1) O documento discute segurança da informação e continuidade dos negócios, incluindo necessidade de segurança, avaliação de riscos e planos de contingência. 2) Aborda vários tipos de ataques cibernéticos e mecanismos de segurança como firewalls, VPNs e criptografia de e-mail para proteger sistemas e dados. 3) Destaca a importância de gerenciar a segurança de forma abrangente por meio de políticas, processos e estruturas organizacionais.

1. SEGURANÇA DA INFORMAÇÃO E CONTINUIDADE DOS NEGÓCIOSMariana SpangheroFelipe MarquesMarcelo Cervantes

2. “A arte da guerra nos ensina a contar não com a probabilidade de o inimigo não chegar, mas com a nossa própria prontidão para recebê-lo; não com a chance de ser atacado, mas com o fato de tornar nossa posição inatacável”. Sun Tzu

3. ASSUNTOS DESSE TEMA...Necessidade de segurança;

4. Avaliação de riscos;

5. Planos de contingência;

6. Gerenciamento da segurança;

7. Privacidade ;

8. Criptografia;

9. ASP – Application ServiceProvider;

10. AJAX;NECESSIDADE DE SEGURANÇAAlguns dos hackers mais conhecidos no mundo:Kevin Poulsen (USA). Fraudes no sistema de telefonia.É amigo do MitnickJohan Helsingius (Finlândia).Responsável por um dos mais famosos servidores de e-mail anônimo.Mark Abene (USA).Especialista em “fuçar” sistemas públicos de comunicação.Vladimir Levin(Rússia).Transferiu U$ 10 mi de contas do citibank.Preso pela Interpol.Kevin David Mitnick (USA). Fraudes no sistema de telefonia e roubo de informações.

11. E TAMBÉM...

12. INCIDENTES REPORTADOS – ÚLTIMOS 10 ANOSFonte: ComputerEmergencyResponseTeam (CERT)

13. TIPOS DE INCIDENTES EM 2009Fonte: ComputerEmergencyResponseTeam (CERT)

14. O CONCEITO DE ATAQUETentativa deliberada de burlar os serviços de segurança e violar a política de segurança de um sistema.

15. CONDIÇÕES FAVORÁVEIS PARA UM ATAQUEAMEAÇA: Potencial para a violação da segurança. Possível perigo que pode explorar uma “vulnerabilidade”.VULNERABILIDADE: Algo que se encontra susceptível ou fragilizado numa determinada circunstância.ATAQUE

16. TENTATIVA DE ATAQUE - EXEMPLO

17. TIPOS DE INFECÇÕESMalware: é um software destinado a se infiltrar em um sistema de computador alheio de forma ilícita, com o intuito de causar algum dano ou roubo de informações. Ex: vírus de computador, worms, trojanhorses(cavalos de tróia) e spywares.Grayware: categoria de programas que são instalados no computador de um usuário para dar seguimento ou reportar certa informação a um terceiro. Estas aplicações são usualmente instaladas e “correm” sem a permissão do usuário."Adware". Usualmente absorto nos chamados programas freeware ou gratuitos. O "Adware" é usado para apresentar os incômodos pop-ups ou janelas que se abrem quando se está navegando na internet ou usando uma aplicação. C"Dialers". Este tipo de Grayware controla o módem do computador. Na maioria das vezes, sem o consentimento do usuário, provocam que o computador chame a um site pornográfico ou outro tipo destes, sempre com o propósito de gerar ingressos para o website. "Jogos". Estes programas são jogos que se instalam e produzem incômodo visto que “correm” no computador sem que o usuário o solicite. "Spyware". São usualmente incluídos com freeware. Estes programas fazem um seguimento e analisam a atividade do usuário, como por exemplo, os hábitos de navegação na internet. "Keylogger". É talvez uma das aplicações mais perigosas. Capturam tudo o que o usuário “tecla” em seu computador. Podem capturar nomes de usuários e senhas, cartões de crédito, e-mails, chat e muito mais. "Toolbars". São instaladas para modificar o browser ou navegador. Já não aconteceu de aparecer uma barra de busca em seu navegador sem você saber ou fazer nada?

