Escolar Documentos
Profissional Documentos
Cultura Documentos
O que é Criptografia?
Criptologia é a ciência de fazer e quebrar códigos secretos. A criptografia é uma
maneira de armazenar e transmitir dados para que somente o destinatário pretendido
possa lê-los ou processá-los. A criptografia moderna usa algoritmos
computacionalmente seguros para garantir que os cibercriminosos não possam
comprometer facilmente informações protegidas.
A História da Criptografia
A história da criptografia começou em círculos diplomáticos há milhares de anos.
Mensageiros da corte de um rei levavam mensagens criptografadas para outras cortes.
Ocasionalmente, outras cortes não envolvidas na comunicação, tentavam roubar
mensagens enviadas para um reino que eles consideravam um adversário. Pouco tempo
depois, comandantes militares começaram a usar criptografia para proteger
mensagens.
Ao longo dos séculos, vários métodos de criptografia, dispositivos físicos e
ajudas, cifraram e decifraram texto:
Scytale (Figura 1)
Cifra César (Figura 2)
Cifra Vigenère (Figura 3)
Máquina Enigma (Figura 4)
Todos os métodos de cifra usam uma chave para cifrar ou decifrar uma mensagem. A
chave é um componente importante no algoritmo de criptografia. Um algoritmo de
criptografia é tão bom quanto a chave usada. Quanto mais complexidade envolvida,
mais seguro o algoritmo. A gestão de chaves é uma peça importante no processo.
Existem duas abordagens para garantir a segurança dos dados ao usar criptografia. A
primeira é proteger o algoritmo. Se a segurança de um sistema de criptografia
depende do sigilo do próprio algoritmo, o aspecto mais importante é proteger o
algoritmo a todo custo. Toda vez que alguém descobre os detalhes do algoritmo,
todas as partes envolvidas precisam de mudar o algoritmo. Essa abordagem não parece
muito segura ou gerenciável. A segunda abordagem é proteger as chaves. Com a
criptografia moderna, os algoritmos são públicos. As chaves criptográficas garantem
o sigilo dos dados. As chaves criptográficas são palavras-passe que fazem parte da
entrada num algoritmo de criptografia juntamente com os dados que exigem
criptografia.
Por exemplo, Alice e Bob vivem em locais diferentes e querem trocar mensagens
secretas entre si através do sistema de correio. Alice quer enviar uma mensagem
secreta para Bob.
Se Bob quiser falar com Carol, ele precisa de uma nova chave pré-compartilhada para
essa comunicação, a fim de mantê-la em segredo de Alice. Quanto mais pessoas Bob
quer se comunicar com segurança, mais chaves ele vai precisar de gerir.
Tipos de Criptografia
Os tipos mais comuns de criptografia são cifras de bloco e cifras de fluxo. Cada
método difere na forma como agrupa bits de dados para criptografá-los.
Cifras de bloco
Cifras de fluxo
Ao contrário das cifras de bloco, as cifras de fluxo criptografam texto simples um
byte ou um bit de cada vez, conforme mostrado na Figura 2. Pense em cifras de fluxo
como uma cifra de bloco com um tamanho de bloco de um bit. Com uma cifra de fluxo,
a transformação dessas unidades de texto simples menores varia, dependendo de
quando elas são encontradas durante o processo de criptografia. As cifras de fluxo
podem ser muito mais rápidas do que as cifras de bloco, e geralmente não aumentam o
tamanho da mensagem, porque podem cifrar um número arbitrário de bits.
3DES (DES triplo): Digital Encryption Standard (DES) é uma cifra de bloco simétrica
com tamanho de bloco de 64 bits que usa uma chave de 56 bits. É preciso um bloco de
64 bits de texto simples como entrada e emite um bloco de 64 bits de texto cifrado.
Ele opera sempre em blocos de igual tamanho e usa permutações e substituições no
algoritmo. Uma permutação é uma maneira de organizar todos os elementos de um
conjunto.
O DES triplo criptografa dados três vezes e usa uma chave diferente para pelo menos
uma das três passagens, dando-lhe um tamanho de chave cumulativo de 112-168 bits. O
3DES é resistente ao ataque, mas é muito mais lento que o DES.
