Post on 13-Jan-2015
description
SEGURANÇA DAS INFORMAÇÕES E CONTINUIDADE DOS NEGÓCIOS
Mateus Tavares da Silva Cozer
WILLIAM DA SILVA Nº 12106435-6KLEBER F. FEITOSA Nº 12106560-1FERNANDO FORNEIRO Nº 12106026-3
Roteiro
Necessidades de segurança
Privacidade
Planos de Contingência
ASP – Application Service Provider
Criptografia
Conclusão
Necessidades de Segurança
Segurança da Informação
Segurança Nacional
Comércio Eletrônico
Privacidade
Segurança da Informação
A Segurança da Informação garante que os ativos da instituição sejam protegidos sob três requisitos:
Confidencialidade: é o sigilo da informação. Garantia de que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.
Integridade: garantia de que as informações irão permanecer em seu estado original, protegida de alterações.
Disponibilidade: garantia de que as informações estarão acessíveis àqueles que dela necessitam, no momento em que precisam.
Segurança Nacional
Guerra Cibernética
“Corresponde ao uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores . Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.”
Fonte: CyberWar: Security, Strategy and Conflict in the Information Age, Campen, Dearth and Goodden, ©AFCEA International Press 1996
Segurança Nacional
Ambiente Cibernético é tratado por diversos países como um novo teatro de guerra, juntamente com mar, ar, terra e espaço.
Tecnologia “hacker” é item bélico.
23 países tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite. (fonte:Infowar Conference 2001)
Segurança Nacional
China e Rússia vêm se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na Internet.
Doutrina oriunda da Guerra Fria: conceito de estar sempre respondendo com tecnologia de ponta.
Segurança Nacional
Ex. de Atuações da China ...
Bombardeio Americano à
Embaixada Chinesa em
Belgrado (1999).
Retaliação: hackers chineses
atacaram sites do Governo dos EUA (Casa Branca e Dep. de Energia) e invadem diversos outros sistemas.
Segurança Nacional
Iniciativas Governamentais nos EUA... (1998) Diretiva Presidencial 63 (PDD-63):
determina realizar toda medida necessária para eliminar vulnerabilidades a ataques cibernéticos nas infra-estruturas críticas.
(2000) criação do Cyber National InformationCenter: reunindo Governo e setor privado na defesa de sistemas de computadores.
Em decorrência dos ataques de 11SET, ocorre em 2002 a criação do National InfrastructureProtection Center (NIPC) subordinado ao Dep. Homeland Security.
Segurança Nacional
http://www.us-cert.gov/
Comércio Eletrônico
Exigências da Segurança da Informação no Comércio Eletrônico
Confidencialidade
Autenticidade
Integridade:
Comércio Eletrônico
Confidencialidade: garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. Atualmente, confidencialidade é considerada como sendo o dever de resguardar todas as informações que dizem respeito a uma pessoa, isto é, a sua privacidade. A confidencialidade é o dever que inclui a preservação das informações privadas e íntimas.
Comércio Eletrônico
Autenticidade: a prova da identidade para a concessão da autorização.
Comércio Eletrônico
Integridade: garantia de que os dados trafegados não sofram nenhuma alteração durante seu percurso.
Privacidade
Banco de dados são criados armazenando as mais variadas informações sobre o consumidor sem qualquer controle prévio e o que é mais grave, as informações ali contidas são compartilhadas e transmitidas para terceiros que a princípio não guardam qualquer relação...
Privacidade
Por que fazem isso?
A Internet, nos últimos anos, revelou-se como um poderoso veículo para a divulgação de produtos e serviços, em vista do grande número de usuários e do baixo custo de veiculação de publicidade.
Daí a ânsia de se saber os hábitos e preferências dos usuários, para melhor dirigir a oferta dos
bens de consumo.
Privacidade
A coleta de informações na Internet acontece na maioria das vezes de maneira
indiscriminada, sendo possível saber, por exemplo, através do monitoramento da
navegação no site de uma livraria, as preferências ideológicas, crenças religiosas,
opções sexuais do consumidor, ampliando-se e agravando-se as formas de interferência na
vida privada do internauta.
