Você está na página 1de 85

Noes Gerais de Segurana

O ser humano tem como atributo natural, a busca incontinente


do meio mais fcil para conseguir seus objetivos, sejam eles
materiais ou morais. A Rede Mundial de Computadores e
demais equipamentos de Informtica, so meios mais geis,
teis e eficazes para obteno de objetivos inerentes a cada
pessoa, talvez, inimaginveis por um leigo no sculo XX.

No entanto, ao mesmo tempo que os meios


eletrnicos trazem para a sociedade uma facilidade
para progresso financeira e moral de forma lcita,
infelizmente,
tambm
trazem
as
mesmas
progresses para os criminosos, principalmente em
relao aos crimes contra o patrimnio.

O Brasil, segundo diversas fontes de pesquisa, alcana os primeiros


lugares no ranking de crackers (tipo de Hacker que utiliza seus
conhecimentos para prtica de ilcitos) e cybercrimes no mundo

Segurana !?

No mundo virtual tambm estamos


sujeitos a vrios golpes.

Estamos Realmente Seguros ?

Por que segurana?


Por que estar preocupado com o
meu sistema de computao?
Quais os quesitos para classificar
meu sistema como sendo seguro?
E mais... O que a segurana da
Informao pode fazer por mim?

Princpios da Segurana da Informao


A segurana da Informao busca reduzir os riscos de
vazamentos, fraudes, erros, uso indevido, sabotagens,
paralisaes, roubo de informaes ou qualquer outra
ameaa que possa prejudicar os sistemas de informao ou
equipamentos de um individuo ou organizao.

Princpios da Segurana da
Informao

 Disponibilidade
 Integridade
 Confidencialidade
 Autenticidade
 No-Repdio

DISPONIBILIDADE:
Um sistema de alta disponibilidade um
sistema de informao resistente a falhas
de software e energia, cujo objetivo
manter os servios disponibilizados o
mximo de tempo possvel.
 Trata-se do risco de uma informao
apresentar-se
inacessvel
devido
a
interrupes no planejadas em sistemas. As
organizaes tm a responsabilidade de
manter
seus
sistemas
de
negcio
operacionais.


INTEGRIDADE:


a garantia de que uma informao no foi


alterada durante seu trajeto do emissor para o
receptor.
Tendo a garantia de dados ntegros, o receptor
pode se assegurar de que a mensagem que ele
recebeu tem realmente aquele contedo.
(ex: se um e-mail foi alterado antes de chegar ao
destino, a Integridade foi maculada, mas o
receptor no saberia disso at que tomasse a
deciso embasada pelo contedo falso do email).

CONFIDENCIALIDADE (Sigilo):


a garantia de que os dados s sero


acessados
por
pessoas
autorizadas,
normalmente detentoras de login e senha que
lhes concedem esses direitos de acesso.
Tambm se refere garantia de que um e-mail,
por exemplo, no ser lido por outrem a no
ser o destinatrio devido
(ex. uma interceptao de um e-mail e a leitura
deste por parte de algum estranho
transao um atentado confidencialidade).

AUTENTICIDADE:


a garantia da identidade de uma pessoa (fsica


ou jurdica) ou de um servidor (computador)
com quem se estabelece uma transao (de
comunicao, como um e-mail, ou comercial,
como uma venda on-line).
Essa garantia, normalmente, s 100% efetiva
quando h um terceiro de confiana (uma
instituio com esse fim: certificar a identidade
de pessoas e mquinas) atestando a
autenticidade de quem se pergunta.
(ex: quando voc se comunica, pela internet,
com o site do seu banco, voc tem completa
certeza que COM O SEU BANCO que voc est
travando aquela troca de informaes?).

NO-REPDIO: (IRRETRATABILIDADE)


a garantia de que um agente no consiga


negar um ato ou documento de sua autoria.
Essa garantia condio necessria para a
validade jurdica de documentos e transaes
digitais. S se pode garantir o no-repdio
quando houver Autenticidade e Integridade (ou
seja, quando for possvel determinar quem
mandou a mensagem e quando for possvel
garantir que a mensagem no foi alterada).
Novamente, entramos no mrito de que s
haver tal garantia 100% vlida, se houver uma
instituio que emita essas garantias.

AMEAAS AOS SISTEMAS DE


INFORMAO (MALWARES)
So componentes que podem prejudicar,
de forma temporria ou permanente, o
funcionamento de um sistema de
informao.
As polticas e agentes de segurana tm
como principal objetivo evitar que tais
componentes tenham sucesso.

