Escolar Documentos
Profissional Documentos
Cultura Documentos
Seguranca Da Informacao - Unidade 3
Seguranca Da Informacao - Unidade 3
MECANISMOS DE
SEGURANÇA
1
Definições
•Segurança Física: É realizada para evitar/dificultar as
falhas nos equipamentos e instalações
– Ex: Problema com equipamentos ativos, furtos, faxineira,
etc.
Segurança Física
2
Segurança Física
• Abrange todo o ambiente onde os sistemas de informação
estão instalados:
‒ Prédio, portas de acesso, trancas, piso, salas, computadores...
• Requer ajuda da engenharia civil e elétrica
• A norma ABNT NBR ISO/IEC 27002:2013 divide a área de
segurança física da seguinte forma:
‒ Áreas seguras (item 11.1)
‒ Equipamento (item 11.2)
Segurança Física
• Áreas seguras
‒Objetivo: Prevenir o acesso físico não autorizado, danos e
interferências com os recursos de processamento das
informações e nas informações da organização
Perímetro da segurança física
Controles de entrada física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio ambiente
Trabalhando em áreas seguras
Áreas de entrega e de carregamento
3
Segurança Física
• Equipamento
‒Objetivo: Impedir perdas, danos, furto ou comprometimento
de ativos e interrupção das atividades da organização
Instalação e proteção de equipamentos
Utilidades (fornecimento de energia e/ou outros ativos de serviço)
Segurança do cabeamento
Manutenção de equipamentos
Segurança de equipamentos fora das instalações
Reutilização e alienação segura de equipamentos
Remoção de propriedade
Segurança Física
Segurança externa e de entrada
Proteção da instalação onde os equipamentos estão localizados, contra:
Entrada de pessoas não autorizadas
Catástrofes ambientais
O prédio deve ter paredes sólidas e número restrito de entradas e
saídas
Evitar baixadas onde a água possa se acumular → enchentes
Evitar áreas muito abertas → descargas atmosféricas
Em qualquer lugar, usar para-raios
Usar muros externos e manter a área limpa → queimadas
4
Segurança Física
Segurança externa e de entrada
Controle de acesso físico nas entradas e saídas:
Travas, alarmes, grades, vigilante humano, vigilância eletrônica, portas com senha,
cartão de acesso, registros de entrada e saída de pessoas e objetos
Segurança Física
Segurança da Sala de Equipamentos
Agrega todo o centro da rede e os serviços que nela operam
Entrada somente de pessoal que trabalha na sala
Registro de todo o pessoal que entra e sai
A sala deve ser trancada ao sair
Deve fornecer acesso remoto aos equipamentos
O conteúdo da sala não deve ser visível externamente
Além do acesso indevido, a sala deve ser protegida contra:
Vandalismo, fogo, interferências eletromagnéticas, fumaça, gases corrosivos,
poeira
5
Segurança Física
Segurança da Sala de Equipamentos
• Se possível, uso de salas-cofre
Segurança Física
Segurança dos equipamentos
Evitar o acesso físico aos equipamentos
Acesso ao interior da máquina (hardware)
Acesso utilizando dispositivos de entrada e saída (console)
Proteger o setup do BIOS
Tornar inativos botões de setup e liga/desliga no
gabinete
Colocar senha no BIOS
Inicialização apenas pelo disco rígido
6
Segurança Física
Segurança do ambiente
Geralmente o fornecimento de energia é de
responsabilidade da concessionária, e pode apresentar
variação de tensão e interrupção do fornecimento
Para garantir a disponibilidade da informação é
preciso garantir o fornecimento constante de energia e
que ela esteja dentro da tensão recomendada
Uso de nobreak e gerador
Refrigeração
Segurança Física
Segurança do ambiente
• Nobreak (Uninterruptable
Power Supply - UPS)
– Alimenta os equipamentos
até o gerador estar disponível
– Utiliza baterias
– Autonomia limitada
7
Segurança Física
Segurança do ambiente
• Banco de baterias
– Alimentam o no-break
Segurança Física
Segurança do ambiente
• Gerador
– Diesel
– Gás natural
• Requer manutenção constante
• Partida
– Manual
– Automática
8
Segurança Física
Segurança do ambiente
• Gerador
• Local de instalação:
– Exaustão de gases
– Ruído
– Abastecimento
– Armazenamento de combustível
Segurança Física
Segurança do ambiente
• Refrigeração
– Temperatura e umidade
• Funcionamento dos
equipamentos de TI
• Vida útil dos equipamentos de TI
9
Segurança Física
Segurança do ambiente
• Fluxo de ar em um datacenter
Segurança Física
Segurança do ambiente
• Combate a incêndios
• Detecção
‒ Quanto mais cedo, melhor
‒ Sensores de fumaça convencionais
‒ Very early smoke detection apparatus (VESDA)
Detecção por aspiração (dutos que percorrem a área)
‒ Botão de acionamento manual
• Alarme
‒ Sirenes
‒ Avisos por celular
10
Segurança Física
Segurança do ambiente
• Combate a incêndios
‒Extintores
‒Chave para desligamento de
emergência
‒Dispersão de gases
Combate às chamas.
