Apresentação tema 9 Segurança das Informações e Continuidade dos negócios

3.543 visualizações

Publicada em

Publicada em: Educação
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
3.543
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
143
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide
  • e
  • u
  • Apresentação tema 9 Segurança das Informações e Continuidade dos negócios

    1. 1. Gustavo Gomes 12105162-7 Sanger Dias 12105168-4 Rodrigo Bandeira 12105185-8 Segurança das Informações e continuidade dos negócios
    2. 2. Proteção de dados e necessidade de segurança
    3. 3. Chaves de segurança para transações bancárias http://www.bradescoseguranca.com.br/default.asp
    4. 4. Definições OSI (Open Systems interconnection) Ataques a segurança : inclui ataques passivos (somente leitura de texto e análise de trafego de dados) e ataques ativos (modificações em textos, negação de acessos) Mecanismos de segurança: qualquer mecanismo ou processo que tenha por finalidade prevenir, detectar ou recuperar algum dano causado por ataque. Ex: autenticação de protocolos, assinaturas digitais. Serviços seguros: inclui autenticação, controle de acesso, integridade e confidencialidade de dados. William Stallings – Criptography and network security – Pg 07
    5. 5. William Stallings – Criptography and network security – Pg 11
    6. 6. Ataques passivos William Stallings – Criptography and network security – Pg 14
    7. 7. Cookies São arquivos gerados pelos sites e salvos em seu computador, pelo seu browser , que monitoram a navegação do internauta, direcionam conteúdos e quantificam visitas a páginas web. As informações ficam armazenadas na máquina do usuário, para que ele não precise repetir alguns dados, ao preencher cadastro, por exemplo, quando voltar a uma determinada página. Os cookies também servem para mapear suas preferências, possibilitando que o site ofereça conteúdos distintos a cada usuário pelo perfil de navegação. Se o usuário for infectado por um Trojan , que abre a máquina ao acesso de criminosos, estes podem acessar todas as informações contidas nos cookies .
    8. 8. Utilizar um bom antivírus, e um programa anti-phishing, apagar os cookies é uma precaução que os usuários devem adotar, aconselha o engenheiro da Symantec É possível e muito fácil bloquear e apagar os cookies, mas é preciso ficar atento. Muitos sites não funcionam se os cookies forem bloqueados. O Flickr e alguns serviços Google como Orkut, Gmail e Blogger não funcionam se os cookies estiverem bloqueados. Cookies www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66 Apesar de não ter como finalidade danificar o computador pode-se considerar os cookies como ataques passivos, pois eles armazenam dados e analisam a conexão, e caso sejam alvo de ataques ativos toda a segurança será perdida.
    9. 9. Ataques ativos William Stallings – Criptography and network security – Pg 15
    10. 10. Modelo de segurança de rede William Stallings – Criptography and network security – Pg 22
    11. 11. Unipaulistana -Adm. Gerência e segurança de redes – Página 42 Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Física Aplicações aplicação transporte rede enlace física Seqüência de empacotamento Filtragem dos pacotes
    12. 12. Criptografia
    13. 13. Consiste em codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc. Criptografia http://www.clubedohardware.com.br/artigos/667
    14. 14. Tipos de ataques a segurança Criptoanalise: ataque que explora as características do algoritmo para tentar deduzir um texto claro específico ou a chave utilizada. Mais utilizado quando há um conhecimento de parte ou características do texto claro por parte do criptoanalista. Ataque por força bruta: tenta achar a chave por tentativa e erro em um trecho do texto cifrado, até obter uma tradução inteligível do texto claro. Em média é necessário testar metade das chaves para localizar a correta.
