segurança das informações e continuidade dos negócios

SEGURANÇA DAS INFORMAÇÕES E CONTINUIDADE DOS NEGÓCIOS

Mateus Tavares da Silva Cozer

WILLIAM DA SILVA Nº 12106435-6KLEBER F. FEITOSA Nº 12106560-1FERNANDO FORNEIRO Nº 12106026-3

Roteiro

Necessidades de segurança

Privacidade

Planos de Contingência

ASP – Application Service Provider

Criptografia

Conclusão

Necessidades de Segurança

Segurança da Informação

Segurança Nacional

Comércio Eletrônico

Privacidade

Segurança da Informação

A Segurança da Informação garante que os ativos da instituição sejam protegidos sob três requisitos:

Confidencialidade: é o sigilo da informação. Garantia de que apenas as pessoas que devem ter conhecimento a seu respeito poderão acessá-la.

Integridade: garantia de que as informações irão permanecer em seu estado original, protegida de alterações.

Disponibilidade: garantia de que as informações estarão acessíveis àqueles que dela necessitam, no momento em que precisam.

Segurança Nacional

Guerra Cibernética

“Corresponde ao uso ofensivo e defensivo de informações e sistemas de informações para negar, explorar, corromper ou destruir valores do adversário baseados em informações, sistemas de informação e redes de computadores . Estas ações são elaboradas para obtenção de vantagens tanto na área militar quanto na área civil.”

Fonte: CyberWar: Security, Strategy and Conflict in the Information Age, Campen, Dearth and Goodden, ©AFCEA International Press 1996

Segurança Nacional

Ambiente Cibernético é tratado por diversos países como um novo teatro de guerra, juntamente com mar, ar, terra e espaço.

Tecnologia “hacker” é item bélico.

23 países tratam como estratégia de estado a formação específica de grupos de “guerreiros cibernéticos” como tropa de elite. (fonte:Infowar Conference 2001)

Segurança Nacional

China e Rússia vêm se destacando na formação de “guerreiros cibernéticos”, sendo os grupos chineses os maiores desenvolvedores de vírus e descobridores de brechas de segurança na Internet.

Doutrina oriunda da Guerra Fria: conceito de estar sempre respondendo com tecnologia de ponta.

Segurança Nacional

Ex. de Atuações da China ...

Bombardeio Americano à

Embaixada Chinesa em

Belgrado (1999).

Retaliação: hackers chineses

atacaram sites do Governo dos EUA (Casa Branca e Dep. de Energia) e invadem diversos outros sistemas.

Segurança Nacional

Iniciativas Governamentais nos EUA... (1998) Diretiva Presidencial 63 (PDD-63):

determina realizar toda medida necessária para eliminar vulnerabilidades a ataques cibernéticos nas infra-estruturas críticas.

(2000) criação do Cyber National InformationCenter: reunindo Governo e setor privado na defesa de sistemas de computadores.

Em decorrência dos ataques de 11SET, ocorre em 2002 a criação do National InfrastructureProtection Center (NIPC) subordinado ao Dep. Homeland Security.

Segurança Nacional

http://www.us-cert.gov/


Exigências da Segurança da Informação no Comércio Eletrônico

Confidencialidade

Autenticidade

Integridade:


Confidencialidade: garantia do resguardo das informações dadas pessoalmente em confiança e a proteção contra a sua revelação não autorizada. Atualmente, confidencialidade é considerada como sendo o dever de resguardar todas as informações que dizem respeito a uma pessoa, isto é, a sua privacidade. A confidencialidade é o dever que inclui a preservação das informações privadas e íntimas.


Autenticidade: a prova da identidade para a concessão da autorização.


Integridade: garantia de que os dados trafegados não sofram nenhuma alteração durante seu percurso.

Privacidade

Banco de dados são criados armazenando as mais variadas informações sobre o consumidor sem qualquer controle prévio e o que é mais grave, as informações ali contidas são compartilhadas e transmitidas para terceiros que a princípio não guardam qualquer relação...

Privacidade

Por que fazem isso?

