SlideShare uma empresa Scribd logo

Segurança da informação, privacidade e continuidade dos negócios

Fernando Battistini
Fernando Battistini
Tecnologia
1 de 107
Baixar para ler offline
Mateus Tavares da Silva Cozer WILLIAM DA SILVA Nº 12106435-6 KLEBER F. FEITOSA Nº 12106560-1 FERNANDO FORNEIRO Nº 12106026-3 SEGURANÇA DAS INFORMAÇÕES E CONTINUIDADE DOS NEGÓCIOS
Roteiro  Necessidades de segurança  Privacidade  Planos de Contingência  ASP – Application Service Provider  Criptografia  Conclusão
Necessidades de Segurança  Segurança da Informação  Segurança Nacional  Comércio Eletrônico  Privacidade
Segurança da Informação A Segurança da Informação garante que os ativos da instituição sejam protegidos sob três requisitos:  Confidencialidade: é o sigilo da informação. Garantia de que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.  Integridade: garantia de que as informações irão permanecer em seu estado original, protegida de alterações.  Disponibilidade: garantia de que as informações estarão acessíveis àqueles que dela necessitam, no momento em que precisam.
Segurança Nacional  Guerra Cibernética “Corresponde ao uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores . Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.” Fonte: CyberWar: Security, Strategy and Conflict in the Information Age, Campen, Dearth and Goodden, ©AFCEA International Press 1996
Segurança Nacional  Ambiente Cibernético é tratado por diversos países como um novo teatro de guerra, juntamente com mar, ar, terra e espaço.  Tecnologia “hacker” é item bélico.  23 países tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite. (fonte:Infowar Conference 2001)
Segurança Nacional  China e Rússia vêm se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na Internet.  Doutrina oriunda da Guerra Fria: conceito de estar sempre respondendo com tecnologia de ponta.
Segurança Nacional Ex. de Atuações da China ... Bombardeio Americano à Embaixada Chinesa em Belgrado (1999).  Retaliação: hackers chineses atacaram sites do Governo dos EUA (Casa Branca e Dep. de Energia) e invadem diversos outros sistemas.
Segurança Nacional Iniciativas Governamentais nos EUA...  (1998) Diretiva Presidencial 63 (PDD-63): determina realizar toda medida necessária para eliminar vulnerabilidades a ataques cibernéticos nas infra-estruturas críticas.  (2000) criação do Cyber National Information Center: reunindo Governo e setor privado na defesa de sistemas de computadores.  Em decorrência dos ataques de 11SET, ocorre em 2002 a criação do National Infrastructure Protection Center (NIPC) subordinado ao Dep. Homeland Security.
Segurança Nacional http://www.us-cert.gov/
Comércio Eletrônico Exigências da Segurança da Informação no Comércio Eletrônico  Confidencialidade  Autenticidade  Integridade:
Comércio Eletrônico  Confidencialidade: garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. Atualmente, confidencialidade é considerada como sendo o dever de resguardar todas as informações que dizem respeito a uma pessoa, isto é, a sua privacidade. A confidencialidade é o dever que inclui a preservação das informações privadas e íntimas.
Comércio Eletrônico  Autenticidade: a prova da identidade para a concessão da autorização.
Comércio Eletrônico  Integridade: garantia de que os dados trafegados não sofram nenhuma alteração durante seu percurso.
Privacidade Banco de dados são criados armazenando as mais variadas informações sobre o consumidor sem qualquer controle prévio e o que é mais grave, as informações ali contidas são compartilhadas e transmitidas para terceiros que a princípio não guardam qualquer relação...
Privacidade Por que fazem isso?  A Internet, nos últimos anos, revelou-se como um poderoso veículo para a divulgação de produtos e serviços, em vista do grande número de usuários e do baixo custo de veiculação de publicidade. Daí a ânsia de se saber os hábitos e preferências dos usuários, para melhor dirigir a oferta dos bens de consumo.
Privacidade A coleta de informações na Internet acontece na maioria das vezes de maneira indiscriminada, sendo possível saber, por exemplo, através do monitoramento da navegação no site de uma livraria, as preferências ideológicas, crenças religiosas, opções sexuais do consumidor, ampliando-se e agravando-se as formas de interferência na vida privada do internauta.
Formas de invasão da privacidade  Cookies  Web bugs  Spywares  Spam's  Mineração de dados  Sniffing  Spoofing
Cookies  São pequenos arquivos de texto enviados e gravados no computador do internauta;  Podem ser recuperados pelo site que o enviou durante a navegação  A maneira como a informação é armazenada pode revelar-se prejudicial para o utilizador  De um modo geral o envio desses arquivos de registro para o computador do usuário faz-se sem o seu consentimento,
Web bugs  Um web bug é uma imagem minúscula e invisível, colocada nas páginas dos sites comerciais que possui a capacidade de monitorar a navegação do internauta.  Essas imagens tornam-se invisíveis porque, além de muito pequenas, a cor utilizada no web bug é a mesma da página onde está localizado
Web bugs  O web bug pode requisitar inúmeros dados de navegação, tais como endereço IP do computador, o tempo de visita na página, tipo de navegador, dia e hora em que o site foi visitado, quais as páginas que o internauta está conectado, além das informações que se encontram nos cookies presentes no computador do usuário.  O maior problema do web bug é a sua execução sem o conhecimento e autorização do internauta.
Spywares  São programas que se instalam nos computadores dos internautas de maneira sub-reptícia  Acompanham na maioria das vezes outros programas distribuídos gratuitamente pela Internet  Sua função é, uma vez instalado sem conhecimento do usuário, monitorar o seu comportamento e recolher dados pessoais remetendo-os aos fabricantes dos softwares "gratuitos" ou seu patrocinadores
Spywares  O lucro das companhias de software gratuito advém da venda dos dados pessoais e da publicidade que isto proporciona  As informações são também vendidas para companhias que enviam spams  O spyware pode examinar qualquer informação do PC, desde a lista de sites visitados até os dados pessoais relativos ao nome, endereço, e-mail, número de cartão de crédito e de telefone.
Spywares  Os freewares mais conhecidos que possuem embutidos esses códigos espiões são o Kazaa, Gator, Go!Zilla, GetRigth, CuteFTP e o Alexa (software da Amazon.com).
Spams  Envio de e-mail não autorizado previamente para o usuário;  Meio de publicidade extremamente barato para as empresas;  A mensagem deve ter conteúdo comercial para ser considerada como spam;  Segundo relatório divulgado pela empresa anti-spam Brightmail as mensagens não solicitadas (spams) representam 50% dos e-mails que circulam na Internet  Os servidores do Hotmail, serviço de webmail gratuito mais usado no mundo, pertencente a Microsoft, têm barrado, diariamente, 2,4 bilhões de mensagens não solicitados antes que sejam lidas pelos usuários.
Spams  Vão desde a oferta de serviços milagrosos para solução de problemas financeiros, promessas de enriquecimento rápido e até pornografia.  O conteúdo dos spams pode trazer publicidade indiscriminada, isto é, sem preocupação com as predileções dos consumidores ou publicidade dirigida, cuja mensagem foi montada a partir de perfis dos consumidores previamente montados.
Spams
Spams (Precauções p/ Dimunir) Ex. Yahoo Anti-Spam... • Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam • Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário • Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores
Spams (Modo de Prevenir) http://antispam.yahoo.com/
Mineração de dados  Uma forma mais sofisticada de coleta e análise de dados dos consumidores.  Um processo computacional conhecido como reconhecimento de padrões em banco de dados.  As empresas de telecomunicações e bancos são os principais usuários desse processo.  Os dados armazenados e analisados vão desde informações cadastrais e de movimentação financeira até contatos que o cliente faz com a empresa, por telefone ou email.
Sniffing  Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer)  Esta ferramenta é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores
Sniffing  Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo  O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos
Spoofing  Técnica sofisticada utilizada por hackers e crackers que os permite acessar sistemas controlados passando-se por pessoa autorizada a fazê-lo.  No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
Outras Ameaças e suas características Tipo Característica Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age Arquivo diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam executados. Alarme Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior falso número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente. Como o próprio nome diz, é um vírus que permitem que hackers controlem o micro infectado pela "porta de trás". Normalmente, os Backdoor backdoors vêm embutidos em arquivos recebidos por e-mail ou baixados da rede. Ao executar o arquivo, o usuário libera o vírus, que abre uma porta da máquina para que o autor do programa passe a controlar a máquina de modo completo ou restrito. Vírus que se infecta na área de inicialização dos disquetes e de discos rígidos. Essa área é onde se encontram arquivos essenciais ao Boot sistema. Os vírus de boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro. Cavalo de Tróia ou São programas aparentemente inofensivos que trazem embutidos um outro programa (o vírus) maligno. Trojan Encriptados Tipo recente que, por estarem codificados, dificultam a ação dos antivírus. Hoax Vírus boato. Mensagens que geralmente chegam por e-mail alertando o usuário sobre um vírus mirabolante, altamente destrutivo. Tipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar Macro tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair. Multipartite Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado Variação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de Polimórfico codificação. Programa Infectam somente arquivos executáveis, impedindo, muitas vezes, que o usuário ligue o micro. Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem Script de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas, como .vbs.doc, vbs.xlsou js.jpg Vírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar Stealth um arquivo sem necessariamente alterar o arquivo infectado.
