Segurança da informação, privacidade e continuidade dos negócios
1. Mateus Tavares da Silva Cozer
WILLIAM DA SILVA Nº 12106435-6
KLEBER F. FEITOSA Nº 12106560-1
FERNANDO FORNEIRO Nº 12106026-3
SEGURANÇA DAS INFORMAÇÕES E
CONTINUIDADE DOS NEGÓCIOS
2. Roteiro
Necessidades de segurança
Privacidade
Planos de Contingência
ASP – Application Service Provider
Criptografia
Conclusão
4. Segurança da Informação
A Segurança da Informação garante que os ativos da
instituição sejam protegidos sob três requisitos:
Confidencialidade: é o sigilo da informação.
Garantia de que apenas as pessoas que devem ter
conhecimento a seu respeito poderão acessá-la.
Integridade: garantia de que as informações irão
permanecer em seu estado original, protegida de
alterações.
Disponibilidade: garantia de que as informações
estarão acessíveis àqueles que dela necessitam, no
momento em que precisam.
6. Segurança Nacional
Ambiente Cibernético é tratado por diversos
países como um novo teatro de guerra,
juntamente com mar, ar, terra e espaço.
Tecnologia “hacker” é item bélico.
23 países tratam como estratégia de estado a
formação específica de grupos de “guerreiros
cibernéticos” como tropa de elite.
(fonte:Infowar Conference 2001)
7. Segurança Nacional
China e Rússia vêm se destacando na formação de
“guerreiros cibernéticos”, sendo os grupos chineses os
maiores desenvolvedores de vírus e descobridores de
brechas de segurança na Internet.
Doutrina oriunda da Guerra Fria: conceito de estar
sempre respondendo com tecnologia de ponta.
8. Segurança Nacional
Ex. de Atuações da China ...
Bombardeio Americano à
Embaixada Chinesa em
Belgrado (1999).
Retaliação: hackers chineses
atacaram sites do Governo dos EUA (Casa
Branca e Dep. de Energia) e invadem diversos
outros sistemas.
9. Segurança Nacional
Iniciativas Governamentais nos EUA...
(1998) Diretiva Presidencial 63 (PDD-63):
determina realizar toda medida necessária para
eliminar vulnerabilidades a ataques cibernéticos
nas infra-estruturas críticas.
(2000) criação do Cyber National Information
Center: reunindo Governo e setor privado na
defesa de sistemas de computadores.
Em decorrência dos ataques de 11SET, ocorre em
2002 a criação do National Infrastructure
Protection Center (NIPC) subordinado ao Dep.
Homeland Security.
12. Comércio Eletrônico
Confidencialidade: garantia do resguardo das
informações dadas pessoalmente em
confiança e a proteção contra a sua revelação
não autorizada. Atualmente,
confidencialidade é considerada como sendo
o dever de resguardar todas as informações
que dizem respeito a uma pessoa, isto é, a
sua privacidade. A confidencialidade é o
dever que inclui a preservação das
informações privadas e íntimas.
15. Privacidade
Banco de dados são criados armazenando as
mais variadas informações sobre o
consumidor sem qualquer controle prévio e o
que é mais grave, as informações ali contidas
são compartilhadas e transmitidas para
terceiros que a princípio não guardam
qualquer relação...
16. Privacidade
Por que fazem isso?
A Internet, nos últimos anos, revelou-se como
um poderoso veículo para a divulgação de
produtos e serviços, em vista do grande
número de usuários e do baixo custo de
veiculação de publicidade.
Daí a ânsia de se saber os hábitos e preferências
dos usuários, para melhor dirigir a oferta dos
bens de consumo.
17. Privacidade
A coleta de informações na Internet acontece
na maioria das vezes de maneira
indiscriminada, sendo possível saber, por
exemplo, através do monitoramento da
navegação no site de uma livraria, as
preferências ideológicas, crenças religiosas,
opções sexuais do consumidor, ampliando-se
e agravando-se as formas de interferência na
vida privada do internauta.
