SlideShare uma empresa Scribd logo
SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DOS NEGÓCIOS Mariana Spanghero Felipe Marques Marcelo Cervantes
“A arte da guerra nos ensina a contar não com a probabilidade de o inimigo não chegar, mas com a nossa própria prontidão para recebê-lo; não com a chance de ser atacado, mas com o fato de tornar nossa posição inatacável”.  Sun Tzu
ASSUNTOS DESSE TEMA... ,[object Object]
Avaliação de riscos;
Planos de contingência;
Gerenciamento da segurança;
Privacidade ;
Criptografia;
ASP – Application ServiceProvider;
AJAX;,[object Object]
E TAMBÉM...
INCIDENTES REPORTADOS – ÚLTIMOS 10 ANOS Fonte: ComputerEmergencyResponseTeam (CERT)
TIPOS DE INCIDENTES EM 2009 Fonte: ComputerEmergencyResponseTeam (CERT)
O CONCEITO DE ATAQUE Tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.
CONDIÇÕES FAVORÁVEIS PARA UM ATAQUE AMEAÇA:  Potencial para a violação da segurança. Possível perigo que pode explorar uma “vulnerabilidade”. VULNERABILIDADE:  Algo que se encontra susceptível ou fragilizado numa determinada circunstância. ATAQUE
TENTATIVA DE ATAQUE - EXEMPLO
TIPOS DE INFECÇÕES Malware: é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. Ex: vírus de computador, worms, trojanhorses(cavalos de tróia) e spywares. Grayware: categoria de programas que são instalados no computador de um usuário para dar seguimento ou reportar certa informação a um terceiro. Estas aplicações são usualmente instaladas e “correm” sem a permissão do usuário. "Adware". Usualmente absorto nos chamados programas freeware ou gratuitos. O "Adware" é usado para apresentar os incômodos pop-ups ou janelas que se abrem quando se está navegando na internet ou usando uma aplicação. C "Dialers". Este tipo de Grayware controla o módem do computador. Na maioria das vezes, sem o consentimento do usuário, provocam que o computador chame a um site pornográfico ou outro tipo destes, sempre com o propósito de gerar ingressos para o website.  "Jogos". Estes programas são jogos que se instalam e produzem incômodo visto que “correm” no computador sem que o usuário o solicite.  "Spyware". São usualmente incluídos com freeware. Estes programas fazem um seguimento e analisam a atividade do usuário, como por exemplo, os hábitos de navegação na internet.  "Keylogger". É talvez uma das aplicações mais perigosas. Capturam tudo o que o usuário “tecla” em seu computador. Podem capturar nomes de usuários e senhas, cartões de crédito, e-mails, chat e muito mais.  "Toolbars". São instaladas para modificar o browser ou navegador. Já não aconteceu de aparecer uma barra de busca em seu navegador sem você saber ou fazer nada?
PHISHING DEFINIÇÃO: Forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. E-mail Um estelionatário envia e-mails falsos forjando a identidade de entidades populares como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, etc. Eles tentam persuadir os receptores a fornecer dados pessoais como: nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas. O furto de informações bancárias ocorrem através de mensagens recebidas que contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de contas e senhas bancárias. Orkut Roubo de informações bancárias através de mensagens de phishing deixadas no "Livro de recados“ dos participantes. A identidade contida nas mensagens é de uma pessoa conhecida da vítima, o que aumenta a probabilidade de sucesso do golpe. Essa identidade é obtida, normalmente, pelo roubo (geralmente via phishing) do login e da senha do Orkut da pessoa que está "enviando" o recado. A mensagem contém uma ligação que aponta diretamente para um cavalo de tróia de captura de senhas bancárias (e as vezes senhas do próprio Orkut).
CLASSIFICAÇÃO DOS ATAQUES Ataques PASSIVOS.  _ Incluem leitura não autorizada de mensagem de arquivo e análise de tráfego. Ataques ATIVOS. _ Leitura não autorizada com modificação de mensagens, arquivos ou negação de serviço.
PREVENÇÃO DE ATAQUES ,[object Object],Qualquer processo projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança. ,[object Object],Incluem autenticação, controle de acesso, confidencialidade de dados, integridade de dados, irretratabilidade e disponibilidade.
MECANISMOS DE SEGURANÇA - EXEMPLO
AVALIAÇÃO DOS RISCOS http://eval.symantec.com/mktginfo/enterprise/other_resources/ent-it_risk_management_report_02-2007.en-us.pdf
PLANOS DE CONTINGÊNCIA O QUE É? 	Uma estrutura para identificar as vulnerabilidades operacionais de uma empresa e estruturar planos para enfrentar com eficácia as situações adversas. PARA QUE SERVE? ,[object Object]
Em situações de emergência: reduz os danos a pessoas, ao patrimônio e ao meio ambiente.,[object Object]
Finanças
Tecnologia da Informação.,[object Object]
GERENCIAMENTO DA SEGURANÇA ,[object Object],	A Segurança da Informação é constituída, basicamente, por um conjunto de controles, incluindo política, processos, estruturas organizacionais e normas e procedimentos de segurança. Objetiva a proteção das informações dos clientes e da empresa, nos seus aspectos de confidencialidade, integridade e disponibilidade.        
GERENCIAMENTO DA SEGURANÇA
ANTI SPAM / ANTI SPYWARE / ANTI VÍRUS Anti Spam Anti Spyware Anti Vírus Serviços de e-mails contém proteções contra SPAMS que verificam o conteúdo do E-mail para bloquear o recebimento de mensagens de servidores suspeitos e com conteúdo que possa conter ameaças como vírus e phishing, assim como propagandas inconvenientes Antispywares (anti = contra, spy = espião, ware = mercadoria, programa ) são programas utilizados para combater spyware, adware, keylogers entre outros programas espiões. Entre esses programas estão os: firewalls, antivírus entre outros. Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus de computador
FIREWALL Definição: dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de “appliance"). Lembrando... As LANs são utilizadas para conectar estações, servidores, periféricos e outros dispositivos que possuam capacidade de processamento em uma casa, escritório, escola e edifícios próximos. WAN = Rede de área alargada ou Rede de longa distância, (Rede geograficamente distribuída), é uma rede de computadores que abrange uma grande área geográfica, com freqüência um país ou continente.
VPN O que é VPN? É uma rede privada construída sobre a infra-estrutura de uma rede pública, normalmente a Internet. Ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar redes remotas, utiliza-se a infra-estrutura da Internet. Vantagens: Os links dedicados são caros, e do outro lado está a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias são grandes. Desvantagens: Privacidade, pois a Internet é uma rede pública, onde os dados em trânsito podem ser lidos por qualquer equipamento. Para solucionar esta questão incorporamos a criptografia na comunicação entre hosts da rede privada de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os túneis virtuais habilitam o tráfego de dados criptografados pela Internet e esses dispositivos, são capazes de entender os dados criptografados formando uma rede virtual segura sobre a rede Internet. Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a privacidade, integridade, autenticidade dos dados. Funcionamento 1ª Forma: Um simples host em trânsito, conecta em um provedor Internet e através dessa conexão, estabelece um túnel com a rede remota.
VPN Funcionamento 2ª Forma: Duas redes se interligam através de hosts com link dedicado ou discado via internet, formando assim um túnel entre as duas redes. Os protocolos utilizados no túnel virtual, são, (IPSec) Internet ProtocolSecurity, (L2TP) Layer 2 TunnelingProtocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-PointTunnelingProtocol. O protocolo escolhido, será o responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado. Quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPSec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao Roteador, um cabeçalho AH, que é o cabeçalho de autenticação e o cabeçalho ESP, que é o cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote. Quando esses dados encapsulados chegarem à outra extremidade, é feito o desencapsulamento do IPSece os dados são encaminhados ao referido destino da rede local.
IPSec (Segurança de IP) Definição: É um protocolo padrão de camada 3 que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funções de gerenciamento de chaves também fazem parte das funções do IPSec. Tal como os protocolos de nível 2, o IPSec  trabalha como uma solução para interligação de redes e conexões via linha discada. Ele foi projetado para suportar múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível de segurança desejado. Funcionamento Os requisitos de segurança podem ser divididos em 2 grupos (independentes entre si) podendo ser utilizado de forma conjunta ou separada: ,[object Object]
 Confidencialidade. Para implementar estas características, o IPSecé composto de 3 mecanismos adicionais: ISAKMP - Internet Security Association and Key Management Protocol Protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (onde contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP - autenticação de cabeçalho e encapsulamento, serviços das camadas de transporte, e aplicação ou auto-proteção durante a negociação do tráfego). Define pacotes para geração de chaves  e autenticação de dados.  AH - Autentication Header A segurança é garantida através da inclusão de informação para autenticação no pacote a qual é obtida através de algoritmo aplicado sobre o conteúdo dos campos  do datagrama IP, excluindo-se aqueles que sofrem mudanças durante o transporte. Estes campos abrangem não só o cabeçalho IP como todos os outros cabeçalhos e dados do usuário.  ESP - EncapsulationSecurityPayload Propriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo transportado. Desta forma, os usuários não autorizados, mesmo tendo capturado o pacote, não poderão ter acesso às informações nele contidas. O mecanismo mais usado para prover esta propriedade é chamado de criptografia. O ESP também provê a autenticação da origem dos dados, integridade da conexão  e serviço anti-reply.
