Fundamentos de Segurança da Informação
Introdução
 Segurança da informação nas empresas. Quem investe?
Fonte: http://www.modulo.com.br/media/10a_pesquisa_nacional.pdf
Fundamentos de Segurança da Informação
Algumas notícias
 Ataques a servidores web crescem 34% no 1º trimestre no Brasil / IDG
 Tentativas de fraude na web brasileira crescem 96% no 2º trimestre / IDG
 Cresce em 50% o uso de vermes para roubo de dados / Computerworld
 Operadora de telefonia Britânica deixa vazar Fotos enviadas por MMS / ISTF
 Metade dos varejistas dos EUA já perderam dados de clientes / Gartner
 Cracker divulga dados de 6 milhões de cidadãos chilenos na web / IDG
 Hackers atacam e deixam cidades sem luz / Wordpress
 Executivo é condenado por roubar dados da IBM para a HP / ISTF
 Roubo de informações da Petrobras pode indicar espionagem industrial /
Globo
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Algumas notícias
Fundamentos de Segurança da Informação
Introdução
Principais responsáveis por ataques:
Crackers e Hackers
48%
Causa Desconhecida
27%
Associados
24%
Prestadores de Serviço
12%
Ex-Associados
Concorrentes
8%
4%
Fonte: 9ª Pesquisa de Segurança da Informação - Módulo
Fundamentos de Segurança da Informação
Introdução
 Principais ameaças:
Vírus
66%
Associados insatisfeitos
53%
Divulgação de senhas
51%
Acessos indevidos
49%
Vazamento de informações
47%
Fraudes, erros e acidentes
41%
Crackers e Hackers
39%
Falha na segurança física
Uso de notebooks
Fraudes em e-mail
37%
31%
29%
Fonte: 9ª Pesquisa de Segurança da Informação - Módulo
Fundamentos de Segurança da Informação
Introdução
 O que é segurança da informação?





Conjunto de disciplinas que visa proteger a informação;
Possui como objetivo reduzir as ameaças ao ambiente;
Garantir a continuidade dos negócios;
Maximizar o retorno dos investimentos;
É indispensável para a maioria das empresas;
 Se faz segurança da informação com os pilares:
 Disponibilidade e Integridade;
 Autenticidade e Confidencialidade ;
 Não-repúdio.
Fundamentos de Segurança da Informação
Introdução
 O que é segurança da informação?
 É custo (overhead);
 Profissionais capacitados;
 Aquisição de equipamentos;
 Contratação de consultorias;
 Desenvolvimento de sistemas;
 Revisão de processos;
 Implementação de disciplinas.
Fundamentos de Segurança da Informação
Introdução
 O que é segurança da informação?
 É difícil justificar investimentos
 Return On Investment (ROI) e Payback
 Todo investimento deve trazer um retorno:
 Financeiro;
 Imagem;
 Legal (atender regulamentações).
Fundamentos de Segurança da Informação
Introdução
 O que é segurança da informação?
 Não existe 100% de segurança;
 A segurança da informação deve realizar o seu trabalho
“engessando” o mínimo possível a organização;
Fundamentos de Segurança da Informação
Introdução
 O que é segurança da informação?
 Exercício de análise de custo x benefício;
 Realizar investimentos baseando-se na regra de Pareto.
Fundamentos de Segurança da Informação
Introdução
 Quem são os responsáveis pela segurança?




Todos os funcionários da organização guardado as
devidas proporções;
Fornecedores e parceiros de negócio;
Os próprios clientes;
No entanto deve existir uma área centralizada;
 As Metas, os objetivos, as definições dos papéis e
como operacionalizar a segurança;
 Necessita de imparcialidade e autonomia;
 É recomendado que esteja ligada e apoiada pela
alta direção;
Fundamentos de Segurança da Informação
Introdução
 Quais os ganhos produzidos?



Reduzir os níveis de riscos a patamares aceitáveis;
Produzindo melhores produtos e serviços;
 Satisfazendo
a
maior
parte
dos
clientes
principalmente os acionistas da empresa.
e
Os ganhos visíveis são:
 Redução na probabilidade de incidentes de segurança;
 Redução das perdas e impactos causadas por
incidentes;
 Melhor recuperação frente a danos, desastres ou
incidentes.
Fundamentos de Segurança da Informação
Introdução
 Como as empresas se protegem?
 Tecnologia: Firewall, VPN, IPS, Proxy, antivírus,
controle de e-mail e navegação, armazenamento e
análise
centralizada
de
logs,
gerenciamento
centralizado de identidades, segregação de redes e
acessos, sistema de backup...
 Processos: tratamento de incidentes, auditoria,
gerenciamento e monitoração constante, planos de
contingência e recuperação de desastres, análise e
gerenciamento de riscos...
 Pessoas: políticas, procedimentos, normas, instruções
de trabalho, treinamentos, plano de aculturação...
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Pilares da Segurança da
Informação
Fundamentos de Segurança da Informação
Principais Conceitos
 Pilares da segurança

Disponibilidade
 Os ativos e a informação devem estar disponíveis
aos usuários;
 É implementado através da redundância do
ambiente;
 Normalmente afetada pela negação de serviço.
(DoS; DDoS);
 Aspecto mais físico.
Fundamentos de Segurança da Informação
Principais Conceitos
 Pilares da segurança

Disponibilidade
Fundamentos de Segurança da Informação
Fonte: http://www.esecurityplanet.com/trends/print.php/1486981
Fundamentos de Segurança da Informação
Fonte: http://www.totalsecurity.com.br/noticia.php?cod=85
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Pilares da segurança

Confidencialidade
 Garantir o sigilo das informações;
 Autorização de acesso das partes envolvidas.
 É ajudada através da classificação da informação;

Integridade
 Permitir que os envolvidos verifiquem se a
informação não foi alterada intencionalmente ou
não durante o seu transporte.
Fundamentos de Segurança da Informação
Principais Conceitos
 Pilares da segurança

Autenticidade
 Permitir ao receptor identificar a autenticidade do
remetente;
 Permite identificar quando uma pessoa tenta se
passar por outra;