A Internet, nos últimos anos, revelou-se como um poderoso veículo para a divulgação de produtos e serviços, em vista do grande número de usuários e do baixo custo de veiculação de publicidade.

Daí a ânsia de se saber os hábitos e preferências dos usuários, para melhor dirigir a oferta dos

bens de consumo.

Privacidade

A coleta de informações na Internet acontece na maioria das vezes de maneira

indiscriminada, sendo possível saber, por exemplo, através do monitoramento da

navegação no site de uma livraria, as preferências ideológicas, crenças religiosas,

opções sexuais do consumidor, ampliando-se e agravando-se as formas de interferência na

vida privada do internauta.

Formas de invasão da privacidade

Cookies

Web bugs

Spywares

Spam's

Mineração de dados

Sniffing

Spoofing

Cookies

São pequenos arquivos de texto enviados e gravados no computador do internauta;

Podem ser recuperados pelo site que o enviou durante a navegação

A maneira como a informação é armazenada pode revelar-se prejudicial para o utilizador

De um modo geral o envio desses arquivos de registro para o computador do usuário faz-se sem o seu consentimento,

Web bugs

Um web bug é uma imagem minúscula e invisível, colocada nas páginas dos sites comerciais que possui a capacidade de monitorar a navegação do internauta.

Essas imagens tornam-se invisíveis porque, além de muito pequenas, a cor utilizada no web bug é a mesma da página onde está localizado

Web bugs

O web bug pode requisitar inúmeros dados de navegação, tais como endereço IP do computador, o tempo de visita na página, tipo de navegador, dia e hora em que o site foi visitado, quais as páginas que o internauta está conectado, além das informações que se encontram nos cookies presentes no computador do usuário.

O maior problema do web bug é a sua

execução sem o conhecimento e

autorização do internauta.

Spywares

São programas que se instalam nos computadores dos internautas de maneira sub-reptícia

Acompanham na maioria das vezes outros programas distribuídos gratuitamente pela Internet

Sua função é, uma vez instalado sem conhecimento do usuário, monitorar o seu comportamento e recolher dados pessoais remetendo-os aos fabricantes dos softwares "gratuitos" ou seu patrocinadores

Spywares

O lucro das companhias de software gratuito advém da venda dos dados pessoais e da publicidade que isto proporciona

As informações são também vendidas para companhias que enviam spams

O spyware pode examinar qualquer informação do PC, desde a lista de sites visitados até os dados pessoais relativos ao nome, endereço, e-mail, número de cartão de crédito e de telefone.

Spywares

Os freewares mais conhecidos que possuem embutidos esses códigos espiões são o Kazaa, Gator, Go!Zilla, GetRigth, CuteFTP e o Alexa (software da Amazon.com).

Spams

Envio de e-mail não autorizado previamente para o usuário;

Meio de publicidade extremamente barato para as empresas;

A mensagem deve ter conteúdo comercial para ser considerada como spam;

Segundo relatório divulgado pela empresa anti-spam Brightmail as mensagens não solicitadas (spams) representam 50% dos e-mails que circulam na Internet

Os servidores do Hotmail, serviço de webmail gratuito mais usado no mundo, pertencente a Microsoft, têm barrado, diariamente, 2,4 bilhões de mensagens não solicitados antes que sejam lidas pelos usuários.

Spams

Vão desde a oferta de serviços milagrosos para solução de problemas financeiros, promessas de enriquecimento rápido e até pornografia.

O conteúdo dos spams pode trazer publicidade indiscriminada, isto é, sem preocupação com as predileções dos consumidores ou publicidade dirigida, cuja mensagem foi montada a partir de perfis dos consumidores previamente montados.

Spams (Precauções p/ Dimunir)

Ex. Yahoo Anti-Spam...

• Endereços de e-mails suspeitos são encaminhados diretamente para a caixa de spam

• Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário

• Usuário confirmando que se trata de um spam o endereço é automaticamente salvo em uma lista de e-mails de spam, sendo deletado automaticamente as mensagens posteriores

Spams (Modo de Prevenir)

http://antispam.yahoo.com/

Mineração de dados

Uma forma mais sofisticada de coleta e análise de dados dos consumidores.