Formas de invasão da privacidade
Cookies
Web bugs
Spywares
Spam's
Mineração de dados
Sniffing
Spoofing
Cookies
São pequenos arquivos de texto enviados e gravados no computador do internauta;
Podem ser recuperados pelo site que o enviou durante a navegação
A maneira como a informação é armazenada pode revelar-se prejudicial para o utilizador
De um modo geral o envio desses arquivos de registro para o computador do usuário faz-se sem o seu consentimento,
Web bugs
Um web bug é uma imagem minúscula e invisível, colocada nas páginas dos sites comerciais que possui a capacidade de monitorar a navegação do internauta.
Essas imagens tornam-se invisíveis porque, além de muito pequenas, a cor utilizada no web bug é a mesma da página onde está localizado
Web bugs
O web bug pode requisitar inúmeros dados de navegação, tais como endereço IP do computador, o tempo de visita na página, tipo de navegador, dia e hora em que o site foi visitado, quais as páginas que o internauta está conectado, além das informações que se encontram nos cookies presentes no computador do usuário.
O maior problema do web bug é a sua
execução sem o conhecimento e
autorização do internauta.
Spywares
São programas que se instalam nos computadores dos internautas de maneira sub-reptícia
Acompanham na maioria das vezes outros programas distribuídos gratuitamente pela Internet
Sua função é, uma vez instalado sem conhecimento do usuário, monitorar o seu comportamento e recolher dados pessoais remetendo-os aos fabricantes dos softwares "gratuitos" ou seu patrocinadores
Spywares
O lucro das companhias de software gratuito advém da venda dos dados pessoais e da publicidade que isto proporciona
As informações são também vendidas para companhias que enviam spams
O spyware pode examinar qualquer informação do PC, desde a lista de sites visitados até os dados pessoais relativos ao nome, endereço, e-mail, número de cartão de crédito e de telefone.
Spywares
Os freewares mais conhecidos que possuem embutidos esses códigos espiões são o Kazaa, Gator, Go!Zilla, GetRigth, CuteFTP e o Alexa (software da Amazon.com).
Spams
Envio de e-mail não autorizado previamente para o usuário;
Meio de publicidade extremamente barato para as empresas;
A mensagem deve ter conteúdo comercial para ser considerada como spam;
Segundo relatório divulgado pela empresa anti-spam Brightmail as mensagens não solicitadas (spams) representam 50% dos e-mails que circulam na Internet
Os servidores do Hotmail, serviço de webmail gratuito mais usado no mundo, pertencente a Microsoft, têm barrado, diariamente, 2,4 bilhões de mensagens não solicitados antes que sejam lidas pelos usuários.
Spams
Vão desde a oferta de serviços milagrosos para solução de problemas financeiros, promessas de enriquecimento rápido e até pornografia.
O conteúdo dos spams pode trazer publicidade indiscriminada, isto é, sem preocupação com as predileções dos consumidores ou publicidade dirigida, cuja mensagem foi montada a partir de perfis dos consumidores previamente montados.
Spams
Spams (Precauções p/ Dimunir)
Ex. Yahoo Anti-Spam...
• Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam
• Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário
• Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores
Spams (Modo de Prevenir)
http://antispam.yahoo.com/
Mineração de dados
Uma forma mais sofisticada de coleta e análise de dados dos consumidores.
Um processo computacional conhecido como reconhecimento de padrões em banco de dados.
As empresas de telecomunicações e bancos são os principais usuários desse processo.
Os dados armazenados e analisados vão desde informações cadastrais e de movimentação financeira até contatos que o cliente faz com a empresa, por telefone ou email.
Sniffing
Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer(também conhecido como Packet Sniffer)
Esta ferramenta é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores
Sniffing
Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo
O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos
Spoofing
Técnica sofisticada utilizada por hackers e crackers que os permite acessar sistemas controlados passando-se por pessoa autorizada a fazê-lo.
No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.
Outras Ameaças e suas característicasTipo Característica
Arquivo
Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa
normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age
diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam
executados.
Alarme
falso
Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior
número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente.
Backdoor
Como o próprio nome diz, é um vírus que permitem que hackers controlem o micro infectado pela "porta de trás". Normalmente, os
backdoors vêm embutidos em arquivos recebidos por e-mail ou baixados da rede. Ao executar o arquivo, o usuário libera o vírus, que
abre uma porta da máquina para que o autor do programa passe a controlar a máquina de modo completo ou restrito.
