O presente trabalho descreve o surgimento da rede de computadores, que hoje se configura no maior seguimento da comunicação: a Internet. Esta se tornou a mola propulsora de praticamente todas as formas de comunicação ao redor do planeta. Surgiu da necessidade do homem de se comunicar cada vez mais rápido e a longo alcance. Trouxe agilidade, rapidez, interação, mas também trouxe a vulnerabilidade, permitindo a qualquer um com um conhecimento suficiente, invadi-la e causar prejuízos. Descreveremos também o uso da tecnologia no combate aos crimes digitais. Como a criptografia se tornou um dos dispositivos mais utilizados quando se pretende proteger informações
Aplicabilidade do sistema de informação no desenvolvimento de sistemas embarc...
Redes e os princípios da criptografia
1. Curso de Bacharelado em Sistemas de Informação
Redes e os princípios da criptografia
Douglas Lopes1,
Michel Rocha Lima2,
Elizabeth d´Arrochella Teixeira3
Brasília, DF- junho/2011
Resumo: O presente trabalho descreve o surgimento da rede de
computadores, que hoje se configura no maior seguimento da comunicação: a
Internet. Esta se tornou a mola propulsora de praticamente todas as formas de
comunicação ao redor do planeta. Surgiu da necessidade do homem de se
comunicar cada vez mais rápido e a longo alcance. Trouxe agilidade, rapidez,
interação, mas também trouxe a vulnerabilidade, permitindo a qualquer um com um
conhecimento suficiente, invadi-la e causar prejuízos. Descreveremos também o
uso da tecnologia no combate aos crimes digitais. Como a criptografia se tornou um
dos dispositivos mais utilizados quando se pretende proteger informações.
Palavras chave: Redes. Sistemas criptográficos. Ataques a segurança.
1. Introdução
Segundo Castells (2001), a Internet é o tecido de nossas vidas. Se a
tecnologia da informação é hoje o que a eletricidade foi na era industrial, em nossa
época a internet poderia ser equiparada tanto a uma rede elétrica quanto ao motor
elétrico, em razão de sua capacidade de distribuir a força da informação por todo o
domínio da atividade humana. Ademais, à medida que novas tecnologias de geração
e distribuição de energia tornaram possível a fábrica e a grande corporação como os
fundamentos organizacionais da sociedade industrial, a Internet passou a ser a
base tecnológica para a forma organizacional da Era da informação: a rede.
Cada vez mais as empresas ligam seus computadores em rede e ligam estas
ao mundo exterior, hoje representada pela internet. (VERISSIMO, 2002). A internet
possibilitou não só a comunicação em todos os lugares em um curto espaço de
tempo como também permitiu o desenvolvimento de todo o mundo, hoje todos os
olhos podem estar voltados para qualquer lugar do planeta em apenas segundos.
É inegável que o surgimento da Internet nos trouxe incontáveis benefícios
tanto para as nossas relações sociais como para as profissionais.
Para Nakamura e Geus (2007), toda essa facilidade que temos hoje vem
também, acompanhada de riscos. São os crimes digitais, que
1 Aluno do curso de Bacharel em Sistemas de Informação, douglas290692@gmail.com
2 Aluno do curso de Bacharel em Sistemas de Informação, mrl1640@yahoo.com.br
3 Mestra em Gestão do Conhecimento e Tecnologia da Informação , Professora no curso de BSI da Faculdade Alvorada, ,
darrochella.alv@terra.com.br
2. Curso de Bacharelado em Sistemas de Informação
Estão se tornando cada vez mais organizados. As comunidades
criminosas contam, atualmente, com o respaldo da própria internet, que
permite que limites geográficos sejam transpostos, oferecendo
possibilidades de novos tipos de ataques. Além disso, a legislação para
crimes digitais ainda está na fase da infância em muitos países, o que
acaba dificultando uma ação mais severa para a inibição dos crimes.
O combate aos crimes cometidos através da rede é constante. A cada dia é
lançado no mercado softwares, capazes de detectar e combater invasores, porém,
como enfatiza Nakamura & Geus (2007), é preciso estar ciente que ao mesmo
tempo em que essas ferramentas são desenvolvidas há também o surgimento de
novas vulnerabilidades e consequentemente uma porta aberta para novos ataques.
