Conceito De Segurança Da InformaçãoSegurança da Informação é o conjunto de medidas tomadas para preservar as informações de possíveis danos, modificações, destruições ou divulgações não autorizadas. Pode também ser definida como o conjunto de medidas, normas e procedimentos destinados a garantir a integridade, a disponibilidade, a confidencialidade, a autenticidade, a irretratabilidade e a atualidade da informação em todo o seu ciclo de vida.

Segurança de Informação está relacionada com proteção da informação, no sentido de preservar o valor que possuem para um indivíduo ou uma organização, não estando esta segurança restrita somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento também se aplica até mesmo a informações em papel ou conversações pessoais ou por telefone. O conceito se aplica a todos os aspectos de proteção de informações.

Proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação desautorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo, inclusive, a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaça a seu desenvolvimento.

A segurança da informação é a proteção dos sistemas de informação contra a negação de serviço a usuários autorizados, assim como contra a intrusão, e a modificação não-autorizada de dados ou informações, armazenados, em processamento ou em trânsito, abrangendo a segurança dos recursos humanos, da documentação e do material, das áreas e instalações das comunicações e computacional, assim como as destinadas a prevenir, detectar, deter e documentar eventuais ameaças a seu desenvolvimento.

Princípios Básicos Da Segurança da Informação

1. Confidencialidade

Diz respeito ao uso de instrumentos de controle que permitam o acesso de pessoas e máquinas autorizadas de forma segura. Este conceito deve estar ligado à crescente necessidade de compartilhamento da informação, ou seja, esta não deve estar isolada, restrita ao seu detentor, mas sim disponibilizada a quem tiver necessidade e autorização para acessá-la.

2. Integridade

O conceito de integridade está ligado ao estado da informação no momento de sua geração e resgate. Ela estará íntegra se no tempo de resgate estiver fiel ao seu estado original. O aspecto integridade não diz respeito ao conteúdo, que pode estar errado, mas às variações e alterações entre o processo de geração e resgate. Portanto, integridade não significa a exatidão da informação.

3. Disponibilidade

Sistemas de informação existem para disponibilizar informações. A concepção dos sistemas operacionais de combate exige que a integração dos subsistemas, ou seja, acesso à informação entre os integrantes. De nada adianta uma completa infra-estrutura tecnológica de12 comando e controle, com recursos que garantam a integridade e a confidencialidade das informações se a mesma não puder ser acessada quando necessário.

Outros aspectos que dizem, ainda, respeito à informação

1. Autenticidade

Garante que a informação ou o usuário da mesma é autêntico. Atesta com exatidão, a origem do dado ou informação.

2. Não-Repúdio

É a garantia de que um agente não consiga negar um ato ou documento de sua autoria. Essa garantia é condição necessária para a validade jurídica de documentos e transações digitais. Só se pode garantir o não-repúdio quando houver Autenticidade e Integridade (ou seja, quando for possível determinar quem mandou a mensagem e quando for possível garantir que a mensagem não foi alterada). Novamente, entramos no mérito de que só haverá tal garantia 100% válida, se houver uma instituição que emita essas garantias.

3. Legalidade

Garante a legalidade (jurídica) da informação. Aderência de um sistema à legislação. Característica das informações que possuem valor legal dentro de um processo de comunicação, onde todos os ativos estão de acordo com as cláusulas contratuais pactuadas ou a legislação política institucional, nacional ou internacional vigentes.

4. Privacidade

Foge do aspecto de confidencialidade, pois uma informação pode ser considerada confidencial, mas não privada. Uma informação privada deve ser vista / lida / alterada somente pelo seu dono. Garante ainda, que a informação não será disponibilizada para outras pessoas (neste é caso é atribuído o caráter de confidencialidade a informação). É a capacidade de um usuário realizar ações em um sistema sem que seja identificado.

5. Auditoria

Rastreabilidade dos diversos passos que um negócio ou processo realizou ou que uma informação foi submetida, identificando os participantes, os locais e horários de cada etapa. Auditoria em software significa uma parte da aplicação, ou conjunto de funções do sistema, que viabiliza uma auditoria. Consiste no exame do histórico dos eventos dentro de um sistema para determinar quando e onde ocorreu uma violação de segurança.

