apresentação tema 9 segurança das informações e continuidade dos negócios

SEGURANÇA

DA

INFOMAÇÃO

Fundação educacional inaciana “Pe. Saboia de Medeiros”

Departameto de engenharia de produção

Disciplina de sistemas de informação

Docente Mateus Cozer

Gustavo Gomes 12105162-7

Sanger Dias 12105168-4

Rodrigo Bandeira 12105185-8

Segurança das Informações e continuidade dos negócios

SEGURANÇA

DA

INFOMAÇÃO





Proteção de dados e necessidade de segurança

SEGURANÇA

DA

INFOMAÇÃO





Chaves de segurança para transações bancárias

http://www.bradescoseguranca.com.br/default.asp

SEGURANÇA

DA

INFOMAÇÃO





Definições OSI (Open Systems interconnection)

Ataques a segurança : inclui ataques passivos (somente leitura de texto e análise de trafego de dados) e ataques ativos (modificações em textos, negação de acessos)

Mecanismos de segurança: qualquer mecanismo ou processo que tenha por finalidade prevenir, detectar ou recuperar algum dano causado por ataque. Ex: autenticação de protocolos, assinaturas digitais.

Serviços seguros: inclui autenticação, controle de acesso, integridade e confidencialidade de dados.

William Stallings – Criptography and network security – Pg 07

SEGURANÇA

DA

INFOMAÇÃO






SEGURANÇA

DA

INFOMAÇÃO





Ataques passivos


SEGURANÇA

DA

INFOMAÇÃO





Cookies

São arquivos gerados pelos sites e salvos em seu computador, pelo seu browser, que monitoram a navegação do internauta, direcionam conteúdos e quantificam visitas a páginas web.As informações ficam armazenadas na máquina do usuário, para que ele não precise repetir alguns dados, ao preencher cadastro, por exemplo, quando voltar a uma determinada página.Os cookies também servem para mapear suas preferências, possibilitando que o site ofereça conteúdos distintos a cada usuário pelo perfil de navegação. Se o usuário for infectado por um Trojan, que abre a máquina ao acesso de criminosos, estes podem acessar todas as informações contidas nos cookies.

SEGURANÇA

DA

INFOMAÇÃO





Utilizar um bom antivírus, e um programa anti-phishing, apagar os cookies é uma precaução que os usuários devem adotar, aconselha o engenheiro da Symantec É possível e muito fácil bloquear e apagar os cookies, mas é preciso ficar atento. Muitos sites não funcionam se os cookies forem bloqueados. O Flickr e alguns serviços Google como Orkut, Gmail e Blogger não funcionam se os cookies estiverem bloqueados.

Cookies

www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66

Apesar de não ter como finalidade danificar o computador pode-se considerar os cookies como ataques passivos, pois eles armazenam dados e analisam a conexão, e caso sejam alvo de ataques ativos toda a segurança será perdida.

SEGURANÇA

DA

INFOMAÇÃO





Ataques ativos


SEGURANÇA

DA

INFOMAÇÃO





Modelo de segurança de rede


SEGURANÇA

DA

INFOMAÇÃO





Protolco de Aplicação

FTP, SMTP, HTTP, Telnet, SNM, etc.

TCP, UDP

Data LinkEthernet, Token Ring, FDDI, etc

IP

Física

Aplicações

aplicação

transporte

rede

enlace

física

Seqüência de empacotamento

Filtragem dos pacotes

Unipaulistana -Adm. Gerência e segurança de redes – Página 42

SEGURANÇA

DA

INFOMAÇÃO





Criptografia

SEGURANÇA

DA

INFOMAÇÃO





Consiste em codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc.

Criptografia

http://www.clubedohardware.com.br/artigos/667

SEGURANÇA

DA

INFOMAÇÃO





Tipos de ataques a segurança

Criptoanalise: ataque que explora as características do algoritmo para tentar deduzir um texto claro específico ou a chave utilizada. Mais utilizado quando há um conhecimento de parte ou características do texto claro por parte do criptoanalista.

Ataque por força bruta: tenta achar a chave por tentativa e erro em um trecho do texto cifrado, até obter uma tradução inteligível do texto claro. Em média é necessário testar metade das chaves para localizar a correta.

