Cartilha 01

1.187 visualizações

Publicada em

Cartilha da cgi.br. Cartilha do professor (Léo), para estudar para a prova de informática Básica. Estudar somente o 1º capítulo.

0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
1.187
No SlideShare
0
A partir de incorporações
0
Número de incorporações
572
Ações
Compartilhamentos
0
Downloads
5
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Cartilha 01

  1. 1. Comitê Gestor da Internet no Brasil Cartilha de Segurança para InternetParte I: Conceitos de Segurança Versão 3.1 2006
  2. 2. CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸Cartilha de Seguranca para Internet ¸ Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computa- ¸ ` dores, onde s˜ o abordados temas relacionados as senhas, engenharia a ¸˜ social, malware, vulnerabilidade, ataques de negacao de servico, crip- ¸ tografia e certificados digitais. Os conceitos aqui apresentados s˜ o im- a portantes para o entendimento de partes subseq¨ entes desta Cartilha. u ˜ Versao 3.1 – Outubro de 2006 http://cartilha.cert.br/
  3. 3. Parte I: Conceitos de Seguranca ¸Sum´ rio a1 Seguranca de Computadores ¸ 3 1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . . . . . ¸ 3 1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . . . . . . e 32 Senhas 4 a ¸˜ 2.1 O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . . . . . 4 ´ 2.2 O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . . . . . . 5 uˆ 2.5 Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . . . . . 6 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . . . . . 6 2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou a root) em um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 Cookies 74 Engenharia Social 7 4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . . . . . . e 85 Vulnerabilidade 86 C´ digos Maliciosos (Malware) o 9 ¸˜7 Negacao de Servico (Denial of Service) ¸ 9 ´ 7.1 O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? .a 108 Criptografia 10 ´ ´ 8.1 O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ´ 8.2 O que e criptografia de chaves p´ blica e privada? . . . . . . . u . . . . . . . . . . . . 11 ´ 8.3 O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 8.4 Que exemplos podem ser citados sobre o uso de criptografia ´ de chave unica e de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . u . . . . . . . . . . . . 12 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . . . . . 129 Certificado Digital 13 ´ 9.1 O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 13 9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . . . . . 13Como Obter este Documento 14Licenca de Uso da Cartilha ¸ 14Agradecimentos 14Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 2/14
  4. 4. Parte I: Conceitos de Seguranca ¸1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e arelacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade. o ¸˜ o a A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza- ı ¸˜ a ´dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe- ınho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ıforem necess´ rios. a ¸˜ Alguns exemplos de violacoes a cada um desses requisitos s˜ o: aConfidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa- e e a e ¸˜ ¸˜ coes contidas na sua declaracao de Imposto de Renda;Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ ¸˜ a ` declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal; eDisponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ ¸ e ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de ` Renda a Receita Federal.1.1 Por que devo me preocupar com a seguranca do meu computador? ¸ e a u ¸˜ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi- a ¸ ¸˜nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo,atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente, e ¸ en˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros; u o e • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado; e a • seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados e ı por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.1.2 Por que algu´ m iria querer invadir meu computador? e a ´ A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu ecomputador s˜ o in´ meros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza- ı ¸˜ cao do invasor;Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3/14
  5. 5. Parte I: Conceitos de Seguranca ¸ • utilizar seu computador para lancar ataques contra outros computadores; ¸ • utilizar seu disco r´gido como reposit´ rio de dados; ı o • destruir informacoes (vandalismo); ¸˜ • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar v´rus de computador; ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias; u o e a • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ; e • furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda. ¸˜2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar ´ ¸˜o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que a a ´este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na a a eInternet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome; • obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito; o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. a ¸˜ ´ Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade. ¸˜2.1 O que n˜ o se deve usar na elaboracao de uma senha? a Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1 u udever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a ¸˜mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar comovocˆ . e Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili- a ¸˜ ´zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi- ¸ anando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) ae listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.). o u 1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares. e aCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 4/14