AmeaçasDo inglês “threat”, pode ser definida como qualquer ação, acontecimento ou entidade que possa agir sobre um ativo, através de uma vulnerabilidade e conseqüentemente gerando um determinado impacto. As ameaças apenas existem se houverem vulnerabilidades, sozinhas pouco fazem.

Ativo é tudo aquilo que tem valor para a sua empresa. Todos os ativos relevantes devem ser identificados e inventariados. Existe um pouco de confusão porque costumamos associar a expressão “inventário de ativos” ao usual inventário de hardware e software.

Quando o assunto é segurança da informação, por “inventário de ativos” devemos compreender um conjunto mais abrangente de ativos, que contempla sistemas, pessoas, ambientes físicos entre outros.

Tipos de Ameaça

1. Naturais:

São as ameaças decorrentes de fenômenos da natureza, como incêndios naturais, enchentes, raios etc.

2. Involuntárias

São decorrentes de ações inconscientes, quase sempre causadas pelo desconhecimento do processo de segurança. Tem origem nos próprios integrantes da Unidade. Podem ser causadas por incidentes, erros, falta de energia etc.

3. Voluntárias

São ameaças propositais causadas por agentes humanos que deliberadamente procuram se infiltrar nos nossos sistemas para causar danos, também conhecidos como ataque a um sistema de informação.

Ataque pode ser definido como um assalto ao sistema de segurança que deriva de uma ameaça inteligente, isto é, um ato inteligente que seja uma tentativa deliberada (especial no sentido de um método ou técnica) para invadir serviços de segurança e violar as políticas do sistema.

Um ataque pode ser ativo, tendo por resultado a alteração dos dados; passivo, tendo por resultado a liberação dos dados; ou destrutivo visando à negação do acesso aos dados ou serviços.

Atacantes

Newbie

Existem outras designações como n00b, basicamente é um novato, um recém-chegado a informática, um utilizador final de um produto, que passa a vida a fazer perguntas sobre como funcionam as coisas mais básicas, mas que quer aprender a dominar minimamente as ferramentas com que trabalha no seu dia-a-dia;

Luser

Associação de palavras Loser + User, é semelhante ao newbie, mas neste caso não quer aprender nada, quer simplesmente as coisas a funcionar, então sempre que têm duvidas inunda fóruns e chats fazendo perder a paciência a quem faz suporte técnico, costumam ser vitimas fáceis de trojans, por parte de utilizadores mal intencionados;

Lammer

Também se podem aclamar como script-kiddies, utilizadores que encontram uns programas na Internet (na sua maioria criados por crackers) que exploram determinados bugs, infectam computadores de terceiros com trojans, gabam-se sempre dos seus feitos e aclamam-se como “hackers”, vivem do trio das seguintes ferramentas: scan, exploit e trojan;

Defacer

São os pixadores digitais, uma ação defacing constituí-se basicamente na modificação da página inicial de um site, ou qualquer parte dele, pelos mais variados motivos.

Cyberpunks

É a combinação de cibernética e punk. São aqueles que realizam suas invasões por puro divertimento e desafio. Eles geralmente são os responsáveis por encontrar vulnerabilidades em sistemas e divulgá-las na internet, trazendo um beneficio a organizações de todos os tipos. Cyperpunk usa seu conhecimento acima da média para realizar protestos contra a sistemática vigente das grandes corporações, sob a forma de vandalismo e com cunho depreciativo, causando prejuízos sem ter qualquer ganho pessoal.

Insiders

São os responsáveis por ataques de dentro da própria rede interna de uma organização, sendo os principais responsáveis pelos maiores prejuízos com fraudes financeiras e com abusos nas redes internas. Os insiders geralmente são funcionários descontentes com seu trabalho e normalmente são os principais causadores da espionagem industrial, que é considerada uma nova modalidade de crime.

