aula1-SP 2017 6126

Ps-graduao
Engenharia de Redes
e Sistemas de Telecomunicaes
www.inatel.br
Disciplina: TL019 Segurana em Redes de

Telecomunicaes
Professor: Guilherme Rezende dos Santos

Critrio de avaliao
__________________________
Atividades
Lista de exerccios 40 pontos
Trabalho 60 pontos
www.inatel.br
Conceitos
D De 0 49
C De 50 69
B De 70 89
A De 90 100
Referncias bibliogrficas
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27002: Tecnologia da
informao - Tcnicas de segurana - Cdigo de prtica para a gesto da segurana
da informao, Rio de Janeiro, 2005.
ASSOCIAO BRASILEIRA DE NORMAS TCNICAS NBR ISO/IEC 27001: Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto de segurana da
www.inatel.br
informao - Requisitos, Rio de Janeiro, 2006.

SINGH, SIMON; O Livro dos cdigos - A cincia do sigilo - do antigo Egito criptografia
quntica, 2001. ISBN: 8501055980.
HARRIS, SHON; CISSP ALL IN ONE Exame Guide, 5th Edition. ISBN: 0071602178
RFC 5246 - The Transport Layer Security (TLS) Protocol Version 1.2
https://tools.ietf.org/html/rfc5246
Project Athena, Massachusetts Institute of Technology; An Authentication Service
for Open Network Systems
http://www.cisco.com/en/US/tech/tk59/technologies_white_paper09186a008009
41b2.shtml
Centro de Estudos, Resposta e Tratamento de Incidentes de Segurana
http://www.cert.br
Papel da disciplina no curso
Apresentar a fragilidade dos meios de

comunicao em rede
www.inatel.br
Encaixar a segurana de redes e

telecomunicaes dentro do sistema de
gesto de segurana da informao
Garantir que toda comunicao em rede
aprendida seja realizada de forma segura
Sobre a disciplina...
__________________________
www.inatel.br
Aula 1 - Agenda
__________________________
Captulo 1 Gesto de segurana da informao
Captulo 2 Normas e padres
www.inatel.br
Captulo 3 Gesto de riscos

Captulo 4 Criptografia
Apresentao
__________________________
Atuao no mercado de TI e Segurana
da Informao h 8 anos.
Especialista em anlise de ameaas,

correlao de eventos de segurana e
www.inatel.br
resposta a incidentes.
Prestador de servios de segurana da informao
Principais reas de atuao: auditoria de
para empresas pblicas e privadas de alguns setores
sistemas, anlise de vulnerabilidades,
gerenciamento de ameaas, hardening,
como: processadoras de carto de crdito, aviao
resposta a incidentes de segurana.
civil, petrolferas, de energia, farmacuticas, etc.
e-mail: grezsantos@gmail.com | twitter: gui_srs

Aviso legal
__________________________
www.inatel.br
As informaes contidas nesta apresentao expressam apenas a opinio do

professor e no da empresa qual este possu vnculo empregatcio na
prestao de servios de segurana da informao.
Captulo 1 Gesto de segurana da
__________________________
informao
Neste captulo abordaremos...

O que SI e qual sua importncia;
www.inatel.br
A importncia de cada um dos componentes de

SI;
Resposta de incidentes de segurana
Porqu segurana importante?
__________________________
Ameaa: Ransomware WannaCry
Data: Maio/2017
Novidade: solicitao de resgate atravs de crytomoeda
www.inatel.br
__________________________
Ameaa: Botnet Mirai
Data: Agosto/2016
Novidade: IoT devices
www.inatel.br
__________________________
Ameaa: Vazamento de informaes
Data: Setembro/2017
Novidade: Big4 e empresa de segurana
www.inatel.br
O que segurana da informao?
__________________________
Segurana da informao a preservao da
confidencialidade, integridade e disponibilidade da
informao; adicionalmente outras propriedades , tais
www.inatel.br
como autenticidade, responsabilidade, no repdio e

confiabilidade, podem tambm estar envolvidas.
(ABNT NBR ISO/IEC 27001)
Segurana da Informao uma rea do
conhecimento dedicada proteo de ativos da
informao contra acessos no autorizados, alteraes
indevidas ou sua indisponibilidade (SMOLA, 2002).
Num passado no muito distante...
__________________________
www.inatel.br
Hoje...
__________________________
Essa evoluo tambm traz consigo uma srie de riscos e
ameaas:
www.inatel.br
Phishing / Spam Fraudes Internas
Cdigos
Maliciosos
DADOS Espionagem
Industrial
Vazamento de
Engenharia Social
Informaes
Termos e definies
__________________________
Ativo: qualquer bem tangvel ou no, que tenha valor para a
organizao.
Vulnerabilidade: grau de exposio de determinado sistema
ou processo que possa ser explorado por uma ameaa.
www.inatel.br
Ameaa: a forma como uma vulnerabilidade pode ser

