Aula 01 Tecnologia Da Informação (1)

EstratgiaC O N C U R S O S ^

Tecnologia da Informao para ICMS/PE Auditor Fiscal do Tesouro Estadual

Prof Victor Dalton - Aula 01

AULA 01: Segurana da Informao

SUMRIO PGINA1.3 C r ip to g ra fia 2

1 .4 F irew a ll 20

1.5 B ackup 27

2. N o rm a IS O 27 0 0 2 283. O u tro s t p ico s re le v a n te s 36

E x e rc c io s C o m e n ta d o s 41

C o n s id e ra e s F in a is 96

L ista de E x e rc c io s 97

G a b a r ito 128

Ol amigos e amigas! Que bom que vocs vieram pro curso!

Agora, firme e forte

honrar o voto de confiana de vocs e prosseguir com os trabalhos.

Aos estudos!

Prof. Victor Daltonwww.estrategiaconcursos.com.br 1 de 128

Tecnologia da Informao para ICMS/PEAuditor Fiscal do Tesouro Estadual


1.3 Criptografia

Criptografia o estudo dos princpios e tcnicas pelas quais a informao pode ser transformada da sua forma original para outra ilegvel, de forma que possa ser conhecida apenas por seu destinatrio, o que a torna difcil de ser lida por algum no autorizado. Assim sendo, s o receptor da mensagem pode ler a informao com facilidade. um ramo da Matemtica, parte da Criptologia.

H dois tipos principais de chaves criptogrficas: chaves simtricas e chaves assimtricas. Uma informao no-cifrada que enviada de uma pessoa (ou organizao) para outra chamada de "texto claro" (plaintext). Cifragem o processo de converso de um texto claro para um cdigo cifrado e decifragem o processo contrrio, de recuperar o texto original a partir de um texto cifrado. A criptografia moderna basicamente formada pelo estudo dos algoritmos criptogrficos que podem ser implementados em computadores.

Segundo Nakamura, a criptografia possui quatro propriedades, ou objetivos, para a proteo da informao, a saber:

Confidencialidade (privacidade) - sigilo entre as partes envolvidas Integridade - a informao no sofrer alteraes Autenticao (do remetente) - poder saber quem o remetente No-repdio - o remetente no poder negar a autoria da mensagem

1.3.1 Conceitos relacionados

Uma tcnica clssica de criptografia a esteganografia.

Esteganografia (do grego "escrita escondida) o estudo e uso das tcnicas para ocultar a existncia de uma mensagem dentro de outra, uma forma de segurana por obscurantismo. Em outras palavras, esteganografia o ramo particular da criptologia que consiste em fazer com que uma forma escrita seja camuflada em outra a fim de mascarar o seu verdadeiro sentido.

Interessante frisar a diferena entre criptografia e esteganografia. Enquanto a primeira oculta o significado da mensagem, a segunda oculta a existncia da mensagem.

Veja abaixo um exemplo clssico de esteganografia.


Dear George, 3rd March


Prof Victor Dalton -A ula 01

Greetings to all at Oxford. Many thanks for your letter and for the Summer examination package. All Entrv Forms and Fees Forms should be ready for final dispatch to the Syndicateby Friday 20th or at the verv least, I'm told, by the 21st. Adminhas improved here, though there's room for improvement stUl; just give us all two or three more years and we'll really show you! Please don'tlet these wretchedl6+ proposals destroy your basic O and A pattem. Certainly this sort of change, if implemented immediately, would bring chos.

Mensagem inocente, no?

Dear George, 3rd March

Greetings to all at Oxford. Many thanks for your letter and for the Summer examination package. All Entry Forms and Fees Forms should be ready for final dispatch to the Syndicate by Friday 20th or at the very least, I'm told, by the 21st. Adminhas improved here, though there's room for improvement stU; just give us all two or three more years and we'll really show you! Please don't let these wretched 16+ proposals destroy your basic O and A pattem. Certainly this sort of change, if implemented immediately, would bring chos.

E essa mensagem? Continua inocente?

Nos dias atuais, possvel empregar a esteganografia em mensagens de udio, texto, vdeos, imagens... enfim, qualquer tipo de mdia que possa carregar informao.

Uma outra ideia relacionada criptografia a chamada cifra de Csar.

A cifra de Csar uma das formas mais simples de criptografia. Quem j teve infncia certamente j trocou bilhetes "criptografados" na escola, usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo CASA como DBTB ou BZRZ. Esta a cifra de Csar.





A cifragem de Csar se baseia no deslocamento dos caracteres do alfabeto.

Outros conceitos interessantes dizem a respeito da engenharia reversa da criptografia. Uma parte interessada em quebrar uma mensagem cifrada pode lanar mo de dois recursos, a saber:

Criptoanlise: os ataques criptoanalticos contam com a natureza do algoritmo e talvez mais algum conhecimento das caractersticas gerais do texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O objetivo deduzir o texto em claro ou a chave utilizada. A criptoanlise pode ser considerada o oposto da criptologia, que a arte de criar mensagens cifradas.

Ataque por fora bruta: o atacante experimenta cada chave possvel em um trecho de texto cifrado, at obter uma traduo inteligvel para o texto claro. Na mdia, metade de todas as chaves possveis precisam ser testadas para se obter sucesso.

Logo, percebe-se uma diferena clara entre a criptoanlise e a fora bruta.

Criptografar e decriptografar mensagens um "jogo de gato e rato". Veremos mais sobre esse jogo, medida que nos aprofundarmos no assunto.

1.3.2 Criptografia simtrica e assimtrica (importante!)

Diferenciar algoritmos de chave simtrica e assimtrica importante, e no difcil!

Os algoritmos de chave simtrica so uma classe de algoritmos para a criptografia, que usam chaves criptogrficas relacionadas para as operaes de cifragem e decifragem. A operao de chave simtrica mais simples, pois pode existir uma nica chave entre as operaes. A chave, na prtica, representa um segredo, partilhado entre duas ou mais partes, que podem ser usadas para manter um canal confidencial de informao. Usa-se uma nica chave, partilhada por ambos os interlocutores, na premissa de que esta




Prof Victor Dalton - Aula 01conhecida apenas por eles. Resumindo, a mesma chave usava pra criptografar a mesma utilizada para decriptografar.

Algoritmo de Decifragem

Criptografia com chave simtrica.

Os algoritmos de chave assimtrica, por sua vez, trabalham com chaves distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave pblica e chave privada, no qual a chave pblica do destinatrio utilizada para a criptografia da informao, e apenas a chave privada conseguerealizar a decifragem. Requer o emprego de algoritmos complexos, como a utilizao de nmeros primos extensos.

Thiago

Canal pblico

' > Canal insegur o

Fabio

Texto

Decifrar c> emclaroE ____s

Criptografia assimtrica

Veja a comunicao acima. Thiago vai enviar uma mensagem para Fbio. Assim sendo, Thiago utiliza a chave pblica de Fbio para criptografar a mensagem. Estando a mensagem cifrada, ela pode trafegar por um canal inseguro (ex: Internet) com certa tranquilidade, pois apenas Fbio poder decifrar a mensagem, j que apenas ele possui a chave privada, e nunca divulgou para ningum.


O inconveniente da chave simtrica, por ser nica, que o meio pelo qual trafegam as mensagens no pode ser o mesmo meio pelo qual a chave compartilhada, lgico. Portanto, distribuir a chave um inconveniente. Atualizar a chave um inconveniente. Se existe um meio mais seguro para compartilhar a chave, porque no utiliz-lo para o prprio fluxo de dados?

Alm disso, gerenciar as chaves tambm pode ser um problema. Afinal, para comunicar-se com muitos destinatrios diferentes, o ideal que se tenha uma chave para cada destinatrio diferente.

Por outro lado, as chaves simtricas so as mais recomendadas para o trmite de grandes volumes de dados, j que seu processamento mais rpido.

J a chave assimtrica, teoricamente mais segura, requer algoritmos complexos para o seu devido emprego, logo, no difcil imaginar que performance seja um gargalo neste sistema.

Como contrapartida, uma nica chave pblica pode ser distribuda livremente, j que apenas a chave privada, nunca divulgada, consegue decifrar a mensagem.

Essas diferenas merecem um comparativo, no mesmo?

CHAVE SIMTRICA CHAVE ASSIMTRICAChaves nica Pblica (divulgada livremente)

Privada(secreta)Funcionamento Mesma chave cifra e

decifraChave pblica cifra a mensagem e

chave privada decifraProcessamento Veloz LentoGerenciamento das chaves

Complicado, uma chave para cada

usurio

Simples, basta divulgar a chave pblica

Ataques de fora bruta

So perigosos So ineficazes (nmeros primos muito grandes)

1.3.3 Principais algoritmos

Hora de vermos alguns algoritmos.

DES (Data Encryption Standard) - DES tipo de cifra em bloco, ou seja, um algoritmo que toma uma string ("pedao" de texto) de tamanho fixo de um texto plano e a transforma, atravs de uma srie de complicadas operaes, em um texto cifrado de mesmo tamanho. No caso do DES, o tamanho do bloco 64 bits. DES tambm usa uma chave para personalizar a transformao, de modo que a decifragem somente possvel, teoricamente, por aqueles que conhecemProf. Victor Dalton

www.estrategiaconcursos.com.br 6 de 128



Prof Victor Dalton - Aula 01a chave particular utilizada para criptografar. A chave consiste nominalmente de 64 bits, porm somente 56 deles so realmente utilizados pelo algoritmo. Os oito bits restantes so utilizados para verificar a paridade e depois so descartados, portanto o tamanho efetivo da chave de 56 bits, e assim citado o tamanho de sua chave.

