CI
Carregado porCentral Info
419 visualizações

Cartilha de Segurança para Internet - Conceitos

Este documento fornece conceitos básicos de segurança para internet, incluindo tópicos como senhas seguras, engenharia social, malware, criptografia e certificados digitais. O objetivo é ajudar os leitores a entenderem esses conceitos e se protegerem melhor online.

Incorporar apresentação

Baixado 13 vezes
Comitê Gestor da Internet no Brasil Cartilha de Segurança para Internet Parte I: Conceitos de Segurança Versão 3.1 2006
CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ Cartilha de Seguranca para Internet ¸ Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computa- ¸ ` dores, onde s˜ o abordados temas relacionados as senhas, engenharia a ¸˜ social, malware, vulnerabilidade, ataques de negacao de servico, crip- ¸ tografia e certificados digitais. Os conceitos aqui apresentados s˜ o im- a portantes para o entendimento de partes subseq¨ entes desta Cartilha. u ˜ Versao 3.1 – Outubro de 2006 http://cartilha.cert.br/
Parte I: Conceitos de Seguranca ¸ Sum´ rio a 1 Seguranca de Computadores ¸ 3 1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . . . . . ¸ 3 1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . . . . . . e 3 2 Senhas 4 a ¸˜ 2.1 O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . . . . . 4 ´ 2.2 O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . . . . . . 5 uˆ 2.5 Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . . . . . 6 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . . . . . 6 2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou a root) em um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3 Cookies 7 4 Engenharia Social 7 4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . . . . . . e 8 5 Vulnerabilidade 8 6 C´ digos Maliciosos (Malware) o 9 ¸˜ 7 Negacao de Servico (Denial of Service) ¸ 9 ´ 7.1 O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? .a 10 8 Criptografia 10 ´ ´ 8.1 O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ´ 8.2 O que e criptografia de chaves p´ blica e privada? . . . . . . . u . . . . . . . . . . . . 11 ´ 8.3 O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 8.4 Que exemplos podem ser citados sobre o uso de criptografia ´ de chave unica e de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . u . . . . . . . . . . . . 12 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . . . . . 12 9 Certificado Digital 13 ´ 9.1 O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 13 9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . . . . . 13 Como Obter este Documento 14 Licenca de Uso da Cartilha ¸ 14 Agradecimentos 14 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 2/14
Parte I: Conceitos de Seguranca ¸ 1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e a relacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade. o ¸˜ o a A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza- ı ¸˜ a ´ dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe- ı nho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ı forem necess´ rios. a ¸˜ Alguns exemplos de violacoes a cada um desses requisitos s˜ o: a Confidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa- e e a e ¸˜ ¸˜ coes contidas na sua declaracao de Imposto de Renda; Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ ¸˜ a ` declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal; e Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ ¸ e ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de ` Renda a Receita Federal. 1.1 Por que devo me preocupar com a seguranca do meu computador? ¸ e a u ¸˜ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi- a ¸ ¸˜ nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo, atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente, e ¸ e n˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros; u o e • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado; e a • seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados e ı por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc. 1.2 Por que algu´ m iria querer invadir meu computador? e a ´ A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu e computador s˜ o in´ meros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza- ı ¸˜ cao do invasor; Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3/14
Parte I: Conceitos de Seguranca ¸ • utilizar seu computador para lancar ataques contra outros computadores; ¸ • utilizar seu disco r´gido como reposit´ rio de dados; ı o • destruir informacoes (vandalismo); ¸˜ • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar v´rus de computador; ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias; u o e a • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ; e • furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda. ¸˜ 2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar ´ ¸˜ o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que a a ´ este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na a a e Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome; • obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito; o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. a ¸˜ ´ Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade. ¸˜ 2.1 O que n˜ o se deve usar na elaboracao de uma senha? a Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1 u u dever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a ¸˜ mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar como vocˆ . e Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili- a ¸˜ ´ zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi- ¸ a nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) a e listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.). o u 1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares. e a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 4/14
Parte I: Conceitos de Seguranca ¸ ´ 2.2 O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples u ı de digitar e, o mais importante, deve ser f´ cil de lembrar. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com- u u a ¸˜ posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. a Entretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos- a a a u ı e ¸˜ suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras. 2.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente ¸ ı a ı u u ¸˜ misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica u a ´ e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ı ´ segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ¸˜ a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ı ı ` senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ı descobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. e ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la ı a e guard´ -la em local seguro, do que optar pelo uso de senhas fracas. a 2.4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero u e u deve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas e ´ diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados, ı caso algu´ m descubra uma de suas senhas. e a e ´ Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por a ¸˜ realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem a a mesma senha. Ent˜ o, procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas, e ı ı ¸˜ um poss´vel preju´zo teria a mesma proporcao? 2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil ¸ ı ser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel. a ı ı 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha, ¸ a ´ ` pois est´ associada a proximidade entre esses caracteres no teclado. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 5/14
Parte I: Conceitos de Seguranca ¸ ¨e 2.5 Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su- e ı a ´ gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso ¸ e ao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas a e use regularmente tais funcionalidades. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com e a ¸ a a maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas a senhas. 2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha ı algu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas, e e a e algu´ m poderia: e • observar o processo de digitacao da sua senha; ¸˜ • utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se- e a e ¸˜ cao 4.1); • capturar sua senha enquanto ela trafega pela rede. ¸˜ ´ ` Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes e ´ ı e ¸˜ trafegam entre redes. E poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por ı ¸˜ exemplo senhas, caso n˜ o estejam criptografados (vide secao 8). a Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha; a • n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma; a ¸ o • n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a ¸˜ eventos, etc) em operacoes que necessitem utilizar suas senhas; • certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque- ¸ les que envolvam o fornecimento de uma senha. 2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em a a e e ¸˜ um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para a a e Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 6/14
Parte I: Conceitos de Seguranca ¸ ¸˜ ¸˜ realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜ ¸˜ ou na instalacao e configuracao de determinados tipos de software. Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas a e pessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a ´ ` e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc. Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou ´ e a root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio- nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne- a e cessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 2.3, e a ¸˜ ¸˜ seguir os procedimentos descritos na secao 2.6; • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio; a a • criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com- a e putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como a ¸˜ ¸˜ leitura de e-mails, navegacao na Internet, producao de documentos, etc. 3 Cookies a ¸˜ Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu e browser. Estes s˜ o utilizados pelos sites de diversas formas, tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra; ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico; e o • personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas; a • manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugest˜ es para que se tenha maior controle sobre eles. o 4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o, e e a ¸ a ¸˜ muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem ¸˜ ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7/14
Parte I: Conceitos de Seguranca ¸ 4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ´ ultimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome e ´ e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank- ¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` ¸˜ o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite a e a e sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. a a Exemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por e a um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı ¸˜ a ´ Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar ı um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. e ¸˜ Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e, a a ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos ı exemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a ´ exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque. 5 Vulnerabilidade ´ ¸˜ ¸˜ Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft- ¸˜ ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca ¸ de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con- ¸˜ ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um e ` atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao a computador vulner´ vel. a ¸˜ A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ ¸˜ ¸˜ formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8/14
