123
P rof. Edu Benjamin Prof. Edu Benjamin Proteção e Segurança de Sistemas Proteção e segurança de sistemas

Aula de Tecnologia da informação - P6.pptx

Embed Size (px)

Citation preview

Page 1: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Proteção e segurança de sistemas

Page 2: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os três princípios da segurança

1. Confidencialidade diz que a informação só estará disponível para aqueles

devidamente autorizados.

Segurança em sistemas de computadores é baseada em:

2. Integridade diz que a informação não será destruída ou corrompida e o sistema terá um desempenho correto.

3. Disponibilidade diz que os serviços/recursos do sistema estarão disponíveis sempre que forem necessários.

Page 3: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

• Disponibilidade: o seu provedor (Receita) sofre uma grande sobrecarga de dados e fica indisponível para receber a declaração de Imposto de Renda.

A quebra de um dos princípios da segurança

• Confidencialidade: obtenção de acesso não autorizado ao seu computador e leitura de todas as informações contidas na sua declaração de Imposto de Renda.

• Integridade: obtenção de acesso não autorizado ao seu computador e alteração na sua declaração de Imposto de Renda.

Page 4: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O hacker (ele é o do mal?)

O termo "hacker de computador" apareceu pela primeira vez em meados da década de 1960. O hacker era um programador, uma pessoa que criava códigos de computação. Os hackers eram visionários que conseguiam enxergar novas maneiras de usar os computadores, criando programas que ninguém poderia imaginar.

Quando havia bug, uma seção de códigos errados que impediam o bom funcionamento do programa, os hackers criavam e distribuíam pequenas seções de códigos chamados "patches" para solucionar o problema.

Page 5: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os tipos de hackerScript Kiddies São jovens que utilizam programas encontrados na Internet, geralmente de maneira inábil, para vandalizar os sistemas de informação a fim de se divertirem.

Costumam também tirar sites do ar através de ataques de Negação de Serviços (DoS).

Page 6: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os tipos de hacker

White Hats Como chapéu branco, é designado o Hacker que

segue o lado da segurança, ele invade, mas dentro da lei e da ética hacker.

Normalmente quando um white hat acha uma vulnerabilidade em um sistema ou programa, ele avisa o administrador para que tal falha seja corrigida.

Page 7: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os tipos de hacker

Black Hats O chapéu preto é aquele que não

segue de nenhuma forma a ética hacker ou a lei, ele age da forma que quer para fazer o que quiser com sistemas vulneráveis, esses são os verdadeiros criminososcibernéticos, usam o seu conhecimento para roubar pessoas, para invadir computadores e para destruir sistemas.

Page 8: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os tipos de hackerCrackers é alguém que quebra travas de segurança de programas e algoritmos de encriptação, seja para poder rodar jogos sem o DVD-ROM, ou gerar umachave de registro falsa para determinado programa. Quebra as travas anti-cópia usadas em alguns softwares, quebra o sistema de encriptação de DVDs.

Page 9: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O computador Zumbi

O Brasil é segundo país com maior número de computadores "zumbis", aponta Microsoft.

O país possui 550 mil computadores usados pelas botnets ou “redes zumbis”. A primeira colocação fica com os Estados Unidos, com 2,2 milhões de máquinas infectadas.

Page 10: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O computador Zumbi

O usuário geralmente permanece desavisado de que sua máquina foi "sequestrada" - afinal, ainda é possível usá-la, embora ela fique bem mais lenta.

Um hacker (mal) secretamente se infiltra num insuspeito computador da vítima e usa-o para conduzir atividades ilegais.

À medida que seu computador começa ou a enviar quantidades massivas de spam ou a atacar sites, ele se torna ponto principal de qualquer investigação envolvendo as atividades suspeitas do seu computador.

Page 11: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Computador Zumbi

Page 12: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Uma rede de computadores Zumbis – Botnet

O usuário pode descobrir que seu provedor de Internet cancelou sua conta, ou até que ele está sob investigação por atividades criminosas

Uma investigação descobriu que um único computador de um hacker controlava uma rede de mais de 1,5 milhão de computadores (fonte: TechWeb).

Page 13: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Tipos de ameaças digitais• DOS / DDOS BUFFER OVERFLOW• SYN FLOOD SPOOFING• PING DA MORTE PHREAKING• ENGENHARIA SOCIAL EXPLOITS

Ataques Ativos

• SNIFFING PROBING• PASSWORD CRACKERS PORT SCAN• ATAQUES DE DICIONÁRIO RAINBOW TABLES• PHARMING (DNS POISOING) HBO• CLICKJACKING CLONAGEM DE URL

Ataques Passivos

• VÍRUS KEYLOGGER• WORMS SCREENLOGGER• TROJANS BOT• ROOTKITS RANSOWARE• BACKDOORS ADWARE• SPYWARE URL INJECTION

Softwares Maliciosos (Malware)

Page 14: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Botnet para Negação de ServiçoNos ataques de negação de serviço (DoS – Denial of Service) o atacante utiliza uma botnet para tirar de operação um serviço ou computador conectado à Internet.

Page 15: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

DDoS (Distributed Denial of Service)

Um hacker (black hats) usa uma rede de computadores-zumbis para sabotar um site ou um servidor específico.

A idéia é muito simples: um hacker diz a todos os computadores da sua botnet para contactar um servidor ou site específicos repetidamente.

O aumento repentino no tráfego pode tornar o site lento para visitantes legítimos ou derruba o site completamente. Nós chamamos isso de ataque distribuído de negação de serviço (DDoS).

Page 16: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

DDoS (Distributed Denial of Service)

A lista das vítimas de ataques DDoS incluem nomes conhecidos. A Microsoft, por exemplo, sofreu um ataque DDoS chamado MyDoom. Hackers também atacaram outros grandes sites, como Amazon, CNN, Yahoo! e eBay. No Brasil, a Globo.com sofreu um ataque de negação de serviço durante a final de uma das edições do Big Brother Brasil.