18. Formas de invasão da privacidade
Cookies
Web bugs
Spywares
Spam's
Mineração de dados
Sniffing
Spoofing
19. Cookies
São pequenos arquivos de texto
enviados e gravados no
computador do internauta;
Podem ser recuperados pelo site
que o enviou durante a
navegação
A maneira como a informação é
armazenada pode revelar-se
prejudicial para o utilizador
De um modo geral o envio
desses arquivos de registro para
o computador do usuário faz-se
sem o seu consentimento,
20. Web bugs
Um web bug é uma imagem minúscula e invisível,
colocada nas páginas dos sites comerciais que possui a
capacidade de monitorar a navegação do internauta.
Essas imagens tornam-se invisíveis porque, além de
muito pequenas, a cor utilizada no web bug é a mesma
da página onde está localizado
21. Web bugs
O web bug pode requisitar inúmeros dados de
navegação, tais como endereço IP do computador, o
tempo de visita na página, tipo de navegador, dia e hora
em que o site foi visitado, quais as páginas que o
internauta está conectado, além das informações que se
encontram nos cookies presentes no computador do
usuário.
O maior problema do web bug é a sua
execução sem o conhecimento e
autorização do internauta.
22. Spywares
São programas que se instalam
nos computadores dos internautas
de maneira sub-reptícia
Acompanham na maioria das
vezes outros programas
distribuídos gratuitamente pela
Internet
Sua função é, uma vez instalado
sem conhecimento do usuário,
monitorar o seu comportamento e
recolher dados pessoais
remetendo-os aos fabricantes dos
softwares "gratuitos" ou seu
patrocinadores
23. Spywares
O lucro das companhias de software gratuito
advém da venda dos dados pessoais e da
publicidade que isto proporciona
As informações são também vendidas para
companhias que enviam spams
O spyware pode examinar qualquer
informação do PC, desde a lista de sites
visitados até os dados pessoais relativos ao
nome, endereço, e-mail, número de cartão de
crédito e de telefone.
24. Spywares
Os freewares mais conhecidos que possuem
embutidos esses códigos espiões são o
Kazaa, Gator, Go!Zilla, GetRigth, CuteFTP e o
Alexa (software da Amazon.com).
25. Spams
Envio de e-mail não autorizado previamente para o usuário;
Meio de publicidade extremamente barato para as
empresas;
A mensagem deve ter conteúdo comercial para ser
considerada como spam;
Segundo relatório divulgado pela empresa anti-spam
Brightmail as mensagens não solicitadas (spams)
representam 50% dos e-mails que circulam na Internet
Os servidores do Hotmail, serviço de webmail gratuito mais
usado no mundo, pertencente a Microsoft, têm barrado,
diariamente, 2,4 bilhões de mensagens não solicitados
antes que sejam lidas pelos usuários.
26. Spams
Vão desde a oferta de serviços milagrosos
para solução de problemas financeiros,
promessas de enriquecimento rápido e até
pornografia.
O conteúdo dos spams pode trazer
publicidade indiscriminada, isto é, sem
preocupação com as predileções dos
consumidores ou publicidade dirigida, cuja
mensagem foi montada a partir de perfis dos
consumidores previamente montados.
28. Spams (Precauções p/ Dimunir)
Ex. Yahoo Anti-Spam...
• Endereços de e-mails suspeitos são
encaminhados diretamente para a caixa de spam
• Imagens são bloqueadas, somente podendo ser
visualizadas com a autorização do usuário
• Usuário confirmando que se trata de um spam o
endereço é automaticamente salvo em uma lista
de e-mails de spam, sendo deletado
automaticamente as mensagens posteriores
30. Mineração de dados
Uma forma mais sofisticada de coleta e análise
de dados dos consumidores.
Um processo computacional conhecido como
reconhecimento de padrões em banco de dados.
As empresas de telecomunicações e bancos são
os principais usuários desse processo.
Os dados armazenados e analisados vão desde
informações cadastrais e de movimentação
financeira até contatos que o cliente faz com a
empresa, por telefone ou email.