Parte I: Conceitos de Seguranca ¸ 6 C´ digos Maliciosos (Malware) o o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os e ¸˜ tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. e ´ Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. ¸ Alguns exemplos de malware s˜ o: a • v´rus; ı • worms e bots; • backdoors; • cavalos de tr´ ia; o • keyloggers e outros programas spyware; • rootkits. ¸˜ A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi- o ¸˜ ¸˜ ficacao e prevencao para os diversos tipos de c´ digo malicioso. o 7 ¸˜ Negacao de Servico (Denial of Service) ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ¸˜ ` para tirar de operacao um servico ou computador conectado a Internet. ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu´ rio n˜ o consiga utiliz´ -lo; a a a • gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo a ı que qualquer computador desta rede fique indispon´vel; ı • tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. ´ 7.1 O que e DDoS? ¸˜ DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do, ¸ ı ou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ´ ¸˜ ¸ ` computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com- ı a e ¸˜ putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacao com este computador ou rede. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 9/14
Parte I: Conceitos de Seguranca ¸ 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? a a ´ N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o a ´ importante notar que, principalmente em casos de DDoS, computadores comprometidos invad´-los. E ı ¸˜ podem ser utilizados para desferir os ataques de negacao de servico. ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes ı a do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio e eletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos- o a sibilitadas de vender seus produtos durante um longo per´odo. ı 8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜ um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para: • autenticar a identidade de usu´ rios; a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias; ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente e aquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso, u e uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o ´ remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e a chaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como ´ uˆ ı ı ´ uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar u e e decodificar mensagens. Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de e a ´ ¸˜ acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 8.1) e a criptografia ¸˜ de chave p´ blica e privada (vide secao 8.2). u ´ ´ 8.1 O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ¸˜ mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou e seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne- ¸˜ cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜ entidades que desejem trocar informacoes criptografadas. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave e o ı ´ ¸˜ unica podem ser vistos nas secoes 8.4 e 8.5, respectivamente. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 10/14
Parte I: Conceitos de Seguranca ¸ ´ ´ 8.2 O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e u outra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e e p´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo u seu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u o privada correspondente. Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o e a a que realizar os seguintes procedimentos: 1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o e u a ı uso de qualquer pessoa; 2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet; e e ´ 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando a a chave p´ blica de Jos´ . u e ¸˜ Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento, e ´ ¸˜ quando comparado ao m´ todo de criptografia de chave unica (secao 8.1), apresenta como principal e ¸˜ vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves u a ¸˜ sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais, e ¸˜ como mostra a secao 8.3. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das e o ı ¸˜ chaves p´ blica e privada podem ser vistos nas secoes 8.4 e 8.5, respectivamente. u ´ 8.3 O que e assinatura digital? ¸˜ ¸˜ A assinatura digital consiste na criacao de um c´ digo, atrav´ s da utilizacao de uma chave privada, o e de modo que a pessoa ou entidade que receber uma mensagem contendo este c´ digo possa verificar o ´ se o remetente e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. ´ Desta forma, e utilizado o m´ todo de criptografia de chaves p´ blica e privada, mas em um processo e u ¸˜ inverso ao apresentado no exemplo da secao 8.2. Se Jos´ quiser enviar uma mensagem assinada para Maria, ele codificar´ a mensagem com sua e a a a ` chave privada. Neste processo ser´ gerada uma assinatura digital, que ser´ adicionada a mensagem enviada para Maria. Ao receber a mensagem, Maria utilizar´ a chave p´ blica de Jos´ para decodificar a u e a a ` a mensagem. Neste processo ser´ gerada uma segunda assinatura digital, que ser´ comparada a pri- meira. Se as assinaturas forem idˆ nticas, Maria ter´ certeza que o remetente da mensagem foi o Jos´ e a e e que a mensagem n˜ o foi modificada. a ´ ´ E importante ressaltar que a seguranca do m´ todo baseia-se no fato de que a chave privada e co- ¸ e e ´ nhecida apenas pelo seu dono. Tamb´ m e importante ressaltar que o fato de assinar uma mensagem Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 11/14
Parte I: Conceitos de Seguranca ¸ n˜ o significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos´ quisesse assinar a men- a e sagem e ter certeza de que apenas Maria teria acesso a seu conte´ do, seria preciso codific´ -la com a u a chave p´ blica de Maria, depois de assin´ -la. u a ´ 8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave unica ´ e de chaves publica e privada? ¸˜ ´ Exemplos que combinam a utilizacao dos m´ todos de criptografia de chave unica e de chaves e p´ blica e privada s˜ o as conex˜ es seguras, estabelecidas entre o browser de um usu´ rio e um site, em u a o a ¸˜ transacoes comerciais ou banc´ rias via Web. a o e ´ Estas conex˜ es seguras via Web utilizam o m´ todo de criptografia de chave unica, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usu´ rio precisa informar ao site qual ser´ a a a ´ chave unica utilizada na conex˜ o segura, antes de iniciar a transmiss˜ o de dados sigilosos. a a Para isto, o browser obt´ m a chave p´ blica do certificado4 da instituicao que mant´ m o site. e u ¸˜ e Ent˜ o, ele utiliza esta chave p´ blica para codificar e enviar uma mensagem para o site, contendo a a u ´ chave unica a ser utilizada na conex˜ o segura. O site utiliza sua chave privada para decodificar a a ´ mensagem e identificar a chave unica que ser´ utilizada. a ¸˜ A partir deste ponto, o browser do usu´ rio e o site podem transmitir informacoes, de forma si- a ¸˜ ´ ´ gilosa e segura, atrav´ s da utilizacao do m´ todo de criptografia de chave unica. A chave unica pode e e ¸˜ ser trocada em intervalos de tempo determinados, atrav´ s da repeticao dos procedimentos descritos e anteriormente, aumentando assim o n´vel de seguranca de todo o processo. ı ¸ 8.5 Que tamanho de chave deve ser utilizado? Os m´ todos de criptografia atualmente utilizados, e que apresentam bons n´veis de seguranca, s˜ o e ı ¸ a publicamente conhecidos e s˜ o seguros pela robustez de seus algoritmos e pelo tamanho das chaves a que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum m´ todo de forca bruta, ou e ¸ ¸˜ seja, testar combinacoes de chaves at´ que a correta seja descoberta. Portanto, quanto maior for e a u ¸˜ a chave, maior ser´ o n´ mero de combinacoes a testar, inviabilizando assim a descoberta de uma chave em tempo h´ bil. Al´ m disso, chaves podem ser trocadas regularmente, tornando os m´ todos de a e e criptografia ainda mais seguros. ı ¸ ¸˜ Atualmente, para se obter um bom n´vel de seguranca na utilizacao do m´ todo de criptografia de e ´ ´ chave unica, e aconselh´ vel utilizar chaves de no m´nimo 128 bits. E para o m´ todo de criptografia a ı e ´ de chaves p´ blica e privada e aconselh´ vel utilizar chaves de 2048 bits, sendo o m´nimo aceit´ vel u a ı a de 1024 bits. Dependendo dos fins para os quais os m´ todos criptogr´ ficos ser˜ o utilizados, deve-se e a a ¸˜ ´ considerar a utilizacao de chaves maiores: 256 ou 512 bits para chave unica e 4096 ou 8192 bits para chaves p´ blica e privada. u 4 Certificados ¸˜ s˜ o discutidos na secao 9 e na Parte IV: Fraudes na Internet. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 12/14
Parte I: Conceitos de Seguranca ¸ 9 Certificado Digital ´ ¸˜ O certificado digital e um arquivo eletrˆ nico que cont´ m dados de uma pessoa ou instituicao, o e utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra m´dia, como um token ou smart card. ı ¸˜ Exemplos semelhantes a um certificado digital s˜ o o CNPJ, RG, CPF e carteira de habilitacao a ¸˜ ¸˜ de uma pessoa. Cada um deles cont´ m um conjunto de informacoes que identificam a instituicao ou e ´ a pessoa e a autoridade (para estes exemplos, org˜ os p´ blicos) que garante sua validade. u ¸˜ Algumas das principais informacoes encontradas em um certificado digital s˜ o: a • dados que identificam o dono (nome, n´ mero de identificacao, estado, etc); u ¸˜ • nome da Autoridade Certificadora (AC) que emitiu o certificado (vide secao 9.1); ¸˜ • o n´ mero de s´ rie e o per´odo de validade do certificado; u e ı • a assinatura digital da AC. ´ O objetivo da assinatura digital no certificado e indicar que uma outra entidade (a Autoridade ¸˜ Certificadora) garante a veracidade das informacoes nele contidas. ´ 9.1 O que e Autoridade Certificadora (AC)? ´ Autoridade Certificadora (AC) e a entidade respons´ vel por emitir certificados digitais. Estes a certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, ¸˜ ¸˜ departamento de uma instituicao, instituicao, etc. Os certificados digitais possuem uma forma de assinatura eletrˆ nica da AC que o emitiu. Gracas o ¸ ` ´ a sua idoneidade, a AC e normalmente reconhecida por todos como confi´ vel, fazendo o papel de a “Cart´ rio Eletrˆ nico”. o o 9.2 Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos t´picos do uso de certificados digitais s˜ o: ı a • quando vocˆ acessa um site com conex˜ o segura, como por exemplo o acesso a sua conta e a a ´ banc´ ria pela Internet (vide Parte IV: Fraudes na Internet), e poss´vel checar se o site apresen- ı ´ ¸˜ ¸˜ tado e realmente da instituicao que diz ser, atrav´ s da verificacao de seu certificado digital; e • quando vocˆ consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes e ¸˜ de fornecer informacoes sobre a conta; • quando vocˆ envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado e para assinar “digitalmente” a mensagem, de modo a assegurar ao destinat´ rio que o e-mail e a ´ seu e que n˜ o foi adulterado entre o envio e o recebimento. a A Parte IV: Fraudes na Internet apresenta algumas medidas de seguranca relacionadas ao uso de ¸ certificados digitais. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 13/14
Parte I: Conceitos de Seguranca ¸ Como Obter este Documento ´ Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certifique-se de ter sempre a vers˜ o mais recente. a Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato e a atrav´ s do endereco doc@cert.br. e ¸ Licenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜ que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜ todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆ correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias que possam advir do seu uso. Agradecimentos ¸˜ O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co- ı ment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 14/14

