Imprimir

Aula 1

SEGURANÇA DE COMPUTADORES
A segurança digital é encarregada de proteger os usuários de sistemas computacionais, seja on-line ou
não.
40 minutos

INTRODUÇÃO

A segurança é um dos componentes da vida em sociedade que mais requer cuidado, vigilância e
desenvolvimento, e quando se trata da sua vertente digital, aquela encarregada de proteger os usuários de
sistemas computacionais, seja on-line ou não, esse desenvolvimento apresenta maiores complicações e mais
complexidade.

Nesta aula trataremos dos conceitos básicos de segurança para que seja possível compreender melhor o
motivo de ser um tema tão desafiador na atualidade e, com isso, entender o quão crítico o tema é na era da
informação.

OS CONCEITOS BÁSICOS SOBRE SEGURANÇA DE COMPUTADORES

Uma das principais necessidades humanas, assim como a alimentação, é a segurança, e em um ambiente
como o da internet ao qual, de alguma forma, todos têm acesso, essa segurança ganha maior significado e
importância e passa a demandar recursos, protocolos e tecnologias que protejam a privacidade e os dados
das pessoas.

Podemos compreender melhor o que é segurança a partir do dicionário Houaiss (2018), que aborda
segurança como um estado, uma condição das pessoas ou dos sistemas, equipamentos que estão livres de
perigos, de incertezas, livres de sofrer danos ou eventuais riscos. Ainda de acordo com Houaiss (2018), o
conceito de segurança, quando aplicado à computação, em geral representa a proteção da informação de
várias formas de ataque, cujo objetivo é o de manter o empreendimento em funcionamento, minimizando
riscos e aprimorando o retorno do investimento feito.

No universo da informática, a segurança deixa de ser apenas uma sensação e passa a representar um
processo cujo objetivo é manter a integridade das pessoas preservando seus dados, sua identidade, seus
negócios e suas interações on-line. Desta forma, assim como defende Fontes (2017), a informação deve ser
vista como um ativo muito importante à organização, cuja proteção é primordial, pois sem informação, a
empresa não funciona.
Cresce na comunidade internacional de usuários da internet a sensação de insegurança ao navegar on-line,
algo muito diferente do sentimento de segurança que permeava entre os que utilizavam computadores
conectados décadas atrás. A popularização dos computadores com acesso à internet fez surgir, de acordo
com Fontes (2017), diversos instrumentos legais de proteção à informação corporativa, como os termos de
compromisso, em que são descritas as principais responsabilidades dos usuários no acesso à informação.

Um trabalho que está cada vez mais valorizado dentro deste tema da segurança digital é feito pelos
profissionais de TI que diariamente exploram vulnerabilidades de sistemas de computadores, de softwares e
de plataformas em nuvem. De modo geral, a vulnerabilidade é representada por uma falha no sistema que
pode ser explorada pelo hacker e que lhe concede acesso a dados sigilosos.

A tarefa de manter usuários maliciosos fora de sistemas computacionais fica mais complexa a cada ano, pois à
medida que as ferramentas, os antivírus e outros sistemas evoluem, também evoluem os métodos de ataque.
Assim, a segurança se fundamenta em três atributos denominados CID, conhecidos como confidencialidade,
integridade e disponibilidade das informações. A definição desses termos é:

Confidencialidade: necessidade de garantir que as informações sejam divulgadas

somente àqueles que possuem autorização para vê-las.

Integridade: necessidade de garantir que as informações não tenham sido alteradas

acidentalmente ou deliberadamente, e que elas estejam corretas e completas.

Disponibilidade: necessidade de garantir que os propósitos de um sistema possam ser

atingidos e que ele esteja acessível àqueles que dele precisam.