BootVírus que se infecta na área de inicialização dos disquetes e de discos rígidos. Essa área é onde se encontram arquivos essenciais ao
sistema. Os vírus de boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro.
Cavalo de
Tróia ou
Trojan
São programas aparentemente inofensivos que trazem embutidos um outro programa (o vírus) maligno.
Encriptados Tipo recente que, por estarem codificados, dificultam a ação dos antivírus.
Hoax Vírus boato. Mensagens que geralmente chegam por e-mail alertando o usuário sobre um vírus mirabolante, altamente destrutivo.
MacroTipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar
tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair.
Multipartite Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos
Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado
PolimórficoVariação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de
codificação.
Programa Infectam somente arquivos executáveis, impedindo, muitas vezes, que o usuário ligue o micro.
Script
Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem
de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas,
como .vbs.doc, vbs.xlsou js.jpg
StealthVírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar
um arquivo sem necessariamente alterar o arquivo infectado.
Cibersegurança e o Domínio Público
“À medida que o mundo se torna mais dependente de sistemas digitais e da
internet, a segurança e a confiabilidade desses sistemas complexos são mais críticas
do que nunca. Atender às demandas da sociedade em relação à infra-estrutura
digital requer ao mesmo tempo as tecnologias corretas e as políticas públicas
apropriadas.”
Fonte:http://ciberdominiopublico.blogspot.com/
Blog Cibersegurança e Domínio Público
http://ciberdominiopublico.blogspot.com/
Cibersegurança e o Domínio Público
Aborda temas atuais: "Aos Pais o Poder de Ajudar as
Crianças a Desfrutar das Novas Mídias“
"A Memória na Era Digital e o Fim do Esquecimento“
"O Ensino da Ética e da Cidadania Digitais“
“Democracia cibernética”
Blog do Prof. Ruy de Queiroz
http://www.blogger.com/profile/07711690722235875428
Blog do Prof. Ruy de Queiroz
Professor Associado, Univ. Federal de Pernambuco (UFPE)
Membro do Grupo de Teoria, CIn-UFPE
Co-Editor-in-Chief, Logic Journal of the IGPL, Oxford U. Press
Coordenador do Interest Group in Pure and Applied Logics
Membro do Corpo Editorial do The International Directory ofLogicians
Associate Editor, Journal of Computer and System Sciences
Contatos:
http://www.blogger.com/profile/07711690722235875428
http://br.linkedin.com/pub/ruy-de-queiroz/18/685/a45
http://twitter.com/ruydequeiroz
Computer and Network Security
Hackers históricos
Perfil: - Homem- Idade entre 14 e 34 anos- Viciados em computador- Sem namoradas fixas
Da esquerda para a direita: Adrian Lamo, Kevin Mitnick, Kevin Poulsen
Computer and Network Security
Tendências
Softwares maliciosos continuam crescendo
- Em 2008 aparecem mais software maliciosos que todos os anos anteriores juntos.
- Em 2009 a tendência é de crescimento
- Surgem mais softwares “ruins” do que “bons”
Web cada vez mais como foco de ataques
- Acesso remoto (casa/trabalho) facilita o ataque dos hackers
Computer and Network Security
Quão grande é a questão de segurança?cERT Vulnerabilities reported
Computer and Network Security
Caso Iphone (2007)
iPhone Safari downloads malicious web page
- Código arbitrário executado com privilégios administrativos
- Permite realizar ações físicas no telefone
- Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc.
iPhone security measures
- Versão simplificada e personalizada do Mac OS X
- MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados.
- Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podemser montados
Computer and Network Security
Caso Iphone (2007)
iPhone Safari downloads malicious web page
- Código arbitrário executado com privilégios administrativos
- Permite realizar ações físicas no telefone
- Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc.
iPhone security measures
- Versão simplificada e personalizada do Mac OS X
- MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados.
- Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podemser montados
Computer and Network Security
Porque existem vulnerabilidades de segurança?
- Porque programadores escrevem códigos inseguros?
Alguns fatores que contribuem?
- Poucos cursos em segurança da internet
- Livros de programação não dão enfase a segurança
- Consumidores não se preocupam com segurança
- Segurança é caro e toma tempo
A vulnerability that is “too complicated for anyone to ever find” will be found !