Não-repúdio
 Garantir que o remetente não possa negar a
autoria de seus atos.
Fundamentos de Segurança da Informação
Principais Conceitos
 Pilares da segurança
Fundamentos de Segurança da Informação
Processo de Gestão de Senhas
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Gerenciamento de Senhas
 Disciplina que visa orientar os usuários com relação
à segurança das senhas;
 Esta disciplina define muitas vezes:
 Tamanho mínimo;
 Complexidade;
 Idade máxima; (Expiração)
 Histórico;
 Idade mínima;
 Bloqueio;
 Tempos de aviso;
32
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos de
Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Hacker x Cracker;
 White Hat X Black Hat;
 Depende do lado da força.
Phreaker;
 Ckackers de telefonia.
Phracker.
 Crackers de telefonia IP.
Fundamentos de Segurança da Informação
Principais Conceitos
Lamer ou Script Kiddies:

Utiliza-se do trabalho intelectual dos verdadeiros
especialistas técnicos. Não possuem conhecimento de
programação,
e
não
estão
interessados
em
tecnologia, e sim em ganhar fama ou outros tipos de
lucros
scripts.
pessoais.
São
meramente
executores
de
Fundamentos de Segurança da Informação
Principais Conceitos
Defacers (Defacement)
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
 Vírus
 Código de computador escrito com a intenção explícita de se
auto-duplicar anexando-se a outros programa ou arquivos para
poder se espalhar entre os computadores, infectando-os à medida
que se desloca. Os vírus podem danificar seu software, hardware e
arquivos. Os vírus necessitam da interação do usuário.
http://blog.pandasecurity.com.br/2010/01/os-virus-que-fizerambarulho-em-2009
Fundamentos de Segurança da Informação
Principais Conceitos
 Wormes ou Vermes
 Um worm cria cópias de si mesmo e se espalha de um
computador para outro, mas faz isso automaticamente, não
necessitando da interação do usuário. A propagação pode ocorrer
pela rede, pela lista de e-mail e Instante Messanger ou por
programas P2P. O grande perigo dos worms é a sua capacidade de
se replicar em grande volume criando um efeito domino.
Fundamentos de Segurança da Informação
Principais Conceitos
 Cavalo de Tróia
 Baseado na mitológico grega, o cavalo de tróia parece ser um
presente, mas na verdade esconde códigos maliciosos com o
objetivo de infectar o computador do usuário. Resumidamente o
cavalo de tróia é um programa de computador que parece ser útil,
mas na verdade causa danos. Eles se aproveitam da engenharia
social para seduzir as pessoas a abrir o programa por pensar que
vem de uma fonte legítima.
Fundamentos de Segurança da Informação
Principais Conceitos
 Crack ou ckacker
 Software utilizado para a quebra de senhas, chaves
criptográficas ou códigos de licenciamento.
 Adware
 Softwares que apresentam
consentimento do usuário.
propagandas
sem
o
Fundamentos de Segurança da Informação
Principais Conceitos
 Keylogger
 Software
 Hardware
http://www.keykatcher.com/
http://www.keylogger.org/
Fundamentos de Segurança da Informação
Principais Conceitos
 Spyware
Fundamentos de Segurança da Informação
Principais Conceitos
 Banker
Fundamentos de Segurança da Informação
Principais Conceitos
 Bot/Botnet
http://informatica.hsw.uol.com.br/computador-zumbi.htm
Fundamentos de Segurança da Informação
Principais Conceitos
 Malware
Fundamentos de Segurança da Informação
Também utilizada pelos crackers para verificar
“invisibilidade” dos seus trojans perante os anti-vírus.
a
54
Fundamentos de Segurança da Informação
Principais Conceitos

Binder ou Joiner
 Ferramenta que anexa um segundo software a um
software principal;
 Quando o software principal é executado o software
anexado também é executado.
Fundamentos de Segurança da Informação
Principais Conceitos

Backdoor
 Programa instalado por um intruso em um
computador com o objetivo de oferecer uma forma
de acesso futura;
 Um backdoor pode ser instalado através de uma
ação do invasor localmente ou remotamente;
 Pode ser ainda instalada pelo próprio usuário como
um cavalo de tróia.
Fundamentos de Segurança da Informação
Backdoor
 http://www.freewebs.com/geurle/piratage1.htm
Fundamentos de Segurança da Informação
Principais Conceitos
Hoax
Exemplos:
 Cruz da Honda,
 Cobra do Habibb’s
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM
 Uma mensagem eletrônica é "spam" SE: (1) a
identidade pessoal do destinatário e o contexto são
irrelevantes porque a mensagem é igualmente
aplicável a muitos outros potenciais receptores; E (2) o
beneficiário não tenha comprovadamente concedidos
deliberada, explícita e ainda: revogável permissão para
que ele seja enviado e (3) a transmissão e recepção da
mensagem aparece para o receptor para dar um
benefício desproporcional para o remetente.

http://www.mail-abuse.com/spam_def.html
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM
http://www.calculadorainteligente.com.br/spam/
Http://www.antispam.br/
Fundamentos de Segurança da Informação
Principais Conceitos
SPAM
 http://info.abril.com.br/noticias/trend-micro/trend-mapa.html
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
 Open Relay
 Servidor de email mal configurado que permite o uso
indevido de sua infra-estrutura por usuários na Internet
para o envio de emails onde a origem e o destino não
fazem parte de seu domínio..
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
 Phishing Scan
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
 Recomendação
– Monitorar os principais canais de divulgação de fraudes e
phising scans para identificar possíveis ameaças ao ambiente
da empresa e realizar treinamentos e comunicações sobre
estas ameaças.
 www.rnp.br/cais/fraudes.php
 ww.fraudes.org
 www.mhavila.com.br/topicos/seguranca/scam.html
Fundamentos de Segurança da Informação
Principais Conceitos
 Engenharia Social
Fundamentos de Segurança da Informação
Exemplo de engenharia social:
Pai: Filho, quero que você se case com uma moça que eu escolhi.
Filho: Mas pai, eu quero escolher a minha mulher.
Pai: Meu filho, ela é filha do Bill Gates.
Filho: Bem neste caso eu aceito.
Então o pai vai encontrar o Bill Gates.
Pai: Bill, eu tenho o marido para sua filha.
Bill Gates: Mas a minha filha é muito jovem para casar.
Pai: Mas esse jovem é vice-presidente do Banco Mundial.
Bill Gates: Neste caso tudo bem.
Finalmente o pai vai ao Presidente do Banco Mundial.
Pai: Sr. presidente, eu tenho um jovem que é recomendado para ser vicepresidente do Banco Mundial.
Pres Banco Mundial: Mas eu já tenho muitos vice-presidentes, inclusive mais do
que o necessário.
Pai: Mas Sr. este jovem é genro do Bill Gates.
Pres Banco Mundial: Neste caso ele está contratado..
Fundamentos de Segurança da Informação
Principais Conceitos