31. Sniffing
Sniffing, em rede de computadores, é o procedimento
realizado por uma ferramenta conhecida como Sniffer
(também conhecido como Packet Sniffer)
Esta ferramenta é capaz de interceptar e registrar o
tráfego de dados em uma rede de computadores
32. Sniffing
Conforme o fluxo de
dados trafega na rede, o
sniffer captura cada
pacote e eventualmente
decodifica e analisa o seu
conteúdo
O sniffing pode ser
utilizado com propósitos
maliciosos por invasores
que tentam capturar o
tráfego da rede com
diversos objetivos
33. Spoofing
Técnica sofisticada utilizada por hackers e
crackers que os permite acessar sistemas
controlados passando-se por pessoa
autorizada a fazê-lo.
No contexto de redes de computadores, IP
spoofing é uma técnica de subversão de
sistemas informáticos que consiste em
mascarar (spoof) pacotes IP utilizando
endereços de remetentes falsificados.
34. Outras Ameaças e suas características
Tipo Característica
Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa
normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age
Arquivo
diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam
executados.
Alarme Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior
falso número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente.
Como o próprio nome diz, é um vírus que permitem que hackers controlem o micro infectado pela "porta de trás". Normalmente, os
Backdoor backdoors vêm embutidos em arquivos recebidos por e-mail ou baixados da rede. Ao executar o arquivo, o usuário libera o vírus, que
abre uma porta da máquina para que o autor do programa passe a controlar a máquina de modo completo ou restrito.
Vírus que se infecta na área de inicialização dos disquetes e de discos rígidos. Essa área é onde se encontram arquivos essenciais ao
Boot
sistema. Os vírus de boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro.
Cavalo de
Tróia ou São programas aparentemente inofensivos que trazem embutidos um outro programa (o vírus) maligno.
Trojan
Encriptados Tipo recente que, por estarem codificados, dificultam a ação dos antivírus.
Hoax Vírus boato. Mensagens que geralmente chegam por e-mail alertando o usuário sobre um vírus mirabolante, altamente destrutivo.
Tipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar
Macro
tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair.
Multipartite Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos
Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado
Variação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de
Polimórfico
codificação.
Programa Infectam somente arquivos executáveis, impedindo, muitas vezes, que o usuário ligue o micro.
Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem
Script de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas,
como .vbs.doc, vbs.xlsou js.jpg
Vírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar
Stealth
um arquivo sem necessariamente alterar o arquivo infectado.
35. Cibersegurança e o Domínio Público
“À medida que o mundo se torna mais
dependente de sistemas digitais e da
internet, a segurança e a confiabilidade
desses sistemas complexos são mais críticas
do que nunca. Atender às demandas da
sociedade em relação à infra-estrutura
digital requer ao mesmo tempo as
tecnologias corretas e as políticas públicas
apropriadas.”
Fonte:http://ciberdominiopublico.blogspot.com/
37. Cibersegurança e o Domínio Público
Aborda temas atuais:
"Aos Pais o Poder de Ajudar as
Crianças a Desfrutar das Novas
Mídias“
"A Memória na Era Digital e o Fim do
Esquecimento“
"O Ensino da Ética e da Cidadania
Digitais“
“Democracia cibernética”
38. Blog do Prof. Ruy de Queiroz
http://www.blogger.com/profile/07711690722235875428
39. Blog do Prof. Ruy de Queiroz
Professor Associado, Univ. Federal de Pernambuco (UFPE)
Membro do Grupo de Teoria, CIn-UFPE
Co-Editor-in-Chief, Logic Journal of the IGPL, Oxford U. Press
Coordenador do Interest Group in Pure and Applied Logics
Membro do Corpo Editorial do The International Directory of
Logicians
Associate Editor, Journal of Computer and System Sciences
Contatos:
http://www.blogger.com/profile/07711690722235875428
http://br.linkedin.com/pub/ruy-de-queiroz/18/685/a45
http://twitter.com/ruydequeiroz
40. Computer and Network Security
Hackers históricos
Perfil:
- Homem
- Idade entre 14 e 34 anos
- Viciados em computador
- Sem namoradas fixas
Da esquerda para a direita: Adrian Lamo, Kevin
Mitnick, Kevin Poulsen
41. Computer and Network Security
Tendências
Softwares maliciosos continuam crescendo
- Em 2008 aparecem mais software maliciosos que todos os anos
anteriores juntos.