De acordo Nakamura e Geus (2007), o dispositivo mais utilizado e
considerado fundamental para a segurança de redes é a criptografia, que permite a
codificação e decodificação de dados, garantindo desta forma à segurança no envio
e recebimento de dados. Suas propriedades prima pelo sigilo, integridade,
autenticidade e não repudio.
Para Righetti (2004) o uso generalizado em redes de comunicação de dados
à criptografia estende-se a diversos domínios, desde a autenticação de utilizadores,
a privacidade de comunicações pessoais, ou difundidas, em canais de comunicação
pouco seguros, ou de acesso livre.
2. Tema e Justificativa
Hoje, 50 anos depois da criação da Internet, é visível a aceitação de bilhões
de pessoas a essa revolução tecnológica. Segundo Veríssimo (2002), não só as
grandes empresas, os governos, como também as pessoas estão usando o sistema
de bancos de dados para guardarem grandes volumes de informações. Desta forma
torna-se imprescindível que os sistemas de redes adotados por estes, estejam
seguro o bastante para que tais informações não caiam em mãos erradas e fiquem a
mercê de criminosos digitais. As redes utilizadas hoje em dia são seguras, porém
são vulneráveis a ataques de todos os tipos.
Não são raras as noticias de ataques ocorridos aos sistemas de redes de
empresas ou mesmo de grandes corporações do governo, um exemplo foi o
Pentágono. Esses ataques causam grandes prejuízos e transtornos, levando à tona
a vulnerabilidade desses sistemas de redes. Para Nakamura e Geus (2007),
quando se pensa em instalar tal dispositivo que operará com informações
importantes é preciso ter em mente os riscos e principalmente que “a segurança
deve ser contínua e evolutiva.” Pois, não só são as indústrias de softwares que
procuram aperfeiçoar os dispositivos de seguranças os chamados criminosos
digitais, também procuram criar novas ferramentas para driblar esses dispositivos.
3. Objetivos
Demonstrar os processos que envolveram o surgimento das redes bem como
o desenvolvimento de sistemas para a sua segurança;
Descrever os eventos que culminaram no surgimento da internet;
Enumerar os fatores que levam a vulnerabilidade dos sistemas de segurança
3. Curso de Bacharelado em Sistemas de Informação
4.0 Segurança de redes: princípios baseados na ciência criptográfica
4. 1 Breve histórico sobre o surgimento da rede de computadores
De acordo a MCT (2000), a Internet nasceu na década de 60 foi fruto da
engenhosidade de cientistas como Michael Dcitouzos, que criou os chamados
roteadores, computadores que controlam e direcionam o tráfego na internet. Após a
Guerra Fria os americanos montaram uma rede onde não havia hierarquia, assim
qualquer um podia acessá-la e caso algum dano fosse causado à rede esta
continuaria em funcionamento. A Internet está presente em todo o mundo, sendo
utilizada para os mais variados serviços é também a responsável pelo surgimento de
novas profissões.
Hoje é praticamente impossível a vida sem a Internet, ela estar nos lares, nas
empresas, escolas, governo. Chegando aos lugares mais remotos, seja via rádio, a
cabo, via satélite. Etc. Porém, diante de toda essa comodidade, a rede é vulnerável.
Segundo Gallo e Hancock (2002), a definição de rede é: “conectar um grupo de
sistemas com o propósito expresso de compartilhar informação. Os sistemas que se
conectam formam uma rede.” Ainda de acordo a Gallo e Hancock, para a rede
funcionar é necessário que se siga vários preceitos tais como: Comunicação entre
computadores e tecnologia de rede; protocolo e metodologia de comunicação;
topologia e projeto; endereçamento; roteamento; confiabilidade; interoperabilidade;
segurança e padrões.
Porém, os preceitos citados acima não são imunes a ataques, erros e falhas,
desta forma tornou-se necessário a implementação de um sistema de segurança, a
criptografia. Para Yoshida (2008), no âmbito da tecnologia de informação a
criptografia é importante para que se possa garantir a segurança em todo o
ambiente computacional que necessite de sigilo em relação as informações. Sua
utilização se dá principalmente nas áreas diplomáticas e militares dos governos.