Comunicação em uma rede
Fundamentos de Segurança da Informação
Principais Conceitos

Sniffer
 Ferramenta utilizada por crackers ou hackers o
conteúdo das informações que estão trafegando na
rede de computadores;
 É uma espécie de escuta telefônica para o mundo
dos computadores;
 Através desta técnica é possível coletar qualquer
informação transmitida entre dois computadores.
Fundamentos de Segurança da Informação
Sniffers
Fundamentos de Segurança da Informação
Principais Conceitos

Port Scanner
 Ferramenta utilizada por crackers ou hackers para
identificar quais as portas lógicas de um
equipamento estão “abertas”;
 Em um ataque o cracker utiliza normalmente um
port scanner na fase de reconhecimento do
ambiente;
 Através de um port scanning é possível inferir quais
serviços estão ativos em um equipamento;
Fundamentos de Segurança da Informação
Port Scanner
Fundamentos de Segurança da Informação
Principais Conceitos
 Firewall
http://pt.wikipedia.org/wiki/Firewall
Fundamentos de Segurança da Informação
Principais Conceitos
 Firewall
Fundamentos de Segurança da Informação
Principais Conceitos
 VPN
http://pt.wikipedia.org/wiki/Virtual_Private_Networ
k
Fundamentos de Segurança da Informação
Principais Conceitos
 Proxy
 Open Proxy
http://pt.wikipedia.org/wiki/Proxy
Fundamentos de Segurança da Informação
Principais Conceitos
 IDS
 IPS
http://en.wikipedia.org/wiki/Intrusion-detection_system
http://en.wikipedia.org/wiki/Intrusion_prevention_system
Fundamentos de Segurança da Informação
Principais Conceitos
 Footprint
 Técnica utilizada pelos crackers para o levantamento de
informações do ambiente como versões de software,
para posteriormente buscar vulnerabilidades conhecidas
e exploits.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
 Rootkit
 Um rootkit é um programa com código mal intencionado
que busca se esconder de softwares de segurança e do
usuário utilizando diversas técnicas avançadas de
programação.
 Rootkits escondem a sua presença no sistema,
escondendo suas chaves no registro (para que o usuário
não possa vê-las) e escondendo os seus processos no
Gerenciador de Tarefas, além de retornar sempre erros
de “arquivo inexistente” ao tentar acessar os arquivos
relacionados.
Fundamentos de Segurança da Informação
Principais Conceitos

Vulnerability Scanner
 Ferramenta utilizada por crackers ou hackers para
identificar quais vulnerabilidades um software
possui;
 Este tipo de técnica analisa o alvo com base em
vulnerabilidades conhecidas;
 Pode ser utilizado tanto para prevenção de
vulnerabilidades pela ação proativa;
 Como também para identificar falhas e proceder
com ataques.
Fundamentos de Segurança da Informação
Vulnerability Scanner
Fundamentos de Segurança da Informação
Principais Conceitos

HoneyPots
 Sistemas
preparados
com
vulnerabilidades
propositais;
 O objetivo é estudar as técnicas de ataques dos
crackers para a estruturação de defesas;

HoneyNet
 Redes preparadas com vulnerabilidades propositais;
 O seu objetivo é o mesmo dos HoneyPots.
Fundamentos de Segurança da Informação
Principais Conceitos

Disassembler
 Software que realiza a engenharia reversa de um
executável, ou seja, transforma o executável com
código fonte;
 Normalmente utilizado por crackers para identificar:
senhas e chaves de criptografia “escondidas” ou até
mesmo o funcionamento do software.
Fundamentos de Segurança da Informação
Principais Conceitos

Hardening
 Hardening é um processo de mapeamento das
falhas de segurança e mitigação das mesmas
através da execução de atividades corretivas,
através da implementação dos conceitos de
segurança.
 O objetivo principal é tornar o ambiente preparado
para enfrentar tentativas de ataque.
Fundamentos de Segurança da Informação
Principais Conceitos

Checklist de Segurança
 Um checklist é um resumo das principais
configurações de segurança recomendadas para
serem
implementadas
nos
ambientes
computacionais.
 A implementação de checklists de segurança em
sistemas operacionais, banco de dados, servidores
de aplicações e outros serviços suportam o conceito
de hardening.
Fundamentos de Segurança da Informação
Principais Conceitos
 Ameaça
 Indivíduos ou eventos que praticam atividades para
afetar pessoas, ambientes ou negócios;
 Um cracker, um vírus, um desastre natural,

Enchentes, terremotos, incêndios ...
 Ataque
 Ação realizada por uma ameaça;
 Pode ter sucesso ou não no comprometimento do
ambiente;
 A ação bem sucedida compromete a segurança do
ambiente;
Fundamentos de Segurança da Informação
Principais Conceitos
 Invasão
 É um ataque bem sucedido que compromete o
ambiente;
 Toda invasão é um ataque;
 Nem todo ataque é uma invasão;
 Uma invasão deve permitir ao indivíduo.
 Controle do alvo;
 Manipulação da informação;
 Consulta;
 Remoção;
 Alteração.
Invasões
Ataque
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidades
Falhas
Holes
ou bugs
 Bug ou Falha
 Uma falha é algo que conduz o sistema ao não
planejado ou não previsto;
 Situação não prevista ou considerada no projeto
original.
 Vulnerabilidade
 Resultado da existência de uma falha ou bug;
 Expõe o sistema sob algum dos aspectos de segurança;
 Pode comprometer uma parte do sistema ou o todo;
 Toda vulnerabilidade pode ser explorada;
 Exemplo: ping of death, multa de trânsito, pagamento
com cartão de crédito sem senha;
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade

Vulnerabilidade Física:
 Falta de extintores;
 Instalações prediais fora dos padrões de
segurança;
 Falta de detectores de fumaça e de outros
recursos para prevenção e combate a incêndios;
 Instalação elétrica antiga e em conjunto com a
dos computadores.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade

Vulnerabilidade Natural:
 Possibilidade de desastres naturais (incêndios,
enchentes, terremotos, tempestades).
 Acúmulo de poeira, aumento de umidade e de
temperatura.