Cibersegurança e o Domínio Público “À medida que o mundo se torna mais dependente de sistemas digitais e da internet, a segurança e a confiabilidade desses sistemas complexos são mais críticas do que nunca. Atender às demandas da sociedade em relação à infra-estrutura digital requer ao mesmo tempo as tecnologias corretas e as políticas públicas apropriadas.” Fonte:http://ciberdominiopublico.blogspot.com/
Blog Cibersegurança e Domínio Público http://ciberdominiopublico.blogspot.com/
Cibersegurança e o Domínio Público Aborda temas atuais:  "Aos Pais o Poder de Ajudar as Crianças a Desfrutar das Novas Mídias“  "A Memória na Era Digital e o Fim do Esquecimento“  "O Ensino da Ética e da Cidadania Digitais“  “Democracia cibernética”
Blog do Prof. Ruy de Queiroz http://www.blogger.com/profile/07711690722235875428
Blog do Prof. Ruy de Queiroz  Professor Associado, Univ. Federal de Pernambuco (UFPE)  Membro do Grupo de Teoria, CIn-UFPE  Co-Editor-in-Chief, Logic Journal of the IGPL, Oxford U. Press  Coordenador do Interest Group in Pure and Applied Logics  Membro do Corpo Editorial do The International Directory of Logicians  Associate Editor, Journal of Computer and System Sciences Contatos:  http://www.blogger.com/profile/07711690722235875428  http://br.linkedin.com/pub/ruy-de-queiroz/18/685/a45  http://twitter.com/ruydequeiroz
Computer and Network Security Hackers históricos Perfil: - Homem - Idade entre 14 e 34 anos - Viciados em computador - Sem namoradas fixas Da esquerda para a direita: Adrian Lamo, Kevin Mitnick, Kevin Poulsen
Computer and Network Security Tendências Softwares maliciosos continuam crescendo - Em 2008 aparecem mais software maliciosos que todos os anos anteriores juntos. - Em 2009 a tendência é de crescimento - Surgem mais softwares “ruins” do que “bons” Web cada vez mais como foco de ataques - Acesso remoto (casa/trabalho) facilita o ataque dos hackers
Computer and Network Security Quão grande é a questão de segurança? cERT Vulnerabilities reported
Computer and Network Security Caso Iphone (2007) iPhone Safari downloads malicious web page - Código arbitrário executado com privilégios administrativos - Permite realizar ações físicas no telefone - Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc. iPhone security measures - Versão simplificada e personalizada do Mac OS X - MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados. - Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem ser montados
Computer and Network Security Caso Iphone (2007) iPhone Safari downloads malicious web page - Código arbitrário executado com privilégios administrativos - Permite realizar ações físicas no telefone - Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc. iPhone security measures - Versão simplificada e personalizada do Mac OS X - MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados. - Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem ser montados
Computer and Network Security Porque existem vulnerabilidades de segurança? - Porque programadores escrevem códigos inseguros? Alguns fatores que contribuem? - Poucos cursos em segurança da internet - Livros de programação não dão enfase a segurança - Consumidores não se preocupam com segurança - Segurança é caro e toma tempo A vulnerability that is “too complicated for anyone to ever find” will be found !
Planos de Contingência Plano de contingência ou continuidade dos negócios (PCN) – Garantia do restabelecimento das condições normais de operação dentro de um prazo aceitável, quando da ocorrência de um incidente de segurança. Elaboração de tal plano é feito por meio de um documento que descreve passo a passo as ações a serem tomadas.
Planos de Contingência Planejamento da Continuidade dos Negócios No PCN, o incidente já ocorreu, objetiva-se minimizar o prejuízo gerado por tal incidente Conforme: ABNT NBR 15999 1-2 Gestão de Riscos Preocupação em evitar ou minimizar o risco da ocorrência de um incidente envolvendo segurança da informação Conforme: ISO 31000
Planos de Contingência Criando um PCN O PCN detalha as ações a serem tomadas no caso de uma interrupção de um serviço da informação. A elaboração e manutenção de um PCN demanda investimentos, mas um PCN deve ser encarado como o seguro de um bem, o ideal é nunca precisar utilizá-lo, mas se for necessário o retorno financeiro pode ser muito grande
Planos de Contingência
Planos de Contingência Projeto Podemos comparar a elaboração de um PCN com a condução de um projeto. - Definir equipe de trabalho e uma pessoa que será “gerente do projeto” - Apoio claro da alta direção da empresa
Planos de Contingência Coordenador Definir quem será o coordenador do projeto - O coordenador é responsável por garantia que cada um envolvido no projeto tenha feito sua parte dentro dos prazos previamente definidos. - Interlocutor entre equipe do PCN e alta direção - Conhecer o negócio da empresa e adequar o PCN a ele.
Planos de Contingência Equipe A equipe deve estar pronta para assumir o controle das operações, caso ocorra um incidente que seja considerado um desastre. - Responder ao incidente e determinar a necessidade de ativar um PCN. - Recuperar sistemas críticos em sites alternativos. - Recuperar site primário, retornar as operações ao site primário.
Planos de Contingência Análise de Impacto nos Negócios Objetiva demonstrar o impacto que um incidente pode causar para o negócio. A AIN determina o MTD (Maximum Tolerable Downtime) para cada função crítica do negócio. A partir da AIN é possível elabora um plano de recuperação realista, tanto em eficiência como em custo.
Planos de Contingência Construção de uma AIN - Definir técnicas de coleta de informação - Selecionar os funcionários a serem entrevistados - Elaborar questionários estruturados - Analisar dados e gerar estrutura de informações - Gerar relatório de recomendações
Planos de Contingência Estratégias de Recuperação São as possibilidades de contingência para cada incidente de segurança, são divididas em 4 categorias: - Processos - Ambientes - Pessoas - Tecnologias
ASP–Application Service Provider O software de aplicação reside no sistema da empresa contratada, sendo acessado pelo cliente (usuário) através de um web browser usando geralmente HTML. Considerações: - A empresa ASP é detém e opera o software application - ASP detém, opera e mantém o Server que suporta o software - ASP disponibiliza a informação para os clientes via internet - ASP realiza cobrança por uso, ou baseado no número de usuários, com taxas geralmente mensais
ASP–Application Service Provider O cliente deve ver e se preocupar somente com a interface ASP/ Cliente, porém por trás dela há uma complexa cadeia para que o serviço seja efetuado... - Implementação e customização de um ERP - Operar um data center
ASP–Application Service Provider Como Funciona um ASP?
ASP–Application Service Provider Vantagens no uso de ASP - Outsourcing “problems” - Suporte Técnico - Acesso everywhere – anyplace - Pay-as-you-go - Reduz capital de investimento
ASP–Application Service Provider Desvantagens no uso de ASP - Integração com cliente que não tem um sistema de ASP implementado pode ser crítico. - Performance, no caso de problemas com a conexão - Segurança da informação
Criptografia - Significado Palavra de origem grega :  Kryptós - "escondido"  Gráphein - "escrita"
Criptografia - Definição É o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade
Teoria dos números A teoria dos números é basicamente a teoria das propriedades dos inteiros como, por exemplo, a divisibilidade, a paridade, a relação de primos relativos etc. A seguir são apresentadas algumas dessas propriedades.
Teoria dos números Divisibilidade Teorema (Divisão) Sejam a, b pertencentes a ℤ com b > 0. Então, existe um único par de inteiros q e r tais que a = qb + r e 0 ≤ r < b O inteiro q é chamado quociente e o inteiro r é chamado resto. r = 0 se e somente se b|a. Exemplos: – Sejam a = 37 e b = 5. Então o quociente é q = 8 e o resto é r = 3, porque 37= 8 * 5 + 3 e 0 ≤ 3 < 5
Teoria dos números- Div e Mod São operações associadas ao processo de divisão. Dados a e b, essas operações dão o quociente e o resto no problema da divisão. Definição: Sejam a, b pertencente a ℤ com b > 0. Pelo Teorema da divisão existe um único par de inteiros q e r tais que a = qb + r e 0 ≤ r < b. Definimos as operações div e mod como a div b = q e a mod b = r. Graficamente: a/ b r/q Exemplos:– 11 div 3 = 3 11 mod 3 = 2
Teoria dos números- Equivalência modular e Congruência Sejam a, b, n pertencem a ℤ com n > 0. Então, a = b (mod n) a mod n = b mod n. Dizemos que a e b são congruentes módulo n se n é um divisor de a b. Além disso, ax = b (mod n) ax ny= b. ou ax =b (mod n) ax = b + ny. Exemplo: – Assim, 53 = 23 (mod 10) já que 53 mod 10 = 3 e 23 mod 10 = 3. Além disso, 53 e 23 são congruentes módulo 10 já que 10 é divisor de 5323 = 30.
Teoria dos números- Máximo divisor comum  O máximo divisor comum de dois números a, b pertencente a ℤ, denotado por mdc(a, b), é o maior inteiro que divide a e b. Exemplos: – mdc(30, 24) = 6 – mdc(30,24)= 6 Importante: – Se a e b tem um máximo divisor comum, ele é único.
Teoria dos números- Números Primos Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.  Primos e mdc Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1. Exemplos:  – 23 é primo, pois seus únicos divisores são 23 e 1  – 22 não é primo, pois é divisível por 1, 2, 11 e 22 Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