Vrus de Computador:


programas maliciosos, criados para se


replicar automaticamente e danificar o
sistema. Existem vrios tipos de vrus com
vrias caractersticas interessantes...
A principal caracterstica de um vrus sua
capacidade de se copiar sozinho e de anexarse a arquivos (os vrus no existem sozinhos
(autnomos), apenas infectando arquivos
aparentemente normais). Um bom programa
Antivrus evitaria (ou minimizaria) o risco de
tais infeces.

Tipos de Vrus de
Computador

Vrus de Boot:


Um dos primeiros tipos de vrus conhecido, o


vrus de boot infecta a parte de inicializao do
sistema operacional. Assim, ele ativado
quando o disco rgido ligado e o sistema
operacional carregado.
Normalmente se copiam para o MBR do HD,
apagando seu contedo ou permanecendo l,
para serem carregados sempre que o sistema
operacional for executado (na inicializao da
mquina).

Vrus de Macro:


Afetam os programas da Microsoft que


so baseados em VBA (Visual Basic
for Applications). As instrues destes
vrus so, na verdade, macros
existentes em arquivos .DOC ou .XLS
(.MDB do Access tambm), que,
quando executadas, do origem a
vrias operaes inconvenientes no
micro (incluindo o apagamento de
arquivos).

Time Bomb
Os vrus do tipo "bomba-relgio so
programados para se ativarem em
determinados momentos, definidos pelo
seu criador. Uma vez infectando um
determinado sistema, o vrus somente se
tornar ativo e causar algum tipo de dano
no dia ou momento previamente definido.
Alguns vrus se tornaram famosos, como
o "Sexta-Feira 19", "Michelangelo", "Eros"
e o "1 de Abril (Conficker), I Love You.

WORMS:


Worms:
programas autnomos
(no parasitam arquivos, pois eles
so os prprios arquivos) que se
replicam pela estrutura das redes,
como aqueles que se copiam pela
Internet, atravs de mensagens de
e-mail.

Cavalos de Tria (Trojan):


Trojan Horse


Programas que criam canais de comunicao para


que invasores entrem num sistema. Quando um
programa desses executado em um computador,
ele manda pacotes de informao por meio de uma
porta de comunicao qualquer ao seu dono (pessoa
que o enviou vtima). Depois de enviar tal pacote,
estabelecida uma conexo naquela porta especfica,
permitindo a transferncia de informaes entre o
atacante e o atacado e permitindo at mesmo que o
computador da vtima seja controlado pelo invasor.
Um FIREWALL bem configurado cortaria as relaes
entre os dois, evitando a comunicao por meio de
portas no autorizadas.

Hijackers
Hijackers so programas ou scripts que
"sequestram" navegadores de Internet.
Quando isso ocorre, o hijacker altera a
pgina inicial do browser e impede o
usurio de mud-la, exibe propagandas
em pop-ups ou janelas novas, instala
barras de ferramentas no navegador e
podem impedir acesso a determinados
sites (como sites de software antivrus,
por exemplo).

Hackers:


usurios experientes que invadem


sistemas de informao. Os indivduos
denominados
Hackers
no
so
necessariamente ameaas, pois, assim
como as Medidas Provisrias, existem
os Hackers do bem. Apenas so
conhecidos pelos seus conhecimentos
avanados
em
informtica
e,
especialmente, redes de comunicao..

Bots e Botnets:
so programas capazes de se
propagar utilizando brechas nos
softwares
em
um
computador.
Permitem
comunicao
com
o
invasor, e, portanto, so controlados
remotamente;

Vrus em redes sociais


Em torno de 2006 e 2007 houve muitas ocorrncias de
vrus no Orkut que capaz de enviar scraps (recados)
automaticamente para todos os contatos da vtima na rede
social, alm de roubar senhas e contas bancrias de um
micro infectado atravs da captura de teclas e cliques.
Apesar de que aqueles que receberem o recado precisam
clicar em um link para se infectar, a relao de confiana
existente entre os amigos aumenta muito a possibilidade
de o usurio clicar sem desconfiar de que o link leva para
um worm. Ao clicar no link, um arquivo bem pequeno
baixado para o computador do usurio. Ele se encarrega
de baixar e instalar o restante das partes da praga, que
enviar a mensagem para todos os contatos do Orkut.

Estado Zumbi
O estado zumbi em um computador ocorre quando
infectado e est sendo controlado por terceiros. Podem
us-lo
para
disseminar,
vrus,
keyloggers,
e
procedimentos invasivos em geral. Usualmente esta
situao ocorre pelo fato da mquina estar com seu
Firewall e ou Sistema Operacional desatualizados.
Segundo estudos na rea, um computador que est na
internet nessas condies tem quase 50% de chance de
se tornar uma mquina zumbi, que dependendo de quem
est controlando, quase sempre com fins criminosos,
como acontece vez ou outra, quando crackers so presos
por formar exrcitos zumbis para roubar dinheiro das
contas correntes e extorquir.