18. PHISHINGDEFINIÇÃO: Forma de fraude eletrônica, caracterizada por tentativas de adquirir informações sigilosas, tais como senhas e números de cartão de crédito, ao se fazer passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, como um correio ou uma mensagem instantânea.E-mailUm estelionatário envia e-mails falsos forjando a identidade de entidades populares como sítios de entretenimento, bancos, empresas de cartão de crédito, lojas, etc. Eles tentam persuadir os receptores a fornecer dados pessoais como: nome completo, endereço, nome da mãe, número da segurança social, cartões de crédito, números de conta bancária, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilícitas.O furto de informações bancárias ocorrem através de mensagens recebidas que contém ligações que apontam para sítios que contém programas de computador que, se instalados, podem permitir a captura de informações, principalmente números de contas e senhas bancárias.OrkutRoubo de informações bancárias através de mensagens de phishing deixadas no "Livro de recados“ dos participantes.A identidade contida nas mensagens é de uma pessoa conhecida da vítima, o que aumenta a probabilidade de sucesso do golpe. Essa identidade é obtida, normalmente, pelo roubo (geralmente via phishing) do login e da senha do Orkut da pessoa que está "enviando" o recado.A mensagem contém uma ligação que aponta diretamente para um cavalo de tróia de captura de senhas bancárias (e as vezes senhas do próprio Orkut).

19. CLASSIFICAÇÃO DOS ATAQUESAtaques PASSIVOS. _ Incluem leitura não autorizada de mensagem de arquivo e análise de tráfego.Ataques ATIVOS._ Leitura não autorizada com modificação de mensagens, arquivos ou negação de serviço.

20. PREVENÇÃO DE ATAQUESMecanismos de segurança:Qualquer processo projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança.Serviços de segurança:Incluem autenticação, controle de acesso, confidencialidade de dados, integridade de dados, irretratabilidade e disponibilidade.

21. MECANISMOS DE SEGURANÇA - EXEMPLO

22. AVALIAÇÃO DOS RISCOShttp://eval.symantec.com/mktginfo/enterprise/other_resources/ent-it_risk_management_report_02-2007.en-us.pdf

23. PLANOS DE CONTINGÊNCIAO QUE É? Uma estrutura para identificar as vulnerabilidades operacionais de uma empresa e estruturar planos para enfrentar com eficácia as situações adversas.PARA QUE SERVE?No dia-a-dia: identifica riscos e prováveis impactos, traça estratégias e planos de ação e organiza testes e exercícios práticos.

24. Em situações de emergência: reduz os danos a pessoas, ao patrimônio e ao meio ambiente.PLANOS DE CONTINGÊNCIAQUE ÁREAS PROTEGE?Operações

25. Finanças

26. Tecnologia da Informação.PLANOS COMPLEMENTARESPlano de Continuidade de Negócio (PCN)PGCPlano de Emergência(PAE)Plano de Comunicação de crises(PCC)

27. GERENCIAMENTO DA SEGURANÇAO que é? A Segurança da Informação é constituída, basicamente, por um conjunto de controles, incluindo política, processos, estruturas organizacionais e normas e procedimentos de segurança. Objetiva a proteção das informações dos clientes e da empresa, nos seus aspectos de confidencialidade, integridade e disponibilidade.

28. GERENCIAMENTO DA SEGURANÇA

29. ANTI SPAM / ANTI SPYWARE / ANTI VÍRUSAnti SpamAnti SpywareAnti VírusServiços de e-mails contém proteções contra SPAMS que verificam o conteúdo do E-mail para bloquear o recebimento de mensagens de servidores suspeitos e com conteúdo que possa conter ameaças como vírus e phishing, assim como propagandas inconvenientesAntispywares (anti = contra, spy = espião, ware = mercadoria, programa ) são programas utilizados para combater spyware, adware, keylogers entre outros programas espiões. Entre esses programas estão os: firewalls, antivírus entre outros.Os antivírus são programas de computador concebidos para prevenir, detectar e eliminar vírus de computador

30. FIREWALLDefinição: dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto de controle da rede. Sua função consiste em regular o tráfego de dados entre redes distintas e impedir a transmissão e/ou recepção de acessos nocivos ou não autorizados de uma rede para outra. Este conceito inclui os equipamentos de filtros de pacotes e de proxy de aplicações, comumente associados a redes TCP/IP. Existe na forma de software e hardware, ou na combinação de ambos (neste caso, normalmente é chamado de “appliance").Lembrando...As LANs são utilizadas para conectar estações, servidores, periféricos e outros dispositivos que possuam capacidade de processamento em uma casa, escritório, escola e edifícios próximos.WAN = Rede de área alargada ou Rede de longa distância, (Rede geograficamente distribuída), é uma rede de computadores que abrange uma grande área geográfica, com freqüência um país ou continente.