SEGURANÇA

DA

INFOMAÇÃO





Cifra de Cezar

Exemplo:Mensagem original: Meet me tonight by the SphinxTexto cifrado: Phhw ph wrqlijkw eb wkh Vsklqa

SEGURANÇA

DA

INFOMAÇÃO





Frequência das letras nos textos cifrados

Como visto no gráfico cifras que apresentam maior uniformidade na distribuição das letras são menos susceptíveis ao ataque por criptoanalise.


SEGURANÇA

DA

INFOMAÇÃO





Criptografia Simétrica

Forma de criptografia em que a única chave secreta é partilhada pelo emissor e pelo receptor da mensagem, assim a chave que cifra é a mesma que decifra. Para que tal seja possível é necessário que a chave secreta só seja do conhecimento do emissor e do receptor.

VantagemRapidez no cálculo das operações de cifra / decifra

DesvantagemNecessitar que a chave secreta seja compartilhada com todos os que precisam de ler a mensagem, ficando assim vulnerável a roubos e sendo possível a alteração do documento por qualquer das partes.

http://assinaturas-digitais.web.simplesnet.pt/criptografia_simetrica.htm

SEGURANÇA

DA

INFOMAÇÃO





Algoritmo DES (Data Encryption Standart )

Desenvolvido na década de 70 pelo National Bureau of Standarts com ajuda da National Security Agency, com o propósito de criar um método padrão para proteção de dados. A IBM criou o primeiro rascunho do algoritmo, chamando-o de LUCIFER. O DES tornou-se oficialmente norma federal americana em novembro de 1976.A única forma de quebrar o algoritmo DES seria por força bruta.Em 1994 o NIST reafirma o uso federal do algoritmo DES por mais 5 anos, porém em 1999 foi emitiu um novo padrão em que o algoritmo DES deveria ser usado somente para sistemas legados e que o padrão seria a partir dessa data o triple DES. Cifra blocos de 64 bits de texto claro e utiliza uma chave secreta de 56 bits. São executadas 16 rodadas.

http://www.gta.ufrj.br/grad/99_2/marcos/des.htm e Stallings criptografia e segurança de redes pg 48

SEGURANÇA

DA

INFOMAÇÃO





http://www.gta.ufrj.br/~natalia/SSH/Pictures/des/DES1a.jpg

Estrutura algoritmo DES

SEGURANÇA

DA

INFOMAÇÃO





Algoritmo triple DES

Refere se a um algoritmo de criptografia. Este cifrador é de chave simétrica, implementando uma criptografia de bloco e foi baseado no algoritmo DES (Data Encryption Standard) desenvolvido pela IBM em 1974. O 3DES utiliza três chaves, K1, K2 e K3, de 64 bits (56 bits compõem cada uma das chaves e 8 bits são de paridade) em três estágios de codificação em cascata. Com isto, o algoritmo pode ter chaves de até 192 bits.

SEGURANÇA

DA

INFOMAÇÃO





Estrutura Triple DES

SEGURANÇA

DA

INFOMAÇÃO





Pin Pad PPC - 800

Pin Pad’s são utilizados para leitura de cartões e comunicação com computadores.Utiliza criptografia nos modos DES, Triple DES, DUKPT e RSA simultâneos

www.safetyti.com.br/produtos/gertec_pinpad_ppc_800_serial.html

SEGURANÇA

DA

INFOMAÇÃO





Algoritmo AES (Advanced Encryption Standard)

Em janeiro de 1997, o NIST (National Institute of Standards and Technology) anunciou um concurso para o substituto do DES. Os candidatos, que deveriam ser algoritmos de chave simétrica, capazes de suportar blocos de 128 bits e chaves de 128, 192 e 256 bits, deveriam ter direitos autorais livres, pois seriam divulgados publicamente. Esse concurso foi chamado de AES (Advanced Encryption Standard), que acabou dando nome também ao algoritmo vencedor (antes chamado de Rijndael). O algoritmo de Rijndael tem tamanho de chaves e blocos que podem ser escolhidos entre 128, 192 e 256 bits.Numero de rodadas é variável de acordo com o numero de bits das chaves.

http://www.gta.ufrj.br/~natalia/SSH/aes.html e www.bibl.ita.br/ixencita/artigos/FundRafaelAntonio1.pdf e adm-net-a.unifei.edu.br/phl/pdf/0032910.pdf

