Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....

Fundamentos de Segurança da Informação

Introdução

Segurança da informação nas empresas. Quem investe?

Fonte: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf


Algumas notícias

Ataques a servidores web crescem 34% no 1º trimestre no Brasil / IDG

Tentativas de fraude na web brasileira crescem 96% no 2º trimestre / IDG

Cresce em 50% o uso de vermes para roubo de dados / Computerworld

Operadora de telefonia Britânica deixa vazar Fotos enviadas por MMS / ISTF

Metade dos varejistas dos EUA já perderam dados de clientes / Gartner

Cracker divulga dados de 6 milhões de cidadãos chilenos na web / IDG

Hackers atacam e deixam cidades sem luz / Wordpress

Executivo é condenado por roubar dados da IBM para a HP / ISTF

Roubo de informações da Petrobras pode indicar espionagem industrial / Globo


Algumas notícias


Introdução

Principais responsáveis por ataques:

4%

8%

12%

24%

27%

48%

Concorrentes

Ex-Associados

Prestadores de Serviço

Associados

Causa Desconhecida

Crackers e Hackers

Fonte: 9ª Pesquisa de Segurança da Informação - Módulo


Introdução

Principais ameaças:

29%

31%

37%

39%

41%

47%

49%

51%

53%

66%

Fraudes em e-mail

Uso de notebooks

Falha na segurança física

Crackers e Hackers

Fraudes, erros e acidentes

Vazamento de informações

Acessos indevidos

Divulgação de senhas

Associados insatisfeitos

Vírus

Fonte: 9ª Pesquisa de Segurança da Informação - Módulo


Introdução

O que é segurança da informação?

Conjunto de disciplinas que visa proteger a informação; Possui como objetivo reduzir as ameaças ao ambiente; Garantir a continuidade dos negócios; Maximizar o retorno dos investimentos; É indispensável para a maioria das empresas;

Se faz segurança da informação com os pilares: Disponibilidade e Integridade; Autenticidade e Confidencialidade ; Não-repúdio.


Introdução


É custo (overhead); Profissionais capacitados; Aquisição de equipamentos; Contratação de consultorias; Desenvolvimento de sistemas; Revisão de processos; Implementação de disciplinas.


Introdução


É difícil justificar investimentos Return On Investment (ROI) e Payback Todo investimento deve trazer um retorno:

Financeiro; Imagem; Legal (atender regulamentações).


Introdução


Não existe 100% de segurança; A segurança da informação deve realizar o seu trabalho

“engessando” o mínimo possível a organização;


Introdução


Exercício de análise de custo x benefício; Realizar investimentos baseando-se na regra de Pareto.


Introdução

Quem são os responsáveis pela segurança?

Todos os funcionários da organização guardado as devidas proporções;

Fornecedores e parceiros de negócio; Os próprios clientes;

No entanto deve existir uma área centralizada; As Metas, os objetivos, as definições dos papéis e

como operacionalizar a segurança; Necessita de imparcialidade e autonomia; É recomendado que esteja ligada e apoiada pela

alta direção;


Introdução

Quais os ganhos produzidos?

Reduzir os níveis de riscos a patamares aceitáveis; Produzindo melhores produtos e serviços;

Satisfazendo a maior parte dos clientes e principalmente os acionistas da empresa.

Os ganhos visíveis são: Redução na probabilidade de incidentes de segurança; Redução das perdas e impactos causadas por

incidentes; Melhor recuperação frente a danos, desastres ou

incidentes.


Introdução

Como as empresas se protegem?

Tecnologia: Firewall, VPN, IPS, Proxy, antivírus, controle de e-mail e navegação, armazenamento e análise centralizada de logs, gerenciamento centralizado de identidades, segregação de redes e acessos, sistema de backup...

Processos: tratamento de incidentes, auditoria, gerenciamento e monitoração constante, planos de contingência e recuperação de desastres, análise e gerenciamento de riscos...

Pessoas: políticas, procedimentos, normas, instruções de trabalho, treinamentos, plano de aculturação...


Pilares da Segurança da Informação


Principais Conceitos

Pilares da segurança

Disponibilidade Os ativos e a informação devem estar disponíveis

aos usuários; É implementado através da redundância do

ambiente; Normalmente afetada pela negação de serviço.

(DoS; DDoS); Aspecto mais físico.




Disponibilidade


Fonte: http://www.esecurityplanet.com/trends/print.php/1486981

Fonte: http://www.totalsecurity.com.br/noticia.php?cod=85





Confidencialidade Garantir o sigilo das informações; Autorização de acesso das partes envolvidas. É ajudada através da classificação da informação;

Integridade Permitir que os envolvidos verifiquem se a

informação não foi alterada intencionalmente ou não durante o seu transporte.




Autenticidade Permitir ao receptor identificar a autenticidade do

remetente; Permite identificar quando uma pessoa tenta se

passar por outra;

Não-repúdio Garantir que o remetente não possa negar a

autoria de seus atos.


