Professor Andr Cardia

14/03/2010

Qualquer tipo de informao, independente do tipo de meio que esteja armazenada, que seja importante para a empresa e seus negcios. Exemplos desses ativos so:
Documentos Relatrios Manuais Correspondncias Patentes Informaes de mercado Cdigo de programao Linhas de comando Arquivos de configurao Planilhas de remunerao de funcionrios Planos de negcio de uma empresa, etc.

Apresentao disponvel em: www.andrecardia.pro.br

Disponibilidade

Integridade

Autenticidade

A informao computacional no ser aberta sem a devida autorizao, ou ainda, garantir que as informaes sejam acessveis apenas queles autorizados a terem acesso; Quebrando a Confidencialidade da Informao: Ex: algum obtm acesso no autorizado ao sua conta bancria via Internet Banking e tem acesso no autorizado as suas finanas.

Confidencialidade

No-Repdio

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

A informao se manter inalterada ao longo da comunicao. Quebrando a Integridade dos dados: Ex: algum obtm acesso no autorizado ao informaes da sua seu computador e Declarao de Imposto de Renda, momentos antes de voc envi-la Receita Federal;

A informao estar acessvel para os usurios quando solicitada, ou ainda, garantir que os usurios autorizados tenham acesso s informaes e ativos associados quando necessrio. Quebrando a Disponibilidade de um servio: Ex: o seu provedor sofre uma grande sobrecarga de dados e por este ou um motivo voc fica impossibilitado de enviar sua Declarao de Imposto de Renda Receita Federal.

O atacante utiliza um computador para tirar de operao um servio ou computador conectado Internet

Confirma a identidade de um indivduo, ou ainda, certeza absoluta de que um objeto (em anlise) provm das fontes anunciadas.

Atacante

Quebra da Autenticidade de um indivduo: Ex: Algum envia uma mensagem de email se ). passando por outra pessoa (

Usurio Legtimo

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

a garantia de segurana que impede uma entidade participante numa dada operao de essa participao. Exemplos: um vendedor de produtos ou servios por via eletrnica pode negar que recebeu um pagamento (adiantado) e recusar-se a fornecer o produto ou prestar o servio. Da mesma forma, um comprador desonesto pode recusar-se a pagar um produto (digital) que lhe foi fornecido, negando a sua recepo. A garantia de segurana destinada a combater este tipo de fraude chama-se

emissor? legtimos?

: Voc realmente quem esta afirmando ser? : A mensagem esta idntica quela enviada pelo

: Quem pode ler esta informao? : A informao est disponvel para os usurios

: A ao pode ser negada?

No-Repdio = a no negao de uma ao!

Ponto fraco em um Sistema Computacional; Existem em todos os Sistemas Operacionais.

Inteno de causar danos a um sistema; Podem surgir dentro da prpria organizao;

Expor o Sistema Computacional com vulnerabilidades s ameaas

Fsicas Naturais de Hardware de Software de meios de armazenagem de comunicao Humanas

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Vrus Divulgao de senhas Hackers Funcionrios insatisfeitos Acessos indevidos Vazamento de informaes Erros e acidentes Falhas na segurana fsica Acessos remotos indevidos

75% 57% 44% 42% 40% 33% 31% 30% 29%

Super poderes de acesso Uso de notebooks Pirataria Lixo informtico Divulgao indevida Roubo / Furto Fraudes

27% 27% 25% 25% 22% 18% 18%

Para assegurar que os sistemas implantem as propriedades de segurana e sejam ditos seguros, existe a necessidade de adoo de

Os so os responsveis efetivos pela garantia das propriedades e

A poltica de segurana relaciona as e a um domnio, alm de definir o escopo e as caractersticas de cada servio que se pretende proteger. Ela determina regras que, quando seguidas corretamente, diminuem os riscos de incidentes de segurana organizao. um conjunto de leis, regras e prticas que regulam como a organizao gerencia, protege e distribui suas informaes e recursos.

Principais Mecanismos de Segurana:

(tambm considerada como propriedade de segurana)

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Mtodos usados para identificar um usurio: Alguma coisa que voc sabe . Alguma coisa que voc tem Alguma coisa que voc

Uma senha ( ) na Internet, ou em qualquer sistema computacional, serve para autenticar o usurio, ou seja, utilizada no processo de verificao da identidade do usurio, . assegurando que

. .

Mtodo mais utilizado:

O que no se deve usar na elaborao de uma senha? Nomes; Sobrenomes; Nmeros de documentos; Pa$$w0rD Placas de Carro; Nmeros de Telefone; Datas!