— (NOGUEIRA; BODEMÜLLER JUNIOR, 2020, p. 10)

Esse tripé da segurança digital também inclui a autenticidade, representada pela garantia de que determinada
mensagem tem origem no emissor a ela atribuída. Outra garantia é nomeada não repúdio, que conforme
corrobora Fontes (2017), remove do emissor a possibilidade de negar a sua autoria no futuro, e a
confidencialidade, ou seja, a garantia de que a informação será acessada e utilizada apenas por quem for
designado e necessite dela.

VIDEOAULA: OS CONCEITOS BÁSICOS SOBRE SEGURANÇA DE COMPUTADORES

No vídeo deste primeiro bloco trataremos de como a segurança na computação vem evoluindo, incluindo
tecnologias como o QR Code e o uso da inteligência artificial e do machine learning.

Videoaula: Os conceitos básicos sobre segurança de computadores

Para visualizar o objeto, acesse seu material digital.

 O DESAFIO DA IMPLEMENTAÇÃO DA SEGURANÇA DOS COMPUTADORES

Em termos práticos, garantir a segurança de algo físico, como um cofre, é consideravelmente mais fácil do que
garantir a segurança de uma conta bancária on-line. O motivo é simples: cofres são físicos e apresentam
fechaduras e outros sistemas que impedem o acesso não autorizado ao seu conteúdo. Junto aos sistemas de
segurança do cofre existem diversas barreiras de segurança na edificação onde o cofre se encontra e, por fim,
há a limitação física, com o fato de que apenas uma ou poucas pessoas conseguirão tentar acessar o cofre ao
mesmo tempo. Esse cenário não se repete no universo on-line, ao menos no que diz respeito ao número de
ataques que um ambiente seguro pode receber.

De acordo com OECD (2020, apud CGI.br, 2020, p. 25), o objetivo da segurança digital está em tornar as
atividades econômicas e sociais mais seguras no ambiente on-line. Ainda segundo OECD (2020, apud CGI.br,
2020, p. 25), a segurança digital ataca tal objetivo tratando das incertezas que afetam a confidencialidade, a
integridade e a disponibilidade, conhecidas como tríade CID.

O grande desafio da segurança digital está na necessidade de proteger o universo digital por completo,
independentemente do sistema ou da atividade que o usuário está executando, pois, conforme Barreto (2018)
afirma, as empresas precisam de seus sistemas digitais para que o empreendimento funcione corretamente.

Em uma escala global, a economia depende da segurança digital e dos negócios digitais, o que justifica o
argumento de que a segurança deve ser de qualidade e aplicada ao sistema inteiro, sem restrições, pois,
conforme afirma CGI.br (2020, p. 26), quando ocorre a violação da tríade CID, as atividades socioeconômicas
podem ser prejudicadas, e tal violação de disponibilidade pode, por exemplo, promover a chamada DoS
(Denial of Service), os ataques de negação de serviço construídos pela inundação de comandos a um
determinado sistema.

Quando um usuário malicioso ganha acesso a dados sigilosos, ele é capaz de se apropriar desses dados e
exigir um resgate do proprietário, promovendo o que Fornasier, Spinato e Ribeiro (2020) chamam de
ransomware, quando é negado ao usuário acesso aos seus próprios dados, por meio de criptografia,
culminando na demanda por um pagamento, que geralmente ocorre em moedas virtuais, conhecidas como
bitcoins.

No mundo real, a maioria dos ataques visa subtrair dinheiro, salvo casos em que documentos são o alvo, o
que torna essa perspectiva diferente da que observamos no universo on-line, cujos alvos se diversificam,
incluindo a intimidade das pessoas, seus segredos e relacionamentos, além do básico, como dinheiro,
documentos digitais, segredos industriais e muito mais.

Claro que nem sempre a falha de segurança é explorada maliciosamente, pois pode ser um simples fruto de
falha humana, como no caso brasileiro de um servidor de acesso público que expôs dados cadastrais de mais
120 milhões de pessoas devido a uma configuração descuidada.