explorada determina uma ameaa.
Controle: medida de segurana aplicada a um processo ou
ativo com o objetivo de evitar ou mitigar a concretizao de
uma determinada ameaa. Pode ser de natureza
administrativa, tcnica, de gesto ou legal.
Risco: combinao da probabilidade de ocorrer um evento
e de suas consequncias.
Incidente: quando um agente de ameaa consegue explorar
uma vulnerabilidade com sucesso, diz-se que houve um
incidente de segurana.
Relao entre componentes de segurana
__________________________
www.inatel.br
Objetivo da segurana da informao?
__________________________
Proteger as informaes de diversos tipos
de ameaas;
www.inatel.br
Garantir a continuidade dos negcios;

Minimizar o risco ao negcio;
Maximizar o retorno dos investimentos e as
oportunidades de negcio.
Introduo a segurana da informao
Um sistema de SGSI engloba:

Pessoas
www.inatel.br
Processos
Procedimentos
Normas e polticas
Tecnologia
Gerenciamento de vulnerabilidades
Gerenciamento de riscos
Conscientizao e treinamento
Conformidade legal
Gerenciamento da segurana da informao
www.inatel.br
Ciclo de vida da informao
__________________________
www.inatel.br
Descarte Criao
Transporte Manuseio
Trade CID
__________________________
So trs os pilares da segurana da informao
Confidencialidade: propriedade de que a
informao no esteja disponvel ou revelada a
www.inatel.br
indivduos, entidades ou processos no

autorizados.
Aspectos cruciais da confidencialidade so a
identificao, autenticao e autorizao do
usurio.
Confidencialidade
__________________________
Exemplo: folha de pagamento de funcionrios
Vulnerabilidades
www.inatel.br
Acessos no autorizados
Proteo de dados sensveis ou equipamentos
Controles
Controle de acesso
Criptografia
Integridade
__________________________
Propriedade de salvaguarda da exatido e
completeza de ativos.
www.inatel.br
Alguns princpios bsicos so usados para

estabelecer controles de integridade:
Garantia de acesso apenas as informaes necessrias
s atividades de cada indivduo;
Separao de funes.
Integridade
__________________________
Exemplo: folha de pagamento de funcionrios
Vulnerabilidades
www.inatel.br
Alterao no autorizada de salrios

Controles
Controle de acesso
Auditoria de banco de dados
Disponibilidade
__________________________
Propriedade de estar disponvel e utilizvel
sob demanda por uma entidade autorizada
Controles de disponibilidade:
www.inatel.br
Redundncia de hardware;
Espelhamento de disco;
Diferentes fontes de energia.
Segurana da informao garantir que
todos os fatores relacionados a
confidencialidade, integridade e
disponibilidade sejam atendidos!
Disponibilidade
__________________________
Exemplo: grandes promoes em sites de
compras
www.inatel.br
Vulnerabilidades
Falha no dimensionamento dos recursos que
suportam o site
Controles
Balanceamento de carga
Alta disponibilidade de recursos
Elo mais fraco
__________________________
www.inatel.br
Fatores que tornam a segurana da
informao necessria
Crimes eletrnicos;
Legislao de direitos autorais e patentes;
www.inatel.br
Crescimento de softwares maliciosos;

Fraudes financeiras e contbeis;
Pirataria em geral;
Espionagem industrial;
Guerra Ciberntica;
Terrorismo religioso e ideolgico.
Importncia da segurana da informao
__________________________
Informaes e os processos de apoio,
sistemas e redes so importantes ativos
para os negcios;
www.inatel.br
As organizaes, seus sistemas de