Água pode apagar um incêndio, mas
não é conveniente num datacenter
(sprinklers)
11
Segurança Lógica
• A segurança lógica compreende os mecanismos de
proteção baseados em software
‒Senhas
‒Listas de controle de acesso
‒Criptografia
‒Firewall
‒Sistemas de detecção de intrusão
‒Redes virtuais privadas
Segurança Lógica
Firewall
• Referência às portas corta-fogo
responsáveis por evitar que um
incêndio em uma parte do prédio se
espalhe facilmente pelo prédio
inteiro
• Na Informática: previne que os
perigos da Internet (ou de qualquer
rede não confiável) se espalhem
para dentro de rede interna
12
Segurança Lógica
Firewall
• Um firewall deve sempre ser instalado em um ponto
de entrada/saída de sua rede interna
‒Este ponto de entrada/saída deve ser único
Segurança Lógica
Firewall
• Objetivos específicos de um firewall:
‒ Restringir a entrada a um ponto cuidadosamente controlado
‒ Prevenir que atacantes cheguem perto de suas defesas mais
internas
‒ Restringir a saída a um ponto cuidadosamente controlado
13
Segurança Lógica
Detectores de intrusão
• IDS (Intrusion Detection Systems): Sistemas
responsáveis por analisar o comportamento de uma
rede ou sistema em busca de tentativas de invasão
‒HIDS (Host IDS):
Monitora um host específico
‒NIDS (Network IDS):
Monitora uma segmento de rede
Segurança Lógica
VPN (Virtual Private Networks)
• VPN (Virtual Private Networks):
– Forma barata de interligar duas redes
privadas (Intranet) através da Internet
– Permite usar uma rede não confiável de
forma segura
– Exemplos:
Ligação entre dois firewalls ou entre dois
servidores de VPN para interligar duas redes
inteiras
Ligação entre uma estação na Internet e
serviços localizados dentro da rede interna
(Intranet)
14
3.3 Tipos de criptografia
(simétrica e assimétrica)
e suas características
Criptologia
15
Criptografia
Criptografia
• Criptografia é diferente das técnicas de esteganografia, que
escondem a mensagem real
‒ Ex.: Usar “tinta invisível”; escrever uma mensagem na cabeça raspada,
esperar o cabelo crecer e enviar a pessoa ao destinatário
16
Criptoanálise
17
Texto Simples, Texto Cifrado, Cifra
• Texto simples: refere-se ao alfabeto comum usado
para compor a mensagem original
• Texto cifrado: refere-se à mensagem de texto simples
encriptado uma vez que as letras originais na
mensagem foram substituídas com o alfabeto cifrado
• Cifras: são qualquer forma de substituição criptográfica
aplicada ao texto da mensagem
Algoritmo, Chave
• Um algoritmo é um método geral de criptografia
• Uma chave especifica detalhes (informações adicionais) de
uma encriptação em particular
• Juntos, eles formam cifras e mensagens criptografadas
• No caso de uma cifra de substituição:
‒ O algoritmo iria substituir as letras do texto simples pelas letras
do texto cifrado
‒ A chave seria o texto no alfabeto cifrado
18
Ciframento e Deciframento
• Ciframento
casa uityoi
• Deciframento
casa
uityoi
19
Técnicas de Criptografia
• Transposição: é uma técnica de criptografia em que as
letras em uma mensagem são reordenadas para fornecer
sigilo
Técnicas de Criptografia
• Substituição: cada letra da mensagem de texto é substituída por
uma única letra diferente