    15. 15. Cifra de Cezar Exemplo: Mensagem original: Meet me tonight by the Sphinx Texto cifrado: Phhw ph wrqlijkw eb wkh Vsklqa
    16. 16. Frequência das letras nos textos cifrados Como visto no gráfico cifras que apresentam maior uniformidade na distribuição das letras são menos susceptíveis ao ataque por criptoanalise. William Stallings – Criptography and network security – Pg 42
    17. 17. Criptografia Simétrica Forma de criptografia em que a única chave secreta é partilhada pelo emissor e pelo receptor da mensagem, assim a chave que cifra é a mesma que decifra. Para que tal seja possível é necessário que a chave secreta só seja do conhecimento do emissor e do receptor. Vantagem Rapidez no cálculo das operações de cifra / decifra Desvantagem Necessitar que a chave secreta seja compartilhada com todos os que precisam de ler a mensagem, ficando assim vulnerável a roubos e sendo possível a alteração do documento por qualquer das partes. http://assinaturas-digitais.web.simplesnet.pt/criptografia_simetrica.htm
    18. 18. Algoritmo DES (Data Encryption Standart ) Desenvolvido na década de 70 pelo National Bureau of Standarts com ajuda da National Security Agency , com o propósito de criar um método padrão para proteção de dados. A IBM criou o primeiro rascunho do algoritmo, chamando-o de LUCIFER. O DES tornou-se oficialmente norma federal americana em novembro de 1976. A única forma de quebrar o algoritmo DES seria por força bruta. Em 1994 o NIST reafirma o uso federal do algoritmo DES por mais 5 anos, porém em 1999 foi emitiu um novo padrão em que o algoritmo DES deveria ser usado somente para sistemas legados e que o padrão seria a partir dessa data o triple DES. Cifra blocos de 64 bits de texto claro e utiliza uma chave secreta de 56 bits. São executadas 16 rodadas. http://www.gta.ufrj.br/grad/99_2/marcos/des.htm e Stallings criptografia e segurança de redes pg 48
    19. 19. http://www.gta.ufrj.br/~natalia/SSH/Pictures/des/DES1a.jpg Estrutura algoritmo DES
    20. 20. Algoritmo triple DES Refere se a um algoritmo de criptografia. Este cifrador é de chave simétrica, implementando uma criptografia de bloco e foi baseado no algoritmo DES (Data Encryption Standard) desenvolvido pela IBM em 1974. O 3DES utiliza três chaves, K1, K2 e K3, de 64 bits (56 bits compõem cada uma das chaves e 8 bits são de paridade) em três estágios de codificação em cascata. Com isto, o algoritmo pode ter chaves de até 192 bits.
    21. 21. Estrutura Triple DES
    22. 22. Pin Pad PPC - 800 Pin Pad’s são utilizados para leitura de cartões e comunicação com computadores. Utiliza criptografia nos modos DES, Triple DES, DUKPT e RSA simultâneos www.safetyti.com.br/produtos/gertec_pinpad_ppc_800_serial.html
    23. 23. Algoritmo AES ( Advanced Encryption Standard) Em janeiro de 1997, o NIST ( National Institute of Standards and Technology ) anunciou um concurso para o substituto do DES. Os candidatos, que deveriam ser algoritmos de chave simétrica, capazes de suportar blocos de 128 bits e chaves de 128, 192 e 256 bits, deveriam ter direitos autorais livres, pois seriam divulgados publicamente. Esse concurso foi chamado de AES ( Advanced Encryption Standard ), que acabou dando nome também ao algoritmo vencedor (antes chamado de Rijndael). O algoritmo de Rijndael tem tamanho de chaves e blocos que podem ser escolhidos entre 128, 192 e 256 bits. Numero de rodadas é variável de acordo com o numero de bits das chaves. http://www.gta.ufrj.br/~natalia/SSH/aes.html e www.bibl.ita.br/ixencita/artigos/FundRafaelAntonio1.pdf e adm-net-a.unifei.edu.br/phl/pdf/0032910.pdf
    24. 24. Estrutura algoritmo AES http://www.gta.ufrj.br/~natalia/SSH/aes.html
    25. 25. Aplicação do algoritmo AES O SecureCall da Silentel é um sistema que criptografa sua chamada através de um telefone móvel GSM e frustra, absolutamente, qualquer interceptação. A criptografia usa o algoritmo AES 256, que, atualmente, é o padrão de segurança mundial mais seguro. Este é um sistema com segurança ponta-a-ponta. www.orion.com.br/securecall.htm
    26. 26. Tempos de ataque por força bruta William Stallings – Criptography and network security – Pg 35
    27. 27. Para usar um algoritmo de criptografia é necessário que as partes envolvidas possuam um segredo em comum, uma chave. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA O Problema da distribuição de chaves
    28. 28. Como transmitir com segurança esta chave? <ul><li>Pessoalmente? </li></ul><ul><li>Telefone? </li></ul><ul><li>Internet? </li></ul>http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
    29. 29. Durante a segunda guerra mundial, por exemplo, os alemães usaram a famosa máquina Enigma para cifrar suas mensagens. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
    30. 30. <ul><li>Grandes dificuldades em quebrar o equipamento devido: </li></ul><ul><li>Falta de informação </li></ul><ul><li>Força do algoritmo </li></ul><ul><li>A chave era trocada diariamente </li></ul><ul><li>pelos alemães </li></ul>http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
    31. 31. Dificuldades dos alemães: Com navios, submarinos e exércitos espalhados em vários pontos e com uma chave descartável, usada somente durante um único dia, como dar a conhecer aos operadores de rádio a chave do próximo dia? http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
