Escolar Documentos
Profissional Documentos
Cultura Documentos
0-Segurança Da Informação
0-Segurança Da Informação
Segurana da Informao
Cada vez mais dependemos da informao. Precisamos dela para tomar decises, para aprender novos assuntos e at mesmo para nos prevenir de algo. Devido o alto valor que tem a informao nos dias de hoje, ela alvo de ataques constantes que devem ser monitorados, evitados e combatidos. Esse captulo versa sobre ataques e formas de defesa no mbito de segurana da informao, focando, claro, nos concursos pblicos.
Que nosso maravilhoso Deus abenoe seus estudos, Professor Carlos Viana
Carlos Viana
Confidencialidade (C): A garantia que a informao no ser acessada por pessoais no autorizadas. Integridade (I): A integridade consiste em proteger a informao contra modificao sem a permisso explcita do proprietrio daquela informao. Disponibilidade (D): consiste na proteo dos servios prestados pelo sistema de forma que eles no sejam degradados ou se tornem indisponveis. Autenticidade (A): Garantia da autoria de um usurio ou uma mquina.
Malwares
Entendemos como malwares programas maliciosos que so projetados para se ter vantagens ilcitas. Abaixo, a lista dos malwares que so cobrados em provas de seleo: Vrus Os vrus so programas maliciosos que se inserem na mquina do usurio parasitando um arquivo ou um programa do computador hospedeiro. Devido a se hospedarem na mquina da vtima, eles receberem a alcunha de vrus (fazendo aluso ao vrus que parasitam os seres vivos). Os vrus tm a capacidade de se reproduzir (replicar-se) e infectar outros dispositivos por toda a rede. Worms Vermes Os vermes ou Worms so programas maliciosos que no dependem de hospedeiros para se replicarem, ou seja, so independentes. Eles fazem muitas aes maliciosas, como modificar a operao do sistema operacional do computador infectado, abrir espao para entrada de outros Worms, alm de explorar vulnerabilidades do sistema. Cavalo de Tria Trojan Cavalos-de-tria so programas projetados para abrir portas do computador vtima, alm de ter a possibilidade de carregar outros malwares consigo. O nome foi baseado na clssica pea da mitologia grega onde os soldados do pas conseguem se infiltrar na cidade de Tria escondidos dentro de um imenso cavalo de madeira. Os Cavalos de Tria ou Trojans so cdigos maliciosos travestidos de programas inofensivos, cuja misso induzir o usurio a clicar neles, assim, executando o cdigo malicioso. Alm das
Segurana da Informao
Carlos Viana
aes maliciosas supracitadas, uma vez instalados no computador da vtima, podem permitir que o criador da praga obtenha o controle completo sobre a mquina infectada, que passa a ser chamada de zumbi. Port Scanning Scanner de Portas So programas que buscam, atravs de uma varredura na rede, portas abertas por onde pode ser feita uma invaso. Sniffer - Farejadores
O sniffer um programa ou dispositivo que analisa trfego de rede. O Sniffer um software farejador, coletando todo tipo de informao que passa pela rede. Uma observao importante que o sniffer pode coletar informaes criptografadas, entretanto no tem como decifra-las.
Spyware Softwares Espies So softwares que coletam e enviam informaes sobre os usurios. Existem basicamente duas tcnicas utilizadas por esses softwares maliciosos: coletar as teclas digitadas pelos usurios ou tirar prints (fotos) da tela do usurio. Keyloggers Software que registra toda a atividade do teclado em um arquivo, que pode ser enviado para um provvel atacante. Quando o usurio digitar, por exemplo, uma senha ou nmero do carto de crdito, o Keylogger entra em ao coletando as teclas digitadas. Screenlogger Programas capazes de gravar, tirando um print da tela na posio do mouse em cada instante.
Adware Os Adwares so conhecidos por trazerem para a tela do usurio algum tipo de propaganda, entretanto no so simples propagandas, sendo estas, muitos vezes, indesejadas. Ocasionalmente, possvel que os Adwares coletem informaes dos usurios e repasse para entidades externas.