AES: O Advanced Encryption Standard (AES) tem um tamanho de bloco fixo de 128 bits
com um tamanho de chave de 128, 192 ou 256 bits. O National Institute of Standards
and Technology (NIST) aprovou o algoritmo AES em dezembro de 2001. O governo dos
EUA usa AES para proteger informações confidenciais.
AES é um algoritmo forte que usa comprimentos de chave mais longos. O AES é mais
rápido que o DES e o 3DES, por isso fornece uma solução para aplicações de
software, bem como o uso de hardware em firewalls e routers.
Se Alice e Bob trocarem uma mensagem secreta usando criptografia de chave pública,
eles usam um algoritmo assimétrico. Desta vez Bob e Alice não trocam chaves antes
de enviar mensagens secretas. Em vez disso, Bob e Alice têm um cadeado separado com
chaves correspondentes separadas. Para Alice enviar uma mensagem secreta para Bob,
ela deve primeiro entrar em contato com ele e pedir-lhe para enviar seu cadeado
aberto para ela. Bob manda o cadeado, mas mantém a chave dele. Quando Alice recebe
o cadeado, ela escreve a sua mensagem secreta e coloca numa pequena caixa. Ela
também coloca seu cadeado aberto na caixa, mas mantém sua chave. Ela então tranca a
caixa com o cadeado do Bob. Quando Alice tranca a caixa, ela não é mais capaz de
entrar porque ela não tem uma chave para esse cadeado. Ela envia a caixa para Bob
e, à medida que a caixa viaja pelo sistema de correio, ninguém é capaz de abri-lo.
Quando Bob recebe a caixa, ele pode usar sua chave para desbloquear a caixa e
recuperar a mensagem de Alice. Para enviar uma resposta segura, Bob coloca sua
mensagem secreta na caixa, juntamente com seu cadeado aberto, e bloqueia a caixa
usando o cadeado de Alice. Bob envia a caixa segura de volta para Alice.
Por exemplo, na Figura 1, Alice solicita e obtém a chave pública de Bob. Na Figura
2, Alice usa a chave pública de Bob para cifrar uma mensagem usando um algoritmo
acordado. Alice envia a mensagem criptografada para Bob, e Bob então usa sua chave
privada para decifrar a mensagem, como mostrado na Figura 3.
ElGamal - usa o padrão do governo dos EUA para assinaturas digitais. Este algoritmo
é gratuito para uso porque ninguém detém a patente.
Elliptic Curve Cryptograph (ECC) - usa curvas elípticas como parte do algoritmo.
Nos EUA, a Agência de Segurança Nacional usa a ECC para geração de assinaturas
digitais e troca de chaves.
Gestão de Chaves
A gestão de chaves inclui a geração, troca, armazenamento, uso e substituição de
chaves usadas num algoritmo de criptografia.
Aplicações
Existem muitas aplicações para algoritmos simétricos e assimétricos.
Internet Key Exchange (IKE), que é um componente fundamental das Redes Privadas
Virtuais IPsec (VPNs).
Secure Socket Layer (SSL), que é um meio de implementar criptografia em um
navegador da web.
Secure Shell (SSH), que é um protocolo que fornece uma conexão segura de acesso
remoto aos dispositivos de rede.
Pretty Good Privacy (PGP), que é um programa de computador que fornece privacidade
criptográfica e autenticação para aumentar a segurança das comunicações por e-mail.
Uma VPN é uma rede privada que usa uma rede pública, geralmente a Internet, para
criar um canal de comunicação seguro. Uma VPN conecta dois endpoints, como dois
escritórios remotos pela Internet para formar a conexão.
Os dados em uso são uma preocupação crescente para muitas organizações. Quando em
uso, os dados não têm mais nenhuma proteção porque o utilizador precisa abrir e
alterar os dados. A memória do sistema mantém os dados em uso e pode conter dados
confidenciais, como a chave de criptografia. Se os criminosos comprometerem os
dados em uso, eles terão acesso aos dados em repouso e em movimento.