Processo de Gestão de Senhas


Processos de Segurança da Informação

Gerenciamento de Senhas Disciplina que visa orientar os usuários com relação

à segurança das senhas; Esta disciplina define muitas vezes:

Tamanho mínimo; Complexidade; Idade máxima; (Expiração) Histórico; Idade mínima; Bloqueio; Tempos de aviso;


Principais Conceitos de Segurança da Informação



Hacker x Cracker; White Hat X Black Hat; Depende do lado da força.

Phreaker; Ckackers de telefonia.

Phracker. Crackers de telefonia IP.



Lamer ou Script Kiddies: Utiliza-se do trabalho intelectual dos verdadeiros

especialistas técnicos. Não possuem conhecimento de programação, e não estão interessados em tecnologia, e sim em ganhar fama ou outros tipos de lucros pessoais. São meramente executores de scripts.



Defacers (Defacement)



Vírus

Código de computador escrito com a intenção explícita de se auto-duplicar anexando-se a outros programa ou arquivos para poder se espalhar entre os computadores, infectando-os à medida que se desloca. Os vírus podem danificar seu software, hardware e arquivos. Os vírus necessitam da interação do usuário.

http://blog.pandasecurity.com.br/2010/01/os-virus-que-fizeram-barulho-em-2009



Wormes ou Vermes

Um worm cria cópias de si mesmo e se espalha de um computador para outro, mas faz isso automaticamente, não necessitando da interação do usuário. A propagação pode ocorrer pela rede, pela lista de e-mail e Instante Messanger ou por programas P2P. O grande perigo dos worms é a sua capacidade de se replicar em grande volume criando um efeito domino.



Cavalo de Tróia

Baseado na mitológico grega, o cavalo de tróia parece ser um presente, mas na verdade esconde códigos maliciosos com o objetivo de infectar o computador do usuário. Resumidamente o cavalo de tróia é um programa de computador que parece ser útil, mas na verdade causa danos. Eles se aproveitam da engenharia social para seduzir as pessoas a abrir o programa por pensar que vem de uma fonte legítima.



Crack ou ckacker Software utilizado para a quebra de senhas, chaves

criptográficas ou códigos de licenciamento.

Adware Softwares que apresentam propagandas sem o

consentimento do usuário.



Keylogger Software Hardware

http://www.keykatcher.com/http://www.keylogger.org/



Spyware



Banker



Bot/Botnet

http://informatica.hsw.uol.com.br/computador-zumbi.htm



Malware


54Também utilizada pelos crackers para verificar a “invisibilidade” dos seus trojans perante os anti-vírus.



Binder ou Joiner Ferramenta que anexa um segundo software a um

software principal; Quando o software principal é executado o software

anexado também é executado.



Backdoor Programa instalado por um intruso em um

computador com o objetivo de oferecer uma forma de acesso futura;

Um backdoor pode ser instalado através de uma ação do invasor localmente ou remotamente;

Pode ser ainda instalada pelo próprio usuário como um cavalo de tróia.


Backdoor

http://www.freewebs.com/geurle/piratage1.htm



Hoax

Exemplos: Cruz da Honda, Cobra do Habibb’s



SPAM Uma mensagem eletrônica é "spam" SE: (1) a

identidade pessoal do destinatário e o contexto são irrelevantes porque a mensagem é igualmente aplicável a muitos outros potenciais receptores; E (2) o beneficiário não tenha comprovadamente concedidos deliberada, explícita e ainda: revogável permissão para que ele seja enviado e (3) a transmissão e recepção da mensagem aparece para o receptor para dar um benefício desproporcional para o remetente.

http://www.mail-abuse.com/spam_def.html



SPAM

http://www.calculadorainteligente.com.br/spam/ Http://www.antispam.br/



SPAM

http://info.abril.com.br/noticias/trend-micro/trend-mapa.html



Open Relay Servidor de email mal configurado que permite o uso

indevido de sua infra-estrutura por usuários na Internet para o envio de emails onde a origem e o destino não fazem parte de seu domínio..



Phishing Scan



Recomendação– Monitorar os principais canais de divulgação de fraudes e

phising scans para identificar possíveis ameaças ao ambiente da empresa e realizar treinamentos e comunicações sobre estas ameaças.

www.rnp.br/cais/fraudes.php ww.fraudes.org www.mhavila.com.br/topicos/seguranca/scam.html



Engenharia Social


Exemplo de engenharia social:

Pai: Filho, quero que você se case com uma moça que eu escolhi.Filho: Mas pai, eu quero escolher a minha mulher.Pai: Meu filho, ela é filha do Bill Gates.Filho: Bem neste caso eu aceito.Então o pai vai encontrar o Bill Gates.Pai: Bill, eu tenho o marido para sua filha.Bill Gates: Mas a minha filha é muito jovem para casar.Pai: Mas esse jovem é vice-presidente do Banco Mundial.Bill Gates: Neste caso tudo bem.Finalmente o pai vai ao Presidente do Banco Mundial.Pai: Sr. presidente, eu tenho um jovem que é recomendado para ser vice-presidente do Banco Mundial.Pres Banco Mundial: Mas eu já tenho muitos vice-presidentes, inclusive mais do que o necessário.Pai: Mas Sr. este jovem é genro do Bill Gates.Pres Banco Mundial: Neste caso ele está contratado..