Teoria dos números- Números Primos Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.  Primos e mdc Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1. Exemplos:  – 23 é primo, pois seus únicos divisores são 23 e 1  – 22 não é primo, pois é divisível por 1, 2, 11 e 22 Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
Teoria dos números- Números Primos até 1000
Teoria dos números- Aritmética Modular A aritmética é o estudo das operações básicas: adição, subtração, multiplicação e divisão. A aritmética modular é o estudo das operações básicas sobre um contexto diferente, que é o sistema dos números inteiros módulo n. O conjunto ℤn, onde n é um inteiro positivo, é o conjunto de todos os números naturais de 0 a n1, inclusive: ℤn = {0, 1, 2, ..., n 1} As operações básicas são: – adição mod n – subtração mod n – multiplicação mod n – divisão mod n
Teoria dos números- Adição e multiplicação de modulares Sejam n um inteiro positivo e a, b Î ℤn. Definimos a b = (a + b) mod n e (adição modular) a b = (a * b) mod n (multiplicação modular) Exemplos: – Se n = 10, ou seja, em ℤ10: –5 5=0 5 5=5 –9 8=7 9 8=2
Cifras métricas tradicionais  Técnicas de substituição: Mapeiam elementos de texto claro em elementos de texto cifrado, ex: (Cifra de César, cifra monoaldabéticas, cifra Playfair, cifra de Hill).  Técnicas de transposição: Transpõe sistematicamente as posições dos elementos do texto claro.
Cifra de César  Tem esse nome porque foi criada por Julio César, um líder militar e político que viveu entre 100 e 44 a.C;  Foi o uso mais antigo que conhecemos de uma cifra de substituição;  Foi usada para troca de informações entre os soldados romanos. Método simples , mas eficiente para sua época;
Cifra de César  A Cifra de César consiste em substituir cada letra do alfabeto pela letra que fica três posições adiante no alfabeto. Exemplo: Claro: meet me after the toga party Cifrado: phhw ph diwhu wkh wrjd sduwb
Ingredientes da criptografia simétrica  Texto claro;  Algoritmo de criptografia;  Chave Secreta;  Texto cifrado;  Algoritmo de decriptografia;
Técnicas de ataque  Criptoanálise: explora as características do algoritmo para tentar deduzir um texto claro ou deduzir a chave utilizada;  Ataque por força bruta: experimenta-se cada chave possível em um trecho do texto cifrado, até obter uma tradução para o texto claro;
Algoritmos criptográficos simétricos
Cifra de bloco  É um esquema de criptografia/decriptografia em que um bloco de texto claro é tratado como um todo e usado para produzir um bloco de texto cifrado de mesmo tamanho;  Muitas cifras de bloco possuem a estrutura de Feistel
Forma geral de cifra de bloco
A estrutura de Feistel • Feistel propôs que podemos nos aproximar de um cifrador de um cifrador de substituição simples utilizando o conceito de cifrador de produto que consiste em combinar dois ou mais cifradores básicos em sequência, de forma que o resultado final ou produto é criptograficamente mais forte que qualquer um dos cifradores envolvidos; • Feistel sugeriu a utilização de cifradores que alternam substituições e permutações, estas características já haviam sido propostas por Claude Shannon para o desenvolvimento de cifradores de produto que tivessem boa resistência à criptoanálise estatística são conhecidas como confusão e difusão
A estrutura de Feistel  Confusão: É a técnica que consiste em tornar a relação entre as estatísticas do texto plano, texto cifrado e o valor da chave a mais complexa possível;  Difusão: É a técnica que consiste em dissipar a estrutura estatística do texto plano, ou seja, visa tornar as relações entre o texto plano e o texto cifrado as mais complexas possíveis;
Estrutura de Feistel
Data Encryption Standart (DES)  O Data Encryption Standart (DES) tem sido o algoritmo de criptografia mais utilizado até o momento;  Ele exibe a estrutura de Feistel;  O DES tem sido mostrado como altamente resistente aos ataques de criptoanálise;
Data Encryption Standard (DES) Origem: (1960)-Projeto de pesquisa sobre criptografia liderado por Horst Feistel e concluído em 1971 com o desenvolvimento de um algoritmo com a designação de LUCIFER; Em razão dos bons resultados do projeto LUCIFER, A IBM com a orientação técnica da NSA e consultores externos fizaram uma versão feinada de LUCIFER mais resistente a criptoanálise, e cabendo em um chip. Em 1973 a National Bureau of Standards (NBS) necessitava de um padrão de cifragens, e este projeto citado foi o melhor algoritmo proposto e foi adotado em 1977 como Data Encyption Standard
Representação geral do DES Texto Claro de 64 bits Chave 64 bits Permutação inicial Escolha 1 permutada K1 Rodada 1 Escolha 2 permutada Deslocamento circular à esquerda K2 Deslocamento Rodada 2 Escolha 2 permutada circular à esquerda K16 Deslocamento Rodada 16 Escolha 2 permutada circular à esquerda Troca de 32 bits Permutação inicial reversa Texto Cifrado de 64 bits
ADVANCED ENCRYPTION STANDARD (AES) Em 1997 o NIST pediu propostas para uma cifra de bloco a qual deveria ter  um grau de segurança superior ao DES;  uma maior eficiência;  Ser uma cifra de bloco simetricamente maior que o DES;
 Em 2001 o MIST selecionou o “Rinjndael” como o algoritmo AES, este algoritmo foi desenvolvido por dois criptógrafos belgas: Dr. Joan Daemen e Dr. Vir Rijmen
Avaliação do AES
Algoritmos criptográficos com chave pública(assimétricos)  É uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando diferentes chaves (pública e privada)  A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia
Algoritmos criptográficos com chave pública
RSA  A partir de um artigo de uma nova técnica de criptografia desenvolvida por Diffie e Hellman, a qual desafiavam os criptologistas a encontrar uma algoritmo que atendesse aos requisitos para os sistemas de chave pública. Em 1978 foi publicado , no MIT, por Ron Riviest, Adi Shamir e Len Adleman uma resposta ao desafio, sendo assim criada o algoritmo de uso geral mais aceita e implementada para a criptografia de chave pública, o Diffie e Hellman RSA. Ron Riviest, Adi Shamir e Len Adleman
Considerações sobre o RSA  O RSA é uma cifra de bloco em que o texto claro e o texto cifrado são inteiros entre 0 e n -1  O tamanho típico para n é 1 024 bits, ou 309 dígitos decimais.  A dificuldade de atacar o RSA está na dificuldade de encontraros fatores primos de um número composto.
Autenticação de mensagens É um mecanismo ou serviço usado para verificar a integridade de uma mensagem. As duas técnicas mais comuns de autenticação de mensagens são:  MAC;  Função Hash;
MAC (Message Authentication Code)  Um MAC apanha uma mensagem de comprimento e uma chave secreta como entrada e produz um código de autenticação. Um destinatário de posse da chave secreta pode gerar um código de autenticação para verificar a integridade da mensagem.
Função de hash  Uma função de hash mapeia uma mensagem de tamanho variável em um valor de hash de tamanho fixo, ou um resumo da mensagem. Para autenticação da mensagem, uma função de hash segura precisa ser combinada de alguma forma com uma chave secreta.
Assinatura digital  É um mecanismo de autenticação que permite ao criador de uma mensagem anexar um código que atue como assinatura. A assinatura é formado tomando o hash da mensagem e criptografando com a chave privada do criador, a assinatura garante a origem e a integridade da mensagem.
Soluções para gestão da segurança de seu negócio Co-Admin: É um serviço da empresa Tempest, que visa a gestão da proteção do ambiente em TI, suas principais funções são:
Soluções para gestão da segurança de seu negócio  Disponibilizar componentes de prevenção;  Detecção e resposta;  Fornecimento de indicadores de melhora da segurança;
Soluções para gestão da segurança de seu negócio SCUA Security: É um serviço da empresa SCUA, que promete uma total segurança da informação nos quesitos:
Soluções para gestão da segurança de seu negócio  Controle e restrição de alterações do sistema operacional;  Controle de acesso a arquivos e pastas;  Criptografia de informações;  Auditoria avançada nas estações de trabalho;
Soluções para gestão da Conclusão segurança de seu negócio Vulnerability Management da Qualys: Este software pertence ao módulo Risk Manager, da empresa Módulo, que promete ser ágil e eficaz na análise de vulnerabilidades em ativos tecnológicos. Seus principais objetivos são:
Soluções para gestão da Conclusão segurança de seu negócio  Identificar e tratar falhas de softwares que possam comprometer a segurança;  Utilizar mecanismos para bloquear ataques;  Implementar a melhoria constante do controle de segurança;
Conclusão  A segurança passou a ser considerada, um requisito essencial para competir numa economia globalizada e para atingir resultados sustentáveis no longo prazo.  A crescente utilização de tecnologia como viabilizador dos processos de negócio cria vantagens competitivas, expandindo, continuamente, as fronteiras da segurança.  Crescentes vulnerabilidades dos sistemas e tecnologias introduzidas no suporte aos negócios e crescentes ameaças com elevado grau de sofisticação expõe o usuário a novos riscos a cada dia.
Dúvidas?
Obrigado!!!
Bibliografia http://www.tempest.com.br/ http://www.scua.com.br/ http://www.modulo.com.br/ http://ciberdominiopublico.blogspot.com/ http://theory.lcs.mit.edu/~rivest/crypto-security.html http://www.cs.ucsd.edu/users/mihir/crypto-links.html STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2008 Simon Singh.O LIVRO DOS CÓDIGOS.Editora: Record Http://www.infoguerra.com.br https://www.megaproxy.com http://www.estadao.com.br SILVA NETO, Amaro Moraes. Privacidade na internet: um enfoque jurídico. São Paulo: Edipro, 2001, http://antispam.yahoo.com/ http://www.us-cert.gov/ http://www.washingtonpost.com/ CAVALCANTE, A. L. B. Teoria dos Números e Criptografia. Revista Virtual, 2005 CAVALCANTE, A. L. B. Matemática II. Notas de Aula. Brasília: Editora UPIS, 2004