SEGURANÇA

DA

INFOMAÇÃO





Estrutura algoritmo AES

http://www.gta.ufrj.br/~natalia/SSH/aes.html

SEGURANÇA

DA

INFOMAÇÃO





Aplicação do algoritmo AES

O SecureCall da Silentel é um sistema que criptografa sua chamada através de um telefone móvel GSM e frustra, absolutamente, qualquer interceptação. A criptografia usa o algoritmo AES 256, que, atualmente, é o padrão de segurança mundial mais seguro. Este é um sistema com segurança ponta-a-ponta.

www.orion.com.br/securecall.htm

SEGURANÇA

DA

INFOMAÇÃO





Tempos de ataque por força bruta


SEGURANÇA

DA

INFOMAÇÃO





Para usar um algoritmo de criptografia é necessário que as partes envolvidas possuam um segredo em comum, uma chave.

http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA

O Problema da distribuição de chaves

SEGURANÇA

DA

INFOMAÇÃO





Como transmitir com segurança esta chave?

•Pessoalmente?

•Telefone?

•Internet?

http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/


SEGURANÇA

DA

INFOMAÇÃO





Durante a segunda guerra mundial, por exemplo, os alemães usaram a famosa máquina Enigma para cifrar suas mensagens.



SEGURANÇA

DA

INFOMAÇÃO





Grandes dificuldades em quebrar o equipamento devido:

• Falta de informação• Força do algoritmo• A chave era trocada diariamente pelos alemães



SEGURANÇA

DA

INFOMAÇÃO





Dificuldades dos alemães:

Com navios, submarinos e exércitos espalhados em vários pontos e com uma chave descartável, usada somente durante um único dia, como dar a conhecer aos operadores de rádio a chave do próximo dia?



SEGURANÇA

DA

INFOMAÇÃO





Os alemães resolveram isto com a publicação de livros de códigos. Cada livro tinha chaves para vários dias e era entregue em mãos ao operador de comunicações.

A primeira maneira que os aliados encontraram para quebrar a enigma foi subornar um oficial alemão descontente que lhes entregava uma cópia do livro



SEGURANÇA

DA

INFOMAÇÃO





• Foi o homem que decifrou o código Enigma

• Foi pioneiro na teoria dos computadores

• Considerado o pai do computador contemporâneo

http://informatica.hsw.uol.com.br/alan-turing.htm

Alan Turing

SEGURANÇA

DA

INFOMAÇÃO





A criptografia assimétrica facilitou o problema da distribuição de chaves


SEGURANÇA

DA

INFOMAÇÃO





Um algoritmo assimétrico possui mais de uma chave, tipicamente duas. Uma delas é usada para cifrar e a outra serve apenas para decifrar.

Conceito


SEGURANÇA

DA

INFOMAÇÃO





http://assinaturas-digitais.web.simplesnet.pt/criptografia_assimetrica.htm

Esquema da Criptografia assimétrica

SEGURANÇA

DA

INFOMAÇÃO





Como exemplo, considere que duas pessoas desejam enviar dados sigilosos pelos correios. Usarão uma caixa fechada com um cadeado para isto. O problema é como enviar a chave, já que uma pessoa poderia capturá-la e realizar uma cópia.


SEGURANÇA

DA

INFOMAÇÃO





Como enviar uma mensagem de modo seguro?

Vivian vai em uma ferragem, compra um cadeado qualquer e o envia aberto para Renan, mantendo consigo a chave

Renan recebe pelos correios o cadeado aberto de Vivian

Renan usa o cadeado para fechar a caixa e a envia para Vivian

Renan Vivian


SEGURANÇA

DA

INFOMAÇÃO





Usando a analogia do cadeado, pode-se considerar que o cadeado aberto é uma das chaves de cifragem, justamente aquela que só serve para cifrar (bater o cadeado). A chave do cadeado é que serve para abrir

Analogamente


SEGURANÇA

DA

INFOMAÇÃO





• Para que isto funcione, algumas propriedades são muito importantes sob o risco de comprometer o sigilo: o cadeado é muito forte e uma vez fechado, só a chave pode abrí-lo;

• Mesmo aberto, o cadeado não possui informações suficientes para que um chaveiro, mesmo habilidoso, consiga confeccionar uma nova chave para ele;

• O número de chaves possíveis inviabiliza que um chaveiro, mesmo com muito tempo, pudesse tentar cada uma delas.