Comunicação em uma rede



Sniffer Ferramenta utilizada por crackers ou hackers o

conteúdo das informações que estão trafegando na rede de computadores;

É uma espécie de escuta telefônica para o mundo dos computadores;

Através desta técnica é possível coletar qualquer informação transmitida entre dois computadores.


Sniffers



Port Scanner Ferramenta utilizada por crackers ou hackers para

identificar quais as portas lógicas de um equipamento estão “abertas”;

Em um ataque o cracker utiliza normalmente um port scanner na fase de reconhecimento do ambiente;

Através de um port scanning é possível inferir quais serviços estão ativos em um equipamento;


Port Scanner



Firewall

http://pt.wikipedia.org/wiki/Firewall



Firewall



VPN

http://pt.wikipedia.org/wiki/Virtual_Private_Network



Proxy Open Proxy

http://pt.wikipedia.org/wiki/Proxy



IDS IPS

http://en.wikipedia.org/wiki/Intrusion_prevention_systemhttp://en.wikipedia.org/wiki/Intrusion-detection_system



Footprint Técnica utilizada pelos crackers para o levantamento de

informações do ambiente como versões de software, para posteriormente buscar vulnerabilidades conhecidas e exploits.



Rootkit Um rootkit é um programa com código mal intencionado

que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação.

Rootkits escondem a sua presença no sistema, escondendo suas chaves no registro (para que o usuário não possa vê-las) e escondendo os seus processos no Gerenciador de Tarefas, além de retornar sempre erros de “arquivo inexistente” ao tentar acessar os arquivos relacionados.



Vulnerability Scanner Ferramenta utilizada por crackers ou hackers para

identificar quais vulnerabilidades um software possui;

Este tipo de técnica analisa o alvo com base em vulnerabilidades conhecidas;

Pode ser utilizado tanto para prevenção de vulnerabilidades pela ação proativa;

Como também para identificar falhas e proceder com ataques.


Vulnerability Scanner



HoneyPots Sistemas preparados com vulnerabilidades

propositais; O objetivo é estudar as técnicas de ataques dos

crackers para a estruturação de defesas;

HoneyNet Redes preparadas com vulnerabilidades propositais; O seu objetivo é o mesmo dos HoneyPots.



Disassembler Software que realiza a engenharia reversa de um

executável, ou seja, transforma o executável com código fonte;

Normalmente utilizado por crackers para identificar: senhas e chaves de criptografia “escondidas” ou até mesmo o funcionamento do software.



Hardening Hardening é um processo de mapeamento das

falhas de segurança e mitigação das mesmas através da execução de atividades corretivas, através da implementação dos conceitos de segurança.

O objetivo principal é tornar o ambiente preparado para enfrentar tentativas de ataque.



Checklist de Segurança Um checklist é um resumo das principais

configurações de segurança recomendadas para serem implementadas nos ambientes computacionais.

A implementação de checklists de segurança em sistemas operacionais, banco de dados, servidores de aplicações e outros serviços suportam o conceito de hardening.



Ameaça Indivíduos ou eventos que praticam atividades para

afetar pessoas, ambientes ou negócios; Um cracker, um vírus, um desastre natural,

Enchentes, terremotos, incêndios ...

Ataque Ação realizada por uma ameaça; Pode ter sucesso ou não no comprometimento do

ambiente; A ação bem sucedida compromete a segurança do

ambiente;



Invasão É um ataque bem sucedido que compromete o

ambiente; Toda invasão é um ataque; Nem todo ataque é uma invasão; Uma invasão deve permitir ao indivíduo.

Controle do alvo; Manipulação da informação;

Consulta; Remoção; Alteração.

Invasões

Ataque



Bug ou Falha Uma falha é algo que conduz o sistema ao não

planejado ou não previsto; Situação não prevista ou considerada no projeto

original.

Vulnerabilidade Resultado da existência de uma falha ou bug; Expõe o sistema sob algum dos aspectos de segurança; Pode comprometer uma parte do sistema ou o todo; Toda vulnerabilidade pode ser explorada; Exemplo: ping of death, multa de trânsito, pagamento

com cartão de crédito sem senha;

Falhas ou bugs

VulnerabilidadesHoles



Vulnerabilidade

Vulnerabilidade Física: Falta de extintores; Instalações prediais fora dos padrões de

segurança; Falta de detectores de fumaça e de outros

recursos para prevenção e combate a incêndios; Instalação elétrica antiga e em conjunto com a

dos computadores.



Vulnerabilidade

Vulnerabilidade Natural: Possibilidade de desastres naturais (incêndios,

enchentes, terremotos, tempestades). Acúmulo de poeira, aumento de umidade e de

temperatura.

Vulnerabilidade de Hardware: Falha nos recursos tecnológicos (tempo, mal uso). Erros ou problemas durante a instalação física.