Recomendados

Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitaisAmanda Nalesso
 
Espionagem na internet
Espionagem na internetEspionagem na internet
Espionagem na internetamarques97
 
ESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICAESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICAJoão Rufino de Sales
 
Idec_Privacidade Google Camara_11abr12
Idec_Privacidade Google Camara_11abr12Idec_Privacidade Google Camara_11abr12
Idec_Privacidade Google Camara_11abr12Guilherme Varella
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoFelipe Pereira
 
Cyberterrorismo
CyberterrorismoCyberterrorismo
CyberterrorismoMateus Ferraz
 
Ronaldo Andrade - Proteção de Dados
Ronaldo Andrade - Proteção de DadosRonaldo Andrade - Proteção de Dados
Ronaldo Andrade - Proteção de DadosBrasscom
 
Manoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosManoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosBrasscom
 

Recomendados

Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitaisAmanda Nalesso
 
Espionagem na internet
Espionagem na internetEspionagem na internet
Espionagem na internetamarques97
 
ESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICAESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICAJoão Rufino de Sales
 
Idec_Privacidade Google Camara_11abr12
Idec_Privacidade Google Camara_11abr12Idec_Privacidade Google Camara_11abr12
Idec_Privacidade Google Camara_11abr12Guilherme Varella
 
GTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoGTI/ERP 07/12 Segurança da Informação e Legislação
GTI/ERP 07/12 Segurança da Informação e LegislaçãoFelipe Pereira
 
Cyberterrorismo
CyberterrorismoCyberterrorismo
CyberterrorismoMateus Ferraz
 
Ronaldo Andrade - Proteção de Dados
Ronaldo Andrade - Proteção de DadosRonaldo Andrade - Proteção de Dados
Ronaldo Andrade - Proteção de DadosBrasscom
 
Manoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosManoel Augusto - Proteção de Dados
Manoel Augusto - Proteção de DadosBrasscom
 
APS Power Point
APS Power PointAPS Power Point
APS Power PointMarcelo Guimaraes
 
criminalidade informática
criminalidade informáticacriminalidade informática
criminalidade informáticaJoaquim Guerra
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Site Blindado S.A.
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google HackingJoão Gabriel Lima
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisJoão Gabriel Lima
 
P F Cibercrime
P F CibercrimeP F Cibercrime
P F CibercrimeHumberto Bruno Pontes Silva
 
Pirataria Informatica
Pirataria InformaticaPirataria Informatica
Pirataria InformaticaDinarte Santos
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informaçãoMariana Gonçalves Spanghero
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da InformaçãoMariana Gonçalves Spanghero
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacaoMariana Gonçalves Spanghero
 
9 classe.pptx
9 classe.pptx9 classe.pptx
9 classe.pptxSherlockBluerGregrio
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Aps informatica
Aps informaticaAps informatica
Aps informaticajoao marcos resende pacheco
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2Jorge Ávila Miranda
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2Jorge Ávila Miranda
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internetjamillerodrigues
 
Informática
Informática Informática
Informática joao marcos resende pacheco
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança DigitalVictor Neves
 
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão
 
CRIMES NA INTERNET
CRIMES NA INTERNETCRIMES NA INTERNET
CRIMES NA INTERNETNete quirino
 

Mais conteúdo relacionado

Mais procurados

criminalidade informática
criminalidade informáticacriminalidade informática
criminalidade informáticaJoaquim Guerra
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dadosZipCode
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Site Blindado S.A.
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google HackingJoão Gabriel Lima
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisJoão Gabriel Lima
 