O DES, por ser um algoritmo simtrico, utiliza a mesma chave para a decriptografia, aplicando-se as subchaves na sequncia inversa. um algoritmo relativamente vulnervel a ataques de fora bruta, nos dias atuais.

O 3-DES uma verso melhorada do DES, na qual os dados so encriptados com a primeira chave, decifrados com a segunda chave e finalmente




Prof Victor Dalton - Aula 01encriptados novamente com uma terceira chave. Isto faz o 3DES ser mais lento que o DES original, porm em contrapartida oferece maior segurana.

AES (Advanced Encryption Standard) - Tambm conhecido como Rjindael, o AES foi um algoritmo "provocado" pelo governo norteamericano, em virtude da necessidade de substituio do DES, cuja vida til se aproximava do fim. Ele tambm simtrico, usa um tamanho de bloco de 128 bits e admite chaves de 128, 192 e 256 bits.

IDEA (International Data Encryption Algorithm) - algoritmo desenvolvido na Sua, em 1990. Simtrico, usa chave de 128 bits.

RSA - O RSA um algoritmo assimtrico de chave pblica, conforme exemplo mostrado anteriormente. Ele utiliza nmeros primos muito grandes.

MD-5 (Message Digest Algorithm 5) - um algoritmo de hash de 128 bits unidirecional desenvolvido pela RSA Data Security, Inc., e muito utilizado por softwares com protocolo ponto-a-ponto na verificao de integridade de arquivos e logins. Atualmente, a comunidade de segurana considera o MD5 como um algoritmo quebrado, embora ainda seja utilizado nos dias atuais.


Estratgiar n N r i i R ; r > < ;C O N C U R S O S Tecnologia da Informao para ICMS/PEAuditor Fiscal do Tesouro EstadualProf Victor Dalton - Aula 01

SHA-1 (Secure Hash Algorithm 1) - A famlia de SHA (Secure Hash Algorithm) est relacionada com as funes criptogrficas e verificao de integridade de dados. A funo mais usada nesta famlia, a SHA-1, usada numa grande variedade de aplicaes e protocolos de segurana, incluindo TLS, SSL, PGP, SSH, S/MIME e IPSec. SHA-1 foi considerado o sucessor do MD5.

O SHA-1 processa os dados de entrada em blocos de 512 bits e gera um sumrio de mensagens de 160 bits.

DSS (Digital Signature Standard) - O DSS um padro de assinatura digital utiliza um algoritmo que foi projetado apenas para oferecer a funo de assinatura digital (o DSA). Diferentemente do RSA, ele no pode ser usado para a criptografia ou troca de chave. Apesar disso, uma tcnica de chave pblica. O DSS tambm utiliza o algoritmo SHA-1 para a gerao do hash.

DSA (Digital Signature Algorithm) - O DSA o algoritmo do DSS para assinatura digital, baseado na dificuldade de se calcular logaritmos discretos. Ele trabalha com trs parmetros pblicos, que podem ser comuns a um grupo de usurios. Um nmero primo q de 160 bits, um nmero p entre 512 a 1024 bits, de modo que q divida (p -1), e g, que ser igual a h elevado a [(p-1)/q], em que h menor que p -1 e (g mod q) > 1. h a chave secreta a ser utilizada pelo assinante.

Analisar assinatura digital a continuao natural da criptografia assimtrica. Por enquanto, ainda estamos no "mundo das ideias", mas j traremos esses conceitos para o nosso dia a dia. Peo sua pacincia!

Voc deve ter percebido que a e riptografia baseada em chave assimtrica garante a confidencialidade da mensagem, pois, apenas o destinatrio da mesma consegue decifr-la. At a tudo bem, mas quem garante que a mensagem realmente est vindo daquele emissor?

Afinal de contas, qualquer um pode enviar uma mensagem para Fbio. A chave pblica de Fbio pblica, no mesmo?

nesse contexto que entra a assinatura digital. Ela garantir a autenticidade do remetente e a integridade da mensagem. Vamos ver como?

Assinatura digital baseada em Chave Pblica


1.3.4 Assinatura digital



Prof Victor Dalton - Aula 01A assinatura digital requer que emissores e receptores conheam as chaves

pblicas uns dos outros. Assim, quando a entidade emissora quer enviar uma mensagem assinada digitalmente a outra entidade, aquela ter que cifrar a mensagem com a sua chave privada e, em seguida, cifrar o resultado com a chave pblica da entidade receptora. Por sua vez, a entidade receptora ao receber a mensagem ter que decifr-la primeiro com a sua chave privada e de seguida decifrar este resultado com a chave pblica da entidade emissora.

O receptor pode provar a recepo de qualquer mensagem atravs do criptograma resultante da decifragem com a sua chave privada. Note-se que ele consegue decifr-lo mas nunca conseguiria produzi-lo uma vez que desconhece a chave privada do emissor.

Este mtodo de assinatura digital tem todas as vantagens dos algoritmos de chave pblica nomeadamente a sua impossibilidade de decifragem por outros, pelo menos em tempo til.

f ~fcsvcPriva dado

Emissor /

ChaveF&trticadoReceitar

Eirassor

Mensagem

Primas

tteuptar

Mensagemi k

/r > Segunda

Dwfragem

' , > SegundaCi fingem

- - Pnmeira Deafragem

tCnptograma

Ped d-unptograma

CJve Pifccs do

Emasspr

Cbivt frivada do Receou*

TranspwK

Figura - assinatura digital baseada em chave pblica

Entendeu a jogada?

Se, alm de cifrar a mensagem com a chave pblica de Fbio, Thiago cifrar tambm com sua prpria chave privada, Fbio no s conseguir ler a mensagem, como tambm garantir que a mensagem realmente de Thiago, pois a chave pblica de Thiago tambm decifra mensagens cifradas pela chave privada de Thiago.

Veja tambm outros dois tipos de assinatura digital:

Assinatura digital baseada em Chave Secreta

Esta aproximao requer a existncia de uma autoridade central que sabe tudo e em quem todos confiam. Cada entidade escolhe uma chave secreta e a repassa autoridade central. Desta forma s autoridade central e a prpria entidade tm conhecimento da sua chave secreta. Quando uma entidade quer



enviar uma mensagem assinada digitalmente outra, ter que a cifrar, com a sua chave secreta, e envi-la autoridade central. A mensagem passar pela autoridade central que a decifrar com a chave secreta da entidade emissora. A esta mensagem ser concatenada uma estampilha que s a autoridade central consegue gerar e decifrar. O resultado ser cifrado com a chave secreta da entidade receptora e enviado. Desta forma, o receptor pode provar a recepo de qualquer mensagem atravs da estampilha recebida (s a autoridade central consegue produzir uma).

Assinatura digital baseada em funes de hash (importante!)

Uma das crticas que se podem fazer aproximaes apresentadas anteriormente que elas juntam duas funes distintas: autenticao e privacidade. Muitas vezes, necessria a autenticao, mas no existe qualquer interesse de privacidade. Uma vez que a cifragem de uma mensagem com criptografia de chaves pblicas normalmente lenta, frequentemente desejvel enviar uma mensagem assinada digitalmente sem preocupao de que ela seja lida por outros. Desta forma no ser necessrio cifrar toda a mensagem.

Este esquema baseia-se nas funes de sentido nico (one-way hash functions) e tem como base a cifragem de uma parte, arbitrariamente longa, da mensagem, obtendo como resultado o chamado message-digest(resumo).

Desta forma, a entidade emissora ter que gerar o message-digest e cifr- lo (assin-lo) com a sua chave privada.

De seguida poder enviar a mensagem (cifrada ou no) concatenada com a sua assinatura. A entidade receptora decifrar a assinatura com a chave pblica da entidade emissora (previamente publicada) e verificar se o message-digest o esperado. Como pode ser facilmente percebido, as entidades comunicantes devem assegurar-se que conhecem as verdadeiras chaves pblicas umas das outras e no quaisquer outras ilegalm ente publicadas, a troco da segurana do sistema poder ficar comprometido. Para garantir isso, i.e., para fazer a distribuio de chaves pblicas de forma segura, usa-se o conceito de certificado, um objeto que contm a chave pblica de uma dada entidade assinada digitalmente por uma entidade de confiana, conhecida por autoridade certificadora (CA).

Mtufflgem, iLsagMi))

Figura - assinatura digital baseada em funes de hash



Estamos evoluindo! Primeiro, voc entendeu como a mensagem enviada de uma forma segura. Segundo, voc entendeu como garantir a assinatura do remetente. Agora podemos fazer mais uma pergunta.

Quem garante que aquele emissor realmente legtimo? Ou seja, quem garante a Fbio que o Thiago realmente o Thiago, e no algum se passando por Thiago?

A dica foi dada na ltima modalidade de assinatura digital. hora de estudarmos o Certificado Digital.

1) (FCC - MPE/MA - Analista Ministerial - Segurana da Informao - 2013) Considere:

I. Utiliza uma mesma chave tanto para codificar como para decodificar informaes, sendo usada principalmente para garantir a confidencialidade dos dados.

II. Utiliza duas chaves distintas: uma pblica, que pode ser livremente divulgada, e uma privada. Quando uma informao codificada com uma das chaves, somente a outra chave do par pode decodific-la.

Os itens acima descrevem, respectivamente,

a) assinatura digital e funo de resumo.b) mtodo de espalhamento e PKI.c) funo de resumo e assinatura digital.d) criptografia de chave simtrica e de chave assimtrica.e) criptografia de chave pblica e mtodo de espalhamento

Associao mental imediata: criptografia de chave simtrica e assimtrica.

Alternativa d).