Condições


SEGURANÇA

DA

INFOMAÇÃO





Trazendo a analogia para os termos criptográficos, a propriedade 2 significa que o algoritmo deve resistir a criptoanálise enquanto que a propriedade 3 significa que deve resistir a força bruta.

Analogamente


SEGURANÇA

DA

INFOMAÇÃO





A comunidade científica tinha desistido de tentar encontrar um algoritmo assimétrico, classificando o problema como sem solução, mas Whitfield Diffie e Martin Hellman insistiram na utopia de um algoritmo assimétrico. Fizeram uma importante descoberta ao explorar a matemática modular.

Mesmo tendo continuado sua busca, foram os pesquisadores Ronald Rivest, Adir Shamir e Leonard Adlemann que chegaram ao primeiro algoritmo de cifra assimétrico, o popularmente conhecido algoritmo RSA


Algoritmo RSA

SEGURANÇA

DA

INFOMAÇÃO





A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração.

Exemplo: os fatores primos de 3.337 são 47 e 71

http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html

Algoritmo RSA

SEGURANÇA

DA

INFOMAÇÃO






Números primos até 1000

SEGURANÇA

DA

INFOMAÇÃO





A segurança está no emprego de números realmente gigantes, hoje da ordem de 512 bits.

Exemplo de número de 256 bits: 3345343132895241528885731 74586934053249


Algoritmo RSA

SEGURANÇA

DA

INFOMAÇÃO





Permite garantir a autenticidade de quem envia a mensagem, associada à integridade do seu conteúdo.

Integridade: Garante que o conteúdo da mensagem não foi alterado.


Assinatura digital

Autenticidade da origem: Garante a identidade de quem está enviando a mensagem

SEGURANÇA

DA

INFOMAÇÃO





Na prática, é inviável o uso da criptografia assimétrica para assinaturas digitais, devido a sua lentidão.

É empregada uma função Hashing, que gera um “resumo” da mensagem, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer tamanho. Assim, a função Hashing oferece agilidade nas assinaturas digitais, além de integridade confiável


Função Hashing

SEGURANÇA

DA

INFOMAÇÃO





Valor hash = 1300Valor hash = 1300

OK!

Vivian compara o valor de hash que Renan gerou com o que ela encontrou, se for o mesmo então a mensagem está integra

Função Hashing

Mensagem + assinatura digital

Renan Vivian

SEGURANÇA

DA

INFOMAÇÃO






Qual o modelo de criptografia que devemos utilizar? Simétrico ou assimétrico?

Devemos utilizar os dois, em um modelo denominado híbrido.

Criptografia Simétrica. Criptografia Assimétrica.

Rápida. Lenta.

Gerência e distribuição das chaves é complexa.

Gerência e distribuição simples.

Não oferece assinatura digital Oferece assinatura digital.

Criptografia Simétrica x Assimétrica: Protocolos Criptográficos

SEGURANÇA

DA

INFOMAÇÃO






Em resumo, os algoritmos criptográficos podem ser combinados para a implementação dos três mecanismos criptográficos básicos:

• Ciframento

• Assinatura

• Hashing.


SEGURANÇA

DA

INFOMAÇÃO






Estes mecanismos são componentes dos protocolos criptográficos, embutidos na arquitetura de segurança dos produtos destinados ao comércio eletrônico. Estes protocolos criptográficos, portanto, provêm os serviços associados à criptografia que viabilizam o comércio eletrônico:

• Disponibilidade

• Sigilo

• Controle de acesso

• Autenticidade

• Integridade

• Não-repúdio.


SEGURANÇA

DA

INFOMAÇÃO





Certificado Digital


Garantia de que a chave pública encontrada seja realmente proveniente daquela pessoa (Autenticidade)

SEGURANÇA

DA

INFOMAÇÃO






Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos.

Deste modo, quando um interlocutor (Renan) enviar uma mensagem ao outro (Vivian) solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele.

Certificado Digital

SEGURANÇA

DA

INFOMAÇÃO





Intruso

Renan Vivian

Certificado Digital

SEGURANÇA

DA

INFOMAÇÃO





A garantia para evitar este ataque é representada pelos certificados de chave pública. Tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado de Renan contém algo mais do que sua chave pública: contém informações sobre Renan - seu nome, endereço e outras dados pessoais - e é assinado por alguém em quem Vivian deposita sua confiança: uma autoridade de certificação, que funciona como um cartório eletrônico.