‒ Cada letra mantém a sua posição original no texto da mensagem, mas a
identidade da letra é mudada
‒ Nessa definição é também chamada substituição monoalfabética
A B C D E Alfabeto comum
D C E G H Alfabeto cifrado
20
Técnicas de Criptografia
• Um exemplo de técnica de criptografia de substituição é a
Cifra de César
• Usa deslocamento fixo ou variável (k) do alfabeto
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
• Por exemplo:
UNICARIOCA
XQLFDULRFD
Técnicas de Criptografia
• Particularidades das técnicas clássicas
‒Fáceis de usar
‒O receptor deve conhecer a chave para poder obter a
mensagem original
‒Frágeis, podem ser deduzidas (análise de ocorrência e
sequência de caracteres)
21
Técnicas de Criptografia
• Um tipo de técnica de substituição monoalfabética é denominada Cifra
Aditiva
• A Cifra XOR Simples (Ou exclusivo - eXclusive OR) usa a operação
lógica correspondente com o uso de uma chave, para cifrar um texto
simples em texto cifrado
• Tabela-verdade:
A B A XOR B
0 0 0
0 1 1
1 0 1
1 1 0
• Exemplo:
Mensagem de texto simples: ARROZ
Representação em ASCII 8 bits:
01000001 01010010 01010010 01001111 01011010
Chave: 11110011
22
Técnicas de Criptografia
• Substituição polialfabética: permite diferentes símbolos de texto
cifrado para representar o mesmo símbolo do texto simples
Texto simples
• Outro exemplo é a A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Recta) F
G
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
V
W
W
X
X
Y
Y
Z
Z
A
A
B
B
C
C
D
D
E
E
F
H H I J K L M N O P Q R S T U V W X Y Z A B C D E F G
• Ex.: I I J K L M N O P Q R S T U V W X Y Z A B C D E F G H
J J K L M N O P Q R S T U V W X Y Z A B C D E F G H I
‒ Chave: ARROZ K K L M N O P Q R S T U V W X Y Z A B C D E F G H I J
Chave
L L M N O P Q R S T U V W X Y Z A B C D E F G H I J K
‒ Mens. texto simples: M M N O P Q R S T U V W X Y Z A B C D E F G H I J K L
FEIJAO N N O P Q R S T U V W X Y Z A B C D E F G H I J K L M
O O P Q R S T U V W X Y Z A B C D E F G H I J K L M N
Se o tamanho da chave P P Q R S T U V W X Y Z A B C D E F G H I J K L M N O
for menor que a Q Q R S T U V W X Y Z A B C D E F G H I J K L M N O P
mensagem, repete-se a R R S T U V W X Y Z A B C D E F G H I J K L M N O P Q
partir da última letra: S S T U V W X Y Z A B C D E F G H I J K L M N O P Q R
T T U V W X Y Z A B C D E F G H I J K L M N O P Q R S
ARROZA U U V W X Y Z A B C D E F G H I J K L M N O P Q R S T
‒ Mensagem Cifrada: V
W
V
W
W
X
X
Y
Y
Z
Z
A
A
B
B
C
C
D
D
E
E
F
F
G
G
H
H
I
I
J
J
K
K
L
L
M
M
N
N
O
O
P
P
Q
Q
R
R
S
S
T
T
U
U
V
FVZXZO X X Y Z A B C D E F G H I J K L M N O P Q R S T U V W
Y Y Z A B C D E F G H I J K L M N O P Q R S T U V W X
Z Z A B C D E F G H I J K L M N O P Q R S T U V W X Y
23
Técnicas de Criptografia
• Técnicas de Criptografia Modernas
‒Quanto ao tipo de chave
Algoritmos de chave simétrica (criptografia de chave
privada)
Algoritmos de chave assimétrica (criptografia de chave
pública)
Técnicas de Criptografia
• Simétrica
• Assimétrica
24
Criptografia de Chave Simétrica
25
Criptografia de Chave Simétrica
Cifragem em Bloco
• ECB (Electronic Code Book - Modo do Livro de Códigos)
Criptografar
Decriptografar
26
Cifragem em Bloco