Mais conteúdo relacionado

PDF
Cartilha de segurança para internet parte 01 conceitos de segurança
pordavidstar16
 
PDF
Criptografia e segurança na informática
porAndielson Becker
 
PDF
04 cripto chave_2011
porCarol Luz
 
PDF
Apostila lineares.pdf
porSENAI SP
 
PDF
Ap apostila arduino-rev4
porariferreira3
 
PDF
Análise de segurança em redes utilizando o sistema de detecção de intrusão snort
porpriarcaro
 
PDF
Apostila de computação gráfica (2006)
porDemétrio Luiz Riguete Gripp
 
PDF
Neon digital elias herlander
porLuara Schamó
 
Cartilha de segurança para internet parte 01 conceitos de segurança
pordavidstar16
 
Criptografia e segurança na informática
porAndielson Becker
 
04 cripto chave_2011
porCarol Luz
 
Apostila lineares.pdf
porSENAI SP
 
Ap apostila arduino-rev4
porariferreira3
 
Análise de segurança em redes utilizando o sistema de detecção de intrusão snort
porpriarcaro
 
Apostila de computação gráfica (2006)
porDemétrio Luiz Riguete Gripp
 
Neon digital elias herlander
porLuara Schamó
 

Semelhante a Cartilha de Segurança para Internet - Conceitos

PDF
Cartilha de Segurança para Internet - Wireless
porCentral Info
 
PDF
Cartilha de Segurança para Internet - Fraudes
porCentral Info
 
PDF
Caderno08
portecampinasoeste
 
PDF
Curso segurança na internet
porLuiz Carlos Conceição Silva
 
PDF
Cartilha de Segurança para Internet - Riscos
porCentral Info
 
PDF
Crip Chav Dig
porHudson Augusto
 
PPTX
Segurança da informação
porAdilmar Dantas
 
PDF
Cartilha seguranca-internet
porGabriel Rebouças
 
PDF
Cartilha seguranca-internet
porscarabelot1
 
PDF
Introdução a segurança da informação e mecanismo e proteção
porNeemias Lopes
 
PDF
Introdução a Segurança da Informação e mecanismos de Proteção
porNeemias Lopes
 
DOC
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
porDiego BBahia
 
PDF
Guia segurança internet
porAmorim Albert
 
PDF
Guia para a segurança na internet
porguest74fa18
 
PDF
Guia para a segurança na Internet
porcrbmonteiro
 
PDF
Guia Seg Inf Consorcio
porProjeto Criança em Rede
 
PDF
Guia Segurança na Internet
porJorge Borges
 
PPTX
Minha primeira aula sobre segurança de redes.pptx
porsandrolove1970
 
PDF
SeguraNet, Apresentação utilizada nas sessões com pais e encarregados de educ...
porJoão Torres
 