Um certificado digital normalmente usado para ligar uma entidade a uma chave pblica. Para garantir digitalmente, no caso de uma Infraestrutura de

Prof. Victor Daltonwww.estrategiaconcursos.com.br

CAIUna prova!

1.3.5 Certificado digital

12 de 128


Chaves Pblicas (ICP), o certificado assinado pela Autoridade Certificadora (AC) que o emitiu e no caso de um modelo de Teia de Confiana (Web of Trust), o certificado assinado pela prpria entidade e assinado por outros que dizem confiar naquela entidade. Em ambos os casos as assinaturas contidas em um certificado so atestamentos feitos por uma entidade que diz confiar nos dados contidos naquele certificado.

O certificado digital oferece garantias de: Autenticidade - o receptor dever poder confirmar a assinatura do

emissor; Integridade - garantia de que o contedo da transao no foi

alterado; No-repdio - garantia de que quem executou a transao no

pode negar que foi ele mesmo que executou;

Ainda est um pouco quadrado?

Pois imagine o Certificado Digital como uma cdula de identidade, emitida por um cartrio. A gente s vezes no precisa ir em um cartrio pra provar que a gente a gente mesmo? Mesma coisa aqui!

Veja essa tela abaixo, por meio da qual um usurio entra em sua conta no site do Banco do Brasil (repare no CADEADO VERDE):

Q https:/7vvvvw2.bancobrasi.com.br =; m&.perf,:: = i

> Atendim ento! 5AC / Ouvidoria

.o, A Acessvel para| + | - | deficientes visuais

AutoatendimentoTitular: Como acessar?

> Esqueceu sua senha?

> Requisitos mnimos

> Termo de uso do autoatendimento

1" Titular

Agncia: Conta:

Senha de autoatendimento (8 digitos): Outros acessos> No-Correntista

> Deficiente Visual

> Utilizando certificado digital A3

Caso nao possua senha, oliQue aqui

I ENTRAR I II EMPAR ||Suporte Tcnico 0800 729 0200

Servio de Mensagens via Celular(SMS)Mais segurana e convenincia.

> Saiba mais

% tarifas na sua conta.

> Saiba mais

Extrato de ServiosMais transparncia na cobrana de


Esta uma tpica comunicao de duas partes que usa criptografia assimtrica. Uma parte VOC, cliente, e a outra o BANCO.

Em telas cuja informao sensvel, como os dados bancrios de um cliente, o fornecedor de um servio crtico, no caso, o BANCO, oferece um canal seguro de comunicao, protegido por criptografia. Mas VOC, no caso o seu navegador, precisa ter certeza que realmente est trocando mensagens com o BANCO. Para isso, o banco, ao entrar nesse canal seguro, lhe envia um CERTIFICADO DIGITAL, mostrando quem ele , qual a criptografia que usa, lhe enviando a chave pblica dele, e informando qual a AUTORIDADE CERTIFICADORA que emitiu o Certificado dele.

VOC, ento, por meio de seu navegador de internet, verifica se a autoridade certificadora dele realmente de confiana (como se um cartrio fosse). Nas configuraes avanadas de seu navegador, possvel verificar estes certificados. Segue abaixo uma tela do Google Chrome, que mostra isso:

/ O ffe r to trans i ate |e s th a t a re r f t in a lai

Autoridades de Certificao Intermedirias Autoridades de Certificao Raiz Confiveis

Emitido Para Emitido Por

G^lAddTrust E xterna i... AddTrust Externai CA.

[Z^]Autoridade C ertific ... Autoridade Certificad.

fllBaltjmore CyberTru,,. Baltimore C yberT rust.

E jp Certum CA Certum CA

Class 3 Public Prima... Class 3 Public Primary

Class 3 Public Prima... Class 3 Public Primary

L^JClass 3 Public Prima... Class 3 Public Primary

LfijC opyrigh t (c) 19 97 ... Copyright (c) 1997 Mi.

LfpDigiCert Assured D . .. DigiCert Assured ID R.

Data de .,, Nome Amigvel

30/05/2020 USERTrust

21/06/2023 Autoridade Certi.

12/05/2025 Baltimore C yber..

11/06/2027 Certum

02/D8/2Q28 VeriSign Class 3 .

01/08/2028 VeriSign Class 3 .

07/01/2004 VeriSign

30/12/1999 Microsoft Timest.

09/11/2031 DigiCert________

HTTPS/SSL

C heck fo r server certifica te revocation

Google Cloud Print

G o og le C loud P rin t le ts y o u accessthrs co m p u te r s p r in te rs fro m anyw here, C lic lc to enable

Importar.A d d printers

Finalidades do certificado

System

/ C on tinu e run n in g b a ckg ro un d apps w hen G oog le C hrom e is closed

i/i Use ha rdw are acce lera tion w he n ava ilab le Saiba mais sobre certificados

H id e advanced settings.

Nem pense em modificar essas configuraes! Seu navegador pode ficar vulnervel!

Sendo o Certificado Digital realmente emitido por uma Autoridade Certificadora de confiana, o CADEADO VERDE aparece na sua tela, mostrando que sua comunicao, a partir daquele momento, ser segura.

Viu como a criptografia faz parte do seu dia a dia?

P.S.: Voc j deve ter entrado em sites, inclusive de rgos pblicos, e ter se deparado com mensagens do tipo :"Este Certificado no foi verificado.Deseja continuar?" , conforme imagem abaixo:




Tela vermelha de fundo, cadeado "cortado", ou em vermelho, e alguma mensagem do tipo "continue por sua conta e risco".

Isso acontece porque a emisso de certificados paga (como se cartrio fosse, rs), e nem todos aderem s Autoridades Certificadoras. Na prtica, isso quer dizer que a comunicao com a outra parte segura, mas no h Autoridade Certificadora garantindo que a outra parte idnea. Ou seja, possvel trocar informaes de maneira segura com uma parte mal intencionada. Nesses casos, confiar no outro lado fica por conta e risco do usurio, e no da Autoridade Certificadora.

Em um certificado digital, podero ser encontradas as seguintes informaes:

- verso e nmero de srie do certificado.

- dados que identificam quem emitiu o certificado (assinatura da AC).

- dados que identificam o dono do certificado (nome, registro civil).

- validade do certificado.

- chave pblica do dono do certificado (a chave privada fica apenas com o dono).

- algoritmo de assinatura.

- verso e nmero de srie do certificado.

- requerente do Certificado.



Prof Victor Dalton - Aula 011.3.6 A ICP - Brasil

Falando em Autoridade Certificadora, a ICP-Brasil um conjunto de entidades governamentais ou de iniciativa privada, padres tcnicos e regulamentos, elaborados para suportar um sistema criptogrfico com base em certificados digitais e visa assegurar as transaes entre titulares de certificados digitais e detentores de chaves pblicas, no Brasil.

Para assegurar que uma determinada chave pertence a voc necessrio que uma Autoridade Certificadora (AC) confira sua identidade e seus respectivos dados. Ela ser a entidade responsvel pela emisso, suspenso, renovao ou revogao de seu certificado digital, alm de ser obrigada a manter sempre disponvel a Lista de Certificados Revogados (CRL).

A ICP-Brasil formada por uma Autoridade Certificadora Raiz (AC RAIZ) que representada pelo Instituto Nacional de Tecnologia da Informao (ITI), sendo este rgo responsvel pela autentificao das demais Autoridades Certificadoras, alm de executar atividades de fiscalizao e auditoria das AC e Autoridades de Registro (AR) para que possa certificar-se de que a entidade est seguindo todas as Polticas de Certificao.

Vejamos mais alguns conceitos relevantes sobre a ICP Brasil:

AC - Raiz

A Autoridade Certificadora Raiz da ICP-Brasil (AC-Raiz) a primeira autoridade da cadeia de certificao. Executa as Polticas de Certificados e normas tcnicas e operacionais aprovadas pelo Comit Gestor da ICP-Brasil. Portanto, compete AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras de nvel imediatamente subsequente ao seu.

A AC-Raiz tambm est encarregada de emitir a lista de certificados revogados (LCR) e de fiscalizar e auditar as Autoridades Certificadoras (ACs), Autoridades de Registro (ARs) e demais prestadores de servio habilitados na ICP-Brasil. Alm disso, verifica se as ACs esto atuando em conformidade com as diretrizes e normas tcnicas estabelecidas pelo Comit Gestor da ICP-Brasil.

AC - Autoridade Certificadora

Uma Autoridade Certificadora (AC) uma entidade, pblica ou privada, subordinada hierarquia da ICP-Brasil, responsvel por emitir, distribuir,



renovar, revogar e gerenciar certificados diaitais. Tem a responsabilidade de verificar se o titular do certificado possui a chave privada que corresponde chave pblica que faz parte do certificado. Cria e assina digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declarao da identidade do titular, que possui um par nico de chaves (pblica/privada).

Cabe tambm AC emitir listas de certificados revogados (LCR) e manter registros de suas operaes sempre obedecendo s prticas definidas na Declarao de Prticas de Certificao (DPC). Alm de estabelecer e fazer cumprir, pelas Autoridades Registradoras (ARs) a ela vinculadas, as polticas de segurana necessrias para garantir a autenticidade da identificao realizada.

AR - Autoridade de Registro

Uma Autoridade de Registro (AR) responsvel pela interface entre o usurio e a Autoridade Certificadora. Vinculada a uma AC, tem por objetivo o recebimento, validao, encaminhamento de solicitaes de emisso ou revogao de certificados digitais e identificao, de forma presencial, de seus solicitantes. responsabilidade da AR manter registros de suas operaes. Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.

Dica do professor: perceba que a Autoridade de Registro NO EMITE Certificados Digitais.

Embora uma entidade precise ir a uma AR para obter o seu Certificado Digital, quem emitir o certificado ser a AC. A AR apenas faz o meio de campo entre a entidade e a AC.