- Em 2009 a tendência é de crescimento
- Surgem mais softwares “ruins” do que “bons”
Web cada vez mais como foco de ataques
- Acesso remoto (casa/trabalho) facilita o ataque dos hackers
42. Computer and Network Security
Quão grande é a questão de segurança?
cERT Vulnerabilities reported
43. Computer and Network Security
Caso Iphone (2007)
iPhone Safari downloads malicious web page
- Código arbitrário executado com privilégios administrativos
- Permite realizar ações físicas no telefone
- Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc.
iPhone security measures
- Versão simplificada e personalizada do Mac OS X
- MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in,
muitos tipos de arquivos não podem ser baixados.
- Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem
ser montados
44. Computer and Network Security
Caso Iphone (2007)
iPhone Safari downloads malicious web page
- Código arbitrário executado com privilégios administrativos
- Permite realizar ações físicas no telefone
- Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc.
iPhone security measures
- Versão simplificada e personalizada do Mac OS X
- MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in,
muitos tipos de arquivos não podem ser baixados.
- Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem
ser montados
45. Computer and Network Security
Porque existem vulnerabilidades de segurança?
- Porque programadores escrevem códigos inseguros?
Alguns fatores que contribuem?
- Poucos cursos em segurança da internet
- Livros de programação não dão enfase a segurança
- Consumidores não se preocupam com segurança
- Segurança é caro e toma tempo
A vulnerability that is “too complicated for anyone to ever find” will be
found !
46. Planos de Contingência
Plano de contingência ou continuidade dos
negócios (PCN) – Garantia do
restabelecimento das condições normais de
operação dentro de um prazo aceitável,
quando da ocorrência de um incidente de
segurança.
Elaboração de tal plano é feito por meio de
um documento que descreve passo a passo as
ações a serem tomadas.
47. Planos de Contingência
Planejamento da Continuidade dos Negócios
No PCN, o incidente já ocorreu, objetiva-se minimizar o
prejuízo gerado por tal incidente
Conforme: ABNT NBR 15999 1-2
Gestão de Riscos
Preocupação em evitar ou minimizar o risco da
ocorrência de um incidente envolvendo segurança da
informação
Conforme: ISO 31000
48. Planos de Contingência
Criando um PCN
O PCN detalha as ações a serem tomadas no
caso de uma interrupção de um serviço da
informação.
A elaboração e manutenção de um PCN
demanda investimentos, mas um PCN deve
ser encarado como o seguro de um bem, o
ideal é nunca precisar utilizá-lo, mas se for
necessário o retorno financeiro pode ser
muito grande
50. Planos de Contingência
Projeto
Podemos comparar a elaboração de um PCN
com a condução de um projeto.
- Definir equipe de trabalho e uma pessoa que
será “gerente do projeto”
- Apoio claro da alta direção da empresa
51. Planos de Contingência
Coordenador
Definir quem será o coordenador do projeto
- O coordenador é responsável por garantia que
cada um envolvido no projeto tenha feito sua
parte dentro dos prazos previamente definidos.
- Interlocutor entre equipe do PCN e alta direção
- Conhecer o negócio da empresa e adequar o
PCN a ele.
52. Planos de Contingência
Equipe
A equipe deve estar pronta para assumir o
controle das operações, caso ocorra um
incidente que seja considerado um desastre.
- Responder ao incidente e determinar a
necessidade de ativar um PCN.
- Recuperar sistemas críticos em sites alternativos.
- Recuperar site primário, retornar as operações
ao site primário.