Page 17: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Syn Flood (Negação de Serviço)

É enviado a o servidor (vítima) uma grande quantidade de segmentos SYN com o IPs origem falsos, onde por natureza ele aloca serviços para atender a solicitação de conexão e manda os SYN-ACK para os endereços IPs falsos e espera um ACK para estabelecer a conexão na verdade nunca irá receber e dessa forma acaba “entupindo” o servidor de forma a chegar um ponto que o mesmo não mais atenderá a novas requisições de segmentos SYN, mesmo sendo oriundos de IPs verdadeiros.

Page 18: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Syn Flood (Negação de Serviço)

Conexão Normal Ataque SYN flood1. O cliente requisita uma conexão enviando um SYN (synchronize) ao servidor.

2. O servidor confirma esta requisição mandando um SYN-ACK(acknowledge) de volta ao cliente.

3. O cliente por sua vez responde com um ACK, e a conexão está estabelecida.

SYN flood ou ataque SYN é uma forma de ataque de negação de serviço (também conhecido como Denial of Service - DoS) em sistemas computadorizados, na qual o atacante envia uma sequência de requisições SYN para um sistema-alvo visando uma sobrecarga direta no sistema.

Page 19: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Syn Flood (Negação de Serviço)

Conexão Normal Ataque SYN flood

Page 20: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Ping da morte (Negação de Serviço)Envio de pacotes TCP/IP de tamanho inválidos para servidores, acarretando o seu travamento ou ao impedimento de trabalho.

O atacante manda um pacote ping tendo como IP origem o IP vitima e como endereço de destino o endereço de broadcast da rede. Todos da rede mandam resposta para a vitima.

Page 21: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Consiste em mandar sucessivos Pings para um endereço de broadcast fingindo-se passar por outra máquina, utilizando a técnica de Spoofing.

Quando estas solicitações começarem a ser respondidas, o sistema alvo será inundado (flood) pelas respostas do servidor.

Geralmente se escolhe para estes tipos de ataques, servidores em backbones de altíssima velocidade e banda, para que o efeito seja eficaz.

Smurf (Negação de Serviço)

Page 22: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Aproveitando-se da nossa boa fé

Engenharia Social

O termo é utilizado para descrever um método de ataque, onde alguém faz uso da persuasão, muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações.

Hacker do mal = explorando relações de confiança

Page 23: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Forçando o estouro de memória da sua máquina

Buffer Overflow

É a técnica de tentar armazenar mais dados do que a memória suporta, causando erros e possibilitado a entrada do invasor. Geralmente em um ataque de buffer overflow o atacante consegue o domínio do programa atacado e privilégio de administrador na máquina hospedeira.

Page 24: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Mascarando o número do IP da máquina

Spoofing: É uma técnica que consiste em mascarar (spoof) pacotes IP com endereços remetentes falsificados. O atacante para não ser identificado falsifica o seu número de IP ao atacar para que nenhuma técnica de rastreá-lo tenha sucesso. Geralmente os números utilizados são de redes locais, como 192.168.x.x, 10.x.x.x ou 172.16.x.x.

sniffi

ng

spoofado

Page 25: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Phreaking

É o uso indevido de linhas telefônicas, fixas ou celulares. Os phreakers empregavam gravadores de fita e outros dispositivos para produzir sinais de controle e enganar o sistema de telefonia.

Page 26: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Exploits

São pequenos programas escritos geralmente em linguagem C que exploram vulnerabilidades conhecidas. Geralmente são escritos pelos “verdadeiros hackers” e são utilizados por pessoas sem conhecimento da vulnerabilidade.

Page 27: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Farejando seus dados

Sniffing:Técnica de capturar as informações de uma determinada máquina ou o tráfego de uma rede sem autorização para coletar dados, senhas, nomes e comportamento dos usuários. Os programas geralmente capturam tudo que passa e depois utilizam filtros para que possa facilitar a vida do “sniffador”.

Existem sniffers específicos de protocolos como o imsniffer que captura apenas as conversas via MSN Messenger em uma rede.

Page 28: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Quebrando sua senha

Password Crackers:São programas utilizados para descobrir as senhas dos usuários. Geralmente são muito lentos, pois usam enormes dicionários com o máximo de combinações possíveis de senhas e ficam testando uma a uma até achar a senha armazenada no sistema.

Este tipo de descoberta de senha é chamado de Ataque de força bruta.

Page 29: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Ataques de dicionário é um método de cracking que consiste em tentar descobrir uma senha testando todas as palavras do dicionário. Este tipo de ataque costuma ser mais eficiente que um ataque de força bruta, já que muitos usuários costumam utilizar uma palavra existente em sua língua como senha para que seja mais fácil de guardar a senha.

Os ataques de dicionário têm poucas probabilidades de sucesso com sistemas que empregam senhas fortes com letras em maiúsculas e minúsculas misturadas com números e com qualquer outro tipo de símbolos.

Quebrando sua senha

Page 30: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redirecionando o seu site

DNS Poisoning: Um atacante compromete um servidor DNS para, quando este receber a solicitação de resolução de uma URL de interesse (por exemplo, www.bb.com.br), devolver o endereço IP de um site clonado ou malicioso, desviando o usuário sem que este perceba. Este tipo de ataque também é conhecido como “Envenenamento de DNS” ou “Pharming”.

Page 31: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Envenenamento de DNS (Pharming)1. O servidor DNS sofre um ataque.

O ataque é especifico ao Cache DNS.

2. O endereço IP do site banco (IP verdadeiro) é alterado a partir de um site normal à procura banco para uma réplica falsa.

3. O browser acessa o DNS com o objetivo de conseguir o No de IP do site em questão.

4. O servidor DNS retorrna o endereço IP do site especificado.

5. Até este ponto o servidor DNS já está envenenado de tal forma que ela retorna o endereço IP do site falso para o computador do usuário.