PDF
Segurança nas redes e internet - baixar slides
porAna Lúcia Albano
 
Cartilha de Segurança para Internet - Wireless
porCentral Info
 
Cartilha de Segurança para Internet - Fraudes
porCentral Info
 
Caderno08
portecampinasoeste
 
Curso segurança na internet
porLuiz Carlos Conceição Silva
 
Cartilha de Segurança para Internet - Riscos
porCentral Info
 
Crip Chav Dig
porHudson Augusto
 
Segurança da informação
porAdilmar Dantas
 
Cartilha seguranca-internet
porGabriel Rebouças
 
Cartilha seguranca-internet
porscarabelot1
 
Introdução a segurança da informação e mecanismo e proteção
porNeemias Lopes
 
Introdução a Segurança da Informação e mecanismos de Proteção
porNeemias Lopes
 
Resumo: Fraudes de Políticas de Segurança, Problemas de privacidade no Acesso...
porDiego BBahia
 
Guia segurança internet
porAmorim Albert
 
Guia para a segurança na internet
porguest74fa18
 
Guia para a segurança na Internet
porcrbmonteiro
 
Guia Seg Inf Consorcio
porProjeto Criança em Rede
 
Guia Segurança na Internet
porJorge Borges
 
Minha primeira aula sobre segurança de redes.pptx
porsandrolove1970
 
SeguraNet, Apresentação utilizada nas sessões com pais e encarregados de educ...
porJoão Torres
 
Segurança nas redes e internet - baixar slides
porAna Lúcia Albano
 

Mais de Central Info

PDF
Lançamento KES e Security Center
porCentral Info
 
PDF
Kaspersky Endpoint Security 8 for Windows
porCentral Info
 
PDF
Certification Kaspersky Technical Specialist | Flavio de Brum
porCentral Info
 
PDF
Comparativo Geral Seguraça Kaspersky x Concorrência
porCentral Info
 
PDF
Comparativo Kaspersky Lab x AVG
porCentral Info
 
PDF
Comparativo Kaspersky Lab x Avast
porCentral Info
 
PDF
Webinar Kaspersky - Brasil o país dos trojans bancários
porCentral Info
 
PDF
Cartilha de Segurança para Internet - Códigos Maliciosos (Malware)
porCentral Info
 
PDF
Cartilha de Segurança para Internet - Spam
porCentral Info
 
PDF
Kaspersky | Por quê? Open Space Security
porCentral Info
 
Lançamento KES e Security Center
porCentral Info
 
Kaspersky Endpoint Security 8 for Windows
porCentral Info
 
Certification Kaspersky Technical Specialist | Flavio de Brum
porCentral Info
 
Comparativo Geral Seguraça Kaspersky x Concorrência
porCentral Info
 
Comparativo Kaspersky Lab x AVG
porCentral Info
 
Comparativo Kaspersky Lab x Avast
porCentral Info
 
Webinar Kaspersky - Brasil o país dos trojans bancários
porCentral Info
 
Cartilha de Segurança para Internet - Códigos Maliciosos (Malware)
porCentral Info
 
Cartilha de Segurança para Internet - Spam
porCentral Info
 
Kaspersky | Por quê? Open Space Security
porCentral Info
 

Último

PDF
Aula ATOS Administrativos - aula de direito aministrativo 1
porMonteguedes
 
PDF
Aula 01. Eletricidade básica (corrente elétrica)
poralexjuniorcruz240
 
PPTX
CICLOS BIOGEOQUÍMICOS - CN PARA ENEM 2026
porPrefeitura Municipal
 
PPTX
Ciclos da Matéria - Estudo dos Ecossistemas (Ecologia)
porBiologia na Prática
 
PPTX
MAIORES TERREMOTOS JÁ REGISTRADOS NA HISTÓRIA
porHenrique Pontes
 
DOCX
quando as raízes curam a alma, restaurando a alma.docx
porJucyBordados
 
PPT
Potenciação e Radiciação - 9º Ano (16 slides).ppt
pormateusmagnoapp
 
PDF
Biblioteconomia - Ap1 - Serviço de Referência e Informação
porGoogle
 
PPT
carboidratos_aula_bioquímica_celular_2026
porBiologia na Prática
 
PPT
Proteínas_bioquímica_celular_aminoacidos_proteinas
porBiologia na Prática
 
PDF
Manual_ClimaEscolar_2021.pdf para profs.
porDiegoOliveiradeLemos
 
PPTX
29303_e30e550ca2aa714c00e64f99347df19c.pptx
porantoniodvilacardoso
 
PPTX
IST - infeções sexualmente transmissíveis
porritasilva564572
 
PDF
Folheto | Estratégia Carreiras Europeias (janeiro/2026)
porCentro Jacques Delors
 
PDF
Caderno-1°-ano-3-trimestre-AVA-Linguagens.docx.pdf atividades diversas.
porprofecellnazario
 
PPTX
Introdução à Metodologia Científica.pptx
porThasLeal7
 
PPTX
CULTURA MIDIATICA NA SALA DE AULA NO BRA
porItaymissonValadao1
 
PDF
Planejamento Anual de Português - 2º ano Alinhado à BNCC.pdf
pornicollasmattos019
 
PPTX
Slides Lição 7, Betel, Vencendo as estratégias e propostas do inimigo, 1Tr26....
porAssembleia de Deus
 
PPTX
Novidades ENEM 2026 - 2º EM.pptx O que você precisa saber sobre a correção da...
porMariaAparecidaOlivei97
 
Aula ATOS Administrativos - aula de direito aministrativo 1
porMonteguedes
 
Aula 01. Eletricidade básica (corrente elétrica)
poralexjuniorcruz240
 
CICLOS BIOGEOQUÍMICOS - CN PARA ENEM 2026
porPrefeitura Municipal
 
Ciclos da Matéria - Estudo dos Ecossistemas (Ecologia)
porBiologia na Prática
 
MAIORES TERREMOTOS JÁ REGISTRADOS NA HISTÓRIA
porHenrique Pontes
 
quando as raízes curam a alma, restaurando a alma.docx
porJucyBordados
 
Potenciação e Radiciação - 9º Ano (16 slides).ppt
pormateusmagnoapp
 
Biblioteconomia - Ap1 - Serviço de Referência e Informação
porGoogle
 
carboidratos_aula_bioquímica_celular_2026
porBiologia na Prática
 
Proteínas_bioquímica_celular_aminoacidos_proteinas
porBiologia na Prática
 
Manual_ClimaEscolar_2021.pdf para profs.
porDiegoOliveiradeLemos
 
29303_e30e550ca2aa714c00e64f99347df19c.pptx
porantoniodvilacardoso
 
IST - infeções sexualmente transmissíveis
porritasilva564572
 
Folheto | Estratégia Carreiras Europeias (janeiro/2026)
porCentro Jacques Delors
 
Caderno-1°-ano-3-trimestre-AVA-Linguagens.docx.pdf atividades diversas.
porprofecellnazario
 