Estabelecer a associao entre cada usurio e e privilgios. Indicar quem (ou o qu) pode ter acesso a algum objeto.
impressora. diretrio, arquivo ou servio de rede

Por que a autenticao uma condio prvia para a autorizao? No existe como estabelecer os direitos de uma entidade dentro de um sistema sem antes a sua identidade. Primeiro Autenticao Depois Autorizao

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

sistema

= Tem poder total sobre o

Auditoria: a avaliao do comportamento dos sistemas analisando seus registros (logs), atividades e servios. Auditoria em um exame cuidadoso, sistemtico e independente das atividades desenvolvidas em determinada empresa ou setor, cujo objetivo averiguar se elas esto de acordo com as disposies planejadas e/ou estabelecidas previamente, se foram implementadas com eficcia e se esto adequadas (em conformidade) consecuo dos objetivos.

no tem privilgios para realizar determinadas aes: tarefas administrativas de manuteno, administrao e instalao de programas

Uma conta de Usurio Administrador pode oferecer ! privilgios a um

Problema a ser combatido: Nas arquiteturas de comunicao atuais normal as mensagens passarem por pontos intermedirios at atingirem seus destinos Qualquer um destes pontos pode ler a mensagem enviada Como garantir a

Cincia matemtica que lida com a transformao de dados para mudar o seu significado em algo ininteligvel para o inimigo

= secreto, oculto, ininteligvel = escrita, escrever

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Torna a informao indecifrvel para invasores. Este mecanismo pode ser utilizado tanto para garantir a confidencialidade da informao, como tambm para prover a sua integridade, autenticidade.

(plaintext) : executa operaes de substituio e transformaes no texto claro : uma das entradas para o algoritmo de criptografia (cyphertext) : essencialmente, o reverso do algoritmo de criptografia

Tipos de Criptografia: Criptografia Simtrica - tambm conhecida como criptografia de Criptografia Assimtrica ou criptografia de

O termo vem do fato de que o nmero secreto que voc escolhe funciona da mesma maneira que uma chave convencional. Na criptografia, para proteger o contedo dos seus arquivos, voc instala uma fechadura ( ) na sua porta (o computador). Para operar a fechadura (encriptar os dados), voc insere a chave ( ) e a executa (em vez de girar essa chave, voc opera o programa dando um clique duplo, clicando em OK ou pressionando Enter).

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Na criptografia simtrica, a utilizada para cifrar e decifrar dados (da a palavra simetria). Garante a informao. (Sigilo) da

Algortmos de Criptografia simtrica so mais rpidos e exigem menos recursos computacionais que a Criptografia Assimtrica.

O emissor e o receptor devem: obter cpias da chave secreta de maneira segura; armazenar a chave de forma segura

Distribuio de Chaves
Como distribuir uma chave simtrica de forma segura sem comprometer o seu sigilo?

Exploso de chaves
Como gerenciar um quantidades muito grandes de chaves secretas?

Se algum descobrir a chave e conhecer o algoritmo, toda comunicao usando esta chave estar comprometida

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Tambm conhecida como Criptografia de Chave Pblica

O PARA QUEBRAR A CRIPTOGRAFIA CIFRADA

Cada usurio possui duas chaves: Uma Uma A chave privada deve ser particular e protegida dos demais usurios A chave pblica pode ser mantida pblica para os demais

PARA QUEBRAR A CRIPTOGRAFIA DA INFORMAO

Se deseja enviar uma mensagem para , ele cifra a mensagem com a chave pblica de Ningum pode decifrar a mensagem, pois possui a chave privada que somente permite decifrar a mensagem

O usurio gera duas chaves: uma ele torna pblico e a outra ele mantm privada Em alguns algoritmos, qualquer uma das chaves pode ser utilizada para cifrar. A outra chave ser utiliza para decifrar

Segurana da Informao - Conceitos Bsicos

Professor Andr Cardia

14/03/2010

Texto claro - Entrada -

Algoritmo de Criptografia (ex: RSA)

Algoritmo de Decriptografia (reverso do alg. de criptografia)

Texto claro - Sada -

Texto claro - Entrada -

Algoritmo de Criptografia (ex: RSA)

Algoritmo de Decriptografia (reverso do alg. de criptografia)

Texto claro - Sada -

37

Como a mensagem foi cifrada com a chave de A, somente A pode ter preparado a mensagem impossvel alterar a mensagem sem ter acesso a chave de A, ento mensagem em termos de origem e em termos de dados

Mensagem

Alg. Hash

Resumo
Valor Fixo de 20 Bytes

Algoritmo Assinatura Digital

Mensagem

dos

Resumo Assinado

Enviado a outra ponta da comunicao

Resumo Assinado

Segurana da Informao - Conceitos Bsicos

10

Professor Andr Cardia

14/03/2010

Mensagem Chave Pblica Do Emissor Mensagem Algoritmo Assinatura Digital Resumo Assinado

Alg. Hash

Resumo
Valor Fixo de 20 Bytes

Algoritmo Assinatura Digital

Enviado a outra ponta da comunicao

Resumo Assinado

Resumo Assinado

Resumo

=?
Mensagem Algoritmo de Hash Resumo Resumo Assinado

Algoritmo Assinatura Digital

Resumo

=?
Mensagem Algoritmo de Hash Resumo

O processo de autenticao , pois qualquer pessoa com a chave pblica do emissor das chaves abre a mensagem!