Segurança de E-mail - PGP Definição: É um sistema de segurança avançado para correio eletrônico O que é? Para cada pessoa que usa PGP é criada uma "assinatura" única e exclusiva. São criadas duas chaves: uma pública e uma privada. Então você tem a opção de "assinar" com o PGP todas suas mensagens enviadas com sua chave pública.  A chave pública irá certificar o receptor que você é você mesmo, e não outra pessoa utilizando um SMTP fantasma (servidor de envio). A chave privada é a exigência para você criptografar sua mensagem, pois a senha é única e exclusivamente sua. PGP só tem cabimento se o receptor também usar PGP. Com as duas pessoas usando PGP, elas podem trocar e-mails criptografados com algoritmos seguros utilizados internacionalmente, sem possibilidade que intrusos. Nem mesmo a polícia tem acesso. A não ser que você ceda sua senha da chave privada. Funcionamento O PGP exige que você digite uma senha, previamente criada quando instala o programa e cria sua conta pessoal, toda vez em que for enviar um e-mail. Se alguém usar seu computador e não tiver a senha, o e-mail é enviado sem a assinatura de autenticação. E sem a assinatura do PGP, o receptor já pode desconfiar de que você pode não ser exatamente você? Ao receber o e-mail, o PGP na casa do receptor pode automaticamente conferir os dados de sua chave pública para ver se você é você mesmo, através de uma sincronia em tempo real com os servidores do PGP. Caso o e-mail não esteja assinado com sua chave, voltamos à estaca zero: qualquer pessoa pode alterar o nome do remetente e se fazer passar pelo Bill Gates, George Bush, Lula da Silva etc. A assinatura funciona, enfim, para comprovar a veracidade do envio da mensagem, nada mais. O conteúdo do e-mail não é criptografado, apenas a assinatura específica do programa o é. É um recurso de confirmação do remetente. O conteúdo do e-mail, porém, continua bastante inseguro.
Segurança de E-mail – S/MIME Definição: Um agente S/MIME é um software que pode atuar como um agente de envio e/ou recebimento. Um agente de envio é um software capaz de criar objetos S/MIME CMS e mensagens MIME que contenham objetos CMS. Um agente de recebimento é um software capaz de interpretar e processar esses objetos.  Um agente S/MIME deve suportar os principais algoritmos de criptografia. Por exemplo: algoritmos de hash: SHA-1 e MD-5; algoritmos de assinatira digital: DSS e RSA-PSS; algoritmos de encriptação: rsaEncryption e Diffie-Hellmankeyexchange. Opções do S/MIME CMS Tipos de conteúdo utilizados no S/MIME: ,[object Object]
Enveloped-data: Garante a confidencialidade de uma mensagem. A combinação do conteúdo encriptado com a chave de encriptação do conteúdo encriptada para um destinatário é chamada de digital envelope. Se um agente de envio deseja enviar uma mensagem deste tipo para um grupo de destinatários este será obrigado a enviar mais de uma mensagem. O processo de criação de uma mensagem do tipo enveloped-data, utiliza criptografia tanto por chaves simétricas quanto por chaves assimétricas. Este processo é feito da seguinte forma: - Uma chave de encriptação do conteúdo (chave de sessão) é gerada de maneira aleatória, e encriptada com a chave pública do destinatário, para cada destinatário. - O conteúdo é encriptado com a chave de sessão. - As informações específicas de cada destinatário são combinadas com o conteúdo encriptado para se obter a EnvelopedData. Essa informação é então codificada em Base64. O receptor, por sua vez, abre o envelope, descriptando a chave de sessão com sua chave privada, e depois descriptando o conteúdo com a chave de sessão obtida
CRIPTOGRAFIA SIMÉTRICA Algoritmos CHAVE: ,[object Object]
 Permite trocar facilmente a chave no caso de uma violação, mantendo o mesmo algoritmo
 Como cada par necessita de uma chave para se comunicar de forma segura, para uma rede de n usuários precisaríamos de algo da ordem de n2 chaves, quantidade esta que dificulta a gerência das chaves;
 A chave deve ser trocada entre as partes e armazenada de forma segura, o que nem sempre é fácil de ser garantido
 A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e não-repudiação). vantagens desvantagens Cadeia aleatória de bits utilizada em conjunto com um algoritmo. Cada chave distinta faz com que o algoritmo trabalhe de forma ligeiramente diferente ,[object Object]
 EX: uma chave de 8 bits permite uma combinação de no máximo 256 chaves.,[object Object]
CRIPTOGRAFIA ASSIMÉTRICA Par de chaves: uma privada e uma pública. Qualquer uma das chaves é utilizada para cifrar uma mensagem e a outra para decifrá-la. As mensagens cifradas com uma das chaves do par só podem ser decifradas com a outra chave correspondente. A chave privada deve ser mantida secreta, enquanto a chave pública disponível livremente. - Qualquer um pode enviar uma mensagem secreta apenas utilizando a chave pública de quem irá recebê-la. Como a chave pública está amplamente disponível não há necessidade do envio de chaves como é feito no modelo simétrico. A confidencialidade da mensagem é garantida enquanto a chave privada estiver segura. Caso contrário, quem possuir a chave privada terá acesso às mensagens. - Permite assinatura digital que garante a autenticidade de quem envia a mensagem vantagens definição
CRIPTOGRAFIA ASSIMÉTRICA Algoritmo Descrição RSA É o algoritmo de chave pública mais utilizado e é uma das mais poderosas formas de criptografia de chave pública. O RSA utiliza números primos pois é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Derivar a chave privada a partir da chave pública envolve fatorar um grande número. Se o número for bem escolhido ninguém poderá fazer a fatoração em uma quantidade de tempo razoável. Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. Elgamal É um sistema comutativo. O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Assim, o ElGamal obtém sua segurança da dificuldade de se calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração. Diffie-Hellman É o criptosistema de chave pública mais antigo ainda em uso, porém não permite ciframento nem assinatura digital. O sistema foi projetado para permitir dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave, embora somente troquem mensagens em público. Curvas Elípticas São modificações em outros sistemas (ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, em vez de trabalharem no domínio dos corpos finitos. Eles provêem sistemas criptográficos de chave pública mais seguros e com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie - Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública: o grande tamanho de suas chaves. Porém em geral são mais demorados do que o RSA.
ASSINATURA DIGITAL A assinatura digital não garante a confidencialidade da mensagem. Qualquer um poderá acessá-la apenas com a chave pública. Para obter confidencialidade basta combinar os dois métodos (primeiro assina a mensagem, utilizando sua chave privada e em seguida criptografa a mensagem novamente, junto com a assinatura utilizando a chave pública). Ao receber a mensagem primeiramente vamos decifrá-la com sua chave privada, o que garante sua privacidade. Em seguida, "decifrá-la" novamente verificando sua assinatura utilizando a chave pública, garantindo assim sua autenticidade. Algoritmo Descrição definição RSA Conforme apresentado anteriormente, há uma chave pública e uma chave privada, e a segurança do sistema baseia-se na dificuldade da fatoração de números grandes. ElGamal Também apresentado anteriormente, é comutativo e pode ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves. Obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito. DSA Unicamente destinado a assinaturas digitais. Trata-se de uma variação dos algoritmos de assinatura ElGamal e Schnorr. Foi inventado pela NSA e patenteado pelo governo americano.
FUNÇÃO HASHING Função Hashing: impressão digital de uma mensagem, a partir de uma entrada de tamanho variável, um valor fixo pequeno: o digest ou valor hash (este valor está para o conteúdo da mensagem assim como o dígito verificador de uma conta-corrente está para o número da conta ou o checksum está para os valores que valida) Garante a integridade do conteúdo da mensagem. Assim, após o valor hash de uma mensagem ter sido calculado através do emprego de uma função hashing, qualquer modificação em seu conteúdo (mesmo em apenas um bit) será detectada, pois um novo cálculo do valor hash sobre o conteúdo modificado resultará em um valor hash bastante distinto. definição
FUNÇÃO HASHING Funções Descrição MD5 O algoritmo produz um valor hash de 128 bits para uma mensagem de entrada de tamanho arbitrário. Foi projetado para ser rápido, simples e seguro. Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo, porém o fato dele produzir uma valor hash de somente 128 bits causa grande preocupação (é preferível uma que produza um valor maior) SHA-1 Gera um valor hash de 160 bits a partir de um tamanho arbitrário de mensagem. O funcionamento do SHA-1 é muito parecido com o observado no MD4 com melhorias em sua segurança. A fraqueza existente em parte do MD5, citada anteriormente, não ocorre no SHA-1. Atualmente não há nenhum ataque de criptoanálise conhecido contra o SHA-1 devido ao seu valor hash de 160 bits. MD2 e MD4 O MD4 é o precursor do MD5, que foi escrito após terem sido descobertas algumas fraquezas no MD4. O MD4 não é mais utilizado. O MD2 produz um hash de 128 bits e a segurança é dependente de uma permutação aleatória de bytes. Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita-se que seja menos seguro.
Simétrica Assimétrica ALGORITMOS CRIPTOGRÁFICOS ,[object Object]
 Gerência e distribuição das chaves é complexa
 Não oferece assinatura digital
 Lenta
 Gerência e distribuição simples
 Oferece assinatura digital
 Os algoritmos podem ser combinados para a implementação dos três mecanismos criptográficos básicos: o ciframento, a assinatura e o Hashing. Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquitetura de segurança dos produtos destinados ao comércio eletrônico.
 Estes protocolos criptográficos, portanto, provêm os serviços associados à criptografia que viabilizam o comércio eletrônico: disponibilidade, sigilo, controle de acesso, autenticidade, integridade e não-repúdio.,[object Object]
CERTIFICADO DIGITAL 1- Localizar a chave pública de qualquer pessoa com quem se deseja comunicar  2- Obter uma garantia de que a chave pública encontrada seja proveniente daquela pessoa  gerenciamento de chaves  Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores. Deste modo, quando um interlocutor enviar uma mensagem ao outro solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. O intruso poderá decifrar todas as mensagens, cifrá-las novamente ou, se preferir, pode até substituí-las por outras mensagens.  Evitam tentativas de substituição de uma chave pública por outra. É um documento eletrônico, assinado digitalmente por  uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública. Através dele podemos garantir que a informação enviada está correta e que a chave pública em questão realmente pertence ao remetente .O destinatáriopor sua vez, confere a assinatura e então utiliza a chave pública em pauta.  definição ,[object Object]
Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor.
Certificados pessoais: contém nome do portador e informações como endereço eletrônico, endereço postal, etc.
Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas.,[object Object]
ESTENOGRAFIA Criptologia Criptografia Códigos Consiste, não em fazer com que uma mensagem seja ininteligível, mas em camuflá-la, mascarando a sua presença. Ao contrário da criptografia, que procura esconder a informação da mensagem, a estenografia procura esconder a existência da mensagem.  Técnicas de esteganografias podem ser empregadas em diversos meios, digitais ou não: ,[object Object]