Embora casos de ransomware façam com que a empresa vítima geralmente perca um valor financeiro
pequeno, quase simbólico, falhas de segurança podem causar o roubo de segredos comerciais, o que tem o
potencial de dano muitas vezes incalculável para a companhia. O grande desafio da segurança digital é
manter o mundo on-line seguro e ao mesmo tempo intuitivo, preservando uma boa experiência.
VIDEOAULA: O DESAFIO DA IMPLEMENTAÇÃO DA SEGURANÇA DOS COMPUTADORES

Para o vídeo deste segundo bloco destacamos o tema ransomware, como ele vem afetando micro e pequenas
empresas e como evitar ser vítima do sequestro de dados com a aplicação de um bom checklist.

Videoaula: O desafio da implementação da segurança dos computadores

Para visualizar o objeto, acesse seu material digital.

A CRITICIDADE DAS AMEAÇAS E DOS ATAQUES E COMO OS ATIVOS DAS EMPRESAS DEVEM SER

PROTEGIDOS

No universo corporativo, os ativos podem ser convertidos em dinheiro, podem ser o saldo em conta, um ativo
de liquidez imediata, ou outros ativos que necessitam ir à venda para conversão, como imóveis, veículos,
podem ser o estoque, as contas a receber, patentes, entre outros. Desta forma, existe muito o que uma
empresa necessita defender contra as ameaças e os ataques, e o fato de um bem ser físico não significa que
não possa ser afetado por um ataque oriundo de meio digital ou virtual.

Nesse sentido, de acordo com Gaivéo (2008; apud COUTO, 2018, p. 15), dentro da temática da segurança da
informação, muitos ataques podem explorar vulnerabilidades e comprometer o funcionamento de um
sistema de informação. O tratamento correto de uma crise é identificar e caracterizar a ameaça de forma a
oferecer uma melhor resposta e proteção ao sistema.

Risco, ameaça e vulnerabilidade são termos muito utilizados no universo digital on-line, mas ao usuário
comum muito de seu significado passa desconhecido, tendo em vista os incontáveis casos de invasão de
contas de e-mail, de aplicativos e de redes sociais. Desconhecer esses termos é um luxo que empresas,
mesmo as que não atuam exclusivamente on-line, não podem ter, pois “a segurança da informação existe
para o gerir o risco e o risco existe em função das ameaças e vulnerabilidades” (COUTO 2018, p. 15).

Risco é a expressão do incerto, da ocorrência de um evento indesejado, como uma perda financeira ou a
perda de algo que eventualmente produza prejuízo financeiro. Em uma empresa, portanto, o risco se
expressa na possibilidade de não se conquistar os objetivos, de não oferecer lucro aos investidores, entre
outras situações, e costuma ser mensurado por seu impacto e pela probabilidade de ocorrência.

Já a vulnerabilidade é expressa, na computação, como uma falha de hardware ou de software que deixe,
mesmo que remota, a possibilidade de uma brecha ser explorada, comprometendo o sistema. De acordo com
Wadlow (2000 apud COUTO, 2018, p. 16) “[...] são os pontos fracos existentes nos ativos, que quando
explorados por ameaças, afetam a confidencialidade, a disponibilidade e a integridade das informações de
uma pessoa ou organização.”.

Podemos afirmar que grande parte do desenvolvimento de um sistema operacional, como o Microsoft
Windows, que ocorre após seu lançamento tem por objetivo corrigir falhas de vulnerabilidades que possam
ser exploradas em ataques, o que se constitui na maior ameaça a um sistema como esse. Afinal, quem deseja
colocar em seu computador um sistema que deixe portas abertas para ataques virtuais de hackers em busca
de informação que possa ser vendida no mercado clandestino?

O universo on-line apresenta o termo ameaça de forma muito mais passiva que seu similar no mundo físico,
pois no ambiente da internet as ameaças se traduzem em circunstâncias, condições potenciais para a
ocorrência de um ataque ou qualquer evento que impacte negativamente o sistema em questão. Como define
Nist (2017, apud COUTO, 2018, p.16), ameaça pode ser definida como qualquer circunstância ou evento com a
capacidade de provocar impacto negativo na organização, nos bens ou nos indivíduos, sem deixar de lado o
sistema de informação.