Vulnerabilidade de Hardware:
 Falha nos recursos tecnológicos (tempo, mal uso).
 Erros ou problemas durante a instalação física.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade

Vulnerabilidade de Software:
 Erros na instalação ou na configuração que podem
acarretar acessos indevidos;
 Falhas e bugs nos sistemas operacionais e
aplicativos;
 Falhas em programas que implementam serviços de
rede.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade

Vulnerabilidade de Mídias:
 Fita magnética de baixa qualidade;
 Relatórios impressos que podem ser perdidos ou
danificados;
 Radiação eletromagnética que pode afetar diversos
tipos de mídias magnéticas.
Fundamentos de Segurança da Informação
Principais Conceitos
Vulnerabilidade

Vulnerabilidade Humana:
 Falta de treinamento;
 Compartilhamento de informações confidenciais;
 Desobediência ou não execução de rotinas de
segurança.
Fundamentos de Segurança da Informação
Principais Conceitos
Fundamentos de Segurança da Informação
Principais Conceitos
 Exploit
 O exploit é uma ferramenta para automatizar o
processo de exploração de uma vulnerabilidade;
 Os exploits são partes de software, de dados ou uma
seqüência de comandos que exploram a vulnerabilidade
em questão.
 Os exploits são desenvolvidos com base no
detalhamento da vulnerabilidade. São ferramentas
específicas às vulnerabilidades para as quais foram
projetados.
Fundamentos de Segurança da Informação
Principais Conceitos
 Sites com banco de dados de exploits e vulnerabilidades:

http://www.elhacker.net/exploits/

http://www.cve.mitre.org/

http://www.cert.org/

http://www.sans.org/

http://www.cisecurity.com/

http://www.sans.org/score

http://isc.sans.org/

http://icat.nist.gov/icat.cfm

http://www.security-focus.com/

http://www.rnp.br/cais/

http://cve.mitre.org/compatible/vulnerability_alerting.html

http://web.nvd.nist.gov/view/vuln/search

http://secunia.com/

http://www.milw0rm.com/
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Catálogo de Vulnerabilidades
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Exemplo de Exploit
Oferece suporte a
compartilhamento
na rede de arquivo,
impressão e pipes
nomeados para
este computador.
Se este serviço for
interrompido,
quaisquer serviços
que dele dependam
diretamente não
serão inicializados.
Fundamentos de Segurança da Informação
Exemplo de Exploit
Fundamentos de Segurança da Informação
Introdução
Alguns Conceitos
 Risco
 É um contexto que inclui as ameças as
vulnerabilidades e a informação a se proteger ;
 O Diante da existência de uma ameaça a
vulnerabilidade torna-se um risco.
 O risco surge quando existe ameaças com interesse
em explorar as vulnerabilidades.
 Um risco só existe diante da presença de uma
vulnerabilidade somada a uma ameaça;
 O risco pode ser medido como a probabilidade
estatística
de
uma
ameaça
explorar
a
vulnerabilidade;
Fundamentos de Segurança da Informação
Introdução
 Alguns conceitos
 Risco
 Pode afetar diretamente no atingimento dos
objetivos estabelecidos pela organização;
 Ex: Um servidor Web desatualizado
 Existem vários cracker e vários exploits
disponíveis.
 Desta forma o risco é alto.
Fundamentos de Segurança da Informação
Introdução
 Alguns conceitos
 Elevação de privilégio
 Acesso indevido
 Força bruta
Fundamentos de Segurança da Informação
Principais Processos de
Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Política de Segurança da Informação
 Conjunto de diretrizes claras e objetivas;
 Código de legislação de uma organização;
 Norteia como a segurança deve funcionar;
 Normalmente a política é um documento genérico que
referencia outros documentos mais técnicos.
 A política deve ser publicada e aceitada por todos da
organização.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Política de segurança da informação
 Documento que reúne os princípios de segurança
relativos à toda informação e seus ativos;
 Deve ser um produto de discussões exaustivas entre
a alta direção e o comitê de segurança;
 A política não deve contrariar a cultura de negócios,
crenças ou valores da empresa;
 Por ser um documento estratégico deve ser apoiado
pela alta direção.
 O produto final é um conjunto de diretrizes claras e
objetivas;
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Política de segurança da informação
 Estas
diretrizes
atribuem
direitos
e
responsabilidades às pessoas que lidam com os
recursos computacionais da organização;
 Por ser um documento estratégico deve ser apoiado
pela alta direção;
 As diretrizes norteiam como a segurança deve
funcionar;
 A política é um documento genérico que referencia
outros documentos.
 A política deve ser publicada e aceitada por todos
da organização.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Política de segurança da informação - Outras
políticas existentes
 Para públicos alvo distintos; pode-se desenvolver
uma outra política;
 O objetivo é atingir todas as áreas da organização;
 Dependendo do público admite-se uma linguagem
mais técnica.
 Ex: Política para responsáveis por TI
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Outros documentos que acompanham as políticas
 Carta do Presidente
 Tem como objetivo apresentar a política;
 Defender a necessidade e uso;
 Mostrar o comprometimento da alta direção;
 Oferecer credibilidade ao processo.