O controlo de acesso físico determina quem pode entrar (ou sair), onde eles podem
entrar (ou sair) e quando eles podem entrar (ou sair).
As listas de controlo de acesso são outro mecanismo comum usado para implementar o
controlo de acesso discricionário. Uma lista de controlo de acesso usa regras para
determinar que tráfego pode entrar ou sair de uma rede.
Tal como acontece com o MAC, os utilizadores não podem alterar as regras de acesso.
As organizações podem combinar controlo de acesso baseado em regras com outras
estratégias para implementar restrições de acesso. Por exemplo, os métodos MAC
podem utilizar uma abordagem baseada em regras para implementação.
O que é Identificação?
A identificação impõe as regras estabelecidas pela política de autorização. Um
sujeito solicita acesso a um recurso do sistema. Toda a vez que o sujeito solicita
acesso a um recurso, os controlos de acesso determinam se deve conceder ou negar
acesso. Por exemplo, a política de autorização determina quais atividades um
utilizador pode executar em um recurso.
Controlos de Identificação
As políticas de segurança cibernética determinam quais controlos de identificação
devem ser usados. A sensibilidade da informação e dos sistemas de informação
determina o quão rigorosos são os controlos. O aumento das violações de dados
obrigou muitas organizações a fortalecer os seus controlos de identificação. Por
exemplo, a indústria de cartões de crédito nos Estados Unidos exige que todos os
fornecedores convertam em sistemas de identificação de cartões inteligentes.
O que se Sabe
Palavras-passe, frases-senha ou PINs são exemplos de algo que o utilizador conhece.
As palavras-passe são o método mais popular usado para autenticação. Os termos
frase de acesso, senha, chave de acesso ou PIN são genericamente chamados de
palavra-passe. Uma palavra-passe é uma cadeia de caracteres usada para provar a
identidade de um utilizador. Se essa sequência de caracteres se relacionar de volta
a um utilizador (como um nome, data de nascimento ou endereço), será mais fácil
para criminosos cibernéticos adivinhar a senha de um utilizador.
Várias publicações recomendam que uma palavra-passe tenha pelo menos oito
caracteres. Os utilizadores não devem criar uma senha tão longa que seja difícil
memorizar, ou inversamente, tão curta que se torna vulnerável à quebra de senha. As
palavras-passe devem conter uma combinação de letras maiúsculas e minúsculas,
números e caracteres especiais. Clique aqui para testar as palavras-passe atuais.
Quem se É
Uma característica física única, como uma impressão digital, retina ou voz, que
identifica um utilizador específico é chamada biometria. A segurança biométrica
compara características físicas com perfis armazenados para autenticar
utilizadores. Um perfil é um ficheiro de dados contendo características conhecidas
de um indivíduo. O sistema concede ao utilizador acesso se suas características
corresponderem às configurações guardadas. Um leitor de impressões digitais é um
dispositivo biométrico comum.
Autenticação Multifator
A autenticação multifator usa pelo menos dois métodos de verificação. Um chaveiro
de segurança é um bom exemplo. Os dois fatores são algo que você sabe, como uma
palavra-passe, e algo que você tem, como uma chave de segurança fob. Dê um passo
adiante adicionando algo que você é, como uma verificação de impressão digital.
O que é Autorização?
A autorização controla o que um utilizador pode e não pode fazer na rede após a
autenticação bem-sucedida. Depois de um utilizador comprovar a sua identidade, o
sistema verifica a que recursos de rede o utilizador pode aceder e o que o
utilizador pode fazer com os recursos. Como mostrado na figura, a autorização
responde à pergunta: “Que privilégios de leitura, cópia, criação e exclusão o
utilizador tem?”
Usando a Autorização
Definir regras de autorização é a primeira etapa no controlo do acesso. Uma
política de autorização estabelece essas regras.
Uma política de associação de grupo define autorização com base na associação em um
grupo específico. Por exemplo, todos os funcionários de uma organização têm um
cartão magnético, que fornece acesso à instalação. Se o trabalho de um funcionário
não exigir que tenha acesso à sala do servidor, o seu cartão de segurança não
permitirá que entre nessa sala.
