informação e Políticas de Segurança

A SEGURANÇA DA INFORMAÇÃO NA REDE BANCÁRIA NO A Segurança da... · Informação com estudo sobre segurança da informação na rede bancária ... política de segurança da informação

segurança informação

Segurança da Informação Acadêmico: Anderson Zoz. Organizando a segurança da informação Infra-estrutura da segurança da informação.

Segurança da informação

CONVITE INVESTE SÃO PAULO nº. 05/19 PROCESSO INVESTE …

Certificação Digital e Segurança da Informação. · Certificação Digital e Segurança da Informação. Certificação Digital e Segurança da Informação. Obrigado! andre.garcia@iti.gov.br

Segurança da Informação - Políticas de Segurança

SEGURANÇA DA INFORMAÇÃO Implementação da gestão de segurança da informação Informações recentes sobre segurança da informação.

Segurança da informação

Segurança da Informação€¦ · Segurança da Informação : Alguns mitos A segurança da informação é uma DESPESA PONTUAL no orçamento das empresas e CUSTA CARO. A segurança

Cartilha Segurança Informação

segurança sistemas informação

Segurança da Informação.

Implementação da Gestão da Segurança da Informação & Informações recentes sobre segurança da informação.

SEGURANÇA DA INFORMAÇÃO

Segurança da Informação Tópico 30 – Segurança Física

Política de Segurança da Informação Paulo Silva Tracker Segurança da Informação PauloSilva@TrackerTI.com.