Introdução à Metodologia Científica.pptx
porThasLeal7
 
CULTURA MIDIATICA NA SALA DE AULA NO BRA
porItaymissonValadao1
 
Planejamento Anual de Português - 2º ano Alinhado à BNCC.pdf
pornicollasmattos019
 
Slides Lição 7, Betel, Vencendo as estratégias e propostas do inimigo, 1Tr26....
porAssembleia de Deus
 
Novidades ENEM 2026 - 2º EM.pptx O que você precisa saber sobre a correção da...
porMariaAparecidaOlivei97
 

Cartilha de Segurança para Internet - Conceitos

  • 1.
    Comitê Gestor daInternet no Brasil Cartilha de Segurança para Internet Parte I: Conceitos de Segurança Versão 3.1 2006
  • 2.
    CERT.br – Centrode Estudos, Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ Cartilha de Seguranca para Internet ¸ Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computa- ¸ ` dores, onde s˜ o abordados temas relacionados as senhas, engenharia a ¸˜ social, malware, vulnerabilidade, ataques de negacao de servico, crip- ¸ tografia e certificados digitais. Os conceitos aqui apresentados s˜ o im- a portantes para o entendimento de partes subseq¨ entes desta Cartilha. u ˜ Versao 3.1 – Outubro de 2006 http://cartilha.cert.br/
  • 3.
    Parte I: Conceitosde Seguranca ¸ Sum´ rio a 1 Seguranca de Computadores ¸ 3 1.1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . . . . . ¸ 3 1.2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . . . . . . . e 3 2 Senhas 4 a ¸˜ 2.1 O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . . . . . 4 ´ 2.2 O que e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . . . . . . 5 uˆ 2.5 Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . . . . . . 6 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . . . . . 6 2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou a root) em um computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 3 Cookies 7 4 Engenharia Social 7 4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . . . . . . . . . . . e 8 5 Vulnerabilidade 8 6 C´ digos Maliciosos (Malware) o 9 ¸˜ 7 Negacao de Servico (Denial of Service) ¸ 9 ´ 7.1 O que e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? .a 10 8 Criptografia 10 ´ ´ 8.1 O que e criptografia de chave unica? . . . . . . . . . . . . . . . . . . . . . . . . . . 10 ´ 8.2 O que e criptografia de chaves p´ blica e privada? . . . . . . . u . . . . . . . . . . . . 11 ´ 8.3 O que e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 8.4 Que exemplos podem ser citados sobre o uso de criptografia ´ de chave unica e de chaves p´ blica e privada? . . . . . . . . . . . . . . . . . . . . u . . . . . . . . . . . . 12 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . . . . . 12 9 Certificado Digital 13 ´ 9.1 O que e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 13 9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . . . . . 13 Como Obter este Documento 14 Licenca de Uso da Cartilha ¸ 14 Agradecimentos 14 Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 2/14
  • 4.
    Parte I: Conceitosde Seguranca ¸ 1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e a relacionados aos recursos que o comp˜ em: confidencialidade, integridade e disponibilidade. o ¸˜ o a A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza- ı ¸˜ a ´ dos; a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe- ı nho correto, e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ı forem necess´ rios. a ¸˜ Alguns exemplos de violacoes a cada um desses requisitos s˜ o: a Confidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informa- e e a e ¸˜ ¸˜ coes contidas na sua declaracao de Imposto de Renda; Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ ¸˜ a ` declaracao de Imposto de Renda, momentos antes de vocˆ envi´ -la a Receita Federal; e Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ ¸ e ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de ` Renda a Receita Federal. 1.1 Por que devo me preocupar com a seguranca do meu computador? ¸ e a u ¸˜ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas, tais como: transacoes fi- a ¸ ¸˜ nanceiras, sejam elas banc´ rias ou mesmo compra de produtos e servicos; comunicacao, por exemplo, atrav´ s de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador, pois vocˆ , provavelmente, e ¸ e n˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros; u o e • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado; e a • seus dados pessoais, ou at´ mesmo comerciais, fossem alterados, destru´dos ou visualizados e ı por terceiros; • seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc. 1.2 Por que algu´ m iria querer invadir meu computador? e a ´ A resposta para esta pergunta n˜ o e simples. Os motivos pelos quais algu´ m tentaria invadir seu e computador s˜ o in´ meros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita, para esconder a real identidade e localiza- ı ¸˜ cao do invasor; Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 3/14
  • 5.
    Parte I: Conceitosde Seguranca ¸ • utilizar seu computador para lancar ataques contra outros computadores; ¸ • utilizar seu disco r´gido como reposit´ rio de dados; ı o • destruir informacoes (vandalismo); ¸˜ • disseminar mensagens alarmantes e falsas; • ler e enviar e-mails em seu nome; • propagar v´rus de computador; ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias; u o e a • furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por vocˆ ; e • furtar dados do seu computador, como por exemplo, informacoes do seu Imposto de Renda. ¸˜ 2 Senhas Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar ´ ¸˜ o usu´ rio, ou seja, e utilizada no processo de verificacao da identidade do usu´ rio, assegurando que a a ´ este e realmente quem diz ser. Se uma outra pessoa tem acesso a sua senha, ela poder´ utiliz´ -la para se passar por vocˆ na a a e Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome; • obter informacoes sens´veis dos dados armazenados em seu computador, tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito; o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. a ¸˜ ´ Portanto, a senha merece consideracao especial, afinal ela e de sua inteira responsabilidade. ¸˜ 2.1 O que n˜ o se deve usar na elaboracao de uma senha? a Nomes, sobrenomes, n´ meros de documentos, placas de carros, n´ meros de telefones e datas1 u u dever˜ o estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa a ¸˜ mal intencionada, possivelmente, utilizaria este tipo de informacao para tentar se autenticar como vocˆ . e Existem v´ rias regras de criacao de senhas, sendo que uma regra muito importante e jamais utili- a ¸˜ ´ zar palavras que facam parte de dicion´ rios. Existem softwares que tentam descobrir senhas combi- ¸ a nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) a e listas de nomes (nomes pr´ prios, m´ sicas, filmes, etc.). o u 1 Qualquer data que possa estar relacionada com vocˆ , como por exemplo a data de seu anivers´ rio ou de familiares. e a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 4/14
  • 6.