Ainda, perceba que ningum emite Certificados diretamente com a AC- Raiz, apenas as autoridades Certificadoras imediatamente abaixo de seu nvel na hierarquia.

Conhea a hierarquia resumida da ICP Brasil em: http://www.iti.gov.br/images/icp-brasil/estrutura/2014/atualizacao12/Estrutura da ICP-Brasil - site.pdf




1.3.7 Tipos de Certificao Digital

Na ICP-Brasil esto previstos dez tipos de certificado. So duas sries de certificados. A srie A (A1, A2, A3 e A4) rene os certificados de assinatura digital, utilizados na confirmao de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrnicos com verificao da integridade de suas informaes.

Tambm certificados de assinatura digital, certificados do tipo T3 e T4 somente podem ser emitidos para equipamentos das Autoridades de Carimbo do Tempo (ACTs) credenciadas na ICP-Brasil.

A srie S (S1, S2, S3 e S4), por sua vez, rene os certificados de sigilo,que so utilizados na codificao de documentos, de bases de dados, de mensagens e de outras informaes eletrnicas sigilosas. Os dez tipos so diferenciados pelo uso, pelo nvel de segurana e pela validade.

Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no prprio computador do usurio. Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informaes referentes ao seu certificado ficam armazenadas em um hardware criptogrfico - carto inteligente (smart card) ou carto de memria (token USB ou pen drive). Para acessar essas informaes, ainda, necessria a digitao de senha no momento crtico da transao.

Tipos T3 e T4 so para hardware especfico das Autoridades de Carimbo do Tempo, cuja finalidade provar a sua existncia em determinado perodo, em qualquer documento ou transao eletrnica, baseando-se na hora oficial brasileira fornecida pelo Observatrio Nacional.




Chave criptogrfica

Tipo de certificado

Tamanho da chave (bits)

Processo de gerao Mdia armazenadora

Validade mxima (anos)*

A1 e S2 1024 S oftw are A rqu ivo 1

A 2 e S2 1024 S ofw areS m art ca rd o u token , sem cap ac id ad e

de g erao de chave 2

A3 e S3 1024 H ard w areS m art ca rd o u token , co m capac idad e


A 4 e S4 2048 H ard w areS m art ca rd o u token , co m capac idad e


T3 1024 H ard w areH ard w are c rip to g rfico ap rovado

p e lo C G d a IC P -B rasil 5

T4 2048 H ard w areH ard w are c rip to g rfico ap rovado

p e lo C G d a IC P -B rasil 3*observao: a partir de 5 de julho de 2012, qualquer certificado emitido por AC de 1 ou 2

nvel pode ter validade de at 5 anos.

CAIUna prova!

2) (FCC - MPE/MA - Analista Ministerial - Segurana da Informao - 2013) De forma geral, os dados bsicos que compem um certificado digital so:

- verso e nmero de srie do certificado.- dados que identificam quem emitiu o certificado.- dados que identificam o dono do certificado.

INCORRETO dizer que dentre estes dados tambm se inclua:

a) validade do certificado.b) chave privada do dono do certificado.c) chave pblica do dono do certificado.d) algoritmo de assinatura.e) requerente.



Prof Victor Dalton - Aula 01Nesta questo, vemos uma srie de elementos que compem o certificado digital. A alternativa que eu espero que voc no somente tenha achado errado, mas achado um absurdo, a alternativa b). A chave privada NUNCA REVELADA!

3) (FCC - TRT/MA - Analista Ministerial - Segurana da Informao - 2013) Os certificados usados para confirmao da identidade na web, correio eletrnico, transaes online, redes privadas virtuais, transaes eletrnicas, informaes eletrnicas, cifrao de chaves de sesso e assinatura de documentos com verificao da integridade de suas informaes, so os Certificados de Assinatura Digital

(A) A1, A2, A3 e A4.(b) SHA-0, SHA-1, SHA-256 e SHA-512.(c ) B1, B2, B3, B4 e B5.(D) S1, S2, S3 e S4.(E) SHA-32, SHA-64, SHA-128 e SHA-256.

A questo pergunta qual a srie de certificados para as transaes "convencionais" da web. Assim sendo, voc exclui a srie T e a srie S, e apenas a alternativa a) pode ser marcada.____________________________________

E assim encerramos a parte de criptografia. Prossigamos, ento, com as ameaas.

1.4 Firewall

O Firewall, segundo Nakamura, em seu livro Segurana de Redes em Ambientes Cooperativos, pode ser definido como um "ponto entre duas ou



mais redes, que pode ser um componente ou conjunto de componentes, por onde passa todo o trfego, permitindo que o controle, a autenticao e os registros de todo o trfego sejam realizados". Alm disso, "pode ser definido como um grupo de sistemas que refora a poltica de acesso entre duas redes, e, portanto, pode ser visto como uma implementao da poltica de segurana."

Na prtica, firewalls so utilizados para:

Registrar tentativas de acesso indevidas a um computador ou rede; Bloquear o envio de informaes coletadas por invasores e cdigos

maliciosos; Bloquear tentativas de invaso e explorao de vulnerabilidades,

identificando a origem das tentativas; Analisar continuamente o contedo das conexes, filtrando cdigos

maliciosos e barrando a comunicao entre um invasor e um cdigo malicioso j instalado;

Evitar que um cdigo malicioso j instalado se propague, impedindo que vulnerabilidades em outros computadores sejam exploradas.

Vejamos alguns termos relacionados a firewall:

Proxy: Sistemas que atuam co]no gateway entre duas redes, "obrigando" que determinado fluxo de dados passe por ele. Facilita o controle e gerenciamento de contedo na rede.


&



INTERNET

Bastion Hosts: equipamentos em que so instalados servios a serem oferecidos para internet. Por serem mquinas com contato direto com o exterior, os bastion hosts devem ser servidores fortificados, executando somente o mnimo de servios que devem oferecer. Via de regra, os Bastion Hosts ficam em zonas desmilitarizadas (DMZs).

Internet

Packet tiltering rouler

Ouiside

lllllllll ___Bastion host

Inhetween

Packel hllerlng router

nside

l l l l l l l l l - l l l l l l l l l - lllllllll -

Internai machme Internai mactnne Internai machlne

Zona Desmilitarizada (DMZ): Rede que fica entre a rede interna, que deve ser protegida, e a externa, por possuir um conjunto de servios cujo interesse da organizao a divulgao para o pblico externo. Em caso de ataques aos Bastion Hosts, a rede interna continua protegida.




T V

INTERNET

Thrw

A DMZ precisa ser isolada do restante da rede porque suas regras de proteo precisam ser mais "frouxas" do que as regras para a rede interna, uma vez que os Bastion Hosts podem (e devem) receber acessos externos.

1.4.1 Tipos de Arquitetura de Firewall

As arquiteturas de um Firewall, via de regra, so definidas de acordo com o porte e as necessidades da organizao que o implanta. As trs arquiteturas clssicas so as seguintes:

Dual-Homed Host Architecture: nesta, um nico proxy separando a rede interna da rede externa, conforme a figura abaixo.




m m m m m miiniiiii iiiiinii iiiiiini- iiiiiini niiiiiii iiiiiiin

uma estrutura mais econmica, por ser simples. Por outro lado, falta transparncia ao usurio que no sabe como o acesso externo realizado. Alm disso, o host dual-homed um nico ponto de falha, e o risco da rede reside nele.

Screened Host Architecture: composto por um filtro de pacotes e um Bastion Host.

Nele, as regras para o acesso rede externa podem ser implantadas via Bastion Host, ou filtro de pacotes, ou ambos (o que chamado de firewall hbrido).

uma arquitetura mais "madura" que a dual-homed. Entretanto, caso o Bastion Host seja comprometido, o invasor j estar na rede interna.

Screened Subnet Architecture: acrescenta a DMZ rede, por meio de filtros externo e interno.


' Bastion Hos



ExteriorKouler

FirewallInteriorRouter

Perl meter NetWork

Intentei Network

O que diferencia a Screened Subnet da Dual-Homed que os roteadores interno e externo, vistos na figura acima, funcionaro como verdadeiros filtros de pacotes. O filtro de pacote externo, um pouco menos rgido, permite o acesso externo aos servios disponibilizados pela empresa, na DMZ; o interno, altamente rigoroso, permite apenas que as respostas das requisies e servios permitidos aos usurios internos entrem na rede interna.

1.4.2 IPS e IDS

Sistemas de Deteco de Intrusos (IDS) so sistemas que monitoram atividades em redes de computadores, capazes de detectar atividades suspeitas. Configura-se uma soluo passiva.

Sistemas de Preveno de Intrusos (IPS), por sua vez, so sistemas que implementam regras e polticas para o trfego de uma rede, capazes de prevenir e combater ataques. uma soluo ativa!

CAIUna prova!

4) (FCC - SEFAZ/SP - Agente Fiscal de Rendas - 2013) Para responder s prximas questes, considere o diagrama abaixo. Ele representa uma estrutura tpica de redes de computadores instalada em uma pequena organizao.




Prof Victor Dalton -A u la 01

O dispositivo identificado pela letra A tem por funo bloquear os acessos indevidos provenientes da Internet para a rede local (LAN), por meio da verificao do endereo (IP), conhecido como

a) anti-vrus.b) bridge.c) firewall.d) gateway.e) server.

Dispenso comentrios. Alternativa c).

5) (FCC - SEFAZ/SP - Agente Fiscal de Rendas - 2013) O dispositivo identificado pela letra E um servidor de pginas Web de divulgao das informaes pblicas da corporao com o objetivo de realizar uma ampla propaganda, sendo desejvel que qualquer acesso s pginas seja permitido. Na arquitetura de redes, a regio ou o local em que o dispositivo de letra E est instalado denomina-se

a) DMZ.b) MAN.c) PKC.d) VLAN.e) WAN.