Mais procurados (9)

APS Power Point
APS Power PointAPS Power Point
APS Power Point
 
criminalidade informática
criminalidade informáticacriminalidade informática
criminalidade informática
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dados
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informatica
 
Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305Cielo guia segurança_ecommerce_0305
Cielo guia segurança_ecommerce_0305
 
Segurança na Internet - Google Hacking
Segurança na Internet - Google HackingSegurança na Internet - Google Hacking
Segurança na Internet - Google Hacking
 
Segurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentaisSegurança na Internet - Conceitos fundamentais
Segurança na Internet - Conceitos fundamentais
 
P F Cibercrime
P F CibercrimeP F Cibercrime
P F Cibercrime
 
Pirataria Informatica
Pirataria InformaticaPirataria Informatica
Pirataria Informatica
 

Semelhante a Segurança da informação, privacidade e continuidade dos negócios

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosGleiner Pelluzzi
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internetjamillerodrigues
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança DigitalVictor Neves
 
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão
 
CRIMES NA INTERNET
CRIMES NA INTERNETCRIMES NA INTERNET
CRIMES NA INTERNETNete quirino
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfcostaamaryel
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosodilon_amt
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas OperativosPedro Marmelo
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativosRodrigovieira99
 

Semelhante a Segurança da informação, privacidade e continuidade dos negócios (20)

Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
9 classe.pptx
9 classe.pptx9 classe.pptx
9 classe.pptx
 
Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Aps informatica
Aps informaticaAps informatica
Aps informatica
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2
 
Aula 3 semana2
Aula 3 semana2Aula 3 semana2
Aula 3 semana2
 
Palestra Segurança na Internet
Palestra Segurança na InternetPalestra Segurança na Internet
Palestra Segurança na Internet
 
Informática
Informática Informática
Informática
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança Digital
 
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
ExpoGestão 2019 - Claudio Martinelli - Privacidade e segurança: a nova realid...
 
CRIMES NA INTERNET
CRIMES NA INTERNETCRIMES NA INTERNET
CRIMES NA INTERNET
 
Sistemasdeinformação II
Sistemasdeinformação IISistemasdeinformação II
Sistemasdeinformação II
 
Tecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdfTecnicas de Segurança de Dados de Smarthphones.pdf
Tecnicas de Segurança de Dados de Smarthphones.pdf
 
Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Reconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernosReconhecimento e prevenção de ciberataques modernos
Reconhecimento e prevenção de ciberataques modernos
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativos
 

