Escolar Documentos
Profissional Documentos
Cultura Documentos
PLANO DE CURSO
Pragas Virtuais e principais ameaas
Instalao, Configurao de distribuio Linux e
ferramentas utilizadas por hackers na verificao
de vulnerabilidades em sistemas de software
Mecanismos de garantia de segurana
Firewall, mecanismos de criptografia: simtrica e
assimtrica, assinatura digital e certificados
digitais
PLANO DE CURSO
Introduo aos princpios da segurana
computacional na administrao e
desenvolvimento de sistemas
Projeto OWASP
Avaliaes
2 Provas Escritas
Exerccios complementares
Seminrios
Introduo sobre a
Segurana Computacional
Breve Histrico
Preocupaes com a segurana...
Cerca de
1900 a.C
Jlio Csar
Cofre
Ambientes Militares
A Criptologia ajudou nos principais
conflitos da 2a Guerra Mundial
Backup
Introduo
Redes de Computadores e a Segurana
Necessidade de se manter a
Segurana das Informaes
As preocupaes crescem....
Aumento do uso da Internet
Aumento do registro dos incidentes de
segurana (intrusos e funcionrios insatisfeitos)
Numerosos relatos de vulnerabilidades de
softwares (inclusive os de segurana)
Proteo fsica dificilmente concretizada
Segurana de Redes uma
tarefa rdua e complexa !
9a Pesquisa Nacional de
Segurana da Informao
Hackers
32%
26%
Causa desconhecida
23%
Funcionrios
Ex-funcionrios
4%
PRINCIPAIS
RESPONSVEIS
4%
Prestadores de servio
Concorrentes
Outros
1%
10%
Acesso remoto
6%
PRINCIPAIS PONTOS
DE INVASO
Sistemas
Internos
23%
Invaso fsica
6%
Outros
5%
Internet
60%
O conceito de Segurana
Computacional
Capacidade de assegurar a preveno ao acesso e
manipulao ilegtima da informao, ou ainda, de
evitar a interferncia indevida na sua operao normal.
Objetivos de Segurana
Manuseio
cart
e
Des
INFORMAO
Disp.
Transporte
nto
Disponibilidade
Int.
e n a me
Integridade
Conf.
Armaz
Confidencialidade
Objetivos de Segurana
Confidencialidade
Integridade
Disponibilidade
Autenticidade
No-repudiao
Violaes e Ataques de
Segurana
Quando os objetivos de segurana no so
alcanados propriedades no so garantidas h
uma violao da segurana !
Ataques de Segurana
Passivo: ameaa a confidencialidade
Ativo: ameaa a integridade e/ou a disponibilidade
Ataques de Segurana
A
Fonte de
Informao
Destino da
Informao
I
Interceptao
Fluxo Normal
A
Interrupo
B
M
Modificao
B
F
Fabricao
9a Pesquisa Nacional de
Segurana da Informao
PRINCIPAIS AMEAAS
SEGURANA DA INFORMAO
66%
Vrus
Funcionrios insatisfeitos
53%
51%
Divulgao de senhas
49%
Acessos indevidos
Vazamento de informaes
47%
41%
Hackers
37%
31%
29%
9a Pesquisa Nacional de
Segurana da Informao
35% das empresas no Brasil tiveram perdas financeiras
22% das empresas acima registraram perdas de at R$ 50 mil, 8%
entre R$ 50 mil e R$ 500 mil e 4% de R$ 500 mil a R$ 1 milho
PREJUZOS
CONTABILIZADOS
De R$ 50 mil
a
R$ 500 mil
8%
At R$ 50 mil
22%
De R$ 500 mil a
R$ 1 milho
4%
Mais de
1 milho
1%
No foi possvel
quantificar
65%
Tipos de Ataques
Aplicativos Maliciosos
Definio
Malware = Malicious Software
Aplicativos/programas
que
exploram
vulnerabilidades nos sistemas computacionais
Podem ser divididos em duas categorias
Necessitam
Hospedeiro
Trapdoor
ou backdoor
Bombas
Lgicas
Independente
Cavalo de
Tria
Vrus
Bots
Worms
Podem se replicar
Necessitam de hospedeiro
Trapdoor
Tornou-se
ameaa
->
programadores inescrupulosos
Necessitam de hospedeiro
Bombas Lgicas
Um dos mais velhos aplicativos maliciosos,
precedendo os vrus e worms
Cdigo embutido em programas legtimos que
quando certas condies forem atingidas ele
explode
Data especfica
presena ou falta de arquivos
determinado usurio que esteja rodando a aplicao
Necessitam de hospedeiro
Cavalo de Tria
Aes semelhantes a dos Vrus e Worms
Distingue-se por no se replicar, infectar outros
arquivos, ou propagar cpias de si mesmo
automaticamente
Fotos, arquivos de msica, protetores de telas e
jogos
Enviados por email ou disponveis em sites da
Internet
Independentes
Vrus
um aplicativo que consegue infectar outros programas e
arquivos, modificando-os.