Termo de Aceite
 Termo que deve ser assinado comprovando o
recebimento, conhecimento e aceitação da política
pelos envolvidos;
 Normalmente associado ao contrato de trabalho.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Segurança por perímetro


Definição de várias camadas de proteção;
Cada camada possui como objetivo dificultar o processo
de invasão do ambiente.
 Firewall;
 Sistema de VPN;
 Anti-vírus;
 Política de segurança;
 Aculturação.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Análise de Risco
 Processo de identificação
está sujeito;
 Objetivo é identificar
proativamente;
 Um processo de análise
trabalho orientado através
dos riscos que um ativo
e
mitigar
os
riscos
de riscos deve ser um
de um escopo definido.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação
Gerenciamento de Riscos





É um processo que através de uma metodologia de
trabalho gerencia os riscos identificados no ambiente;
Normalmente é suportado por uma política;
Seu objetivo é mitigar os riscos;
Após identificar os riscos estes são trabalhos para
reduzir o impacto, o risco ou até mesmo a aceitação do
risco;
Mesmo o risco sendo mitigado poderá existir um risco
residual;
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Segurança por perímetro ou em profundidade
 Definição de várias camadas de proteção,
semelhante a uma cebola;
 Sistema de VPN;
 Firewall;
 Anti-vírus;
 Política de segurança;
 Aculturação.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Segurança Física
 Disciplina que implementa mecanismos
segurança que controlam um ambiente físico;
 CFTV;
 Catracas;
 Cancelas;
 Alarme;
 Equipamento para controle de incêndio;
de
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Segurança Lógica
 Disciplina que implementa mecanismos de
segurança
que
controlam
um
ambiente
computacional
através
de
software
e
configurações;
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Plano de Contingência ou Recuperação de
Desastres
 Plano que visa recuperar a operação de um
determinado ambiente;
 O objetivo é restaurar a operação mínima;
 No entanto ao término do plano o ambiente deve
estar totalmente operacional;
 Os planos devem ser elaborados, testados e
atualizados constantemente.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Plano de Continuidade de Negócios (PCN)
 Conjunto de planos de continuidade;
 Objetivo é recuperar e dar continuidade ao negócio
frente a um desastre;
 O objetivo é restaurar a operação mínima;
 No entanto ao término do plano o negócio deve
estar totalmente operacional;
 Os planos devem ser elaborados, testados e
atualizados constantemente.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Incidente de segurança
 Qualquer
evento
que
prejudique
o
bom
funcionamento do ambiente;
 Algumas organizações consideram uma tentativa
de ataque como um incidente.

Tratamento de incidentes
 Metodologia para tratamento dos incidentes
identificados pela organização;
 Metodologia mais comum:
 Identificação, Contenção;
 Erradicação e Encerramento.
 CERT (Centro de Estudos, Resposta e Tratamento de Incidentes)
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

CSIRTs
 Grupos de Resposta a Incidentes de Segurança em
Computadores;
 Computer Security Incident Response Team;
 Trata-se de um grupo responsável por resolver
incidentes de segurança;
 Pode ser um serviço prestado por uma empresa
especializada, ou uma própria unidade de uma
empresa;
 Incidentes que ocorram com os serviços prestados
por estas empresas devem ser notificados para o
CSIRT responsável pela empresa.
 Construção
de
um
CSIRT
http://www.cert.br/csirts/
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

http://www.cert.br/csirts/brasil
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

AAA

Autenticação
 Ato de confirmar em um ambiente virtual a
identidade do usuário real ou equipamento;
 Pode ser feita através de diversas formas: senhas,
certificados digitais, impressão digital, perguntas e
respostas;
 A autenticação é o ato de prover ao autenticador a
origem do autenticado.
Fundamentos de Segurança da Informação
Processos de Segurança da Informação

Autenticação
 Pode ser realizada através de três categorias
diferentes:
 Algo que você conhece: senhas, frases,
números;
 Algo que você tem: cartão, chave, token;
 Algo que você é: digital, íris, reconhecimento da
face.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
143
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Autenticação
 Formas de autenticação Biométrica
 Íris: padrão da formação da íris;
 Impressão Digital: padrão da formação dos
traços dos dedos;
 Mão: Tamanho, comprimento da mão e dos
dedos;
 Face: Tamanho, distribuição dos olhos, nariz,
boca e características gerais;
 Assinatura: Formato da letra, ordem de escrita,
pressão da caneta.
http://informatica.hsw.uol.com.br/biometria.htm
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Autenticação
 Autenticação Forte
 Trata-se da utiliza de no mínimo dois mecânicos
de autenticação diferentes.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Autorização
 Processo de conceder acessos ao autenticado;

Accounting (contabilização):
 Complemento da operação de autenticação e
autorização;
 O accounting registra todas as ações ou comandos
aplicados ao sistema.
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Controle de Acesso
 Conjunto de mecanismos que visa;
 Prover autenticação;
 Prover autorização;
 Prover rastreabilidade.
 Normalmemente conhecido como AAA
 Authentication;
 Authorization;
 Accounting.
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Autenticação Centralizada
 Mecanismo para centralização do processo de
autenticação;
 Exemplos:
 Radius;
 LDAP;
 Active Directory;
 O processo de autenticação centralizada reduz
custos de implementação e manutenção dos
requisitos de segurança;
 Melhora o nível de segurança.
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
153
Fundamentos de Segurança da Informação
154
Fundamentos de Segurança da Informação
155
Fundamentos de Segurança da Informação
Introdução
 Alguns conceitos

