Escolar Documentos
Profissional Documentos
Cultura Documentos
https://www.cebraspe.org.br/concursos/SERPRO_23
Segurança da Informação
Três pilares:
● Confidencialidade (sigilo + privacidade): garante que apenas pessoas autenticadas e autorizadas
acessarão certos dados. É violado quando alguém intercepta e acessa dados que não são
direcionados a ela.
● Confiabilidade: objetivo garantir que os dados sejam os mesmos no início e fim, mensagem intacta no
destino. Serve também para dados em repouso.
● Integridade: apenas pessoa autorizada pode acessar e modificar uma informação.
● Disponibilidade: objetivo de garantir que determinado recurso esteja disponível quando requisitado
Tipos de segurança
● Segurança física: aspectos tangíveis
○ UPS: bateria de tempo limitado
○ Gerador: pode ser prolongado com uso de combustível
○ Site físico redundante: ambiente que assume a operação em caso de catástrofe no ambiente
principal
○ CFTV: câmeras de registro para monitoramento e análise
○ travas de equipamento: bloqueio de portas ou unidades ou mesmo chaves que prendem o
equipamento no local (kensington)
○ alarmes: aspecto físico e lógico
○ catracas: restringe acesso
○ sala cofre: ambiente seguro para data centers
● Segurança lógica: dados em formato analógico ou digital
○ Hardening: técnicas de “endurecer” servidor
■ Impedir acessar root diretamente, apenas com escalação de privilégio (usuário logado
que executa a mudança de privilégio)
■ Redução de serviços
■ Limitação de acesso remoto: exigir protocolo SSH. restringir acesso ao servidor para
certas máquinas ou redes
■ Atualização do sistema com as últimas e mais atualizadas versões
ISO
Segurança da informação:
● Garante confiabilidade, integridade e disponibilidade da informação
● Envolve aplicação e gerenciamento de controles apropriados
● Minimiza as consequências de incidentes de segurança da informação
Mecanismos de segurança.
Criptografia.
Chave simétrica: quem envia e quem recebe possuem a mesma chave. Mais rápido.
Chave pública (ou assimétrica): pares de chaves - pública e privada. Mais lento. Dependem da chave privada
ser secreta. Qualquer um com a chave pública pode encriptar uma mensagem, porém apenas aquele com a
chave privada pode decriptar.
● Caso de autenticação: usa a chave privada para encriptar e chave pública para decriptar
● É comum o uso da chave assimétrica para compartilhar chave simétrica.
Função de hash: mapeia dados de comprimento variável para comprimento fixo. Objetivo geral é integridade
dos dados.
● Colisões são possíveis, mas uma boa função de hash as evita
● Uma mudança de qualquer bit na entrada resulta com alta probabilidade de uma mudança no código
de hash
● Computacionalmente inviável descobrir:
○ um objeto de dados que seja mapeado para um resultado de hash específico (propriedade da
mão única)
○ dois objetos de dados que sejam mapeados para o mesmo resultado de hash (propriedade
livre de colisão)
● A entrada é tamanho variável, mas é geralmente preenchida até o tamanho limite
Assinatura digital.
O usuário criptografa o hash (resumo) da mensagem com sua chave privada. Qualquer um pode
descriptografar usando a chave pública disponível no certificado e confirmar a autenticidade.
Típico esquema:
● É gerada uma chave privada e uma pública correspondente a ela.
● Algoritmo de assinatura: dada uma mensagem e chave privada, produz uma assinatura.
● Algoritmo que verifica assinatura: dada uma mensagem, chave pública e assinatura, aceita ou rejeita a
alegação de autenticidade.
○ Qualquer um com a chave pública pode verificar a autenticidade, porém apenas com a chave
privada pode-se assinar.
Tipos de falsificação:
● Existencial: atacante forja assinatura para pelo menos uma mensagem
● Universal: atacante encontra algoritmo de assinatura eficiente que oferece modo equivalente de
construção de assinaturas para mensagens arbitrárias
Garantia de integridade.
Um serviço de integridade orientado à conexão, que lida com um fluxo de mensagens, garante que elas
sejam recebidas conforme enviadas, sem duplicação, inserção, modificação, reordenação ou repasses
Controle de acesso.
DICA: biometria não se restringe à impressão digital, podendo ser padrão de voz, irís, imagem da face
Autorização: determinado usuário ou serviço depende de autenticação para acessar recurso. Não basta ser
usuário válido no sentido da autenticação.
Auditabilidade: registra ações para permitir rastreamento e identificação de falhas ou usos indevidos.