Uma política de nível de autoridade define permissões de acesso com base na posição
de um funcionário dentro da organização. Por exemplo, apenas funcionários de nível
superior num departamento de TI podem aceder à sala do servidor.
O que é Registo?
O registo rastreia uma ação de volta para uma pessoa ou processo que faz a
alteração num sistema, coleta essas informações e relata os dados de uso. A
organização pode usar esses dados para fins como auditoria ou faturamento. Os dados
coletados podem incluir o tempo de login de um utilizador, se o login do utilizador
foi um sucesso ou falha, ou quais recursos de rede o utilizador acedeu. Isso
permite que uma organização rastreie ações, erros e erros durante uma auditoria ou
investigação.
Implementando Registo
A implementação do registo consiste em tecnologias, políticas, procedimentos e
educação. Os arquivos de log fornecem a informação detalhada baseada nos parâmetros
escolhidos. Por exemplo, uma organização pode examinar o log para falhas e sucessos
de login. Falhas de login podem indicar que um criminoso tentou hackear uma conta.
Os sucessos de login informam a uma organização quais utilizadores estão usando que
recursos e quando. É normal que um utilizador autorizado aceda à rede corporativa
às 3:00 da manhã? As políticas e procedimentos da organização explicam quais ações
devem ser gravadas e como os arquivos de log são gerados, revistos e armazenados.
controlos Preventivos
Prevenir significa evitar que algo aconteça. controlos de acesso preventivos
impedem que atividades indesejadas ou não autorizadas aconteçam. Para um utilizador
autorizado, um controlo de acesso preventivo significa restrições. Atribuir
privilégios específicos do utilizador num sistema é um exemplo de controlo
preventivo. Mesmo que um utilizador seja um utilizador autorizado, o sistema coloca
limites para impedir que o utilizador acesse e execute ações não autorizadas. Uma
firewall que bloqueia o acesso a uma porta ou serviço que os criminosos
cibernéticos podem explorar também é um controlo preventivo.
controlos Dissuasores
Um dissuasor é o oposto de uma recompensa. Uma recompensa incentiva os indivíduos a
fazer a coisa certa, enquanto um dissuasor desencoraja-os de fazer a coisa errada.
Profissionais de segurança cibernética e organizações usam dissuasores para limitar
ou mitigar uma ação ou comportamento, mas os dissuasores não os impedem. O controlo
de acesso impede que os criminosos cibernéticos obtenham acesso não autorizado a
sistemas de informação e dados confidenciais. Os dissuasores de controlo de acesso
desencorajam sistemas de ataque, roubo de dados ou disseminação de código
malicioso. As organizações usam dissuasores de controlo de acesso para aplicar
políticas de segurança cibernética.
Os dissuasores fazem com que potenciais criminosos cibernéticos pensem duas vezes
antes de cometerem um crime. A figura lista os dissuasores comuns de controlo de
acesso usados no mundo da segurança cibernética.
controlos de Detetive
A deteção é o ato ou processo de perceber ou descobrir algo. Deteções de controlo
de acesso identificam diferentes tipos de atividade não autorizada. Os sistemas de
deteção podem ser muito simples, como um detetor de movimento ou um guarda de
segurança. Eles também podem ser mais complexos, como um sistema de deteção de
intrusão. Todos os sistemas de detetives têm várias coisas em comum; eles procuram
atividades incomuns ou proibidas. Eles também fornecem métodos para registrar ou
alertar os operadores de sistemas de acesso potencial não autorizado. controlos de
detetive não impedem que nada aconteça; eles são mais uma medida após o fato.
controlos Corretivos
Corretivo neutraliza algo que é indesejável. As organizações colocam controlos de
acesso corretivos em vigor depois de um sistema experenciar uma ameaça. Os
controlos corretivos restauram o sistema de volta a um estado de confidencialidade,
integridade e disponibilidade. Eles também podem restaurar os sistemas ao normal
após a atividade não autorizada ocorrer.
controlos de Recuperação
A recuperação é um retorno a um estado normal. Os controlos de acesso de
recuperação restauram recursos, funções e recursos após uma violação de uma
política de segurança. Os controlos de recuperação podem reparar danos, além de
parar qualquer dano adicional. Esses controlos têm recursos mais avançados em
relação aos controlos de acesso corretivos.
controlos Compensativos
Compensar significa suprir algo. Os controlos de acesso compensativos fornecem
opções para outros controlos para reforçar a aplicação em apoio de uma política de
segurança.