Planos de Contingência
Plano de contingência ou continuidade dos negócios (PCN) – Garantia do restabelecimento das condições normais de operação dentro de um prazo aceitável, quando da ocorrência de um incidente de segurança.
Elaboração de tal plano é feito por meio de um documento que descreve passo a passo as ações a serem tomadas.
Planos de Contingência
Planejamento da Continuidade dos Negócios
No PCN, o incidente já ocorreu, objetiva-se minimizar o prejuízo gerado por tal incidente
Conforme: ABNT NBR 15999 1-2
Gestão de Riscos
Preocupação em evitar ou minimizar o risco da ocorrência de um incidente envolvendo segurança da informação
Conforme: ISO 31000
Planos de Contingência
Criando um PCN
O PCN detalha as ações a serem tomadas no caso de uma interrupção de um serviço da informação.
A elaboração e manutenção de um PCN demanda investimentos, mas um PCN deve ser encarado como o seguro de um bem, o ideal é nunca precisar utilizá-lo, mas se for necessário o retorno financeiro pode ser muito grande
Planos de Contingência
Planos de Contingência
Projeto
Podemos comparar a elaboração de um PCN com a condução de um projeto.
- Definir equipe de trabalho e uma pessoa que será “gerente do projeto”
- Apoio claro da alta direção da empresa
Planos de Contingência
Coordenador
Definir quem será o coordenador do projeto
- O coordenador é responsável por garantia que cada um envolvido no projeto tenha feito sua parte dentro dos prazos previamente definidos.
- Interlocutor entre equipe do PCN e alta direção
- Conhecer o negócio da empresa e adequar o PCN a ele.
Planos de Contingência
Equipe
A equipe deve estar pronta para assumir o controle das operações, caso ocorra um incidente que seja considerado um desastre.
- Responder ao incidente e determinar a necessidade de ativar um PCN.
- Recuperar sistemas críticos em sites alternativos.
- Recuperar site primário, retornar as operações ao site primário.
Planos de Contingência
Análise de Impacto nos Negócios
Objetiva demonstrar o impacto que um incidente pode causar para o negócio.
A AIN determina o MTD (Maximum Tolerable Downtime) para cada função crítica do negócio.
A partir da AIN é possível elabora um plano de recuperação realista, tanto em eficiência como em custo.
Planos de Contingência
Construção de uma AIN
- Definir técnicas de coleta de informação
- Selecionar os funcionários a serem entrevistados
- Elaborar questionários estruturados
- Analisar dados e gerar estrutura de informações
- Gerar relatório de recomendações
Planos de Contingência
Estratégias de Recuperação
São as possibilidades de contingência para cada incidente de segurança, são divididas em 4 categorias:
- Processos
- Ambientes
- Pessoas
- Tecnologias
ASP–Application Service Provider
O software de aplicação reside no sistema da empresa contratada, sendo acessado pelo cliente (usuário) através de um web browser usando geralmente HTML.
Considerações:
- A empresa ASP é detém e opera o software application
- ASP detém, opera e mantém o Server que suporta o software
- ASP disponibiliza a informação para os clientes via internet
- ASP realiza cobrança por uso, ou baseado no número de usuários, com taxas geralmente mensais
ASP–Application Service Provider
O cliente deve ver e se preocupar somente com a interface ASP/ Cliente, porém por trás dela há uma complexa cadeia para que o serviço seja efetuado...
- Implementação e customização de um ERP
- Operar um data center
ASP–Application Service Provider
Como Funciona um ASP?
ASP–Application Service Provider
Vantagens no uso de ASP
- Outsourcing “problems”
- Suporte Técnico
- Acesso everywhere – anyplace
- Pay-as-you-go
- Reduz capital de investimento
ASP–Application Service Provider
Desvantagens no uso de ASP
- Integração com cliente que não tem um sistema de ASP implementado pode ser crítico.
- Performance, no caso de problemas com a conexão
- Segurança da informação
Criptografia - Significado
Palavra de origem grega :
Kryptós - "escondido"
Gráphein - "escrita"
Criptografia - Definição
É o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade
Teoria dos números
A teoria dos números é basicamente a teoria das propriedades dos inteiros como, por exemplo, a divisibilidade, a paridade, a
relação de primos relativos etc. A seguir são apresentadas algumas dessas
propriedades.