• CBC (Cipher Block Chaining - Modo do Encadeamento de
Blocos)
Criptografar
Decriptografar
Cifragem em Bloco
• ECB X CBC
27
Cifragem em Bloco
• OFB (Output Feedback – Realimentação de Saída)
Criptografar
Decriptografar
Cifragem em Bloco
• CFB (Cipher Feedback – Realimentação de Cifra)
Criptografar
Decriptografar
28
Criptografia de Chave Simétrica
• Alguns cifradores simétricos:
– LUCIFER
– DES, 3DES
– BLOWFISH
– RC2
– RC4
– IDEA
– RC5
– TWOFISH
– SERPENT
– RIJNDAEL (AES)
29
Criptografia de Chave Simétrica
Bloco Inicial
(64 bits)
Primeira Chave
32 bits 32 bits
+ F
Novo Novo
bloco 32 bloco 32
bits bits
30
Criptografia de Chave Simétrica
31
Criptografia de Chave Simétrica
• Blowfish (Counterpane Systems)
• RC2 (RSA)
• RC4 (RSA)
• IDEA (Ascon)
• Cast (Entrust)
• Safer (Cylink)
• RC5 (RSA)
32
Criptografia de Chave Simétrica
• Em 1997 o NIST (National Institute of Standards and
Technology), órgão do Departamento de Comércio dos EUA,
encarregado de aprovar padrões para o governo federal dos
EUA patrocinou um concurso para um novo padrão criptográfico
para uso não-confidencial
33
Criptografia de Chave Assimétrica
• Proposto por W. Diffie e M. Hellman (1976)
• Baseia-se num par de chaves
– Pública, serve para cifrar
– Privada, serve para decifrar
• Mais lento que algoritmos de chave simétrica
• Exemplos: RSA, Diffie-Hellman, Curvas Elípticas, ElGamal,
Rabin
34
Criptografia de Chave Assimétrica
• Geração das chaves (por A)
• Gerar dois primos grandes e distintos p e q
• Computar n=p.q e = (p-1)(q-1)
• Selecionar um inteiro aleatório e, 1 < e <
mdc(e, ) = 1
• Computar d, 1 < d <
ed = 1 (mod )
• Chave pública é (n,e); Chave privada é d
35
Comparativo entre os métodos
Criptografia Híbrida
• Criptografia Híbrida
– “Meio termo” entre as criptografias
– Aproveita o que tem de bom das duas partes
36
3.4 Mecanismos de
assinatura digital e
funções de hashing
Assinatura Digital
• Assinatura Digital
‒ Suponha que uma terceira pessoa (TRUDY) é capaz de
interceptar a comunicação entre Alice e Bob
37
Assinatura Digital
‒ Como Trudy não possui as chaves privadas de Alice e Bob, não consegue
decodificar a mensagem cifrada Confidencialidade OK!
‒ No entanto, Trudy pode possuir as chaves públicas de ambos.
‒ O que a impede de enviar mensagens forjadas?
Assinatura Digital
• Assinatura Digital - permite que:
38
Assinatura Digital
• Uma propriedade do RSA
diz que:
Assinatura Digital
• A mensagem codificada com a Chave Privada de um usuário:
‒ Pode ser decodificada por qualquer um que tenha sua chave
pública, ou seja, muitas pessoas
‒ Porém, se for decodificada corretamente significa que o emissor
é realmente o dono daquela chave pública (pois só ele tem a
chave privada) garantia de identidade
‒ Para garantir sua identidade, o emissor anexa na mensagem
uma assinatura de sua mensagem codificada com sua chave
privada
‒ Para isso, utilizam-se as funções de Hashing
39
Assinatura Digital
• Hashing ou Message Digest
• Produz uma assinatura a partir de uma entrada
• Características importantes:
1. O cálculo do hash de uma mensagem deve ser fácil e rápido.
2. O tamanho do hash deve ser constante, independente do tamanho da
mensagem de entrada.