Existem várias técnicas de mascaramento de dados que podem garantir que os dados
permaneçam significativos, mas alterados o suficiente para protegê-los.
O que é Esteganografia?
A esteganografia oculta dados (a mensagem) em outro ficheiro como um gráfico, áudio
ou outro ficheiro de texto. A vantagem da esteganografia sobre a criptografia é que
a mensagem secreta não atrai nenhuma atenção especial. Ninguém jamais saberia que
uma imagem na verdade continha uma mensagem secreta, visualizando o ficheiro
eletronicamente ou em cópia impressa.
Técnicas de Esteganografia
A abordagem usada para incorporar dados em uma imagem de capa utiliza Bits Menos
Significativos (LSB). Este método usa bits de cada pixel na imagem. Um pixel é a
unidade básica de cor programável em uma imagem de computador. A cor específica de
um pixel é uma mistura de três cores: vermelho, verde e azul (RGB). Três bytes de
dados especificam a cor de um pixel (um byte para cada cor). Oito bits compõem um
byte. Um sistema de cores de 24 bits usa todos os três bytes. LSB usa um bit de
cada um dos componentes de cor vermelha, verde e azul. Cada pixel pode armazenar 3
bits.
A figura mostra três pixels de uma imagem colorida de 24 bits. Uma das letras na
mensagem secreta é a letra T, e inserir o caractere T muda apenas dois bits da cor.
O olho humano não pode reconhecer as mudanças feitas nos pedaços menos
significativos. O resultado é um caracter oculto.
Em média, não mais da metade dos bits de uma imagem precisarão mudar para ocultar
uma mensagem secreta de forma eficaz.
Esteganografia Social
A esteganografia social esconde informações à vista, criando uma mensagem que pode
ser lida de uma certa maneira por alguns para receber a mensagem. Outros que o veem
de uma maneira normal não verão a mensagem. Adolescentes nas redes sociais usam
essa tática para comunicar com seus amigos mais próximos, mantendo os outros, como
os seus pais, sem saber o que a mensagem realmente significa. Por exemplo, a frase
“ir ao cinema” pode significar “ir à praia”.
Indivíduos em países que censuram a mídia também usam a esteganografia social para
divulgar suas mensagens, escrevendo palavras incorretamente de propósito ou fazendo
referências obscuras. Na verdade, eles comunicam com diferentes públicos
simultaneamente.
Detecção
Esteganálise é a descoberta de que a informação oculta existe. O objetivo da
esteganálise é descobrir a informação oculta.
Padrões no stego-image criam suspeitas. Por exemplo, um disco pode ter áreas não
utilizadas que ocultam informações. Os utilitários de análise de disco podem
relatar informações ocultas em clusters não utilizados de dispositivos de
armazenamento. Os filtros podem capturar pacotes de dados que contêm informações
ocultas em cabeçalhos de pacotes de informação. Ambos os métodos usam assinaturas
de esteganografia.
Ofuscação
A ofuscação de dados é o uso e a prática de técnicas de mascaramento de dados e
esteganografia na profissão de cibersegurança e inteligência cibernética. A
ofuscação é a arte de tornar a mensagem confusa, ambígua ou mais difícil de
entender. Um sistema pode propositadamente embaralhar mensagens para impedir o
acesso não autorizado a informações confidenciais.
Aplicações
A marca d'água de software protege o software contra acesso ou modificação não
autorizados. A marca d'água de software insere uma mensagem secreta no programa
como prova de propriedade. A mensagem secreta é a marca d'água do software. Se
alguém tentar remover a marca d'água, o resultado é código não funcional.