Certificado Digital

SEGURANÇA

DA

INFOMAÇÃO





Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública.


Certificado Digital

SEGURANÇA

DA

INFOMAÇÃO





Aplicações de segurança de rede

• Em uma única rede

• Na intranet corporativa

• Internet

SEGURANÇA

DA

INFOMAÇÃO





Kerberos

• Na mitologia grega, um cão de muitas cabeças, o guardião da entrada do Hades. Na utilização moderna, um serviço de autenticação com três componentes para proteger as entradas de uma rede: autenticação, contabilidade e auditoria.

• É um serviço de autenticação projetado para uso em um ambiente distribuído (servidores trabalham independente)

• Utiliza serviço de autenticação de terceiros confiável, que permite que clientes e servidores estabeleçam comunicação autenticada

• Utiliza exclusivamente criptografia simétrica

SEGURANÇA

DA

INFOMAÇÃO





Seu funcionamento é descrito como:• 1) Conexão ao Servidor de Autenticação - O usuário se autentica

perante o SA, com isso recebe um ticket e uma chave de sessão, os quais são criptografados com a sua chave secreta , e são relacionadas entre o cliente e o servidor;

• 2) Solicitação de ticket ao TGS – O ticket e a chave de sessão são novamente gerados, só que são de outro tipo e estão relacionados entre o cliente e o serviços que serão realizados, com essas informações sendo enviadas para o cliente também criptografadas;

• 3) Acesso ao Servidor - O ticket recebido no passo anterior é enviado na comunicação com o servidor. Como esse ticket está criptografado com a chave secreta do servidor, ele deverá decriptografá-lo e assim terá acesso à chave de sessão que durará um tempo limitado.

• 4) Base de Dados do Kerberos - Cadastramento e manutenção das chaves secretas do cliente e do servidor.

SEGURANÇA

DA

INFOMAÇÃO





www.gta.ufrj.br/grad/02.../kerberos/Kerberos.htm

SEGURANÇA

DA

INFOMAÇÃO





Algumas das aplicações que utilizam o Kerberos para fazer autenticação:

– Telnet– Rlogin– Ssh– Linux– Solaris (Desde a versão 2.6)– Windows .Net– Windows 2000

fonte:www.gta.ufrj.br/grad/02.../kerberos/Kerberos.htm

SEGURANÇA

DA

INFOMAÇÃO





Serviço de autenticação X.509

• Define o formato para certificados de chave pública

• As implementações de PKI, infra-estrutura de chave pública, utilizam certificados X.509

• O próprio servidor de diretório não é responsável pela criação das chaves públicas ou pela função de certificação; ele simplesmente oferece um local de fácil acesso para os usuários obterem certificados

SEGURANÇA

DA

INFOMAÇÃO





O X.509 têm 3 procedimentos de autenticação:Autenticação de uma via, que envolve uma única transferência de um usuário (A) para outro (B)

Autenticação de duas vias, permite que ambas as partes de uma comunicação verifiquem a identidade uma da outra

Autenticação de três vias, é incluída uma cópia assinada do nonce rb. Sua intenção é detectar ataques de repetição.

www.prenhall.com/stallings_br

SEGURANÇA

DA

INFOMAÇÃO





Infra-estrutura de chave pública (PKI)

É definida como o conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados digitais com base na criptografia assimétrica. O objetivo principal para desenvolver uma PKI é permitir a aquisição segura, conveniente e eficiente de chaves públicas.

SEGURANÇA

DA

INFOMAÇÃO





Segurança de e-mail

Em praticamente todos os ambientes distribuídos, o e-mail é a aplicação de rede mais utilizada. Ela também é a única aplicação distribuída que é amplamente usada por todas as arquiteturas e plataformas de fornecedor.

Com confiança cada vez maior no e-mail para todo tipo de propósito imaginável, cresce uma demanda por serviços de autenticação e confidencialidade. Dois esquemas se destacam:

• Pretty good privacy (PGP)

• S/MIME

SEGURANÇA

DA

INFOMAÇÃO





Pretty Good Privacy (PGP)

É um pacote de software de código-fonte aberto para segurança de e-mail.