    Parte I: Conceitosde Seguranca ¸ ´ 2.2 O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras, n´ meros e s´mbolos), deve ser simples u ı de digitar e, o mais importante, deve ser f´ cil de lembrar. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas, o que j´ ajuda na com- u u a ¸˜ posicao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. a Entretanto, s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas, pois n˜ o pos- a a a u ı e ¸˜ suem n´ meros e s´mbolos, al´ m de conter muitas repeticoes de letras. 2.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor, pois mais dif´cil ser´ descobr´-la3 . Assim, tente ¸ ı a ı u u ¸˜ misturar letras mai´ sculas, min´ sculas, n´ meros e sinais de pontuacao. Uma regra realmente pr´ tica u a ´ e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira, ı ´ segunda ou a ultima letra de cada palavra. Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ¸˜ a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ı ı ` senha). Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ı descobertas. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha. e ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte, e prefer´vel anot´ -la ı a e guard´ -la em local seguro, do que optar pelo uso de senhas fracas. a 2.4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. Este n´ mero u e u deve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . Utilizar senhas e ´ diferentes, uma para cada local, e extremamente importante, pois pode atenuar os preju´zos causados, ı caso algu´ m descubra uma de suas senhas. e a e ´ Para ressaltar a importˆ ncia do uso de senhas diferentes, imagine que vocˆ e respons´ vel por a ¸˜ realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem a a mesma senha. Ent˜ o, procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta, caso algu´ m descobrisse uma das senhas, e ı ı ¸˜ um poss´vel preju´zo teria a mesma proporcao? 2 Existem servicos que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif´cil ¸ ı ser´ descobr´-la, portanto procure utilizar a senha de maior tamanho poss´vel. a ı ı 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”, mas n˜ o e considerada uma boa senha, ¸ a ´ ` pois est´ associada a proximidade entre esses caracteres no teclado. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 5/14
  • 7.
    Parte I: Conceitosde Seguranca ¸ ¨e 2.5 Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente, procurando evitar per´odos muito longos. Uma su- e ı a ´ gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha, quer seja o acesso ¸ e ao seu provedor, e-mail, conta banc´ ria, ou outro, disponibilizam funcionalidades para alterar senhas a e use regularmente tais funcionalidades. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico, procure troc´ -la com e a ¸ a a maior urgˆ ncia poss´vel. Procure utilizar servicos em que vocˆ possa escolher a sua senha. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas a senhas. 2.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta, se ao usar a senha ı algu´ m puder vˆ -la. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. Dentre elas, e e a e algu´ m poderia: e • observar o processo de digitacao da sua senha; ¸˜ • utilizar algum m´ todo de persuas˜ o, para tentar convencˆ -lo a entregar sua senha (vide se- e a e ¸˜ cao 4.1); • capturar sua senha enquanto ela trafega pela rede. ¸˜ ´ ` Em relacao a este ultimo caso, existem t´ cnicas que permitem observar dados, a medida que estes e ´ ı e ¸˜ trafegam entre redes. E poss´vel que algu´ m extraia informacoes sens´veis desses dados, como por ı ¸˜ exemplo senhas, caso n˜ o estejam criptografados (vide secao 8). a Portanto, alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha; a • n˜ o forneca sua senha para qualquer pessoa, em hip´ tese alguma; a ¸ o • n˜ o utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de a ¸˜ eventos, etc) em operacoes que necessitem utilizar suas senhas; • certifique-se que seu provedor disponibiliza servicos criptografados, principalmente para aque- ¸ les que envolvam o fornecimento de uma senha. 2.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia, pois det´ m todos os privil´ gios em a a e e ¸˜ um computador. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para a a e Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 6/14
  • 8.
    Parte I: Conceitosde Seguranca ¸ ¸˜ ¸˜ realizar uma operacao, como por exemplo, em determinadas tarefas administrativas, de manutencao ¸˜ ¸˜ ou na instalacao e configuracao de determinados tipos de software. Sabe-se que, por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico, muitas a e pessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele a ´ ` e usado para se conectar a Internet, navegar utilizando o browser, ler e-mails, redigir documentos, etc. Este e um procedimento que deve ser sempre evitado, pois vocˆ , como usu´ rio Administrator (ou ´ e a root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio- nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usu´ rio Administrator (ou root), teria todos os privil´ gios que ne- a e cessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root), como discutido na secao 2.3, e a ¸˜ ¸˜ seguir os procedimentos descritos na secao 2.6; • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio; a a • criar tantos usu´ rios com privil´ gios normais, quantas forem as pessoas que utilizam seu com- a e putador, para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras, como a ¸˜ ¸˜ leitura de e-mails, navegacao na Internet, producao de documentos, etc. 3 Cookies a ¸˜ Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu e browser. Estes s˜ o utilizados pelos sites de diversas formas, tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra; ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico; e o • personalizar sites pessoais ou de not´cias, quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas; a • manter a lista das p´ ginas vistas em um site, para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugest˜ es para que se tenha maior controle sobre eles. o 4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque, onde algu´ m faz uso da persuas˜ o, e e a ¸ a ¸˜ muitas vezes abusando da ingenuidade ou confianca do usu´ rio, para obter informacoes que podem ¸˜ ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 7/14
  • 9.
    Parte I: Conceitosde Seguranca ¸ 4.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ´ ultimo exemplo apresenta um ataque realizado por telefone. Exemplo 1: vocˆ recebe uma mensagem e-mail, onde o remetente e o gerente ou algu´ m em nome e ´ e do departamento de suporte do seu banco. Na mensagem ele diz que o servico de Internet Bank- ¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` ¸˜ o aplicativo que est´ anexado a mensagem. A execucao deste aplicativo apresenta uma tela a ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria, aguardando que vocˆ digite a e a e sua senha. Na verdade, este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. a a Exemplo 2: vocˆ recebe uma mensagem de e-mail, dizendo que seu computador est´ infectado por e a um v´rus. A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı ¸˜ a ´ Internet, para eliminar o v´rus de seu computador. A real funcao desta ferramenta n˜ o e eliminar ı um v´rus, mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. e ¸˜ Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e, a a ent˜ o, pede sua senha para corrig´-lo. Caso vocˆ entregue sua senha, este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t´picos de engenharia social, pois os discursos apresentados nos ı exemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a ´ exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque. 5 Vulnerabilidade ´ ¸˜ ¸˜ Vulnerabilidade e definida como uma falha no projeto, implementacao ou configuracao de um soft- ¸˜ ware ou sistema operacional que, quando explorada por um atacante, resulta na violacao da seguranca ¸ de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con- ¸˜ ter uma vulnerabilidade que permite sua exploracao remota, ou seja, atrav´ s da rede. Portanto, um e ` atacante conectado a Internet, ao explorar tal vulnerabilidade, pode obter acesso n˜ o autorizado ao a computador vulner´ vel. a ¸˜ A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ ¸˜ ¸˜ formas de identificacao de vulnerabilidades, bem como maneiras de prevencao e correcao. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 8/14