Vulnerabilidade

Vulnerabilidade de Software: Erros na instalação ou na configuração que podem

acarretar acessos indevidos; Falhas e bugs nos sistemas operacionais e

aplicativos; Falhas em programas que implementam serviços de

rede.



Vulnerabilidade

Vulnerabilidade de Mídias: Fita magnética de baixa qualidade; Relatórios impressos que podem ser perdidos ou

danificados; Radiação eletromagnética que pode afetar diversos

tipos de mídias magnéticas.



Vulnerabilidade

Vulnerabilidade Humana: Falta de treinamento; Compartilhamento de informações confidenciais; Desobediência ou não execução de rotinas de

segurança.



Exploit O exploit é uma ferramenta para automatizar o

processo de exploração de uma vulnerabilidade; Os exploits são partes de software, de dados ou uma

seqüência de comandos que exploram a vulnerabilidade em questão.

Os exploits são desenvolvidos com base no detalhamento da vulnerabilidade. São ferramentas específicas às vulnerabilidades para as quais foram projetados.



Sites com banco de dados de exploits e vulnerabilidades:

http://www.elhacker.net/exploits/ http://www.cve.mitre.org/ http://www.cert.org/ http://www.sans.org/ http://www.cisecurity.com/ http://www.sans.org/score http://isc.sans.org/ http://icat.nist.gov/icat.cfm http://www.security-focus.com/ http://www.rnp.br/cais/ http://cve.mitre.org/compatible/vulnerability_alerting.html http://web.nvd.nist.gov/view/vuln/search http://secunia.com/ http://www.milw0rm.com/


Exemplo de Exploit


Exemplo de Catálogo de Vulnerabilidades


Exemplo de Exploit


Exemplo de Exploit

Oferece suporte a compartilhamento na rede de arquivo, impressão e pipes nomeados para este computador. Se este serviço for interrompido, quaisquer serviços que dele dependam diretamente não serão inicializados.


Exemplo de Exploit


Introdução

Alguns Conceitos Risco

É um contexto que inclui as ameças as vulnerabilidades e a informação a se proteger ;

O Diante da existência de uma ameaça a vulnerabilidade torna-se um risco.

O risco surge quando existe ameaças com interesse em explorar as vulnerabilidades.

Um risco só existe diante da presença de uma vulnerabilidade somada a uma ameaça;

O risco pode ser medido como a probabilidade estatística de uma ameaça explorar a vulnerabilidade;


Introdução

Alguns conceitos Risco

Pode afetar diretamente no atingimento dos objetivos estabelecidos pela organização;

Ex: Um servidor Web desatualizado Existem vários cracker e vários exploits

disponíveis. Desta forma o risco é alto.


Introdução

Alguns conceitos Elevação de privilégio Acesso indevido Força bruta


Principais Processos de Segurança da Informação



Política de Segurança da Informação Conjunto de diretrizes claras e objetivas; Código de legislação de uma organização; Norteia como a segurança deve funcionar; Normalmente a política é um documento genérico que

referencia outros documentos mais técnicos. A política deve ser publicada e aceitada por todos da

organização.



Política de segurança da informação Documento que reúne os princípios de segurança

relativos à toda informação e seus ativos; Deve ser um produto de discussões exaustivas

entre a alta direção e o comitê de segurança; A política não deve contrariar a cultura de negócios,

crenças ou valores da empresa; Por ser um documento estratégico deve ser apoiado

pela alta direção. O produto final é um conjunto de diretrizes claras e

objetivas;



Política de segurança da informação Estas diretrizes atribuem direitos e

responsabilidades às pessoas que lidam com os recursos computacionais da organização;

Por ser um documento estratégico deve ser apoiado pela alta direção;

As diretrizes norteiam como a segurança deve funcionar;

A política é um documento genérico que referencia outros documentos.

A política deve ser publicada e aceitada por todos da organização.



Política de segurança da informação - Outras políticas existentes Para públicos alvo distintos; pode-se desenvolver

uma outra política; O objetivo é atingir todas as áreas da organização; Dependendo do público admite-se uma linguagem

mais técnica. Ex: Política para responsáveis por TI



Outros documentos que acompanham as políticas Carta do Presidente

Tem como objetivo apresentar a política; Defender a necessidade e uso; Mostrar o comprometimento da alta direção; Oferecer credibilidade ao processo.

Termo de Aceite Termo que deve ser assinado comprovando o

recebimento, conhecimento e aceitação da política pelos envolvidos;

Normalmente associado ao contrato de trabalho.



Segurança por perímetro

Definição de várias camadas de proteção; Cada camada possui como objetivo dificultar o processo

de invasão do ambiente. Firewall; Sistema de VPN; Anti-vírus; Política de segurança; Aculturação.



Análise de Risco Processo de identificação dos riscos que um ativo

está sujeito; Objetivo é identificar e mitigar os riscos

proativamente; Um processo de análise de riscos deve ser um

trabalho orientado através de um escopo definido.