Page 32: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

ClickjackingUma página maliciosa pode fazer o navegador carregar páginas legítimas de modo invisível. Botões nessa página maliciosa na verdade escondem botões na página verdadeira.

Se o usuário clicar no botão, na verdade o botão na página carregada “por baixo” é que será clicado.

Page 33: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Sondando os dados que trafegam na rede

Probing:

Não é uma técnica de invasão propriamente dita, mas sim uma forma de obter informações sobre a rede. A informação obtida pode ser usada como base para uma possível invasão.

?

?

?

?

?

?

Page 34: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Procurando portas abertas

Port Scan: Técnica de descobrir quais portas TCP e até UDP estão sendo ouvidas pelo servidor. Na prática é descobrir quais serviços estão rodando em um host. Exemplo: http, https, smtp, pop3, imap, proxy, etc...

Port Scanning:

Muitas vezes é utilizado para selecionar máquinas que serão alvos de ataque

Page 35: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Outra técnica para quebrar senhasRainbow Table:

Lista de passwords/hashs , existentes numa série de Rainbow Tables disponíveis, e seu tamanho varia conforme o número de caracteres a serem utilizados nos cálculos de hash. Existem várias Rainbow Tables disponíveis na internet.

Um ataque de força bruta sobre uma chave de 40 bits pode exigir o processamento de 1 trilhão de possibilidades.

Um processador atual que processa 500 mil combinações por segundo levaria 25 dias para completá-lo. Com Rainbow Tables é possível decriptografar um documento Word em segundos, ou minutos ao invés de dias.

Page 36: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Outros tipos de ataque

BHOs: Browser Helper Objects são DLLs que funcionam como plugins do Internet Explorer, podendo ver (e alterar) todos os dados que trafegam entre o computador e um servidor web. Nem todos são, necessariamente, maliciosos, mas são muito usados para construir em cavalos-de-tróia e spyware.

Clonagem de URLs: URLs podem ser clonadas por semelhança (wwwbancobrasil.com.br, www.bbrasil.com.br, www.bbrazil.com.br, ou por falhas de segurança de browsers (por exemplo, falhas de interpretação de nomes de site em unicode).

Page 37: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos (Malware)Código malicioso ou Malware (Malicious Software) é um termo genérico que abrange todos os tipos de programa especificamente desenvolvidos para executar ações maliciosas em um computador.

Na literatura de segurança o termo malware também é conhecido por “software malicioso”.

Page 38: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Spam

E-mails indesejáveis que podem incorporam programas

perigosos, ou oferecer produtos para venda entre outras coisas.

Page 39: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Tipos de Spams

• Pornografia• Códigos maliciosos• Fraudes• Spit e spim

• Correntes (chain letters)• Boatos (hoaxes) e lendas urbanas• Propagandas• Ameaças, brincadeiras e difamação• Spam via redes de relacionamentos

Page 40: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Spams do tipo Spit e SpimO spit refere-se ao "spam via Internet Telephony". Assim, as mensagens não solicitadas também se propagam por outros meios, atingindo os usuários dos telefones IP (VoIP).

O spim é o termo empregado para os "spams via Instant Messenge", ou seja, o envio de mensagens eletrônicas não solicitadas por meio dos aplicativos de troca de mensagens instantâneas como, por exemplo, o Microsoft Messenger e o ICQ.

Page 41: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O termo HOAX significa TROTE.

São emails alarmantes que propagam informações falsas.

O limão da cerveja que mata.O fungo do feijão.Os americanos que cobram pedágio na Amazônia.Repassem para o maior número de pessoas!!

Spams do tipo Hoax

Page 42: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos Vírus

Programas que desabilitam o computador da vítima, ou corrompendo arquivos necessários, ou sugando os recursos dos computadores.

Page 43: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos Worms

Programas que espalham-se rapidamente de uma máquina para outra, infectando centenas de computadores em um curto espaço de tempo.

Page 44: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos Cavalo-de-Tróia

Um programa que embute outro programa com o objetivo de danificar o computador ouabrir uma porta de entrada no sistema.

Page 45: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos Rootkits

Usa funções para ocultar indícios, excluindo registros de Log e disfarçando os procedimentos usados no ataque. Rootkits podem incluir Backdoors,

que permitem ao atacante voltar quando julgar conveniente, ou Exploits, servindo como apoio para atacar outros sistemas. Rootkits competentes são difíceis de identificar porque eles atuam no nível de Kernel para ocultar a sua presença .

Page 46: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos Backdoors

Portas de entrada para o sistema operacional que driblam os procedimentos normais, permitindo a um hacker acessar informações em um computador sem o conhecimento do usuário.

Page 47: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Screenloggers: Armazena a posição do cursor e a tela apresentada no monitor, nos

momentos em que o mouse é clicado, ou a região que circunda a posição onde o mouse é clicado.

Tipos de softwares maliciosos Spyware: É o termo utilizado para se referir

a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros.

Keyloggers: Programas que lêem as teclas digitadas pelo usuário no teclado do

computador.

Page 48: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

De modo similar ao worm o bot é um programa capaz se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados

Softwares maliciosos Bots

em um computador. Adicionalmente ao worm, dispõe de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.

Page 49: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido.

Softwares maliciosos Ransomware

Os responsáveis pelo software exigem da vítima, um pagamento pelo “resgate” dos dados. Ransonwares são ferramentas para crimes de extorsão e são extremamente ilegais. Nomes de alguns Ransomwares conhecidos: Gpcode-B e PGPCoder.

Page 50: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

(Advertising software) É um tipo de software projetado para apresentar propagandas, seja através de um browser, seja através de algum outro programa instalado em um computador.

Softwares maliciosos Adware

Page 51: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Modifica o comportamento do browser em relação a alguns/todos domínios.