Segurança da informação, privacidade e continuidade dos negócios

  • 1. Mateus Tavares da Silva Cozer WILLIAM DA SILVA Nº 12106435-6 KLEBER F. FEITOSA Nº 12106560-1 FERNANDO FORNEIRO Nº 12106026-3 SEGURANÇA DAS INFORMAÇÕES E CONTINUIDADE DOS NEGÓCIOS
  • 2. Roteiro  Necessidades de segurança  Privacidade  Planos de Contingência  ASP – Application Service Provider  Criptografia  Conclusão
  • 3. Necessidades de Segurança  Segurança da Informação  Segurança Nacional  Comércio Eletrônico  Privacidade
  • 4. Segurança da Informação A Segurança da Informação garante que os ativos da instituição sejam protegidos sob três requisitos:  Confidencialidade: é o sigilo da informação. Garantia de que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.  Integridade: garantia de que as informações irão permanecer em seu estado original, protegida de alterações.  Disponibilidade: garantia de que as informações estarão acessíveis àqueles que dela necessitam, no momento em que precisam.
  • 5. Segurança Nacional  Guerra Cibernética “Corresponde ao uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores . Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.” Fonte: CyberWar: Security, Strategy and Conflict in the Information Age, Campen, Dearth and Goodden, ©AFCEA International Press 1996
  • 6. Segurança Nacional  Ambiente Cibernético é tratado por diversos países como um novo teatro de guerra, juntamente com mar, ar, terra e espaço.  Tecnologia “hacker” é item bélico.  23 países tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite. (fonte:Infowar Conference 2001)
  • 7. Segurança Nacional  China e Rússia vêm se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na Internet.  Doutrina oriunda da Guerra Fria: conceito de estar sempre respondendo com tecnologia de ponta.
  • 8. Segurança Nacional Ex. de Atuações da China ... Bombardeio Americano à Embaixada Chinesa em Belgrado (1999).  Retaliação: hackers chineses atacaram sites do Governo dos EUA (Casa Branca e Dep. de Energia) e invadem diversos outros sistemas.
  • 9. Segurança Nacional Iniciativas Governamentais nos EUA...  (1998) Diretiva Presidencial 63 (PDD-63): determina realizar toda medida necessária para eliminar vulnerabilidades a ataques cibernéticos nas infra-estruturas críticas.  (2000) criação do Cyber National Information Center: reunindo Governo e setor privado na defesa de sistemas de computadores.  Em decorrência dos ataques de 11SET, ocorre em 2002 a criação do National Infrastructure Protection Center (NIPC) subordinado ao Dep. Homeland Security.
  • 10. Segurança Nacional http://www.us-cert.gov/
  • 11. Comércio Eletrônico Exigências da Segurança da Informação no Comércio Eletrônico  Confidencialidade  Autenticidade  Integridade:
  • 12. Comércio Eletrônico  Confidencialidade: garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. Atualmente, confidencialidade é considerada como sendo o dever de resguardar todas as informações que dizem respeito a uma pessoa, isto é, a sua privacidade. A confidencialidade é o dever que inclui a preservação das informações privadas e íntimas.
  • 13. Comércio Eletrônico  Autenticidade: a prova da identidade para a concessão da autorização.
  • 14. Comércio Eletrônico  Integridade: garantia de que os dados trafegados não sofram nenhuma alteração durante seu percurso.
  • 15. Privacidade Banco de dados são criados armazenando as mais variadas informações sobre o consumidor sem qualquer controle prévio e o que é mais grave, as informações ali contidas são compartilhadas e transmitidas para terceiros que a princípio não guardam qualquer relação...
  • 16. Privacidade Por que fazem isso?  A Internet, nos últimos anos, revelou-se como um poderoso veículo para a divulgação de produtos e serviços, em vista do grande número de usuários e do baixo custo de veiculação de publicidade. Daí a ânsia de se saber os hábitos e preferências dos usuários, para melhor dirigir a oferta dos bens de consumo.
  • 17. Privacidade A coleta de informações na Internet acontece na maioria das vezes de maneira indiscriminada, sendo possível saber, por exemplo, através do monitoramento da navegação no site de uma livraria, as preferências ideológicas, crenças religiosas, opções sexuais do consumidor, ampliando-se e agravando-se as formas de interferência na vida privada do internauta.
  • 18. Formas de invasão da privacidade  Cookies  Web bugs  Spywares  Spam's  Mineração de dados  Sniffing  Spoofing
  • 19. Cookies  São pequenos arquivos de texto enviados e gravados no computador do internauta;  Podem ser recuperados pelo site que o enviou durante a navegação  A maneira como a informação é armazenada pode revelar-se prejudicial para o utilizador  De um modo geral o envio desses arquivos de registro para o computador do usuário faz-se sem o seu consentimento,
  • 20. Web bugs  Um web bug é uma imagem minúscula e invisível, colocada nas páginas dos sites comerciais que possui a capacidade de monitorar a navegação do internauta.  Essas imagens tornam-se invisíveis porque, além de muito pequenas, a cor utilizada no web bug é a mesma da página onde está localizado
  • 21. Web bugs  O web bug pode requisitar inúmeros dados de navegação, tais como endereço IP do computador, o tempo de visita na página, tipo de navegador, dia e hora em que o site foi visitado, quais as páginas que o internauta está conectado, além das informações que se encontram nos cookies presentes no computador do usuário.  O maior problema do web bug é a sua execução sem o conhecimento e autorização do internauta.
  • 22. Spywares  São programas que se instalam nos computadores dos internautas de maneira sub-reptícia  Acompanham na maioria das vezes outros programas distribuídos gratuitamente pela Internet  Sua função é, uma vez instalado sem conhecimento do usuário, monitorar o seu comportamento e recolher dados pessoais remetendo-os aos fabricantes dos softwares "gratuitos" ou seu patrocinadores
  • 23. Spywares  O lucro das companhias de software gratuito advém da venda dos dados pessoais e da publicidade que isto proporciona  As informações são também vendidas para companhias que enviam spams  O spyware pode examinar qualquer informação do PC, desde a lista de sites visitados até os dados pessoais relativos ao nome, endereço, e-mail, número de cartão de crédito e de telefone.
  • 24. Spywares  Os freewares mais conhecidos que possuem embutidos esses códigos espiões são o Kazaa, Gator, Go!Zilla, GetRigth, CuteFTP e o Alexa (software da Amazon.com).
  • 25. Spams  Envio de e-mail não autorizado previamente para o usuário;  Meio de publicidade extremamente barato para as empresas;  A mensagem deve ter conteúdo comercial para ser considerada como spam;  Segundo relatório divulgado pela empresa anti-spam Brightmail as mensagens não solicitadas (spams) representam 50% dos e-mails que circulam na Internet  Os servidores do Hotmail, serviço de webmail gratuito mais usado no mundo, pertencente a Microsoft, têm barrado, diariamente, 2,4 bilhões de mensagens não solicitados antes que sejam lidas pelos usuários.
  • 26. Spams  Vão desde a oferta de serviços milagrosos para solução de problemas financeiros, promessas de enriquecimento rápido e até pornografia.  O conteúdo dos spams pode trazer publicidade indiscriminada, isto é, sem preocupação com as predileções dos consumidores ou publicidade dirigida, cuja mensagem foi montada a partir de perfis dos consumidores previamente montados.
  • 27. Spams
  • 28. Spams (Precauções p/ Dimunir) Ex. Yahoo Anti-Spam... • Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam • Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário • Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores
  • 29. Spams (Modo de Prevenir) http://antispam.yahoo.com/
  • 30. Mineração de dados  Uma forma mais sofisticada de coleta e análise de dados dos consumidores.  Um processo computacional conhecido como reconhecimento de padrões em banco de dados.  As empresas de telecomunicações e bancos são os principais usuários desse processo.  Os dados armazenados e analisados vão desde informações cadastrais e de movimentação financeira até contatos que o cliente faz com a empresa, por telefone ou email.
  • 31. Sniffing  Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer (também conhecido como Packet Sniffer)  Esta ferramenta é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores
  • 32. Sniffing  Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo  O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos
  • 33. Spoofing  Técnica sofisticada utilizada por hackers e crackers que os permite acessar sistemas controlados passando-se por pessoa autorizada a fazê-lo.  No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
  • 34. Outras Ameaças e suas características Tipo Característica Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age Arquivo diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam executados. Alarme Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior falso número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente. Como o próprio nome diz, é um vírus que permitem que hackers controlem o micro infectado pela "porta de trás". Normalmente, os Backdoor backdoors vêm embutidos em arquivos recebidos por e-mail ou baixados da rede. Ao executar o arquivo, o usuário libera o vírus, que abre uma porta da máquina para que o autor do programa passe a controlar a máquina de modo completo ou restrito. Vírus que se infecta na área de inicialização dos disquetes e de discos rígidos. Essa área é onde se encontram arquivos essenciais ao Boot sistema. Os vírus de boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro. Cavalo de Tróia ou São programas aparentemente inofensivos que trazem embutidos um outro programa (o vírus) maligno. Trojan Encriptados Tipo recente que, por estarem codificados, dificultam a ação dos antivírus. Hoax Vírus boato. Mensagens que geralmente chegam por e-mail alertando o usuário sobre um vírus mirabolante, altamente destrutivo. Tipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar Macro tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair. Multipartite Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado Variação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de Polimórfico codificação. Programa Infectam somente arquivos executáveis, impedindo, muitas vezes, que o usuário ligue o micro. Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem Script de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas, como .vbs.doc, vbs.xlsou js.jpg Vírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar Stealth um arquivo sem necessariamente alterar o arquivo infectado.