PROGRAMAS DESATUALIZADOS:


os sistemas operacionais e aplicativos


apresentam falhas diversas que, com o
tempo, caem na boca do povo. Quando
uma falha descoberta, os hackers de
planto saem procura de sistemas que
ainda no foram atualizados e que, por isso,
ainda possuem tais falhas. Manter o
Windows atualizado, bem como qualquer
outro programa de comunicao com a
Internet, exigncia para se ter um sistema
menos suscetvel a invasores.

Usurios descontentes/leigos:


podem causar problemas com/sem


inteno (respectivamente). Quando um
usurio no sabe o que est fazendo ou
no consegue mensurar a importncia de
sua senha estar bem guardada, muitos
problemas podem acontecer por meio de
ataques ao sistema da empresa
propiciados
pela,
digamos,
ingenuidade do usurio. A Inteno de
causar problemas ou de abrir portas para
invasores pode ser tambm fator
marcante dentre os problemas que um
sistema de informao pode enfrentar.

Spam:


envio de mensagens de e-mail em grande


nmero
(sem
autorizao
dos
destinatrios). O SPAM no uma
ameaa segurana em si.
Alguns programas, ditos Anti-Spam,
tentam diminuir os efeitos dessa prtica
abusiva, mas muitas vezes sem sucesso.

Exploits:


programas que exploram falhas em


sistemas de informao.
So programas prontos para utilizar
as falhas previamente descobertas
nos sistemas.

Sniffers:


Programas que espionam a comunicao em uma


rede (escutam o que os outros falam). So
chamados de programas farejadores.
Quando instalados em servidores proxy ou
gateways de uma rede, podem armazenar ou enviar
(para o espio) todos os pacotes que trafegam pela
rede e ele, o bisbilhoteiro, poder ler os pacotes
(pois a maioria deles de texto, simplesmente). As
comunicaes
criptografadas
no
so
compreendidas por quem est farejando a rede.
O uso de switches, ao invs de hubs, pode
minimizar esses tipos de ataques, especialmente
se o programa farejador est instalado apenas no
computador do atacante.

PORT SCANNERS:


programas que vasculham um computador a procura


de portas de comunicao abertas.
Esses programas ficam analisando, sequencialmente,
as diversas portas de um computador, enviando
vrios pacotes seguidos para esse computador com
nmeros de portas diferentes, apenas para receber a
resposta de uma delas e, com isso, constatar a
presena de portas abertas.
Um programa Firewall pode fechar todas as portas
desejadas, evitando maiores riscos com essa tcnica.
Um programa IDS (Sistema Detector de Intrusos) pode
analisar o comportamento suspeito de mandar
pacotes seguidos a vrias portas e diagnosticar
aquilo como sendo uma tentativa de port scan.

Backdoor:


Porta dos fundos uma brecha,


normalmente colocada de forma intencional
pelo programador do sistema, que permite a
invaso do sistema por quem conhece a falha
(o programador, normalmente).
Acredita-se que sistemas comerciais famosos,
como o Windows, possuam Backdoors para
que a Microsoft possa obter informaes do
micro sem que o usurio invadido saiba.

Spyware:
So malwares que rastreiam toda a sua
atividade
no
computador
e
internet,
monitorando pginas visitadas, hbitos de
navegao e tantas outras informaes.
Podem
vir
embutidos
em
softwares
desconhecidos e sites maliciosos.
Programas, instalados no computador da
vtima, que podem filmar tudo o que ela faz.
Ou copiar tudo o que se digita no micro
afetado. e enviam esses dados para o
computador do bisbilhoteiro.

Keyloggers
So malwares criados para monitorar
tudo que digitado no teclado pelo
usurio. Com o objetivo de capturar
senhas e outros dados pessoais.

screenlogger


Forma avanada de keylogger, capaz


de armazenar a posio do cursor e a
tela apresentada no monitor, nos
momentos em que o mouse clicado,
ou armazenar a regio que circunda a
posio onde o mouse clicado.

Adware:

So malwares que infestam o computador com


anncios e propagandas, porm sem o seu
consentimento, realizam constantemente a
abertura de janelas (pop-ups) de anncios de
propaganda. Normalmente, esses programas so
confundidos
com
vrus,
mas
no
so
classificados desta maneira. Existe toda uma
indstria por trs dos adwares, e eles faturam
milhes.