A modificao inclui uma cpia do vrus, o qual poder
infectar outros aplicativos.
Vrus tpicos, tomam o controle temporrio do sistema
operacional, incluindo suas cpias em novos aplicativos
A contaminao entre mquinas pode ser realizada atravs
de dispositivos removveis (pen-drives/ CDs) ou pela rede
(abrir arquivos anexos aos e-mails, abrir arquivos Word,
Excel, abrir arquivos em outros computadores) Arquivos
precisam ser executados
Antivrus
Detectar e ento anular ou remover os vrus
Alguns procuram remover e detectar cavalos de
tria e barrar programas hostis
Verificar email (entrada e sada)
Configure-o corretamente
Algumas verses de antivrus so gratuitas e
podem ser obtidas pela Internet. Mas antes,
verifique sua procedncia e certifique-se que o
fabricante confivel
No impede a explorao de alguma vulnerabilidade e
no capaz de impedir o acesso a um backdoor
Ferramentas Antivrus
Free AVG usurios domsticos
Free Avast Home Edition somente usurios
domsticos
Nod32
Norton Anti-vrus
Clam AntiVirus toolkit anti-virus para Unix, para
integrao com servidores de e-mail (analisa os
arquivos atachados)
http://www.clamav.net/
Ferramentas Antivrus
Worms
Faz uma cpia dele mesmo e utiliza as conexes de rede
para se disseminar de sistemas em sistemas
Diferente do vrus, no necessita ser explicitamente
executado para se propagar
Sua propagao se d atravs da explorao de
vulnerabilidades existentes ou falhas na configurao de
software instalados
Geralmente, no gera os mesmos dados dos vrus
So responsveis por consumir muitos recursos (podem
lotar o disco rgido grande quantidade de cpias de si
mesmo e enviar pela rede)
Bots
Similar aos Worms
capaz se propagar automaticamente, explorando
vulnerabilidades
existentes
ou
falhas
na
configurao
Diferena:
dispe
de
mecanismos
de
comunicao com o invasor, permitindo que o bot
seja controlado remotamente
Bots
Um invasor pode enviar instrues para:
Botnets
Botnet
Outras classificaes de
aplicativos
Capturadores de teclas/tela (Keyloggers, Screenloggers)
com
Adwares
Ferramentas
Anti-keylogger for Microsoft Windows
NT/2000/XP Workstations
Keylogger Hunter
Ad-aware Standard Edition
http://www.safer-networking.org
Ferramentas
Criptografia
O que criptografia?
Estudo da Escrita(grafia) Secreta(cripto)
Esconder a informao
Verificar a exatido de uma informao
Base tecnolgica para a resoluo de problemas de
segurana em comunicaes e em computao
Criptografia na Histria
Egpcios antigos cifravam alguns de
seus hierglifos
O barro de Phaistos (1600 a.c) ainda
no decifrado
Cifrador de Jlio Csar,
aproximadamente 60 ac
Tratado sobre criptografia por
Trithemius entre 1500 e 1600
Criptografia: Histrico
Idade Antiga - Cerca de 487 a.C.
SCYTALE
Criptografia: Histrico
Idade Mdia - Cerca de 1119-1311
Criptografia: Histrico
Idade Moderna - (1453 a 1789)
Muitas experincias, estudos, publicao de
trabalhos.
Foi um perodo de grandes inovaes e de grande
expanso na criptologia.
Gottfried Wilhelm von Leibniz
Roda Criptogrfica
Thomas Jefferson e James Monroe cifravam as suas
cartas para manter em sigilo as suas discusses
polticas (1785)
Roda Criptogrfica
Criptografia: Histrico
Histria Recente
Avanos na cincia e na tecnologia
Intensa movimentao de pessoas
Grandes Guerras
- Enigma, Maquina Prpura
Criptografia
Kryptos: significa oculto, envolto, escondido,
secreto;
Graphos: significa escrever, grafar.