A Zona Desmilitarizada a rede que fica entre a rede interna, que deve ser protegida, e a externa, por possuir um conjunto de servios cujo interesse da organizao a divulgao para o pblico externo.________________________





Resposta certa, alternativa a).

A DMZ precisa ser isolada do restante da rede porque suas regras de proteo precisam ser mais "frouxas" do que as regras para a rede interna, uma vez que os Bastion Hosts podem (e devem) receber acessos externos.

1.5 Backup

A informao mais importante a respeito de backup fica na norma ISO 27002, a qual afirma que as mdias de backup devem ficar situadas a uma distncia segura da mdia e dos sistemas originais, para que danos causados por um desastre no site principal no afetem tambm o backup. Questes de prova em cima dessa ideia so frequentes.

Alm disso, podemos destacar que os backups podem ser realizados de trs formas diferentes. So elas:

Backup Incremental: realiza um backup dos arquivos que foram alterados ou novos desde o ltimo backup, de qualquer tipo. Em suma, um backup de atualizao.

Backup Diferencial: realiza um backup dos arquivos que foram alterados desde o ltimo backup completo. um backup intermedirio entre o incremental e o completo.

Backup Completo: como o prprio nome diz, todos os arquivos e pastas na unidade sofrem o backup, ou seja, criada uma cpia de segurana para todos esses arquivos.



Prof Victor Dalton - Aula 012. NORMA ISO 27002

2.1 Consideraes iniciais

O estudo de Segurana da informao envolve vrias frentes. Uma delas, que corresponde gesto de poltica de segurana a ser adotada por uma organizao, para proteger os seus ativos e recuperar-se de um desastre, norteada pela NORMA ISO/IEC 27002, que um Cdigo de Prtica para a Gesto da Segurana da Informao.

A ISO/IEC 27002 recebeu a atual numerao em julho de 2007. uma norma de Segurana da Informao revisada em 2005 pela International Standards Organization e pela International Electrotechnical Commission, chamada anteriormente de ISO/IEC 17799. A verso original foi publicada em 2000, que por sua vez era uma cpia fiel do padro britnico BS 7799-1:1999.

A ISO/IEC-17799 tem como objetivos a confidencialidade, integridade e disponibilidade das informaes, os quais so fatores muito importantes para a segurana da informao.

Enfim, vamos passar por algumas idias da norma, procurando destacar os procedimentos que mais aparecem em prova. Alm disso, esta anlise despertar o seu senso crtico em relao ao "esprito" da norma, fazendo que o seu bom senso possa colaborar para acertar questes sobre o assunto.

Vamos l?

2.2 Introduo

A norma ISO 27002 ressalta que a informao um ativo muito valioso para uma organizao. Diferentemente de outros ativos, ela pode ser impressa, escrita em papel, armazenada em via eletrnica, ou at mesmo conversada. Isto posto, ela deve ser protegida com adequao.

Nesse contexto, a segurana da informao um conjunto de controles, nos quais se incluem polticas, processos, funes de software e hardware e estruturas organizacionais, aplicados com o intuito de proteger a informao dos vrios tipos de ameaas, para garantir a continuidade do negcio em caso de desastre, maximizar o ROI e as oportunidades de negcio.



Destaque para a trade da segurana da informao:

L

Segundo a norma:

Confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.

Integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

Disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.

2.3 Glossrio

Para uniformizao da linguagem, interessante ter em mente as definies abaixo, uma vez que os controles recomendados utilizam e repetem (e muito) os termos abaixo citados. Jp vi, inclusive, questes de prova em cima apenas desses entendimentos!

Ativo - qualquer elemento que possua valor para a organizao

Controle - forma de gerenciar o risco, seja ele uma poltica, diretriz, procedimento, prtica...

Evento - ocorrncia em um sistema, servio ou rede, que indica uma probabilidade de violao da poltica de Seg Info, ou uma falha de controles, ou outra coisa, ainda desconhecida



Incidente - um evento ou srie de eventos indeseiados ou inesperados, com grande probabilidade de ameaar a Seg Info e comprometer o negcio. Todo incidente um evento, mas nem todo evento um incidente. Ex: uma porta indevidamente aberta um evento. Se a porta aberta mostra uma sala violada, com mesas e gavetas mexidas, temos um incidente.

Poltica - recomendaes formais da direo da organizao

Recurso de processamento da informao - qualquer sistema que processe informaes, servio ou infraestrutura, incluindo a as instalaes fsicas nas quais eles esto instalados

Risco - a probabilidade de um evento + consequncias

Ameaa - causa potencial de um incidente no desejado

Vulnerabilidade - fragilidade que pode ser explorada por ameaas

2.4 Riscos

A norma, no que diz respeito a riscos, norteada por duas idias-chave. Primeiramente, a idia de que o risco deve ser analisado e avaliado, ou seja, a organizao deve identificar, quantificar e priorizar os riscos com base em critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. E, por fim, o tratamento do risco, por meio da aceitao, mitigao, transferncia ou preveno.

Os modelos de Governana trazem 4 verbos clssicos para o tratamento de riscos. Quer lidar com os riscos? MATE. Mitigar, aceitar, evitar, e transferir. Vejamos estes verbos e o seu relacionamento com a norma:

Mitigar: aplicar controles apropriados para reduzir os riscos.

Aceitar: conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a aceitao de risco.

Transferir: transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.

Evitar: evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos.



Mitigar e Evitar talvez sejam aqueles verbos passveis de confuso entre si. Enquanto mitigar procura minimizar o risco a um nvel aceitvel (como, por exemplo, colocar firewalls para diminuir o risco de invaso da intranet da empresa via internet), evitar a eliminao do risco, como a cortar o acesso da empresa internet. Via de regra, condutas para evitar o risco so extremas.

2.5 Poltica e Organizao

A partir deste ponto, veremos ideias, objetivos e controles correspondentes a estes tpicos. uma etapa importante para captarmos o que eu chamo de "esprito" da norma. Entendido este "esprito", torna-se razoavelmente tranquilo ler alternativas em questes de prova e diferenciar o que seria um procedimento de segurana razovel de estar na norma de um procedimento que no est alinhado com esses objetivos.

A poltica de segurana da informao diz que:

a direo da organizao deve criar um documento da poltica de segurana da informao, que deve ser divulgado a todos da organizao, e a terceiros relevantes (como funcionrios terceirizados, por exemplo);

o comprometimento com Seg Info deve vir desde o alto escalo da organizao;

a poltica de segurana deve estar alinhada, naturalmente, com os objetivos de negcio;

a poltica de segurana deve ser revisada periodicamente, seja em intervalos planejados, seja diante de alguma mudana importante;

responsabilidades devem ser definidas de maneira clara; acordos de confidencialidade podem ser criados para a proteo de

ativos confidenciais.

2.6 Gesto de ativos

Esta gesto preocupa-se em manter a proteo dos ativos da organizao de maneira adequada. Nela,

Todos os ativos devem ser identificados; Deve ser criado um inventrio de ativos; Todo ativo deve ter um proprietrio; A informao dever receber uma classificao, para receber um

nvel adequado de proteo. Esta classificao dever levar em conta o valor, requisitos legais, sensibilidade e a criticidade e quaisquer outros critrios relevantes;



Prof Victor Dalton - Aula 01 O proprietrio do ativo o responsvel pela manuteno dos

controles sobre os seus ativos. A aplicao dos controles pode ser delegada, mas o proprietrio sempre ser o responsvel pela proteo.

A segurana em recursos humanos se preocupa com funcionrios, fornecedores e terceiros. Para tal,

Todos devem ser conscientizados da importncia da Seg Info; Papis e responsabilidades devem ser atribudos; Candidatos a emprego devem ser analisados, em especial quando

tratarem com informaes sensveis; Termos e condies contratuais podem ser estabelecidos; Processo disciplinar formal pode ser estabelecido para os que

violarem a Seg Info; Funcionrios que mudarem de local de trabalho ou deixarem a

organizao devem devolver ativos sob sua responsabilidade, bem como terem seus direitos de acesso revistos ou revogados.

2.8 Segurana fsica

A segurana fsica preocupa-se em prevenir acesso fsico no autorizado, evitando danos e violao s informaes da organizao. Nesse contexto,

Instalaes de processamento da informao crticas devem estar em reas seguras, com barreiras e controles de acesso adequados (paredes, balces de recepo, etc.). Devem possuir proteo fsica contra acesso no autorizado, interferncias externas e danos;

Proteo compatvel com os riscos que foram identificados; Registros de entrada e sara a de funcionrios; Terceiros prestando servio em reas sensveis s podem entrar

quando necessrio, somente com autorizao e sendo monitorados; Direitos de acesso a reas seguras devem ser revistos e atualizados

periodicamente; Proteo contra incndios, enchentes, terremotos, exploses, etc,

devem ser projetadas e aplicadas; Equipamentos devem ser protegidos contra ameaas do meio

ambiente e fsicas;

2.9 Comunicaes


2.7 RH

A preocupao aqui garantir que


Prof Victor Dalton - Aula 01recursos de processamento da

informao sejam operados corretamente. Assim sendo,

Documentos que descrevem os procedimentos de operao desses recursos devem ser criados e mantidos atualizados;

Modificaes nos recursos devem ser controladas, considerando planejamentos, testes e procedimentos de recuperao;

Funes e responsabilidades devem ser segregadas, para evitar modificaes ou uso indevido;

Terceiros devem ser monitorados e analisados criticamente em seus servios;

Controles de deteco, preveno e recuperao para malwares devem ser implantados, bem como a conscientizao dos usurios;

Cpias de segurana das informaes devem ser criadas e testadas periodicamente, conforme a poltica definida pela organizao;

Cpias de segurana devem ser armazenadas remotamente, distantes o bastante para no serem afetadas por um desastre no local principal;

Pode-se utilizar criptografia em cpias cuja confidencialidade seja importante;

Redes de computadores devem ser gerenciadas e controladas; Mecanismos de registro e monitorao podem ser aplicados para

aes relevantes de segurana; Controles especiais devem ser aplicados em redes wireless; Mdias removveis devem ser registradas e descartadas de forma

segura e formal, quando no mais necessrias; Comrcio eletrnico em redes pblicas deve ser protegido de

atividades fraudulentas; Dentre outros.