A Criptografia de Chave Pblica pode ser utilizada para: Confidencialidade autenticidade as partes cooperam para a troca de uma chave de sesso

Segurana da Informao - Conceitos Bsicos

11

Professor Andr Cardia

14/03/2010

Como garantir a origem de uma chave pblica?

Uma terceira parte confivel (Autoridade Certificadora - AC) assina um certificado atestando que uma determinada chave pblica pertence a tal usurio evitar a utilizao ou publicao falsa de chaves pblicas

As chaves pblicas assinadas digitalmente por uma AC confivel constituem os certificados digitais

Alm da chave pblica, um certificado pode conter outras informaes de uma entidade:

Segurana da Informao - Conceitos Bsicos

12

Professor Andr Cardia

14/03/2010

um conjunto de hardware, software, pessoas, polticas e procedimentos necessrios para criar, gerenciar, armazenar, distribuir e revogar certificados digitais, com base na criptografia de chave pblica

Possibilita a associao entre chaves pblicas e usurios A Autoridade Certificadora assina os certificados com a sua chave privada O padro de certificados mais comum o ITU-T X.509

As operaes e processos referentes aos certificados e s chaves pblicas levaram a criao de uma PKI (ou ICP) Regras para emisso de certificados Regras para revogao de certificados Protocolos para troca de chaves Leis e jurisdio a respeito da ICP

Proteo contra
Interceptao de trfego de informao de uma maneira desautorizada.

Proteo contra
Intercepo fsica (do sinal, no dos dados) ocorrida num canal de transmisso.

Previnir Personificaes:

mascarar (spoof) pacotes IP com endereos remetentes falsificados.

Prover autenticao forte

Segurana da Informao - Conceitos Bsicos

13

Professor Andr Cardia

14/03/2010

Associa uma entidade a uma chave pblica

um certificado no assinado que apresenta a chave pblica de uma AC (ou auto-assinado); Este certificado importantssimo para a PKI, pois a assinatura da AC ser verificada utilizando-se ele

Atesta que entidade possui determinados atributos (ex: nome completo, residncia, email, etc)

Os certificados raiz so implicitamente confiveis. Eles so includos em muitos programas conhecidos, como os Browsers. Voc precisa confiar que o fabricante acoplou ao programa certificados raiz legtimos

Processo no qual uma entidade se registra a uma autoridade certificadora, geralmente por meio da Autoridade de Registro (AR)

Processo em que uma AC envia um certificado digital para a entidade que a solicitou e o coloca em um repositrio.

Segurana da Informao - Conceitos Bsicos

14

Professor Andr Cardia

14/03/2010

Em algumas situaes, uma organizao quer ter acesso a informaes que esto protegidas, quando um funcionrio no esta disponvel (ex: doente). A PKI deve fornecer um sistema que permita a recuperao de chaves, sem apresentar riscos inaceitveis de comprometimento da chave privada

Dependendo da poltica da AC, o par de chaves pode ser gerado pelo prprio usurio ou pela AC Se a AC gerar as chaves, elas podem ser distribudas para o usurio atravs de um ,

Revogao Situaes que podem levar a revogao:

Entidade criadora dos certificados digitais Pode ser interna a uma organizao ou um terceiro confivel

Distribuio e Publicao de Certificados Inclui transmisso ao proprietrio e publicao em um repositrio

Realiza o registro dos usurios Aceita as requisies de certificados

Segurana da Informao - Conceitos Bsicos

15

Professor Andr Cardia

14/03/2010

1 Usurio Autoridade de Registro

2 3. O usurio pega o certificado digital armazenado 1. Solicita o acesso a um recurso Valido ? 3 2. Requisita o Certificado Digital 4. Usurio apresenta o certificado 6. 7. Recusa o Certificado 7. Concede o acesso ao Recurso Certificado Valido ? Repositrio de chaves, Certificados, CRL
5. A aplicao autentica o certificado digital do usurio

Aplicao

Repositrio de chaves, Certificados, CRL

Autoridade Certifcadora

Segurana da Informao - Conceitos Bsicos

16

Professor Andr Cardia

14/03/2010

com acesso a chave pblica da pode verificar a chave pblica de um ;

Dvidas??? Prof. Andr Cardia andre@andrecardia.pro.br Site: www.andrecardia.pro.br

Ningum, a no ser a certificado digital.

, pode modificar um

Segurana da Informao - Conceitos Bsicos

17