  6. 6. Parte I: Conceitos de Seguranca ¸ ´2.2 O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples u ıde digitar e, o mais importante, deve ser f´ cil de lembrar. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com- u u a ¸˜posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. aEntretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos- a a a u ı e ¸˜suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras.2.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente ¸ ı a ı u u ¸˜misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica u a ´e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ı ´segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ¸˜a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ı ı `senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ıdescobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. e ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la ı ae guard´ -la em local seguro, do que optar pelo uso de senhas fracas. a2.4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero u e udeve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas e ´diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados, ıcaso algu´ m descubra uma de suas senhas. e a e ´ Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por a ¸˜realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem aa mesma senha. Ent˜ o, procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas, e ı ı ¸˜ um poss´vel preju´zo teria a mesma proporcao? 2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil ¸ ıser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel. a ı ı 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha, ¸ a ´ `pois est´ associada a proximidade entre esses caracteres no teclado. aCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 5/14
  7. 7. Parte I: Conceitos de Seguranca ¸ ¨e2.5 Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su- e ı a ´gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso ¸ eao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas ae use regularmente tais funcionalidades. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com e a ¸ aa maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas asenhas.2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha ıalgu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas, e e a ealgu´ m poderia: e • observar o processo de digitacao da sua senha; ¸˜ • utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se- e a e ¸˜ cao 4.1); • capturar sua senha enquanto ela trafega pela rede. ¸˜ ´ ` Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes e ´ ı e ¸˜trafegam entre redes. E poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por ı ¸˜exemplo senhas, caso n˜ o estejam criptografados (vide secao 8). a Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha; a • n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma; a ¸ o • n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a ¸˜ eventos, etc) em operacoes que necessitem utilizar suas senhas; • certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque- ¸ les que envolvam o fornecimento de uma senha.2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em a a e e ¸˜um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para a a eCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 6/14
  8. 8. Parte I: Conceitos de Seguranca ¸ ¸˜ ¸˜realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜ ¸˜ou na instalacao e configuracao de determinados tipos de software. Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas a epessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a´ `e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos,etc. Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou ´ e aroot), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio-nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamenteum software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne- a ecessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 2.3, e a ¸˜ ¸˜ seguir os procedimentos descritos na secao 2.6; • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio; a a • criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com- a e putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como a ¸˜ ¸˜ leitura de e-mails, navegacao na Internet, producao de documentos, etc.3 Cookies a ¸˜ Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu ebrowser. Estes s˜ o utilizados pelos sites de diversas formas, tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra; ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico; e o • personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas; a • manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumassugest˜ es para que se tenha maior controle sobre eles. o4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o, e e a ¸ a ¸˜muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem ¸˜ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. aCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7/14
  9. 9. Parte I: Conceitos de Seguranca ¸4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O´ultimo exemplo apresenta um ataque realizado por telefone.Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome e ´ e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank- ¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` ¸˜ o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite a e a e sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. a aExemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por e a um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı ¸˜ a ´ Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar ı um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados.Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. e ¸˜ Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e, a a ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos ıexemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a ´exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.5 Vulnerabilidade ´ ¸˜ ¸˜ Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft- ¸˜ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca ¸de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con- ¸˜ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um e `atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao acomputador vulner´ vel. a ¸˜ A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ ¸˜ ¸˜formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8/14