Tcnicas de Ataque
So tcnicas que os crackers utilizam para tomar controle da mquina, roubar informaes sigilosas ou fazer mquinas negarem servio a usurios legtimos. Abaixo, estudaremos a principais tcnicas de ataque:
Carlos Viana Ping of Death (Ping da Morte) Sem dvida um dos ataques DOS mais famosos. O atacante envia pacotes de tamanhos invlidos vtima, fazendo com que esta fique sobrecarregada, negando, assim, respostas a solicitaes legtimas. SYN Flooding Inundao O ataque SYN Flooding consiste em solicitar conexo vtima e no efetiv-la, levando-a a negar o servio. Essas solicitaes intermitentes de conexo levam a sobrecarga do servidor, ocasionando, assim, a impossibilidade deste responder a solicitaes. DDoS Distributed Denial-of-Services Attacks Os DDOS so ataques do tipo DOS distribudos, ou seja, quando muitas mquinas lanam ataques DOS ao mesmo tempo. Por exemplo, para derrubar um servidor muito potente, o atacante envia pacotes invlidos usando muitas mquinas simultaneamente. evidente que as mquinas envolvidas sequer sabem que esto enviando tal ataque. Na verdade, as vtimas foram dominadas previamente e seu controle fica a cargo do cracker invasor. Essas mquinas, as dominadas, so chamadas de mquinas zumbis. Para realizao de um ataque DDoS so envolvidos os seguintes personagens:
Atacante: quem efetivamente coordena o ataque; Master: mquina que recebe os parmetros para o ataque e comanda os agentes; Agente ou Mquinas Zumbis: mquina que efetivamente concretiza o ataque DoS contra uma ou mais vtimas, conforme for especificado pelo atacante. Geralmente um grande nmero de mquinas que foram invadidas para ser instalado o programa cliente; Vtima: alvo do ataque. Mquina que "inundada" por um volume enorme de pacotes, ocasionando um extremo congestionamento da rede e resultando na paralisao dos servios oferecidos por ela.
Segurana da Informao
Carlos Viana
sistemas, pois os invasores utilizam IPs de outros dispositivos para efetivarem seus ataques.
Phishing Pescaria
Phishing ou Phising scam ou apenas Scam um tipo de fraude projetada para roubar informaes pessoas. Nesta tcnica, o atacante clona um site original, modifica-o e o disponibiliza na rede para pescar os dados das vtimas. As vtimas so direcionadas a esses sites piratas atravs de pop up ou propagandas enganosas em seus e-mails. Se elas clicarem nas propagandas, sero, ento, direcionadas a esses sites clones. O Phishing direciona a vitima ao servidor pirata. Uma vez entrando em um desses sites, voc poder, inadvertidamente, inserir informaes pessoais, que sero transmitidas diretamente ao criador do site. Ele poder usar esses dados para comprar bens, candidatar-se a um novo carto de crdito ou roubar sua identidade.
Pharming
Pharming o termo atribudo ao ataque baseado na tcnica envenenamento de cache DNS que, consiste em corromper o DNS (Sistema de Nomes de Domnio ou Domain Name System) em uma rede de computadores, fazendo com que a URL de um site passe a apontar para um servidor diferente do original.
Carlos Viana
Ao digitar o URL (endereo) do site que se deseja acessar, como um site de banco, o servidor DNS converte o endereo em um nmero IP correspondente ao do servidor do banco. Se o servidor DNS estiver vulnervel a um ataque de Pharming, o endereo poder apontar para uma pgina falsa hospedada em outro servidor com outro endereo IP que esteja sob controle de um golpista. Os golpistas geralmente copiam fielmente as pginas das instituies, criando a falsa impresso que o usurio est no site desejado e induzindo-o a fornecer seus dados privados como login ou nmeros de contas e senha, que sero todos armazenados pelo servidor falso.