Para as telecomunicações aumentaram a rapidez e confiabilidade da comunicação
remota. Ainda segundo o autor, no século XX, o uso da criptografia foi automatizado,
para tornar mais rápida e eficaz sua aplicação.
Figura 1- Modelo de uma rede. Fonte: www.gta.ufrj.br/ensino
4. Curso de Bacharelado em Sistemas de Informação
4.1 A vulnerabilidade da segurança
Para o Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurança no Brasil (CERT 2005), a vulnerabilidade é definida como uma falha no
projeto, na implementação ou configuração de um software ou sistema operacional
que, quando explorada por um atacante, resulta na violação da segurança de um
computador. Existem casos onde um software ou sistema operacional instalado em
um computador pode conter uma vulnerabilidade que permite sua exploração
remota, ou seja, através da rede. Portanto, um atacante conectado à Internet, ao
explorar tal vulnerabilidade, pode obter acesso não autorizado ao computador
vulnerável.
Segundo Barbosa et al (2003) apud Almeida & Mendes ( 2005), os problemas
de segurança geralmente referem-se ao sigilo e a identidade. O sigilo diz respeito a
quais informações estarão disponíveis para quais usuários. Isto pode ser feito
através de atribuições de direitos para cada usuário. A identificação consiste em
verificar a autenticidade deste usuário. Se um usuário envia um pedido, por
exemplo, de um relatório a uma máquina, esta deve então, de alguma forma, "saber"
quem é este usuário (identidade) e, ainda, se este usuário, sendo quem é, tem
direitos de requerer este relatório (permissão).
No mundo atual, cada vez mais dinâmico e rápido, a insegurança se tornou
um de nossos maiores problemas. A segurança é uma preocupação do homem
moderno, se não a maior. Estamos cada vez mais conectados, podemos conversar
com pessoas de qualquer lugar do planeta, podemos ter acesso a informações
aonde quer que estejamos, ou seja, quem controla a rede são pessoas, são elas as
responsáveis por tudo que nela circula. E para Tanenbaum (2003) são justamente as
pessoas as maiores causadoras de tanta insegurança. Segundo o autor:
A maior parte dos problemas de segurança é causada
intencionalmente por pessoas maliciosas que tentam obter algum benefício,
chamar a atenção ou prejudicar alguém. Alguns dos invasores mais comuns
são estudantes, crackers, vendedores, ex-funcionários, entre outros. A partir
dessa lista fica claro que tornar uma rede segura envolve muito mais do
simplesmente mantê-la livre de erros de programação. Para tornar uma
rede segura, com freqüência é necessário lidar com adversários
inteligentes, dedicados e, às vezes, muito bem subsidiados. Você também
deverá ter em mente que as medidas utilizadas para interromper a atividade
de adversários eventuais terão pouco impacto sobre adversários “mais
espertos”.
4.2 Tipos de ataques mais comuns a rede e o perfil dos invasores
As ameaças a sistemas de redes são constantes e segundo Guimarães et al
(2006), não são os hackers ou os crackers os maiores responsáveis por esses
ataques e sim funcionários mal intencionados, insatisfeitos, que se utilizam da
permissão ao sistema de rede para cometer crimes. Para os autores os tipos mais
comuns de ataques são:
Ataque de Interrupção: destrói ou interrompe o serviço;
Ataque de Intercepção: captura as informações transmitidas, sem que o
sistema perceba;
5. Curso de Bacharelado em Sistemas de Informação
Ataque de modificação: altera informações que estão sendo transmitidas;
Ataque de Falsificação: o atacante se passa por usuário do sistema e obtém
informações;
Ataques ativos e passivos: Passivo o sistema continua em operação sem
que haja percepção, há o roubo de informações. Ativos: o invasor prejudica
o sistema.