Portanto, criptografia significa escrita secreta ou
escrita oculta. As formas de ocultar mensagens
so as mais diversas.
Controles Criptogrficos
Texto em claro
Texto
original
Chave
Algoritmo
Criptograma
Texto
cifrado
Sistemas Criptogrficos
Estudo da Escrita (Grafia) Secreta (Cripto)
Trs dimenses para classificar os sistemas:
Cifras de Substituio
Cada smbolo ou grupo de smbolos
substitudo por um outro smbolo ou conjunto
de smbolos.
a b c d e f ...
Q W E R T Y ...
Cifras de Substituio
Princpio: O resultado da criptografia depende de um
parmetro de entrada, denominado chave.
Exemplo. Cifra de Csar
Chave: N = nmero de letras deslocadas
ABCDEFGHIJKLMNOPQRSTUVWXYZ
DEFGHIJKLMNOPQRSTUVWXYZABC
Nada de novo
no front.
N=3
Qdgd gh qryr
qr iurqw.
N=4
Rehe hi rszs rs
jvstx.
Cifras de Transposio
Reordenam as letras da mensagem sem as
disfarar.
Cifra baseia-se numa chave que uma palavra
ou frase que contm palavras repetidas.
Cifras de Transposio
Cifragem de bloco X
Cifragem de fluxo
Cifragem de Bloco
Cifragem de bloco X
Cifragem de fluxo
Cifragem de Fluxo
1.
Texto simples
Fluxo de Chave
Aula de
segurana
de redes
47 28 119
3 187 120
72 3 187 43
...
Texto Cifrado
9%jZR+
^-wv6g
...
Criptografia Convencional,
Simtrica ou de Chave Secreta
Texto
original
Chave
Secreta
Compartilhada
Chave
Secreta
Compartilhada
Texto
cifrado
Algoritmo de
Cifragem
Texto
Algoritmo de
original
Decifragem
(inverso do algo. de cifragem)
Gerenciamento de Chaves
Manter todas as suas chaves seguras e disponveis
para utilizao
Chave de sesso - troca de e-mail, conexo da
Web ou armazenar dados em bancos de dados
KEK
Chave de criptografia de chave
To:
From:
Trata-se de
um assunto
confidencial
Chave de
sesso
Algoritmo de
cifragem
Algoritmo de
cifragem
Chave
protegida
&(Ijaij(&9
0j9{?(*2-0
Qh09124l9
dn9~j2{
O Problema da Distribuio
de Chaves
Duas partes precisam compartilhar chaves secretas
Como duas os mais pessoas podem, de maneira
segura, enviar chaves por meio de linhas inseguras?
Trocas de chaves freqentes so desejveis
A fora de um sistema criptogrfico tambm est
ligado a distribuio das chaves
O Problema da Distribuio
de Chaves
Compartilhamento de chaves antecipadamente
Chave
protegida
O Problema da Distribuio
de Chaves
Terceira Parte Confivel (TTP)
TTP
Chave
de A
Chave
de B
Chave
protegida
Chave
protegida
Cifra
No so idnticas
mas so parceiras.
Esto matematicamente
relacionadas
Cada usurio gera
o seu par de chaves
Privada
Pblica
(2) A chave
privada deve
ser muito bem
guardada
Vantagens e desvantagens
Vantagens
No
Desvantagens
A
performance
do
sistema
cai
demasiadamente se existe uma grande
quantidade de dados para decriptografar.
Distribuio de Chaves
Bob
Chave pblica
de Alice
Chave de
Sesso
Simtrica
To: Alice
From: Joo
Trata-se de
um assunto
confidencial
Algoritmo de
Cifragem
Simtrico
Chave
sesso
cifrada
Algoritmo de
Cifragem de
chave pblica
&(Ijaij(&9
0j9{?(*2-0
Qh09124l9
dn9~j2{
Alice
Conceitos de Criptografia na
Web
Assinatura Digital
Resumo da mensagem
Certificados Digitais
Autoridades Certificadoras
Assinatura Digital
Usa uma informao nica do emissor para
prevenir a negao do envio e a possibilidade de
forjar a mensagem
Verificar o Autor e a data/hora da assinatura
Autenticar o contedo original (no foi modificado
e segue uma certa seqncia ou tempo)
A assinatura deve poder ser verificvel por
terceiros (resolver disputas)
Assinatura Digital
Mecanismo que pode garantir que uma mensagem
assinada s pode ter sido gerada com informaes
privadas do signatrio.