Um processo computacional conhecido como reconhecimento de padrões em banco de dados.

As empresas de telecomunicações e bancos são os principais usuários desse processo.

Os dados armazenados e analisados vão desde informações cadastrais e de movimentação financeira até contatos que o cliente faz com a empresa, por telefone ou email.

Sniffing

Sniffing, em rede de computadores, é o procedimento realizado por uma ferramenta conhecida como Sniffer(também conhecido como Packet Sniffer)

Esta ferramenta é capaz de interceptar e registrar o tráfego de dados em uma rede de computadores

Sniffing

Conforme o fluxo de dados trafega na rede, o sniffer captura cada pacote e eventualmente decodifica e analisa o seu conteúdo

O sniffing pode ser utilizado com propósitos maliciosos por invasores que tentam capturar o tráfego da rede com diversos objetivos

Spoofing

Técnica sofisticada utilizada por hackers e crackers que os permite acessar sistemas controlados passando-se por pessoa autorizada a fazê-lo.

No contexto de redes de computadores, IP spoofing é uma técnica de subversão de sistemas informáticos que consiste em mascarar (spoof) pacotes IP utilizando endereços de remetentes falsificados.

Outras Ameaças e suas característicasTipo Característica

Arquivo

Vírus que anexa ou associa seu código a um arquivo. Geralmente, esse tipo de praga adiciona o código a um arquivo de programa

normal ou sobrescreve o arquivo. Ele costuma infectar arquivos executáveis do Windows, especialmente .com e .exe, e não age

diretamente sobre arquivos de dados. Para que seu poder destrutivo tenha efeito, é necessário que os arquivos contaminados sejam

executados.

Alarme

falso

Não causa dano real ao computador, mas consome tempo de conexão à Internet ao levar o usuário a enviar o alarme para o maior

número de pessoas possível. Se enquadra na categoria de vírus-boato e cartas-corrente.

Backdoor

Como o próprio nome diz, é um vírus que permitem que hackers controlem o micro infectado pela "porta de trás". Normalmente, os

backdoors vêm embutidos em arquivos recebidos por e-mail ou baixados da rede. Ao executar o arquivo, o usuário libera o vírus, que

abre uma porta da máquina para que o autor do programa passe a controlar a máquina de modo completo ou restrito.

BootVírus que se infecta na área de inicialização dos disquetes e de discos rígidos. Essa área é onde se encontram arquivos essenciais ao

sistema. Os vírus de boot costumam ter alto poder de destruição, impedindo, inclusive, que o usuário entre no micro.

Cavalo de

Tróia ou

Trojan

São programas aparentemente inofensivos que trazem embutidos um outro programa (o vírus) maligno.

Encriptados Tipo recente que, por estarem codificados, dificultam a ação dos antivírus.

Hoax Vírus boato. Mensagens que geralmente chegam por e-mail alertando o usuário sobre um vírus mirabolante, altamente destrutivo.

MacroTipo de vírus que infecta as macros (códigos executáveis utilizados em processadores de texto e planilhas de cálculo para automatizar

tarefas) de documentos, desabilitando funções como Salvar, Fechar e Sair.

Multipartite Vírus que infecta registro mestre de inicialização, trilhas de boot e arquivos

Mutante Vírus programado para dificultar a detecção por antivírus. Ele se altera a cada execução do arquivo contaminado

PolimórficoVariação mais inteligente do vírus mutante. Ele tenta difiultar a ação dos antivírus ao mudar sua estrutura interna ou suas técnicas de

codificação.

Programa Infectam somente arquivos executáveis, impedindo, muitas vezes, que o usuário ligue o micro.

Script

Vírus programado para executar comandos sem a interação do usuário. Há duas categorias de vírus script: a VB, baseada na linguagem

de programação, e a JS, baseada em JavaScript. O vírus script pode vir embutido em imagens e em arquivos com extensões estranhas,

como .vbs.doc, vbs.xlsou js.jpg

StealthVírus "invisível" que usa uma ou mais ténicas para evitar detecção. O stealth pode redirecionar indicadores do sistema de modo a infectar

um arquivo sem necessariamente alterar o arquivo infectado.