Gerenciamento de Riscos

É um processo que através de uma metodologia de trabalho gerencia os riscos identificados no ambiente;

Normalmente é suportado por uma política; Seu objetivo é mitigar os riscos; Após identificar os riscos estes são trabalhos para

reduzir o impacto, o risco ou até mesmo a aceitação do risco;

Mesmo o risco sendo mitigado poderá existir um risco residual;



Segurança por perímetro ou em profundidade Definição de várias camadas de proteção,

semelhante a uma cebola; Sistema de VPN; Firewall; Anti-vírus; Política de segurança; Aculturação.



Segurança Física Disciplina que implementa mecanismos de

segurança que controlam um ambiente físico; CFTV; Catracas; Cancelas; Alarme; Equipamento para controle de incêndio;



Segurança Lógica Disciplina que implementa mecanismos de

segurança que controlam um ambiente computacional através de software e configurações;



Plano de Contingência ou Recuperação de Desastres Plano que visa recuperar a operação de um

determinado ambiente; O objetivo é restaurar a operação mínima; No entanto ao término do plano o ambiente deve

estar totalmente operacional; Os planos devem ser elaborados, testados e

atualizados constantemente.



Plano de Continuidade de Negócios (PCN) Conjunto de planos de continuidade; Objetivo é recuperar e dar continuidade ao negócio

frente a um desastre; O objetivo é restaurar a operação mínima; No entanto ao término do plano o negócio deve

estar totalmente operacional; Os planos devem ser elaborados, testados e

atualizados constantemente.



Incidente de segurança Qualquer evento que prejudique o bom

funcionamento do ambiente; Algumas organizações consideram uma tentativa

de ataque como um incidente.

Tratamento de incidentes Metodologia para tratamento dos incidentes

identificados pela organização; Metodologia mais comum:

Identificação, Contenção; Erradicação e Encerramento.

CERT (Centro de Estudos, Resposta e Tratamento de Incidentes)



CSIRTs Grupos de Resposta a Incidentes de Segurança em

Computadores; Computer Security Incident Response Team; Trata-se de um grupo responsável por resolver

incidentes de segurança; Pode ser um serviço prestado por uma empresa

especializada, ou uma própria unidade de uma empresa;

Incidentes que ocorram com os serviços prestados por estas empresas devem ser notificados para o CSIRT responsável pela empresa.

Construção de um CSIRT http://www.cert.br/csirts/



http://www.cert.br/csirts/brasil



AAA

Autenticação Ato de confirmar em um ambiente virtual a

identidade do usuário real ou equipamento; Pode ser feita através de diversas formas: senhas,

certificados digitais, impressão digital, perguntas e respostas;

A autenticação é o ato de prover ao autenticador a origem do autenticado.



Autenticação Pode ser realizada através de três categorias

diferentes: Algo que você conhece: senhas, frases,

números; Algo que você tem: cartão, chave, token; Algo que você é: digital, íris, reconhecimento da

face.


143


Introdução

Alguns conceitos Autenticação

Formas de autenticação Biométrica Íris: padrão da formação da íris; Impressão Digital: padrão da formação dos traços

dos dedos; Mão: Tamanho, comprimento da mão e dos

dedos; Face: Tamanho, distribuição dos olhos, nariz,

boca e características gerais; Assinatura: Formato da letra, ordem de escrita,

pressão da caneta.

http://informatica.hsw.uol.com.br/biometria.htm


Introdução

Alguns conceitos Autenticação

Autenticação Forte Trata-se da utiliza de no mínimo dois mecânicos

de autenticação diferentes.


Introdução

Alguns conceitos Autorização

Processo de conceder acessos ao autenticado;

Accounting (contabilização): Complemento da operação de autenticação e

autorização; O accounting registra todas as ações ou comandos

aplicados ao sistema.


Introdução

Alguns conceitos Controle de Acesso

Conjunto de mecanismos que visa; Prover autenticação; Prover autorização; Prover rastreabilidade. Normalmemente conhecido como AAA

Authentication; Authorization; Accounting.


Introdução

Alguns conceitos Autenticação Centralizada

Mecanismo para centralização do processo de autenticação;

Exemplos: Radius; LDAP; Active Directory;

O processo de autenticação centralizada reduz custos de implementação e manutenção dos requisitos de segurança;

Melhora o nível de segurança.


153


154


155


Introdução

Alguns conceitos

Single SignOn Técnica utilizada para prover aos usuários o acesso à

todos os sistemas autorizados ao mesmo mediante uma única autenticação;

Normalmente implementado através de tokens de sessão.

Single SignOn é diferente de login único;

156


Introdução

Alguns conceitos

Auditoria Processo de levantamento das não conformidades

identificando os gaps com relação à uma norma ou uma política de segurança;

O processo de auditoria deve ser imparcial e autônoma;

Os tipos de auditoria mais comuns são: Interna; Externa; Certificação.

157


Introdução

Alguns conceitos Single SignOn

Técnica utilizada para prover aos usuários o acesso à todos os sistemas autorizados ao mesmo mediante uma única autenticação;

Normalmente implementado através de tokens de sessão.