Wannabe

Pode ser algo positivo ou negativo, positivo se o tipo é bastante culto sobre o assunto e está prestes a entrar na fase de larva ou negativo se o individuo vive apenas o sonho do mundo hacker dos filmes e nem faz a mínima ideia do que é a realidade deste mundo;

Larval stage

É quando o individuo abdica da sua vida real (pode durar entre 6 meses a 2 anos), para viver exclusivamente pela busca de informação e conhecimento cada vez mais aprofundado sobre sistemas e programação;

Hacker

Individuo que passou pela fase larvar, fez um grande caminho e tornou-se profundo conhecedor de pelo menos um sistema operativo, são excelentes programadores e administradores de sistemas. Mas este termo foi denegrido pela comunidade jornalista e são considerados como criminosos digitais. Mas na verdade possuem um rígido código de ética, fazem a chamada prática do bem, embora essa prática possa ser contra a lei, tudo o que fazem é pela busca do conhecimento e auxilio de terceiros, nunca para proveito próprio ou destruição alheia. No entanto existem 3 subformas do hacker:

White Hat

Especialistas em segurança que podem ou não pertencer a empresas e prestam serviços a empresas ou terceiros, para ajudarem a aumentar a segurança de um determinado software ou rede. As grandes empresas como a Microsoft costumam recorrer a estes especialistas;

Grey Hat

Por norma não costuma executar crimes nem tirar proveito do seu conhecimento, mas podem fazer-lo diretamente sendo movidos por ambições politicas, religiosas ou sociais; ou indiretamente executando uma ação que é contra a lei do seu país.

Cracker

Também conhecido por Black Hat, é a terceira subforma do hacker, normalmente são indivíduos com conhecimentos inferiores ao hacker, mas que usam todos os meios para proveito próprio, sem

qualquer ética. Podem infectar sistemas alheios ou mesmo destruir sem deixar vestígios. Costumam ser bons programadores e são quem burla as proteções anti-pirataria, executa defaces, e invade sistemas. O lammer costuma usar as ferramentas do cracker que normalmente estão infectadas com trojans ou vírus para provocar danos nos computadores do lammer;

Phreaker

É o chamado cracker da eletrônica e telecomunicações, arranja maneiras de fazer chamadas telefônicas, ter acesso aos pacotes codificados de tv a cabo, desencriptar chaves de acesso a canais pagos por satélite etc;

John Draper – Capitão Crunch - Ele tinha um amigo cego chamado Joe Engressia que chegou a conclusão de que era possível fazer ligações de graça se conseguissem emitir uma determinada freqüencia, 2600 hz. E John Draper arranjou um apito amarelo de plástico de brinquedo que vinha no Cereal Cap’n Crunch e… Bem, começou a fazer ligações de graça. Aí ele inventou as Blues Boxes. Um dispositivo que simula um painel de um operador de telefonia. Esse negócio mudava o tom do apito e conseguia fazer o “chaveamento” de ligações de longa distância. Em outras palavras, ele podia ligar para o mundo inteiro com esse troço.

Carder

O cracker dos cartões de crédito, o seu objectivo é roubar senhas dos cartões de crédito, iludir maquinas de levantamento de dinheiro, clonar cartões, fazer compras online com números de cartões gerados aleatoriamente…;

War driver

Cracker das redes wireless, basicamente procuram pontos de acesso a Internet sem fios e tentam usufruir da Internet sem custos explorando as vulnerabilidades de terceiros. Na Europa existe já o war chalking que são indivíduos que informam os war drivers, dos melhores pontos com redes wireless, através de símbolos a giz ou das chamadas tags.

Tipos de Ataque

Vírus

São pequenos programas criados para causarem algum tipo de dano a um computador. Este dano pode ser lentidão, exclusão de arquivos e até a inutilização do Sistema Operacional.

Cavalo de Tróia

Também conhecido como trojan-horse, é um programa disfarçado que executa alguma tarefa mau intencionada, como por exemplo abrir uma porta TCP do micro para uma possível invasão. Alguns dos trojans mais populares são NetBus, Back Orifice e SubSeven.

Rootkits

Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit.