31. VPNO que é VPN? É uma rede privada construída sobre a infra-estrutura de uma rede pública, normalmente a Internet. Ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar redes remotas, utiliza-se a infra-estrutura da Internet.Vantagens: Os links dedicados são caros, e do outro lado está a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo. Conexões com a Internet podem ter um custo mais baixo que links dedicados, principalmente quando as distâncias são grandes.Desvantagens: Privacidade, pois a Internet é uma rede pública, onde os dados em trânsito podem ser lidos por qualquer equipamento. Para solucionar esta questão incorporamos a criptografia na comunicação entre hosts da rede privada de forma que, se os dados forem capturados durante a transmissão, não possam ser decifrados. Os túneis virtuais habilitam o tráfego de dados criptografados pela Internet e esses dispositivos, são capazes de entender os dados criptografados formando uma rede virtual segura sobre a rede Internet.Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a privacidade, integridade, autenticidade dos dados.Funcionamento1ª Forma:Um simples host em trânsito, conecta em um provedor Internet e através dessa conexão, estabelece um túnel com a rede remota.

32. VPNFuncionamento2ª Forma:Duas redes se interligam através de hosts com link dedicado ou discado via internet, formando assim um túnel entre as duas redes.Os protocolos utilizados no túnel virtual, são, (IPSec) Internet ProtocolSecurity, (L2TP) Layer 2 TunnelingProtocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-PointTunnelingProtocol. O protocolo escolhido, será o responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado.Quando uma rede quer enviar dados para a outra rede através da VPN, um protocolo, exemplo IPSec, faz o encapsulamento do quadro normal com o cabeçalho IP da rede local e adiciona o cabeçalho IP da Internet atribuída ao Roteador, um cabeçalho AH, que é o cabeçalho de autenticação e o cabeçalho ESP, que é o cabeçalho que provê integridade, autenticidade e criptografia à área de dados do pacote. Quando esses dados encapsulados chegarem à outra extremidade, é feito o desencapsulamento do IPSece os dados são encaminhados ao referido destino da rede local.

33. IPSec (Segurança de IP)Definição: É um protocolo padrão de camada 3 que oferece transferência segura de informações fim a fim através de rede IP pública ou privada. Essencialmente, ele pega pacotes IP privados, realiza funções de segurança de dados como criptografia, autenticação e integridade, e então encapsula esses pacotes protegidos em outros pacotes IP para serem transmitidos. As funções de gerenciamento de chaves também fazem parte das funções do IPSec.Tal como os protocolos de nível 2, o IPSec trabalha como uma solução para interligação de redes e conexões via linha discada. Ele foi projetado para suportar múltiplos protocolos de criptografia possibilitando que cada usuário escolha o nível de segurança desejado.FuncionamentoOs requisitos de segurança podem ser divididos em 2 grupos (independentes entre si) podendo ser utilizado de forma conjunta ou separada: Autenticação e Integridade;

34. Confidencialidade. Para implementar estas características, o IPSecé composto de 3 mecanismos adicionais:ISAKMP - Internet Security Association and Key Management ProtocolProtocolo que rege a troca de chaves criptografadas utilizadas para decifrar os dados. Define procedimentos e formatos de pacotes para estabelecer, negociar, modificar e deletar as SAs (onde contêm todas as informações necessárias para execução de serviços variados de segurança na rede, tais como serviços da camada IP - autenticação de cabeçalho e encapsulamento, serviços das camadas de transporte, e aplicação ou auto-proteção durante a negociação do tráfego). Define pacotes para geração de chaves e autenticação de dados. AH - Autentication HeaderA segurança é garantida através da inclusão de informação para autenticação no pacote a qual é obtida através de algoritmo aplicado sobre o conteúdo dos campos do datagrama IP, excluindo-se aqueles que sofrem mudanças durante o transporte. Estes campos abrangem não só o cabeçalho IP como todos os outros cabeçalhos e dados do usuário. ESP - EncapsulationSecurityPayloadPropriedade da comunicação que permite que apenas usuários autorizados entendam o conteúdo transportado. Desta forma, os usuários não autorizados, mesmo tendo capturado o pacote, não poderão ter acesso às informações nele contidas. O mecanismo mais usado para prover esta propriedade é chamado de criptografia. O ESP também provê a autenticação da origem dos dados, integridade da conexão e serviço anti-reply.