Substituem a URL enviada pelo servidor por uma outra com o intuito de realizar lucro com ofertas relacionadas a produtos do site original.

Normalmente esta troca de sites é realizada de modo transparente ao usuário. O site alterado realiza operações comerciais em lugar do site originalmente acionado. O Mozilla FireFox BetterSearch é um exemplo.

Softwares maliciosos URL Injection

Page 52: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Quando uma senha é boa?

Uma boa senha deve ter pelo menos oito caracteres (letras, números e símbolos), deve ser simples de digitar e, o mais importante, deve ser fácil de lembrar.

Quanto mais “bagunçada” for a senha melhor, pois mais difícil será descobri-la. Por exemplo, usando a frase “Eu vou entrar em um Órgão Público este ano” podemos gerar a senha “EveeuOPea!” .

Page 53: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Antispam

Page 54: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Captcha

Captcha, acrônimo de Completely Automated Public Turing Test to tell Computers and Humans Apart (Teste de Turing público completamente automatizado para distinguir computadores de seres humanos). Eles também são conhecidos como um tipo de prova interativa humana (Human Interaction Proof - HIP).

Page 55: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Firewall

Um firewall é um software ou hardware que verifica informações oriundas da Internet ou de uma rede e bloqueia-as ou permite que elas passem pelo seu computador, dependendo de suas configurações.

Page 56: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Esquema de uma rede com Firewall

Page 57: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Virtual Private Network ou Rede Privada Virtual, é uma rede privada construída sobre a infra-estrutura de uma rede pública, normalmente a Internet. Ou seja, ao invés de se utilizar links dedicados ou redes de pacotes (como Frame Relay e X.25) para conectar redes remotas, utiliza-se a infra-estrutura da Internet.

Motivada pelo lado financeiro, onde os links dedicados são caros, e do outro lado está a Internet, que por ser uma rede de alcance mundial, tem pontos de presença espalhados pelo mundo.

Os dispositivos responsáveis pelo gerenciamento da VPN devem ser capazes de garantir a privacidade, integridade, autenticidade dos dados.

Redes Privadas Virtuais (VPN)

Page 58: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redes Privadas Virtuais (VPN)

Host em Trânsito: a primeira forma é, um simples host em trânsito, conecta em um provedor Internet e através dessa conexão, estabelece um túnel com a rede remota

Page 59: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redes Privadas Virtuais (VPN)Conexão VPN entre duas redes interligadas Os protocolos

utilizados no túnel virtual, são, (IPSec) Internet Protocol Security, (L2TP) Layer 2 Tunneling Protocol, (L2F) Layer 2 Forwarding e o (PPTP) Point-to-Point Tunneling Protocol.

O protocolo escolhido, será o responsável pela conexão e a criptografia entre os hosts da rede privada. Eles podem ser normalmente habilitados através de um servidor Firewall ou RAS que esteja trabalhando com um deles agregado.

Page 60: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Protocolos IPSecConjunto de padrões utilizados para garantir uma comunicação segura entre dois computadores, mesmo que as informações estejam sendo enviadas através de um meio não seguro, como por exemplo a Internet.

• Uma proteção agressiva contra ataques à rede privada e à Internet mantendo a facilidade de uso.

• Um conjunto de serviços de proteção baseados em criptografia e protocolos de segurança.

• Segurança do começo ao fim.

• A capacidade de proteger a comunicação entre grupos de trabalho.

Page 61: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redes Privadas Virtuais (VPN)Host em Trânsito

Host em Trânsito

Host em Trânsito

Entre duas redes

Page 62: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redes Privadas Virtuais (VPN)

Comunicação EncriptadaComunicação Não Encriptada

Page 63: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

HoneyPot (Armadilha para hacker)Honeypots de pesquisa: são utilizados como meio de captura de capturar informações que serão utilizadas para identificar rapidamente novos malwares, novas ferramentas e novas táticas utilizadas pelos atacantes. Honeypots de produção: utilizados diretamente para a segurança de organizações. Este tipo de honeypot pode funcionar de três formas distintas: prevenção, detecção e resposta.

Page 64: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Redes DMZRede de Perímetro ou DMZ é uma pequena rede situada entre uma rede confiável e uma não confiável, geralmente entre a rede local e a Internet.

A função de uma DMZ é manter todos os serviços que possuem acesso externo (tais como servidores HTTP, FTP, de correio eletrônico, etc) separados da rede local.

Page 65: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificação Digital

Page 66: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Conceito

Certificação digital é um conjunto de processos e técnicas que dão maior segurança às comunicações e às transações eletrônicas.

Ela evita que os dados transmitidos sejam interceptados ou adulterados no trajeto entre a máquina do remetente e a do destinatário e identifica o autor da mensagem.

Page 67: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os principais elementos

Os dois principais elementos da certificação digital são o certificado e a assinatura digital, que têm como base a criptografia, técnica usada para codificar dados que trafegam pela Internet.

Juntos, esses dois elementos comprovam a identidade de uma pessoa ou site e evitam fraudes nas transações eletrônicas.

Page 68: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Estrutura da Certificação Digital

Segurança Transações eletrônicas

Certificado Digital(R.G.)

Assinatura Digital(Firma Reconhecida)

Certificação Digital

Dois Elementos Criptografia

Simétrica

Assimétrica

Chave Única

Chave Pública e Privada

Page 69: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Entendo melhor o Certificado Digital

=

Page 70: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Entendo melhor a Assinatura Digital

Aliados à criptografia, garante a autenticidade, a integridade, o não repúdio à transação e a confidencialidade da informação.

=

Page 71: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O que é um Certificado Digital?

Um documento eletrônico que contém informações que identificam uma pessoa, uma máquina ou uma instituição na Internet. Para fazer isso, ele usa um software como intermediário - pode ser o navegador, o cliente de e-mail ou outro programa qualquer que reconheça essa informação. O certificado digital é emitido a pessoas físicas (cidadão comum) e jurídicas (empresas ou municípios), equipamentos e aplicações.