Single SignOn é diferente de login único;

158


Criptografia Mensagem não criptografadaMensagem não cifrada

Mensagem não encriptadaMensagem em texto claroMensagem em texto limpo

Mensagem criptografadaMensagem cifrada

Mensagem encriptadaMensagem em texto cifrado

DecriptografiaDecifragemDecriptação

CriptografiaCifragem

Encriptação

159

Chave

Chave

João

Maria

Invasor


Criptografia

Palavra derivada dos termos gregos: "kryptos", que significa secreto, e de "grapho", que significa escrita.

O fundamento é escrever conteúdos seja secretos. Apenas os envolvidos devem ser capazes de conhecer o real

conteúdo. A criptografia é um recurso bastante antigo. Os Reis utilizam

esta técnica para trocarem informações militares. Os temos mais comuns são:

Algoritmo; Chave O algoritmo se trata de uma série de procedimentos, pré-

definidos, usados para manipular a mensagem tornando-a secreta.

http://www.numaboa.com/criptografiahttp://informatica.hsw.uol.com.br/criptografia.htm

160


Criptografia

A chave é uma informação utilizada pelo algoritmo para gerar um conteúdo secreto baseado nesta informação.

Assim o segredo só poderá ser conhecido por aqueles que conhecerem a chave.

Antigamente os algoritmos eram bastante simples. Eram fáceis de serem quebrados. Estes algoritmos eram basicamente formados por substituição e

permutação de letras ou palavras de uma mensagem. Com o atual poder de processamento os algoritmos puderam ser

mais complexos garantindo uma maior segurança.

161


Criptografia

Criptologia: Estudo da Criptografia através de Criptoanálise em um Criptosistema.

Criptosistema: É o conjunto de algoritmos criptográficos, entidades, chaves e outros parâmetros da comunicação.

Criptoanálise: Análise do criptosistema de modo a tentar quebrar o sistema criptográfico. É muito utilizado durante o desenvolvimento de algoritmos de criptografia.

Criptografia: Estudo de mecanismos que protegem os ativos permitindo que os pilares da segurança sejam implementados, como autenticação, assinatura digital, proteção à confidencialidade... 162


Criptografia

Operações de Criptografia: Cifra de César

Consiste na substituição dos caracteres conforme a tabela abaixo:

Neste algoritmo o remetente e o destinatário, precisarão:

Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo;

A B C D E F G H I J K L M

N O P Q R S T U V W X Y Z


Criptografia

Operações de Criptografia: Cifra de César

Texto em Claro Texto Cifrado PITAGORAS CVGNTBENF

O algoritmo de César não prevê o uso de chave; Desta forma a segurança está toda no algoritmo; Se o funcionamento do algoritmo for descoberto por um

individuo não autorizado, todas as mensagens cifradas por este algoritmo podem ser descobertas;

A B C D E F G H I J K L M

N O P Q R S T U V W X Y Z


Texto em Claro: PITAGORAS


Criptografia

Operações de Criptografia: Rotação Circular

Consiste no deslocamento dos bits/caracteres para a esquerda, ou para a direita.

Para o processo de decrifragem, basta realizar o processo inverso.

Neste algoritmo o remetente e o destinatário, precisarão:

Conhecer qual algoritmo foi utilizado; Conhecer o funcionamento do algoritmo; Conhecer previamente a chave utilizada.

Neste algoritmo, a segurança é definida pela chave; Assim o atacante além de conhecer o algoritmo deve

também conhecer a chave para quebrar a segurança.


Criptografia

Operações de Criptografia: C 3

C (Rotação Circular) (Esquerda Encriptação) (Direita Decriptação) 3 (Chave)

Texto em Claro C 3 Texto Cifrado PITAGORAS AGORASPIT

Texto Cifrado C 3 Texto em ClaroPITAGORAS AGORASPIT 168


Criptografia

Operações de Criptografia: Permutação

A permutação consiste em embaralhar os caracteres que compõem a mensagem;

O embaralhamento ocorre pela definição da chave; A chave na verdade é uma sequencia de números que

é utilizada para definir a ordem do embaralhamento;

169


Criptografia


Cifragem

Texto em Claro Chave Texto Cifrado PITAGORAS 341927568 TAPSIRGOA

. . .

170

1 2 3 4 5 6 7 8 9P I T A G O R A S


Criptografia


Decifragem

Texto em Cifrado Chave Texto em Claro TAPSIRGOA 341927568 PITAGORAS

. . .

171

3 4 1 9 2 7 5 6 8T A P S I R G O A


Criptografia


Quando o texto a ser cifrado é muito grande define-se uma chave de tamanho x;

Quebra-se o texto a ser cifrado em blocos de x em x; Realiza a permutação de cada bloco do texto com a

chave de permutação;

Mensagem: VAMOS NOS REUNIR AS 20 HORAS Chave: 4312

172


Criptografia


173

V A M O S N O S R E U N I R A S 2 0 H O R A S

1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4

O M V A O N S E R S R I U N S A H 2 0 S A O R

4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2 4 3 1 2

4 3 1 2 . . .