35. Segurança de E-mail - PGPDefinição: É um sistema de segurança avançado para correio eletrônicoO que é? Para cada pessoa que usa PGP é criada uma "assinatura" única e exclusiva. São criadas duas chaves: uma pública e uma privada. Então você tem a opção de "assinar" com o PGP todas suas mensagens enviadas com sua chave pública. A chave pública irá certificar o receptor que você é você mesmo, e não outra pessoa utilizando um SMTP fantasma (servidor de envio). A chave privada é a exigência para você criptografar sua mensagem, pois a senha é única e exclusivamente sua. PGP só tem cabimento se o receptor também usar PGP. Com as duas pessoas usando PGP, elas podem trocar e-mails criptografados com algoritmos seguros utilizados internacionalmente, sem possibilidade que intrusos. Nem mesmo a polícia tem acesso. A não ser que você ceda sua senha da chave privada.FuncionamentoO PGP exige que você digite uma senha, previamente criada quando instala o programa e cria sua conta pessoal, toda vez em que for enviar um e-mail. Se alguém usar seu computador e não tiver a senha, o e-mail é enviado sem a assinatura de autenticação. E sem a assinatura do PGP, o receptor já pode desconfiar de que você pode não ser exatamente você? Ao receber o e-mail, o PGP na casa do receptor pode automaticamente conferir os dados de sua chave pública para ver se você é você mesmo, através de uma sincronia em tempo real com os servidores do PGP. Caso o e-mail não esteja assinado com sua chave, voltamos à estaca zero: qualquer pessoa pode alterar o nome do remetente e se fazer passar pelo Bill Gates, George Bush, Lula da Silva etc. A assinatura funciona, enfim, para comprovar a veracidade do envio da mensagem, nada mais. O conteúdo do e-mail não é criptografado, apenas a assinatura específica do programa o é. É um recurso de confirmação do remetente. O conteúdo do e-mail, porém, continua bastante inseguro.

36. Segurança de E-mail – S/MIMEDefinição: Um agente S/MIME é um software que pode atuar como um agente de envio e/ou recebimento. Um agente de envio é um software capaz de criar objetos S/MIME CMS e mensagens MIME que contenham objetos CMS. Um agente de recebimento é um software capaz de interpretar e processar esses objetos. Um agente S/MIME deve suportar os principais algoritmos de criptografia. Por exemplo: algoritmos de hash: SHA-1 e MD-5; algoritmos de assinatira digital: DSS e RSA-PSS; algoritmos de encriptação: rsaEncryption e Diffie-Hellmankeyexchange.Opções do S/MIME CMSTipos de conteúdo utilizados no S/MIME:Signed-data: Garante a autenticidade, integridade e não-repúdio de uma mensagem. Qualquer tipo de conteúdo pode ser assinado por um número qualquer de assinantes em paralelo. Assinatura digital será detalhada posteriormente

37. Enveloped-data: Garante a confidencialidade de uma mensagem. A combinação do conteúdo encriptado com a chave de encriptação do conteúdo encriptada para um destinatário é chamada de digital envelope. Se um agente de envio deseja enviar uma mensagem deste tipo para um grupo de destinatários este será obrigado a enviar mais de uma mensagem. O processo de criação de uma mensagem do tipo enveloped-data, utiliza criptografia tanto por chaves simétricas quanto por chaves assimétricas. Este processo é feito da seguinte forma: - Uma chave de encriptação do conteúdo (chave de sessão) é gerada de maneira aleatória, e encriptada com a chave pública do destinatário, para cada destinatário.- O conteúdo é encriptado com a chave de sessão.- As informações específicas de cada destinatário são combinadas com o conteúdo encriptado para se obter a EnvelopedData. Essa informação é então codificada em Base64.O receptor, por sua vez, abre o envelope, descriptando a chave de sessão com sua chave privada, e depois descriptando o conteúdo com a chave de sessão obtida