Tabela de Nome www.a.com.br --------------- 1.1.1.2 . . www.bb.com.br -------- 32.156.21.221 (170.66.11.10) . . . www.z.com.br --------------- 230.250.255.21
Servidor DNS
o icand Verif
banc
o de
dado
? br m m. ue o Q bb.c : . r w w .b w m 21 co .2 b . 21 .b . w 56 w .1 w 3 2
3
www.bb.com.br (170.66.11.10)
Internet 1
Engenharia Social
A Engenharia Social a aquisio de alguma informao ou privilgios de acesso restrito, por algum que no tem permisso daquela informao. O atacante explora relaes sociais para adquirir tal informao privilegiada. A capacidade de persuaso um atributo daqueles que utilizam essa tcnica.
A Engenharia Social uma tcnica que consiste em utiliza a confiana ou inocncia de terceiros para conseguir a informao Agora que finalizamos o estudo dos ataques, vamos entra no estudo de quem defende os
Segurana da Informao
sistemas.
Carlos Viana
Antivrus
Os Antivrus so sistemas criados para proteger os microcomputadores contra aes de malwares, como vrus, trojans e alguns (no todos) spywares. O funcionamento do antivrus bem simples: ele ataca os vrus pelo conhecimento prvio da assinatura destes. Voc percebeu o que est implcito na frase anterior? Todo vrus tem uma assinatura, que como se fosse o DNA dele, e a misso do antivrus conhecendo essa assinatura e elimina o vrus. Conhecer o inimigo para poder agir, assim que os antivrus trabalham. Quando ocorre de o antivrus deparar com um vrus o qual ele no conhece sua assinatura, recomenda-se que este vrus seja enviado para quarenta. Na quarentema, o vrus fica inativo at que a empresa de antivrus descubra a assinatura deste e envie o antdoto, via download, para o cliente. Assim extremamente importante que seu antivrus esteja sempre atualizado.
3.4
Tcnicas de Defesa
Alm dos agentes de segurana, existem diversas tcnicas que auxiliam na segurana da informao. Essas tcnicas garantem, por exemplo, a confidencialidade na passagem dos
Carlos Viana dados, a autenticidade de sistemas informticos e a garantia que os dados no sero modificados no decorrer do curso da informao. Abaixo, as tcnicas supracitadas:
Criptografia
A criptografia vem, na sua origem, da fuso de duas palavras gregas: CRIPTO = ocultar, esconder; GRAFIA = escrever. Criptografia arte ou cincia de escrever em cifra ou em cdigos.
Termos da Criptografia Termos da Criptografia Mensagem Original a mensagem em si, escrita em linguagem inteligvel. o processo de deixar a informao ininteligvel para fontes externas. o conjunto de passos usados para encriptao e decriptao da mensagem. o processo de transforma a mensagem cifrada de volta em mensagem inteligvel. o nmero binrio usado para cifrar e decifrar a mensagem. a medida, em bits, do tamanho do nmero usado como chave. Quanto maior for a chave, mais complexa ela ser para ser descoberta (mais segura). Aquele que tenta quebrar a criptografia (descobrir a chave). Forma de ataque aos sistemas criptogrficos que se baseia em testar todas as possibilidades de chaves (tentativa de erros) em uma mensagem cifrada. Quanto maior a chave mais tempo demora para a quebra.
Algoritmo de criptografia
Decifrar (decripta)
Chave
Tamanho da Chave
Criptoanalista
Fora Bruta
Segurana da Informao
Carlos Viana
Criptografia Simtrica Tambm denominado algoritmo simtrico, criptografia de chave simtrica ou criptografia convencional, um sistema que utiliza apenas uma chave para encriptar e decriptar a informao.