53. Planos de Contingência
Análise de Impacto nos Negócios
Objetiva demonstrar o impacto que um
incidente pode causar para o negócio.
A AIN determina o MTD (Maximum Tolerable
Downtime) para cada função crítica do
negócio.
A partir da AIN é possível elabora um plano
de recuperação realista, tanto em eficiência
como em custo.
54. Planos de Contingência
Construção de uma AIN
- Definir técnicas de coleta de informação
- Selecionar os funcionários a serem
entrevistados
- Elaborar questionários estruturados
- Analisar dados e gerar estrutura de
informações
- Gerar relatório de recomendações
55. Planos de Contingência
Estratégias de Recuperação
São as possibilidades de contingência para
cada incidente de segurança, são divididas
em 4 categorias:
- Processos
- Ambientes
- Pessoas
- Tecnologias
56. ASP–Application Service Provider
O software de aplicação reside no sistema da empresa
contratada, sendo acessado pelo cliente (usuário) através
de um web browser usando geralmente HTML.
Considerações:
- A empresa ASP é detém e opera o software application
- ASP detém, opera e mantém o Server que suporta o
software
- ASP disponibiliza a informação para os clientes via
internet
- ASP realiza cobrança por uso, ou baseado no número de
usuários, com taxas geralmente mensais
57. ASP–Application Service Provider
O cliente deve ver e se preocupar somente
com a interface ASP/ Cliente, porém por trás
dela há uma complexa cadeia para que o
serviço seja efetuado...
- Implementação e customização de um ERP
- Operar um data center
59. ASP–Application Service Provider
Vantagens no uso de ASP
- Outsourcing “problems”
- Suporte Técnico
- Acesso everywhere – anyplace
- Pay-as-you-go
- Reduz capital de investimento
60. ASP–Application Service Provider
Desvantagens no uso de ASP
- Integração com cliente que não tem um
sistema de ASP implementado pode ser
crítico.
- Performance, no caso de problemas com a
conexão
- Segurança da informação
62. Criptografia - Definição
É o estudo dos princípios e técnicas pelas
quais a informação pode ser transformada da
sua forma original para outra ilegível, de
forma que possa ser conhecida apenas por
seu destinatário (detentor da "chave
secreta"), o que a torna difícil de ser lida por
alguém não autorizado. Assim sendo, só o
receptor da mensagem pode ler a informação
com facilidade
63. Teoria dos números
A teoria dos números é basicamente a teoria
das propriedades dos inteiros como, por
exemplo, a divisibilidade, a paridade, a
relação de primos relativos etc. A seguir
são apresentadas algumas dessas
propriedades.
64. Teoria dos números Divisibilidade
Teorema (Divisão)
Sejam a, b pertencentes a ℤ com b > 0. Então, existe um único
par de inteiros q e r tais que
a = qb + r e 0 ≤ r < b
O inteiro q é chamado quociente e o inteiro r é chamado resto.
r = 0 se e somente se b|a.
Exemplos:
– Sejam a = 37
e b = 5. Então o quociente é q = 8
e o resto é r = 3, porque
37= 8 * 5 + 3 e 0 ≤ 3 < 5
65. Teoria dos números- Div e Mod
São operações associadas ao processo de divisão. Dados a e b,
essas operações dão o quociente e o resto no problema da
divisão.
Definição:
Sejam a, b pertencente a ℤ com b > 0. Pelo Teorema da divisão
existe um único par de inteiros q e r tais
que a = qb + r e 0 ≤ r < b. Definimos as operações div e mod como
a div b = q e a mod b = r.
Graficamente:
a/ b
r/q
Exemplos:– 11 div 3 = 3 11 mod 3 = 2
66. Teoria dos números- Equivalência
modular e Congruência
Sejam a, b, n pertencem a ℤ com n > 0. Então,
a = b (mod n) a mod n = b mod n.
Dizemos que a e b são congruentes módulo n se n é um divisor
de a b.