4.3 As armas contra os ataques a rede
A evidente vulnerabilidade da rede de computadores tem preocupado e muito
os administrados de redes. Inúmeros dispositivos são criados a todo o momento
para proteger o sistema contra qualquer tipo de ataque, um deles é a criptografia,
que de acordo Almeida & Mendes (2005) é o “termo formado pelas palavras gregas
kryptós, “escondido”, e gráphein, “escrever”, definido por [Shannon, 1949]. É um
conjunto de técnicas para codificar informações, com a finalidade de evitar que
pessoas indesejadas tenham acesso a elas.” A criptografia trabalha através de
técnica de escrita, que segundo Piconi (2004) apud Righetti (2004), a mais
adequada à aplicação em computadores são as cifras. Uma cifra implica em um
método, ou sistema, de escrita que é ilimitado no seu uso e pelo qual deve ser
possível transformar qualquer mensagem, sem consideração sobre linguagem e
tamanho, para uma forma não compreensível, chamada criptograma. O processo de
transformar o criptograma na mensagem em claro original se chama decifragem.
Tanto para cifragem quanto para decifragem é necessário um segundo parâmetro: a
chave.
Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos
secretos, transmitir informações confidenciais pela Internet ou por uma rede local,
etc. Segundo Almeida & Mendes (2005), a criptografia é uma fórmula matemática.
Ela trabalha com dispositivos chamados chaves. A chave pública, que qualquer
pessoa pode saber, é usada para criptografar os dados. Já a chave privada, que só
o destinatário dos dados conhece, é usada para descriptografar os dados, ou seja,
"abrir" os dados que ficaram aparentemente sem sentido. O interessante é que a
partir da chave pública é impossível descriptografar os dados nem deduzir qual é a
chave privada.
4.4 Tipos de criptografia
Em seu trabalho Dowsley (2010) escreve sobre a definição de criptografia,
feita no final da década de 70 por Diffie e Hellman, que publicaram um artigo no qual
eles definiram a criptografia de chave pública. E juntamente com este artigo crescia
as redes de computadores. Estes dois fatos encorajaram a criação de definição e
implementação de novas primitivas, como; assinatura digital, dinheiro eletrônico,
computação segura entre duas partes, computação segura entre múltiplas partes e
provas de conhecimento nulo, como também a definição de segurança para
criptossistemas de chave públicas, tais como: segurança semântica e segurança
IND-CCA2.
6. Curso de Bacharelado em Sistemas de Informação
De acordo a CERT (2005), os métodos de criptografia atuais são seguros e
eficientes e baseiam-se no uso de uma ou mais chaves. A chave é uma seqüência
de caracteres, que pode conter letras, dígitos e símbolos (como uma senha), e que é
convertida em um número, utilizada pelos métodos de criptografia para codificar e
decodificar mensagens. Atualmente, os métodos criptográficos podem ser
subdivididos em duas grandes categorias, de acordo com o tipo de chave utilizada: a
criptografia de chave única e a criptografia de chave pública e privada. A seguir será
feita a descrição desses dois métodos.
4.4.1 Criptografia assimétrica
A definição de criptografia assimétrica segundo CERT (2005), a qual também
pode ser chamada de criptografia de chaves públicas. Baseia-se em um sistema que
utiliza duas chaves distintas, uma para codificar e outra para decodificar mensagens.
Neste método cada pessoa ou entidade mantém duas chaves: uma pública que
pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo
pelo seu dono. As mensagens codificadas com a chave pública só podem ser
decodificadas com a chave privada correspondente. Abaixo há um modelo de como
este sistema codifica e decodifica as informações enviadas por uma rede.
Figura 2 - Criptografia assimétrica. Fonte: www.gta.ufrj.br/ensino
7. Curso de Bacharelado em Sistemas de Informação
4.4.2 Criptografia simétrica
Veríssimo (2002) faz a definição da criptografia simétrica da seguinte forma:
a chave para criptografar é a mesma usada para descriptografar. Este método tem
um desempenho muito melhor que a assimétrica, porém existe um grande problema
na divulgação das chaves aos membros, pois, apresenta um risco real de algum
intruso captar esta chave e ter acesso as mensagens, e ler todas que forem
endereçadas a algum membro. Existe normalmente uma chave para cada dois
membros, por isso o número de chaves cresce muito com aumento de participante
da comunicação.