  • 35. Cibersegurança e o Domínio Público “À medida que o mundo se torna mais dependente de sistemas digitais e da internet, a segurança e a confiabilidade desses sistemas complexos são mais críticas do que nunca. Atender às demandas da sociedade em relação à infra-estrutura digital requer ao mesmo tempo as tecnologias corretas e as políticas públicas apropriadas.” Fonte:http://ciberdominiopublico.blogspot.com/
  • 36. Blog Cibersegurança e Domínio Público http://ciberdominiopublico.blogspot.com/
  • 37. Cibersegurança e o Domínio Público Aborda temas atuais:  "Aos Pais o Poder de Ajudar as Crianças a Desfrutar das Novas Mídias“  "A Memória na Era Digital e o Fim do Esquecimento“  "O Ensino da Ética e da Cidadania Digitais“  “Democracia cibernética”
  • 38. Blog do Prof. Ruy de Queiroz http://www.blogger.com/profile/07711690722235875428
  • 39. Blog do Prof. Ruy de Queiroz  Professor Associado, Univ. Federal de Pernambuco (UFPE)  Membro do Grupo de Teoria, CIn-UFPE  Co-Editor-in-Chief, Logic Journal of the IGPL, Oxford U. Press  Coordenador do Interest Group in Pure and Applied Logics  Membro do Corpo Editorial do The International Directory of Logicians  Associate Editor, Journal of Computer and System Sciences Contatos:  http://www.blogger.com/profile/07711690722235875428  http://br.linkedin.com/pub/ruy-de-queiroz/18/685/a45  http://twitter.com/ruydequeiroz
  • 40. Computer and Network Security Hackers históricos Perfil: - Homem - Idade entre 14 e 34 anos - Viciados em computador - Sem namoradas fixas Da esquerda para a direita: Adrian Lamo, Kevin Mitnick, Kevin Poulsen
  • 41. Computer and Network Security Tendências Softwares maliciosos continuam crescendo - Em 2008 aparecem mais software maliciosos que todos os anos anteriores juntos. - Em 2009 a tendência é de crescimento - Surgem mais softwares “ruins” do que “bons” Web cada vez mais como foco de ataques - Acesso remoto (casa/trabalho) facilita o ataque dos hackers
  • 42. Computer and Network Security Quão grande é a questão de segurança? cERT Vulnerabilities reported
  • 43. Computer and Network Security Caso Iphone (2007) iPhone Safari downloads malicious web page - Código arbitrário executado com privilégios administrativos - Permite realizar ações físicas no telefone - Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc. iPhone security measures - Versão simplificada e personalizada do Mac OS X - MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados. - Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem ser montados
  • 44. Computer and Network Security Caso Iphone (2007) iPhone Safari downloads malicious web page - Código arbitrário executado com privilégios administrativos - Permite realizar ações físicas no telefone - Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc. iPhone security measures - Versão simplificada e personalizada do Mac OS X - MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados. - Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podem ser montados
  • 45. Computer and Network Security Porque existem vulnerabilidades de segurança? - Porque programadores escrevem códigos inseguros? Alguns fatores que contribuem? - Poucos cursos em segurança da internet - Livros de programação não dão enfase a segurança - Consumidores não se preocupam com segurança - Segurança é caro e toma tempo A vulnerability that is “too complicated for anyone to ever find” will be found !
  • 46. Planos de Contingência Plano de contingência ou continuidade dos negócios (PCN) – Garantia do restabelecimento das condições normais de operação dentro de um prazo aceitável, quando da ocorrência de um incidente de segurança. Elaboração de tal plano é feito por meio de um documento que descreve passo a passo as ações a serem tomadas.
  • 47. Planos de Contingência Planejamento da Continuidade dos Negócios No PCN, o incidente já ocorreu, objetiva-se minimizar o prejuízo gerado por tal incidente Conforme: ABNT NBR 15999 1-2 Gestão de Riscos Preocupação em evitar ou minimizar o risco da ocorrência de um incidente envolvendo segurança da informação Conforme: ISO 31000
  • 48. Planos de Contingência Criando um PCN O PCN detalha as ações a serem tomadas no caso de uma interrupção de um serviço da informação. A elaboração e manutenção de um PCN demanda investimentos, mas um PCN deve ser encarado como o seguro de um bem, o ideal é nunca precisar utilizá-lo, mas se for necessário o retorno financeiro pode ser muito grande
  • 50. Planos de Contingência Projeto Podemos comparar a elaboração de um PCN com a condução de um projeto. - Definir equipe de trabalho e uma pessoa que será “gerente do projeto” - Apoio claro da alta direção da empresa
  • 51. Planos de Contingência Coordenador Definir quem será o coordenador do projeto - O coordenador é responsável por garantia que cada um envolvido no projeto tenha feito sua parte dentro dos prazos previamente definidos. - Interlocutor entre equipe do PCN e alta direção - Conhecer o negócio da empresa e adequar o PCN a ele.
  • 52. Planos de Contingência Equipe A equipe deve estar pronta para assumir o controle das operações, caso ocorra um incidente que seja considerado um desastre. - Responder ao incidente e determinar a necessidade de ativar um PCN. - Recuperar sistemas críticos em sites alternativos. - Recuperar site primário, retornar as operações ao site primário.
  • 53. Planos de Contingência Análise de Impacto nos Negócios Objetiva demonstrar o impacto que um incidente pode causar para o negócio. A AIN determina o MTD (Maximum Tolerable Downtime) para cada função crítica do negócio. A partir da AIN é possível elabora um plano de recuperação realista, tanto em eficiência como em custo.
  • 54. Planos de Contingência Construção de uma AIN - Definir técnicas de coleta de informação - Selecionar os funcionários a serem entrevistados - Elaborar questionários estruturados - Analisar dados e gerar estrutura de informações - Gerar relatório de recomendações
  • 55. Planos de Contingência Estratégias de Recuperação São as possibilidades de contingência para cada incidente de segurança, são divididas em 4 categorias: - Processos - Ambientes - Pessoas - Tecnologias
  • 56. ASP–Application Service Provider O software de aplicação reside no sistema da empresa contratada, sendo acessado pelo cliente (usuário) através de um web browser usando geralmente HTML. Considerações: - A empresa ASP é detém e opera o software application - ASP detém, opera e mantém o Server que suporta o software - ASP disponibiliza a informação para os clientes via internet - ASP realiza cobrança por uso, ou baseado no número de usuários, com taxas geralmente mensais
  • 57. ASP–Application Service Provider O cliente deve ver e se preocupar somente com a interface ASP/ Cliente, porém por trás dela há uma complexa cadeia para que o serviço seja efetuado... - Implementação e customização de um ERP - Operar um data center
  • 58. ASP–Application Service Provider Como Funciona um ASP?
  • 59. ASP–Application Service Provider Vantagens no uso de ASP - Outsourcing “problems” - Suporte Técnico - Acesso everywhere – anyplace - Pay-as-you-go - Reduz capital de investimento
  • 60. ASP–Application Service Provider Desvantagens no uso de ASP - Integração com cliente que não tem um sistema de ASP implementado pode ser crítico. - Performance, no caso de problemas com a conexão - Segurança da informação
  • 61. Criptografia - Significado Palavra de origem grega :  Kryptós - "escondido"  Gráphein - "escrita"
  • 62. Criptografia - Definição É o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade
  • 63. Teoria dos números A teoria dos números é basicamente a teoria das propriedades dos inteiros como, por exemplo, a divisibilidade, a paridade, a relação de primos relativos etc. A seguir são apresentadas algumas dessas propriedades.
  • 64. Teoria dos números Divisibilidade Teorema (Divisão) Sejam a, b pertencentes a ℤ com b > 0. Então, existe um único par de inteiros q e r tais que a = qb + r e 0 ≤ r < b O inteiro q é chamado quociente e o inteiro r é chamado resto. r = 0 se e somente se b|a. Exemplos: – Sejam a = 37 e b = 5. Então o quociente é q = 8 e o resto é r = 3, porque 37= 8 * 5 + 3 e 0 ≤ 3 < 5
  • 65. Teoria dos números- Div e Mod São operações associadas ao processo de divisão. Dados a e b, essas operações dão o quociente e o resto no problema da divisão. Definição: Sejam a, b pertencente a ℤ com b > 0. Pelo Teorema da divisão existe um único par de inteiros q e r tais que a = qb + r e 0 ≤ r < b. Definimos as operações div e mod como a div b = q e a mod b = r. Graficamente: a/ b r/q Exemplos:– 11 div 3 = 3 11 mod 3 = 2
  • 66. Teoria dos números- Equivalência modular e Congruência Sejam a, b, n pertencem a ℤ com n > 0. Então, a = b (mod n) a mod n = b mod n. Dizemos que a e b são congruentes módulo n se n é um divisor de a b. Além disso, ax = b (mod n) ax ny= b. ou ax =b (mod n) ax = b + ny. Exemplo: – Assim, 53 = 23 (mod 10) já que 53 mod 10 = 3 e 23 mod 10 = 3. Além disso, 53 e 23 são congruentes módulo 10 já que 10 é divisor de 5323 = 30.
  • 67. Teoria dos números- Máximo divisor comum  O máximo divisor comum de dois números a, b pertencente a ℤ, denotado por mdc(a, b), é o maior inteiro que divide a e b. Exemplos: – mdc(30, 24) = 6 – mdc(30,24)= 6 Importante: – Se a e b tem um máximo divisor comum, ele é único.
  • 68. Teoria dos números- Números Primos Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.  Primos e mdc Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1. Exemplos:  – 23 é primo, pois seus únicos divisores são 23 e 1  – 22 não é primo, pois é divisível por 1, 2, 11 e 22 Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