Single SignOn
 Técnica utilizada para prover aos usuários o acesso à
todos os sistemas autorizados ao mesmo mediante
uma única autenticação;
 Normalmente implementado através de tokens de
sessão.
 Single SignOn é diferente de login único;
156
Fundamentos de Segurança da Informação
Introdução
 Alguns conceitos
Auditoria
 Processo de levantamento das não conformidades
identificando os gaps com relação à uma norma ou
uma política de segurança;
 O processo de auditoria deve ser imparcial e
autônoma;
 Os tipos de auditoria mais comuns são:
 Interna;
 Externa;
 Certificação.
157
Fundamentos de Segurança da Informação
Introdução
Alguns conceitos
 Single SignOn
 Técnica utilizada para prover aos usuários o acesso à
todos os sistemas autorizados ao mesmo mediante
uma única autenticação;
 Normalmente implementado através de tokens de
sessão.
 Single SignOn é diferente de login único;
158
Fundamentos de Segurança da Informação
Criptografia
Mensagem não criptografada
Mensagem não cifrada
Mensagem não encriptada
Mensagem em texto claro
Mensagem em texto limpo
Chave
Maria
João
Chave
Criptografia
Cifragem
Encriptação
Mensagem criptografada
Mensagem cifrada
Mensagem encriptada
Mensagem em texto cifrado
Decriptografia
Decifragem
Decriptação
Invasor
159
Fundamentos de Segurança da Informação
Criptografia
 Palavra derivada dos termos gregos: "kryptos", que significa
secreto, e de "grapho", que significa escrita.
 O fundamento é escrever conteúdos seja secretos.
 Apenas os envolvidos devem ser capazes de conhecer o real
conteúdo.
 A criptografia é um recurso bastante antigo. Os Reis utilizam
esta técnica para trocarem informações militares.
 Os temos mais comuns são:
 Algoritmo; Chave
 O algoritmo se trata de uma série de procedimentos, prédefinidos, usados para manipular a mensagem tornando-a
secreta.
http://www.numaboa.com/criptografia
http://informatica.hsw.uol.com.br/criptografia.htm
160
Fundamentos de Segurança da Informação
Criptografia
 A chave é uma informação utilizada pelo algoritmo para gerar
um conteúdo secreto baseado nesta informação.
 Assim o segredo só poderá ser conhecido por aqueles que
conhecerem a chave.
 Antigamente os algoritmos eram bastante simples.
 Eram fáceis de serem quebrados.
 Estes algoritmos eram basicamente formados por substituição e
permutação de letras ou palavras de uma mensagem.
 Com o atual poder de processamento os algoritmos puderam ser
mais complexos garantindo uma maior segurança.
161
Fundamentos de Segurança da Informação
Criptografia
 Criptologia: Estudo da Criptografia através de Criptoanálise
em um Criptosistema.
 Criptosistema: É o conjunto de algoritmos criptográficos,
entidades, chaves e outros parâmetros da comunicação.
 Criptoanálise: Análise do criptosistema de modo a tentar
quebrar o sistema criptográfico. É muito utilizado durante o
desenvolvimento de algoritmos de criptografia.
 Criptografia: Estudo de mecanismos que protegem os ativos
permitindo que os pilares da segurança sejam implementados,
como
autenticação,
assinatura
digital,
proteção
à
confidencialidade...
162
Fundamentos de Segurança da Informação
Criptografia
 Operações de Criptografia:
 Cifra de César
 Consiste na substituição dos caracteres conforme a
tabela abaixo:
A
B
C
D
E
F
G
H
I
J
K
L
M













N
O
P
Q
R
S
T
U
V
W
X
Y
Z

Neste algoritmo o remetente e o destinatário,
precisarão:
 Conhecer qual algoritmo foi utilizado;
 Conhecer o funcionamento do algoritmo;
Fundamentos de Segurança da Informação
Criptografia
 Operações de Criptografia:
 Cifra de César
A
B
C
D
E
F
G
H
I
J
K
L
M













N
O
P
Q
R
S
T
U
V
W
X
Y
Z
Texto em Claro
PITAGORAS




Texto Cifrado
CVGNTBENF
O algoritmo de César não prevê o uso de chave;
Desta forma a segurança está toda no algoritmo;
Se o funcionamento do algoritmo for descoberto por um
individuo não autorizado, todas as mensagens cifradas por este
algoritmo podem ser descobertas;
Fundamentos de Segurança da Informação
Texto em Claro: PITAGORAS
Fundamentos de Segurança da Informação
Texto em Claro: PITAGORAS
Fundamentos de Segurança da Informação
Criptografia
 Operações de Criptografia:
 Rotação Circular
 Consiste no deslocamento dos bits/caracteres para a
esquerda, ou para a direita.
 Para o processo de decrifragem, basta realizar o
processo inverso.
 Neste algoritmo o remetente e o destinatário,
precisarão:
 Conhecer qual algoritmo foi utilizado;
 Conhecer o funcionamento do algoritmo;
 Conhecer previamente a chave utilizada.


Neste algoritmo, a segurança é definida pela chave;
Assim o atacante além de conhecer o algoritmo deve
também conhecer a chave para quebrar a segurança.
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 C3
 C (Rotação Circular)
 (Esquerda Encriptação)
 (Direita Decriptação)
 3 (Chave)
Texto em Claro
PITAGORAS
C3
Texto Cifrado
AGORASPIT
Texto Cifrado
PITAGORAS
C3
Texto em Claro
AGORASPIT 168
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Permutação
 A permutação consiste em embaralhar os caracteres
que compõem a mensagem;
 O embaralhamento ocorre pela definição da chave;
 A chave na verdade é uma sequencia de números que
é utilizada para definir a ordem do embaralhamento;
169
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Permutação
 Cifragem
Texto em Claro
PITAGORAS
Chave
341927568
Texto Cifrado
TAPSIRGOA
...
1
2
3
4
5
6
7
8
9
P
I
T
A
G
O
R
A
S
170
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Permutação
 Decifragem
Texto em Cifrado
TAPSIRGOA
Chave
341927568
Texto em Claro
PITAGORAS
...
3
4
1
9
2
7
5
6
8
T
A
P
S
I
R
G
O
A
171
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Permutação
 Quando o texto a ser cifrado é muito grande define-se
uma chave de tamanho x;
 Quebra-se o texto a ser cifrado em blocos de x em x;
 Realiza a permutação de cada bloco do texto com a
chave de permutação;