    32. 32. Os alemães resolveram isto com a publicação de livros de códigos. Cada livro tinha chaves para vários dias e era entregue em mãos ao operador de comunicações. A primeira maneira que os aliados encontraram para quebrar a enigma foi subornar um oficial alemão descontente que lhes entregava uma cópia do livro http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
    33. 33. <ul><li>Foi o homem que decifrou o código Enigma </li></ul><ul><li>Foi pioneiro na teoria dos computadores </li></ul><ul><li>Considerado o pai do computador </li></ul><ul><li>contemporâneo </li></ul>http://informatica.hsw.uol.com.br/alan-turing.htm Alan Turing
    34. 34. A criptografia assimétrica facilitou o problema da distribuição de chaves O Problema da distribuição de chaves
    35. 35. Um algoritmo assimétrico possui mais de uma chave, tipicamente duas. Uma delas é usada para cifrar e a outra serve apenas para decifrar . Conceito http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    36. 36. http://assinaturas-digitais.web.simplesnet.pt/criptografia_assimetrica.htm Esquema da Criptografia assimétrica
    37. 37. <ul><li>Como exemplo, considere que duas pessoas desejam enviar dados sigilosos pelos correios. Usarão uma caixa fechada com um cadeado para isto. O problema é como enviar a chave, já que uma pessoa poderia capturá-la e realizar uma cópia. </li></ul>http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    38. 38. Como enviar uma mensagem de modo seguro? Vivian vai em uma ferragem, compra um cadeado qualquer e o envia aberto para Renan, mantendo consigo a chave Renan recebe pelos correios o cadeado aberto de Vivian Renan usa o cadeado para fechar a caixa e a envia para Vivian Renan Vivian http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    39. 39. <ul><li>Usando a analogia do cadeado, pode-se considerar que o cadeado aberto é uma das chaves de cifragem, justamente aquela que só serve para cifrar (bater o cadeado). A chave do cadeado é que serve para abrir </li></ul>Analogamente http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    40. 40. <ul><li>Para que isto funcione, algumas propriedades são muito importantes sob o risco de comprometer o sigilo: o cadeado é muito forte e uma vez fechado, só a chave pode abrí-lo; </li></ul><ul><li>Mesmo aberto, o cadeado não possui informações suficientes para que um chaveiro, mesmo habilidoso, consiga confeccionar uma nova chave para ele; </li></ul><ul><li>O número de chaves possíveis inviabiliza que um chaveiro, mesmo com muito tempo, pudesse tentar cada uma delas. </li></ul>Condições http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    41. 41. <ul><li>Trazendo a analogia para os termos criptográficos, a propriedade 2 significa que o algoritmo deve resistir a criptoanálise enquanto que a propriedade 3 significa que deve resistir a força bruta. </li></ul>Analogamente http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
    42. 42. A comunidade científica tinha desistido de tentar encontrar um algoritmo assimétrico, classificando o problema como sem solução, mas Whitfield Diffie e Martin Hellman insistiram na utopia de um algoritmo assimétrico. Fizeram uma importante descoberta ao explorar a matemática modular. Mesmo tendo continuado sua busca, foram os pesquisadores Ronald Rivest, Adir Shamir e Leonard Adlemann que chegaram ao primeiro algoritmo de cifra assimétrico, o popularmente conhecido algoritmo RSA http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ Algoritmo RSA
    43. 43. <ul><li>A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração . </li></ul>Exemplo: os fatores primos de 3.337 são 47 e 71 http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Algoritmo RSA
    44. 44. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ Números primos até 1000
    45. 45. <ul><li>A segurança está no emprego de números realmente gigantes, hoje da ordem de 512 bits. </li></ul>Exemplo de número de 256 bits: 3345343132895241528885731 74586934053249 http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Algoritmo RSA
    46. 46. <ul><li>Permite garantir a autenticidade de quem envia a mensagem, associada à integridade do seu conteúdo. </li></ul>Integridade : Garante que o conteúdo da mensagem não foi alterado. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Assinatura digital Autenticidade da origem : Garante a identidade de quem está enviando a mensagem
    47. 47. Na prática, é inviável o uso da criptografia assimétrica para assinaturas digitais, devido a sua lentidão. É empregada uma função Hashing, que gera um “resumo” da mensagem, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer tamanho. Assim, a função Hashing oferece agilidade nas assinaturas digitais, além de integridade confiável http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Função Hashing
    48. 48. <ul><li>Função Hashing </li></ul>Valor hash = 1300 Valor hash = 1300 OK! Vivian compara o valor de hash que Renan gerou com o que ela encontrou, se for o mesmo então a mensagem está integra Mensagem + assinatura digital Renan Vivian
    49. 49. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Qual o modelo de criptografia que devemos utilizar? Simétrico ou assimétrico? Devemos utilizar os dois, em um modelo denominado híbrido. Criptografia Simétrica x Assimétrica: Protocolos Criptográficos Criptografia Sim é trica. Criptografia Assim é trica. R á pida. Lenta. Gerência e distribui ç ão das chaves é complexa. Gerência e distribui ç ão simples. Não oferece assinatura digital Oferece assinatura digital.