Mais conteúdo relacionado

Mais procurados

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
Gleiner Pelluzzi
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
MaraLuizaGonalvesFre
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
Clausia Antoneli
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
Edkallenn Lima
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
Edson Nascimento dos Santos
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Escola de Governança da Internet no Brasil
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
Luiz Arthur
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Samantha Nunes
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
Cleber Ramos
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
Bruno Luiz A. de Pai Paiva
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
Luis Guilherme Rodrigues
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
Daniel de Sousa Luz
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
Anderson Zardo
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança  ou uma questão de sobrevivência?Cibersegurança  ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
Filipe T. Moreira
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
Cassio Ramos
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
Bruno Felipe
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Emerson Rocha
 

Mais procurados (20)

Segurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscosSegurança da informação golpes, ataques e riscos
Segurança da informação golpes, ataques e riscos
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇAAULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
AULA 9 - INTRODUÇÃO À CIBERSEGURANÇA
 
Segurança em sistemas de informação
Segurança em sistemas de informaçãoSegurança em sistemas de informação
Segurança em sistemas de informação
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Ameacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdfAmeacas ataques e Cyberseguranca básica.pdf
Ameacas ataques e Cyberseguranca básica.pdf
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
Segurança de Rede
Segurança de RedeSegurança de Rede
Segurança de Rede
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall Segurança de redes - Conceitos de firewall
Segurança de redes - Conceitos de firewall
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Engenharia Social
Engenharia SocialEngenharia Social
Engenharia Social
 
Introdução à Segurança da Informação
Introdução à Segurança da InformaçãoIntrodução à Segurança da Informação
Introdução à Segurança da Informação
 
Engenharia Social - A arte de enganar
Engenharia Social - A arte de enganarEngenharia Social - A arte de enganar
Engenharia Social - A arte de enganar
 
Cibersegurança ou uma questão de sobrevivência?
Cibersegurança  ou uma questão de sobrevivência?Cibersegurança  ou uma questão de sobrevivência?
Cibersegurança ou uma questão de sobrevivência?
 
Controle de Acesso
Controle de AcessoControle de Acesso
Controle de Acesso
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 

Destaque

Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Ilan Chamovitz
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação Aplicada
Eduardo Neves
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
Cleber Fonseca
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 
Gd canvas v01_slideshare_parte03
Gd canvas v01_slideshare_parte03Gd canvas v01_slideshare_parte03
Gd canvas v01_slideshare_parte03
Carlos Barbieri
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Felipe Gulert Rodrigues
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
profandreson
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
André Santos
 
1ª aula forense computacional
1ª aula  forense computacional1ª aula  forense computacional
1ª aula forense computacional
João Freire Abramowicz
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De Seguranca
Raul Libório
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
Vaine Luiz Barreira, MBA
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
Carlos Henrique Martins da Silva
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
Fernando Palma
 
Teoria Lista Exercicios 1.0
Teoria Lista Exercicios 1.0Teoria Lista Exercicios 1.0
Teoria Lista Exercicios 1.0
Thayse
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
Fernando Palma
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
Luiz Arthur
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security Strategy
Andrew Byers
 

Destaque (19)

Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Segurança da Informação Aplicada
Segurança da Informação AplicadaSegurança da Informação Aplicada
Segurança da Informação Aplicada
 
Introdução a segurança da informação
Introdução a segurança da informaçãoIntrodução a segurança da informação
Introdução a segurança da informação
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Gd canvas v01_slideshare_parte03
Gd canvas v01_slideshare_parte03Gd canvas v01_slideshare_parte03
Gd canvas v01_slideshare_parte03
 
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
Estudo de Técnicas de Perícia Forense Computacional Aplicadas à Investigação ...
 