Texto em Claro

Texto Cifrado


Criptografia

Operações de Criptografia: Substituição monoalfabética

Esse tipo de operação, consiste em substituir uma letra pela outra, seguindo um determinado padrão definido pela chave (X).

Cada letra do alfabeto recebe um número sequencial; A letra (L) a ser criptografada, será substituída por

outra Letra, baseado na soma da sua posição (L) + a chave (X);

Assim (L+X) criptografa, e (L-X) decriptografa.

174


Criptografia


Encriptação

Texto em Claro Chave: 8 Texto Cifrado PITAGORAS XQBIOWZIA

175

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

16 9 20 1 7 15 18 1 19

( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )(16+8; 9+8; 20+8; 1+8; 7+8; 15+8; 18+8; 1+8; 19+8)( 24 ; 17 ; 28 ; 9 ; 15 ; 23 ; 26 ; 9 ; 27 )( 24 ; 17 ;28-26; 9 ; 15 ; 23 ; 26 ; 9 ;27-26)( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )

24 17 2 9 15 23 26 9 1


Criptografia


Decriptação

Texto Cifrado Chave: 8 Texto em Claro XQBIOWZIA PITAGORAS

176

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26

16 9 20 1 7 15 18 1 19

( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )(24-8;17-8; 2-8 ; 9-8;15-8; 23-8; 26-8; 9-8; 1-8 )( 16 ; 9 ; -6 ; 1 ; 7 ; 15 ; 18 ; 1 ; -7 )( 16 ; 9 ;26-6 ; 1 ; 7 ; 15 ; 18 ; 1 ;26-7 )( 16 ; 9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )

24 17 2 9 15 23 26 9 1


Criptografia

Operações de Criptografia: Substituição polialfabética

São aqueles em que se têm a combinação ordenada de diversos sistemas monoalfabéticos. Ele adota uma chave (x), com "n" letras, e divide a mensagem em "n" blocos.

mensagem (m) seria: O site da underlinux esta muito bom.

E a chave (x) seria Linux.

m=OSITEDAUNDERLINUXESTAMUITOBOM, que dividida em blocos de 5 (Linux tem 5 letras), ficaria:

177


Criptografia


m = (OSITE) (DAUND) (ERLIN) (UXEST) (AMUIT) (OBOM), e considerando cada Letra como um número, (a=1, b=2 ...)

m= (15 19 9 20 5) (4 1 21 14 4) (...), e somando com os números relativos da chave(x) = Linux, (12 9 14 21 24)

Mcript= (15 + 12, 19 + 9 , 9 + 14 , 20 + 21 , 5 + 24) (...) Mcript= (27, 28, 23, 41, 28) (16, 10, 35, 35, 27) (...) Mcript= (ACXPC) (PJJJB) (...) ficando assim o texto criptografado.

178


Criptografia


A substituição polialfabética é muito mais complexa que a monoalfabética, mas ambas são inúteis (usando-as isoladamente), visto que, qualquer computador atual pode quebrá-la facilmente.

179


Criptografia

Desenvolvida por Arthur Scherbius em 1918, a Enigma levantou um grande interesse por parte da marinha de guerra alemã em 1926, quando passou a ser usado como seu principal meio de comunicação e ficaram conhecidas como Funkschlüssel C.

A máquina era elétrico-mecânica e funcionava com rotores (primeiramente com 3 e depois com até 8 rotores). Ao pressionar uma tecla, o rotor mais da esquerda avançava uma posição, o que ocasionava a rotação dos outros rotores da direita. Esse movimento contínuo dos rotores ocasionava em diferentes combinações na encriptação.

A codificação de uma mensagem criptografada pela Enigma era considerada impossível na época (já que para tal, seria necessário uma alta força bruta computacional).

180


Criptografia

181


Criptografia

A título de curiosidade, os Aliados só conseguiram decifrar os códigos da Enigma graças ao roubo de uma dessas máquinas, e que com graças à engenharia reversa, foram construídas máquinas capazes de ler e codificar os códigos alemães, os Colossus.

A criptografia passou a ser usada em larga escala por todas as ações, principalmente em épocas de guerra, tal como durante a Guerra Fria, onde Estados Unidos e União Soviética usaram esses métodos a fim de esconder do inimigo suas ações e movimentações, criptografando-as e impedindo que outros que não possuíssem a chave pudessem ler, forçando-os a usar diversos métodos para quebrar os códigos de criptografia.

182


Criptografia

Depois disso surgiram diversos tipos de criptografia, tais como a por chave simétrica, por chave assimétrica e por hash.

183


Criptografia

Tipos de Algoritmos de Criptografia

Block Chiphers Criptografam as mensagens em blocos de dados

tornando o processo mais demorado e consequentemente mais seguro;

Stream Chiphers Criptografam as mensagens bit a bit tornando o

processo mais simples porem menos seguro;

184


Criptografia

Tipos de Criptografia

Criptografia simétrica ou convencional ou de chave privada: Criptosistema que usa apenas uma chave pré-

compartilhada entre as entidades de comunicação. É rápida e simples de ser implementada; Porém tem problemas na gerência e administração de

chaves; É adequada a grandes volumes de dados.