Cibersegurança e o Domínio Público

“À medida que o mundo se torna mais dependente de sistemas digitais e da

internet, a segurança e a confiabilidade desses sistemas complexos são mais críticas

do que nunca. Atender às demandas da sociedade em relação à infra-estrutura

digital requer ao mesmo tempo as tecnologias corretas e as políticas públicas

apropriadas.”

Fonte:http://ciberdominiopublico.blogspot.com/

Blog Cibersegurança e Domínio Público

http://ciberdominiopublico.blogspot.com/

Cibersegurança e o Domínio Público

Aborda temas atuais: "Aos Pais o Poder de Ajudar as

Crianças a Desfrutar das Novas Mídias“

"A Memória na Era Digital e o Fim do Esquecimento“

"O Ensino da Ética e da Cidadania Digitais“

“Democracia cibernética”

Blog do Prof. Ruy de Queiroz

http://www.blogger.com/profile/07711690722235875428

Blog do Prof. Ruy de Queiroz

Professor Associado, Univ. Federal de Pernambuco (UFPE)

Membro do Grupo de Teoria, CIn-UFPE

Co-Editor-in-Chief, Logic Journal of the IGPL, Oxford U. Press

Coordenador do Interest Group in Pure and Applied Logics

Membro do Corpo Editorial do The International Directory ofLogicians

Associate Editor, Journal of Computer and System Sciences

Contatos:


http://br.linkedin.com/pub/ruy-de-queiroz/18/685/a45

http://twitter.com/ruydequeiroz







http://twitter.com/ruydequeiroz

Computer and Network Security

Hackers históricos

Perfil: - Homem- Idade entre 14 e 34 anos- Viciados em computador- Sem namoradas fixas

Da esquerda para a direita: Adrian Lamo, Kevin Mitnick, Kevin Poulsen


Tendências

Softwares maliciosos continuam crescendo

- Em 2008 aparecem mais software maliciosos que todos os anos anteriores juntos.

- Em 2009 a tendência é de crescimento

- Surgem mais softwares “ruins” do que “bons”

Web cada vez mais como foco de ataques

- Acesso remoto (casa/trabalho) facilita o ataque dos hackers


Quão grande é a questão de segurança?cERT Vulnerabilities reported


Caso Iphone (2007)

iPhone Safari downloads malicious web page

- Código arbitrário executado com privilégios administrativos

- Permite realizar ações físicas no telefone

- Pode ler registros de SMS, livro de endereços, histórico de chamadas, etc.

iPhone security measures

- Versão simplificada e personalizada do Mac OS X

- MobileSafari – Muitas características do Safari foram removidas: No Flash plug-in, muitos tipos de arquivos não podem ser baixados.

- Se há algum arquivo USB sincronizando com iTunes, arquivos de sistema não podemser montados


Porque existem vulnerabilidades de segurança?

- Porque programadores escrevem códigos inseguros?

Alguns fatores que contribuem?

- Poucos cursos em segurança da internet

- Livros de programação não dão enfase a segurança

- Consumidores não se preocupam com segurança

- Segurança é caro e toma tempo

A vulnerability that is “too complicated for anyone to ever find” will be found !


Plano de contingência ou continuidade dos negócios (PCN) – Garantia do restabelecimento das condições normais de operação dentro de um prazo aceitável, quando da ocorrência de um incidente de segurança.

Elaboração de tal plano é feito por meio de um documento que descreve passo a passo as ações a serem tomadas.


Planejamento da Continuidade dos Negócios

No PCN, o incidente já ocorreu, objetiva-se minimizar o prejuízo gerado por tal incidente

Conforme: ABNT NBR 15999 1-2

Gestão de Riscos

Preocupação em evitar ou minimizar o risco da ocorrência de um incidente envolvendo segurança da informação

Conforme: ISO 31000


Criando um PCN

O PCN detalha as ações a serem tomadas no caso de uma interrupção de um serviço da informação.

A elaboração e manutenção de um PCN demanda investimentos, mas um PCN deve ser encarado como o seguro de um bem, o ideal é nunca precisar utilizá-lo, mas se for necessário o retorno financeiro pode ser muito grande


Projeto

Podemos comparar a elaboração de um PCN com a condução de um projeto.