Oferece autenticação por meio do uso da assinatura digital; confidencialidade pelo uso da criptografia simétrica; compressão usando o algoritmo ZIP; compatibilidade de e-mail usando o esquema de codificação radix-64 e segmentação e remontagem para acomodar e-mails longos. Incorpora ferramentas para desenvolver um modelo de confiança de chave pública e gerenciamento de certificados de chave públicaEsforço em grande parte de Phil Zimmermann, que selecionou os melhores algoritmos criptográficos disponíveis como elementos básicos, integrou-os em uma aplicação de uso geral com um pequeno conjunto de comandos fáceis de usar e o disponibilizou por meio da internet, redes comerciais e BBSs.

SEGURANÇA

DA

INFOMAÇÃO





Resumo dos serviços do PGP

Fonte:www.prenhall.com/stallings_br

SEGURANÇA

DA

INFOMAÇÃO





S/MIME

É um mecanismo de segurança de e-mail

Enquanto o PGP é usado para segurança de e-mail pessoal, o S/MIME emergirá como o padrão do setor para uso comercial e organizacional.

Oferece também a capacidade de assinar e/ou criptografar mensagens.

Incorpora três algoritmos de chave pública para criptografar e decriptografar mensagens. O DSS, Diffie-Hellman e o RSA.

SEGURANÇA

DA

INFOMAÇÃO





Segurança de IP

Desenvolvimento de mecanismos de segurança específicos em diversas áreas de aplicação

• E-mail (PGP e S/MIME)

• Cliente/servidor (Kerberos)

• Acesso à web (Secure Sockets Layer)

Porém os usuários têm questões de segurança que transcedem as camadas de protocolos.

Implementando a segurança no nível do IP, uma organização pode garantir uma rede segura não apenas para aplicações que possuem mecanismos de segurança, mas também para as muitas aplicações que ignoram a segurança.

SEGURANÇA

DA

INFOMAÇÃO





Aplicações de segurança do IP (IPSec) O IPSec oferece a capacidade de proteger comunicações por

uma LAN, por WANs privadas e públicas e pela internet Alguns exemplos:• Conectividade segura do escritório pela internet: rede

privada segura• Acesso remoto seguro pela internet: usuário que trabalha

viajando pode fazer uma ligação local para um provedor de Internet e obter acesso seguro a rede de uma empresa

• Estabelecimento de conectividade de extranet e intranet com parceiros: gerenciamento de informações e comunicação com o uso de autenticação, confidencialidade. Além de fornecer um mecanismo de troca de chaves.

• Aprimoramento da segurança do e-commerce: aumenta a segurança já existente

SEGURANÇA

DA

INFOMAÇÃO





O serviço de autenticação IPSec pode ser usado no modo de transporte, quando uma estação de trabalho e o servidor compartilham uma chave secreta protegida, o processo de autenticação será seguro. Enquanto no modo túnel uma estação de trabalho remota autentica-se no firewall corporativo, seja para acesso à rede interna inteira ou porque o servidor não admite o recurso de autenticação.


SEGURANÇA

DA

INFOMAÇÃO





Segurança na web

Com uma maior acessibilidade à internet, muitos indivíduos e empresas possuem sites web. Afim de expandir seus mercados diversas empresas despertaram um interesse para o comércio eletrônico. Mas a realidade é que a internet e a web são extremamente vulneráveis a riscos de vários tipos. À medida que as empresas percebem essa realidade, a demanda por serviços web seguros aumenta. Vejamos algumas ameaças:

SEGURANÇA

DA

INFOMAÇÃO






SEGURANÇA

DA

INFOMAÇÃO





Vejamos alguns serviços de segurança

SSL (secure socket layer) e TLS (transport layer security)

• Oferece confidencialidade usando criptografia simétrica e integridade de mensagens usando um código de autenticação de mensagens

• Inclui mecanismos de protocolo para permitir que dois usuários TCP determinem os mecanismos e serviços de segurança que eles usarão

SET (secure eletronic transaction)• É uma especificação aberta de criptografia e segurança, projetada

para proteger transações com cartão de crédito na internet.• Surgiu a partir de um pedido de padrões de segurança pela

MasterCard e Visa em 1996, com o envolvimento e desenvolvimento da IBM, Microsoft, Netscape, entre outras.

• Por volta de 1998 a primeira onda de produtos compatíveis com o SET estava disponível.

