|



Gustavo Lobato
gustavo@gpsolucoes.com
www.gsolucoes.com
!  
j × Problema(Segurança no envio de dados sigilosos)
j Exemplos práticos de problemas
j Tecnologia SSL
j Como funciona?
j Como funciona? Internet Banking ou Sistemas Seguros
j A técnica de segurança
j Autoridade Certificadora
j Dicas
j Empresas que vendem os certificados
j Técnica de Hacking ± Homem no Meio
j Referências
× 
j Com o crescente uso da internet para serviços e
sistemas corporativos a preocupação com
segurança tem se tornado fator primordial quando
se pensa em colocar no ar esses projetos web.

j × maior risco dessas aplicações após os grandes

investimentos básicos em segurança esta na
ponta(Usuário final) e se o mesmo não é obrigado a
seguir padrões de acesso para utilizar os serviços
estes correm sérios riscos.
x 
j ‰avegação em redes públicas:
j × usuário leigo pensa que apenas conectar o seu
computador com antivírus e firewall ativo em uma rede
pública, já pode começar a fazer tudo que bem entender
em sua conta bancária ou compras em sites de e-
commerce de forma tranqüila.

j Ai onde mora o problema, um cracker pode interceptar

essa comunicação e esta se não estiver devidamente
criptografada, ter acesso fácil a todos os dados do que
esta sendo transmitidos.
x 
j Redes Wireless(Pontos de acesso,
Provedores , Hotspots, Redes públicas em
geral são alvos fáceis.

j E na sua casa/empresa eu corro risco?

j R->Claro! Seu provedor, pode não

criptografar a conexão de sua máquina ate o
roteador dele e ai morar o perigo.
x 
j ×u simplesmente o site que você acessa
pode não criptografar as informações
transmitidas e os dados passarem em via
pública de forma que qualquer interessado
capte.

j Ai entra a tecnologia dos certificados SSL

G|


j ×riginalmente desenvolvida pela ‰ETSCAPE.

j Tornou-se parte de um protocolo geral de segurança conhecido
como Transport Layer Security (TLS)

j ×s certificados digitais SSL oferecem uma autenticidade de que

o site que você está visitando é realmente de quem você pensa
ser

j e também dificultam, através da criptografia dos dados, de que

as informações fornecidas não poderão ser interceptadas no
trajeto entre o computador do usuário e o servidor do serviço
½ 

 
j SSL ( Secure Sockets Layer)
É uma tecnologia de segurança que é comumente
utilizada para codificar os dados trafegados entre o
computador do usuário e um Website.

× protocolo SSL, através de um processo de

criptografia dos dados, previne que os dados
trafegados possam ser capturados, ou mesmo
alterados no seu curso entre o navegador (browser)
do usuário e o site com o qual ele está se
relacionando, garantindo desta forma informações
sigilosas como os dados de cartão de crédito.
 



j âuando um visitante de um web site se
conecta a um servidor que está utilizando o
protocolo SSL, eles irão notar na barra de
endereços, que o protocolo passa a ser
https:// ( no lugar do http:// padrão).
j Aliado a isto, a maioria dos browsers (como o
internet explorer por exemplo) mostram no
browser um tradicional cadeado.
‰
  

  
 ½ 

  
 ½ 
G

  
j A criptografia de chave pública envolve muito processamento, portanto
a maioria dos sistemas utiliza uma combinação da chave pública e
simétrica.

j âuando dois computadores iniciam uma sessão segura, um

computador cria uma chave simétrica e a envia ao outro usando a
criptografia de chave pública.

j ×s dois computadores podem então se comunicar utilizando a

criptografia de chave simétrica.

j Uma vez que a sessão é terminada, cada computador descarta a

chave utilizada naquela sessão.

j Todas as sessões adicionais requerem que uma nova chave simétrica

seja criada e que o processo seja repetido
G

  
j × servidor do site que está sendo acessado envia
uma chave pública ao @
 , usada por este
para enviar uma chamada secreta, criada
aleatoriamente. Desta forma, fica estabelecida a
trocas de dados criptografados entre dois
computadores.
j Baseia-se no protocolo |
da suíte TCP/IP e
utiliza-se do conceito introduzido por Diffie-Hellman
nos anos 70 (criptografia de chave pública) e

  (criador do conceito PGP).
G|

  
j Algoritmos de espalhamento
j A chave, na criptografia de chave pública, é baseada em um
hash value. Esse é um valor que é calculado a partir de um
número de entrada baixo utilizando um algoritmo de
espalhamento. Basicamente, esse valor é um sumário dos
valores de origem. × importante sobre esses hash value é que
se torne quase impossível derivar o número original de entrada
sem conhecer os dados utilizados para criá-lo.
j ‰úmero de entrada Algoritmo de espalhamento Hash value
j 10.667 # input x 143 1.525.381
G|

  
j ocê pode observar como seria difícil determinar que o valor
1.525.381 veio da multiplicação de 10.667 por 143. Mas se você
soubesse que o multiplicador era 143, então seria muito fácil
calcular o valor 10.667. A criptografia de chave pública é na
realidade muito mais complexa do que esse exemplo, mas essa
é a idéia básica.