- Definir equipe de trabalho e uma pessoa que será “gerente do projeto”

- Apoio claro da alta direção da empresa


Coordenador

Definir quem será o coordenador do projeto

- O coordenador é responsável por garantia que cada um envolvido no projeto tenha feito sua parte dentro dos prazos previamente definidos.

- Interlocutor entre equipe do PCN e alta direção

- Conhecer o negócio da empresa e adequar o PCN a ele.


Equipe

A equipe deve estar pronta para assumir o controle das operações, caso ocorra um incidente que seja considerado um desastre.

- Responder ao incidente e determinar a necessidade de ativar um PCN.

- Recuperar sistemas críticos em sites alternativos.

- Recuperar site primário, retornar as operações ao site primário.


Análise de Impacto nos Negócios

Objetiva demonstrar o impacto que um incidente pode causar para o negócio.

A AIN determina o MTD (Maximum Tolerable Downtime) para cada função crítica do negócio.

A partir da AIN é possível elabora um plano de recuperação realista, tanto em eficiência como em custo.


Construção de uma AIN

- Definir técnicas de coleta de informação

- Selecionar os funcionários a serem entrevistados

- Elaborar questionários estruturados

- Analisar dados e gerar estrutura de informações

- Gerar relatório de recomendações


Estratégias de Recuperação

São as possibilidades de contingência para cada incidente de segurança, são divididas em 4 categorias:

- Processos

- Ambientes

- Pessoas

- Tecnologias

ASP–Application Service Provider

O software de aplicação reside no sistema da empresa contratada, sendo acessado pelo cliente (usuário) através de um web browser usando geralmente HTML.

Considerações:

- A empresa ASP é detém e opera o software application

- ASP detém, opera e mantém o Server que suporta o software

- ASP disponibiliza a informação para os clientes via internet

- ASP realiza cobrança por uso, ou baseado no número de usuários, com taxas geralmente mensais


O cliente deve ver e se preocupar somente com a interface ASP/ Cliente, porém por trás dela há uma complexa cadeia para que o serviço seja efetuado...

- Implementação e customização de um ERP

- Operar um data center


Como Funciona um ASP?


Vantagens no uso de ASP

- Outsourcing “problems”

- Suporte Técnico

- Acesso everywhere – anyplace

- Pay-as-you-go

- Reduz capital de investimento


Desvantagens no uso de ASP

- Integração com cliente que não tem um sistema de ASP implementado pode ser crítico.

- Performance, no caso de problemas com a conexão

- Segurança da informação

Criptografia - Significado

Palavra de origem grega :

Kryptós - "escondido"

Gráphein - "escrita"

Criptografia - Definição

É o estudo dos princípios e técnicas pelas quais a informação pode ser transformada da sua forma original para outra ilegível, de forma que possa ser conhecida apenas por seu destinatário (detentor da "chave secreta"), o que a torna difícil de ser lida por alguém não autorizado. Assim sendo, só o receptor da mensagem pode ler a informação com facilidade

Teoria dos números

A teoria dos números é basicamente a teoria das propriedades dos inteiros como, por exemplo, a divisibilidade, a paridade, a

relação de primos relativos etc. A seguir são apresentadas algumas dessas

propriedades.

Teoria dos números Divisibilidade

Teorema (Divisão)

Sejam a, b pertencentes a ℤ com b > 0. Então, existe um único par de inteiros q e r tais que

a = qb + r e 0 ≤ r < b

O inteiro q é chamado quociente e o inteiro r é chamado resto. r = 0 se e somente se b|a.

Exemplos:

– Sejam a = 37

e b = 5. Então o quociente é q = 8

e o resto é r = 3, porque

37= 8 * 5 + 3 e 0 ≤ 3 < 5

Teoria dos números- Div e Mod

São operações associadas ao processo de divisão. Dados a e b, essas operações dão o quociente e o resto no problema da divisão.