Rootkits
So uma espcie de trojan que
procuram se camuflar no sistema,
com
tcnicas
avanadas
de
programao.
Costumam
utilizar
tcnicas
como:
esconder
suas
entradas no registro, e esconder os
seus processos no gerenciador de
tarefas.

Ransomware


um tipo de malware com uma "proposta" mais ousada:


uma vez ativo, a praga pode bloquear ou limitar (ou
permitir que seu criador o faa remotamente) o acesso a
arquivos,
pastas,
aplicativos,
unidades
de
armazenamento inteiras ou at mesmo impedir o uso do
sistema operacional. Para liberar estes recursos, o
ransomware costuma mostrar mensagens exigindo
pagamentos. como se o computador tivesse sido
sequestrado.
Para convencer o usurio a desembolsar o valor exigido, a
mensagem pode conter ameaas ou chantagens, dizendo, por
exemplo, que dados importantes sero apagados ou que imagens
particulares da pessoa sero publicadas na internet caso o
pagamento no seja efetuado.

So exemplos de cdigos ou programas


maliciosos:

A) doppers, rootkits, vrus e twitter.


B) skype, cavalo de troia, worms e
cookies.
C) cavalo de tria, worms, vrus e
Feed RSS.
D) worms, vrus, cookies e gopher.
E) virus, spyware, worms e cavalo de
troia.

Agentes da Segurana


Antivrus: programa residente na memria


(fica sempre na memria RAM) que tenta
proteger o sistema contra infeces de
vrus de computador (vrus informtico
o nome atualmente usado).
Um antivrus tanto evita novas infeces
como limpa o sistema de infeces j
estabelecidas. Um antivrus normalmente
degrada o desempenho do computador por
estar sempre executando na memria RAM
e, na maioria dos casos, ser muito
pesado. Antivrus no so sistemas
efetivos contra tentativas de invaso.

Firewall:


Programa que cria uma barreira de


proteo contra invasores (na verdade,
contra, especificamente, as tentativas de
comunicao
com
o
computador
protegido).
Um
firewall
pode
bloquear
as
comunicaes por diversos critrios, como
os filtros de pacotes (um tipo de firewall)
que pode proibir ou permitir a passagem
de um pacote de acordo com a porta de
comunicao utilizada.

Nota:



O que um firewall?
O firewall pode ser um software ou
hardware responsvel por prevenir
trfego no autorizado de entrada e sada
de rede. Ele ajuda a manter seus dados
seguros de acessos de rede externos no
autorizados.

Nota:


Um proxy um software que armazena dados


em
forma
de
cache
em
redes
de
computadores.
Rodam
em
mquinas
com
ligaes
tipicamente superiores s dos clientes e com
poder de armazenamento elevado.
de salientar que, utilizando um proxy, o
endereo que fica registado nos servidores o
do prprio proxy e no o do cliente.

IDS:
Sistema Detector de Intrusos (IDS)
um
conjunto
de
tecnologias
(programas, hardware) que objetiva
descobrir, em uma rede, os acessos
no autorizados a ela que podem
indicar a ao de invasores.
 Os scanners de portas, os cavalos de
tria, os pacotes endereados a portas
estranhas so indcios de possveis
aes maliciosas de invasores.


Anti-Spam:


programas que podem classificar as


mensagens de e-mail recebidas como
sendo aceitveis ou como sendo spam
(indesejadas). Esse programa permite
que os usurios no sejam incomodados
com essa prtica desagradvel. Como
um spam pode trazer outras coisinhas
chatas consigo (vrus, worms, trojans), o
anti-spam um recurso bastante
interessante para que nossas caixas
postais sejam usadas para armazenar
apenas o necessrio.

Criptografia:


processo matemtico para embaralhar uma


mensagem digital, tornando sua leitura
incompreensvel por pessoas que no possuam
a chave (cdigo) para desembaralhar a
mensagem. A criptografia pode ser usada,
atualmente, para manter os dados sigilosos
(privacidade)
a criptografia a alma dos processos de
certificao digital e assinatura digital

SIMTRICA
ASSIMTRICA

Criptografia Simtrica
(ou Criptografia de Chave nica)
Uma das formas atuais de criptografia chamada de
Criptografia Simtrica, ou Criptografia de Chave nica,
que, como o nome diz, utiliza uma nica chave para
encriptar e decriptar os dados.
 A criptografia simtrica existe h muito tempo e tem
algumas caractersticas interessantes:


Usa apenas uma chave para encriptar e decriptar as


mensagens;





mais rpido, pois exige menos dos processadores para encriptar/decriptar


as mensagens.
Por esse fato, o sistema usado para criptografar grandes quantidades de
dados (como e-mails com arquivos anexos grandes ou at mesmo discos
rgidos inteiros).
A chave tem que ser compartilhada entre os envolvidos na comunicao, o
que torna esse sistema suscetvel a falhas de segurana (se a chave cair em
mos erradas, mensagens podero ser lidas e forjadas pelo novo
participante da conversa).
No possvel garantir a identidade da pessoa que enviou a mensagem,
porque a chave pode estar em poder de mais pessoas, e, portanto, todas
elas seriam potenciais remetentes de mensagens criptografadas.
Os principais algoritmos de Criptografia Simtrica usados comercialmente
por aplicaes na Internet so:
DES,
3DES (Triple DES)
AES - mais recentemente




DES: usa chaves de 40 e 56 bits. J est obsoleto, mas o mais


usado ainda;
3DES (Triple DES): usa chaves de 168 bits. 3 vezes mais
pesado e mais seguro que o DES, porque criptografa a
mensagem 3 vezes seguidas, usando DES. Ento, em suma, ele
usa trs chaves diferentes de 56 bits que, combinadas,
resultam numa chave de 168 bits.
AES: usa chaves de 256 bits. o substituto do DES e 3DES.
A fora de qualquer algoritmo de criptografia est ligada
diretamente chave usada (mais precisamente, ao seu
tamanho) e ao processo matemtico em si, utilizado por aquele
algoritmo. Os algoritmos acima apresentados so de domnio
pblico, ou seja, eles j so conhecidos: muitos programas j
os utilizam.
Ento, se os algoritmos j no so nenhum segredo, a
responsabilidade pela segurana de um processo criptogrfico
simtrico recai sobre a Chave!

Fora Bruta


Ento, para ser capaz de ler uma mensagem criptografada que


no lhe pertence, um invasor tem que descobrir a chave, o
que, convenhamos, difcil, mas no impossvel.
Uma chave um nmero binrio (uma seqncia de ZEROS e
UNS). Bastaria testar todos os nmeros binrios possveis at
encontrar aquele que daria uma mensagem legvel como
resultado. Esses sucessivos processos de tentativa e erro
so chamados de mtodo de Fora Bruta (brute force).
Fora Bruta , em suma, programar um computador para
testar, em uma mensagem criptografada, todas as possveis
chaves dentro de um espao dado. Ento, quanto mais
possibilidades de chaves houver, mais difcil se torna o
sucesso do mtodo de fora bruta.

Ol Jos,
Pode tirar o dia de
folga amanh!

Espio tentando
descobrir a chave dentre
muitas (fora bruta)

#4#33JksohANAN(
*8JsknQuENDFF#4
$5^^&klsL:eHJH@

#4#33JksohANAN(
*8JsknQuENDFF#4
$5^^&klsL:eHJH@

Ol Jos,
Pode tirar o dia de
folga amanh!

Pode parecer bem frgil, mas quantas possibilidades de


chaves podem ser criadas? Claro que 256, que equivalem
a 72.057.594.037.927.936 (72 quatrilhes, para arredondar)
chaves. As chaves de 56 bits j foram quebradas (hoje,
leva-se menos de um dia para descobrir chaves de 56
bits), portanto, elas no so mais to seguras!
Hoje, estima-se que chaves com menos de 80 bits so
fceis de quebrar e que as de 128 bits sero
suficientemente seguras por bastante tempo ainda.

Ento, Criptografia Simtrica 100%


Segura?


No! Em primeiro lugar, nada 100% seguro! O Grande


problema da criptografia simtrica justamente s usar
uma nica chave para ambos os processos, pois: como
essa chave vai ser compartilhada?
utilizamos criptografia em uma comunicao (e-mail, por
exemplo) para garantir que, se houver algum indevido
bisbilhotando, ele no seja capaz de entender a
mensagem, mas o destinatrio devido consiga entend-la.
Certo, mas como trocar chaves com o destinatrio se o
meio de comunicao (e-mail) j estiver grampeado?
... Podemos trocar chaves fisicamente (por disquetes,
CDs), mas isso requer que eu encontre cara a cara o meu
interlocutor, ou envie pelo correio, o que nem sempre
possvel, no acha? A chave o segredo da segurana e,
ao mesmo tempo, sua maior vulnerabilidade!