  10. 10. Parte I: Conceitos de Seguranca ¸6 C´ digos Maliciosos (Malware) o o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os e ¸˜tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. e ´Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. ¸ Alguns exemplos de malware s˜ o: a • v´rus; ı • worms e bots; • backdoors; • cavalos de tr´ ia; o • keyloggers e outros programas spyware; • rootkits. ¸˜ A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi- o ¸˜ ¸˜ficacao e prevencao para os diversos tipos de c´ digo malicioso. o7 ¸˜ Negacao de Servico (Denial of Service) ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ¸˜ `para tirar de operacao um servico ou computador conectado a Internet. ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu´ rio n˜ o consiga utiliz´ -lo; a a a • gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo a ı que qualquer computador desta rede fique indispon´vel; ı • tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. ´7.1 O que e DDoS? ¸˜ DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do, ¸ ıou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ´ ¸˜ ¸ `computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com- ı a e ¸˜putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacaocom este computador ou rede.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 9/14
  11. 11. Parte I: Conceitos de Seguranca ¸7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? a a ´ N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o a ´ importante notar que, principalmente em casos de DDoS, computadores comprometidosinvad´-los. E ı ¸˜podem ser utilizados para desferir os ataques de negacao de servico. ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes ı ado mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio eeletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos- o asibilitadas de vender seus produtos durante um longo per´odo. ı8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para: • autenticar a identidade de usu´ rios; a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias; ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente eaquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso, u euma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o ´remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode tersido modificada. Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e achaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como ´ uˆ ı ı ´uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar u ee decodificar mensagens. Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de e a ´ ¸˜acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 8.1) e a criptografia ¸˜de chave p´ blica e privada (vide secao 8.2). u ´ ´8.1 O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ¸˜mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou eseja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne- ¸˜cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜entidades que desejem trocar informacoes criptografadas. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave e o ı´ ¸˜unica podem ser vistos nas secoes 8.4 e 8.5, respectivamente.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 10/14
  12. 12. Parte I: Conceitos de Seguranca ¸ ´ ´8.2 O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e uoutra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e ep´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo useu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u oprivada correspondente. Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o e a aque realizar os seguintes procedimentos: 1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o e u a ı uso de qualquer pessoa; 2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet; e e ´ 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando a a chave p´ blica de Jos´ . u e ¸˜ Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento, e ´ ¸˜quando comparado ao m´ todo de criptografia de chave unica (secao 8.1), apresenta como principal e ¸˜vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves u a ¸˜sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais, e ¸˜como mostra a secao 8.3. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das e o ı ¸˜chaves p´ blica e privada podem ser vistos nas secoes 8.4 e 8.5, respectivamente. u ´8.3 O que e assinatura digital? ¸˜ ¸˜ A assinatura digital consiste na criacao de um c´ digo, atrav´ s da utilizacao de uma chave privada, o ede modo que a pessoa ou entidade que receber uma mensagem contendo este c´ digo possa verificar o ´se o remetente e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. ´ Desta forma, e utilizado o m´ todo de criptografia de chaves p´ blica e privada, mas em um processo e u ¸˜inverso ao apresentado no exemplo da secao 8.2. Se Jos´ quiser enviar uma mensagem assinada para Maria, ele codificar´ a mensagem com sua e a a a `chave privada. Neste processo ser´ gerada uma assinatura digital, que ser´ adicionada a mensagemenviada para Maria. Ao receber a mensagem, Maria utilizar´ a chave p´ blica de Jos´ para decodificar a u e a a `a mensagem. Neste processo ser´ gerada uma segunda assinatura digital, que ser´ comparada a pri-meira. Se as assinaturas forem idˆ nticas, Maria ter´ certeza que o remetente da mensagem foi o Jos´ e a ee que a mensagem n˜ o foi modificada. a ´ ´ E importante ressaltar que a seguranca do m´ todo baseia-se no fato de que a chave privada e co- ¸ e e ´nhecida apenas pelo seu dono. Tamb´ m e importante ressaltar que o fato de assinar uma mensagemCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 11/14