Segurança da informação - Aula 01
Segurança da informação  - Aula 01Segurança da informação  - Aula 01
Segurança da informação - Aula 01
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 
1ª aula forense computacional
1ª aula  forense computacional1ª aula  forense computacional
1ª aula forense computacional
 
Politica De Seguranca
Politica De SegurancaPolitica De Seguranca
Politica De Seguranca
 
Crimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao ForenseCrimes Digitais e a Computacao Forense
Crimes Digitais e a Computacao Forense
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02Gerenciamento de riscos de segurança da informação - MOD02
Gerenciamento de riscos de segurança da informação - MOD02
 
Teoria Lista Exercicios 1.0
Teoria Lista Exercicios 1.0Teoria Lista Exercicios 1.0
Teoria Lista Exercicios 1.0
 
Guia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informaçãoGuia de boas práticas em gestão da segurança da informação
Guia de boas práticas em gestão da segurança da informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Build an Information Security Strategy
Build an Information Security StrategyBuild an Information Security Strategy
Build an Information Security Strategy
 

Semelhante a Seminario seguranca da informacao

Aps informatica
Aps informaticaAps informatica
Informática
Informática Informática
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA   Parte 2Conceitos BáSicos Sobre SegurançA   Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2
Felipe Santos
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
Marco Guimarães
 
9 classe.pptx
9 classe.pptx9 classe.pptx
9 classe.pptx
SherlockBluerGregrio
 
Spywares Trabalho Final
Spywares Trabalho FinalSpywares Trabalho Final
Spywares Trabalho Final
Sara.cm
 
Internet
InternetInternet
Internet
Gustasrb
 
Aula 6 - Segurança da informação
Aula 6 - Segurança da informaçãoAula 6 - Segurança da informação
Aula 6 - Segurança da informação
LucasMansueto
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
TrabalhosCVIGR
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
TrabalhosCVIGR
 
Apresentação sobre segurança de redes
Apresentação sobre segurança de redesApresentação sobre segurança de redes
Apresentação sobre segurança de redes
Luiz Mário Pina
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança Digital
Victor Neves
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
Eduardo Santana
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
Adão José Oliveira Elias
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Security
 
Internet
InternetInternet
Seguranadigital 090905102626-phpapp01
Seguranadigital 090905102626-phpapp01Seguranadigital 090905102626-phpapp01
Seguranadigital 090905102626-phpapp01
Djalda Muniz
 
Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança
Filipe de Sousa
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
Ellen Santos
 
Palestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaPalestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da Tecnologia
Matheus Buskievicz Todd
 

Semelhante a Seminario seguranca da informacao (20)

Aps informatica
Aps informaticaAps informatica
Aps informatica
 
Informática
Informática Informática
Informática
 
Conceitos BáSicos Sobre SegurançA Parte 2
Conceitos BáSicos Sobre SegurançA   Parte 2Conceitos BáSicos Sobre SegurançA   Parte 2
Conceitos BáSicos Sobre SegurançA Parte 2
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
9 classe.pptx
9 classe.pptx9 classe.pptx
9 classe.pptx
 
Spywares Trabalho Final
Spywares Trabalho FinalSpywares Trabalho Final
Spywares Trabalho Final
 
Internet
InternetInternet
Internet
 
Aula 6 - Segurança da informação
Aula 6 - Segurança da informaçãoAula 6 - Segurança da informação
Aula 6 - Segurança da informação
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
Glossário de segurança
Glossário de segurançaGlossário de segurança
Glossário de segurança
 
Apresentação sobre segurança de redes
Apresentação sobre segurança de redesApresentação sobre segurança de redes
Apresentação sobre segurança de redes
 
Cartilha de Segurança Digital
Cartilha de Segurança DigitalCartilha de Segurança Digital
Cartilha de Segurança Digital
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Segurança Digital
Segurança DigitalSegurança Digital
Segurança Digital
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
Internet
InternetInternet
Internet
 
Seguranadigital 090905102626-phpapp01
Seguranadigital 090905102626-phpapp01Seguranadigital 090905102626-phpapp01
Seguranadigital 090905102626-phpapp01
 
Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança Internet- estrutura, ameaças e segurança
Internet- estrutura, ameaças e segurança
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Palestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da TecnologiaPalestra sobre o Bom Uso da Tecnologia
Palestra sobre o Bom Uso da Tecnologia
 

Último

Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
mamaeieby
 
Forças e leis de Newton 2024 - parte 1.pptx
Forças e leis de Newton 2024 - parte 1.pptxForças e leis de Newton 2024 - parte 1.pptx
Forças e leis de Newton 2024 - parte 1.pptx
Danielle Fernandes Amaro dos Santos
 
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Centro Jacques Delors
 
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptxSlides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
MessiasMarianoG
 
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
AntnioManuelAgdoma
 
livro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdflivro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdf
cmeioctaciliabetesch
 
05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx
ValdineyRodriguesBez1
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
fernandacosta37763
 
educação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmenteeducação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmente
DeuzinhaAzevedo
 
Atividade letra da música - Espalhe Amor, Anavitória.
Atividade letra da música - Espalhe  Amor, Anavitória.Atividade letra da música - Espalhe  Amor, Anavitória.
Atividade letra da música - Espalhe Amor, Anavitória.
Mary Alvarenga
 
Educação trabalho HQ em sala de aula uma excelente ideia
Educação  trabalho HQ em sala de aula uma excelente  ideiaEducação  trabalho HQ em sala de aula uma excelente  ideia
Educação trabalho HQ em sala de aula uma excelente ideia
joseanesouza36
 
apresentação sobre Clarice Lispector .pptx
apresentação sobre Clarice Lispector .pptxapresentação sobre Clarice Lispector .pptx
apresentação sobre Clarice Lispector .pptx
JuliaMachado73
 
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptxSlides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
LuizHenriquedeAlmeid6
 
Egito antigo resumo - aula de história.pdf
Egito antigo resumo - aula de história.pdfEgito antigo resumo - aula de história.pdf
Egito antigo resumo - aula de história.pdf
sthefanydesr
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
livrosjovert
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
MateusTavares54
 
Redação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptxRedação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptx
DECIOMAURINARAMOS
 
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de CarvalhoO sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
analuisasesso
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
Érika Rufo
 

Último (20)

Vogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantilVogais Ilustrados para alfabetização infantil
Vogais Ilustrados para alfabetização infantil
 
Forças e leis de Newton 2024 - parte 1.pptx
Forças e leis de Newton 2024 - parte 1.pptxForças e leis de Newton 2024 - parte 1.pptx
Forças e leis de Newton 2024 - parte 1.pptx
 
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
Folheto | Centro de Informação Europeia Jacques Delors (junho/2024)
 
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptxSlides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
Slides Lição 9, Betel, Ordenança para uma vida de santificação, 2Tr24.pptx
 
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
759-fortaleza-resultado-definitivo-prova-objetiva-2024-05-28.pdf
 
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
347018542-PAULINA-CHIZIANE-Balada-de-Amor-ao-Vento-pdf.pdf
 
livro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdflivro ciclo da agua educação infantil.pdf
livro ciclo da agua educação infantil.pdf
 
05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx05-os-pre-socraticos sociologia-28-slides.pptx
05-os-pre-socraticos sociologia-28-slides.pptx
 
Atividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º anoAtividade de reforço de matemática 2º ano
Atividade de reforço de matemática 2º ano
 
educação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmenteeducação inclusiva na atualidade como ela se estabelece atualmente
educação inclusiva na atualidade como ela se estabelece atualmente
 
Atividade letra da música - Espalhe Amor, Anavitória.
Atividade letra da música - Espalhe  Amor, Anavitória.Atividade letra da música - Espalhe  Amor, Anavitória.
Atividade letra da música - Espalhe Amor, Anavitória.
 