Criptografia Assimtrica
(Criptografia de Chave Pblica)



Temos que divulgar a chave criptogrfica para todos os envolvidos


(oficiais) na comunicao, no ?
Ao mesmo tempo, temos que garantir que a chave no caia em mos
erradas, pois isso permitiria que outra pessoa (no autorizada) pudesse
ler e enviar mensagens criptografadas aos demais, como se tivesse esse
direito.
Informar as chaves aos envolvidos requer transferir esse dado (a chave)
por um meio seguro. Mas, o que se considera seguro? E mais ainda:
seguro MESMO?!
A criptografia Assimtrica, tambm conhecida como Criptografia de
Chave Pblica veio para resolver o problema de a chave ter que ser
compartilhada (para os merecedores poderem ler as mensagens) e ao
mesmo tempo evitar que os no merecedores (os bisbilhoteiros de
planto) consigam l-las.
Na criptografia assimtrica no criada uma nica chave, mas um par
delas. Uma das chaves serve SOMENTE PARA ENCRIPTAR mensagens.
A outra chave serve SOMENTE PARA DECRIPTAR mensagens.




As duas chaves so matematicamente relacionadas, no


podendo haver uma delas sem a outra (ou seja, quando um
programa gera um par de chaves A e B, por exemplo -, ele no
poder gerar A sem B, nem B sem A). como gentica: as duas
chaves tm o mesmo DNA, uma delas no pode ser criada em
conjunto com uma terceira, s existir com aquela outra chave
especificamente. As duas chaves so geradas exatamente no
mesmo momento!
Mas por que duas chaves? E por que cada uma faz uma
operao diferente?
A chave que encripta mensagens (chamada chave de
codificao criptogrfica, ou chave de encriptao) ser
distribuda livremente, e, por isso, ela ser chamada, daqui por
diante, de Chave Pblica, ou Chave Compartilhada.
Por sua vez, a chave que decripta mensagens (chamada chave
de decodificao criptogrfica, ou chave de decriptao) ser
armazenada secretamente com seu titular (dono). Essa a Chave
Privada ou Chave Secreta.

Criptografia Simtrica

Criptografia Assimtrica

Usa uma nica chave para encriptar e


decriptar mensagens;

Usa chaves diferentes para encriptar e


decriptar mensagens;

A chave tem que ser compartilhada entre


os usurios que iro se comunicar;

Apenas a chave de encriptao


compartilhada (pblica). A chave de
decriptao mantida em segredo
(privada) com seu titular.

Existe apenas uma nica chave para


todos os envolvidos na comunicao.

Cada usurio que ir se comunicar possui


um par de chaves prprio;

Os
processos
de
encriptao
e
decriptao so simples (exigem pouco
processamento) ideal para grandes
quantidades de dados;

Os processos so mais lentos (exigem


mais clculos dos processadores) vivel
apenas em pequenas quantidades de
dados;

mais suscetvel a quebras de segredo


da chave; Ataques de fora bruta so a
mais indicada forma de quebrar a chave
(descobri-la);

praticamente impossvel quebrar as


chaves atuais em tempo suficientemente
hbil
(nem
mesmo
usando
vrios
computadores reunidos);

Principais algoritmos:

Principal algoritmo:

DES: Chaves de 40 e 56 bits


3DES: Chaves de 168 bits
AES: Chaves de 256 bits

RSA: Chaves de 256 bits, 512, 1024 e at


2048 bits (Governo dos EUA)

A Criptografia Garante o Que?




Como a criptografia tem como intuito fazer com que uma mensagem no
seja lida por pessoas no autorizadas, o princpio da segurana atingido
por essa tcnica , sem dvidas, a Confidencialidade (privacidade).
A criptografia no garante a Integridade dos dados, porque eles podem ser
alterados durante uma interceptao. Essa alterao pode at no ter
sentido, visto que no necessariamente o espio saber o que est
fazendo (quando ele no conhece a chave), mas em alguns casos (quando
conhece/descobre a chave), a alterao poder ser realizada no meio do
caminho e o destinatrio no conseguir detectar alteraes.
Outra coisa que a criptografia no faz garantir a identidade do remetente
de uma mensagem. Por exemplo, se Joo e Jorge possurem a chave
pblica de Jos, Jorge poder enviar um e-mail criptografado a Jos,
forjando os dados de envio e fazendo parecer que foi Joo que o fez.
Portanto, a criptografia no garante a Autenticidade.
Se no se pode garantir a identidade de um usurio remetente, no
possvel garantir o No-Repdio. Portanto, o usurio poder,
normalmente, negar que foi ele que enviou tal mensagem.