    50. 50. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html <ul><li>Em resumo, os algoritmos criptográficos podem ser combinados para a implementação dos três mecanismos criptográficos básicos: </li></ul><ul><li>Ciframento </li></ul><ul><li>Assinatura </li></ul><ul><li>Hashing. </li></ul>Criptografia Simétrica x Assimétrica: Protocolos Criptográficos
    51. 51. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html <ul><li>Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquitetura de segurança dos produtos destinados ao comércio eletrônico. Estes protocolos criptográficos, portanto, provêm os serviços associados à criptografia que viabilizam o comércio eletrônico: </li></ul><ul><li>Disponibilidade </li></ul><ul><li>Sigilo </li></ul><ul><li>Controle de acesso </li></ul><ul><li>Autenticidade </li></ul><ul><li>Integridade </li></ul><ul><li>Não-repúdio. </li></ul>Criptografia Simétrica x Assimétrica: Protocolos Criptográficos
    52. 52. <ul><li>Certificado Digital </li></ul>http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Garantia de que a chave pública encontrada seja realmente proveniente daquela pessoa (Autenticidade)
    53. 53. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos. Deste modo, quando um interlocutor ( Renan ) enviar uma mensagem ao outro ( Vivian ) solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Certificado Digital
    54. 54. Intruso Renan Vivian Certificado Digital
    55. 55. Intruso Renan Vivian Certificado Digital
    56. 56. A garantia para evitar este ataque é representada pelos certificados de chave pública . Tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado de Renan contém algo mais do que sua chave pública: contém informações sobre Renan - seu nome, endereço e outras dados pessoais - e é assinado por alguém em quem Vivian deposita sua confiança: uma autoridade de certificação , que funciona como um cartório eletrônico. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Certificado Digital
    57. 57. Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Certificado Digital
    58. 58. <ul><li>Aplicações de segurança de rede </li></ul><ul><li>Em uma única rede </li></ul><ul><li>Na intranet corporativa </li></ul><ul><li>Internet </li></ul>
    59. 59. <ul><li>Kerberos </li></ul><ul><li>Na mitologia grega, um cão de muitas cabeças, o guardião da entrada do Hades. Na utilização moderna, um serviço de autenticação com três componentes para proteger as entradas de uma rede: autenticação, contabilidade e auditoria. </li></ul><ul><li>É um serviço de autenticação projetado para uso em um ambiente distribuído (servidores trabalham independente) </li></ul><ul><li>Utiliza serviço de autenticação de terceiros confiável, que permite que clientes e servidores estabeleçam comunicação autenticada </li></ul><ul><li>Utiliza exclusivamente criptografia simétrica </li></ul>
    60. 60. <ul><li>Seu funcionamento é descrito como: </li></ul><ul><li>1) Conexão ao Servidor de Autenticação - O usuário se autentica perante o SA, com isso recebe um ticket e uma chave de sessão, os quais são  criptografados com a sua chave secreta , e são  relacionadas entre o cliente e o servidor; </li></ul><ul><li>2) Solicitação de ticket ao TGS – O ticket e a chave de sessão são novamente gerados, só que são de outro tipo e estão relacionados entre o cliente e o serviços que serão realizados, com essas informações sendo enviadas para o cliente também criptografadas; </li></ul><ul><li>3) Acesso ao Servidor - O ticket recebido no passo anterior é enviado na comunicação com o servidor. Como esse ticket está criptografado com a chave secreta do servidor, ele deverá decriptografá-lo e assim terá acesso à chave de sessão que durará um tempo limitado. </li></ul><ul><li>4) Base de Dados do Kerberos - Cadastramento e manutenção das chaves secretas do cliente e do servidor. </li></ul>
    61. 61. www.gta.ufrj.br/grad/02.../ kerberos / Kerberos .htm