Educação trabalho HQ em sala de aula uma excelente ideia
Educação  trabalho HQ em sala de aula uma excelente  ideiaEducação  trabalho HQ em sala de aula uma excelente  ideia
Educação trabalho HQ em sala de aula uma excelente ideia
 
apresentação sobre Clarice Lispector .pptx
apresentação sobre Clarice Lispector .pptxapresentação sobre Clarice Lispector .pptx
apresentação sobre Clarice Lispector .pptx
 
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptxSlides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
Slides Lição 11, Central Gospel, Os Mortos Em CRISTO, 2Tr24.pptx
 
Egito antigo resumo - aula de história.pdf
Egito antigo resumo - aula de história.pdfEgito antigo resumo - aula de história.pdf
Egito antigo resumo - aula de história.pdf
 
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.pptEstrutura Pedagógica - Laboratório de Educação a Distância.ppt
Estrutura Pedagógica - Laboratório de Educação a Distância.ppt
 
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - AlfabetinhoAtividades de Inglês e Espanhol para Imprimir - Alfabetinho
Atividades de Inglês e Espanhol para Imprimir - Alfabetinho
 
Redação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptxRedação e Leitura_7º ano_58_Produção de cordel .pptx
Redação e Leitura_7º ano_58_Produção de cordel .pptx
 
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de CarvalhoO sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
O sentimento nacional brasiliero, segundo o historiador Jose Murlo de Carvalho
 
Aula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sonsAula 1 do livro de Ciências do aluno - sons
Aula 1 do livro de Ciências do aluno - sons
 