Resumo da Mensagem (Message Digest) Hash




H um mtodo matemtico bastante usado para garantir a


Integridade dos dados durante uma transferncia qualquer (ou
seja: garantir que o dado no foi alterado no meio do caminho).
Esse recurso conhecido como Hash.
O Hash uma funo matemtica unidirecional (pode ser feita
num sentido e no no outro como a relao entre as chaves
em um sistema de criptografia assimtrica) para escrever uma
quantidade definida de bytes em relao a uma mensagem de
qualquer tamanho. Em suma: no se pode obter o arquivo
original a partir do Hash ( impossvel, ou, no mnimo, bastante
improvvel).
O Hash como o dgito verificador do CPF,
No importando o tamanho da mensagem ou arquivo, ele ter
sempre um hash de tamanho fixo (isso depende unicamente do
algoritmo de Hash utilizado).







Como funciona o Hash, na prtica? Vamos exemplificar


como ele vai funcionar para E-mail, por exemplo:
Quando um e-mail enviado, o remetente calcula o Hash
da mensagem, que d um resultado com tamanho
definido (digamos, 20 caracteres) como:
Asd#234iOO9Qne$kELd@
O remetente, ento, envia o Hash junto com a mensagem.
Quando a mensagem chega ao destinatrio, este tambm
calcula o Hash da mensagem e o compara com o Hash
enviado pelo remetente.
Se o resultado do clculo do destinatrio apresentar um
valor idntico ao do Hash enviado do remetente, garantese a integridade dos dados enviados (ou seja, eles no
foram alterados durante o percurso remetentedestinatrio).

O que obtemos com o Hash?




Com o Hash atinge-se, sem dvidas, a


garantia de integridade dos dados
transmitidos. Mas somente isso!
Como o hash no criptografa a
mensagem,
no
se
consegue
confidencialidade.
Como
no
h
garantias de quem mandou a mensagem
(porque qualquer um pode ter calculado
o hash antes de envi-la), no h
autenticidade (e, com isso, no h
garantia de no-repdio).

Os algoritmos de Hash mais comuns hoje


em dia so:

MD4 e MD5: criam um resumo de 148


bits (16 caracteres);
SHA-1: cria um resumo de 160 bits
(20 caracteres) o mais usado
atualmente;

Assinatura Digital


Ns j fomos apresentados a um recurso que garante o sigilo


(confidencialidade) dos dados (a criptografia) e a outro
recurso que garante a integridade dos dados (o resumo da
mensagem, ou hash).
Agora hora de conhecermos um recurso da comunicao
digital que garante a autenticidade dos dados, permitindo
associar um determinado dado a um determinado usurio
remetente: esse recurso a Assinatura Digital.
A assinatura digital se baseia em criptografia assimtrica, ou
seja, na existncia de um par de chaves para cada usurio
(uma pblica e outra privada). A principal diferena entre a
criptografia assimtrica em si e a assinatura digital como
essas chaves vo ser usadas.

No processo criptogrfico, no intuito de se ter


confidencialidade (sigilo), o remetente usa a chave pblica do
destinatrio para encriptar a mensagem esperando que ele (o
destinatrio) seja capaz de decifrar a mensagem usando a
chave privada dele (destinatrio). Ento, em suma, a
comunicao sigilosa usa apenas as chaves do destinatrio
da mensagem.
No processo de assinatura digital, com o qual se deseja a
autenticidade, o remetente usar sua chave privada para
assinar a mensagem. Por outro lado, o destinatrio usar a
chave pblica do remetente para confirmar que ela foi enviada
realmente por aquela pessoa. A mensagem no sigilosa,
porque no criptografada, e tambm porque teoricamente
todos tm acesso chave pblica do remetente (afinal, ela
pblica).

Assinatura Digital na Prtica




A teoria a respeito da assinatura digital muito


interessante porque se garante, com ela, a
autenticidade de um usurio, devido ao fato de a
mensagem ter sido assinada pela chave privada
de tal usurio.
Mas, na prtica, a assinatura digital mais que
isso: ela no s garante a autenticidade, mas a
integridade dos dados enviados (ou seja, a
assinatura digital no s garante que foi Joo
que mandou a mensagem, ela tambm garante
que Joo mandou EXATAMENTE AQUELA
MENSAGEM, ou seja, ela no foi alterada no
meio do caminho).

Botes de Criptografia e Assinatura Digital

O que se obtm com a Assinatura Digital?




Autenticidade: o fato de a assinatura ter sido


realizada pela chave privada do remetente e
confirmada por sua chave pblica (no destino), temse a garantia de que foi realmente aquele usurio
que a enviou;
Integridade: Como a assinatura digital usa hash,
possvel garantir que a mensagem no foi alterada
no meio do caminho;
No-Repdio: o usurio no poder dizer que no foi
ele quem escreveu aquela mensagem.