Teoria dos números Divisibilidade
Teorema (Divisão)
Sejam a, b pertencentes a ℤ com b > 0. Então, existe um único par de inteiros q e r tais que
a = qb + r e 0 ≤ r < b
O inteiro q é chamado quociente e o inteiro r é chamado resto. r = 0 se e somente se b|a.
Exemplos:
– Sejam a = 37
e b = 5. Então o quociente é q = 8
e o resto é r = 3, porque
37= 8 * 5 + 3 e 0 ≤ 3 < 5
Teoria dos números- Div e Mod
São operações associadas ao processo de divisão. Dados a e b, essas operações dão o quociente e o resto no problema da divisão.
Definição:
Sejam a, b pertencente a ℤ com b > 0. Pelo Teorema da divisão existe um único par de inteiros q e r tais
que a = qb + r e 0 ≤ r < b. Definimos as operações div e mod como
a div b = q e a mod b = r.
Graficamente:
a/b
r/q
Exemplos:– 11 div 3 = 3 11 mod 3 = 2
Teoria dos números- Equivalênciamodular e Congruência
Sejam a, b, n pertencem a ℤ com n > 0. Então,
a = b (mod n) a mod n = b mod n.
Dizemos que a e b são congruentes módulo n se n é um divisor de a b.
Além disso,
ax = b (mod n) ax ny= b.
ou
ax =b (mod n) ax = b + ny.
Exemplo:
– Assim, 53 = 23 (mod 10) já que 53 mod 10 = 3 e 23 mod 10 = 3. Além disso, 53 e 23 são congruentes módulo 10 já que 10 é divisor de 5323 = 30.
Teoria dos números- Máximodivisor comum
O máximo divisor comum de dois números a, b pertencente
a ℤ, denotado por mdc(a, b), é o maior inteiro que divide a e
b.
Exemplos:
– mdc(30, 24) = 6
– mdc(30,24)= 6
Importante:
– Se a e b tem um máximo divisor comum, ele é único.
Teoria dos números- NúmerosPrimos
Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.
Primos e mdc
Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1.
Exemplos:
– 23 é primo, pois seus únicos divisores são 23 e 1
– 22 não é primo, pois é divisível por 1, 2, 11 e 22
Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
Teoria dos números- NúmerosPrimos
Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.
Primos e mdc
Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1.
Exemplos:
– 23 é primo, pois seus únicos divisores são 23 e 1
– 22 não é primo, pois é divisível por 1, 2, 11 e 22
Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.
Teoria dos números- NúmerosPrimos até 1000
Teoria dos números- AritméticaModular
A aritmética é o estudo das operações básicas: adição,
subtração, multiplicação e divisão. A aritmética modular é o
estudo das operações básicas sobre um contexto diferente,
que é o sistema dos números inteiros módulo n. O conjunto
ℤn, onde n é um inteiro positivo, é o conjunto de todos os
números naturais de 0 a n1, inclusive:
ℤn = {0, 1, 2, ..., n 1}
As operações básicas são:
– adição mod n
– subtração mod n
– multiplicação mod n
– divisão mod n
Teoria dos números- Adição e multiplicação de modulares
Sejam n um inteiro positivo e a, b Î ℤn. Definimos
a b = (a + b) mod n e (adição modular)
a b = (a * b) mod n (multiplicação modular)
Exemplos:
– Se n = 10, ou seja, em ℤ10:
– 5 5 = 0 5 5 = 5
– 9 8 = 7 9 8 = 2
Cifras métricas tradicionais
Técnicas de substituição: Mapeiam elementos de texto claro em elementos de texto cifrado, ex: (Cifra de César, cifra monoaldabéticas, cifra Playfair, cifra de Hill).
Técnicas de transposição: Transpõe sistematicamente as posições dos elementos do texto claro.
Cifra de César
Tem esse nome porque foi criada por Julio César, um líder militar e político que viveu entre 100 e 44 a.C;
Foi o uso mais antigo que conhecemos de uma cifra de substituição;
Foi usada para troca de informações entre os soldados romanos. Método simples , mas eficiente para sua época;
Cifra de César
A Cifra de César consiste em substituir cada letra do alfabeto pela letra que fica três posições adiante no alfabeto.