Além disso,
ax = b (mod n) ax ny= b.
ou
ax =b (mod n) ax = b + ny.
Exemplo:
– Assim, 53 = 23 (mod 10) já que 53 mod 10 = 3 e 23 mod 10 =
3. Além disso, 53 e 23 são congruentes módulo 10 já que 10
é divisor de 5323 = 30.
67. Teoria dos números- Máximo
divisor comum
O máximo divisor comum de dois números a, b pertencente
a ℤ, denotado por mdc(a, b), é o maior inteiro que divide a e
b.
Exemplos:
– mdc(30, 24) = 6
– mdc(30,24)= 6
Importante:
– Se a e b tem um máximo divisor comum, ele é único.
68. Teoria dos números- Números
Primos
Um inteiro positivo p > 1 é dito um número primo (ou apenas
primo) se ele é divisível apenas por 1 e p, ou seja se p tem
apenas os divisores triviais. Se n > 1 não é primo, então n é dito
composto. Veja que, de acordo com essa definição, o inteiro
positivo 1 não é nem primo nem composto.
Primos e mdc
Sejam a e b inteiros. Dizemos que a e b são relativamente primos
(ou primos entre si) se e somente se mdc(a, b) = 1.
Exemplos:
– 23 é primo, pois seus únicos divisores são 23 e 1
– 22 não é primo, pois é divisível por 1, 2, 11 e 22
Os números primos têm propriedades especiais e interessantes e
desempenham um papel fundamental no desenvolvimento da
teoria dos números.
69. Teoria dos números- Números
Primos
Um inteiro positivo p > 1 é dito um número primo (ou apenas
primo) se ele é divisível apenas por 1 e p, ou seja se p tem
apenas os divisores triviais. Se n > 1 não é primo, então n é dito
composto. Veja que, de acordo com essa definição, o inteiro
positivo 1 não é nem primo nem composto.
Primos e mdc
Sejam a e b inteiros. Dizemos que a e b são relativamente primos
(ou primos entre si) se e somente se mdc(a, b) = 1.
Exemplos:
– 23 é primo, pois seus únicos divisores são 23 e 1
– 22 não é primo, pois é divisível por 1, 2, 11 e 22
Os números primos têm propriedades especiais e interessantes e
desempenham um papel fundamental no desenvolvimento da
teoria dos números.
71. Teoria dos números- Aritmética
Modular
A aritmética é o estudo das operações básicas: adição,
subtração, multiplicação e divisão. A aritmética modular é o
estudo das operações básicas sobre um contexto diferente,
que é o sistema dos números inteiros módulo n. O conjunto
ℤn, onde n é um inteiro positivo, é o conjunto de todos os
números naturais de 0 a n1, inclusive:
ℤn = {0, 1, 2, ..., n 1}
As operações básicas são:
– adição mod n
– subtração mod n
– multiplicação mod n
– divisão mod n
72. Teoria dos números- Adição e
multiplicação de modulares
Sejam n um inteiro positivo e a, b Î ℤn. Definimos
a b = (a + b) mod n e (adição modular)
a b = (a * b) mod n (multiplicação modular)
Exemplos:
– Se n = 10, ou seja, em ℤ10:
–5 5=0 5 5=5
–9 8=7 9 8=2
73. Cifras métricas tradicionais
Técnicas de substituição: Mapeiam
elementos de texto claro em elementos de
texto cifrado, ex: (Cifra de César, cifra
monoaldabéticas, cifra Playfair, cifra de
Hill).
Técnicas de transposição: Transpõe
sistematicamente as posições dos
elementos do texto claro.
74. Cifra de César
Tem esse nome porque foi criada por Julio
César, um líder militar e político que viveu
entre 100 e 44 a.C;
Foi o uso mais antigo que conhecemos de
uma cifra de substituição;
Foi usada para troca de informações entre os
soldados romanos. Método simples , mas
eficiente para sua época;
75. Cifra de César
A Cifra de César consiste em substituir cada
letra do alfabeto pela letra que fica três
posições adiante no alfabeto.