A criptografia simétrica trabalha com algoritmos, os mais conhecidos são:
Algoritmo DES, desenvolvido pela IBM, este dispositivo é muito rápido, sendo,
portanto, o mais usado. O processo de codificação trabalha com 64 bits e chave de
54 bits. O algoritmo AES usa chave criptografada e blocos de 128, 192 ou 256 bits.
Este dispositivo é utilizado pelo governo dos Estados Unidos, por ser mais eficiente
no sistema de segurança. O algoritmo Blowfish, conhecido pela sua velocidade,
possuindo diversos tamanhos de chaves, 132 e 448 bits, tendo grande eficiência
com os microprocessadores atuais. É mais rápido que os anteriores. Para Barbosa
(2003) apud Almeida & Mendes (2005), a criptografia simétrica é considerada um
método muito seguro, pois, usa um sistema de chaves que podem ser detectadas,
mas não “quebradas”. Segue abaixo um modelo de como funciona este método.
Figura 3 – Criptografia Simétrica. Fonte: www.gta.ufrj.br/ensino
8. Curso de Bacharelado em Sistemas de Informação
4.4.3 Assinatura Digital
Para Duarte (2009), assinatura digital é um processo que possibilita a
verificação de integridade e identifica a autoria de um arquivo eletrônico, ou seja,
assinatura digital permite saber quem é o autor de um arquivo eletrônico e se o
mesmo não foi modificado.
Brambilla (2009) descreve os princípios de funcionamento da assinatura
digitai, onde a mensagem é criptografada utilizando-se a chave privada e apenas o
destinatário que possui a chave pública poderá efetuar a decriptação da mensagem,
confirmando dessa forma que o remetente é realmente quem ele diz ser. Um
protocolo muito utilizado para a autenticação de assinaturas digitais é o Kerberos,
cujo nome vem da mitologia grega para um cachorro com três cabeças que ficava
guardando a entrada do Hades.
Para comprovar uma assinatura digital é necessário inicialmente realizar duas
operações: calcular o resumo criptográfico do documento e decifrar a assinatura
com a chave pública do signatário. Se forem iguais, a assinatura está correta, o que
significa que foi gerada pela chave privada corresponde à chave pública utilizada na
verificação e que o documento está íntegro. Caso sejam diferentes, a assinatura
está incorreta, o que significa que pode ter havido alterações no documento ou na
assinatura pública.
O QUE É CERTIFICAÇÃO DIGITAL? 711
100101
010
Figura 4- conferência da assinatura digital. Fonte: www.fundacaoaprender.org.br
Segundo a CERT (2005), os métodos de criptografia atualmente utilizados, e
que apresentam bons níveis de segurança, são publicamente conhecidos e são
seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam.
9. Curso de Bacharelado em Sistemas de Informação
Para que um atacante descubra uma chave ele precisa utilizar algum método de
força bruta, ou seja, testar combinações de chaves até que a correta seja
descoberta. Portanto, quanto maior for a chave, maior será o número de
combinações a testar, inviabilizando assim a descoberta de uma chave em tempo
hábil. Além disso, chaves podem ser trocadas regularmente, tornando os métodos
de criptografia ainda mais seguros.
Ainda de acordo a CERT, atualmente, para se obter um bom nível de
segurança na utilização do método de criptografia de chave única, é aconselhável
utilizar chaves de no mínimo 128 bits. E para o método de criptografia de chaves
pública e privada é aconselhável utilizar chaves de 2048 bits, sendo o mínimo
aceitável de 1024 bits. Dependendo dos fins para os quais os métodos criptográficos
serão utilizados, deve-se considerar a utilização de chaves maiores: 256 ou 512 bits
para chave única e 4096 ou 8192 bits para chave pública e privada.
4.4.4 Usuários da criptografia
A História da criptografia remonta ao tempo dos reis, segundo Trigo (2007)
apud Brambilla (2009), o uso da criptografia é bastante antigo. Um dos primeiros
registros de confiabilidade dos dados aparece no tempo dos reis, em que um rei
selava a carta com o seu anel de cera. Quando a carta chegava para outro rei, ele
sabia que ninguém havia lido aquela mensagem porque continuava selada. O
formato dos anéis era particular a cada rei. E ainda de acordo a Righetti (2004), os
militares foram os grupos de pessoas que mais usaram a técnica de criptografia para
conseguir segurança de seus dados transmitidos, sendo eles também os maiores
responsáveis pelo desenvolvimento da criptografia. Hoje o método criptográfico é
utilizado nos mais variados setores, como por exemplo, em transações bancarias,
comercias por órgãos do governo, aonde informações sobre as pessoas estão
armazenadas em bancos de dados, também é utilizada no correio eletrônico, no
envio de mensagens.