informao e redes de computadores esto
expostos a diversos tipos de ameaas
(fraudes, espionagem, sabotagem,
vandalismo, etc.).
Importncia da segurana da informao
__________________________
Definir, alcanar, manter e melhorar a
segurana da informao pode ser essencial
para:
www.inatel.br
Competitividade;
Faturamento;
Lucratividade;
Atendimento requisitos legais;
Imagem da empresa no mercado.
Resposta a incidentes de segurana
__________________________
O CERT.br, Centro de Estudos, Resposta e
Tratamento de Incidentes de Segurana no
Brasil, o rgo do Comit Gestor da
www.inatel.br
Internet no Brasil.
Coleta informaes sobre ataques
Internet brasileira.
Estatsticas do CERT.br mostram que a
quantidade de ataques a redes brasileiras
aumentou de 3107 em 1999 para 358343
em 2009.
__________________________
Total de incidentes reportados Dados de junho de 2013
www.inatel.br
__________________________
Scan de portas De abril a junho de 2013
www.inatel.br
__________________________
Principais ameaas Abril a junho de 2013
www.inatel.br
__________________________
Pases de origem Abril a junho de 2013
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Ataques DDoS
__________________________
www.inatel.br
Captulo 2 Normas e padres
__________________________
As principais normas relativas a segurana da
www.inatel.br
informao
NBR ISO/IEC 17799:2005 atual ISO 27002
NBR ISO/IEC 27001:2006
__________________________
Intitulada Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto da
segurana da informao.
Desenvolvida no Comit Brasileiro de
www.inatel.br
Computadores e Processamento de Dados

(ABNT/CB-21), pela Comisso de Estudo de
Segurana Fsica em Instalaes de Informtica (CE-
21:0027:00).
Seu objetivo ser um guia de boas prticas e
recomendaes de segurana para todas as
empresas, independentemente do seu porte ou do
ramo de atuao, do setor pblico ou privado, que
precisam proteger as suas informaes sensveis e
crticas.
__________________________
Contm recomendaes das melhores
prticas de segurana da informao.
www.inatel.br
Sugesto de controles que podem ser

aplicados por uma organizao, para
diminuir riscos identificados em seu
negcio.
Nem todos os controles se aplicam a todas
as empresas.
NO AUDITVEL.
A ABNT NBR ISO/IEC 27002 est dividida em
__________________________
11 tpicos:
Poltica de Segurana da Informao;
Organizando a Segurana da Informao;
Gesto de Ativos;
www.inatel.br
Segurana em Recursos Humanos;

Segurana Fsica e do Ambiente;
Gerenciamento das Operaes e Comunicaes;
Controle de Acesso;
Aquisio, Desenvolvimento e Manuteno de
Sistemas de Informao;
Gesto de Incidentes de Segurana da Informao;
Gesto da Continuidade de Negcios;
Conformidade.
__________________________
Objetivo
Estabelecer diretrizes e princpios gerais para
iniciar, implementar, manter e melhorar a
www.inatel.br
gesto de segurana da informao em uma

organizao.
Prover diretrizes gerais sobre as metas
geralmente aceitas para a gesto da segurana
da informao.
Servir como guia prtico para o
desenvolvimento de procedimentos de
segurana da informao da organizao.
__________________________
Contm os requisitos para implementao
de um Sistema de Gesto de Segurana da
Informao;
www.inatel.br
uma norma AUDITVEL / CERTIFICVEL

por uma terceira parte independente;
Pode ser utilizada por qualquer empresa.
__________________________
Contm todos os controles que devem ser
aplicados por uma empresa que deseja
implementar um SGSI;
www.inatel.br
obrigatrio indicar que controles so

aplicveis ao SGSI e quais foram excludos;
Excluses devem ser justificadas.
Captulo 3 Gesto de riscos
__________________________
Gesto de riscos
www.inatel.br
Quais so os componentes da GR e sua

importncia
Anlise e avaliao de riscos
Tratamento de riscos
Gesto de riscos
l Riscos
A probabilidade de uma ameaa explorar uma
(ou vrias) vulnerabilidades causando
www.inatel.br
prejuzos.
Sua escala dada por meio da combinao de
dois fatores:
Probabilidade da ocorrncia da ameaa
As consequncias traduzidas (impacto) pela
ocorrncia do incidente
Risco = Probabilidade x Impacto
Gesto de riscos
Gerenciamento de riscos o processo de
identificao, anlise, avaliao e tratamento de
riscos.
O risco deve ser analisado e avaliado segundo os
www.inatel.br
impactos que este pode causar para a

confidencialidade, integridade e disponibilidade da
informao.
O gerenciamento de riscos deve sempre considerar
o negcio da organizao.
O impacto de risco normalmente medido de
acordo com o impacto (financeiro ou de imagem)
que uma vez concretizado causar a uma
organizao.
Gesto de riscos
l o processo de identificao e tratamento

dos riscos de forma sistemtica e contnua.
www.inatel.br
If you can't measure it, you can't manage it

Peter Druker
l Para entender como funciona a GR

importante entender os componentes que
envolvem este processo, so eles:
Gesto de riscos
l Escopo
Conjunto de pessoas, ativos e processos que
sero cobertos pela GR.
www.inatel.br
Gesto de riscos
l Definio do escopo
Consiste basicamente em definir a justificativa
do projeto (razo pela qual est sendo
www.inatel.br
executado)
Qual ser o entregvel final
Quais os objetivos
A definio do escopo um dos fatores de
sucesso ou fracasso de uma GR.
Gesto de riscos
l Definio do escopo
O tamanho do escopo definido pela
quantidade de ativos que sero analisados
www.inatel.br
para cada processo de negcio