Mensagem: VAMOS NOS REUNIR AS 20 HORAS
Chave: 4312
172
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Permutação
Texto em Claro
V A M O S
1
2
3
4
1
4 3 1 2
N O S
2
3
4
3
1
2
U N I
R
3
1
4
1
2
E
R S
4
3
4
2
3
A S
1
2
3
4
2
0
1
2
H O R A S
3
4
1
2
3
4
2
0
S
A O R
1
2
4
3
. . .
O M V A O N S
4
R E
4
Texto Cifrado
3
1
2
1
2
R I
U N
4
1
3
2
S
4
3
A H
1
2
4
3
1
173
2
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição monoalfabética
 Esse tipo de operação, consiste em substituir uma
letra pela outra, seguindo um determinado padrão
definido pela chave (X).
 Cada letra do alfabeto recebe um número sequencial;
 A letra (L) a ser criptografada, será substituída por
outra Letra, baseado na soma da sua posição (L) + a
chave (X);
 Assim (L+X) criptografa, e (L-X) decriptografa.
174
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição monoalfabética
 Encriptação
A
B
C
D
E
F
G H
I
J
K
L M N O P
Q R
S
T
U V W X
Y
Z
1
2
3
4
5
6
7
9
10
11
12
17
19
20
21
25
26
8
Texto em Claro
( 16 ;
(16+8;
PITAGORAS
16
9 20 1
7
15 18
1
19
13
14
15
16
18
Chave: 8
9 ; 20 ; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )
9+8; 20+8; 1+8; 7+8; 15+8; 18+8; 1+8; 19+8)
( 24 ; 17 ; 28 ; 9 ; 15 ; 23 ; 26 ; 9 ; 27 )
( 24 ; 17 ;28-26; 9 ; 15 ; 23 ; 26 ; 9 ;27-26)
( 24 ; 17 ; 2 ; 9 ; 15 ; 23 ; 26 ; 9 ; 1 )
22
23
24
Texto Cifrado
XQBIOWZIA
24 17
2
9 15
23
26 9
1
175
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição monoalfabética
 Decriptação
A
B
C
D
E
F
G H
I
J
K
L M N O P
Q R
S
T
U V W X
Y
Z
1
2
3
4
5
6
7
9
10
11
12
17
19
20
21
25
26
Texto Cifrado
XQBIOWZIA
24 17
2
9 15
23
26 9
1
8
13
14
Chave: 8
( 24 ; 17 ; 2
(24-8;17-8; 2-8
( 16 ; 9 ; -6
( 16 ; 9 ;26-6
( 16 ; 9 ; 20
15
16
18
22
23
24
Texto em Claro
)
)
PITAGORAS
; 9 ; 15 ; 23 ; 26 ; 9 ; 1
; 9-8;15-8; 23-8; 26-8; 9-8; 1-8
; 1 ; 7 ; 15 ; 18 ; 1 ; -7 )
; 1 ; 7 ; 15 ; 18 ; 1 ;26-7 )
; 1 ; 7 ; 15 ; 18 ; 1 ; 19 )
16
9 20 1
7
15 18
1
19
176
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição polialfabética
 São aqueles em que se têm a combinação ordenada
de diversos sistemas monoalfabéticos. Ele adota uma
chave (x), com "n" letras, e divide a mensagem em
"n" blocos.



mensagem (m) seria: O site da underlinux esta muito
bom.
E a chave (x) seria Linux.
m=OSITEDAUNDERLINUXESTAMUITOBOM, que
dividida em blocos de 5 (Linux tem 5 letras), ficaria:
177
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição polialfabética

m = (OSITE) (DAUND) (ERLIN) (UXEST) (AMUIT) (OBOM), e
considerando cada Letra como um número, (a=1, b=2 ...)

m= (15 19 9 20 5) (4 1 21 14 4) (...), e somando com os números
relativos da chave(x) = Linux, (12 9 14 21 24)



Mcript= (15 + 12, 19 + 9 , 9 + 14 , 20 + 21 , 5 + 24) (...)
Mcript= (27, 28, 23, 41, 28) (16, 10, 35, 35, 27) (...)
Mcript= (ACXPC) (PJJJB) (...) ficando assim o texto criptografado.
178
Fundamentos de Segurança da Informação
Criptografia
Operações de Criptografia:
 Substituição polialfabética
 A substituição polialfabética é muito mais complexa
que a monoalfabética, mas ambas são inúteis
(usando-as isoladamente), visto que, qualquer
computador atual pode quebrá-la facilmente.
179
Fundamentos de Segurança da Informação
Criptografia
 Desenvolvida por Arthur Scherbius em 1918, a Enigma
levantou um grande interesse por parte da marinha de guerra
alemã em 1926, quando passou a ser usado como seu
principal meio de comunicação e ficaram conhecidas como
Funkschlüssel C.
 A máquina era elétrico-mecânica e funcionava com rotores
(primeiramente com 3 e depois com até 8 rotores). Ao
pressionar uma tecla, o rotor mais da esquerda avançava uma
posição, o que ocasionava a rotação dos outros rotores da
direita. Esse movimento contínuo dos rotores ocasionava em
diferentes combinações na encriptação.
 A codificação de uma mensagem criptografada pela Enigma
era considerada impossível na época (já que para tal, seria
necessário uma alta força bruta computacional).
180
Fundamentos de Segurança da Informação
Criptografia
181
Fundamentos de Segurança da Informação
Criptografia
A título de curiosidade, os Aliados só conseguiram decifrar os
códigos da Enigma graças ao roubo de uma dessas máquinas, e
que com graças à engenharia reversa, foram construídas
máquinas capazes de ler e codificar os códigos alemães, os
Colossus.
A criptografia passou a ser usada em larga escala por todas as
ações, principalmente em épocas de guerra, tal como durante a
Guerra Fria, onde Estados Unidos e União Soviética usaram esses
métodos a fim de esconder do inimigo suas ações e
movimentações, criptografando-as e impedindo que outros que
não possuíssem a chave pudessem ler, forçando-os a usar
diversos métodos para quebrar os códigos de criptografia.
182
Fundamentos de Segurança da Informação
Criptografia
Depois disso surgiram diversos tipos de criptografia, tais
como a por chave simétrica, por chave assimétrica e por hash.
183
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Algoritmos de Criptografia

Block Chiphers
 Criptografam as mensagens em blocos de dados
tornando
o
processo
mais
demorado
e
consequentemente mais seguro;

Stream Chiphers
 Criptografam as mensagens bit a bit tornando o
processo mais simples porem menos seguro;
184
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia

Criptografia simétrica ou convencional ou de chave
privada:
 Criptosistema que usa apenas uma chave précompartilhada entre as entidades de comunicação.
 É rápida e simples de ser implementada;
 Porém tem problemas na gerência e administração de
chaves;
 É adequada a grandes volumes de dados.
185
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Criptografia simétrica
186
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia

Criptografia assimétrica ou de chave pública:
 Criptosistema que usa um par de chaves,
matematicamente relacionadas, denominadas pública
e privada;

Se a pública é usada para criptografar, apenas e
privada pode decriptografar o texto, e vice-e-versa;
 É mais lenta, no entanto não apresenta os problemas
da criptografia simétrica;
 É adequada a pequenos volumes de dados.
187
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Criptografia assimétrica
Alice envia sua chave pública para Bob
188
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Criptografia assimétrica
Bob cifra a mensagem com a chave pública de Alice e envia
para Alice, que recebe e decifra o texto utilizando sua chave
privada
189
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Criptografia assimétrica
190
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Criptografia assimétrica
191
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Criptografia assimétrica
192
Fundamentos de Segurança da Informação
Criptografia
Tipos de Criptografia: Obtendo o benefício das duas técnicas
(simétrica e assimétrica)
193
Fundamentos de Segurança da Informação
Criptografia
 Servidor de chaves públicas

http://www.rnp.br/keyserver
194
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Hash ou checksum criptográfico
 Cadeia de caracteres, de tamanho fixo;
 Pode ser utilizada para representar, de forma única,
uma informação.
 Função “one way”;
 Exemplo: um arquivo de tamanho qualquer, pode ser
representado por um checksum de, digamos, 15
caracteres.
 Se o arquivo for alterado o checksum (hash) será
totalmente alterado.
 Pode ser utilizado para a verificação da integridade
dos dados;
195
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia
 Hash ou checksum criptográfico
 Funciona como uma uma
integridade.
espécie
de
selo
de
Exemplos:



Uniminas:ae061f6a9af07bb4f5ec125151366cd
uniminas: d27931796c2991037ae939d11f905b
MD5.ppt: bb819825b6e74ff05e87
196
Fundamentos de Segurança da Informação
Criptografia
 Tipos de Criptografia: Hash ou checksum criptográfico
197
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
Criptografia

Sites para quebra de hashes










http://passcracking.ru
http://md5crack.com/
http://md5decryption.com/
http://md5.thekaine.de
http://authsecu.com/decrypter-dechiffrer-cracker-hashmd5/decrypter-dechiffrer-cracker-hash-md5.php
http://hashcrack.com/index.php
http://hash.insidepro.com/
http://md5decrypter.com/
http://md5pass.info/
http://plain-text.info/add/
202
Fundamentos de Segurança da Informação
Criptografia

Sites para quebra de hashes








http://hashkiller.com/password/
http://www.cryptohaze.com/addhashes.php
http://md5.rednoize.com/
http://milw0rm.com/cracker/insert.php
http://gdataonline.com/seekhash.php
http://www.c0llision.net/webcrack.php
http://passcracking.com/
http://isc.sans.org/tools/reversehash.html
203
Fundamentos de Segurança da Informação
Criptografia
 Funcionamento PGP (Pretty Good Privacy)
 Ks
Chave sessão – Criptografia Convencional
 Kra Chave privada de A – Criptografia Pública
 Kua Chave pública de A – Criptografia Pública
 EP
Processo de Encriptação de Chave pública
 DP
Processo de Decriptação de Chave pública
 EC
Processo de Encriptação Convencional
 DC
Processo de Decriptação Convencional
 H Processo de Função Hash
||
Processo de Concatenação
 Z Processo de Compressão com o Algoritmo ZIP
 R64 Processo de Conversão – RADIX 64 – ASCII
204
Fundamentos de Segurança da Informação
Criptografia
 Código Hash de 160 bits é gerado;
 A assinatura pode ser transmitida separadamente da mensagem
ou documento;
Autenticação
Envio - a
Recepção - b
KUa
EKRa[H(M)]
M
H
EP
||
Z
KRa
Pilares:
Autenticação por meio da Assinatura
-1
Z
DP
M
Compara
H
205
Fundamentos de Segurança da Informação
Criptografia
Confidencialidade
Envio - a
Recepção - b
KRb
EKUb[KS]
M
Z
EC
KS
KUb
Pilar:
Confidencialidade
||
DP
DC
Z-1
M
EP
206
Fundamentos de Segurança da Informação
Criptografia
Envio
M
EKUb[KS]
H
EP
||
Z
EC
||
KRa
KS
KUb
EP
Recepção
EKRa[H(M)]
EKUb[KS]
KRb
DP
DC
Z-1
Pilar:
Confidencialidade
Autenticidade por meio da assinatura
KUa
DP
M
Compara
H
207
Fundamentos de Segurança da Informação
Geração de Mensagem PGP
Frase Secreta
Chaveiro
Chave Privada
H
ID Chave
Seleciona
IDb
KRa
Encriptado
Seleciona
IDa
Chaveiro
Chave Pública
DC
KUb
Rng
KRa
ID Chave
KS
M
H
EP
Resumo
Mensagem
||
Mensagem
+
Assinatura
EC
KS
EP
||
Saída
Mensagem+
Assinatura
Encriptados
208
Fundamentos de Segurança da Informação
Recepção de Mensagem PGP
Chaveiro
Chave Privada
Seleciona
ID Chave
Receptor
Chave Sessão
Encriptada
Mensagem
Encriptada
+
Assinatura
Chaveiro
Chave Pública
Frase Secreta
H
Chave
Privada
Encriptada
Seleciona
DC
KRb
DP
KS
DC
KUa
ID Chave
Emissor
Resumo
Encriptado
DP
Compara
Mensagem
H
209