Backdoors

Técnica que o invasor usa para deixar uma porta aberta depois de uma invasão para que ele possa voltar facilmente ao sistema invadido para novas realizações. Geralmente, os backdoors se

apresentam no sistema em forma de Rootkits.

Worms

É um programa auto-replicante, semelhante a um vírus. O vírus infecta um programa e necessita deste programa hospedeiro para se propagar, o worm é um programa completo e não precisa de outro programa para se propagar.

Spywares

Spyware consiste no software de computador que recolhe a informação sobre um usuário do computador e transmite então esta informação a uma entidade externa sem o conhecimento ou o consentimento informado do usuário.

Buffer Overflow

É a técnica de tentar armazenar mais dados do que a memória suporta, causando erros e possibilitado a entrada do invasor.Geralmente em um ataque de buffer overflow o atacante consegue o domínio do programa atacado e privilégio de administrador na máquina hospedeira.

Exploits

São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos “verdadeiros hackers” e são utilizados por pessoas sem conhecimento da vulnerabilidade. Estes tipos de programas atraem o público por que geralmente são muito pequenos, fáceis de usar e o “benefício” que ele proporciona é imediato e satisfatório.

Password Crackers

São programas utilizados para descobrir as senhas dos usuários. Estes programas geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema. Este tipo de descoberta de senha é chamado de Ataque de força bruta. Estes programas também podem ser utilizados pelos administradores de sistema para descobrir senhas fracas dos seus usuários.

Denial Of Services

A principal função desse ataque é impedir que os usuários façam acesso a um determinado serviço. Consiste em derrubar conexões e/ou serviços pelo excesso de dados enviados simultaneamente a uma determinada máquina e/ou rede. Estes tipos de ataques também são conhecidos como flood (inundação).Há alguns variantes como por exemplo o DDoS, onde vários computadores com softwares instalados por um atacante servem como zubis e quando recebem ordem para iniciar o ataque bombardeiam o servidor-alvo.

Spoofing

É uma técnica que consiste em mascarar (spoof) pacotes IP com endereços remetentes falsificados. O atacante para não ser identificado falsifica o seu número de IP ao atacar para que nenhuma técnica de rastreá-lo tenha sucesso. Geralmente os números utilizados são de redes locais, como 192.168.x.x, 10.x.x.x ou 172.16.x.x. Estes números não são roteáveis e fica quase impossível o rastreamento. Porém é fácil impedir um ataque com o IP “Spooffado”.

Mail Bomb

É a técnica de inundar um computador com mensagens eletrônicas. Em geral, o agressor usa um script para gerar um fluxo contínuo de mensagens e abarrotar a caixa postal de alguém. A

sobrecarga tende a provocar negação de serviço no servidor de e-mail.

Phreaking

É o uso indevido de linhas telefônicas, fixas ou celulares. No passado, os phreakers empregavam gravadores de fita e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia. Conforme as companhias telefônicas foram reforçando a segurança, as técnicas tornaram-se mais complexas. Hoje, o phreaking é uma atividade elaborada, que poucos hackers dominam.

Smurf

Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing. Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor. Geralmente se escolhe para estes tipos de ataques, servidores em backbones de altíssima velocidade e banda, para que o efeito seja eficaz.

Sniffing

É a técnica de capturar as informações de uma determinada máquina ou o tráfego de uma rede sem autorização para coletar dados, senhas, nomes e comportamento dos usuários. Os programas geralmente capturam tudo que passa e depois utilizam filtros para que possa facilitar a vida do “sniffador”. Existem sniffers específicos de protocolos como o imsniffer que captura apenas as conversas via MSN Messenger em uma rede.

Scamming

Técnica que visa roubar senhas e números de contas de clientes bancários enviando um e-mail falso oferecendo um serviço na página do banco. A maioria dos bancos não envia e-mails oferecendo nada, portanto qualquer e-mail desta espécie é falso.

Teclado virtual falso

Software malicioso que abre uma tela de teclado virtual clonado exatamente sobre o teclado virtual legítimo do banco, para que o usuário informe os seus dados nele.