j As chaves públicas geralmente utilizam algoritmos complexos e

hash value muito grandes para criptografia, incluindo números
de 40 bits ou até mesmo de 128 bits. Um número de 128 bits
possui cerca de 2 elevado a 128 combinações ou
(3.402.823.669.209.384.634.633.746.074.
300.000.000.000.000.000.000.000.000.000.000.000.000)
diferentes combinações possíveis. Isso seria como tentar
encontrar um específico grão de areia no Deserto do Saara
G ½ 

j As "Certification Authority" ou Autoridade
Certificadora (CA) são empresas que realizam a
emissão dos certificados seguros SSL.

j As autoridades certificadoras são responsáveis por

validar a identidade de um Website.

j × que mais se aproxima de uma entidade

normatizadora das autoridades certificadoras é o
"Webtrust Compliancy Program" administrado pela
AICPA/CICA. A maioria das CA's obedecem aos
critérios da Webtrust.
u

j Adquira sempre um certificado que seja
compatível com o maior número de
navegadores possível
j Adquira sempre acima ou igual a 128bits
j É obrigado ter IP álido e FIX×.
j × Custo anual de um certificado básico
(Laniway) é de R$ 149,00
x   
 

j Laniway.com.br(RapidSSL/Geotrust )
j Certificados simples como o !
para
pequenas aplicações e segurança no acesso ao
correio eletrônico
j Certificados | para sites de comércio
eletrônico.
j Certificados |  u que asseguram a
sua identidade para os visitantes de sua aplicação
-------------------------------------------------------------------
x   
 

j eriSign Brasil
j A eriSign é a principal autoridade
certificadora de certificados para servidores
web - SSL, que tornam possivel o comércio
eletrônico e as comunicações seguras.
j Escolha a marca de segurança da Internet
que você pode confiar e ofereça a
criptografia mais forte de SSL para os seus
usuários disponível no mercado
|

  
!   

j âuando acessamos o banco, nossa conexão parece dessa maneira:

j CLIE‰TE ²²²²²²²²²²²²± SITE

j CA‰AL CRIPT×GRAFAD×

j Isso significa que meus dados estão indo em código para o banco e
vice-versa. Se eu tentasse ³farejar o tráfego não conseguiria nada
legível. Aí entra a técnica. Eu vou redirecionar o tráfego do computador
do CLIE‰TE para o meu e repassar os seus dados para a página real
do SITE (atenção, é a página real, não clonada) ficando assim:

j CLIE‰TE ²²²²²² HACKER ²²²²²²²± SITE

j CRIPT×GRAFIA CRIPT×GRAFIA
|

  
!   

j Ao fazer isso, eu crio duas conexões criptografadas,

uma com o CLIE‰TE e outra com o BA‰C×.

j Assim, eu finjo ser o SITE para o CLIE‰TE e o

CLIE‰TE para o SITE. ×u seja, vou capturar os
dados que o CLIE‰TE tentar enviar para o banco e
que o SITE enviar de volta ao cliente. Entenda que
a criptografia ainda existe, mas como os dois lados
pensam que o programa interceptador é seu
companheiro de transação os dados chegam até o
hacker em texto puro.
|

  
!   
j × software malicioso utiliza um certificado qualquer .
Consequentemente, um aviso é mostrado quando o CLIE‰TE
tenta se conectar a um site seguro. Mas esse é um problema
fácil de contornar para o invasor.
j Como o programa de interceptação age como um servidor proxy,
o hacker envia o usuário para um site qualquer.

j Assim pode aproveitar erros de navegadores como o Internet

Explorer para instalar um pequeno executável através de scripts
ActiveX maliciosos.

j ×u mesmo utilizar-se de engenharia social, enviando um e-mail

para o usuário com o link para o site malicioso. Maneiras não
faltam. ×bserve as configurações avançadas do Internet
Explorer:
G "
# " 
 $  %&
×   
%


 '(
½ &
G%) )|  
Tanto para o man-in-the-middle local ou remoto, o problema se origina da
mesma maneira. Como dizem, a segurança de sua rede é igual à
segurança do seu elo mais fraco: o usuário. Enquanto os usuários não-
técnicos não tiverem um treinamento específico para que não caiam
nas técnicas de Engenharia Social e aprendam a atualizar seu sistema
para evitar possíves falhas, sua instituição será vulnerável.

j âuanto aos administradores, precisam do treinamento de penetration

test. Só assim descobrirão os problemas mais ocultos e poderão se
utilizar de novos conceitos para tornar seus sistemas mais seguros (e
seu trabalho mais prazeroso).

j × ×penSSL disponibilizou uma actualização de segurança que permite

mitigar esta vulnerabilidade. Esta actualização de segurança não
resolve a vulnerabilidade no protocolo, apenas desactiva o mecanismo
de renegociação do SSL/TLS
!  #

j http://www.laniway.com.br/br/corporativo/certificado.
do
j http://www.verisign.com.br/
j Registro.br

j Apresentação disponível em
j www.gpsolucoes.com/ssl.ppt