Page 72: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificado Digital de um banco

Page 73: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificado Digital de um email

Page 74: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Quem fornece (emite)?A emissão é feita por uma entidade considerada confiável, chamada Autoridade Certificadora. É ela quem vai associar ao usuário um par de chaves criptográficas (pública e privada).

São essas chaves, emitidas e geradas pelo próprio usuário no momento da aquisição do certificado, que transformam um documento eletrônico em códigos indecifráveis que trafegam de um ponto a outro sigilosamente.

Enquanto a chave pública codifica o documento, a chave privada associada à ela decodifica. E vice-versa.

Page 75: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Autoridade Certificadora Raiz – ICP Brasil

Autoridade Certificadora Raiz da ICP-Brasil é a primeira autoridade da cadeia de certificação. É executora das Políticas de Certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil.

Compete à AC-Raiz emitir, expedir, distribuir, revogar e gerenciar os certificados das autoridades certificadoras, emitir a lista de certificados revogados, fiscalizar e auditar as autoridades certificadoras de nível imediatamente subsequente ao seu.

Page 76: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O fluxo da Certificação DigitalAutoridade Certificadora Raiz da ICP-Brasil é a primeira autoridade da cadeia de certificação.

Entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.

Entidade responsável pela interface entre o usuário e a Autoridade Certificadora. Objetiva o recebimento, validação, encaminhamento de solicitações de emissão ou revogação de certificados digitais às AC e identificação, de forma presencial, de seus solicitantes.

Page 77: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O fluxo da Certificação Digital

Page 78: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

AC – Autoridades Certificadoras

Page 79: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia

É a ciência de escrever mensagens em forma cifrada ou em código. • Autenticar a identidade

de usuários.

• Autenticar e proteger o sigilo de comunicações pessoais e de transações comerciais e bancárias.

• Proteger a integridade de transferências eletrônicas de fundos.

Kryptós gráphein – "escrita secreta"

Page 80: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia

Page 81: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia Simétrica

A simétrica cifra e decifra uma informação por meio de algoritmos que usam a mesma chave pública.

Page 82: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia Assimétrica (Chave Pública)Trabalha com duas chaves distintas: a pública e a privada, que são relacionadas matematicamente. Uma depende totalmente da outra e sua segurança depende do número de bits (tamanho) das chaves. Uma mensagem codificada com uma chave pública só pode ser decodificada com a chave privada a ela relacionada, e vice-versa.

Page 83: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia Assimétrica (Chave Pública)

Page 84: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Chaves Simétricas e Assimétricas

mensagem h3kja1lamensagemh3kja1la

A B

mensagem

chave públicade B

chave privadade B

mensagem h3kja1la h3kja1la

mensagemmensagem h3kja1la h3kja1la

A

A

B

B

B B

BB

Page 85: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Métodos Criptograficos Simétricos

AES Blowfish

3DES IDEA

RC4

Page 86: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Chave de codificação (Simétrica)DES (Data Encryption Standard): criado pela IBM em 1977, fazia uso de chaves de 56 bits. Isso corresponde a 72 quadrilhões de combinações. É um valor absurdamente alto, mas não para um computador potente. Em 1997, ele foi quebrado por técnicas de "força bruta" (tentativa e erro) em um desafio promovido na internet.

RC (Ron's Code ou Rivest Cipher): criado por Ron Rivest na empresa RSA Data Security, esse algoritmo é muito utilizado em e-mails e faz uso de chaves que vão de 8 a 1024 bits. Possui várias versões: RC2, RC4, RC5 e RC6. Essencialmente, cada versão difere da outra por trabalhar com chaves maiores.

Page 87: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Métodos Criptograficos Assimétricos

RSA DSA

Diffie-Hellman.

ECC

Page 88: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Sistemas Criptográficos

No ano de1976, matemáticos propuseram também o primeiro protocolo de chaves públicas para o estabelecimento de uma chave assimétrica entre duas entidades.

A primeira concretização do modelo foi proposta em 1978, por Ron Rivest, Adi Shamir e Len Adleman (RSA). O sistema é muito simples e elegante, podendo ser usado para encriptação e assinatura digital e é, de longe, o mais disseminado.

Page 89: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Chave de codificação (Assimétrica)RSA (Rivest, Shamir and Adleman): criado em 1977, é um dos algoritmos de chave assimétrica mais usados.

Nesse algoritmo, números primos (número primo é aquele que só pode ser dividido por 1 e por ele mesmo) são utilizados da seguinte forma: dois números primos são multiplicados para se obter um terceiro valor.

Porém, descobrir os dois primeiros números a partir do terceiro (ou seja, fazer uma fatoração) é muito trabalhoso. Se dois números primos grandes (realmente grandes) forem usados na multiplicação, será necessário usar muito processamento para descobrí-los, tornando essa tarefa quase sempre inviável.

Page 90: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

O MD5 (Message-Digest algorithm 5) É um algoritmo de hash de 128 bits desenvolvido pela RSA Data Security, de domínio público para uso em geral. Por ser um algoritmo unidirecional, um hash MD5 não pode ser transformado novamente na password (ou texto) que lhe deu origem. O método de verificação é, então, feito pela comparação das duas hash (uma da base de dados, e a outra da tentativa de login).

Este algorítimo recebe como parâmetro um texto ou arquivo e produz uma assinatura de 128 bits. Ele é muito utilizado na assinatura de pacote de dados . Assim você gera uma assinatura MD5 antes da transmissão e quando o pacote chegar é gerada outra assinatura que deve ser igual a enviada junto com o pacote.