Keyloggers

Software que captura os dados digitados no teclado do computador, como senhas e números de cartões de crédito.

Screenloggers

Software que captura os movimentos do mouse e cliques de botões, com o objetivo de contornar os teclados virtuais dos bancos. Os mais recentes capturam, inclusive, uma pequena imagem da área onde o clique do mouse ocorreu, para driblar teclados virtuais que embaralham suas teclas.

DNS Poisoning

Um atacante compromete um servidor DNS para, quando este receber a solicitação de resolução de uma URL de interesse (por exemplo, www.bb.com.br), devolver o endereço IP de um site clonado ou malicioso, desviando o usuário sem que este perceba. Este tipo de ataque também é conhecido como “Envenenamento de DNS”.

BHOs

Browser Helper Objects são DLLs que funcionam como plugins do Internet Explorer, podendo ver (e alterar) todos os dados que trafegam entre o computador e um servidor web. Nem todos são, necessariamente, maliciosos, mas são muito usados para construir em cavalos-de-tróia e spyware.

Clonagem de URLs

URLs podem ser clonadas por semelhança (wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br, www.bancodobrasil.com.br, www.bbrasill.com.br) ou por falhas de segurança de browsers (por exemplo, falhas de interpretação de nomes de site em unicode).

Scanning de memória/DLL Injection

Técnicas usadas por um programa para acessar a memória ocupada por outro programa, podendo assim ler dados sensíveis como a senha informada pelo usuário e chaves criptográficas.

SQL Injection

Trata-se da manipulação de uma instrução SQL através das variáveis que compõem os parâmetros recebidos por um script, tal como PHP, ASP, JSP, entre outros.Este tipo de ataque consiste em passar parâmetros a mais via barra de navegação do navegador, inserindo instruções não esperadas pelo banco de dados. Geralmente o atacante utiliza destas ferramentas para roubar dados ou danificar a base de dados que está no servidor.

Spam e Phishing

É o envio de mensagens não solicitadas, em grande número, a destinatários desconhecidos. O Spam propriamente dito não é um ataque. Mas o problema é que muitas vezes vem com links maliciosos onde geralmente instalam vírus na máquina, spyware ou até um keylogger. Cerca de 60% do tráfego da Internet hoje é somente de Spam.

Engenharia Social

Na verdade este não é propriamente dito um tipo de ataque a redes de computadores, porém é um ataque ao ser humano. Usar de técnicas como: passar por outra pessoa no telefone pedir informações sigilosas da empresa ou até recompensar um funcionário por dados importantes fazem parte da Engenharia Social.

Bots

Como um worm, o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador.Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente. Normalmente, o bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Então, ele aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor de IRC e entrar no mesmo canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot. Estas seqüências de caracteres correspondem a instruções que devem ser executadas pelo bot.

Ataque Físico

Acesso físico a sistema de informação ou outro equipamento.

Dumpster diving ou trashing

Verificar o lixo em busca de informações que sejam de alguma forma relevante para contribuir para um ataque bem sucedido.

Man-in-the-middle

É uma forma de ataque em que os dados trocados entre duas partes, por exemplo voçê e o seu banco, são de alguma forma interceptados, registados e possivelmente alterados pelo atacante sem

que as vitimas se apercebam.

Proteção

Autenticação e autorização

A autorização é o processo de conceder ou negar direitos a usuários ou sistemas, por meio das chamadas listas de controle de acessos (Acess Control Lists – ACL), definindo quais atividades poderão ser realizadas, desta forma gerando os chamados perfis de acesso. A autenticação é o meio para obter a certeza de que o usuário ou o objeto remoto é realmente quem está afirmando ser. É um serviço essencial de segurança, pois uma autenticação confiável assegura o controle de acesso, determina que está autorizado a ter acesso à informação, permite trilhas de auditoria e assegura a legitimidade do acesso.

Identificação positiva (O que você sabe)

Na qual o requerente demonstra conhecimento de alguma informação utilizada no processo de autenticação, por exemplo uma senha.

Identificação proprietária (O que você tem)

Na qual o requerente demonstrar possuir algo a ser utilizado no processo de autenticação, como um cartão magnético.