O mecanismo de assinatura digital deve:
A) Assegurar que o receptor possa verificar a
identidade declarada pelo transmissor (assinatura);
B) Assegurar que o transmissor no possa mais
tarde negar a autoria da mensagem (verificao).
Assinatura Digital
Alice
Bob
Chave
Chave
privada
privada
do
do Bob
Bob
Chave
Chave
pblica
pblica
do Bob
Bob
do
Assinatura Digital
Mensagem
Mensagem
Algoritmo
de assinatura
digital
Assinatura
digital
isto
isto
segredo
segredo
Chave privada
Sumrio de mensagem
(message digest)
O baixo desempenho no uso da criptografia
assimtrica a torna ineficiente para mensagens de
tamanhos grandes.
Para contornar o problema, a mensagem no
criptografada por inteiro, mas na verdade criado
um extrato (hash, sumrio) do documento
Sumrio de mensagem
(message digest)
Gera um sumrio de tamanho fixo para
qualquer comprimento de mensagem
Efetivamente
impossvel
adivinhar
a
mensagem a partir do sumrio
Efetivamente impossvel encontrar outra
mensagem que gere o mesmo sumrio
Uma pequena mudana na mensagem muda
muito o sumrio
Sumrio de mensagem
(message digest)
MD5 - Message Digest (RFC 1321) por Ron
Sumrio de mensagem
(message digest)
Sites que geram hashes de mensagens:
MD5 - http://www.md5.cz/
SHA1 - http://www.sha1.cz/
ABFC01
FE012A0
2C897C
D012DF
41
Algoritmo
de
Hashing
DIGEST
Algoritmo de
Criptografia
ASSINATURA
DIGITAL
F18901B
Mensagem
com
Assinatura
Digital
MENSAGEM
aberta
ASSINATURA
criptografada
Verifica a origem
e o contedo
Certificado Digital
Resolve a distribuio de chaves
Gerenciados pelas Autoridades Certificadoras
A certificao das Autoridades Certificadoras feita
atravs de uma Infra-estrutura de chave pblica
(ICP)
Certificado Digital
Certificados digitais estabelecem uma forte
vinculao entre a chave pblica e algum
atributo
(nome
ou
identificao)
do
proprietrio
Os certificados administram as questes
relacionadas
com
a
obteno,
reconhecimento, revogao, distribuio,
validao e, mais importante, para que
finalidade a chave pblica est associada a
uma entidade do mundo real
Certificado Digital
Certificado Digital
Revogao de um Certificado
Criptografia de um Certificado
Autoridade Certificadora
Autoridade
Certificadora
(Verisign,
Certisign,
Etc.)
C.A.
(Certification
Authority)
CHAVE
PRIVADA
I.D. do
Proprietrio
I.D. da CA
www.bancodobrasil.com.br
Banco do Brasil S.A.
Brasilia, DF, Brasil
www.verisign.com
Chave pblica (e.g., Banco do Brasil)
Verisign, Inc.
Assinatura
Digital
SSL
v.3
SSL
Netscape: julho de 1994
Propsito geral: autenticao, confidencialidade e
integridade de mensagens (TCP/IP)
Autenticao entre cliente e servidor (mtua)
Criptografia na troca de mensagens
Suporta diversos algoritmos criptogrficos
Protocolo criptogrfico mais utilizado na Internet
IETF padroniza o TLS (Transport Layer Security)
SSL v.3
SSL
SSL Secure Socket Layer - uma camada de rede
que pode ser usada por diversas aplicaes, equivale
camada 5 (sesso) do modelo OSI. O mais comum
us-lo para fornecer comunicao privada entre
servidores de pginas (web) e seus clientes
(navegadores).
O protocolo HTTP com o SSL se chama HTTPS e usa a
porta 443 no lugar da porta 80.
Diversas verses: SSL 2.0, SSL 3.0, TLS 2.0
SSL
Sesso SSL - Associao entre um cliente e o servidor.
Criada pelo protocolo handshake (aperto de mo).
Cipher Suite
3 opes
Nenhum resumo (digest) (escolha nula)
MD5, um extrato de 128 bits
SHA Secure Hash Algorithm, algoritmo seguro de extrato, um
extrato de 160 bits. O SHA foi projetado para ser usado com o
DSS Digital Signature Standard, padro de assinatura digital.
Cipher Suite
SSL