Seminario seguranca da informacao

  • 1. SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DOS NEGÓCIOS Mariana Spanghero Felipe Marques Marcelo Cervantes
  • 2. “A arte da guerra nos ensina a contar não com a probabilidade de o inimigo não chegar, mas com a nossa própria prontidão para recebê-lo; não com a chance de ser atacado, mas com o fato de tornar nossa posição inatacável”. Sun Tzu
  • 3.
  • 9. ASP – Application ServiceProvider;
  • 10.
  • 12. INCIDENTES REPORTADOS – ÚLTIMOS 10 ANOS Fonte: ComputerEmergencyResponseTeam (CERT)
  • 13. TIPOS DE INCIDENTES EM 2009 Fonte: ComputerEmergencyResponseTeam (CERT)
  • 14. O CONCEITO DE ATAQUE Tentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.
  • 15. CONDIÇÕES FAVORÁVEIS PARA UM ATAQUE AMEAÇA: Potencial para a violação da segurança. Possível perigo que pode explorar uma “vulnerabilidade”. VULNERABILIDADE: Algo que se encontra susceptível ou fragilizado numa determinada circunstância. ATAQUE
  • 16. TENTATIVA DE ATAQUE - EXEMPLO
  • 17. TIPOS DE INFECÇÕES Malware: é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. Ex: vírus de computador, worms, trojanhorses(cavalos de tróia) e spywares. Grayware: categoria de programas que são instalados no computador de um usuário para dar seguimento ou reportar certa informação a um terceiro. Estas aplicações são usualmente instaladas e “correm” sem a permissão do usuário. "Adware". Usualmente absorto nos chamados programas freeware ou gratuitos. O "Adware" é usado para apresentar os incômodos pop-ups ou janelas que se abrem quando se está navegando na internet ou usando uma aplicação. C "Dialers". Este tipo de Grayware controla o módem do computador. Na maioria das vezes, sem o consentimento do usuário, provocam que o computador chame a um site pornográfico ou outro tipo destes, sempre com o propósito de gerar ingressos para o website. "Jogos". Estes programas são jogos que se instalam e produzem incômodo visto que “correm” no computador sem que o usuário o solicite. "Spyware". São usualmente incluídos com freeware. Estes programas fazem um seguimento e analisam a atividade do usuário, como por exemplo, os hábitos de navegação na internet. "Keylogger". É talvez uma das aplicações mais perigosas. Capturam tudo o que o usuário “tecla” em seu computador. Podem capturar nomes de usuários e senhas, cartões de crédito, e-mails, chat e muito mais. "Toolbars". São instaladas para modificar o browser ou navegador. Já não aconteceu de aparecer uma barra de busca em seu navegador sem você saber ou fazer nada?
  • 18. PHISHING DEFINIÇÃO: Forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea. E-mail Um estelionatário envia e-mails falsos forjando a identidade de entidades populares como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, etc. Eles tentam persuadir os receptores a fornecer dados pessoais como: nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas. O furto de informações bancárias ocorrem através de mensagens recebidas que contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de contas e senhas bancárias. Orkut Roubo de informações bancárias através de mensagens de phishing deixadas no "Livro de recados“ dos participantes. A identidade contida nas mensagens é de uma pessoa conhecida da vítima, o que aumenta a probabilidade de sucesso do golpe. Essa identidade é obtida, normalmente, pelo roubo (geralmente via phishing) do login e da senha do Orkut da pessoa que está "enviando" o recado. A mensagem contém uma ligação que aponta diretamente para um cavalo de tróia de captura de senhas bancárias (e as vezes senhas do próprio Orkut).
  • 19. CLASSIFICAÇÃO DOS ATAQUES Ataques PASSIVOS. _ Incluem leitura não autorizada de mensagem de arquivo e análise de tráfego. Ataques ATIVOS. _ Leitura não autorizada com modificação de mensagens, arquivos ou negação de serviço.
  • 20.
  • 22. AVALIAÇÃO DOS RISCOS http://eval.symantec.com/mktginfo/enterprise/other_resources/ent-it_risk_management_report_02-2007.en-us.pdf
  • 23.
  • 24.
  • 26.
  • 27.
  • 29. ANTI SPAM / ANTI SPYWARE / ANTI VÍRUS Anti Spam Anti Spyware Anti Vírus Serviços de e-mails contém proteções contra SPAMS que verificam o conteúdo do E-mail para bloquear o recebimento de mensagens de servidores suspeitos e com conteúdo que possa conter ameaças como vírus e phishing, assim como propagandas inconvenientes Antispywares (anti = contra, spy = espião, ware = mercadoria, programa ) são programas utilizados para combater spyware, adware, keylogers entre outros programas espiões. Entre esses programas estão os: firewalls, antivírus entre outros. Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus de computador
  • 30. FIREWALL Definição: dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de “appliance"). Lembrando... As LANs são utilizadas para conectar estações, servidores, periféricos e outros dispositivos que possuam capacidade de processamento em uma casa, escritório, escola e edifícios próximos. WAN = Rede de área alargada ou Rede de longa distância, (Rede geograficamente distribuída), é uma rede de computadores que abrange uma grande área geográfica, com freqüência um país ou continente.
  • 31. VPN O que é VPN? É uma rede privada construída sobre a infra-estrutura de uma rede pública, normalmente a Internet. Ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar redes remotas, utiliza-se a infra-estrutura da Internet. Vantagens: Os links dedicados são caros, e do outro lado está a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias são grandes. Desvantagens: Privacidade, pois a Internet é uma rede pública, onde os dados em trânsito podem ser lidos por qualquer equipamento. Para solucionar esta questão incorporamos a criptografia na comunicação entre hosts da rede privada de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os túneis virtuais habilitam o tráfego de dados criptografados pela Internet e esses dispositivos, são capazes de entender os dados criptografados formando uma rede virtual segura sobre a rede Internet. Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a privacidade, integridade, autenticidade dos dados. Funcionamento 1ª Forma: Um simples host em trânsito, conecta em um provedor Internet e através dessa conexão, estabelece um túnel com a rede remota.
  • 32. VPN Funcionamento 2ª Forma: Duas redes se interligam através de hosts com link dedicado ou discado via internet, formando assim um túnel entre as duas redes. Os protocolos utilizados no túnel virtual, são, (IPSec) Internet ProtocolSecurity, (L2TP) Layer 2 TunnelingProtocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-PointTunnelingProtocol. O protocolo escolhido, será o responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado. Quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPSec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao Roteador, um cabeçalho AH, que é o cabeçalho de autenticação e o cabeçalho ESP, que é o cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote. Quando esses dados encapsulados chegarem à outra extremidade, é feito o desencapsulamento do IPSece os dados são encaminhados ao referido destino da rede local.
  • 33.
  • 34. Confidencialidade. Para implementar estas características, o IPSecé composto de 3 mecanismos adicionais: ISAKMP - Internet Security Association and Key Management Protocol Protocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (onde contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP - autenticação de cabeçalho e encapsulamento, serviços das camadas de transporte, e aplicação ou auto-proteção durante a negociação do tráfego). Define pacotes para geração de chaves  e autenticação de dados. AH - Autentication Header A segurança é garantida através da inclusão de informação para autenticação no pacote a qual é obtida através de algoritmo aplicado sobre o conteúdo dos campos  do datagrama IP, excluindo-se aqueles que sofrem mudanças durante o transporte. Estes campos abrangem não só o cabeçalho IP como todos os outros cabeçalhos e dados do usuário. ESP - EncapsulationSecurityPayload Propriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo transportado. Desta forma, os usuários não autorizados, mesmo tendo capturado o pacote, não poderão ter acesso às informações nele contidas. O mecanismo mais usado para prover esta propriedade é chamado de criptografia. O ESP também provê a autenticação da origem dos dados, integridade da conexão  e serviço anti-reply.
  • 35. Segurança de E-mail - PGP Definição: É um sistema de segurança avançado para correio eletrônico O que é? Para cada pessoa que usa PGP é criada uma "assinatura" única e exclusiva. São criadas duas chaves: uma pública e uma privada. Então você tem a opção de "assinar" com o PGP todas suas mensagens enviadas com sua chave pública. A chave pública irá certificar o receptor que você é você mesmo, e não outra pessoa utilizando um SMTP fantasma (servidor de envio). A chave privada é a exigência para você criptografar sua mensagem, pois a senha é única e exclusivamente sua. PGP só tem cabimento se o receptor também usar PGP. Com as duas pessoas usando PGP, elas podem trocar e-mails criptografados com algoritmos seguros utilizados internacionalmente, sem possibilidade que intrusos. Nem mesmo a polícia tem acesso. A não ser que você ceda sua senha da chave privada. Funcionamento O PGP exige que você digite uma senha, previamente criada quando instala o programa e cria sua conta pessoal, toda vez em que for enviar um e-mail. Se alguém usar seu computador e não tiver a senha, o e-mail é enviado sem a assinatura de autenticação. E sem a assinatura do PGP, o receptor já pode desconfiar de que você pode não ser exatamente você? Ao receber o e-mail, o PGP na casa do receptor pode automaticamente conferir os dados de sua chave pública para ver se você é você mesmo, através de uma sincronia em tempo real com os servidores do PGP. Caso o e-mail não esteja assinado com sua chave, voltamos à estaca zero: qualquer pessoa pode alterar o nome do remetente e se fazer passar pelo Bill Gates, George Bush, Lula da Silva etc. A assinatura funciona, enfim, para comprovar a veracidade do envio da mensagem, nada mais. O conteúdo do e-mail não é criptografado, apenas a assinatura específica do programa o é. É um recurso de confirmação do remetente. O conteúdo do e-mail, porém, continua bastante inseguro.
  • 36.