A chave do Carlos Viana = A chave da Cludia Leite
Informao Original
Algoritmo de Cripitografia
Cifrado
Algoritmo de Cripitografia
Informao Decriptada
Na figura acima, podemos observar que a Claudinha Leite quando cifra a mensagem para Cac Viana usa uma chave aplicada ao algoritmo. Quando a mensagem chega em Cac Viana, este usa uma chave igual (clone) a chave de Claudinha Leite para decifrar a mensagem. Na criptografia simtrica a chave que decifra um clone da chave que cifra Criptografia Assimtrica Nesta criptografia so usadas duas chaves: Uma chave camada de chave pblica, cuja misso cifrar os dados e outra conhecida como chave privada, cuja misso decifrar os dados. Cada participante do esquema de segurana tem um par de chaves, uma pblica e uma privada. Exemplo: Se no esquema de troca de informao participarmos eu, voc e Claudinha Leite, cada um de ns teremos nosso par de chaves. Funcionamento O funcionamento bem simples: o remente da informao dever cifrar o dado com a chave pblica do destinatrio antes de envia-o ao destinatrio. Aps o envio o destinatrio decifrar a informao com a sua chave privada. Sempre assim, a chave pblica do destinatrio cifra e a chave privada do destinatrio decifra.
Carlos Viana
10
Algoritmo de Cripitografia
Informao Decriptada
Informao Original
Algoritmo de Cripitografia
Informao Cifrada
Privada (Decripta)
Pblica (Encripta)
Na criptografia assimtrica usam-se duas chaves: uma chave pblica, cuja misso cifrar dados, e uma chave privada, cuja misso decifrar dados.
Hash
O Hash um algoritmo matemtico que tem por intuito garante a integridade da mensagem. O funcionamento do Hash simples. Aps a mensagem ser escrita, um software aplica o Hash a ela. A mensagem, ento, transformada uma sequncia binria de tamanho fixo que de forma simples, pode ser pensada como uma espcie de lacre de proteo. Ento, a mensagem enviada ao destinatrio. Caso ocorre qualquer alterao no decorrer do curso, a mensagem ser invalidada, e o destinatrio ter cincia que a mensagem foi alterada.
Assinatura Digital
A assinatura digital dispositivo lgico que garante a autenticidade da informao. Documentos eletrnicos assinados digitalmente tm por atributo possuir a identidade do remetente. Outra informao muito importante sobre assinatura digital, que esta no garante apenas a autenticidade, ela garante, tambm, que a mensagem no ser modificada, ou seja, garante a integridade dos dados. Carinhos, quando temos uma mensagem que garante autenticidade e integridade, temos outro princpio conhecido como No Repdio ou Irretratabilidade. A assinatura digital garante autenticidade e integridade da informao. A juno dos dois princpios supracitados conhecida com no repdio ou irretratabilidade
11
Segurana da Informao
Carlos Viana
Sempre que uma entidade desejar garantir segurana a outrem, esta deve solicitar um certificado digital a uma autoridade certificadora. Autoridade certificadora (AC) uma instituio que emite certificados digitais. Voc pode pensar, sem nenhum constrangimento, que uma autoridade certificadora um cartrio digital, que imite papis eletrnicos (certificados digitais) que atestam CIA para outras instituies, como bancos, lojas virtuais e quem mais necessitar de garantir CIA. Voc pode conferir se o site que voc est trocando informao o faz de forma segura apenas atestando se este tem um certificado digital. Sites que possuem certificados digitais apresentam um cadeado na barra de endereos1. Clique neste cadeado e o certificado se abrir. Veja figura:
Nome da pessoa ou entidade a ser associada chave pblica Perodo de validade do certificado Chave pblica Nome e assinatura da entidade que assinou o certificado Nmero de srie.
Carlos Viana Compreendo que o conceito abstrato. Mas, tente pensar comigo: o que Constituio? No sou jurista, mas pelo meu entendimento (e perdoe-me todos os advogados, juristas, procuradores, promotores, juzes e amantes das leis), a Constituio uma coletnea de regras que ditam como as coisas devem funcionar em um pas, como as leis devem ser criadas e at aonde eles podem ir. A PKI uma espcie de constituio para segurana da Informao. Ela rege como devem ser emitidos os certificados digitais, onde eles devem ser armazenados, quem pode emiti-los, regula as autoridades certificadoras, enfim, dita as polticas e responsabilidades dos elementos envolvidos na segurana da informao.
12
3.7 Questes