3. A partir do hash deve ser impossível deduzir a mensagem original.
4. Não deve ser possível, a partir de uma mensagem e seu hash, deduzir
uma outra mensagem que produza o mesmo hash.
5. Uma mínima mudança na mensagem deve produzir uma grande
mudança no hash.
Assinatura Digital
• Funções mais usadas:
‒ MD5 - 128 bits
‒ SHA-1 - 160 bits
‒ SHA-2 - 224/256/384/512 bits
• Uma mínima alteração no texto, altera todo o hash
• Exemplo:
‒ Os hashes MD5 de 128-bit são normalmente representados por
uma sequência de 32 caracteres hexadecimais
MD5(“mensagem de teste 1 2 3”) 63745902de0027d04c06d8ba5b94a225
MD5(“mensagem de teste 1 2 2”) 4ebcbd22ef3815461cc75607647056cb
40
Assinatura Digital
• Como as funções de hashing podem ser usadas para
gerar assinatura para quaisquer tamanhos de
mensagem, é de se esperar que diferentes entradas
produzam a mesma saída → colisão de hashing
‒ Apesar de possível, é matematicamente improvável (para não
dizer quase impossível) que se consiga obter uma segunda
mensagem que produza o mesmo hash
‒ Mesmo que se consiga (por força-bruta), é ainda mais
improvável que esta mensagem possua algum sentido
ortográfico e semântico
Assinatura Digital
• Verificação da Assinatura Digital:
1. Executa-se a função MD (usando o mesmo algoritmo MD que foi
aplicado ao documento na origem), obtendo-se um hash para aquele
documento, e posteriormente, decifra-se a assinatura digital com a
chave pública do remetente
2. A assinatura digital decifrada deve produzir o mesmo hash gerado pela
função MD executada anteriormente
3. Se estes valores são iguais é determinado que o documento não foi
modificado após a assinatura do mesmo, caso contrário o documento
ou a assinatura, ou ambos foram alterados
41
Assinatura Digital
Assinatura Digital
Garante a integridade
da mensagem e a
identidade do
emissor
42
Assinatura Digital
• Aplicações Práticas: Autenticação/SMIME
Assinatura Digital
• Aplicações Práticas: Criptografia/SMIME
43
Assinatura Digital
• Aplicações Práticas: Autenticação e criptografia/SMIME
Assinatura Digital
• Aplicações Práticas: Web
‒ Nos requisitos
– Autenticação do servidor
– Autenticação do cliente
– Integridade de conteúdo
– Confidencialidade
‒ Nos protocolos
– SSL (Secure Socket Layer)
– Secure HTTP (Secure HyperText Transfer Protocol)
‒ Nos aplicativos
– SSH (Secure Shell)
– IPSec (Internet Protocol Security)
– VPNs (Virtual Private Networks)
– EDI (Electronic Data Interchange)
44
3.5 Certificados Digitais:
Características e
objetivos
Certificação Digital
45
Certificação Digital
• O originador de uma mensagem criptografada precisa
conhecer a chave pública do destinatário
• O destinatário de uma mensagem autenticada precisa
conhecer a chave pública do originador
• É necessário que o usuário tenha certeza de que a chave
pública que está utilizando é autêntica
‒Em um pequeno grupo, poderia trocar as chaves
públicas e guardá-las de forma segura
‒Já em um grande grupo, a troca manual de chave é
impraticável!
Certificação Digital
• Certificado Digital: arquivo digital que contém as
informações necessárias à identificação de um indivíduo ou
programa, equipamento, componente, produto, etc, incluindo
sua chave pública
• Principal função de um certificado: vincular uma chave
pública ao nome de um protagonista (indivíduo, empresa, etc.)