Os ativos podem ser agrupados em categorias
para facilitar a definio do escopo
Processo de negcio: conjunto de atividades
executadas rotineiramente em uma
organizao, com o propsito de
desempenhar sua atividade-fim.
Gesto de riscos
l Definio do escopo
Identificao dos processos mais crticos de
cada organizao
www.inatel.br
As pessoas responsveis por informar quais

so os processos mais crticos so aquelas no
comando
papel dos profissionais que executam um
processo de GR informar quais reas esto
sujeitas a mais ou menos riscos
Gesto de riscos
l Definio do escopo
O levantamento das informaes necessrias
para a definio do projeto pode ser obtido
www.inatel.br
atravs de entrevistas
As informaes so colhidas com os principais
gestes e consolidadas
A definio de escopo atravs de processos de
negcio no a nica opo, nem a mais
adequada em todos os casos.
Gesto de riscos
l Parte envolvida
Indivduos, grupos ou organizaes que so
afetados diretamente por um determinado
www.inatel.br
risco
Gesto de riscos
l Identificar ativos de maior risco
Os ativos sujeitos aos maiores nveis de risco
sero priorizados em termos de recursos e
www.inatel.br
protees
As decises de qual proteo aplicar pode
variar de acordo com o custo de cada
proteo
Redundncia para servidores
Norma de controle de acesso fsico aos
datacenters
Componentes da gesto de riscos
l Anlise de vulnerabilidade
l Identificar as protees existentes e ausentes,
identificar falhas nas existentes e levantar dados
www.inatel.br
que possam prever a efetividade

Alguns exemplos:
Ausncia de extintores de incndio
Ausncia de aplicao de Patches de segurana
Ausncia de controles de acesso fsico (portas,
catracas, etc.)
Gesto de riscos
l Identificao de ameaas
Identificar as possveis ameaas as quais cada
ativo est sujeito
www.inatel.br
Muitos profissionais pecam por querer

trabalhar com listas completas, cobrindo
todos os aspectos possveis
Trabalhar com listas genricas
Focar nas ameaas mais comuns
Utilizar listas prontas
Gesto de riscos
l Estimar a probabilidade de ocorrncia das
ameaas
Pode ser analisada atravs de dois fatores:
www.inatel.br
Nmero de vezes esperado no qual uma

ameaa tentar causar algum prejuzo a um
ativo
O grau de exposio (vulnerabilidades) de cada
ativo, que possibilite ser explorado com
sucesso.
Gesto de riscos
l Estimar o impacto das ameaas
Avaliar o impacto que a concretizao da
ameaa em determinado ativo causar
www.inatel.br
Quanto maior o nmero de ameaas, maior o

risco
Valor do ativo
Absoluto: preo da aquisio de outro ativo
igual
Relativo: associado ao benefcio que o ativo
proporciona
Gesto de riscos
l Avaliar as melhores protees
Aps o levantamento das informaes em
cada fase da GR, ser percebido que todos os
www.inatel.br
ativos esto sujeito a algum tipo de risco

O custo para que as empresas tragam os
nveis de riscos para os patamares aceitveis,
na maioria das vezes elevado
Priorizao dos maiores riscos
Considerar a relao custo benefcio de cada
proteo
Gesto de riscos
l Implementar protees
Aps a definio de quais riscos sero
tratados, as protees escolhidas sero
www.inatel.br
aplicadas
Uma proteo pode no excluir a existncia
de um risco, apenas mitiga-lo.
O risco no tratado pela proteo chamado
de risco residual.
Gesto de riscos
l Riscos
Gesto de riscos contempla quatro atividades
relacionadas a forma como lidamos com os
www.inatel.br
riscos:
Anlise e avaliao de riscos
Tratamento de riscos
Aceitao
Comunicao
Gesto de riscos
l Anlise de riscos
l Processo que compreende a identificao das
ameaas e estimativa do risco
www.inatel.br
l Listas de discusso especializadas

l Atribuio de valores aos componentes do risco
(impacto) e a probabilidade (relao ameaas x
vulnerabilidades)
Gesto de riscos
Trs questes sempre levantadas durante a
anlise de riscos:
www.inatel.br
O que poderia acontecer (evento de ameaas)?