  13. 13. Parte I: Conceitos de Seguranca ¸n˜ o significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos´ quisesse assinar a men- a esagem e ter certeza de que apenas Maria teria acesso a seu conte´ do, seria preciso codific´ -la com a u achave p´ blica de Maria, depois de assin´ -la. u a ´8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave unica ´ e de chaves publica e privada? ¸˜ ´ Exemplos que combinam a utilizacao dos m´ todos de criptografia de chave unica e de chaves ep´ blica e privada s˜ o as conex˜ es seguras, estabelecidas entre o browser de um usu´ rio e um site, em u a o a ¸˜transacoes comerciais ou banc´ rias via Web. a o e ´ Estas conex˜ es seguras via Web utilizam o m´ todo de criptografia de chave unica, implementadopelo protocolo SSL (Secure Socket Layer). O browser do usu´ rio precisa informar ao site qual ser´ a a a ´chave unica utilizada na conex˜ o segura, antes de iniciar a transmiss˜ o de dados sigilosos. a a Para isto, o browser obt´ m a chave p´ blica do certificado4 da instituicao que mant´ m o site. e u ¸˜ eEnt˜ o, ele utiliza esta chave p´ blica para codificar e enviar uma mensagem para o site, contendo a a u ´chave unica a ser utilizada na conex˜ o segura. O site utiliza sua chave privada para decodificar a a ´mensagem e identificar a chave unica que ser´ utilizada. a ¸˜ A partir deste ponto, o browser do usu´ rio e o site podem transmitir informacoes, de forma si- a ¸˜ ´ ´gilosa e segura, atrav´ s da utilizacao do m´ todo de criptografia de chave unica. A chave unica pode e e ¸˜ser trocada em intervalos de tempo determinados, atrav´ s da repeticao dos procedimentos descritos eanteriormente, aumentando assim o n´vel de seguranca de todo o processo. ı ¸8.5 Que tamanho de chave deve ser utilizado? Os m´ todos de criptografia atualmente utilizados, e que apresentam bons n´veis de seguranca, s˜ o e ı ¸ apublicamente conhecidos e s˜ o seguros pela robustez de seus algoritmos e pelo tamanho das chaves aque utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum m´ todo de forca bruta, ou e ¸ ¸˜seja, testar combinacoes de chaves at´ que a correta seja descoberta. Portanto, quanto maior for e a u ¸˜a chave, maior ser´ o n´ mero de combinacoes a testar, inviabilizando assim a descoberta de umachave em tempo h´ bil. Al´ m disso, chaves podem ser trocadas regularmente, tornando os m´ todos de a e ecriptografia ainda mais seguros. ı ¸ ¸˜ Atualmente, para se obter um bom n´vel de seguranca na utilizacao do m´ todo de criptografia de e ´ ´chave unica, e aconselh´ vel utilizar chaves de no m´nimo 128 bits. E para o m´ todo de criptografia a ı e ´de chaves p´ blica e privada e aconselh´ vel utilizar chaves de 2048 bits, sendo o m´nimo aceit´ vel u a ı ade 1024 bits. Dependendo dos fins para os quais os m´ todos criptogr´ ficos ser˜ o utilizados, deve-se e a a ¸˜ ´considerar a utilizacao de chaves maiores: 256 ou 512 bits para chave unica e 4096 ou 8192 bits parachaves p´ blica e privada. u 4 Certificados ¸˜ s˜ o discutidos na secao 9 e na Parte IV: Fraudes na Internet. aCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 12/14
  14. 14. Parte I: Conceitos de Seguranca ¸9 Certificado Digital ´ ¸˜ O certificado digital e um arquivo eletrˆ nico que cont´ m dados de uma pessoa ou instituicao, o eutilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ouem outra m´dia, como um token ou smart card. ı ¸˜ Exemplos semelhantes a um certificado digital s˜ o o CNPJ, RG, CPF e carteira de habilitacao a ¸˜ ¸˜de uma pessoa. Cada um deles cont´ m um conjunto de informacoes que identificam a instituicao ou e ´ apessoa e a autoridade (para estes exemplos, org˜ os p´ blicos) que garante sua validade. u ¸˜ Algumas das principais informacoes encontradas em um certificado digital s˜ o: a • dados que identificam o dono (nome, n´ mero de identificacao, estado, etc); u ¸˜ • nome da Autoridade Certificadora (AC) que emitiu o certificado (vide secao 9.1); ¸˜ • o n´ mero de s´ rie e o per´odo de validade do certificado; u e ı • a assinatura digital da AC. ´ O objetivo da assinatura digital no certificado e indicar que uma outra entidade (a Autoridade ¸˜Certificadora) garante a veracidade das informacoes nele contidas. ´9.1 O que e Autoridade Certificadora (AC)? ´ Autoridade Certificadora (AC) e a entidade respons´ vel por emitir certificados digitais. Estes acertificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, ¸˜ ¸˜departamento de uma instituicao, instituicao, etc. Os certificados digitais possuem uma forma de assinatura eletrˆ nica da AC que o emitiu. Gracas o ¸` ´a sua idoneidade, a AC e normalmente reconhecida por todos como confi´ vel, fazendo o papel de a“Cart´ rio Eletrˆ nico”. o o9.2 Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos t´picos do uso de certificados digitais s˜ o: ı a • quando vocˆ acessa um site com conex˜ o segura, como por exemplo o acesso a sua conta e a a ´ banc´ ria pela Internet (vide Parte IV: Fraudes na Internet), e poss´vel checar se o site apresen- ı ´ ¸˜ ¸˜ tado e realmente da instituicao que diz ser, atrav´ s da verificacao de seu certificado digital; e • quando vocˆ consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes e ¸˜ de fornecer informacoes sobre a conta; • quando vocˆ envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado e para assinar “digitalmente” a mensagem, de modo a assegurar ao destinat´ rio que o e-mail e a ´ seu e que n˜ o foi adulterado entre o envio e o recebimento. a A Parte IV: Fraudes na Internet apresenta algumas medidas de seguranca relacionadas ao uso de ¸certificados digitais.Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 13/14
  15. 15. Parte I: Conceitos de Seguranca ¸Como Obter este Documento ´ Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamenteatualizado, certifique-se de ter sempre a vers˜ o mais recente. a Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato e aatrav´ s do endereco doc@cert.br. e ¸Licenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆcorrecao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ enciasque possam advir do seu uso.Agradecimentos ¸˜ O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co- ıment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o oCartilha de Seguranca para Internet – c 2006 CERT.br ¸ 14/14

×