Tipo de Certificados
Padrão X.509 V3
Na ICP-Brasil estão definidos oito tipos de certificados para titulares, classificados da seguinte forma: A1, A2,
A3, A4, S1, S2, S3 e S4 e um tipo de certificado para Autoridades Certificadoras.
Certificado digital A1: é um arquivo de computador, que fica armazenado diretamente na máquina em que
será usado.
O certificado digital A3 fica armazenado em uma mídia (cartão ou token), ele precisa de configurações
adicionais para uso.
AC - Autoridade Certificadora
Entidade, pública ou privada, subordinada à hierarquia da ICP-Brasil, responsável por emitir, distribuir,
renovar, revogar e gerenciar certificados digitais. Tem a responsabilidade de verificar se o titular do certificado
possui a chave privada que corresponde à chave pública que faz parte do certificado. Cria e assina
digitalmente o certificado do assinante, onde o certificado emitido pela AC representa a declaração da
identidade do titular, que possui um par único de chaves (pública/privada).
Cabe também à AC emitir Listas de Certificados Revogados – LCR e manter registros de suas operações
sempre obedecendo às práticas definidas na Declaração de Práticas de Certificação – DPC. Além de
estabelecer e fazer cumprir, pelas ARs a ela vinculadas, as políticas de segurança necessárias para garantir a
autenticidade da identificação realizada.
AR - Autoridade de Registro
Responsável pela interface entre o usuário e a AC. Vinculada a uma AC, tem por objetivo o recebimento, a
validação, o encaminhamento de solicitações de emissão ou revogação de certificados digitais e identificação,
de forma presencial, de seus solicitantes. É responsabilidade da AR manter registros de suas operações.
Pode estar fisicamente localizada em uma AC ou ser uma entidade de registro remota.
DICA: O par de chaves criptográficas será gerado sempre pelo próprio titular e sua chave privada de
assinatura será de seu exclusivo controle, uso e conhecimento
Gerência de riscos.
Ataques passivos: bisbilhotar ou monitorar transmissões. São mais difíceis de descobrir, pois não envolvem
modificação
● Vazamento de conteúdo de mensagem: o oponente descobre o conteúdo
● Análise de tráfego: mesmo que não conseguisse ler a mensagem (encriptada), o oponente descobre
identidade, padrões na troca, frequência, local etc
Ataques ativos: envolvem modificação do fluxo ou criação de fluxo falso
● disfarce: entidade finge ser outra
● repasse: captura passiva de dados e subsequente retransmissão para produzir efeito não desejado
● modificação da mensagem: parte da mensagem legítima é alterada (man-in-the-middle)
● negação de serviço (denial of service DoS): impede ou inibe uso ou gerenciamento normal das
instalações de comunicação. Pode decorrer de ataques de escalação de privilégios
● negação de serviço distribuído (DDoS): um computador mestre distribui a tarefa a computadores
zumbis
● zero day: ataques ainda não descobertos
Vulnerabilidade: condição de fragilidade do ativo que pode ser explorada por uma ou mais ameaças
Ameaça: uma ameaça é um possível perigo a explorar uma vulnerabilidade. causa potencial de um incidente
indesejado, que pode resultar em dano para um sistema ou organização
Risco: probabilidade potencial associada à exploração de uma ou mais vulnerabilidades por parte de uma ou
mais ameaças, capazes de gerar determinado IMPACTO para a organização. Lidando com riscos:
● evitar
● transferir: para 3ª parte, que assume a responsabilidade
● mitigar
● aceitar ou reter
Políticas de segurança.
Gestão continuada de negócios: não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for
o caso
PCN – Plano de Continuidade de Negócios: documento responsável por consolidar as ações para
continuidade do negócio. Todos os riscos envolvidos, no que tange às suas probabilidades e impactos devem
ser analisados. Foco também no capital intelectual
NBR ISO/IEC 27001:2013.
Políticas de senhas.
A password policy is a set of rules designed to enhance computer security by encouraging users to employ
strong passwords and use them properly. Either the password policy is merely advisory, or the computer
systems force users to comply with it
● NIST 2004: irregular capitalization, special characters, and at least one numeral
● NIST 2017: forcing complexity and regular changes is now seen as bad practice
○ Verifiers should not impose composition rules
○ Verifiers should not require passwords to be changed arbitrarily or regularly
○ must be at least 8 characters in length
Autenticação forte, dois fatores (duas etapas), duplo fator de autenticação (2FA): necessariamente combina
algo que vc sabe, algo que vc tem ou algo que vc é. Múltiplo fator de autenticação (MFA) segue o mesmo
princípio e pode ter 2 ou mais fatores.