Exemplo:
Claro: meet me after the toga party
Cifrado: phhw ph diwhu wkh wrjd sduwb
Ingredientes da criptografia simétrica
Texto claro;
Algoritmo de criptografia;
Chave Secreta;
Texto cifrado;
Algoritmo de decriptografia;
Técnicas de ataque
Criptoanálise: explora as características do algoritmo para tentar deduzir um texto claro ou deduzir a chave utilizada;
Ataque por força bruta: experimenta-se cada chave possível em um trecho do texto cifrado, até obter uma tradução para o texto claro;
Algoritmos criptográficos simétricos
Cifra de bloco
É um esquema de criptografia/decriptografia em que um bloco de texto claro é tratado como um todo e usado para produzir um bloco de texto cifrado de mesmo tamanho;
Muitas cifras de bloco possuem a estrutura de Feistel
Forma geral de cifra de bloco
A estrutura de Feistel
• Feistel propôs que podemos nos aproximar de um cifrador de um cifrador de substituição simples utilizando o conceito de cifrador de produto que consiste em combinar dois ou mais cifradores básicos em sequência, de forma que o resultado final ou produto é criptograficamente mais forte que qualquer um dos cifradores envolvidos;
• Feistel sugeriu a utilização de cifradores que alternam substituições e permutações, estas características já haviam sido propostas por Claude Shannon para o desenvolvimento de cifradores de produto que tivessem boa resistência à criptoanálise estatística são conhecidas como confusão e difusão
A estrutura de Feistel
Confusão: É a técnica que consiste em tornar a relação entre as estatísticas do texto plano, texto cifrado e o valor da chave a mais complexa possível;
Difusão: É a técnica que consiste em dissipar a estrutura estatística do texto plano, ou seja, visa tornar as relações entre o texto plano e o texto cifrado as mais complexas possíveis;
Estrutura de Feistel
Data Encryption Standart (DES)
O Data Encryption Standart (DES) tem sido o algoritmo de criptografia mais utilizado até o momento;
Ele exibe a estrutura de Feistel;
O DES tem sido mostrado como altamente resistente aos ataques de criptoanálise;
Data Encryption Standard (DES)Origem:
(1960)-Projeto de pesquisa sobre criptografia liderado por Horst Feistel e concluído em 1971 com o desenvolvimento de um algoritmo com a designação de LUCIFER;
Em razão dos bons resultados do projeto LUCIFER, A IBM com a orientação técnica da NSA e consultores externos fizaram uma versão feinada de LUCIFER mais resistente a criptoanálise, e cabendo em um chip.
Em 1973 a National Bureau of Standards (NBS) necessitava de um padrão de cifragens, e este projeto citado foi o melhor algoritmo proposto e foi adotado em 1977 como Data Encyption Standard
Representação geral do DES
Permutação inicial Escolha 1 permutada
Rodada 1 Escolha 2 permutada
Troca de 32 bits
Permutação inicial reversa
Rodada 2
Rodada 16
Deslocamento circular à esquerda
Deslocamento circular à esquerda
Escolha 2 permutada
Escolha 2 permutadaDeslocamento
circular à esquerda
Texto Claro de 64 bits Chave 64 bits
Texto Cifrado de 64 bits
K1
K2
K16
ADVANCED ENCRYPTION STANDARD (AES)
Em 1997 o NIST pediu propostas para uma cifra de bloco a qual deveria ter
um grau de segurança superior ao DES;
uma maior eficiência;
Ser uma cifra de bloco simetricamente maior que o DES;
Em 2001 o MIST selecionou o “Rinjndael” como o algoritmo AES, este algoritmo foi desenvolvido por dois criptógrafos belgas:
Dr. Joan Daemen e Dr. Vir Rijmen
Avaliação do AES
Algoritmos criptográficos com chave pública(assimétricos)
É uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando diferentes chaves (pública e privada)
A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia
Algoritmos criptográficos com chave pública
RSA A partir de um artigo de uma nova técnica de
criptografia desenvolvida por Diffie e Hellman, a qual desafiavam os criptologistas a encontrar uma algoritmo que atendesse aos requisitos para os sistemas de chave pública. Em 1978 foi publicado , no MIT, por Ron Riviest, Adi Shamir e Len Adleman uma resposta ao desafio, sendo assim criada o algoritmo de uso geral mais aceita e implementada para a criptografia de chave pública, o
RSA.Diffie e Hellman Ron Riviest, Adi Shamir e Len Adleman
Considerações sobre o RSA
O RSA é uma cifra de bloco em que o texto claro e o texto cifrado são inteiros entre 0 e n -1
O tamanho típico para n é 1 024 bits, ou 309 dígitos decimais.