• Os certificados em si não são secretos ou protegidos
– Usualmente estão disponíveis em uma base de acesso livre na
Internet (diretório X.500)
46
Certificação Digital
• Autoridade Certificadora - AC (Certification Authority - CA):
Cartório eletrônico
– Entidade que emite certificados para possuidores de chaves
públicas e privadas (pessoa, dispositivo, servidor)
Certificação Digital
• Atribuições de uma AC:
Gerar, entregar e armazenar a chave privada de forma segura
Distribuir a chave pública
Atualizar o par de chaves
Assinar a chave pública para gerar o certificado.
Assinar certificados digitais garantindo sua validade
Manter e divulgar uma lista com os certificados revogados (Certificate
Revocation List - CRL)
CAs podem estar encadeadas em hierarquias de certificação, em que a CA de
um nível inferior valida sua assinatura com a assinatura de uma CA mais alta
na hierarquia
47
Certificação Digital
Certificação Digital
• Componentes básicos de um certificado digital:
– A chave pública
– Nome e endereço de e-mail
– Data da validade da chave pública
– Nome da autoridade certificadora (CA)
– Número de série do Certificado Digital
– Assinatura Digital da Autoridade Certificadora
48
Certificação Digital
Certificação Digital
• Para que serve um Certificado Digital?
– Correio Eletrônico seguro
– Transações Bancárias sem repúdio
– Compras pela Internet sem repúdio
– Consultas confidenciais a cadastros
– Arquivo de documentos legais digitalizados
– Transmissão de documentos
– Contratos digitais
– Certificação de Equipamentos
– Certificação de Programas de Computador
– Certificação de vídeo, som e comandos digitais
49
Certificação Digital
• Obtenção de um Certificado
Cliente gera um par de chaves pública e privada (por exemplo,
usando RSA)
Envia-se um pedido de certificado para a Autoridade de Registro
AR (Autoridade Regional de Registro) faz a prova de existência do
requisitante e retransmite o pedido para a AC
AC assina e envia o certificado
Usuário instala seu certificado
Usuário divulga o certificado
Certificação Digital
• Política de Certificação:
• A Autoridade de Registro (AR), tendo a delegação de uma AC
para tal, faz uma investigação no solicitante e determina:
– Se o pedido deve ser atendido
– Quais as características que deve ter
50
Certificação Digital
• Tipos de certificados
– Certificados de AC: utilizados para validar outros certificados; auto-
assinados ou assinados por outra AC
– Certificados de servidor: utilizados para identificar um servidor
seguro; contém o nome da organização e o nome DNS do servidor
– Certificados pessoais: contém nome do portador e,
eventualmente, informações como endereço eletrônico, endereço
postal, etc
– Certificados de desenvolvedores de software: utilizados para
validar assinaturas associadas a programas
Certificação Digital
• Determina:
– Onde os certificados digitais serão armazenados e recuperados
– De que forma estão armazenados
– Como um certificado é revogado, etc.
51
Certificação Digital
• Requisitos para uma Infra-estrutura de Chave Pública
–Escalabilidade
–Suporte a várias aplicações
–Interoperabilidade
–Suporte a múltiplas políticas
–Limitação de responsabilidade
–Padronização
Certificação Digital
• Função da PKI
– Fornecer um modo para estruturar os componentes (usuários, CAs,
certificados, etc.).
– Definir padrões para os vários documentos e protocolos.
– Garantir a autenticação, confidencialidade, integridade e a não recusa
das informações.
• A própria empresa pode criar sua PKI e fazer, por exemplo, com que um
departamento das filiais atue como AC ou AR, solicitando ou emitindo
certificados para seus funcionários
52
Certificação Digital
• ICP é a sigla no Brasil para PKI
• ICP-Brasil se caracteriza pela presença de um sistema
hierárquico ou vertical, onde há a presença de uma AC-raiz
(papel realizado pelo Instituto Nacional de Tecnologia da
Informação), que credencia e audita as ACs pertecentes ao
sistema
53
Certificação Digital
Certificação Digital
1. Solicita o certificado digital 2. Verifica identidade do usuário
Autoridade Registro
Envia certificado para o usuário
Publica o certificado Sim: Requisita o
Certificado para o usuário
Repositório Autoridade Certificadora
54