Definição:

Sejam a, b pertencente a ℤ com b > 0. Pelo Teorema da divisão existe um único par de inteiros q e r tais

que a = qb + r e 0 ≤ r < b. Definimos as operações div e mod como

a div b = q e a mod b = r.

Graficamente:

a/b

r/q

Exemplos:– 11 div 3 = 3 11 mod 3 = 2

Teoria dos números- Equivalênciamodular e Congruência

Sejam a, b, n pertencem a ℤ com n > 0. Então,

a = b (mod n) a mod n = b mod n.

Dizemos que a e b são congruentes módulo n se n é um divisor de a b.

Além disso,

ax = b (mod n) ax ny= b.

ou

ax =b (mod n) ax = b + ny.

Exemplo:

– Assim, 53 = 23 (mod 10) já que 53 mod 10 = 3 e 23 mod 10 = 3. Além disso, 53 e 23 são congruentes módulo 10 já que 10 é divisor de 5323 = 30.

Teoria dos números- Máximodivisor comum

O máximo divisor comum de dois números a, b pertencente

a ℤ, denotado por mdc(a, b), é o maior inteiro que divide a e

b.

Exemplos:

– mdc(30, 24) = 6

– mdc(30,24)= 6

Importante:

– Se a e b tem um máximo divisor comum, ele é único.

Teoria dos números- NúmerosPrimos

Um inteiro positivo p > 1 é dito um número primo (ou apenas primo) se ele é divisível apenas por 1 e p, ou seja se p tem apenas os divisores triviais. Se n > 1 não é primo, então n é dito composto. Veja que, de acordo com essa definição, o inteiro positivo 1 não é nem primo nem composto.

Primos e mdc

Sejam a e b inteiros. Dizemos que a e b são relativamente primos (ou primos entre si) se e somente se mdc(a, b) = 1.

Exemplos:

– 23 é primo, pois seus únicos divisores são 23 e 1

– 22 não é primo, pois é divisível por 1, 2, 11 e 22

Os números primos têm propriedades especiais e interessantes e desempenham um papel fundamental no desenvolvimento da teoria dos números.

Teoria dos números- NúmerosPrimos até 1000

Teoria dos números- AritméticaModular

A aritmética é o estudo das operações básicas: adição,

subtração, multiplicação e divisão. A aritmética modular é o

estudo das operações básicas sobre um contexto diferente,

que é o sistema dos números inteiros módulo n. O conjunto

ℤn, onde n é um inteiro positivo, é o conjunto de todos os

números naturais de 0 a n1, inclusive:

ℤn = {0, 1, 2, ..., n 1}

As operações básicas são:

– adição mod n

– subtração mod n

– multiplicação mod n

– divisão mod n

Teoria dos números- Adição e multiplicação de modulares

Sejam n um inteiro positivo e a, b Î ℤn. Definimos

a b = (a + b) mod n e (adição modular)

a b = (a * b) mod n (multiplicação modular)

Exemplos:

– Se n = 10, ou seja, em ℤ10:

– 5 5 = 0 5 5 = 5

– 9 8 = 7 9 8 = 2

Cifras métricas tradicionais

Técnicas de substituição: Mapeiam elementos de texto claro em elementos de texto cifrado, ex: (Cifra de César, cifra monoaldabéticas, cifra Playfair, cifra de Hill).

Técnicas de transposição: Transpõe sistematicamente as posições dos elementos do texto claro.

Cifra de César

Tem esse nome porque foi criada por Julio César, um líder militar e político que viveu entre 100 e 44 a.C;

Foi o uso mais antigo que conhecemos de uma cifra de substituição;

Foi usada para troca de informações entre os soldados romanos. Método simples , mas eficiente para sua época;

Cifra de César

A Cifra de César consiste em substituir cada letra do alfabeto pela letra que fica três posições adiante no alfabeto.