2.10 Controle de acessos

O acesso informao na organizao deve ser controlado. Isto posto,

A poltica de controle de acesso deve ser baseada nos requisitos de acessos dos negcios e segurana da informao;

Basear-se na regra "tudo proibido, menos o permitido", e no no oposto;

Deve existir procedimento formal para registrar e cancelar usurios, garantindo e revogando acessos em todos os servios e sistemas de informao;

O nvel de acesso do usurio deve ser adequado ao propsito do negcio;



Prof Victor Dalton - Aula 01 O ID de usurio deve ser capaz de assegurar a responsabilidade do

usurio por suas aes. Grupos de Ids s devem existir onde existir a necessidade para o negcio;

Concesso e uso de privilgios deve ser restrito e controlado; Concesso de senhas deve ser controlada por processos formais; Usurio deve assinar declarao quando receber senha,

responsabilizando-se pela confidencialidade da mesma; Usurios devem seguir boas prticas no uso e seleo de senhas; Senhas temporrias devem ser modificadas no primeiro acesso; Senhas devem ser modificadas periodicamente; Sistema de gerenciamento de senha deve obrigar o usurio a

escolher senhas de qualidade; Mesa limpa e tela limpa devem ser adotadas para evitar vazamento

de informaes; O acesso aos servios de rede internos e externos deve ser

controlado; As redes devem possuir controle de roteamento, por meio de

gateways e proxies, para que as conexes de rede no violem a poltica de controle de acesso da organizao.

2.11 Sistemas de informao

Este item afirma que a segurana deve ser parte dos sistemas de informao. Nele,

Controles apropriados devem ser implantados, validando dados de entrada, processamento interno e sada;

As informaes devem ser protegidas por meios criptogrficos; Acesso aos arquivos de sistema e programas de cdigo-fonte devem

ser controlados; Cuidados devem ser tomados, para que dados sensveis no sejam

expostos em ambientes dg testes de sistemas; Gerentes responsveis por aplicativos tambm devem ser

responsveis por ambientes de projeto ou suporte.

2.12 Incidentes

A gesto de incidentes preocupa-se com os incidentes de segurana da informao. Desta forma,

Fragilidades e eventos relativos a sistemas de informao devem ser informados pelo canal adequado, de modo a receberem o tratamento adequado em tempo hbil;



Prof Victor Dalton - Aula 01 Responsabilidades e procedimentos devem ser definidos para o

tratamento de eventos e fragilidades; Processo de melhoria contnua deve ser aplicado s respostas.

2.13 Gesto da continuidade do negcio

A gesto do negcio afirma que as atividades de negcio no podem parar, diante de falhas ou desastres. Para tal,

Um processo de gesto deve ser desenvolvido para assegurar a continuidade do negcio;

Os eventos que podem interromper os processos de negcio devem ser identificados e terem sua probabilidade e impacto estudadas;

Planos de continuidade do negcio devem ser desenvolvidos, com identificao de procedimentos para a recuperao do desastre, responsveis por esses procedimentos, teste e atualizao peridica dos planos. Deve haver gestores especficos para cada plano.

2.14 Conformidade

Conformidade preocupa-se com requisitos legais. Assim sendo,

Deve-se evitar violao de leis criminais, civis, estatutos, regulamentaes, obrigaes contratuais e de requisitos de Seg Info;

Direitos de propriedade intelectual devem ser respeitados (no Pirataria!);

Dados devem ser protegidos conforme legislaes relevantes e, se aplicvel, em clusulas contratuais;

Controles criptogrficos devem ser usado em conformidade com todas as leis, acordos e regulamentos;

Atividades de auditoria devem ser planejadas, de modo a serem eficazes sem interromperem processos de negcio.

2.15 Anlise final

Pois bem, acabamos de ver, de forma resumida, as principais recomendaes de segurana da ISO 27002. A norma completa possui 132 pginas, detalhando esses e outros procedimentos importantes.

Entretanto, acredito que voc conseguiu capturar o "esprito" da norma. Logo, ao deparar-se com os exerccios, voc ser capaz de enxergar, nas alternativas, sentenas que fazem (ou no fazem) sentido estar na norma, o que far que voc consiga acertar questes sobre o assunto. De qualquer forma,


recomendo a entendimento.

visualizao da mesma pelo


Prof Victor Dalton - Aula 01menos uma vez, para melhor

3. Outros tpicos de segurana da informao

3.1 Engenharia Social

A engenharia social compreende prticas utilizadas para obter acesso a informaes importantes ou sigilosas em organizaes ou sistemas por meio da enganao ou explorao da confiana das pessoas.

Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que um profissional de determinada rea, podendo, inclusive, criar falsos relacionamentos de amizade para obter informaes estratgicas de uma organizao.

uma forma de entrar em organizaes que no necessita da fora bruta ou de erros em mquinas. Explora as falhas de segurana das prprias pessoas que, quando no treinadas para esses ataques, podem ser facilmente manipuladas. Via de regra, o engenheiro social busca obter a confiana da vtima, com o objetivo de extrair informaes privilegiadas.

A engenharia social combatida com o treinamento e a conscientizao das pessoas.

3.2 Plano de Continuidade do Negcio

A ISO 27002 preconiza a adoo de um Plano de Continuidade de Negcios para a recuperao de desastres. A norma preconiza que:

Convm que cada plano de continuidade do negcio descreva o enfoque para continuidade, por exemplo, o enfoque para assegurar a disponibilidade e segurana do sistema de informao ou da informao. Convm que cada plano tambm especifique o plano de escalonamento e as condies para sua ativao, assim como as responsabilidades individuais para execuo de cada uma das atividades do plano. Quando novos requisitos so identificados, importante que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, por exemplo, o plano de abandono ou o procedimento de recuperao. Convm que os procedimentos do programa de gesto de mudana


Estratgiar n N r i i R ; r > < ;C O N C U R S O S


Prof Victor Dalton - Aula 01da organizao sejam includos para assegurar que os assuntos de continuidade de negcios estejam sempre direcionados adequadamente.

Convm que cada plano tenha um gestor especfico. Convm que procedimentos de emergncia, de recuperao, manual de planejamento e planos de reativao sejam de responsabilidade dos gestores dos recursos de negcios ou dos processos envolvidos. Convm que procedimentos de recuperao para servios tcnicos alternativos, como processamento de informao e meios de comunicao, sejam normalmente de responsabilidade dos provedores de servios.

Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de segurana da informao identificados e considere os seguintes itens:

a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado;

b) procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um incidente que coloque em risco as operaes do negcio;

c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das atividades essenciais do negcio ou os servios de infraestrutura para localidades alternativas temporrias e para a reativao dos processos do negcio no prazo necessrio;

d) procedimentos operacionais temporrios para seguir durante a concluso de recuperao e restaurao;

e) procedimentos de recuperao que descrevam as aes a serem adotadas quando do restabelecimento das operaes;

f) uma programao de manuteno que especifique quando e como o plano dever ser testado e a forma de se proceder manuteno deste plano;

g) atividades de treinamento, conscientizao e educao com o propsito de criar o entendimento do processo de continuidade de negcios e de assegurar que os processos continuem a ser efetivo;

h) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de que item do plano. Convm que suplentes sejam definidos quando necessrio;

i) os ativos e recursos crticos precisam estar aptos a desempenhar os procedimentos de emergncia, recuperao e reativao.




Prof Victor Dalton - Aula 01Segundo o estudo Plano de Continuidade de Negcio: Planejamento,

disponvel em http://www.lvfreitas.com.br/ant/artigos mba/artpcn.pdf, um PCN um conjunto de trs outros planos: o Plano de Gerenciamento de Crises (PGC), o Plano de Continuidade Operacional (PCO) e o Plano de Recuperao de Desastres (PRD). Cada um destes planos focado em uma determinada varivel de risco, numa situao de ameaa ao negcio da empresa (ou ambiente): O PGC, nas atividades que envolvem as respostas aos eventos; O PCO, voltado para as atividades que garantam a realizao dos processos e o PRD, voltado para a substituio ou reposio de componentes que venham a ser danificados.

Plano de Gerenciamento de Crises PGC - Este documento tem o propsito de definir as responsabilidades de cada membro das equipes envolvidas com o acionamento da contingncia antes, durante e depois da ocorrncia do incidente. Alm disso, tem que definir os procedimentos a serem executados pela mesma equipe no perodo de retorno normalidade. O comportamento da empresa na comunicao do fato imprensa um exemplo tpico de tratamento dado pelo plano.

Plano de Continuidade Operacional PCO - Tem o propsito de definir os procedimentos para contingenciamento dos ativos que suportam cada processo de negcio, objetivando reduzir o tempo de indisponibilidade e, consequentemente, os impactos potenciais ao negcio. Orientar as aes diante da queda de uma conexo Internet exemplificam os desafios organizados pelo plano.