  • 37. Enveloped-data: Garante a confidencialidade de uma mensagem. A combinação do conteúdo encriptado com a chave de encriptação do conteúdo encriptada para um destinatário é chamada de digital envelope. Se um agente de envio deseja enviar uma mensagem deste tipo para um grupo de destinatários este será obrigado a enviar mais de uma mensagem. O processo de criação de uma mensagem do tipo enveloped-data, utiliza criptografia tanto por chaves simétricas quanto por chaves assimétricas. Este processo é feito da seguinte forma: - Uma chave de encriptação do conteúdo (chave de sessão) é gerada de maneira aleatória, e encriptada com a chave pública do destinatário, para cada destinatário. - O conteúdo é encriptado com a chave de sessão. - As informações específicas de cada destinatário são combinadas com o conteúdo encriptado para se obter a EnvelopedData. Essa informação é então codificada em Base64. O receptor, por sua vez, abre o envelope, descriptando a chave de sessão com sua chave privada, e depois descriptando o conteúdo com a chave de sessão obtida
  • 38.
  • 39. Permite trocar facilmente a chave no caso de uma violação, mantendo o mesmo algoritmo
  • 40. Como cada par necessita de uma chave para se comunicar de forma segura, para uma rede de n usuários precisaríamos de algo da ordem de n2 chaves, quantidade esta que dificulta a gerência das chaves;
  • 41. A chave deve ser trocada entre as partes e armazenada de forma segura, o que nem sempre é fácil de ser garantido
  • 42.
  • 43.
  • 44. CRIPTOGRAFIA ASSIMÉTRICA Par de chaves: uma privada e uma pública. Qualquer uma das chaves é utilizada para cifrar uma mensagem e a outra para decifrá-la. As mensagens cifradas com uma das chaves do par só podem ser decifradas com a outra chave correspondente. A chave privada deve ser mantida secreta, enquanto a chave pública disponível livremente. - Qualquer um pode enviar uma mensagem secreta apenas utilizando a chave pública de quem irá recebê-la. Como a chave pública está amplamente disponível não há necessidade do envio de chaves como é feito no modelo simétrico. A confidencialidade da mensagem é garantida enquanto a chave privada estiver segura. Caso contrário, quem possuir a chave privada terá acesso às mensagens. - Permite assinatura digital que garante a autenticidade de quem envia a mensagem vantagens definição
  • 45. CRIPTOGRAFIA ASSIMÉTRICA Algoritmo Descrição RSA É o algoritmo de chave pública mais utilizado e é uma das mais poderosas formas de criptografia de chave pública. O RSA utiliza números primos pois é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Derivar a chave privada a partir da chave pública envolve fatorar um grande número. Se o número for bem escolhido ninguém poderá fazer a fatoração em uma quantidade de tempo razoável. Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits. Elgamal É um sistema comutativo. O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Assim, o ElGamal obtém sua segurança da dificuldade de se calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração. Diffie-Hellman É o criptosistema de chave pública mais antigo ainda em uso, porém não permite ciframento nem assinatura digital. O sistema foi projetado para permitir dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave, embora somente troquem mensagens em público. Curvas Elípticas São modificações em outros sistemas (ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, em vez de trabalharem no domínio dos corpos finitos. Eles provêem sistemas criptográficos de chave pública mais seguros e com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie - Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública: o grande tamanho de suas chaves. Porém em geral são mais demorados do que o RSA.
  • 46. ASSINATURA DIGITAL A assinatura digital não garante a confidencialidade da mensagem. Qualquer um poderá acessá-la apenas com a chave pública. Para obter confidencialidade basta combinar os dois métodos (primeiro assina a mensagem, utilizando sua chave privada e em seguida criptografa a mensagem novamente, junto com a assinatura utilizando a chave pública). Ao receber a mensagem primeiramente vamos decifrá-la com sua chave privada, o que garante sua privacidade. Em seguida, "decifrá-la" novamente verificando sua assinatura utilizando a chave pública, garantindo assim sua autenticidade. Algoritmo Descrição definição RSA Conforme apresentado anteriormente, há uma chave pública e uma chave privada, e a segurança do sistema baseia-se na dificuldade da fatoração de números grandes. ElGamal Também apresentado anteriormente, é comutativo e pode ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves. Obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito. DSA Unicamente destinado a assinaturas digitais. Trata-se de uma variação dos algoritmos de assinatura ElGamal e Schnorr. Foi inventado pela NSA e patenteado pelo governo americano.
  • 47. FUNÇÃO HASHING Função Hashing: impressão digital de uma mensagem, a partir de uma entrada de tamanho variável, um valor fixo pequeno: o digest ou valor hash (este valor está para o conteúdo da mensagem assim como o dígito verificador de uma conta-corrente está para o número da conta ou o checksum está para os valores que valida) Garante a integridade do conteúdo da mensagem. Assim, após o valor hash de uma mensagem ter sido calculado através do emprego de uma função hashing, qualquer modificação em seu conteúdo (mesmo em apenas um bit) será detectada, pois um novo cálculo do valor hash sobre o conteúdo modificado resultará em um valor hash bastante distinto. definição
  • 48. FUNÇÃO HASHING Funções Descrição MD5 O algoritmo produz um valor hash de 128 bits para uma mensagem de entrada de tamanho arbitrário. Foi projetado para ser rápido, simples e seguro. Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo, porém o fato dele produzir uma valor hash de somente 128 bits causa grande preocupação (é preferível uma que produza um valor maior) SHA-1 Gera um valor hash de 160 bits a partir de um tamanho arbitrário de mensagem. O funcionamento do SHA-1 é muito parecido com o observado no MD4 com melhorias em sua segurança. A fraqueza existente em parte do MD5, citada anteriormente, não ocorre no SHA-1. Atualmente não há nenhum ataque de criptoanálise conhecido contra o SHA-1 devido ao seu valor hash de 160 bits. MD2 e MD4 O MD4 é o precursor do MD5, que foi escrito após terem sido descobertas algumas fraquezas no MD4. O MD4 não é mais utilizado. O MD2 produz um hash de 128 bits e a segurança é dependente de uma permutação aleatória de bytes. Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita-se que seja menos seguro.
  • 49.
  • 50. Gerência e distribuição das chaves é complexa
  • 51. Não oferece assinatura digital
  • 53. Gerência e distribuição simples
  • 55. Os algoritmos podem ser combinados para a implementação dos três mecanismos criptográficos básicos: o ciframento, a assinatura e o Hashing. Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquitetura de segurança dos produtos destinados ao comércio eletrônico.
  • 56.
  • 57.
  • 58. Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor.
  • 59. Certificados pessoais: contém nome do portador e informações como endereço eletrônico, endereço postal, etc.
  • 60.
  • 61.
  • 64. Vídeos Cifras Transposição Substituição Esteganografia Cripto-análise
  • 65. TIPOS DE CIFRAS Cifras de Transposição: As cifras de transposição misturam as letras do texto original de acordo com uma qualquer regra reversível. Por outras palavras, o texto cifrado é obtido através da permutação do texto original. Criptologia Criptografia Substituição Cifras de Substituição : As cifras de substituição produzem criptogramas nos quais as letras do texto original, tratadas individualmente ou em grupos de comprimento constante, são substituídas por outras letras, figuras, símbolos ou uma combinação destes de acordo com um sistema predefinido e uma chave. Códigos Cifras Monoalfabéticas Polialfabéticas Transposição Substituição Disco de Alberti, 1466 Tabula Recta de Trithemius, 1518 Bellaso e a Palavra-Chave, 1553 Cifra Della Portal, 1563 Cifra de Vigenère, 1586 Cilindro de Jefferson, 1795 Cifra de Playfair, 1854 Cifra de 2 grades (família Playfair), 1854 Cifra de 3 grades (família Playfair), 1854 Cifra de 4 grades (família Playfair), 1854 Cifra de Beufort (família Vigenère), 1857 Monogâmicas Poligâmicas Tomogâmicas Esteganografia Cripto-análise Cifras Hebraicas, 600/500 a.C Código de César, 50 a.C. Cifra do Kama-Sutra, 400 Cifra dos Templários, 1119 Cifra PigPen, 1533 Cifra de Bazeries, 1920 Código de Polibio, 150 a.C Cifra de Bacon, 1623 Cifra de Babou, 558
  • 66. TIPOS DE CIFRAS Substitui cada um dos caracteres de um texto limpo usando outros caracteres (letras, números, símbolos, etc) conforme uma tabela de substituição preestabelecida. Quando apenas um alfabeto é aplicado, a substituição é chamada de monoalfabética. Quando mais de um alfabeto é utilizado para cifrar um texto limpo. Substituição Monoalfabéticas Polialfabéticas Monogâmicas Poligâmicas Tomogâmicas Cada letra é substituída por um grupo de duas ou mais letras ou números. Assim sendo, o comprimento do criptograma será necessariamente maior do que o do texto original. Cada um dos caracteres do texto limpo é substituído por outro, o comprimento da mensagem cifrada é igual ao comprimento da mensagem original. Da mesma forma a frequência de ocorrência das letras (números ou símbolos) Tem as mesmas características da monogâmica, com a diferença de que se substitui grupos de caracteres do texto original por um ou mais caracteres. Portanto, o comprimento da mensagem cifrada nem sempre é o mesmo da mensagem original.
  • 67. CIFRA DE CÉSAR A LIGEIRA RAPOSA MARROM SALTOU SOBRE O CACHORRO CANSADO D OLJHLUD UDSRVD PDUURP VDOWRX VREUH R FDFKRUUR FDQVDGR Substituição Monoalfabéticas Polialfabéticas Monogâmicas Poligâmicas Tomogâmicas Move-se cada letra do alfabeto um número de vezes fixo abaixo no alfabeto. Este exemplo está com uma troca de três, então o B no texto normal se torna E no texto cifrado.
  • 68. CIFRA PLAYFAIR Substituição A segurança desta cifra é baixa e seu interesse é apenas histórico. A Playfair possui outras vantagens: não precisa de tabelas ou dispositivos complicados, possui uma palavra-chave que pode ser memorizada ou trocada com facilidade, é muito fácil de ser implementada e pouco sujeita a erros. Devido a estas características o sistema é perfeito para ser usado como uma "cifra de campo". Monoalfabéticas Polialfabéticas Monogâmicas Poligâmicas Tomogâmicas Cifrando a palavra: MARIANA utilizando a palavra chave SEGURANC LNGKN CFA
  • 69. CIFRA DE HILL Substituição Cifra de Hill é um tipo de cifra de substituição baseado em álgebra linear. Uma mensagem codificada com uma matriz NxN é chamada de "N-Cifra de Hill". Logo, uma mensagem codificada com uma matriz 2x2 é chamada "2-Cifra de Hill". Procedimento Primeiro converte-se as letras em números, depois agrupa-se os números n a n e multiplica-se cada grupo por uma matriz quadrada de ordem n invertível (ou seja determinante!=0). Os números resultantes são novamente passados para letras, e assim tem-se a mensagem codificada. Monoalfabéticas Polialfabéticas Monogâmicas Poligâmicas Tomogâmicas Escolhendo uma matriz 2x2: O Y S S Q P D C M A R I A N A A 1 18 9 1 14 1 1 O Y S S Q P D C