Exemplo:

Claro: meet me after the toga party

Cifrado: phhw ph diwhu wkh wrjd sduwb

Ingredientes da criptografia simétrica

Texto claro;

Algoritmo de criptografia;

Chave Secreta;

Texto cifrado;

Algoritmo de decriptografia;

Técnicas de ataque

Criptoanálise: explora as características do algoritmo para tentar deduzir um texto claro ou deduzir a chave utilizada;

Ataque por força bruta: experimenta-se cada chave possível em um trecho do texto cifrado, até obter uma tradução para o texto claro;

Algoritmos criptográficos simétricos

Cifra de bloco

É um esquema de criptografia/decriptografia em que um bloco de texto claro é tratado como um todo e usado para produzir um bloco de texto cifrado de mesmo tamanho;

Muitas cifras de bloco possuem a estrutura de Feistel

Forma geral de cifra de bloco

A estrutura de Feistel

• Feistel propôs que podemos nos aproximar de um cifrador de um cifrador de substituição simples utilizando o conceito de cifrador de produto que consiste em combinar dois ou mais cifradores básicos em sequência, de forma que o resultado final ou produto é criptograficamente mais forte que qualquer um dos cifradores envolvidos;

• Feistel sugeriu a utilização de cifradores que alternam substituições e permutações, estas características já haviam sido propostas por Claude Shannon para o desenvolvimento de cifradores de produto que tivessem boa resistência à criptoanálise estatística são conhecidas como confusão e difusão

A estrutura de Feistel

Confusão: É a técnica que consiste em tornar a relação entre as estatísticas do texto plano, texto cifrado e o valor da chave a mais complexa possível;

Difusão: É a técnica que consiste em dissipar a estrutura estatística do texto plano, ou seja, visa tornar as relações entre o texto plano e o texto cifrado as mais complexas possíveis;

Estrutura de Feistel

Data Encryption Standart (DES)

O Data Encryption Standart (DES) tem sido o algoritmo de criptografia mais utilizado até o momento;

Ele exibe a estrutura de Feistel;

O DES tem sido mostrado como altamente resistente aos ataques de criptoanálise;

Data Encryption Standard (DES)Origem:

(1960)-Projeto de pesquisa sobre criptografia liderado por Horst Feistel e concluído em 1971 com o desenvolvimento de um algoritmo com a designação de LUCIFER;

Em razão dos bons resultados do projeto LUCIFER, A IBM com a orientação técnica da NSA e consultores externos fizaram uma versão feinada de LUCIFER mais resistente a criptoanálise, e cabendo em um chip.

Em 1973 a National Bureau of Standards (NBS) necessitava de um padrão de cifragens, e este projeto citado foi o melhor algoritmo proposto e foi adotado em 1977 como Data Encyption Standard

Representação geral do DES

Permutação inicial Escolha 1 permutada

Rodada 1 Escolha 2 permutada

Troca de 32 bits

Permutação inicial reversa

Rodada 2

Rodada 16

Deslocamento circular à esquerda

Deslocamento circular à esquerda

Escolha 2 permutada

Escolha 2 permutadaDeslocamento

circular à esquerda

Texto Claro de 64 bits Chave 64 bits

Texto Cifrado de 64 bits

K1

K2

K16

ADVANCED ENCRYPTION STANDARD (AES)

Em 1997 o NIST pediu propostas para uma cifra de bloco a qual deveria ter

um grau de segurança superior ao DES;

uma maior eficiência;

Ser uma cifra de bloco simetricamente maior que o DES;

Em 2001 o MIST selecionou o “Rinjndael” como o algoritmo AES, este algoritmo foi desenvolvido por dois criptógrafos belgas:

Dr. Joan Daemen e Dr. Vir Rijmen

Avaliação do AES

Algoritmos criptográficos com chave pública(assimétricos)

É uma forma de criptossistema em que a criptografia e a decriptografia são realizadas usando diferentes chaves (pública e privada)

A criptografia assimétrica transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de criptografia

Algoritmos criptográficos com chave pública

RSA A partir de um artigo de uma nova técnica de

criptografia desenvolvida por Diffie e Hellman, a qual desafiavam os criptologistas a encontrar uma algoritmo que atendesse aos requisitos para os sistemas de chave pública. Em 1978 foi publicado , no MIT, por Ron Riviest, Adi Shamir e Len Adleman uma resposta ao desafio, sendo assim criada o algoritmo de uso geral mais aceita e implementada para a criptografia de chave pública, o

RSA.Diffie e Hellman Ron Riviest, Adi Shamir e Len Adleman

Considerações sobre o RSA

O RSA é uma cifra de bloco em que o texto claro e o texto cifrado são inteiros entre 0 e n -1

O tamanho típico para n é 1 024 bits, ou 309 dígitos decimais.