  • 10.
    Parte I: Conceitosde Seguranca ¸ 6 C´ digos Maliciosos (Malware) o o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os e ¸˜ tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. e ´ Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. ¸ Alguns exemplos de malware s˜ o: a • v´rus; ı • worms e bots; • backdoors; • cavalos de tr´ ia; o • keyloggers e outros programas spyware; • rootkits. ¸˜ A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identi- o ¸˜ ¸˜ ficacao e prevencao para os diversos tipos de c´ digo malicioso. o 7 ¸˜ Negacao de Servico (Denial of Service) ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ¸˜ ` para tirar de operacao um servico ou computador conectado a Internet. ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu´ rio n˜ o consiga utiliz´ -lo; a a a • gerar um grande tr´ fego de dados para uma rede, ocupando toda a banda dispon´vel, de modo a ı que qualquer computador desta rede fique indispon´vel; ı • tirar servicos importantes de um provedor do ar, impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. ´ 7.1 O que e DDoS? ¸˜ DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do, ¸ ı ou seja, um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ´ ¸˜ ¸ ` computadores conectados a Internet. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um com- ı a e ¸˜ putador ou rede, causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacao com este computador ou rede. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 9/14
  • 11.
    Parte I: Conceitosde Seguranca ¸ 7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas˜ o? a a ´ N˜ o. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores, e n˜ o a ´ importante notar que, principalmente em casos de DDoS, computadores comprometidos invad´-los. E ı ¸˜ podem ser utilizados para desferir os ataques de negacao de servico. ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000, onde computadores de v´ rias partes ı a do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio e eletrˆ nico. Estas empresas n˜ o tiveram seus computadores comprometidos, mas sim ficaram impos- o a sibilitadas de vender seus produtos durante um longo per´odo. ı 8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. E parte de e o ¸˜ um campo de estudos que trata das comunicacoes secretas, usadas, dentre outras finalidades, para: • autenticar a identidade de usu´ rios; a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias; ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada, ou seja, somente e aquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso, u e uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o ´ remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada. Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e a chaves. A chave e uma seq¨ encia de caracteres, que pode conter letras, d´gitos e s´mbolos (como ´ uˆ ı ı ´ uma senha), e que e convertida em um n´ mero, utilizado pelos m´ todos de criptografia para codificar u e e decodificar mensagens. Atualmente, os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias, de e a ´ ¸˜ acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 8.1) e a criptografia ¸˜ de chave p´ blica e privada (vide secao 8.2). u ´ ´ 8.1 O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar ¸˜ mensagens. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento, ou e seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne- ¸˜ cessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜ entidades que desejem trocar informacoes criptografadas. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave e o ı ´ ¸˜ unica podem ser vistos nas secoes 8.4 e 8.5, respectivamente. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 10/14
  • 12.
    Parte I: Conceitosde Seguranca ¸ ´ ´ 8.2 O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas, uma para codificar e u outra para decodificar mensagens. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e e p´ blica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo u seu dono. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u o privada correspondente. Seja o exemplo, onde Jos´ e Maria querem se comunicar de maneira sigilosa. Ent˜ o, eles ter˜ o e a a que realizar os seguintes procedimentos: 1. Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria, que est´ dispon´vel para o e u a ı uso de qualquer pessoa; 2. Depois de criptografada, Jos´ envia a mensagem para Maria, atrav´ s da Internet; e e ´ 3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que e apenas de seu conhecimento; 4. Se Maria quiser responder a mensagem, dever´ realizar o mesmo procedimento, mas utilizando a a chave p´ blica de Jos´ . u e ¸˜ Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento, e ´ ¸˜ quando comparado ao m´ todo de criptografia de chave unica (secao 8.1), apresenta como principal e ¸˜ vantagem a livre distribuicao de chaves p´ blicas, n˜ o necessitando de um meio seguro para que chaves u a ¸˜ sejam combinadas antecipadamente. Al´ m disso, pode ser utilizado na geracao de assinaturas digitais, e ¸˜ como mostra a secao 8.3. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das e o ı ¸˜ chaves p´ blica e privada podem ser vistos nas secoes 8.4 e 8.5, respectivamente. u ´ 8.3 O que e assinatura digital? ¸˜ ¸˜ A assinatura digital consiste na criacao de um c´ digo, atrav´ s da utilizacao de uma chave privada, o e de modo que a pessoa ou entidade que receber uma mensagem contendo este c´ digo possa verificar o ´ se o remetente e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. ´ Desta forma, e utilizado o m´ todo de criptografia de chaves p´ blica e privada, mas em um processo e u ¸˜ inverso ao apresentado no exemplo da secao 8.2. Se Jos´ quiser enviar uma mensagem assinada para Maria, ele codificar´ a mensagem com sua e a a a ` chave privada. Neste processo ser´ gerada uma assinatura digital, que ser´ adicionada a mensagem enviada para Maria. Ao receber a mensagem, Maria utilizar´ a chave p´ blica de Jos´ para decodificar a u e a a ` a mensagem. Neste processo ser´ gerada uma segunda assinatura digital, que ser´ comparada a pri- meira. Se as assinaturas forem idˆ nticas, Maria ter´ certeza que o remetente da mensagem foi o Jos´ e a e e que a mensagem n˜ o foi modificada. a ´ ´ E importante ressaltar que a seguranca do m´ todo baseia-se no fato de que a chave privada e co- ¸ e e ´ nhecida apenas pelo seu dono. Tamb´ m e importante ressaltar que o fato de assinar uma mensagem Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 11/14
  • 13.