Se acontecer, o que ocasionar? (impacto de
ameaas)?
Quantas vezes poderia acontecer? (frequncia da
ameaa)
Gesto de riscos
l Avaliao de riscos
Processo de comparar os riscos previamente
identificados e estimados com os critrios
www.inatel.br
definidos pela organizao:

Norma de avaliao de riscos
o resultado da avaliao de riscos que definir
as aes que sero tomadas em relao ao risco
Gesto de riscos
Tendo analisado e avaliado os riscos,
assegurando as respostas para as trs
perguntas, outras trs precisam ser
www.inatel.br
respondidas:
O que pode ser feito (mitigao de risco)?
Quanto vai custar ?
rentvel (custo / benefcio)?
Gesto de riscos
l Tratamento de riscos
Processo de seleo e aplicao de medidas
de controle de forma reduzir os riscos
www.inatel.br
identificados durante a anlise de riscos.

Visa trazer os nveis de risco para patamares
aceitveis
Gesto de riscos
l Tratamento de riscos
Medidas que podem ser tomadas para o
tratamento de riscos:
Evitar: no se expor a uma situao de risco
www.inatel.br
Transferir: fazer um seguro para cobrir eventuais

prejuzos
Reter: fazer um auto-seguro
Reduzir: aplicar controles que reduzam o risco
Mitigar: Tomar medidas que diminuam apenas o
impacto
Gesto de riscos
l Aceitao de riscos
Ocorre quando o custo relacionado a
aplicao de uma medida de proteo no
www.inatel.br
vale a pena.
Custo do controle maior que o custo do ativo
Pode ocorrer quando os riscos identificados
esto dentro dos patamares aceitveis
Aceitar um risco uma maneira de tratamento!
Gesto de riscos
l Comunicao do risco
ltimo componente do processo de GR
Divulgao de todos os riscos identificados, tenham
www.inatel.br
eles sido tratados ou no a todas as partes envolvidas

Divulgao dos motivos pelos quais eles foram ou no
tratados
Quando comunicamos os riscos estamos
compartilhando a responsabilidade a respeito deles
Forma de transferir a responsabilidade para aqueles
responsveis pela no liberao de recursos para o
tratamento do risco
Gesto de riscos
l O uso sistemtico de um processo de Gesto
de riscos proporciona diversos benefcios para
uma organizao.
www.inatel.br
Priorizao de riscos e aes

Maior conhecimento sobre os riscos
Obteno de consenso
Embasamento para protees atuais
Mtrica e indicadores de resultados
Gesto de riscos
l Desafios
Gesto de riscos um processo grande e
trabalhoso, mas nem sempre os principais
www.inatel.br
desafios estaro claros no primeiro momento

Dinamismo dos componentes envolvidos na GR
Escassez de informaes
Dificuldade na estimativa de custos
Captulo 4 Criptografia
__________________________
Histria da Criptografia
www.inatel.br
Criptografia simtrica
Criptografia assimtrica
Funes hash
Certificados digitais
Protocolo SSL/TLS
Criptografia
Criptografia (Do Grego kryptos,

www.inatel.br
"escondido, secreto", e graphein,

"escrita").
Estudo dos princpios e tcnicas pelas quais a

informao pode ser transformada da sua
forma original para outra ilegvel.
Criptografia
Criptografia antiga
to antiga quanto qualquer segredo.

www.inatel.br
A criptografia sempre foi, e ainda , tratada

como segredo de estado.
EUA classificam algoritmos criptogrficos
como arma de guerra.
Criptografia
Criptografia antiga
Um exemplo clssico do uso da criptografia no
www.inatel.br
passado foi Mary Stuart, rainha da Esccia.

Mary tramava a morte de Elizabeth I, enquanto era
mantida presa ela enviava mensagens cifradas para
seus aliados.
Walsingham, principal secretrio de Elizabeth,
interceptou a correspondncia de Mary e repassou
para Thomas Phelippes.
Phelippes utilizou uma tcnica chamada Anlise de
Frequncia, decifrando o cdigo.
www.inatel.br
Criptografia
Criptografia
Criptografia clssica
www.inatel.br
Algoritmos baseados em caracteres e clculos

manuais
Existiam dois tipos de algoritmos clssicos:
Cifragem por substituio

Cifragem por sobreposio
Criptografia
Cifragem por substituio
www.inatel.br
Os caracteres do texto original so

substitudos por outras letras do alfabeto.
O receptor inverte a substituio e obtm
o texto original
Ex: Cifra de Csar

Cifra de Vigenre
Criptografia
Cifra de Csar
www.inatel.br
Cada letra do texto original substitudo

pela letra 3 posies direita no alfabeto.
Criptografia
Cifra de Csar
www.inatel.br
Exemplo de utilizao da cifra de Csar.