38. CRIPTOGRAFIA SIMÉTRICAAlgoritmosCHAVE: Permite a utilização do mesmo algoritmo criptográfico para a comunicação com diferentes receptores, apenas trocando a chave

39. Permite trocar facilmente a chave no caso de uma violação, mantendo o mesmo algoritmo

40. Como cada par necessita de uma chave para se comunicar de forma segura, para uma rede de n usuários precisaríamos de algo da ordem de n2 chaves, quantidade esta que dificulta a gerência das chaves;

41. A chave deve ser trocada entre as partes e armazenada de forma segura, o que nem sempre é fácil de ser garantido

42. A criptografia simétrica não garante a identidade de quem enviou ou recebeu a mensagem (autenticidade e não-repudiação). vantagensdesvantagensCadeia aleatória de bits utilizada em conjunto com um algoritmo. Cada chave distinta faz com que o algoritmo trabalhe de forma ligeiramente diferenteO número de chaves possíveis depende do tamanho (número de bits) da chave. Quanto maior o tamanho da chave, mais difícil quebrá-la, pois estamos aumentando o número de combinações.

43. EX: uma chave de 8 bits permite uma combinação de no máximo 256 chaves.CRIPTOGRAFIA SIMÉTRICAAlgoritmo SimétricoBitsDescriçãoDES56É o algoritmo simétrico mais disseminado no mundo. Apesar de permitir cerca de 72 quadrilhões de combinações (256), seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "força bruta" em 1997 em um desafio.Triple DES112 ou 168É uma variação do DES, utilizando-o em três ciframentos sucessivos, podendo ser usado com duas ou três chaves diferentes. É seguro, porém lento para ser um algoritmo padrãoIDEA128É estruturado seguindo as mesmas linhas gerais do DES porém na maioria das vezes uma implementação por software do IDEA é mais rápida do que uma por software do DES. O IDEA é utilizado principalmente no mercado financeiro e no PGP, o programa para criptografia de e-mail pessoal mais disseminado no mundo.Blowfish32 a 448Algoritmo que oferece a escolha entre maior segurança ou desempenho através de chaves de tamanho variável.RC28 a 1024utilizado no protocolo S/MIME, voltado para criptografia de e-mail corporativo. Também possui chave de tamanho variável.

44. CRIPTOGRAFIA ASSIMÉTRICAPar de chaves: uma privada e uma pública. Qualquer uma das chaves é utilizada para cifrar uma mensagem e a outra para decifrá-la. As mensagens cifradas com uma das chaves do par só podem ser decifradas com a outra chave correspondente. A chave privada deve ser mantida secreta, enquanto a chave pública disponível livremente.- Qualquer um pode enviar uma mensagem secreta apenas utilizando a chave pública de quem irá recebê-la. Como a chave pública está amplamente disponível não há necessidade do envio de chaves como é feito no modelo simétrico. A confidencialidade da mensagem é garantida enquanto a chave privada estiver segura. Caso contrário, quem possuir a chave privada terá acesso às mensagens.- Permite assinatura digital que garante a autenticidade de quem envia a mensagemvantagensdefinição

45. CRIPTOGRAFIA ASSIMÉTRICAAlgoritmoDescriçãoRSAÉ o algoritmo de chave pública mais utilizado e é uma das mais poderosas formas de criptografia de chave pública. O RSA utiliza números primos pois é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Derivar a chave privada a partir da chave pública envolve fatorar um grande número. Se o número for bem escolhido ninguém poderá fazer a fatoração em uma quantidade de tempo razoável. Cerca de 95% dos sites de comércio eletrônico utilizam chaves RSA de 512 bits.ElgamalÉ um sistema comutativo. O algoritmo envolve a manipulação matemática de grandes quantidades numéricas. Assim, o ElGamal obtém sua segurança da dificuldade de se calcular logaritmos discretos em um corpo finito, o que lembra bastante o problema da fatoração.Diffie-HellmanÉ o criptosistema de chave pública mais antigo ainda em uso, porém não permite ciframento nem assinatura digital. O sistema foi projetado para permitir dois indivíduos entrarem em um acordo ao compartilharem um segredo tal como uma chave, embora somente troquem mensagens em público.Curvas ElípticasSão modificações em outros sistemas (ElGamal, por exemplo), que passam a trabalhar no domínio das curvas elípticas, em vez de trabalharem no domínio dos corpos finitos. Eles provêem sistemas criptográficos de chave pública mais seguros e com chaves de menor tamanho. Muitos algoritmos de chave pública, como o Diffie - Hellman, o ElGamal e o Schnorr podem ser implementados em curvas elípticas sobre corpos finitos. Assim, fica resolvido um dos maiores problemas dos algoritmos de chave pública: o grande tamanho de suas chaves. Porém em geral são mais demorados do que o RSA.

