Escolar Documentos
Profissional Documentos
Cultura Documentos
Segurança
Prof. Carlos Lahoz
Apoio: Prof André Y. Kusumoto
Segurança
Segurança computacional
• Canais seguros
• Controle de Acesso
Segurança
Divisão da segurança:
• Criptografia.
Introdução à Segurança
Confidencialidade:
É a manutenção do sigilo das informações ou dos recursos.
A violação da confidencialidade ocorre com a revelação não autorizada da
informação ou dos recursos do sistema.
A prevenção contra as ameaças à confidencialidade pode ser alcançada com
a aplicação de mecanismos de controle de acesso e com técnicas de
criptografia e de segurança de redes .
Integridade:
Refere-se a confiabilidade da informação ou dos recursos.
A violação da integridade ocorre pela modificação imprópria ou não
autorizada da informação ou dos recursos.
Integridade de dados:
• Confiabilidade do conteúdo dos dados: integridade de origem
• Confiabilidade da fonte dos dados: autenticação
Introdução à Segurança
Ameaças a segurança, políticas e mecanismos
Integridade:
Mecanismos para integridade
• Mecanismos de prevenção: bloqueio de qualquer tentativa não autorizada de
modificá-los ou qualquer tentativa de modificá-los por meios não autorizados
– acesso e uso não autorizados.
• Mecanismos de detecção: buscam reportar que a integridade dos dados não
é mais confiável, em parte ou no todo (criptografia pode ser usada para
detectar violações de integridade).
Introdução à Segurança
Ameaças a segurança, políticas e mecanismos
Disponibilidade:
A violação da disponibilidade ocorre com a retenção não autorizada de
informações ou recursos computacionais
Ataques de recusa de serviço – denial of service attacks
Usualmente definido em termos de “qualidade de serviço” : usuários
autorizados esperam receber um nível específico de serviço, estabelecido em
termos de uma métrica
Introdução à Segurança
Ameaças a segurança
Introdução à Segurança
Ameaças a segurança
Interrupção
• De modo geral, se refere à situação na qual serviços ou dados ficam
indisponíveis, são inutilizados ou destruídos. Ex.: ataques de recusa de
serviços (DoS – denial of services)
Tipos de ameaças
Modificações
• Alteração não autorizada de dados ou interferir com um serviço de modo
que ele não siga mais suas especificações originais. Ex.: interceptar, e na
sequencia, alterar dados transmitidos ou altera um programa de modo que
ele registre secretamente as atividades do usuário.
Invenção
• Situação na qual são gerados dados ou atividades adicionais que
normalmente não existiriam. Ex.: um intruso tentar adicionar uma entrada
a um arquivo de senhas ou a um BD
Tipos de ataques
Um ataque é o ato de utilizar (ou explorar) uma vulnerabilidade para violar
uma propriedade de segurança do sistema.
• Modificar texto comum é fácil. O que é muito difícil é modificar texto cifrado,
porque em primeiro lugar, o intruso terá que decifrar a mensagem antes de
modificá-la.
• E depois terá que criptografar novamente a mensagem de forma adequada,
senão o receptor poderá notar que a mensagem sofreu interferência, i.e. ele
sofreu um ataque.
Tipos de ataques
Fabricação : consiste em produzir informações falsas ou introduzir módulos
ou componentes maliciosos no sistema; é um ataque à autenticidade.
Inserção de mensagens cifradas no sistema de comunicação.
1. Criptografia
2. Autenticação
3. Autorização
4. Auditoria
Mecanismos de segurança
Criptografia, Resume de Mensagem e Assinatura Digital
Fundamental. Transforma dados em algo que um atacante não possa
entender. Proporciona um meio de implementar a confidencialidade dos
dados, e além disso, nos permite verificar se os dados foram modificados.
Autenticação
Usada para verificar a identidade declarada de um usuário, cliente, servidor,
ou outra entidade. Premissa básica é conhecer a identidade do cliente,
utilizando-se de senhas.
Mecanismos de segurança
Autorização
Depois que um cliente foi identificado, é necessário verificar se ele está
autorizado a executar uma ação requisitada. Dependendo de quem
acessa o sistema ele poderá ter permissão para ler registros, modificar
certos campos.
Auditoria
Ferramentas de auditoria são utilizadas para rastrear quais clientes
acessaram o que e de que modo.
Não oferecem proteção contra ameaças, mas são de extrema utilidade para
a análise de uma falha de segurança.
Questões de Projeto
Há várias questões importantes de projeto que precisam ser levadas em
conta na implementação de serviços de segurança de uso geral.
Foco de Controle
• Quando consideramos a proteção de uma aplicação distribuída, há, em
essência, três abordagens diferentes que podem ser seguidas: