Criptografia

Prof. Jadir Eduardo Souza

Lucas
jadirlucas@hotmail.com

Introduo
A arte da guerra nos ensina a no
contar com a possibilidade do
inimigo no vir, e sim, estar
preparado para ele; no depender do
inimigo no atacar, mas depender
principalmente de estar em uma
posio invulnervel
A Arte da Guerra, Sun Tzu

Pensamento
O nico sistema verdadeiramente
seguro aquele que est desligado,
desconectado, trancado num cofre de
titnio, lacrado, enterrado em um bunker
de concreto, envolto por gs venenoso e
vigiado por guardas armados muito bem
pagos. Mesmo assim, eu no apostaria
minha vida nisso.
Gene Spafford
Diretor de Operaes de Computador, Auditoria e Tecnologia da Segurana
Purdue University

Cenrio Atual
Os requisitos de Segurana da Informao
se modificaram nos ltimos tempos
Tradicionalmente a segurana era obtida
por mecanismos fsicos ou administrativos
O uso dos computadores requer
ferramentas automatizadas para proteger
arquivos e outras informaes
armazenadas
O uso de redes e enlaces de comunicao
requer medidas de proteo durante a
transmisso de dados

Evoluo dos Sistemas de

Gesto
Sistema de Gesto da Qualidade
(ISO Srie 9000 1987)
Sistema de Gesto Ambiental (ISO
Srie 14000 1994)
Sistema de Gesto da Segurana e
Sade Ocupacional (OHSAS 18001
1996)
Sistema de Gesto da Segurana da
Informao (BS 7799-2 1999)

Definies
Segurana Computacional nome
genrico para a coleo de ferramentas
projetadas para proteger dados e evitar
os hackers
Segurana de Rede medidas para
proteger os dados durante as
transmisses
Segurana na Internet medidas
para proteger dados durante as
transmisses sobre um conjunto de
redes interconectadas

Segurana
quando tudo vai bem, ningum
lembra que existe;
quando tudo vai mal, dizem que no
existe;
quando para investir, acha-se que
no preciso que exista;
porm, quando realmente no
existe, todos concordam que deveria
existir!!!

Riscos, Vulnerabilidades e
Ameaas
Ameaa: um evento com o potencial de
causar dano aos recursos de informao,
aplicaes ou sistemas
Ex: Inundao, Roubo, Erro de Usurio, Falha de
Hardware

Vulnerabilidade: consiste em uma falha ou

problema relacionado a um recurso
computacional que, se explorado, causar o
comprometimento da sua segurana
Ex: DC ao lado do rio, Portas destrancadas, Alocao
errada de direitos de senha, Falta de manuteno.

Risco: possibilidade de uma ameaa

explorar uma vulnerabilidade
Risco = Probabilidade X Impacto

Tipos de Ameaas

Naturais
Externas
Internas
Combinadas

Disciplinas:
Anlise de Riscos
Anlise de Vulnerabilidades

Do que ou de quem
proteger?
Ameaas Externas x Ameaas
Internas
Ameaas Naturais x Ameaas Nonaturais

Rtulos
Hackers quebram a segurana com o
objetivo de obter status e projeo
pessoal. Os ataques so no-destrutivos
Espies quebram a segurana para ter
acesso a informaes que possuem valor
comercial ou poltico
Terroristas violam sistemas para causar
danos que acarretem em ganhos polticos
Invasores Internos empregados de
corporaes que tem objetivos de ganhos
financeiros

Rtulos
Criminosos Profissionais pessoas
que tem objetivos comerciais
financeiros pessoais
Vndalos tem como objetivo nico
e exclusivo causar danos irreparveis
a vtima (crackers)
Outros tipos e denominaes:
lammer, wannabe, phreaker, script
kid etc.

Vulnerabilidades, Controles e
Custos

Melhores prticas ISO

17799
Objetivo
Obteno da
Segurana da
Informao
Poltica de
Segurana
Segurana
organizacional
Classificao e
controle de ativos de
informao
Segurana em
pessoas

Segurana fsica e do
ambiente
Gerenciamento das
operaes e
comunicaes
Controle de acesso
Desenvolvimento e
manuteno de
sistemas
Gesto da
continuidade do
negcio
Conformidade

Exemplos Prticos

Modificao
Invaso para a pichao de sites WEB
Alterao de informaes em bancos de dados

Interrupo
DoS e DDoS

Interceptao
Roubo de senhas
Monitoramento de transaes de e-commerce

Fabricao
IP Spoofing

Algumas tcnicas combinam vrios tipos de

ataque.
Vrus, roubo de senhas e cartes de crdito

Evoluo da (In)Segurana

Arquitetura de Segurana
OSI
ITU-T X.800 Security Architecture for
OSI
Defines uma forma sistemtica de
definir e prover requisitos de
segurana
Proporciona uma viso geral dos
conceitos de segurana

Aspectos de Segurana
Considere 3 aspectos de segurana
da informao:
Ataque na segurana
Mecanismo de segurana
Servios de segurana

Ataques na Segurana
Qualquer ao que comprometa a
segurana da informao de propriedade
de uma organizao
Segurana da informao diz respeito ao
modo de prever ataques, ou na falha do
primeiro, para detectar ataques em
sistemas baseados na informao
normalmente ameaa & ataque so
usados com o mesmo significado
Existe uma grande variedade de ataques

Categoria dos Ataques

Podemos definir quatro categorias:
Interrupo
Interceptao
Modificao
Fabricao

Ataque passivo: Interceptao

Ataques ativos: Interrupo,
Modificao e Fabricao

Categorias de Ataques
Fluxo normal

fonte

destino

Categorias de Ataques
Interrupo

fonte

destino

Categorias de Ataques
Interceptao

fonte

destino

Categorias de Ataques
Modificao

fonte

destino

Categorias de Ataques
Fabricao

fonte

destino

Ataques Passivos

Ataques Ativos

Servios de Segurana
Incrementam a segurana dos sistemas
de processamento de dados e das
transferncias de informao de uma
organizao
Tentam conter os ataques segurana
Utiliza um ou mais mecanismos de
segurana
Em geral replicam funes normalmente
associadas com documentos fsicos
Os quais, por exemplo, tem assinaturas,
datas, so protegidos de acesso indevido,
adulterao ou destruio; so registrados e
reconhecidos (cartrio); gravados ou
licenciados

Servios de Segurana
X.800:
um servio fornecido por uma camada de
protocolo de um sistema de
comunicaes aberto, o qual garante
uma segurana adequada para os
sistemas ou transferncias de dados

RFC 2828:
um servio de processamento ou
comunicao fornecido por um sistema
para das um tipo especfico de proteo
aos recursos do sistema

Servios de Segurana
(X.800)
Autenticao assegura que a entidade
de comunicao a verdadeira
Controle de Acesso preveno de uso
de recurso no autorizado
Confidencialidade dos Dados
proteo de dados por algum no
autorizado
Integridade dos Dados assegura que
os dados recebidos so exatamente os
transmitidos pela entidade autorizada
No-Repdio proteo contra a
negao por uma das partes envolvidas
na comunicao

Mecanismos de Segurana
Caracterstica projetada para
detectar, prevenir ou recuperar de
um ataque segurana
Nenhum mecanismo sozinho ir
suportar todo o servio requerido
Por outro lado, existe um elemento
particular que agrupa muitos dos
mecanismos de segurana em uso:
Tcnicas de criptografia

Mecanismos de Segurana
(X.800)
Mecanismos de segurana
especficos:
cifragem, assinatura digital, controles de
acesso, integridade de dados, intercmbio
de autenticao, preenchimento de
trafico, controle de roteamento, registro

Mecanismos de segurana
pervasivos:
Funcionalidade confivel, etiquetas de
segurana, deteco de eventos, trilha de
auditoria segura, recuperao segura

Modelo para Segurana de

Rede
Entidade confivel
(ex. rbitro,
distribuidor de
informao secreta)

Informao
secreta

Destinat
rio

Oponente

Transforma
o relativa
segurana

Mensagem

Canal de
informa
o

Mensagem segura

Transforma
o relativa
segurana

Mensagem segura

Mensagem

Remeten
te

Informao
secreta

Modelo para Segurana de

Rede

A utilizao deste modelo nos

exige:
1. Projetar um algoritmo apropriado para
a transformao de segurana
2. Gerar as informaes secretas
(chaves) usadas pelo algoritmo
3. Desenvolver mtodos para distribuir e
compartilhar a informao secreta
4. Especificar um protocolo de habilitao
para utilizar a transformao e a
informao secreta pelo o servio de
segurana

Modelo Segurana de Acesso

Rede

Modelo Segurana de Acesso

Rede
A utilizao deste modelo requer:
1. Selecionar as funes do gatekeeper
apropriadas para identificar os usurios
2. Implementas controles de segurana
para permitir que apenas usurios
autorizados acessem informaes
designadas ou recursos

Sistemas de computadores
confiveis pode ser til na
implementao deste modelo