Plano de Recuperao de Desastres PRD - Tem o propsito de definir um plano de recuperao e restaurao das funcionalidades dos ativos afetados que suportam os processos de negcio, a fim de restabelecer o ambiente e as condies originais de operao, no menor tempo possvel.

Para obteno de sucesso nas aes dos planos, necessrio estabelecer adequadamente os gatilhos de acionamento para cada plano de continuidade. Estes gatilhos so parmetros de tolerncia usados para sinalizar o incio da operacionalizao da contingncia, evitando acionamentos prematuros ou tardios.

Cabe destacar que o PCN deve ser planejado antes da ocorrncia de desastres, para diminuir ou mitigar o impacto causado pelos mesmos. Ao criar o PCN/BCP, deve-se manipular as variveis ETIPI, a saber:

E - Energia - Operadoras fornecedoras de energia eltrica;

T - Telecomunicaes - Empresas que fornecem comunicao usando dados e voz;


I - Infraestrutura Segurana Fsica, etc;


Prof Victor Dalton - Aula 01Localizao, para-raios, Instalaes Eltricas,

P - Pessoas - Contingncia das atividades e atendimento atravs de Sites Remotos;

I - Informtica - Equipamentos, Sistemas, Conectividade, dentre outros.

O Plano de Continuidade tem sua sustentao bsica composta pelos procedimentos de cpias de base de dados e a respectiva guarda destas cpias em local seguro.

Cada tipo de arquivo ir exigir um tipo de cpia. Entretanto, numa primeira abordagem, podemos distinguir entre dois tipos de arquivos: os arquivos de uso Corporativo e os arquivos de uso pessoal. Independente do tipo de arquivo, sua cpia e a respectiva armazenagem desta cpia uma exigncia do Plano de Continuidade, de acordo com a poltica de segurana estabelecida.

As cpias (backup's) de todas as bases de dados corporativas devem ser feitas com a frequncia que suas atualizaes demandarem pela rea gestora dos Recursos de Tecnologia de Informao.

A guarda deve ser feita em local seguro, com uma distncia geogrfica mnima que evite que problemas nas instalaes tenham repercusso no local de guarda das cpias (ou vice-versa).

Baseado na importncia dos backup's, pois guardam uma cpia fiel dos dados minutos, ou at segundos, antes de um desastre, foram criadas diversas estratgias para o seu armazenamento, que so:

Estratgia de Contingncia Hot-site - Recebe este nome por ser umaestratgia pronta para entrar em operao assim que uma situao de risco ocorrer. O tempo de operacionalizao desta estratgia est diretamente ligado ao tempo de tolerncia a falhas do objeto. Se a aplicssemos em um equipamento tecnolgico, um servidor de banco de dados, por exemplo, estaramos falando de milissegundos de tolerncia para garantir a disponibilidade do servio mantido pelo equipamento.

Estratgia de Contingncia Warm-site - Esta se aplica a objetos com maior tolerncia paralisao, podendo se sujeitar indisponibilidade por mais tempo, at o retorno operacional da atividade, como exemplo, o servio de e- mail dependente de uma conexo. Vemos que o processo de envio e recebimento de mensagens mais tolerante que o exemplo usado na estratgia anterior, pois poderia ficar indisponvel por minutos, sem, no entanto, comprometer o servio ou gerar impactos significativos.




Prof Victor Dalton - Aula 01 Estratgia de Contingncia Cold-site - Dentro da classificao nas

estratgias anteriores, esta prope uma alternativa de contingncia a partir de um ambiente com os recursos mnimos de infraestrutura e telecomunicaes, desprovido de recursos de processamento de dados. Portanto, aplicvel situao com tolerncia de indisponibilidade ainda maior, claro que esta estratgia foi analisada e aprovada pelos gestores.

Estratgia de Contingncia Datacenter - Considera a probabilidade de transferir a operacionalizaco da atividade atingida para um ambiente terceirizado; portanto, fora dos domnios da empresa. Por sua prpria natureza, em que requer um tempo de indisponibilidade menor em funo do tempo de reativao operacional da atividade, torna-se restrita a poucas organizaes, devido ao seu alto custo. O fato de ter suas informaes manuseadas por terceiros e em um ambiente fora de seu controle, requer ateno na adoo de procedimentos, critrios e mecanismos de controle que garantam condies de segurana adequadas relevncia e criticidade da atividade contingenciada.


EXERCCIOS COMENTADOS



Ia Questo) (ESAF - Superintendncia de Seguros Privados - Tecnologia da Informao - 2010) Por poltica de segurana entende-se

a) poltica planejada, vlida para os setores crticos da organizao, com regras o mais claro e simples possvel, e estrutura gerencial de fiscalizao dessa poltica, claramente sustentada pela alta hierarquia da rea de informtica.

b) poltica elaborada, implantada e em contnuo processo de reviso, vlida para toda a organizao, com regras o mais claro e simples possvel, e estrutura gerencial e material de suporte a essa poltica, claramente sustentada pela alta hierarquia.

c) poltica e diretrizes de implantao, em contnuo processo de desenvolvimento, fiscalizada por toda a organizao, com regras criptografadas e estrutura matricial e material de priorizao dessa poltica, claramente sustentada pela alta hierarquia.

d) poltica elaborada, implantada e imune a revises, vlida para toda a organizao, com estrutura gerencial de regras de formalizao individualizada dessa poltica nas unidades organizacionais, claramente sustentada pelos gestores do nvel operacional.

e) o conjunto de diretrizes e metas elaboradas, implantadas e em contnuo processo de reviso, vlidas para os responsveis pela segurana, com tcnicas criptogrficas o mais claro e simples possvel, e estrutura gerencial e material de terceirizao de procedimentos, sustentada pela alta hierarquia, quando possvel.

A ESAF extraiu essa definio de um pargrafo grifado na pgina 24 do livro do Caruso, Segurana em Informtica e de Informaes. Esse livro no nos ser necessrio.

A norma ISO 27002 define a Segurana da Informao como "a proteo da informao de vrios tipos de arri eaas para garantir a continuidade no negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio".

Ainda, esta mesma norma diz que o objetivo da poltica da segurana da informao "prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes", e que "convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao."



Sendo conhecedor esta definio e entendendo o intuito dela, veja que podemos trabalhar as alternativas por eliminao:

a)a alternativa "a" fala em poltica apenas para os setores crticos da organizao. Segurana da informao preocupao de TODOS! Eliminada;

c) Poltica "com regras criptografadas"? Estamos falando de polticas, diretrizes, alto nvel. Eliminada;

d) Poltica "imune a revises". Nem precisa continuar lendo;e) Nesta os erros esto um pouco mais velados. Fala em "terceirizao de

procedimentos" e em suporte "quando possvel". Na pior das hipteses, d pra ficar em dvida entre a letra e) e a letra b), e uma observao mais atenta nos conduzir resposta correta.

Ao longo das questes de Segurana da Informao, voc constatar que o bom-senso pode ser um forte aliado na resoluo deste tipo de questo.

Confirmando, letra b).

2a Questo) (FCC - TRT 24a Regio - Analista Judicirio - Tecnologia da Informao - 2011 - adaptada) Considere:

I. Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.

II. Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

III. Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.

Na ISO/IEC 17799(27002), I, II e III correspondem, respectivamente, a

a) disponibilidade, integridade e confiabilidade.

b) confiabilidade, integridade e distributividade.

c) confidencialidade, integridade e disponibilidade.

d) confidencialidade, confiabilidade e disponibilidade.

e) integridade, confiabilidade e disponibilidade.

Preciso falar sobre isso?




Segundo a norma:

Confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.

Integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

Disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.

Sem mistrios, pessoal. Alternativa c).

3a Questo) (FCC - SEFAZ/SP - Agente Fiscal de Rendas - 2013) Umdos recursos bsicos utilizados na segurana da informao a criptografia que tem como objetivo assegurar a

a) consistncia.

b) disponibilidade.

c) integridade.

d) privacidade.

e) legalidade.

Nessa questo vou chiar um pouco.

Segundo Nakamura, e eu j falei isso antes, a criptografia possui quatro propriedades, ou objetivos, para a proteo da informao, a saber:



Prof Victor Dalton - Aula 01 Confidencialidade (privacidade) - sigilo entre as partes envolvidas Integridade - a informao no sofrer alteraes Autenticao (do remetente) - poder saber quem o remetente No-repdio - o remetente no poder negar a autoria da mensagem

Se ns fssemos hierarquizar essas propriedades, provavelmente a privacidade a mais importante delas.

Mas, pra mim, a questo seria passvel de anulao por colocar tanto privacidade como integridade entre as alternativas. Por eliminao, eu marcaria a alternativa d), mas continuo achando que essa questo deveria ter sido anulada.

4a Questo) (FCC - Banco Central do Brasil - Analista rea 1 - 2006)NO uma cifra de Csar resultante da criptografia sobre uma mesma mensagem:

a) F H Q W U D O.

b) K M V C W J Q.

c) E G P V T C N.

d) I K T Z X G R.

e) G I R X V E P.

Eu simplesmente adoro esta questo, pois no vejo forma mais inteligente de se cobrar o conhecimento a respeito da cifra de Csar.

Quem j teve infncia j trocou bilhetes "criptografados" na escola, usando a famosa regrinha do +1, -1, +2, etc. Por exemplo, escrevendo CASA como DBTB ou BZRZ. Esta a cifra de Csar.

Pois bem, sem conhecer a mensagem original, o que podemos fazer tomar uma alternativa como referncia e compar-la com as demais.

Escolhendo a alternativa c) como referncia, comparo-a uma a uma com as outras. EGPVTCN + 1 vira FHQWUDO (letra a), +1 vira GIRXVEP (letra e), + 2 vira IKTZXGR (letra d), e +2 vira KMVBZIT. Logo, a alternativa b) est errada.