    Parte I: Conceitosde Seguranca ¸ n˜ o significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos´ quisesse assinar a men- a e sagem e ter certeza de que apenas Maria teria acesso a seu conte´ do, seria preciso codific´ -la com a u a chave p´ blica de Maria, depois de assin´ -la. u a ´ 8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave unica ´ e de chaves publica e privada? ¸˜ ´ Exemplos que combinam a utilizacao dos m´ todos de criptografia de chave unica e de chaves e p´ blica e privada s˜ o as conex˜ es seguras, estabelecidas entre o browser de um usu´ rio e um site, em u a o a ¸˜ transacoes comerciais ou banc´ rias via Web. a o e ´ Estas conex˜ es seguras via Web utilizam o m´ todo de criptografia de chave unica, implementado pelo protocolo SSL (Secure Socket Layer). O browser do usu´ rio precisa informar ao site qual ser´ a a a ´ chave unica utilizada na conex˜ o segura, antes de iniciar a transmiss˜ o de dados sigilosos. a a Para isto, o browser obt´ m a chave p´ blica do certificado4 da instituicao que mant´ m o site. e u ¸˜ e Ent˜ o, ele utiliza esta chave p´ blica para codificar e enviar uma mensagem para o site, contendo a a u ´ chave unica a ser utilizada na conex˜ o segura. O site utiliza sua chave privada para decodificar a a ´ mensagem e identificar a chave unica que ser´ utilizada. a ¸˜ A partir deste ponto, o browser do usu´ rio e o site podem transmitir informacoes, de forma si- a ¸˜ ´ ´ gilosa e segura, atrav´ s da utilizacao do m´ todo de criptografia de chave unica. A chave unica pode e e ¸˜ ser trocada em intervalos de tempo determinados, atrav´ s da repeticao dos procedimentos descritos e anteriormente, aumentando assim o n´vel de seguranca de todo o processo. ı ¸ 8.5 Que tamanho de chave deve ser utilizado? Os m´ todos de criptografia atualmente utilizados, e que apresentam bons n´veis de seguranca, s˜ o e ı ¸ a publicamente conhecidos e s˜ o seguros pela robustez de seus algoritmos e pelo tamanho das chaves a que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum m´ todo de forca bruta, ou e ¸ ¸˜ seja, testar combinacoes de chaves at´ que a correta seja descoberta. Portanto, quanto maior for e a u ¸˜ a chave, maior ser´ o n´ mero de combinacoes a testar, inviabilizando assim a descoberta de uma chave em tempo h´ bil. Al´ m disso, chaves podem ser trocadas regularmente, tornando os m´ todos de a e e criptografia ainda mais seguros. ı ¸ ¸˜ Atualmente, para se obter um bom n´vel de seguranca na utilizacao do m´ todo de criptografia de e ´ ´ chave unica, e aconselh´ vel utilizar chaves de no m´nimo 128 bits. E para o m´ todo de criptografia a ı e ´ de chaves p´ blica e privada e aconselh´ vel utilizar chaves de 2048 bits, sendo o m´nimo aceit´ vel u a ı a de 1024 bits. Dependendo dos fins para os quais os m´ todos criptogr´ ficos ser˜ o utilizados, deve-se e a a ¸˜ ´ considerar a utilizacao de chaves maiores: 256 ou 512 bits para chave unica e 4096 ou 8192 bits para chaves p´ blica e privada. u 4 Certificados ¸˜ s˜ o discutidos na secao 9 e na Parte IV: Fraudes na Internet. a Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 12/14
  • 14.
    Parte I: Conceitosde Seguranca ¸ 9 Certificado Digital ´ ¸˜ O certificado digital e um arquivo eletrˆ nico que cont´ m dados de uma pessoa ou instituicao, o e utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra m´dia, como um token ou smart card. ı ¸˜ Exemplos semelhantes a um certificado digital s˜ o o CNPJ, RG, CPF e carteira de habilitacao a ¸˜ ¸˜ de uma pessoa. Cada um deles cont´ m um conjunto de informacoes que identificam a instituicao ou e ´ a pessoa e a autoridade (para estes exemplos, org˜ os p´ blicos) que garante sua validade. u ¸˜ Algumas das principais informacoes encontradas em um certificado digital s˜ o: a • dados que identificam o dono (nome, n´ mero de identificacao, estado, etc); u ¸˜ • nome da Autoridade Certificadora (AC) que emitiu o certificado (vide secao 9.1); ¸˜ • o n´ mero de s´ rie e o per´odo de validade do certificado; u e ı • a assinatura digital da AC. ´ O objetivo da assinatura digital no certificado e indicar que uma outra entidade (a Autoridade ¸˜ Certificadora) garante a veracidade das informacoes nele contidas. ´ 9.1 O que e Autoridade Certificadora (AC)? ´ Autoridade Certificadora (AC) e a entidade respons´ vel por emitir certificados digitais. Estes a certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, ¸˜ ¸˜ departamento de uma instituicao, instituicao, etc. Os certificados digitais possuem uma forma de assinatura eletrˆ nica da AC que o emitiu. Gracas o ¸ ` ´ a sua idoneidade, a AC e normalmente reconhecida por todos como confi´ vel, fazendo o papel de a “Cart´ rio Eletrˆ nico”. o o 9.2 Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos t´picos do uso de certificados digitais s˜ o: ı a • quando vocˆ acessa um site com conex˜ o segura, como por exemplo o acesso a sua conta e a a ´ banc´ ria pela Internet (vide Parte IV: Fraudes na Internet), e poss´vel checar se o site apresen- ı ´ ¸˜ ¸˜ tado e realmente da instituicao que diz ser, atrav´ s da verificacao de seu certificado digital; e • quando vocˆ consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes e ¸˜ de fornecer informacoes sobre a conta; • quando vocˆ envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado e para assinar “digitalmente” a mensagem, de modo a assegurar ao destinat´ rio que o e-mail e a ´ seu e que n˜ o foi adulterado entre o envio e o recebimento. a A Parte IV: Fraudes na Internet apresenta algumas medidas de seguranca relacionadas ao uso de ¸ certificados digitais. Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 13/14
  • 15.
    Parte I: Conceitosde Seguranca ¸ Como Obter este Documento ´ Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e periodicamente atualizado, certifique-se de ter sempre a vers˜ o mais recente. a Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro, entre em contato e a atrav´ s do endereco doc@cert.br. e ¸ Licenca de Uso da Cartilha ¸ Este documento e Copyright c 2000–2006 CERT.br. Ele pode ser livremente distribu´do desde ´ ı ¸˜ que sejam respeitadas as seguintes condicoes: ´ 1. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento, o ¸ ¸˜ acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet. e e ´ 2. E permitido fazer links para a p´ gina http://cartilha.cert.br/, ou para p´ ginas dentro a a deste site que contenham partes espec´ficas da Cartilha. ı ¸˜ 3. Para reproducao do documento, completo ou em partes, como parte de site ou de outro tipo de material, deve ser assinado um Termo de Licenca de Uso, e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet, desenvolvida pelo CERT.br, ı ¸ mantido pelo NIC.br, com inteiro teor em http://cartilha.cert.br/.” ´ ¸˜ ¸˜ 4. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu- o ¸˜ ¸˜ mento, a producao de material derivado sem expressa autorizacao do CERT.br, bem como a ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. o ¸˜ Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert.br. Embora ¸ ¸˜ todos os cuidados tenham sido tomados na preparacao deste documento, o CERT.br n˜ o garante a a ¸˜ ¸˜ uˆ correcao absoluta das informacoes nele contidas, nem se responsabiliza por eventuais conseq¨ encias que possam advir do seu uso. Agradecimentos ¸˜ O CERT.br agradece a todos que contribu´ram para a elaboracao deste documento, enviando co- ı ment´ rios, cr´ticas, sugest˜ es ou revis˜ es. a ı o o Cartilha de Seguranca para Internet – c 2006 CERT.br ¸ 14/14