Page 91: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

A família SHAA família SHA (Secure Hash Algorithm), contém a especificação de quatro algoritmos para resumo criptográfico, denominados SHA-1, SHA-256, SHA-384 e SHA-512. O padrão original FIPS 180-1, de 1993, especificava apenas o algoritmo conhecido como SHA-1, que tem um resumo de 160 bits. Os números "256", "384" e "512" denotam o comprimento em bits dos resumos.

A função mais usada nesta família, a SHA-1, é usada numa grande variedade de aplicações e protocolos de segurança, incluindo TLS, SSL, PGP, SSH, S/MIME , IPSEC.

Page 92: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Criptografia na prática

Page 93: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Assinatura DigitalCriada a partir de chaves públicas.

Trata-se de um meio que permite provar que um determinado documento eletrônico é de procedência verdadeira (autenticidade) . O receptor da informação usará a chave pública fornecida pelo emissor para se certificar da origem.

Além disso, a chave fica integrada ao documento de forma que qualquer alteração por terceiros imediatamente fere o princípio da integridade, invalidando o documento.

Page 94: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Assinatura Digital

Para criar uma assinatura digital é necessário primeiro que o emissor da mensagem gere uma versão da mensagem (versão reduzida, 160 bits por exemplo), conhecida por código Hash ou código da mensagem. Este código, gerado por algoritmos públicos (SHA-1, MD5, etc), é único para o texto original. Basta alterar ligeiramente o texto original para que o código então gerado seja completamente diferente. O emissor cria a assinatura digital ao assinar (cifrar), posteriormente, o código Hash da mensagem com a sua chave privada.

Page 95: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Assinatura Digital

Chave privada do emissor

O emissor gera uma versão da mensagem conhecida por código Hash ou código da mensagem. O emissor cria a assinatura digital ao assinar (cifrar), posteriormente, o código Hash da mensagem com a sua chave privada.

Page 96: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Assinatura Digital

Page 97: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Os oito tipos de Certificados

Série A (A1, A2, A3 e 4) reúne os certificados de assinatura digital, utilizados na confirmação de identidade na Web, em e-mail, em redes privadas virtuais (VPN) e em documentos eletrônicos com verificação da integridade de suas informações.

Série S (S1, S2, S3 e S4) reúne os certificados de sigilo, que são utilizados na codificação de documentos, de bases de dados, de mensagens e de outras informações eletrônicas sigilosas. Os oito tipos são diferenciados pelo uso, pelo nível de segurança e pela validade.

Page 98: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Armazenamento das Chaves

Nos certificados do tipo A1 e S1, as chaves privadas ficam armazenadas no próprio computador do usuário.

Nos tipos A2, A3, A4, S2, S3 e S4, as chaves privadas e as informações referentes ao seu certificado ficam armazenadas em um hardware criptográfico - cartão inteligente (smart card) ou cartão de memória (token USB ou pen drive). Para acessar essas informações você usará uma senha pessoal determinada no momento da compra.

Page 99: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Tipos de Certificados e suas Validades

Tipo de certificado

Chave criptográficaValidade

máxima (anos)Tamanho (bits) Processo de geração

Mídia armazenadora

A1 e S1 1024 Software Arquivo 1

A2 e S2 1024 Sofware

Smart card ou token, sem

capacidade de geração de chave

2

A3 e S3 1024 Hardware

Smart card ou token, com

capacidade de geração de chave

3

A4 e S4 2048 Hardware

Smart card ou token, com

capacidade de geração de chave

3

Page 100: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificados mais comuns

A1 - De menor nível de segurança, é gerado e armazenado no computador do usuário. Os dados são protegidos por uma senha de acesso. Somente com essa senha é possível acessar, mover e copiar a chave privada a ele associada.

A3 - De nível de segurança médio a alto, é gerado e armazenado em um hardware criptográfico, que pode ser um cartão inteligente ou um token. Apenas o detentor da senha de acesso pode utilizar a chave privada, e as informações não podem ser copiadas ou reproduzidas.

Page 101: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificados da Receita Federale-CPF e e-CNPJ são os certificados digitais que pessoas físicas e jurídicas utilizam para acessar todos os serviços online que envolvem sigilo fiscal no Brasil e que estão disponíveis no e-CAC, Centro Virtual de Atendimento ao Contribuinte.

Criados em 2002 pela S.R.F. para identificar o contribuinte brasileiro em transações via Internet. Com eles é possível obter cópia de declarações e de pagamentos, realizar retificação de pagamentos, negociar parcelamento dívidas fiscais, pesquisar a situação fiscal, realizar transações relativas ao Sistema Integrado de Comércio Exterior (Siscomex) e alterar dados cadastrais.

Page 102: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Certificados da Receita Federal

Page 103: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

e-CPFO tipo A1 é um arquivo eletrônico gerado e armazenado no computador do titular e exige senha para acessar os dados privados do usuário. Ele tem a validade de 1 ano e tem custo variando de R$ 80 a R$ 120.

O tipo A3 pode ser gerado em um cartão inteligente ou uma mídia criptográfica (token) temvalidade de três anos.

O certificado digital e-CPF do tipo A3 deve ser usado em conjunto com uma leitora de cartões inteligentes compatível, que pode ser adquirida na mesma autoridade certificadora onde você comprar o seu certificado. Os custos variam de R$ 350 a R$ 500.

Page 104: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

e-CNPJO contribuinte pessoa jurídica pode usar o e-CNPJ para diversos serviços online disponibilizados pelos governos Federal, Estadual e Municipal. É possível, por exemplo:

• Emitir comprovantes de arrecadação de pagamento de tributos• Retificar possíveis erros no preenchimento de Darf (Documento de

Arrecadação de Receitas Federais) • Parcelar débitos fiscais• Realizar todas as transações relativas ao comércio exterior• Emitir nota fiscal eletrônica• A empresa pode nomear um ou mais representantes legais para o

mesmo e-CNPJ, mas esses representantes devem ter um certificado digital de pessoa física (caso dos contadores que representam legalmente seus clientes em assuntos relativos a tributos).