    62. 62. <ul><li> Algumas das aplicações que utilizam o Kerberos para fazer autenticação: </li></ul><ul><li>–        Telnet </li></ul><ul><li>–        Rlogin </li></ul><ul><li>–        Ssh </li></ul><ul><li>–        Linux </li></ul><ul><li>–        Solaris (Desde a versão 2.6) </li></ul><ul><li>–        Windows .Net </li></ul><ul><li>–        Windows 2000 </li></ul>fonte:www.gta.ufrj.br/grad/02.../ kerberos / Kerberos .htm
    63. 63. <ul><li>Serviço de autenticação X.509 </li></ul><ul><li>Define o formato para certificados de chave pública </li></ul><ul><li>As implementações de PKI, infra-estrutura de chave pública, utilizam certificados X.509 </li></ul><ul><li>O próprio servidor de diretório não é responsável pela criação das chaves públicas ou pela função de certificação; ele simplesmente oferece um local de fácil acesso para os usuários obterem certificados </li></ul>
    64. 64. <ul><li>O X.509 têm 3 procedimentos de autenticação: </li></ul><ul><li>Autenticação de uma via, que envolve uma única transferência de um usuário (A) para outro (B) </li></ul><ul><li>Autenticação de duas vias, permite que ambas as partes de uma comunicação verifiquem a identidade uma da outra </li></ul><ul><li>Autenticação de três vias, é incluída uma cópia assinada do nonce rb. Sua intenção é detectar ataques de repetição. </li></ul><ul><li>www.prenhall.com/stallings_br </li></ul>
    65. 65. <ul><li>Infra-estrutura de chave pública (PKI) </li></ul><ul><li> É definida como o conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados digitais com base na criptografia assimétrica. O objetivo principal para desenvolver uma PKI é permitir a aquisição segura, conveniente e eficiente de chaves públicas. </li></ul>
    66. 66. <ul><li>Segurança de e-mail </li></ul><ul><li>Em praticamente todos os ambientes distribuídos, o e-mail é a aplicação de rede mais utilizada. Ela também é a única aplicação distribuída que é amplamente usada por todas as arquiteturas e plataformas de fornecedor. </li></ul><ul><li>Com confiança cada vez maior no e-mail para todo tipo de propósito imaginável, cresce uma demanda por serviços de autenticação e confidencialidade. Dois esquemas se destacam: </li></ul><ul><li>Pretty good privacy (PGP) </li></ul><ul><li>S/MIME </li></ul>
    67. 67. <ul><li>Pretty Good Privacy (PGP) </li></ul><ul><li> É um pacote de software de código-fonte aberto para segurança de e-mail. </li></ul><ul><li> Oferece autenticação por meio do uso da assinatura digital; confidencialidade pelo uso da criptografia simétrica; compressão usando o algoritmo ZIP; compatibilidade de e-mail usando o esquema de codificação radix-64 e segmentação e remontagem para acomodar e-mails longos. </li></ul><ul><li> Incorpora ferramentas para desenvolver um modelo de confiança de chave pública e gerenciamento de certificados de chave pública </li></ul><ul><li>Esforço em grande parte de Phil Zimmermann, que selecionou os melhores algoritmos criptográficos disponíveis como elementos básicos, integrou-os em uma aplicação de uso geral com um pequeno conjunto de comandos fáceis de usar e o disponibilizou por meio da internet, redes comerciais e BBSs. </li></ul>
    68. 68. <ul><li>Resumo dos serviços do PGP </li></ul><ul><li>Fonte:www.prenhall.com/stallings_br </li></ul>
    69. 69. <ul><li>S/MIME </li></ul><ul><li>É um mecanismo de segurança de e-mail </li></ul><ul><li>Enquanto o PGP é usado para segurança de e-mail pessoal, o S/MIME emergirá como o padrão do setor para uso comercial e organizacional. </li></ul><ul><li>Oferece também a capacidade de assinar e/ou criptografar mensagens. </li></ul><ul><li>Incorpora três algoritmos de chave pública para criptografar e decriptografar mensagens. O DSS, Diffie-Hellman e o RSA. </li></ul>