A dificuldade de atacar o RSA está na dificuldade de encontraros fatores primos de um número composto.
Autenticação de mensagens
É um mecanismo ou serviço usado para verificar a integridade de uma mensagem. As duas técnicas mais comuns de autenticação de mensagens são:
MAC;
Função Hash;
MAC (Message Authentication Code)
Um MAC apanha uma mensagem de comprimento e uma chave secreta como entrada e produz um código de autenticação. Um destinatário de posse da chave secreta pode gerar um código de autenticação para verificar a integridade da mensagem.
Função de hash
Uma função de hash mapeia uma mensagem de tamanho variável em um valor de hash de tamanho fixo, ou um resumo da mensagem. Para autenticação da mensagem, uma função de hash segura precisa ser combinada de alguma forma com uma chave secreta.
Assinatura digital
É um mecanismo de autenticação que permite ao criador de uma mensagem anexar um código que atue como assinatura. A assinatura é formado tomando o hash da mensagem e criptografando com a chave privada do criador, a assinatura garante a origem e a integridade da mensagem.
Soluções para gestão da segurança de seu negócio
Co-Admin:
É um serviço da empresa Tempest, que visa a gestão da proteção do ambiente em TI, suas principais funções são:
Soluções para gestão da segurança de seu negócio
Disponibilizar componentes de prevenção;
Detecção e resposta;
Fornecimento de indicadores de melhora da segurança;
Soluções para gestão da segurança de seu negócio
SCUA Security:
É um serviço da empresa SCUA, que promete uma total segurança da informação nos quesitos:
Soluções para gestão da segurança de seu negócio
Controle e restrição de alterações do sistema operacional;
Controle de acesso a arquivos e pastas;
Criptografia de informações;
Auditoria avançada nas estações de trabalho;
Conclusão
Vulnerability Management
da Qualys:
Este software pertence ao módulo Risk Manager, da empresa Módulo, que promete ser ágil e eficaz na análise de vulnerabilidades em ativos tecnológicos. Seus principais objetivos são:
Soluções para gestão da segurança de seu negócio
Conclusão
Identificar e tratar falhas de softwares que possam comprometer a segurança;
Utilizar mecanismos para bloquear ataques;
Implementar a melhoria constante do controle de segurança;
Soluções para gestão da segurança de seu negócio
Conclusão
A segurança passou a ser considerada, um requisito essencial para competir numa economia globalizada e para atingir resultados sustentáveis no longo prazo.
A crescente utilização de tecnologia como viabilizador dos processos de negócio cria vantagens competitivas, expandindo, continuamente, as fronteiras da segurança.
Crescentes vulnerabilidades dos sistemas e tecnologias introduzidas no suporte aos negócios e crescentes ameaças com elevado grau de sofisticação expõe o usuário a novos riscos a cada dia.
Dúvidas?
Obrigado!!!
Bibliografia
http://www.tempest.com.br/
http://www.scua.com.br/
http://www.modulo.com.br/
http://ciberdominiopublico.blogspot.com/
http://theory.lcs.mit.edu/~rivest/crypto-security.html
http://www.cs.ucsd.edu/users/mihir/crypto-links.html
STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2008
Simon Singh.O LIVRO DOS CÓDIGOS.Editora: Record
Http://www.infoguerra.com.br
https://www.megaproxy.com
http://www.estadao.com.br
SILVA NETO, Amaro Moraes. Privacidade na internet: um enfoque jurídico. São Paulo: Edipro, 2001,
http://antispam.yahoo.com/
http://www.us-cert.gov/
http://www.washingtonpost.com/
CAVALCANTE, A. L. B. Teoria dos Números e Criptografia. Revista Virtual, 2005
CAVALCANTE, A. L. B. Matemática II. Notas de Aula. Brasília: Editora UPIS, 2004