O OAuth foi concebido em conjunto por Google e pelo Twitter, permitindo assim logins simplificados e
integrados a múltiplos serviços na Internet. O processo por trás é semelhante ao SAML. Versão atual 2.0
define 4 papéis básicos:
● Resource Owner: dono do recurso, quem concede acesso a seus dados, usuário final
● Resource Server: camada de integração disponibilizada pelo provedor de identidades
● Authorization Server: responsável por autenticação e emissão de tokens de acesso aos clientes.
Passa o token de forma segura através do bearer token
● Client: aplicação que interage com o dono do recurso
Single Sign On (SSO): possibilitar a determinado usuário consumir recursos de diversos sistemas e serviços a
partir de uma única camada de autenticação. Inverso é o Single Sign OFF. Principal protocolo é o LDAP
JWT: JSON web token, contém um conjunto de declarações e são criptografados por chave privada ou chave
pública/privada. Usados em contexto de SSO. Num acesso bem sucedido, o JWT é retornado e armazenado
localmente (na sessão ou cookies).
SAML - Security Assertion Markup Language: provedores de serviços e recursos de identidade passam
credenciais de autorização a provedores de serviços. Ex.: acesso.gov do governo federal.
● Transações geram um XML
● Transmite info sobre users, logins e atributos
● Login feito uma única vez
● Versão 2.0, definindo 3 papéis:
○ O principal (tipicamente um humano): solicita recursos ao SP
○ O Provedor de Serviços (Service Provider - SP): chama o IDP para reconhecer o usuário
○ O Provedor de Identidades (Identity Provider - IDP): solicita ao principal que informações (ex.:
login e senha) para liberar acesso
Open ID connect (OIDC): protocolo de identidade simples construído usando OAuth2. Camada de
identificação sobre o OAuth2. Usa o OAuth2 para autenticação e autorização e, em seguida, constrói
identidades que identificam usuários exclusivamente. Usa JSON para passagem de dados.
OWASP Top 10
OWASP (Open Application Security Project): Trata-se de uma comunidade aberta dedicada a permitir que as
organizações concebam, desenvolvam, adquiram, operem e mantenham aplicativos confiáveis, fornecendo
conhecimento para aprendizado e compartilhamento contínuo
Checklist que pode ser integrado em qualquer ciclo de desenvolvimento. Na sua concepção, o objetivo foi
gerar um documento simples e enxuto, capaz de ser facilmente compreendido e absorvido pelas instituições.
Versão 2021:
1. Broken Access Control: usuários atuando fora das permissões
2. Falhas na criptografia: tanto transferência de dados quanto dados em repouso
3. Injection: a vulnerabilidade ocorre quando dados inseridos por usuários não são validados, filtrados ou
higienizados pela aplicação
4. Design não seguro: quando falta controle no design ou ele não é efetivo. Não pode ser corrigido por
implementação, pois a falha está no projeto. Ex.: falha em determinar o nível de segurança requerido
5. Security misconfiguration: Falta robustez de segurança a qualquer parte da aplicação
6. Componentes vulneráveis e datados: se não verifica vulnerabilidades com frequencia; se não sabe a
versão dos componentes; se não são testadas compatibilidades.
7. Falhas de identificação e autorização: permite quebrar por força bruta; permite senhas padrão
8. Falhas de integridade software e dados: CI/CD inseguro pode introduzir o potencial de acesso não
autorizado, código malicioso ou comprometimento do sistema.
9. Falhas em logs e monitoramentos de segurança
10. Falsificação de solicitação do lado do servidor (Server Side Request Forgery - SSRF): servidor web
vira vetor para ataque. O atacante acessa serviços que apenas o servidor poderia ter acesso.
Desenvolvimento seguro:
● Fuzzing: enviar entradas randômicas para a aplicação
● Boas práticas de Código Seguro
○ Documentação
○ Validação de entrada: consiste em inserir dados em pontos de entrada da aplicação e verificar
se o comportamento está de acordo com o esperado pelo desenvolvedor
○ manipulação de erros: padrão de mensagem de erro que não vaze informações que possam
ser usadas para aprimorar ataques. Recomenda-se log em ambiente seguro
SDL (Security Development Lifecycle): metodologia Microsoft. Adição de uma série de atividades e produtos
concentrados na segurança em cada fase do processo de desenvolvimento de software da Microsoft.
Princípios conhecidos como SD3 + C:
● Secure by Design: A arquitetura, o design e a implementação do software resistente a ataques
● Secure by Default: considerar que haverão falhas de segurança e aumentar a segurança do estado
padrão do software
● Secure by Deployment: ferramentas e orientações que ajudem adms e users
● Communications: desenvolvedores preparados para descoberta de vulnerabilidades