  • 70. CIFRA DE VIGENÈRE A cifra de Vigenère é um método de criptografia que usa uma série de diferentes cifras de César. A primeira letra do texto, A, é cifrada usando o alfabeto na linha L, que é a primeira letra da chave. A decriptação é feita inversamente. Cifrando a palavra: ATACARBASESUL utilizando a chave: LIMAOLIMAOLIM LBMCOCJMSSDCX Deve-se repetir a chave até ter o comprimento do texto a cifrar
  • 71. CÓDIGO ASC Codificação de caracteres de sete bits baseada no alfabeto inglês. Os códigos ASCII representam texto em computadores, equipamentos de comunicação, entre outros dispositivos que trabalham com texto. A codificação define 128 caracteres, preenchendo completamente os sete bits disponíveis. Desses, 33 não são imprimíveis. TABELA COM ALGUNS EXEMPLOS:
  • 72. AJAX Definição AJAX não é somente um novo modelo, é também uma iniciativa na construção de aplicações Web mais dinâmicas e criativas. AJAX não é uma tecnologia, mas um conjunto de tecnologias conhecidas trabalhando juntas, cada uma fazendo sua parte, oferecendo novas funcionalidades. É o uso metodológico de tecnologias como Javascript e XML, providas por navegadores, para tornar páginas Web mais interativas com o usuário, utilizando-se de solicitações assíncronas de informações. Uma vez que a interface está carregada, por que a interação do usuário deveria parar a cada vez que a aplicação precisasse de algo do servidor? Modelo clássico de aplicação web: Esta aproximação possui muito dos sentidos técnicos, mas não faz tudo que um usuário experiente poderia fazer. Enquanto o servidor está fazendo seu trabalho, o que o usuário estará fazendo? O que é certo, esperando. E a cada etapa em uma tarefa, o usuário aguarda mais uma vez. O servidor processa algo, recuperando dados, realizando cálculos, conversando com vários sistemas legados, e então retorna uma página HTML para o cliente A maioria das ações do usuário na interface dispara uma solicitação HTTP para o servidor web A maior vantagem das aplicações AJAX é que elas rodam no próprio navegador web. desvantagens vantagens
  • 73.
  • 74. O servidor fornece dados, e não conteúdo
  • 75. A interação do utilizador com a aplicação pode ser flexível e contínua
  • 76.
  • 78.
  • 79. ASP Diagrama 1. O Browser faz uma requisição ao Servidor Web; 2. O Servidor Web detecta que trata-se de uma página ASP e encaminha a requisição ao interpretador ASP; 3. O interpretador ASP faz os processamentos necessários, inclusive acessos a bancos de dados e outros recursos e devolve o HTML para o Servidor Web; 4. O Servidor Web devolve O HTML ao Browser.
  • 80. A TempestSecurityIntelligenceoferece um portfólio completo de soluções de software e serviços em segurança da informação de ambientes de missão crítica. Na área de serviços, as ofertas incluem consultorias e serviços gerenciados de segurança (MSS - ManagedSecurityServices) e possui uma linha de produtos de proteção de transações eletrônicas utilizando certificação digital. O CoAdmin é um serviço contínuo de gestão da proteção do ambiente de TI que coleta métricas de segurança sobre todo o processo, indo além das ofertas comuns de outsourcing de segurança , o gestor de segurança tem à sua disposição resultados incluindo componentes de prevenção, detecção e resposta, ajudando-o e fornecendo informações vitais para que possa focar no aspecto estratégico da gestão.
  • 81. PESQUISA E DESENVOLVIMENTOA Tempest investe em pesquisa e desenvolvimento de novas técnicas, sistemas e metodologias na área, expressando através da publicação de papers em fóruns nacionais e internacionais de expressão. O trabalho tem raíz em problemas reais, e os seus resultados retornam aos clientes, na forma dos produtos e serviços atualmente oferecidos. "Segurança não é um produto, é um processo". Pois bem, segurança não envolve apenas um processo. São vários! Manter um bom nível de Segurança da Informação requer que diversos processos sejam implementados e conduzidos de forma eficiente e controlada identificando as falhas, o risco associado e prevenindo, detectando e corrigindo vulnerabilidades e incidentes. Ao consultarmos a norma NBR ISO/IEC 27001 vamos identificar dezenas de processos que devem ser estabelecidos durante a condução de um Programa de Segurança da Informação. Alguns desses processos podem nunca serem implementados em algumas organizações. Outros, porém, devem existir em todas elas. São os processos básicos de segurança da informação
  • 82. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃOGestão de Vulnerabilidade Os incidentes só ocorrem quando estamos vulneráveis, fazendo com que conhecer e controlar as vulnerabilidades existentes seja crucial para manter a segurança sob controle.Uma gestão de vulnerabilidades eficiente deve ser contínua, capaz de analisar de forma constante todo o ambiente onde se encontram as informações que queremos proteger podendo assim identificar as novas vulnerabilidades que surgem no ambiente, tomando ações para corrigi-las quando necessário. Não seria mais simples, entretanto, fazer isso uma única vez, de forma completa, solucionando todas as vulnerabilidades do ambiente para não termos mais que nos preocupar com isso? Os ambientes de TI das organizações não são estáticos, estando em constante mudança. Desde uma nova filial da empresa conectada à rede até a inclusão de um simples notebook, diversas situações fazem com que o perfil da rede, e conseqüentemente do ambiente como um todo, mude constantemente
  • 83. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Gestão de Vulnerabilidade Além das mudanças no ambiente, também se deve levar em consideração que novas vulnerabilidades são freqüentemente descobertas por hackers, pesquisadores de segurança ou mesmo pelos próprios fornecedores dos produtos que utilizamos. A Microsoft, por exemplo, recebe informações de diversas fontes no mundo para, uma vez por mês, divulgar um pacote de correções para vulnerabilidades em seus produtos. Assim, pode-se notar que a necessidade de identificar, priorizar e corrigir vulnerabilidades é algo constante no dia a dia de uma organização. Com a verificação constante do ambiente em buscas de falhas e o acompanhamento da divulgação de novas vulnerabilidades surgem centenas de vulnerabilidades por mês para serem tratadas. A condução disso de forma organizada e eficaz é um dos maiores desafios da gestão de vulnerabilidades, visando evitar impactos negativos no ambiente de produção.
  • 84. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Resposta a Incidentes O assunto não é simples, mas pode ser resumido em uma única orientação: Esteja preparado. Muitas vezes fazemos um esforço enorme na implantação de medidas preventivas e de detecção, mas ainda assim acontecem os incidentes. Como consolo devemos nos lembrar que não existe 100% de segurança, nós apenas reduzimos a probabilidade de um incidente acontecer. Ainda assim, eles acontecem. E se acontecem, devemos estar preparados para eles, pois esta pode ser a diferença entre conseguir ou não absorver o impacto. A resposta a incidentes de segurança pode ser vista como seis passos distintos:
  • 85. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Resposta a Incidentes - Montagem da equipe de resposta, ou o CSIRT (ComputerSecurityIncidentResponseTeam)Necessário que durante a resposta a um incidente seja criado um time composto por pessoas de diversas áreas da organização, do Suporte a TI ao departamento Jurídico , para definir quais serão os passos do processo de resposta, quem serão as pessoas envolvidas e como elas serão contatadas . -Verificar o impacto inicial e o risco de mais problemas:Necessário que um método para definir o tamanho e o tipo de impacto seja estabelecido previamente, facilitando o processo de verificação durante o processo de resposta,devendo nortear ações como a comunicação com clientes e parceiros de negócios, estratégia de recuperação e até mesmo as ações legais cabíveis .
  • 86. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Resposta a Incidentes -Comunicação e notificação:Deve-se definir como será a comunicação com clientes, parceiros de negócio, autoridades e outras partes interessadas. Realizar esta comunicação sem planejamento prévio pode levar àquela velha situação do "não deveríamos ter dito isso", ou ainda o "deveríamos ter avisado antes". -Contenção imediata dos dados: Um dos maiores erros em situações de resposta a incidentes é deixar que os efeitos e impactos negativos continuem a aumentar. Situações de contaminação por código malicioso ou invasão de máquinas requerem a desconexão imediata dos pontos comprometidos da rede, evitando-se assim que o problema atinja um número maior de máquinas e os processos críticos da organização não podem parar sendo necessário que haja uma estratégia pronta para uma substituição imediata ou outro plano alternativo que impeça que o negócio deixe de funcionar enquanto se atua no incidente.
  • 87. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Resposta a Incidentes -Documentação totalA resposta a incidentes normalmente começa com a imediata contenção dos danos sendo comum que informações preciosas sejam perdidas durante a ocorrência. Deve haver uma grande preocupação em preservar evidências e documentar os passos e ações tomadas. Essas informações serão de grande valor não apenas na identificação de responsáveis, ações judiciais mas também na hora de avaliar se o processo ocorreu da forma desejada e está sendo executado conforme o planejado. -Lições aprendidas:Todo processo de resposta a incidentes, para ser completo, precisa contar com uma fase e um procedimento de avaliação do ocorrido com o objetivo de melhorar aquilo que existe ou é feito dentro da organização.
  • 88. PROCESSOS BÁSICOS de SEGURANÇA da INFORMAÇÃO Resposta a Incidentes Uma das dificuldades em montar um processo robusto é que seus resultados podem não aparecer imediatamente, uma vez que ele depende da ocorrência de um incidente para mostrar seu valor. A resposta adequada a incidentes pode ser vital não apenas para sua sobrevivência dentro da organização, mas da própria organização em seu mercado. A resposta a incidentes estruturada é como manter os extintores de incêndio em ordem; o valor é pouco percebido até o momento em que eles se fazem necessários.
  • 89. BIBLIOGRAFIA Tom Leighton, (2006), “The Net’s Real Security Problem,” Scientific American. Currently available free at Scientific American online Cryptography and Network Security: Principles and Practice, William Stallings, Prentice-Hall, 3ed., 2002, ISBN 0130914290. US-CERT (Homeland Security): Your tax dollars at work… http://theory.lcs.mit.edu/~rivest/crypto-security.html http://www.cs.ucsd.edu/users/mihir/crypto-links.html http://eval.symantec.com/mktginfo/enterprise/other_resources/ent-it_risk_management_report_02-2007.en-us.pdf www.asp.org.br/gcn.shtml http://garfieldelgato.vilabol.uol.com.br/famosos.html http://www.cert.br/stats/