Mensagem original Testando cesar no
Inatel
Mensagem cifrada.
T E S T A N D O C E S A R N O I N A T E L
A cifra de Csar vulnervel a anlise de

frequncia!
Criptografia
Cifra de Viginre
www.inatel.br
Baseada na cifra de Csar

Utiliza uma palavra ou frase que indica a
substituio que ser utilizada na
mensagem.
Se a chave for menor que a mensagem a
chave repetida diversas vezes.
A chave pode ser de qualquer tamanho.
Criptografia
Cifra de Viginre
www.inatel.br
Para cada letra,

utiliza-se uma letra
da chave correspondente
Chave
Deslocamento
Mensagem
Msg. Cifrada
Criptografia
Cifragem por transposio
www.inatel.br
O texto original permanece o mesmo, mas a ordem dos

caracteres modificada
Exemplo:
Cifra de transposio colunar em que o texto original
escrito horizontalmente em uma folha de papel grfico de
tamanho fixo e o texto cifrado lido verticalmente.
A desencriptao ocorre de maneira inversa quando o texto
cifrado escrito verticalmente em uma folha idntica
utilizada para encriptar e o texto original pode ser
recuperado pela leitura horizontal.
Criptografia
lCriptografia moderna
www.inatel.br
H dois tipos de criptografia nesse mundo: a

criptografia que far com que sua irm pare de
ler seus arquivos e a criptografia que far
governos pararem de ler seus arquivos.
(Bruce Schneier)
Criptografia
Criptografia moderna
l
www.inatel.br
O nvel de criptografia relativo ao tamanho

das chaves utilizadas;
Chaves maiores, criptografia mais forte;
Utiliza uma nica chave para encriptar e
desencriptar a mensagem;
Alta performance;
A segurana est na salvaguarda da chave.
Criptografia
www.inatel.br
Criptografia
l
www.inatel.br
Utiliza duas chaves, uma pblica e outra privada;
O que uma chave encripta, a outra desencripta e
vice-versa;
Apenas o portador da chave privada poder
desencriptar a mensagem;
Baixa performance;
Mais seguro que a criptografia simtrica.
Criptografia
Alice Bob
www.inatel.br
Private Key Private Key
Public Key Public Key
Internet
Criptografia
Alice Bob
www.inatel.br
Mensagem Mensagem
Bobs Public Private Key

Key
Mensagem Mensagem
criptografada criptografada
Criptografia
Quais os riscos de segurana deste processo?
www.inatel.br
As chaves pblicas de Alice e Bob so pblicas!

Qualquer pessoa pode se passar por um dos dois
interlocutores.
A autenticidade do processo no garantida.
Criptografia
Bob Alice Charlie

www.inatel.br
Mensagem Mensagem
criptografada com
a chave pblica
de Bob. Alice o Bobs Public
originador da Key
mensagem?
Mensagem
criptografada
Criptografia
Alice Bob Alices Public

Key
www.inatel.br
Mensagem Mensagem
Mensagem criptografada
criptografada
Bobs Public verdadeiramen
Key te originada de Bobs Private
Alice Key
Mensagem
criptografada
Mensagem
Alices Private
Key
Criptografia
Funes de hash
www.inatel.br
Assinatura ou impresso digital de um determinado

fluxo de dados.
Indica que o contedo dos dados foi ou no
alterado.
Para qualquer volume de dados de entrada o
tamanho do digesto fixo!
Operao de mo nica!
Criptografia
Funes de hash
www.inatel.br
Principais algoritmos de Hashing:

MD-5 (Message Digest)
Sada de 128 bits
Criado por Ron Rivest
SHA-1 (Secure Hash Algorithm)
Sada de 160 bits
Baseado nas ideias de Ron Rivest
Padro FIPS do NIST
1 porque foi identificada uma falha na primeira
verso
Criptografia
Testando hash Funo hash
494fd58692403a1134eab75d8af0a9ab
Testando hash,
www.inatel.br
agora com um Funo hash

conjunto de dados b3e80f47aa6256a11a09cb3167983334
maior.
Testando hash, agora

com um conjunto de
dados maior. Porm,
independente do
tamanho do Funo hash
98b09db786d431dc9b6020b5329aa01c
conjunto de dados
de entrada a sada
produzida possui
tamanho fixo.
Criptografia
Funes de Hash
Exemplos:
www.inatel.br
Caractere ASCII Binrio

A 65 0100 0001
a 97 0110 0001
Mensagens: Aldeia NumaBoa

aldeia NumaBoa
Criptografia
Funes de Hash
Exemplos:
www.inatel.br
MD5: Aldeia NumaBoa