Exemplo:
Claro: meet me after the toga party
Cifrado: phhw ph diwhu wkh wrjd sduwb
76. Ingredientes da criptografia
simétrica
Texto claro;
Algoritmo de criptografia;
Chave Secreta;
Texto cifrado;
Algoritmo de decriptografia;
77. Técnicas de ataque
Criptoanálise: explora as características do
algoritmo para tentar deduzir um texto claro
ou deduzir a chave utilizada;
Ataque por força bruta: experimenta-se cada
chave possível em um trecho do texto
cifrado, até obter uma tradução para o texto
claro;
79. Cifra de bloco
É um esquema de
criptografia/decriptografia em que um
bloco de texto claro é tratado como um
todo e usado para produzir um bloco de
texto cifrado de mesmo tamanho;
Muitas cifras de bloco possuem a estrutura
de Feistel
81. A estrutura de Feistel
• Feistel propôs que podemos nos aproximar de um
cifrador de um cifrador de substituição simples
utilizando o conceito de cifrador de produto que
consiste em combinar dois ou mais cifradores básicos
em sequência, de forma que o resultado final ou
produto é criptograficamente mais forte que qualquer
um dos cifradores envolvidos;
• Feistel sugeriu a utilização de cifradores que alternam
substituições e permutações, estas características já
haviam sido propostas por Claude Shannon para o
desenvolvimento de cifradores de produto que
tivessem boa resistência à criptoanálise estatística são
conhecidas como confusão e difusão
82. A estrutura de Feistel
Confusão: É a técnica que consiste em tornar
a relação entre as estatísticas do texto plano,
texto cifrado e o valor da chave a mais
complexa possível;
Difusão: É a técnica que consiste em dissipar
a estrutura estatística do texto plano, ou seja,
visa tornar as relações entre o texto plano e o
texto cifrado as mais complexas possíveis;
84. Data Encryption Standart
(DES)
O Data Encryption Standart (DES) tem
sido o algoritmo de criptografia mais
utilizado até o momento;
Ele exibe a estrutura de Feistel;
O DES tem sido mostrado como
altamente resistente aos ataques de
criptoanálise;
85. Data Encryption Standard
(DES)
Origem:
(1960)-Projeto de pesquisa sobre criptografia liderado por Horst
Feistel e concluído em 1971 com o desenvolvimento de um
algoritmo com a designação de LUCIFER;
Em razão dos bons resultados do projeto LUCIFER, A IBM com
a orientação técnica da NSA e consultores externos fizaram
uma versão feinada de LUCIFER mais resistente a
criptoanálise, e cabendo em um chip.
Em 1973 a National Bureau of Standards (NBS) necessitava de
um padrão de cifragens, e este projeto citado foi o melhor
algoritmo proposto e foi adotado em 1977 como Data
Encyption Standard
86. Representação geral do DES
Texto Claro de 64 bits Chave 64 bits
Permutação inicial Escolha 1 permutada
K1
Rodada 1 Escolha 2 permutada Deslocamento
circular à esquerda
K2
Deslocamento
Rodada 2 Escolha 2 permutada
circular à esquerda
K16
Deslocamento
Rodada 16 Escolha 2 permutada
circular à esquerda
Troca de 32 bits
Permutação inicial reversa
Texto Cifrado de 64 bits
87. ADVANCED ENCRYPTION STANDARD
(AES)
Em 1997 o NIST pediu propostas para uma
cifra de bloco a qual deveria ter
um grau de segurança superior ao DES;
uma maior eficiência;
Ser uma cifra de bloco simetricamente
maior que o DES;
88. Em 2001 o MIST selecionou o “Rinjndael”
como o algoritmo AES, este algoritmo foi
desenvolvido por dois criptógrafos
belgas:
Dr. Joan Daemen e Dr. Vir Rijmen
90. Algoritmos criptográficos com
chave pública(assimétricos)
É uma forma de criptossistema em que a
criptografia e a decriptografia são
realizadas usando diferentes chaves
(pública e privada)
A criptografia assimétrica transforma o
texto claro em texto cifrado usando uma
de duas chaves e um algoritmo de
criptografia
92. RSA
A partir de um artigo de uma nova técnica de
criptografia desenvolvida por Diffie e Hellman, a qual
desafiavam os criptologistas a encontrar uma algoritmo
que atendesse aos requisitos para os sistemas de chave
pública. Em 1978 foi publicado , no MIT, por Ron Riviest,
Adi Shamir e Len Adleman uma resposta ao desafio,
sendo assim criada o algoritmo de uso geral mais aceita
e implementada para a criptografia de chave pública, o
Diffie e Hellman RSA. Ron Riviest, Adi Shamir e Len Adleman
93. Considerações sobre o RSA
O RSA é uma cifra de bloco em que o texto
claro e o texto cifrado são inteiros entre 0
e n -1
O tamanho típico para n é 1 024 bits, ou
309 dígitos decimais.