46. ASSINATURA DIGITALA assinatura digital não garante a confidencialidade da mensagem. Qualquer um poderá acessá-la apenas com a chave pública. Para obter confidencialidade basta combinar os dois métodos (primeiro assina a mensagem, utilizando sua chave privada e em seguida criptografa a mensagem novamente, junto com a assinatura utilizando a chave pública). Ao receber a mensagem primeiramente vamos decifrá-la com sua chave privada, o que garante sua privacidade. Em seguida, "decifrá-la" novamente verificando sua assinatura utilizando a chave pública, garantindo assim sua autenticidade.AlgoritmoDescriçãodefiniçãoRSAConforme apresentado anteriormente, há uma chave pública e uma chave privada, e a segurança do sistema baseia-se na dificuldade da fatoração de números grandes.ElGamalTambém apresentado anteriormente, é comutativo e pode ser utilizado tanto para assinatura digital quanto para gerenciamento de chaves. Obtém sua segurança da dificuldade do cálculo de logaritmos discretos em um corpo finito.DSAUnicamente destinado a assinaturas digitais. Trata-se de uma variação dos algoritmos de assinatura ElGamal e Schnorr. Foi inventado pela NSA e patenteado pelo governo americano.

47. FUNÇÃO HASHINGFunção Hashing: impressão digital de uma mensagem, a partir de uma entrada de tamanho variável, um valor fixo pequeno: o digest ou valor hash (este valor está para o conteúdo da mensagem assim como o dígito verificador de uma conta-corrente está para o número da conta ou o checksum está para os valores que valida)Garante a integridade do conteúdo da mensagem. Assim, após o valor hash de uma mensagem ter sido calculado através do emprego de uma função hashing, qualquer modificação em seu conteúdo (mesmo em apenas um bit) será detectada, pois um novo cálculo do valor hash sobre o conteúdo modificado resultará em um valor hash bastante distinto.definição

48. FUNÇÃO HASHINGFunçõesDescriçãoMD5O algoritmo produz um valor hash de 128 bits para uma mensagem de entrada de tamanho arbitrário. Foi projetado para ser rápido, simples e seguro. Foi descoberta uma fraqueza em parte do MD5, mas até agora ela não afetou a segurança global do algoritmo, porém o fato dele produzir uma valor hash de somente 128 bits causa grande preocupação (é preferível uma que produza um valor maior)SHA-1Gera um valor hash de 160 bits a partir de um tamanho arbitrário de mensagem. O funcionamento do SHA-1 é muito parecido com o observado no MD4 com melhorias em sua segurança. A fraqueza existente em parte do MD5, citada anteriormente, não ocorre no SHA-1. Atualmente não há nenhum ataque de criptoanálise conhecido contra o SHA-1 devido ao seu valor hash de 160 bits.MD2 e MD4O MD4 é o precursor do MD5, que foi escrito após terem sido descobertas algumas fraquezas no MD4. O MD4 não é mais utilizado. O MD2 produz um hash de 128 bits e a segurança é dependente de uma permutação aleatória de bytes. Não é recomendável sua utilização, pois, em geral, é mais lento do que as outras funções hash citadas e acredita-se que seja menos seguro.

49. SimétricaAssimétricaALGORITMOS CRIPTOGRÁFICOS Rápida

50. Gerência e distribuição das chaves é complexa

51. Não oferece assinatura digital

52. Lenta

53. Gerência e distribuição simples

54. Oferece assinatura digital

55. Os algoritmos podem ser combinados para a implementação dos três mecanismos criptográficos básicos: o ciframento, a assinatura e o Hashing. Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquitetura de segurança dos produtos destinados ao comércio eletrônico.