Identificação Biométrica (O que você é)

Na qual o requerente exibe alguma característica própria, tal como as impressões digitais, o formato das mãos, a íris, o padrão de vasos sanguíneos da retina, a forma da face.

Combate a ataques e invasões

Destinados a suprir a infra-estrutura tecnológica com dispositivos de software e hardware de proteção, controle de acesso e conseqüentemente combate a ataques e invasões, esta família de mecanismos tem papel importante no modelo de gestão de segurança, à medida que as conexões eletrônicas e tentativas de acesso indevido crescem exponencialmente. Nesta categoria, existem dispositivos destinados ao monitoramento, filtragem e registro de acessos lógicos, bem como dispositivos voltados pra a segmentação de perímetros, identificação e tratamento de tentativas de ataque.

Firewall

Um firewall é um sistema (ou grupo de sistemas) que reforçam a norma de segurança entre uma rede interna segura e uma rede não-confiável como a Internet. Os firewalls tendem a serem vistos como uma proteção entre a Internet e a rede privada. Mas em geral, um firewall deveria ser considerado como um meio de dividir o mundo em duas ou mais redes: uma ou mais redes seguras e uma ou mais redes não-seguras.

Um firewall pode ser um PC, um roteador, um computador de tamanho intermediário, um mainframe, uma estação de trabalho UNIX ou a combinação destes que determine qual informação ou serviços podem ser acessados de fora e a quem é permitido usar a informação e os serviços de fora. Geralmente, um firewall é instalado no ponto onde a rede interne segura e a rede externa não-confiável se encontram, ponto que também é conhecido como ponto de estrangulamento.

Um firewall é projetado para proteger as fontes de informação de uma organização, controlando o acesso entre a rede interna segura e a rede externa não-confiável. É importante notar que mesmo se o firewall tiver sido projetado para permitir que dados confiáveis passem, negar serviços vulneráveis e proteger a rede interna contra ataques externos, um ataque recém-criado pode penetrar o firewall a qualquer hora. O administrador da rede deve examinar regularmente os registros de eventos e alarmes gerados pelo firewall. Os firewalls podem ser divididos em duas grandes classes: Filtros de pacote e servidores proxy.

Filtros de Pacotes

A filtragem de pacotes é um dos principais mecanismos que, mediante regras definidas pelo administrador em um firewall, permite ou não a passagem de datagramas IP em uma rede. Poderíamos filtrar pacotes para impedir o acesso a um serviço de Telnet, um chat ou mesmo um site na Internet. O modelo mais simples de firewall é conhecido como o dual homed system, ou seja, um sistema que interliga duas redes distintas. Este sistema possui um servidor com duas placas de rede que faz com que os usuários possam falar entre si.

Servidores Proxy

Permite executar a conexão ou não a serviços em uma rede modo indireto. Normalmente os proxies são utilizados como caches de conexão para serviços Web. Um proxy é utilizado em muitos casos como elemento de aceleração de conexão em links lentos.

Detector de Intrusos

A maneira mais comum para descobrir intrusões é a utilização dos dados das auditorias gerados pelos sistemas operacionais e ordenados em ordem cronológica de acontecimento, sendo possível à inspeção manual destes registros, o que não é uma prática viável, pois estes arquivos de logs apresentam tamanhos consideráveis.

Nos últimos anos, a tecnologia de detecção de intrusão (Intrusion Detection System – IDS) tem se mostrado uma grande aliada dos administradores de segurança. Basicamente, o que tais sistemas fazem é tentar reconhecer um comportamento ou uma ação intrusiva, através da análise das informações disponíveis em um sistema de computação ou rede, para alertar um administrador e / ou automaticamente disparar contra-medidas. Para realizar a detecção, várias tecnologias estão sendo empregadas em produtos comerciais ou em projetos de pesquisas, as tecnologias utilizadas incluem análise estatística, inferência, inteligência artificial, data mining, redes neurais e diversas outras.