A dificuldade de atacar o RSA está na
dificuldade de encontraros fatores primos
de um número composto.
94. Autenticação de mensagens
É um mecanismo ou serviço usado para
verificar a integridade de uma mensagem.
As duas técnicas mais comuns de
autenticação de mensagens são:
MAC;
Função Hash;
95. MAC (Message Authentication
Code)
Um MAC apanha uma mensagem de
comprimento e uma chave secreta como
entrada e produz um código de
autenticação. Um destinatário de posse da
chave secreta pode gerar um código de
autenticação para verificar a integridade
da mensagem.
96. Função de hash
Uma função de hash mapeia uma
mensagem de tamanho variável em um
valor de hash de tamanho fixo, ou um
resumo da mensagem. Para autenticação
da mensagem, uma função de hash segura
precisa ser combinada de alguma forma
com uma chave secreta.
97. Assinatura digital
É um mecanismo de autenticação que
permite ao criador de uma mensagem
anexar um código que atue como
assinatura. A assinatura é formado
tomando o hash da mensagem e
criptografando com a chave privada do
criador, a assinatura garante a origem e a
integridade da mensagem.
98. Soluções para gestão da
segurança de seu negócio
Co-Admin:
É um serviço da empresa Tempest, que visa a
gestão da proteção do ambiente em TI, suas
principais funções são:
99. Soluções para gestão da
segurança de seu negócio
Disponibilizar componentes de prevenção;
Detecção e resposta;
Fornecimento de indicadores de melhora da
segurança;
100. Soluções para gestão da
segurança de seu negócio
SCUA Security:
É um serviço da empresa SCUA, que promete
uma total segurança da informação nos
quesitos:
101. Soluções para gestão da
segurança de seu negócio
Controle e restrição de alterações do sistema
operacional;
Controle de acesso a arquivos e pastas;
Criptografia de informações;
Auditoria avançada nas estações de trabalho;
102. Soluções para gestão da
Conclusão
segurança de seu negócio
Vulnerability Management
da Qualys:
Este software pertence ao módulo Risk
Manager, da empresa Módulo, que promete
ser ágil e eficaz na análise de vulnerabilidades
em ativos tecnológicos. Seus principais
objetivos são:
103. Soluções para gestão da
Conclusão
segurança de seu negócio
Identificar e tratar falhas de softwares que
possam comprometer a segurança;
Utilizar mecanismos para bloquear ataques;
Implementar a melhoria constante do
controle de segurança;
104. Conclusão
A segurança passou a ser considerada, um requisito
essencial para competir numa economia globalizada
e para atingir resultados sustentáveis no longo
prazo.
A crescente utilização de tecnologia como
viabilizador dos processos de negócio cria vantagens
competitivas, expandindo, continuamente, as
fronteiras da segurança.
Crescentes vulnerabilidades dos sistemas e
tecnologias introduzidas no suporte aos negócios e
crescentes ameaças com elevado grau de
sofisticação expõe o usuário a novos riscos a cada
dia.