3cdb658425ee484e4bff3d4583f6f851
MD5: aldeia NumaBoa

9c1f41ef263026b0283676d63df21fd1
Criptografia
Funes Hash
Efeito avalanche
www.inatel.br
3cdb6584 0011 1100 1101 1011 0110 0101 1000 0100

9c1f41ef 1001 1100 0001 1111 0100 0001 1110 1111
12 bits diferentes
25ee484e 0010 0101 1110 1110 0100 1000 0100 1110
263026b0 0010 0110 0011 0000 0010 0110 1011 0000
20 bits diferentes
4bff3d45 0100 1011 1111 1111 0011 1101 0100 0101
283676d6 0010 1000 0011 0110 0111 0110 1101 0110
16 bits diferentes
83f6f851 1000 0011 1111 0110 1111 1000 0101 0001
3df21fd1 0011 1101 1111 0010 0001 1111 1101 0001
14 bits diferentes
Criptografia
Funes de hash
www.inatel.br
Colises
Possibilidade de dois conjuntos de dados
produzam o mesmo resultado
Criptografia
Funes de hash
www.inatel.br
Principais utilizaes:
Integridade de arquivos
Segurana de senhas
Assinaturas digitais
Criptografia
Alice Bob
www.inatel.br
Mensagem Mensagem
Bobs Public Private Key

Key
Mensagem Mensagem
criptografada criptografada
Criptografia
Bob Algoritmo hash

Alice
www.inatel.br
Mensagem Private Key

......................................
29f16f4fe9878bdd0f150d9f1cf921d3
Assinatura
digital
Mensagem
Assinatura
....................................................................
digital
Criptografia
Bob Alice
www.inatel.br
Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
......................................
Bobs Public
Assinatura
Key
digital
Algoritmo hash
Mensagem
Assinatura
....................................................................
digital
Criptografia
Infraestrutura de chaves pblicas - PKI
www.inatel.br
Conjunto de hardware, software,

pessoas, polticas e procedimentos
necessrios para criar, gerenciar,
distribuir, usar, armazenar e revogar
certificados digitais.
Criptografia
Certificate Autority CA
Funciona semelhante a um cartrio de
www.inatel.br
registros;
Valida os dados do solicitante para que o
certificado seja assinado;
Afere a autenticidade de um certificado;
a CA quem garante ao usurio que o
certificado do banco mesmo do banco.
Criptografia
www.inatel.br
Baseado no padro X509.

Documento eletrnico que usa uma
assinatura digital para assinar uma
chave pblica com uma identidade.
As CAs utilizam sua chave privada para
assinar um certificado.
Criptografia
www.inatel.br
Serial Number: Utilizado para identificar unicamente um certificado.

Subject: A pessoa ou entidade identificada.
Signature Algorithm: O algoritmo usado para criar a assinatura.
Issuer: A entidade que verificou a informao e emitiu o certificado.
Valid-From: A data inicial de validade do certificado.
Valid-To: A data de expirao do certificado.
Key-Usage: Finalidade da chave pblica (signature, certificate signing).
Public Key: A chave pblica.
Thumbprint Algorithm: O algoritmo de hash utilizado para o certificado.
Thumbprint: O hash que assegura que o certificado no foi adulterado.
Criptografia
www.inatel.br
Criptografia
Secure Socket Layer SSL/TLS
www.inatel.br
O principal objetivo do protocolo

SSL/TLS proporcionar privacidade e
integridade dos dados entre as partes
comunicantes;
Trabalha na camada de sesso e
oferece suporte a diversos protocolos
de camadas superiores.
Criptografia
Privacidade
www.inatel.br
Criptografia de dados
Autenticao
Autenticao de cliente e servidor
Autenticidade
Autenticao de usurios e no-repdio
Integridade
Protege os dados da rede contra
adulterao
Criptografia
www.inatel.br
Suporte a diversas aplicaes e protocolos;

Requer uma camada de transporte
confivel (por exemplo, TCP);
Aplicaes precisam suportar o SSL/TLS,
porm no precisam se preocupar com a
gerao de chaves e tcnicas de negociao.
Criptografia
SSL/TLS em camadas
Camada de aplicao
www.inatel.br
HTTP NNTP FTP ....... SHTTP
SSL/TLS
TCP
Criptografia
www.inatel.br
O protocolo SSL/TLS composto de

duas camadas: TLS Record Protocol e
o TLS Handshake Protocol
Criptografia
TLS Record Protocol
www.inatel.br
Prov segurana de conexo que tem duas

propriedades bsicas:
A conexo privada.
Utilizada criptografia simtrica para criptografia
de dados (DES, RC4, etc);
As chaves para criptografia simtrica so
geradas exclusivamente para cada conexo;
O segredo da chave negociado por outro
protocolo (TLS handshake protocol).
Criptografia