Um IDS automatiza a tarefa de analisar dados da auditoria. Estes dados são extremamente úteis, pois podem ser usados para estabelecer a culpabilidade do atacante e na maioria das vezes é o único modo de descobrir uma atividade sem autorização, detectar a extensão dos danos e prevenir tal ataque no futuro, tornando desta forma o IDS uma ferramenta extremamente valiosa para análises em tempo real e também após a ocorrência de um ataque.

Criptografia

A palavra criptografia tem origem grega (kriptos = escondido, oculto e grifo = grafia,escrita) e define a arte ou ciência de escrever em cifras ou em códigos, utilizando um conjunto de técnicas que torna uma mensagem incompreensível, chamada comumente de texto cifrado, através de um processo chamado cifragem, permitindo que apenas o destinatário desejado consiga decodificar e ler a mensagem com clareza, no processo inverso, a decifragem.Criptografia é a ciência de escrever ocultamente e hoje, sem dúvida, é a maneira mais segura de se enviar informações através de um canal de comunicação inseguro como, por exemplo, a Internet.

A criptografia representa um conjunto de técnicas que são usadas para manter a informação segura. Estas técnicas consistem na utilização de chaves e algoritmos de criptografia. Tendo conhecimento da chave e do algoritmo usado é possível desembaralhar a mensagem recebida.

Simétrica ou de chave privada

Estes são os algoritmos convencionais de criptografia, onde a mesma chave secreta é utilizada tanto para cifrar como para decifrar uma mensagem, devendo ser conhecida por ambos os lados do processo. Este é o grande problema do método, pois a chave tem de ser entregue aos participantes de modo seguro, e as transações só podem ser realizadas depois disso.O fato de ambos os lados conhecerem a chave também leva à possibilidade de repúdio da transação, pois um lado pode sempre alegar que o outro usou a chave e realizou a transação em seu nome, indevidamente.

Como cada par de participantes deve ter uma chave própria, o número de chaves necessárias para comunicação segura entre muitos participantes cresce combinatoriamente, com agravante adicional de que todas essas chaves são secretas e devem ser protegidas adequadamente. Ou seja, um participante do ciclo de criptografia deverá ter a chave de todos os outros para se comunicar com cada um deles. Isso inviabiliza o uso destes algoritmos isoladamente em certas aplicações.

Os algoritmos de chave simétrica são usados para cifrar a maioria dos dados ou fluxos de dados. Estes algoritmos são projetados para serem bem rápidos e (geralmente) terem um grande número de chaves possíveis. Os melhores algoritmos de chave simétrica oferecem boa segurança quando os dados são cifrados com determinada chave, e dificilmente pode-se decifrar os dados sem possuir a mesma chave. Como a criptografia é sempre uma carga adicional ao processamento, esta vantagem é importante e deverá ser utilizada adequadamente. Os algoritmos de chave simétrica podem ser divididos em duas categorias: de bloco e de fluxo.

Algoritmos de Bloco

Cifram os dados a partir de blocos, ou seja, se o dado a ser cifrado é um texto, esse texto será dividido em blocos e a criptografia será aplicada em cima de cada bloco. Um problema com essa cifragem é que se o mesmo bloco de texto simples aparecer em dois lugares, ele encriptará o mesmo texto, gerando assim, um padrão de repetição.

Algoritmos de Fluxo

Cifram os dados byte a byte. O dado a ser criptografado não é cifrado por blocos, como o anterior e sim, serialmente. A informação vai sendo criptografada do inicio ao fim, sem separações.

Assimétrica ou de chave pública

A existência da criptografia de chave pública foi postulada pela primeira vez em meados de 1975 por Withfield Diffie e Martin Hellman. Os dois pesquisadores, na época na universidade de Stanford, escreveram um artigo em que pressuponham a existência de uma técnica criptográfica com a qual a informação criptografada com uma chave poderia ser decifrada por uma segunda chave, aparentemente sem relação com a primeira. Robert Merkle, então estudante em Berkeley que tinha idéias semelhantes mas, devido à lentidão do processo de publicação acadêmica, seus artigos só foram publicados quando a idéia de criptografia de chave pública já era bem conhecida.