5a Questo) (FCC - Banco Central do Brasil - Analista rea 1 - 2006)Em uma criptografia, o conceito de fora bruta significa uma tcnica para

a) eliminar todas as redundncias na cifra.



b) tornar complexa a relao entre a chave e a cifra.

c) acrescentar aleatoriedade aos dados, tornando maior o caos.

d) quebrar uma criptografia simtrica por meio de busca exaustiva da chave.

e) ocultar uma determinada informao para torn-la imperceptvel.

J vimos que a engenharia reversa da criptografia se desenvolve de duas formas:

Criptoanlise: os ataques criptoanalticos contam com a natureza do algoritmo e talvez mais algum conhecimento das caractersticas gerais do texto claro, ou ainda algumas amostras do texto claro e texto cifrado. O objetivo deduzir o texto em claro ou a chave utilizada. A criptoanlise pode ser considerada o oposto da criptologia, que a arte de criar mensagens cifradas.

Ataque por fora bruta: o atacante experimenta cada chave possvel em um trecho de texto cifrado, at obter uma traduo inteligvel para o texto claro. Na mdia, metade de todas as chaves possveis precisam ser testadas para se obter sucesso.

Alternativa d).

6a Questo) (ESAF - Auditor de Finanas e Controle - Infraestrutura de TI - 2012) Comparando a criptografia simtrica com a assimtrica, observa- se que

a) a primeira possui o problema do gerenciamento de chaves, ao passo que a segunda possui o problema da complexidade binria.

b) a primeira possui o problema da privacidade da chave universal, ao passo que a segunda possui o problema da criao e distribuio de chaves.

c) a primeira possui o problema da distribuio e gerenciamento de chaves, ao passo que a segunda possui o problema do desempenho.

d) a primeira possui o problema do desempenho em redes sem fio, ao passo que a segunda possui o problema do desempenho em ambientes corporativos.

e) a primeira possui o problema do desempenho, ao passo que a segunda possui o problema da gerao de chaves.

Revisando:




Prof Victor Dalton - Aula 01Os algoritmos de chave simtrica so uma classe de algoritmos para

a criptografia, que usam chaves criptogrficas relacionadas para as operaes de cifragem e decifragem.

Criptografia com chave simtrica.

Os algoritmos de chave assimtrica, por sua vez, trabalham com chaves distintas para a cifragem e decifragem. Normalmente utilizam o conceito de chave pblica e chave privada, no qual a chave pblica do destinatrio utilizada para a criptografia da informao, e apenas a chave privada conseguerealizar a decifragem. Requer o emprego de algoritmos complexos, como a utilizao de nmeros primos extensos.

Thiago Fabio

Criptografia assimtrica

CHAVE SIMTRICA CHAVE ASSIMTRICAChaves nica Pblica (divulgada livremente)

Privada(secreta)Funcionamento Mesma chave cifra e

decifraChave pblica cifra a mensagem e

chave privada decifraProcessamento Veloz LentoGerenciamento das chaves

Complicado, uma chave para cada

usurio

Simples, basta divulgar a chave pblica



Ataques de So perigosos fora bruta

So ineficazes (nmeros primosmuito grandes)

Lembrou?Portanto, nossa resposta correta a letra c).

7a Questo) (FCC - MPE/MA - Analista Ministerial - Segurana da Informao - 2013) Considere:

I. Utiliza uma mesma chave tanto para codificar como para decodificar informaes, sendo usada principalmente para garantir a confidencialidade dos dados.

II. Utiliza duas chaves distintas: uma pblica, que pode ser livremente divulgada, e uma privada. Quando uma informao codificada com uma das chaves, somente a outra chave do par pode decodific-la.

Os itens acima descrevem, respectivamente,a) assinatura digital e funo de resumo.b) mtodo de espalhamento e PKI.c) funo de resumo e assinatura digital.d) criptografia de chave simtrica e de chave assimtrica.e) criptografia de chave pblica e mtodo de espalhamento

Associao mental imediata: criptografia de chave simtrica eassimtrica.

Alternativa d).

8a Questo) (FCC - TRT 11a Regio - Analista Judicirio - Tecnologia da Informao - 2012) Corresponde a uma funo de hash criptogrfico, a um algoritmo de criptografia simtrica e a um algoritmo de chave pblica, respectivamente,

a) SHA-1, DES e RSA.

b) MD5, Diffie-Hellman e RSA.

c) 3DES, MD5 e RC5.

d) AES, SHA-1 e RC6.

e) Diffie-Hellman, MD5 e DES.

Revisando:




Prof Victor Dalton - Aula 01DES (Data Encryption Standard) - simtrico.

3-DES (Triple DES) - simtrico, at 3 chaves.

AES (Advanced Encryption Standard) - simtrico, mais avanado da categoria, usa um tamanho de bloco de 128 bits e admite chaves de 128, 192 e 256 bits.

RSA - assimtrico de chave pblica, nmeros primos muito grandes.

MD-5 (Message Digest Algorithm 5) - algoritmo de hash, verifica integridade de dados.

SHA-1 (Secure Hash Algorithm 1) - algoritmo de hash, sucede o MD5.

Questes sobre algoritmos costumam ser bastante objetivas. As bancas no costumam se aprofundar a nvel matemtico neles, uma vez que tornaria a questo demasiadamente longa e complexa.

Resposta certa, alternativa a).

9a Questo) (FCC - TRT 6a Regio - Analista Judicirio - Tecnologia da Informao - 2012) A respeito de algoritmos criptogrficos, correto afirmar que

a) AES um exemplo de criptografia de chave assimtrica.

b) SHA1 um exemplo de algoritmo de criptografia com aplicaes que no so criptogrficas como, por exemplo, a verificao de integridade de dados.

c) RSA um exemplo de criptografia de chave simtrica.

d) DES considerado mais seguro que AES, porque este ltimo suscetvel a "ataques de fora bruta.

e) AES considerado mais seguro que DES, porque este ltimo utiliza chaves assimtricas.

No se pode deixar ser confundido pelas alternativas. Cada alternativa apresenta uma informao incorreta, com exceo da letra b).

10a Questo) (FCC - TJ/PE - Analista Judicirio - Analista de Suporte - 2012) O padro de criptografia que uma cifra simtrica de bloco que usa um tamanho de bloco de 128 bits e um tamanho de chave de 128, 192 ou 256 bits conhecido como:



Prof Victor Dalton - Aula 01a) PKCS#7.

b) SHA 1.

c) RS A.

d) DES.

e) AES.

Quando o conhecimento est fresco na cabea, a questo chega a parecer boba. O desafio levar esse conhecimento fresco para o dia da prova.

Alternativa e).

11a Questo)(Cesgranrio - BNDES - Analista de Suporte de Sistemas -2010) Um usurio mal-intencionado obteve, alm do tipo de algoritmo utilizado na criptografia, a chave pblica de Joo, quando este iniciou uma comunicao criptografada (algoritmo assimtrico) com Marcela. De posse dessa chave pblica e do algoritmo, o usurio mal-intencionado

a) pode ler o contedo das mensagens enviadas de Joo a Marcela, mas no o inverso.

b) pode ler o contedo das mensagens enviadas de Marcela a Joo, mas no o inverso.

c) no tem acesso ao contedo das mensagens de posse desses itens.d) consegue obter a chave privada a partir de ataques de dicionrio.e) consegue obter a chave privada utilizando ataques de SQL Injection.

De imediato, percebe-se que a questo exige, mais do que saber se o candidato decorou os conceitos, possvel avaliar com preciso se ele sabe o funcionamento das chaves. Vamos l:

Quando um usurio mal-intencionado obtm a chave pblica de algum, ele NADA pode fazer. No mximo, poder verificar a assinatura digital. Ah, mas ele tambm o tipo de algoritmo utilizado na criptografia. E da? Suponha que o tipo seja a utilizao de nmeros primos muito grandes. Se ele no souber o nmero primo da chave privada, continuar sem acesso a informao alguma. Para conseguir ler a mensagem endereada a algum necessrio ter a chave privada desse algum. E as alternativas d) e e) no fazem sentido algum.

Resposta certa: letra c).

12a Questo) (FCC - MPE/MA - Analista Ministerial - Segurana da Informao - 2013) Uma assinatura digital um recurso de segurana cujo objetivo



a) identificar um usurio apenas por meio de uma senha.b) identificar um usurio por meio de uma senha, associada a um token.c) garantir a autenticidade de um documento.d) criptografar um documento assinado eletronicamente.e) ser a verso eletrnica de uma cdula de identidade.

No tem erro: assinatura serve para a verificao do remetente, simples assim.

Alternativa c).

13a Questo (ESAF - Auditor de Finanas e Controle - Infraestrutura de TI - 2012) Com relao ao processo de verificao de assinatura digital, tem-se que o algoritmo de assinatura digital aplicado sobre a assinatura digital recebida, usando a chave pblica do remetente, o que resulta no resumo criptogrfico da mensagem; em seguida, o algoritmo de hash aplicado na mensagem recebida. A assinatura digital vlida se

a) os dois resumos obtidos forem simtricos.b) os dois certificados digitais forem iguais.c) o resumo obtido na recepo for o hash do resumo original.d) os dois resumos obtidos forem iguais.e) as chaves pblicas forem diferentes.

Analisar assinatura digital a continuao natural da criptografia de chave pblica. Lembrando que so trs as formas de assinaturas digitais:

Assinatura digital baseada em Chave SecretaQuando uma entidade quer enviar uma mensagem assinada digitalmente

outra, ter que

Documents

Aula 01 Tecnologia Da Informação (1)