TLS Record Protocol
www.inatel.br
A conexo confivel.
Transporte da mensagem inclui uma mensagem
verificao de integridade usando uma chave
HMAC.
Funes de hash seguro (por exemplo, SHA,
MD5, etc) so usados para clculos HMAC.
Criptografia
TLS Handshake Protocol
www.inatel.br
Permite que servidor e cliente se

autentique um ao outro e negociem
um algoritmo de criptografia e chaves
criptogrficas antes que o protocolo de
aplicao transmita ou receba o
primeiro byte de dados.
Criptografia
TLS Handshake Protocol
O TLS Handshake Protocol fornece
www.inatel.br
segurana de conexo que tem trs

propriedades bsicas:
Identidade do peer pode ser autenticado
usando criptografia assimtrica ou de chave
pblica
A negociao do segredo compartilhado
segura
A negociao confivel
Criptografia
Cliente Servidor
Inicializao de sesso
www.inatel.br
Certificado
Senha master encriptada
Sesso estabelecida
Requisio de certificado
e outros dados
Dados encriptados
Criptografia
Bob Algoritmo hash

Alice
www.inatel.br
Mensagem Private Key
Assinatura
digital
Chave
Mensagem simtrica
Assinatura Mensagem
digital criptografada .............................
Criptografia
Bob Algoritmo hash

Alice
www.inatel.br
Mensagem
29f16f4fe9878bdd0f150d9f1cf921d3 Mensagem
.............................................
Bobs Public
Key Mensagem
Assinatura
digital
Assinatura
digital
Chave
Mensagem simtrica
.................................................................... criptografada
www.inatel.br
PERGUNTAS?

aula1-SP 2017 6126

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

aula1-SP 2017 6126

Enviado por

Direitos autorais:

Formatos disponíveis

Ps-graduao

Disciplina: TL019 Segurana em Redes de

Professor: Guilherme Rezende dos Santos

informao - Requisitos, Rio de Janeiro, 2006.

Apresentar a fragilidade dos meios de

Encaixar a segurana de redes e

Captulo 3 Gesto de riscos

Especialista em anlise de ameaas,

civil, petrolferas, de energia, farmacuticas, etc.

e-mail: grezsantos@gmail.com | twitter: gui_srs

As informaes contidas nesta apresentao expressam apenas a opinio do

Neste captulo abordaremos...

A importncia de cada um dos componentes de

como autenticidade, responsabilidade, no repdio e

Phishing / Spam Fraudes Internas

Ameaa: a forma como uma vulnerabilidade pode ser

Garantir a continuidade dos negcios;

Um sistema de SGSI engloba:

indivduos, entidades ou processos no

Alguns princpios bsicos so usados para

Alterao no autorizada de salrios

Crescimento de softwares maliciosos;

As organizaes, seus sistemas de

Computadores e Processamento de Dados

Sugesto de controles que podem ser

Segurana em Recursos Humanos;

gesto de segurana da informao em uma

uma norma AUDITVEL / CERTIFICVEL

obrigatrio indicar que controles so

Quais so os componentes da GR e sua

impactos que este pode causar para a

l o processo de identificao e tratamento

If you can't measure it, you can't manage it

l Para entender como funciona a GR

para cada processo de negcio

As pessoas responsveis por informar quais

que possam prever a efetividade

Muitos profissionais pecam por querer

Nmero de vezes esperado no qual uma

Quanto maior o nmero de ameaas, maior o

ativos esto sujeito a algum tipo de risco

l Listas de discusso especializadas

O que poderia acontecer (evento de ameaas)?

definidos pela organizao:

identificados durante a anlise de riscos.

Transferir: fazer um seguro para cobrir eventuais

eles sido tratados ou no a todas as partes envolvidas

Priorizao de riscos e aes

desafios estaro claros no primeiro momento

Criptografia (Do Grego kryptos,

"escondido, secreto", e graphein,

Estudo dos princpios e tcnicas pelas quais a

to antiga quanto qualquer segredo.

A criptografia sempre foi, e ainda , tratada

passado foi Mary Stuart, rainha da Esccia.

Algoritmos baseados em caracteres e clculos

Cifragem por substituio

Os caracteres do texto original so

Ex: Cifra de Csar

Cada letra do texto original substitudo

Exemplo de utilizao da cifra de Csar.

A cifra de Csar vulnervel a anlise de

Baseada na cifra de Csar