5 Conclusão
Este trabalho nos possibilitou entender um pouco mais os processos que
culminaram na criação da internet, bem como os mecanismos que a regem.
Conhecê-la na sua forma mais básica, ou seja, seu funcionamento, suas limitações é
um ponto importante para compreender a relação que o homem mantém com esta
poderosa ferramenta. Não basta apenas criar softwares altamente eficientes sem
levar em consideração a segurança deste, o que nos remete a criptográfica,
considerada imprescindível para a segurança das informações pertinentes aos
sistemas de redes. Vale à pena destacar que o sistema criptográfico garante: a
privacidade, autenticidade e integridade.
10. Curso de Bacharelado em Sistemas de Informação
6 Referências Bibliográficas
ALMEIDA, J. R. C., MENDES, M. D. N. C. Criptografia em Sistemas Distribuídos.
Monografia, Belém – PA, 2005. Disponível em: www.iesam.pa.edu.br. Acesso em:
18/05/2011.
BRAMBILLA, F. Análise e modelagem de uma Ferramenta para apoio ao Ensino da
Criptografia. Monografia, Centro universitário FEEVALE. Novo Hamburgo, 2009.
Disponível em: www.tconline.feevale.br/tc. Acesso em: 06/06/2011.
BRASIL. Ministério da Ciência e Tecnologia. Evolução da Internet no Brasil e no
Mundo. 2002. 80 p. Disponível em: www.pt.scribd.com/doc. Acesso em: 18/05/2011.
CASTELLS, M. A galáxia da Internet. Reflexões sobre a Internet, os Negócios e a
Sociedade, p. 7. Disponível em: www.books.google.com.br. Acesso em: 20/05/2011.
CERT. BR. Cartilha de Segurança para Internet. Conceitos de Segurança. p. 7, 8,
10, 12. 2005. Disponível em: www.cert.br/download/cartilha. Acesso em: 17/05/2011.
DOWSLEY, R. B. Protocolos com Segurança Demonstrável Baseados em
Primitivas Criptográficas de Chave Pública. Dissertação de Mestrado, Brasília –
DF, 2010. Disponível em: www.bibliotecadigital.unb.br. Acesso em: 19/05/2011.
DUARTE, R. D. Big Brother fiscal III – O Brasil na era: do conhecimento. p 279.
Ed. Ideas@work, São Paulo – SP, 2009,
GALLO, M. A., HANCOCK, W. M. Comunicação entre computadores e
Tecnologias de rede. p. 3, 2002.
Disponível em: www.books.google.com.br. Acesso em: 25/05/2011.
GUIMARÃES, A. G., LINS, R. D., OLIVEIRA, R. C. A Segurança com redes
privadas Virtuais VPNS. p. 15, 17 e 18 Ed. Brasport. São Paulo, 2006.
NAKAMURA, E. T., GEUS. P. L. Segurança de Redes em Ambientes
cooperativos. p 25. Ed. Novatec. 2007. São Paulo- SP.
RIGHETTI, F. R., O Impacto do uso da Criptografia no Throughput de Redes
Locais: Um estudo de Caso Usando o Algoritmo Triple-des. Monografia, FACIAP.
Cascavel, PR. 2004. Disponível em: www.cascavel.pm.org.br. Acesso em:
05/06/2011.
VERISSIMO, F. Segurança em redes sem fio. Monografia, Universidade Federal do
Rio de Janeiro – RJ, 2002. Disponível em: www.pt.scribd.com/doc. acesso em:
17/05/2011.
YOSHIDA, E. Y. Informação, Comunicação e a Sociedade do conhecimento.
Universidade de São Paulo, SP. 2008. Disponível:
http://www.ime.usp.br/~is/ddt/mac339/. Acessado 13/05/2011.