56. Estes protocolos criptográficos, portanto, provêm os serviços associados à criptografia que viabilizam o comércio eletrônico: disponibilidade, sigilo, controle de acesso, autenticidade, integridade e não-repúdio.PROTOCOLOS QUE EMPREGAM SISTEMAS CRIPTOGRÁFICOS HÍBRIDOProtocoloDescriçãoIPSecÉ composto de três mecanismos criptográficos: Authentication Header (define a funçãoHashing para assinatura digital), EncapsulationSecurityPayload (define o algoritmo simétrico para ciframento) e ISAKMP (define o algoritmo assimétrico para Gerência e troca de chaves de criptografia). Criptografia e tunelamento são independentes. Permite Virtual Private Network fim-a-fim. Futuro padrão para todas as formas de VPN.Realiza também o tunelamento de IP sobre IP. SSL e TLSOferecem suporte de segurança criptográfica para os protocolos NTTP, HTTP, SMTP e Telnet. Permitem utilizar diferentes algoritmos simétricos, messagedigest (hashing) e métodos de autenticação e gerência de chaves (assimétricos).PGPÉ um programa criptográfico famoso e bastante difundido na Internet, destinado a criptografia de e-mail pessoal. Algoritmos suportados: hashing: MD5, SHA-1, simétricos: CAST-128, IDEA e 3DES, assimétricos: RSA, Diffie-Hellman/DSS.S/MIMEO S/MIME consiste em um esforço de um consórcio de empresas, liderado pela RSADSI e pela Microsoft, para adicionar segurança a mensagens eletrônicas no formato MIME. Apesar do S/MIME e PGP serem ambos padrões Internet, o S/MIME deverá se estabelecer no mercado corporativo, enquanto o PGP no mundo do mail pessoal.SETO SET é um conjunto de padrões e protocolos, para realizar transações financeira seguras, como as realizadas com cartão de crédito na Internet. Oferece um canal de comunicação seguro entre todos os envolvidos na transação. Garante autenticidade X.509v3 e privacidade entre as partes.X.509Especificação que define o relacionamento entre as autoridades de certificação. Utilizado pelo S/MIME, IPSec, SSL/TLS e SET. Baseado em criptografia com chave pública (RSA) e assinatura digital (com hashing).

57. CERTIFICADO DIGITAL1- Localizar a chave pública de qualquer pessoa com quem se deseja comunicar 2- Obter uma garantia de que a chave pública encontrada seja proveniente daquela pessoa gerenciamento de chaves Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores. Deste modo, quando um interlocutor enviar uma mensagem ao outro solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. O intruso poderá decifrar todas as mensagens, cifrá-las novamente ou, se preferir, pode até substituí-las por outras mensagens. Evitam tentativas de substituição de uma chave pública por outra. É um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública.Através dele podemos garantir que a informação enviada está correta e que a chave pública em questão realmente pertence ao remetente .O destinatáriopor sua vez, confere a assinatura e então utiliza a chave pública em pauta. definiçãoCertificados de CA: utilizados para validar outros certificados; são auto-assinados ou assinados por outra CA.

58. Certificados de servidor: utilizados para identificar um servidor seguro; contém o nome da organização e o nome DNS do servidor.

59. Certificados pessoais: contém nome do portador e informações como endereço eletrônico, endereço postal, etc.

60. Certificados de desenvolvedores de software: utilizados para validar assinaturas associadas a programas.CRIPTOGRAFIA / CRIPTOANÁLISECriptografia é o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da “chave secreta”).CriptologiaCriptografiaCódigosCifrasTransposiçãoSubstituiçãoEsteganografiaCripto-análiseCriptoanálise é a arte de se tentar descobrir o texto cifrado e/ou a lógica utilizada em sua encriptação (chave). É o esforço de decodificar ou decifrar mensagens sem que se tenha o conhecimento prévio da chave secreta que as gerou.

61. ESTENOGRAFIACriptologiaCriptografiaCódigosConsiste, não em fazer com que uma mensagem seja ininteligível, mas em camuflá-la, mascarando a sua presença. Ao contrário da criptografia, que procura esconder a informação da mensagem, a estenografia procura esconder a existência da mensagem. Técnicas de esteganografias podem ser empregadas em diversos meios, digitais ou não:Textos