    70. 70. <ul><li>Segurança de IP </li></ul><ul><li>Desenvolvimento de mecanismos de segurança específicos em diversas áreas de aplicação </li></ul><ul><li>E-mail (PGP e S/MIME) </li></ul><ul><li>Cliente/servidor (Kerberos) </li></ul><ul><li>Acesso à web (Secure Sockets Layer) </li></ul><ul><li>Porém os usuários têm questões de segurança que transcedem as camadas de protocolos. </li></ul><ul><li>Implementando a segurança no nível do IP, uma organização pode garantir uma rede segura não apenas para aplicações que possuem mecanismos de segurança, mas também para as muitas aplicações que ignoram a segurança. </li></ul>
    71. 71. <ul><li>Aplicações de segurança do IP (IPSec) </li></ul><ul><li>O IPSec oferece a capacidade de proteger comunicações por uma LAN, por WANs privadas e públicas e pela internet </li></ul><ul><li>Alguns exemplos: </li></ul><ul><li>Conectividade segura do escritório pela internet: rede privada segura </li></ul><ul><li>Acesso remoto seguro pela internet: usuário que trabalha viajando pode fazer uma ligação local para um provedor de Internet e obter acesso seguro a rede de uma empresa </li></ul><ul><li>Estabelecimento de conectividade de extranet e intranet com parceiros: gerenciamento de informações e comunicação com o uso de autenticação, confidencialidade. Além de fornecer um mecanismo de troca de chaves. </li></ul><ul><li>Aprimoramento da segurança do e-commerce: aumenta a segurança já existente </li></ul>
    72. 72. <ul><li>O serviço de autenticação IPSec pode ser usado no modo de transporte, quando uma estação de trabalho e o servidor compartilham uma chave secreta protegida, o processo de autenticação será seguro. Enquanto no modo túnel uma estação de trabalho remota autentica-se no firewall corporativo, seja para acesso à rede interna inteira ou porque o servidor não admite o recurso de autenticação. </li></ul>Fonte:www.prenhall.com/stallings_br
    73. 73. <ul><li>Segurança na web </li></ul><ul><li>Com uma maior acessibilidade à internet, muitos indivíduos e empresas possuem sites web. Afim de expandir seus mercados diversas empresas despertaram um interesse para o comércio eletrônico. Mas a realidade é que a internet e a web são extremamente vulneráveis a riscos de vários tipos. À medida que as empresas percebem essa realidade, a demanda por serviços web seguros aumenta. Vejamos algumas ameaças: </li></ul>
    74. 74. Fonte:www.prenhall.com/stallings_br
    75. 75. <ul><li>Vejamos alguns serviços de segurança </li></ul><ul><li>SSL (secure socket layer) e TLS (transport layer security) </li></ul><ul><li>Oferece confidencialidade usando criptografia simétrica e integridade de mensagens usando um código de autenticação de mensagens </li></ul><ul><li>Inclui mecanismos de protocolo para permitir que dois usuários TCP determinem os mecanismos e serviços de segurança que eles usarão </li></ul><ul><li>SET (secure eletronic transaction) </li></ul><ul><li>É uma especificação aberta de criptografia e segurança, projetada para proteger transações com cartão de crédito na internet. </li></ul><ul><li>Surgiu a partir de um pedido de padrões de segurança pela MasterCard e Visa em 1996, com o envolvimento e desenvolvimento da IBM, Microsoft, Netscape, entre outras. </li></ul><ul><li>Por volta de 1998 a primeira onda de produtos compatíveis com o SET estava disponível. </li></ul>
    76. 76. <ul><li>Tipos de transação do SET </li></ul>Fonte:www.prenhall.com/stallings_br
    77. 77. <ul><li>Intrusos </li></ul><ul><li>A intrusão não autorizada em um sistema ou rede de computadores é uma das ameaças mais sérias à segurança de computadores, geralmente conhecido como hacker ou cracker, que podem ser identificados em 3 classes: </li></ul><ul><li>Mascarado (indivíduo que penetra nos controles de acesso de um sistema para explorar ou se passar por um usuário legítimo </li></ul><ul><li>Infrator (usuário legítimo que vai além do autorizado) </li></ul><ul><li>Usuário clandestino (usuário que se apodera do controle de supervisão do sistema para ‘burlar’ serviços) </li></ul>