Page 105: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoAlgoritmo - série de etapas utilizadas para completar uma tarefa, procedimento ou fórmula na solução de um problema. Usado como chaves para criptografia de dados.Algoritmo assimétrico - algoritmo de criptografia que usa duas chaves: uma pública e outra privada. A chave pública pode ser distribuída abertamente, enquanto a chave privada é mantida secreta. Alguns algoritmos assimétricos são capazes de muitas operações, incluindo criptografia, assinaturas digitais e acordo de chave.Algoritmo simétrico - operação criptográfica que usa somente uma chave para cifrar e decifrar.Algoritmo criptográfico - processo matemático definido para cifrar e decifrar mensagens e informações.

Page 106: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoAssinatura digital - código anexado ou logicamente associado a uma mensagem eletrônica que permite de forma única e exclusiva a comprovação da autoria de um determinado conjunto de dados. A assinatura digital comprova que a pessoa criou ou concorda com um documento assinado digitalmente, como a assinatura de próprio punho comprova a autoria de um documento escrito. A verificação da origem do dado é feita com a chave pública do remetente.

Autenticação - processo de confirmação da identidade de uma pessoa física ou jurídica através das documentações apresentadas pelo solicitante e da confirmação dos dados solicitados.

Page 107: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoAutenticidade - qualidade de um documento ser o que diz ser, independente de se tratar de minuta, original ou cópia, e que é livre de adulterações ou qualquer outro tipo de corrupção.Autoridade Certificadora - entidade da hierarquia da ICP-Brasil responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais. Sua função essencial é a responsabilidade de verificar se o titular do certificado possui chave privada que corresponde à chave pública que faz parte do certificado.

Page 108: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoAutoridade Certificadora Raiz - primeira autoridade certificadora da ICP Brasil, executa políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê Gestor da ICP-Brasil. Emite, expede, distribui, revoga e gerencia os certificados das Acs de nível imediatamente subseqüente ao seu, além de gerenciar a lista de certificado emitidos, revogados e vencidos e de fiscalizar e auditar ACs e ARs habilitados.

Autoridade de Registro - entidade responsável pela interface entre o usuário e a AC. Ela recebe, valida, encaminha solicitações de emissão e revogação de certificados digitais às Acs e identifica os solicitantes de forma presencial. Subordinada à AC, pode ser ou não uma unidade remota.

Page 109: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoCadeia da certificação - série hierárquica de certificados assinados por sucessivas autoridades certificadoras.Certificado digital - documento eletrônico único e instransferível que funciona como uma carteira de identidade em transações online.Certificado de assinatura digital - certificado usado na confirmação de identidade na web, no correio eletrônico, nas transações online, em redes privadas virtuais (VPN), transações eletrônicas (EDI) e assinatura de documentos com verificação de integridade de suas informações.

Page 110: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoCertificado tipo A1 e S1 - certificados em que a geração de chaves criptográficas é feita por software e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.Certificado tipo A2 e S2 - certificados em que a geração de chaves criptográficas é feita em software, e seu armazenamento pode ser feito em hardware ou repositório protegido por senha, cifrado por software. Sua validade máxima é de um ano.Certificado do tipo A2 e S2 - certificado em que a geração das chaves criptográficas é feita em software e as mesmas são armazenadas em Cartão Inteligente ou Token, ambos sem capacidade de geração de chave e protegidos por senha. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de dois anos.

Page 111: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoCertificado do Tipo A3 e S3 - certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICPBrasil. As chaves criptográficas têm no mínimo 1024 bits. A validade máxima do certificado é de três anos.

Certificado do tipo A4 e S4 - certificado em que a geração e o armazenamento das chaves criptográficas são feitos em cartão Inteligente ou Token, ambos com capacidade de geração de chaves e protegidos por senha, ou hardware criptográfico aprovado pela ICP-Brasil. As chaves criptográficas têm no mínimo 2048 bits. A validade máxima do certificado é de três anos.

Page 112: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoChave Criptográfica - é o valor numérico ou código usado com um algoritmo criptográfico para transformar, validar, autenticar, cifrar e decifrar dados.Chave Privada - uma das chaves de um par de chaves criptográficas (a outra é uma chave pública) em um sistema de criptografia assimétrica. É mantida secreta pelo seu dono (detentor de um certificado digital) e usada para criar assinaturas digitais e para decifrar mensagens ou arquivos cifrados com a chave pública correspondente.Chave Pública - uma das chaves de um par de chaves criptográficas (a outra é uma chave privada) em um sistema de criptografia assimétrica. É divulgada pelo seu dono e usada para verificar a assinatura digital criada com a chave privada correspondente. Dependendo do algoritmo, a chave pública também é usada para cifrar mensagens ou arquivos que possam, então, ser decifrados com a chave privada correspondente.

Page 113: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoChave Simétrica - chave criptográfica gerada por um algoritmo simétrico.Chaves Assimétricas - chaves criptográficas geradas por um algoritmo assimétrico.Comitê Gestor da ICP-Brasil - autoridade gestora de políticas da ICPBrasil que tem suas competências definidas na Medida Provisória 2.2002. É responsável, dentre outras coisas, por estabelecer a política e as normas de certificação, fiscaliza a atuação da Autoridade Certificadora Raiz, cuja atividade é exercida pelo Instituto Nacional de Tecnologia da Informação.

Page 114: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoConfidencialidade - propriedade de certos dados ou informações que não podem ser disponibilizadas ou divulgadas sem autorização para pessoas, entidades ou processos. Assegurar a confidencialidade de documentos é assegurar que apenas pessoas autorizadas tenham acesso à informação.

Credenciamento - processo em que o ITI avalia e aprova os documentos legais, técnicos, as práticas e os procedimentos das entidades que desejam ingressar na ICP-Brasil. Aplica-se a Autoridades Certificadoras, Autoridades de Registro e Prestadores de Serviços de Suporte. Quando aprovados, os credenciamentos são publicados no Diário Oficial da União.