A Assinatura Digital serve Sozinha?




Se voc me perguntar hoje: Ento, a assinatura


digital a soluo para todas as questes
relacionadas

validade
jurdica
de
um
documento?, a resposta seria: No! Sozinha, a
assinatura digital no juridicamente vlida.
Veja bem, voc alugaria um apartamento seu, ou
venderia um carro, ou prestaria um servio pago
para algum que no conhece? E se ele assinar um
contrato, voc faria? E se ele assinar um contrato
com firma reconhecida em cartrio, voc se
sentiria mais seguro?
A palavra de ordem : confiana.

Se voc confia no indivduo, ele ser sua garantia de que


cumprir o contrato. Se voc confia que ele honrar a
assinatura, ela (a assinatura no contrato) a sua garantia de
que voc poder exigir depois (embora ele possa repudi-la).
Mas, com certeza, confiar assim confiar quase que
cegamente.
Quando a assinatura est atestada por um terceiro em quem
as duas partes confiam, tem-se um nvel satisfatrio de
confiana. Ento, somente d para se encostar no travesseiro
e dormir tranqilo quando se confia nas partes e/ou no terceiro
que certifica a idoneidade (ou, pelo menos, a identidade) das
partes.
Nesse caso, entra o cartrio que reconheceu a assinatura no
contrato e deu seu carimbo (normalmente, agora, um selo
impresso eletronicamente) ele o terceiro de confiana. Ele (o
cartrio) o componente no qual as duas partes confiam e que
certifica a identidade de uma para a outra.

Ento, chegamos ao ponto em que a


Justia, e o governo como um todo,
encontram falhas no uso a assinatura digital
para que os documentos digitais tenham
validade e possam no ser repudiados. Mas
essa falta de certeza (ou melhor, falta de
confiana no interlocutor) na Internet que
demandou a criao de um modelo de
confiana coletiva conhecido como
Certificao Digital.

Certificao Digital


A Certificao Digital um processo que garante, de


forma nica, a identidade de uma pessoa (usurio de email, por exemplo), ou de um computador (quando
acessamos o banco). A certificao digital garantida
por um terceiro de confiana: uma instituio
conhecida, normalmente, como AC (Autoridade
Certificadora CA em ingls).
A Certificao Digital se baseia na existncia de
documentos chamados Certificados Digitais para cada
indivduo a ser autenticado (pessoa ou micro).
Um Certificado Digital um documento (um arquivo em
seu computador, por exemplo) que guarda informaes
sobre seu titular e atestado (garantido) por uma
Autoridade Certificadora

Como um certificado funciona? Vamos imaginar uma coisa bem


simples: o acesso a um site da Internet que considerado
seguro. Voc sabia que o site que voc est acessando pode ter
sido forjado? Sim! O site do banco que voc est acessando, e no
qual voc digita a sua agncia, conta corrente e senha, pode, em
alguns casos, no pertencer ao seu banco realmente. Como saber
ento? Pelo certificado.
Ei, eu no preciso de certificado... Eu sei que um site seguro e
autntico pelo cadeadozinho que aparece na parte de baixo da
janela do programa!!
Muita gente acha que pode garantir a autenticidade de um site
simplesmente pela presena do cadeado (o cone) na barra de
status do programa navegador, mas isso no uma garantia da
autenticidade do site, uma garantia apenas de que a
comunicao entre o site e o usurio est sendo feita de forma
criptografada.

Ento, em suma, o cadeado no garante a autenticidade do site com


quem se est conversando, mas garante a confidencialidade dos
dados dessa conversa (ou seja, se houver algum bisbilhotando a
conversa, no conseguir entend-la). Essa conversa sigilosa pode
ser forjada tambm, quer dizer, um site clandestino, que finge ser
um site de um banco, por exemplo, pode criar uma conexo
criptografada somente para que o cadeado aparea e o usurio
acredite se tratar realmente do site do seu banco.

a que entra o certificado: quando


voc entrar no site seguro e visualizar
o cadeado, acione um clique-duplo no
cadeado: ele ir abrir uma janela
mostrando
as
regras
dessa
comunicao
segura,
inclusive,
mostrando
acesso
ao
certificado
daquele site.

Note que o Certificado foi


emitido pela Verisign (uma
Autoridade
Certificadora
bastante conhecida talvez o
mais confivel cartrio virtual
da Internet). Este um
Certificado que autentica a
identidade do servidor (no caso,
o servidor do HSBC). Este
certificado a garantia de que,
quando eu acessei o endereo
do HSBC, a pgina que eu
estava vendo realmente era do
HSBC,
e
no
de
algum
forjador de sites