SEGURANÇA

DA

INFOMAÇÃO





Tipos de transação do SET


SEGURANÇA

DA

INFOMAÇÃO





Intrusos

• A intrusão não autorizada em um sistema ou rede de computadores é uma das ameaças mais sérias à segurança de computadores, geralmente conhecido como hacker ou cracker, que podem ser identificados em 3 classes:

Mascarado (indivíduo que penetra nos controles de acesso de um sistema para explorar ou se passar por um usuário legítimo

Infrator (usuário legítimo que vai além do autorizado)

Usuário clandestino (usuário que se apodera do controle de supervisão do sistema para ‘burlar’ serviços)

SEGURANÇA

DA

INFOMAÇÃO





Software malicioso

São intencionalmente inseridos em sistemas para um propósito prejudicial. São divididos em duas categorias:

• Aqueles que necessitam de um programa hospedeiro, não podem existir independentemente de algum programa de aplicação, os vírus e bombas lógicas são alguns dos diversos exemplos.

• Aqueles que são independentes, podem ser programados e executados pelo sistema operacional, vermes e zumbis são alguns exemplos.

SEGURANÇA

DA

INFOMAÇÃO





Alguns dos programas maliciosos

www.prenhall.com/stallings_brhttp://www.microsoft.com/brasil/athome/security/viruses/virus101.mspx

SEGURANÇA

DA

INFOMAÇÃO





Tipos de vírus• Vírus parasitário: tipo mais comum, se replica quando arquivos

infectados são executados e procuram arquivos para infectar

• Vírus residente na memória: aloja-se na memória do computador e a partir daí infecta os programas executados

• Vírus do setor de inicialização: infecta um registro mestre ou registro de inicialização e se espalha quando um sistema é inicializado a partir do disco contendo o vírus

• Vírus furtivo: projetado explicitamente para se esconder de software antivírus

• Vírus polimórfico: se transforma a cada infecção, dificultando a detecção

• Vírus metamórfico: além da transformação a cada infecção, ele se reescreve completamente e muda seu comportamento

SEGURANÇA

DA

INFOMAÇÃO





Técnicas antivírusImpossibilitar a entrada dos vírus no sistema. Impossível !

Porém podemos nos prevenir para reduzirmos o número de ataques bem-sucedidos

Uma técnica avançada é a utilização de decriptografia genérica, a qual permite detectar até mesmo os vírus polimórficos

SEGURANÇA

DA

INFOMAÇÃO





Firewall

Um firewall forma uma barreira através da qual o tráfego indo em cada direção precisa passar.

Uma política de segurança de firewall dita qual tráfego tem autorização para passar em cada direção.

Um firewall oferece um local para monitorar eventos relacionados à segurança. Auditorias e alarmes podem ser implementados no sistema de firewall. Configurações de firewall:


SEGURANÇA

DA

INFOMAÇÃO





Sistemas confiáveis

Sistemas com a capacidade de se defender contra intrusos e programas maliciosos

Divisão organizada de níveis de acesso

Porém não são 100% invioláveis

SEGURANÇA

DA

INFOMAÇÃO





Termo pelo qual é comumente conhecido o envio, de mensagens eletrônicas a uma grande quantidade de pessoas de uma vez, geralmente com cunho publicitário, mas não exclusivamente. O spam também é conhecido pela sigla inglesa UCE (Unsolicited Commercial E-mail, ou Mensagem Comercial Não-Solicitada).

Spam

http://informatica.terra.com.br/virusecia/spam/interna/0,,OI195623-EI2403,00.html

SEGURANÇA

DA

INFOMAÇÃO





http://antispam.yahoo.com/spamguard

• Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam• Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário• Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores

Spam Guard

SEGURANÇA

DA

INFOMAÇÃO





Anti vírus

• Checa os e-mails na caixa que são recebidos e enviados contra virus conhecidos;• Utiliza software Norton para scanear contra virus;• Scaneia mensagem e anexos.

http://antispam.yahoo.com/virus

SEGURANÇA

DA

INFOMAÇÃO





AJAX

Trata-se de uma maneira de fazer com que seu navegador, com Javascript, carregue conteúdo do servidor sem recarregar a página atual.