Page 115: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoCriptografia - área da criptologia que trata dos princípios, dos meios e dos métodos de transformação de documentos com o objetivo de mascarar seu conteúdo, impedir modificações, uso não autorizado e dar segurança à confidência e autenticação de dados. Ciência que estuda os princípios, meios e métodos para tornar ininteligíveis as informações, através de um processo de cifragem, e para restaurar informações cifradas para sua forma original, inteligível, através de um processo de decifragem. A criptografia também se preocupa com as técnicas de criptoanálise, que dizem respeito a formas de recuperar aquela informação sem se ter os parâmetros completos para a decifragem.

Page 116: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoCriptografia Assimétrica - tipo de criptografia que usa um par de chaves criptográficas distintas (privada e pública) e matematicamente relacionadas. A chave pública está disponível para todos que queiram cifrar informações para o dono da chave privada ou para verificação de uma assinatura digital criada com a chave privada correspondente; a chave privada é mantida em segredo pelo seu dono e pode decifrar informações ou gerar assinaturas digitais.

Page 117: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoDeclaração de Praticas de Certificação (DPC) - documento, periodicamente revisado e republicado, que descreve as práticas e os procedimentos empregados pela Autoridade Certificadora na execução de seus serviços. É a declaração a respeito dos detalhes do sistema de credenciamento, as práticas, atividades e políticas que fundamentam a emissão de certificados e outros serviços relacionados. É utilizado pelas Autoridades Certificadoras para garantir a emissão correta dos certificados e pelos solicitantes e partes confiantes para avaliar a adequação dos padrões de segurança empregados as necessidades de segurança de suas aplicações.

Page 118: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoHash - resultado da ação de algoritmos que fazem o mapeamento de uma seqüência de bits de tamanho arbitrário para uma seqüência de bits de tamanho fixo menor conhecido como resultado hash de forma que seja muito difícil encontrar duas mensagens produzindo o mesmo resultado hash (resistência à colisão), e que o processo reverso também não seja realizável (dado um hash, não é possível recuperar a mensagem que o gerou).Hierarquia do Certificado - estrutura de certificados digitais que permite a indivíduos verificarem a validade de um certificado. O certificado é emitido e assinado por uma Autoridade Certificadora que está numa posição superior na hierarquia dos certificados. A validade de um certificado específico é determinada, entre outras coisas, pela validade correspondente ao certificado da AC que fez a assinatura.

Page 119: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoInfraestrutura de chaves públicas brasileira (ICP-Brasil) - É um conjunto de técnicas, arquitetura, organização, práticas e procedimentos, implementados pelas organizações governamentais e privadas brasileiras que suportam, em conjunto, a implementação e a operação de um sistema de certificação. Tem como objetivo estabelecer os fundamentos técnicos e metodológicos de uma sistema de certificação digital baseado em criptografia de chave pública, para garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras. A ICP-Brasil foi criada pela Medida Provisória 22002, de 24.08.2001, e encontra-se regulamentada pelas Resoluções do Comitê Gestor da ICP-Brasil.

Page 120: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoNão repúdio - ou não recusa, é a garantia que o emissor de uma mensagem ou a pessoa que executou determinada transação de forma eletrônica, não poderá posteriormente negar sua autoria, visto que somente aquela chave privada poderia ter gerado aquela assinatura digital. Deste modo, a menos de um uso indevido do certificado digital, fato que não exime de responsabilidade, o autor não pode negar a autoria da transação. Transações digitais estão sujeitas a fraude, quando sistemas de computador são acessados indevidamente ou infectados por cavalos-de-tróia ou vírus. Assim os participantes podem, potencialmente, alegar fraude para repudiar uma transação.

Page 121: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoPar de chaves - chaves privada e pública de um sistema criptográfico assimétrico. A chave privada e sua chave pública são matematicamente relacionadas e possuem certas propriedades, entre elas a de que é impossível a dedução da chave privada a partir da chave pública conhecida. A chave pública pode ser usada para verificação de uma assinatura digital que a chave privada correspondente tenha criado ou a chave privada pode decifrar a uma mensagem cifrada a partir da sua correspondente chave pública. A chave privada é de conhecimento exclusivo do titular do certificado.Política de Certificação (PC) - documento que descreve os requisitos, procedimentos e nível de segurança adotados para a emissão, revogação e gerenciamento do ciclo de vida de um Certificado Digital.

Page 122: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoRepositório - sistema confiável e acessível online, mantido por uma Autoridade Certificadora, para publicar sua Declaração de Práticas de Certificação (DPC), Políticas de Certificado (PC), Política de Segurança (PS), Lista de Certificados Revogados (LCR) e endereços das instalações técnicas das AR vinculadas.Sala-cofre - área de segurança restrita, formada por cofre com proteção eletromagnética, física e contra fogo, afim de proteger as chaves privativas que assinam os certificados digitais.

Page 123: Aula de Tecnologia da informação - P6.pptx

Prof. Edu Benjamin

Prof. Edu Benjamin Proteção e Segurança de Sistemas

Glossário da CertificaçãoSmart card - pequeno dispositivo, geralmente do tamanho de um cartão de crédito, que contém um processador e é capaz de armazenar informação criptográfica (como chaves e certificado) e realizar operações criptográficas.

Token - dispositivo para armazenamento do certificado digital de forma segura, com funcionamento parecido com o smart card, mas conexão com o computador via USB.

X.509 - padrão que especifica o formato dos certificados digitais, de tal maneira que se possa amarrar firmemente um nome a uma chave pública, permitindo autenticação forte. Faz parte das séries X.500 de recomendações para uma estrutura de diretório global, baseada em nomes distintos para localização. Na ICP-Brasil utilizam-se certificados no padrão X509 V3.