    78. 78. <ul><li>Software malicioso </li></ul><ul><li>São intencionalmente inseridos em sistemas para um propósito prejudicial. São divididos em duas categorias: </li></ul><ul><li>Aqueles que necessitam de um programa hospedeiro, não podem existir independentemente de algum programa de aplicação, os vírus e bombas lógicas são alguns dos diversos exemplos. </li></ul><ul><li>Aqueles que são independentes, podem ser programados e executados pelo sistema operacional, vermes e zumbis são alguns exemplos. </li></ul>
    79. 79. <ul><li>Alguns dos programas maliciosos </li></ul>www.prenhall.com/stallings_br http://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx
    80. 80. <ul><li>Tipos de vírus </li></ul><ul><li>Vírus parasitário: tipo mais comum, se replica quando arquivos infectados são executados e procuram arquivos para infectar </li></ul><ul><li>Vírus residente na memória: aloja-se na memória do computador e a partir daí infecta os programas executados </li></ul><ul><li>Vírus do setor de inicialização: infecta um registro mestre ou registro de inicialização e se espalha quando um sistema é inicializado a partir do disco contendo o vírus </li></ul><ul><li>Vírus furtivo: projetado explicitamente para se esconder de software antivírus </li></ul><ul><li>Vírus polimórfico: se transforma a cada infecção, dificultando a detecção </li></ul><ul><li>Vírus metamórfico: além da transformação a cada infecção, ele se reescreve completamente e muda seu comportamento </li></ul>
    81. 81. <ul><li>Técnicas antivírus </li></ul><ul><li>Impossibilitar a entrada dos vírus no sistema. Impossível ! </li></ul><ul><li>Porém podemos nos prevenir para reduzirmos o número de ataques bem-sucedidos </li></ul><ul><li>Uma técnica avançada é a utilização de decriptografia genérica, a qual permite detectar até mesmo os vírus polimórficos </li></ul>
    82. 82. <ul><li>Firewall </li></ul><ul><li>Um firewall forma uma barreira através da qual o tráfego indo em cada direção precisa passar. </li></ul><ul><li>Uma política de segurança de firewall dita qual tráfego tem autorização para passar em cada direção. </li></ul><ul><li>Um firewall oferece um local para monitorar eventos relacionados à segurança. Auditorias e alarmes podem ser implementados no sistema de firewall. Configurações de firewall: </li></ul>Fonte:www.prenhall.com/stallings_br
    83. 83. <ul><li>Sistemas confiáveis </li></ul><ul><li>Sistemas com a capacidade de se defender contra intrusos e programas maliciosos </li></ul><ul><li>Divisão organizada de níveis de acesso </li></ul><ul><li>Porém não são 100% invioláveis </li></ul>
    84. 84. Termo pelo qual é comumente conhecido o envio, de mensagens eletrônicas a uma grande quantidade de pessoas de uma vez, geralmente com cunho publicitário, mas não exclusivamente. O spam também é conhecido pela sigla inglesa UCE (Unsolicited Commercial E-mail, ou Mensagem Comercial Não-Solicitada). Spam http://informatica.terra.com.br/virusecia/spam/interna/0,,OI195623-EI2403,00.html
    85. 85. http://antispam.yahoo.com/spamguard <ul><li>Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam </li></ul><ul><li>Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário </li></ul><ul><li>Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores </li></ul>Spam Guard
    86. 86. Anti vírus <ul><li>Checa os e-mails na caixa que são recebidos e enviados contra virus conhecidos; </li></ul><ul><li>Utiliza software Norton para scanear contra virus; </li></ul><ul><li>Scaneia mensagem e anexos. </li></ul>http://antispam.yahoo.com/virus
    87. 87. AJAX Trata-se de uma maneira de fazer com que seu navegador, com Javascript, carregue conteúdo do servidor sem recarregar a página atual. Você pode, por exemplo, solicitar do usuário o CEP, e-mail e senha como os primeiros dados. Após ele preencher o CEP, você pode buscar o endereço dele no servidor, enquanto ele digita seu e-mail e senha. Em seguida, você pode verificar a disponibilidade daquele e-mail para cadastro, enquanto ele confere seu endereço. Isso tem grande impacto sobre a experiência do usuário, pois ele não precisa ficar esperando pela carga dos dados. www.arteccom.com.br/webdesign/downloads/25/2.pdf