  • 69. Teoria dos números- Números Primos Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.  Primos e mdc Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1. Exemplos:  – 23 é primo, pois seus únicos divisores são 23 e 1  – 22 não é primo, pois é divisível por 1, 2, 11 e 22 Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
  • 70. Teoria dos números- Números Primos até 1000
  • 71. Teoria dos números- Aritmética Modular A aritmética é o estudo das operações básicas: adição, subtração, multiplicação e divisão. A aritmética modular é o estudo das operações básicas sobre um contexto diferente, que é o sistema dos números inteiros módulo n. O conjunto ℤn, onde n é um inteiro positivo, é o conjunto de todos os números naturais de 0 a n1, inclusive: ℤn = {0, 1, 2, ..., n 1} As operações básicas são: – adição mod n – subtração mod n – multiplicação mod n – divisão mod n
  • 72. Teoria dos números- Adição e multiplicação de modulares Sejam n um inteiro positivo e a, b Î ℤn. Definimos a b = (a + b) mod n e (adição modular) a b = (a * b) mod n (multiplicação modular) Exemplos: – Se n = 10, ou seja, em ℤ10: –5 5=0 5 5=5 –9 8=7 9 8=2
  • 73. Cifras métricas tradicionais  Técnicas de substituição: Mapeiam elementos de texto claro em elementos de texto cifrado, ex: (Cifra de César, cifra monoaldabéticas, cifra Playfair, cifra de Hill).  Técnicas de transposição: Transpõe sistematicamente as posições dos elementos do texto claro.
  • 74. Cifra de César  Tem esse nome porque foi criada por Julio César, um líder militar e político que viveu entre 100 e 44 a.C;  Foi o uso mais antigo que conhecemos de uma cifra de substituição;  Foi usada para troca de informações entre os soldados romanos. Método simples , mas eficiente para sua época;
  • 75. Cifra de César  A Cifra de César consiste em substituir cada letra do alfabeto pela letra que fica três posições adiante no alfabeto. Exemplo: Claro: meet me after the toga party Cifrado: phhw ph diwhu wkh wrjd sduwb
  • 76. Ingredientes da criptografia simétrica  Texto claro;  Algoritmo de criptografia;  Chave Secreta;  Texto cifrado;  Algoritmo de decriptografia;
  • 77. Técnicas de ataque  Criptoanálise: explora as características do algoritmo para tentar deduzir um texto claro ou deduzir a chave utilizada;  Ataque por força bruta: experimenta-se cada chave possível em um trecho do texto cifrado, até obter uma tradução para o texto claro;
  • 79. Cifra de bloco  É um esquema de criptografia/decriptografia em que um bloco de texto claro é tratado como um todo e usado para produzir um bloco de texto cifrado de mesmo tamanho;  Muitas cifras de bloco possuem a estrutura de Feistel
  • 80. Forma geral de cifra de bloco
  • 81. A estrutura de Feistel • Feistel propôs que podemos nos aproximar de um cifrador de um cifrador de substituição simples utilizando o conceito de cifrador de produto que consiste em combinar dois ou mais cifradores básicos em sequência, de forma que o resultado final ou produto é criptograficamente mais forte que qualquer um dos cifradores envolvidos; • Feistel sugeriu a utilização de cifradores que alternam substituições e permutações, estas características já haviam sido propostas por Claude Shannon para o desenvolvimento de cifradores de produto que tivessem boa resistência à criptoanálise estatística são conhecidas como confusão e difusão
  • 82. A estrutura de Feistel  Confusão: É a técnica que consiste em tornar a relação entre as estatísticas do texto plano, texto cifrado e o valor da chave a mais complexa possível;  Difusão: É a técnica que consiste em dissipar a estrutura estatística do texto plano, ou seja, visa tornar as relações entre o texto plano e o texto cifrado as mais complexas possíveis;
  • 84. Data Encryption Standart (DES)  O Data Encryption Standart (DES) tem sido o algoritmo de criptografia mais utilizado até o momento;  Ele exibe a estrutura de Feistel;  O DES tem sido mostrado como altamente resistente aos ataques de criptoanálise;
  • 85. Data Encryption Standard (DES) Origem: (1960)-Projeto de pesquisa sobre criptografia liderado por Horst Feistel e concluído em 1971 com o desenvolvimento de um algoritmo com a designação de LUCIFER; Em razão dos bons resultados do projeto LUCIFER, A IBM com a orientação técnica da NSA e consultores externos fizaram uma versão feinada de LUCIFER mais resistente a criptoanálise, e cabendo em um chip. Em 1973 a National Bureau of Standards (NBS) necessitava de um padrão de cifragens, e este projeto citado foi o melhor algoritmo proposto e foi adotado em 1977 como Data Encyption Standard
  • 86. Representação geral do DES Texto Claro de 64 bits Chave 64 bits Permutação inicial Escolha 1 permutada K1 Rodada 1 Escolha 2 permutada Deslocamento circular à esquerda K2 Deslocamento Rodada 2 Escolha 2 permutada circular à esquerda K16 Deslocamento Rodada 16 Escolha 2 permutada circular à esquerda Troca de 32 bits Permutação inicial reversa Texto Cifrado de 64 bits
  • 87. ADVANCED ENCRYPTION STANDARD (AES) Em 1997 o NIST pediu propostas para uma cifra de bloco a qual deveria ter  um grau de segurança superior ao DES;  uma maior eficiência;  Ser uma cifra de bloco simetricamente maior que o DES;
  • 88.  Em 2001 o MIST selecionou o “Rinjndael” como o algoritmo AES, este algoritmo foi desenvolvido por dois criptógrafos belgas: Dr. Joan Daemen e Dr. Vir Rijmen
  • 90. Algoritmos criptográficos com chave pública(assimétricos)  É uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando diferentes chaves (pública e privada)  A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia
  • 92. RSA  A partir de um artigo de uma nova técnica de criptografia desenvolvida por Diffie e Hellman, a qual desafiavam os criptologistas a encontrar uma algoritmo que atendesse aos requisitos para os sistemas de chave pública. Em 1978 foi publicado , no MIT, por Ron Riviest, Adi Shamir e Len Adleman uma resposta ao desafio, sendo assim criada o algoritmo de uso geral mais aceita e implementada para a criptografia de chave pública, o Diffie e Hellman RSA. Ron Riviest, Adi Shamir e Len Adleman
  • 93. Considerações sobre o RSA  O RSA é uma cifra de bloco em que o texto claro e o texto cifrado são inteiros entre 0 e n -1  O tamanho típico para n é 1 024 bits, ou 309 dígitos decimais.  A dificuldade de atacar o RSA está na dificuldade de encontraros fatores primos de um número composto.
  • 94. Autenticação de mensagens É um mecanismo ou serviço usado para verificar a integridade de uma mensagem. As duas técnicas mais comuns de autenticação de mensagens são:  MAC;  Função Hash;
  • 95. MAC (Message Authentication Code)  Um MAC apanha uma mensagem de comprimento e uma chave secreta como entrada e produz um código de autenticação. Um destinatário de posse da chave secreta pode gerar um código de autenticação para verificar a integridade da mensagem.
  • 96. Função de hash  Uma função de hash mapeia uma mensagem de tamanho variável em um valor de hash de tamanho fixo, ou um resumo da mensagem. Para autenticação da mensagem, uma função de hash segura precisa ser combinada de alguma forma com uma chave secreta.
  • 97. Assinatura digital  É um mecanismo de autenticação que permite ao criador de uma mensagem anexar um código que atue como assinatura. A assinatura é formado tomando o hash da mensagem e criptografando com a chave privada do criador, a assinatura garante a origem e a integridade da mensagem.
  • 98. Soluções para gestão da segurança de seu negócio Co-Admin: É um serviço da empresa Tempest, que visa a gestão da proteção do ambiente em TI, suas principais funções são:
  • 99. Soluções para gestão da segurança de seu negócio  Disponibilizar componentes de prevenção;  Detecção e resposta;  Fornecimento de indicadores de melhora da segurança;
  • 100. Soluções para gestão da segurança de seu negócio SCUA Security: É um serviço da empresa SCUA, que promete uma total segurança da informação nos quesitos:
  • 101. Soluções para gestão da segurança de seu negócio  Controle e restrição de alterações do sistema operacional;  Controle de acesso a arquivos e pastas;  Criptografia de informações;  Auditoria avançada nas estações de trabalho;
  • 102. Soluções para gestão da Conclusão segurança de seu negócio Vulnerability Management da Qualys: Este software pertence ao módulo Risk Manager, da empresa Módulo, que promete ser ágil e eficaz na análise de vulnerabilidades em ativos tecnológicos. Seus principais objetivos são:
  • 103. Soluções para gestão da Conclusão segurança de seu negócio  Identificar e tratar falhas de softwares que possam comprometer a segurança;  Utilizar mecanismos para bloquear ataques;  Implementar a melhoria constante do controle de segurança;
  • 104. Conclusão  A segurança passou a ser considerada, um requisito essencial para competir numa economia globalizada e para atingir resultados sustentáveis no longo prazo.  A crescente utilização de tecnologia como viabilizador dos processos de negócio cria vantagens competitivas, expandindo, continuamente, as fronteiras da segurança.  Crescentes vulnerabilidades dos sistemas e tecnologias introduzidas no suporte aos negócios e crescentes ameaças com elevado grau de sofisticação expõe o usuário a novos riscos a cada dia.
  • 107. Bibliografia http://www.tempest.com.br/ http://www.scua.com.br/ http://www.modulo.com.br/ http://ciberdominiopublico.blogspot.com/ http://theory.lcs.mit.edu/~rivest/crypto-security.html http://www.cs.ucsd.edu/users/mihir/crypto-links.html STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2008 Simon Singh.O LIVRO DOS CÓDIGOS.Editora: Record Http://www.infoguerra.com.br https://www.megaproxy.com http://www.estadao.com.br SILVA NETO, Amaro Moraes. Privacidade na internet: um enfoque jurídico. São Paulo: Edipro, 2001, http://antispam.yahoo.com/ http://www.us-cert.gov/ http://www.washingtonpost.com/ CAVALCANTE, A. L. B. Teoria dos Números e Criptografia. Revista Virtual, 2005 CAVALCANTE, A. L. B. Matemática II. Notas de Aula. Brasília: Editora UPIS, 2004