Os algoritmos assimétricos utilizam-se de duas chaves diferentes, uma em cada extremidade do processo. As duas chaves são associadas através de um relacionamento matemático, pertencendo a apenas um participante, que as utilizará para se comunicar com todos os outros de modo seguro.

Essas duas chaves são geradas de tal maneira que a partir de uma delas não é possível calcular a outra a um custo computacional viável, possibilitando a divulgação de uma delas, denominada

chave pública, sem colocar em risco o segredo da outra, denominada chave secreta ou privada.

Assinatura Digital

Outra grande vantagem dos algoritmos assimétricos, particularmente o RSA, que é o mais conhecido e utilizado atualmente, é que o processo funciona também na criptografia no outro sentido, da chave secreta para a chave pública, o que possibilita implementar o que se denomina assinatura digital.

O conceito de assinatura é o de um processo que apenas o signatário possa realizar, garantindo dessa maneira sua participação pessoal no processo. Como a chave secreta é de posse e uso exclusivo de seu detentor, um processo de cifragem usando a chave privada do signatário se encaixa nesse conceito, permitindo, assim, a geração de uma assinatura por um processo digital.

No caso da assinatura digital, é inadequado cifrar toda a mensagem ou documento a ser assinado digitalmente devido ao tempo gasto na criptografia de um documento utilizando chaves assimétricas. A criptografia é aplicada apenas sobre um identificador unívoco do mesmo. Normalmente é utilizado como identificador o resultado da aplicação de uma função tipo HASH, que mapeia um documento digital de tamanho qualquer num conjunto de bits de tamanho fixo. Ao valor do HASH podem ainda ser anexados a data/hora, número de seqüência e outros dados identificadores, e este conjunto é então cifrado com a chave secreta do signatário constituindo a assinatura digital do documento. A função de HASH será explicada em seguida.

Qualquer participante pode verificar a autenticidade de uma assinatura digital, bastando decifrá-la com a chave pública do signatário, o qual todos podem ter acesso. Se o resultado é significativo, está garantido o uso da chave secreta correspondente na assinatura, e portanto sua autenticidade. Resta ainda comprovar a associação da assinatura ao documento, o que é feito recalculando o HASH do documento recebido e comparando-o com o valor incluído na assinatura. Se forem iguais, prova-se ainda a ligação com o documento, assim como a integridade (não alteração) do mesmo. Uma vez que a verificação é realizada utilizando a chave pública, sua validação pode ser realizada por terceiros, tais como árbitros e auditores.

Virtual Private Network

A idéia de utilizar uma rede pública como a Internet em vez de linhas privativas para implementar redes corporativas é denominada de Virtual Private Network (VPN) ou Rede Privada Virtual. As VPNs são túneis de criptografia entre pontos autorizados, criados através da Internet ou outras redes públicas e/ou privadas para transferência de informações, de modo seguro, entre redes corporativas ou usuários remotos.

A segurança é a primeira e mais importante função da VPN. Uma vez que dados privados serão transmitidos pela Internet, que é um meio de transmissão inseguro, eles devem ser protegidos de forma a não permitir que sejam modificados ou interceptados. Outro serviço oferecido pelas VPNs é a conexão entre corporações (Extranets) através da Internet, além de possibilitar conexões dial-up criptografadas que podem ser muito úteis para usuários móveis ou remotos, bem como filiais distantes de uma empresa.

Uma das grandes vantagens decorrentes do uso das VPNs é a redução de custos com comunicações corporativas, pois elimina a necessidade de links dedicados de longa distância que podem ser substituídos pela Internet. As LANs podem, através de links dedicados ou discados, conectar-se a algum provedor de acesso local e interligar-se a outras LANs, possibilitando o fluxo de dados através da Internet. Esta solução pode ser bastante interessante sob o ponto de vista econômico, sobretudo nos casos em que enlaces internacionais ou nacionais de longa distância estão envolvidos. Outro fator que simplifica a operacionalização da WAN é que a conexão LAN-Internet-LAN fica parcialmente a cargo dos provedores de acesso.