185


Criptografia

Tipos de Criptografia: Criptografia simétrica

186


Criptografia

Tipos de Criptografia

Criptografia assimétrica ou de chave pública: Criptosistema que usa um par de chaves,

matematicamente relacionadas, denominadas pública e privada;

Se a pública é usada para criptografar, apenas e privada pode decriptografar o texto, e vice-e-versa;

É mais lenta, no entanto não apresenta os problemas da criptografia simétrica;

É adequada a pequenos volumes de dados.

187


Criptografia

Tipos de Criptografia: Criptografia assimétrica

188

Alice envia sua chave pública para Bob


Criptografia


189

Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada


Criptografia


190


Criptografia


191


Criptografia


192


Criptografia

Tipos de Criptografia: Obtendo o benefício das duas técnicas (simétrica e assimétrica)

193


Criptografia

Servidor de chaves públicas

http://www.rnp.br/keyserver

194


Criptografia

Tipos de Criptografia: Hash ou checksum criptográfico Cadeia de caracteres, de tamanho fixo; Pode ser utilizada para representar, de forma única,

uma informação. Função “one way”; Exemplo: um arquivo de tamanho qualquer, pode ser

representado por um checksum de, digamos, 15 caracteres.

Se o arquivo for alterado o checksum (hash) será totalmente alterado.

Pode ser utilizado para a verificação da integridade dos dados;

195


Criptografia

Tipos de Criptografia Hash ou checksum criptográfico

Funciona como uma uma espécie de selo de integridade.

Exemplos:

Uniminas:ae061f6a9af07bb4f5ec125151366cd uniminas: d27931796c2991037ae939d11f905b MD5.ppt: bb819825b6e74ff05e87

196


Criptografia

Tipos de Criptografia: Hash ou checksum criptográfico

197


Criptografia

Sites para quebra de hashes

http://passcracking.ru http://md5crack.com/ http://md5decryption.com/ http://md5.thekaine.de http://authsecu.com/decrypter-dechiffrer-cracker-hash-md5/

decrypter-dechiffrer-cracker-hash-md5.php http://hashcrack.com/index.php http://hash.insidepro.com/ http://md5decrypter.com/ http://md5pass.info/ http://plain-text.info/add/

202


Criptografia

Sites para quebra de hashes

http://hashkiller.com/password/ http://www.cryptohaze.com/addhashes.php http://md5.rednoize.com/ http://milw0rm.com/cracker/insert.php http://gdataonline.com/seekhash.php http://www.c0llision.net/webcrack.php http://passcracking.com/ http://isc.sans.org/tools/reversehash.html

203


Criptografia

Funcionamento PGP (Pretty Good Privacy) Ks Chave sessão – Criptografia Convencional Kra Chave privada de A – Criptografia Pública KuaChave pública de A – Criptografia Pública EP Processo de Encriptação de Chave pública DP Processo de Decriptação de Chave pública EC Processo de Encriptação Convencional DC Processo de Decriptação Convencional H Processo de Função Hash | | Processo de Concatenação Z Processo de Compressão com o Algoritmo ZIP R64 Processo de Conversão – RADIX 64 – ASCII

204


Criptografia

205

M H ZEP | |KRa

M

H

Z-1DP

KUa

Compara

EKRa[H(M)]Autenticação Envio - a Recepção - b

Código Hash de 160 bits é gerado; A assinatura pode ser transmitida separadamente da mensagem

ou documento;

Pilares:Autenticação por meio da Assinatura


Criptografia

206

Pilar:Confidencialidade

M Z

EP

EC | |

KS

MZ-1DP

KRbEKUb[KS]

KUb

DC

ConfidencialidadeEnvio - a Recepção - b


Criptografia

207Pilar:ConfidencialidadeAutenticidade por meio da assinatura

M H ZEP | |KRa

H

DP

KUa

Compara

EKRa[H(M)]

EP

EC | |

KS

MZ-1DP

KRb

EKUb[KS]

KUb

DC

EKUb[KS]

Envio

Recepção


208

H

EP | |

DC

Geração de Mensagem PGP

M H

EPRng

EC

| |

ChaveiroChave Privada

ChaveiroChave Pública

Frase Secreta

SelecionaIDbSeleciona

IDa

ResumoMensagem

KRa

KUb

KRaEncriptado

ID Chave

Mensagem+

Assinatura

Mensagem+Assinatura

Encriptados

ID Chave

Saída

KS

KS


209

Recepção de Mensagem PGP

MensagemEncriptada

+Assinatura

ID ChaveReceptor

Chave SessãoEncriptada

H

DC

DP

DCMensagem

ID ChaveEmissor

ResumoEncriptado

DP

H

Compara

Seleciona

SelecionaChavePrivadaEncriptada

Frase Secreta

KRb

KS

KUa

ChaveiroChave Privada

ChaveiroChave Pública

Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....

Documents

Transcript of Fundamentos de Segurança da Informação Introdução Segurança da informação nas empresas....