Você pode, por exemplo, solicitar do usuário o CEP, e-mail e senha como os primeiros dados. Após ele preencher o CEP, você pode buscar o endereço dele no servidor, enquanto ele digita seu e-mail e senha. Em seguida, você pode verificar a disponibilidade daquele e-mail para cadastro, enquanto ele confere seu endereço. Isso tem grande impacto sobre a experiência do usuário, pois ele não precisa ficar esperando pela carga dos dados.

www.arteccom.com.br/webdesign/downloads/25/2.pdf

SEGURANÇA

DA

INFOMAÇÃO





Problemas de segurança do AJAX

O AJAX é uma combinação de Javascript e XML. Ambos têm problemas de segurança que o AJAX ajuda a amplificar

Um exemplo neste sentido foi o worm de infecção em massa Yamanner, que se aproveitava de um erro de múltiplos scripts no Yahoo! Mail para infectar milhares de usuários. A praga chegava aos e-mails com o assunto "New Graphic Site" e era ativado simplesmente após sua leitura pelo usuário.

http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html

SEGURANÇA

DA

INFOMAÇÃO






O principal problema é que o AJAX envolve novas abordagens em oferecer funcionalidades na interface do navegador

Por isto, desenvolvedores estão mais propensos a errar onde tradicionalmente eles saberiam como construir um site seguro


SEGURANÇA

DA

INFOMAÇÃO






Empresas precisam estar cientes de tais riscos, de acordo com Tim Farmer, diretor do tipo de arquitetura de software da Choice Homes. No momento, porém, "os benefícios que você ganha da linguagem AJAX compensam o risco - desde que o usuário decida quais informações serão expostas pela aplicação", contesta.


SEGURANÇA

DA

INFOMAÇÃO





InvestimentosNos últimos anos a maioria das empresas que se aventuraram no comércio eletrônico, sites de busca, entre outros, passaram a se preocupar mais com a segurança na rede. Devido a presença de intrusos, softwares maliciosos e até mesmo de seus concorrentes.

http://www.es.gov.br/site/noticias/show.aspx?noticiaId=99700726

SEGURANÇA

DA

INFOMAÇÃO





Um desafio para os próximos anos será a realização dos jogos olímpicos do Rio de Janeiro, que terá um investimento pesado em infra-estrutura, desde a reformulação de vias de acesso, até o desenvolvimento de redes internas seguras.

info.abril.com.br/noticias/mercado/olimpiadas-vao-puxar-investimentos-em-ti-02102009-36.shl

SEGURANÇA

DA

INFOMAÇÃO





ciberdominiopublico.blogspot.com

Blog do Prof. Ruy de Queiroz

SEGURANÇA

DA

INFOMAÇÃO





Bibliografia

•Cryptography and Network Security: Principles and Practice, William Stallings, Prentice-Hall, 4ed., 2006 • www.bradescoseguranca.com.br• www.clubedohardware.com.br/artigos/667• Unipaulistana -Adm. Gerência e segurança de redes – Página 42• assinaturas-digitais.web.simplesnet.pt/criptografia_simetrica.htm•www.gta.ufrj.br/grad/99_2/marcos/des.htm• www.gta.ufrj.br/~natalia/SSH/Pictures/des/DES1a.jpg• www.safetyti.com.br/produtos/gertec_pinpad_ppc_800_serial.html• www.gta.ufrj.br/~natalia/SSH/aes.html• www.orion.com.br/securecall.htm• www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA• ciberdominiopublico.blogspot.com/• www.es.gov.br/site/noticias/show.aspx?noticiaId=99700726 • info.abril.com.br/noticias/mercado/olimpiadas-vao-puxar-investimentos-em-ti-02102009-36.shl

SEGURANÇA

DA

INFOMAÇÃO





• assinaturas-digitais.web.simplesnet.pt/criptografia_assimetrica.htm• br.geocities.com/jasonbs_1917/seguranca/cripto2.html• www.gta.ufrj.br/grad/02.../kerberos/Kerberos.htm• www.prenhall.com/stallings_br • www.microsoft.com/brasil/athome/security/viruses/virus101.mspx• informatica.terra.com.br/virusecia/spam/interna/0,,OI195623-EI2403,00.html• antispam.yahoo.com/spamguard• antispam.yahoo.com/virus• www.arteccom.com.br/webdesign/downloads/25/2.pdf• www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html•www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66• www.bibl.ita.br/ixencita/artigos/FundRafaelAntonio1.pdf • adm-net-a.unifei.edu.br/phl/pdf/0032910.pdf

Bibliografia

apresentação tema 9 segurança das informações e continuidade dos negócios

Education