A dificuldade de atacar o RSA está na dificuldade de encontraros fatores primos de um número composto.

Autenticação de mensagens

É um mecanismo ou serviço usado para verificar a integridade de uma mensagem. As duas técnicas mais comuns de autenticação de mensagens são:

MAC;

Função Hash;

MAC (Message Authentication Code)

Um MAC apanha uma mensagem de comprimento e uma chave secreta como entrada e produz um código de autenticação. Um destinatário de posse da chave secreta pode gerar um código de autenticação para verificar a integridade da mensagem.

Função de hash

Uma função de hash mapeia uma mensagem de tamanho variável em um valor de hash de tamanho fixo, ou um resumo da mensagem. Para autenticação da mensagem, uma função de hash segura precisa ser combinada de alguma forma com uma chave secreta.

Assinatura digital

É um mecanismo de autenticação que permite ao criador de uma mensagem anexar um código que atue como assinatura. A assinatura é formado tomando o hash da mensagem e criptografando com a chave privada do criador, a assinatura garante a origem e a integridade da mensagem.

Soluções para gestão da segurança de seu negócio

Co-Admin:

É um serviço da empresa Tempest, que visa a gestão da proteção do ambiente em TI, suas principais funções são:


Disponibilizar componentes de prevenção;

Detecção e resposta;

Fornecimento de indicadores de melhora da segurança;


SCUA Security:

É um serviço da empresa SCUA, que promete uma total segurança da informação nos quesitos:


Controle e restrição de alterações do sistema operacional;

Controle de acesso a arquivos e pastas;

Criptografia de informações;

Auditoria avançada nas estações de trabalho;

Conclusão

Vulnerability Management

da Qualys:

Este software pertence ao módulo Risk Manager, da empresa Módulo, que promete ser ágil e eficaz na análise de vulnerabilidades em ativos tecnológicos. Seus principais objetivos são:


Conclusão

Identificar e tratar falhas de softwares que possam comprometer a segurança;

Utilizar mecanismos para bloquear ataques;

Implementar a melhoria constante do controle de segurança;


Conclusão

A segurança passou a ser considerada, um requisito essencial para competir numa economia globalizada e para atingir resultados sustentáveis no longo prazo.

A crescente utilização de tecnologia como viabilizador dos processos de negócio cria vantagens competitivas, expandindo, continuamente, as fronteiras da segurança.

Crescentes vulnerabilidades dos sistemas e tecnologias introduzidas no suporte aos negócios e crescentes ameaças com elevado grau de sofisticação expõe o usuário a novos riscos a cada dia.

Dúvidas?

Obrigado!!!

Bibliografia

http://www.tempest.com.br/

http://www.scua.com.br/

http://www.modulo.com.br/

http://ciberdominiopublico.blogspot.com/

http://theory.lcs.mit.edu/~rivest/crypto-security.html

http://www.cs.ucsd.edu/users/mihir/crypto-links.html

STALLINGS, William. Criptografia e segurança de redes: princípios e práticas. 4. ed. São Paulo: Pearson Education do Brasil, 2008

Simon Singh.O LIVRO DOS CÓDIGOS.Editora: Record

Http://www.infoguerra.com.br

https://www.megaproxy.com

http://www.estadao.com.br

SILVA NETO, Amaro Moraes. Privacidade na internet: um enfoque jurídico. São Paulo: Edipro, 2001,

http://antispam.yahoo.com/

http://www.us-cert.gov/

http://www.washingtonpost.com/

CAVALCANTE, A. L. B. Teoria dos Números e Criptografia. Revista Virtual, 2005

CAVALCANTE, A. L. B. Matemática II. Notas de Aula. Brasília: Editora UPIS, 2004

http://www.washingtonpost.com/

segurança das informações e continuidade dos negócios

Technology