    88. 88. Problemas de segurança do AJAX O AJAX é uma combinação de Javascript e XML. Ambos têm problemas de segurança que o AJAX ajuda a amplificar Um exemplo neste sentido foi o worm de infecção em massa Yamanner, que se aproveitava de um erro de múltiplos scripts no Yahoo! Mail para infectar milhares de usuários. A praga chegava aos e-mails com o assunto &quot;New Graphic Site&quot; e era ativado simplesmente após sua leitura pelo usuário. http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html
    89. 89. Problemas de segurança do AJAX O principal problema é que o AJAX envolve novas abordagens em oferecer funcionalidades na interface do navegador Por isto, desenvolvedores estão mais propensos a errar onde tradicionalmente eles saberiam como construir um site seguro http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html
    90. 90. Problemas de segurança do AJAX Empresas precisam estar cientes de tais riscos, de acordo com Tim Farmer, diretor do tipo de arquitetura de software da Choice Homes. No momento, porém, &quot;os benefícios que você ganha da linguagem AJAX compensam o risco - desde que o usuário decida quais informações serão expostas pela aplicação&quot;, contesta. http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html
    91. 91. <ul><li>Investimentos </li></ul><ul><li>Nos últimos anos a maioria das empresas que se aventuraram no comércio eletrônico, sites de busca, entre outros, passaram a se preocupar mais com a segurança na rede. Devido a presença de intrusos, softwares maliciosos e até mesmo de seus concorrentes. </li></ul>http://www.es.gov.br/site/noticias/show.aspx?noticiaId=99700726
    92. 92. <ul><li>Um desafio para os próximos anos será a realização dos jogos olímpicos do Rio de Janeiro, que terá um investimento pesado em infra-estrutura, desde a reformulação de vias de acesso, até o desenvolvimento de redes internas seguras. </li></ul>info.abril.com.br/noticias/mercado/olimpiadas-vao-puxar-investimentos-em-ti-02102009-36.shl
    93. 93. ciberdominiopublico.blogspot.com Blog do Prof. Ruy de Queiroz
    94. 94. Bibliografia <ul><li>Cryptography and Network Security: Principles and Practice, William Stallings, Prentice-Hall, 4ed., 2006 </li></ul><ul><li>www.bradescoseguranca.com.br </li></ul><ul><li>www.clubedohardware.com.br/artigos/667 </li></ul><ul><li>Unipaulistana -Adm. Gerência e segurança de redes – Página 42 </li></ul><ul><li>assinaturas-digitais.web.simplesnet.pt/criptografia_simetrica.htm </li></ul><ul><li>www.gta.ufrj.br/grad/99_2/marcos/des.htm </li></ul><ul><li>www.gta.ufrj.br/~natalia/SSH/Pictures/des/DES1a.jpg </li></ul><ul><li>www.safetyti.com.br/produtos/gertec_pinpad_ppc_800_serial.html </li></ul><ul><li>www.gta.ufrj.br/~natalia/SSH/aes.html </li></ul><ul><li>www.orion.com.br/securecall.htm </li></ul><ul><li>www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA </li></ul><ul><li>ciberdominiopublico.blogspot.com/ </li></ul><ul><li>www.es.gov.br/site/noticias/show.aspx?noticiaId=99700726 </li></ul><ul><li>info.abril.com.br/noticias/mercado/olimpiadas-vao-puxar-investimentos-em-ti-02102009-36.shl </li></ul>
    95. 95. <ul><li>assinaturas-digitais.web.simplesnet.pt/criptografia_assimetrica.htm </li></ul><ul><li>br.geocities.com/jasonbs_1917/seguranca/cripto2.html </li></ul><ul><li>www.gta.ufrj.br/grad/02.../ kerberos / Kerberos .htm </li></ul><ul><li>www.prenhall.com/stallings_br </li></ul><ul><li>www.microsoft.com/brasil/athome/security/viruses/virus101.mspx </li></ul><ul><li>informatica.terra.com.br/virusecia/spam/interna/0,,OI195623-EI2403,00.html </li></ul><ul><li>antispam.yahoo.com/spamguard </li></ul><ul><li>antispam.yahoo.com/virus </li></ul><ul><li>www.arteccom.com.br/webdesign/downloads/25/2.pdf </li></ul><ul><li>www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html </li></ul><ul><li>www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66 </li></ul><ul><li>www.bibl.ita.br/ixencita/artigos/FundRafaelAntonio1.pdf </li></ul><ul><li>adm-net-a.unifei.edu.br/phl/pdf/0032910.pdf </li></ul>Bibliografia

    ×