É importante que cada empresa conheça as ameaças para com sua segurança da informação e tome
providências que as mitiguem, o que deve ser complementado pela busca diária da eliminação de qualquer
vulnerabilidade que comprometa o sistema. São inúmeras as empresas que atuam na busca por
vulnerabilidades e ameaças e que, com seus relatórios, permitem que mudanças sejam feitas para melhorar a
segurança da informação.

VIDEOAULA: A CRITICIDADE DAS AMEAÇAS E DOS ATAQUES E COMO OS ATIVOS DAS EMPRESAS

DEVEM SER PROTEGIDOS

No vídeo do terceiro bloco trataremos de como são testados os sistemas de segurança on-line, como são
feitos, qual sua metodologia e o que oferecem em termos de orientação para melhorias.

Videoaula: A criticidade das ameaças e dos ataques e como os ativos das empresas devem ser protegidos

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO

A segurança da informação é um trabalho que começa com um intenso processo de compreensão do que se
necessita proteger e contra quais ameaças, de forma que os ativos da empresa sejam devidamente blindados
e protegidos e que a atividade empresarial não sofra problemas e interrupções.

A segurança da informação deve ser ampla, atuando em eventos que ocorrem tanto fora quanto dentro da
empresa. Internamente, deve ser projetada para impedir que sejam violadas políticas de segurança,
principalmente as que atuam na coordenação do acesso à informação, impedindo vazamentos de dados
confidenciais.

A partir dessa situação, imagine que você atua como analista de segurança de uma startup na área de
desenvolvimento de software e, como demanda inicial, foi solicitado a você uma recomendação de segurança
com o objetivo de garantir a confidencialidade dos dados armazenados na organização.

Sendo assim, apresente, em linhas gerais, a forma com que uma empresa desenvolvedora de software deve
perceber sua tríade CID, no que se refere às ações relativas à confidencialidade.
RESOLUÇÃO DO ESTUDO DE CASO

Como destacado no enunciado do estudo de caso, a segurança da informação deve receber uma atenção
especial dentro das organizações, e nas empresas de desenvolvimento de software não é diferente. Todos
esses cuidados tendem a impedir vazamentos de dados confidenciais. A sua recomendação, a partir da
demanda proposta, deve envolver algumas análises. Perceba que, dentro da tríade CID, a letra C representa a
confidencialidade que, para a segurança em um ambiente corporativo de uma empresa que desenvolve
sistemas, deve ser vista com extremo cuidado e ser amplamente coberta por uma robusta política de
segurança da informação. Em ambientes como o brevemente descrito, os pontos críticos são as redes sociais,
em que profissionais podem vazar informações facilmente, mesmo que não contenham um teor prejudicial, e
dentro da organização, o acesso a dados sensíveis e sigilosos deve ser restrito aos que necessitam da
informação.

Portanto, a empresa precisa manter uma boa política de segurança da informação, constantemente capacitar
os colaboradores com as atitudes e os procedimentos de segurança e criar uma estrutura hierárquica de
perfis profissionais no sistema de acesso às informações, de forma que existam tipos de usuários para não
haja acesso de um profissional a informações que ele não necessita para seu trabalho.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Para atender aos princípios básicos da segurança da informação, conhecidos como a tríade CID
(confidencialidade, integridade e disponibilidade), a empresa deve desenvolver políticas e protocolos de
segurança e os colocar à prova periodicamente. O artigo indicado trata de como tais testes podem ser
realizados dentro dessa perspectiva. Disponível em: https://bit.ly/3qHlaGC.

Aula 2

CONCEITO E VALOR DA INFORMAÇÃO

Nesta aula veremos como uma informação pode ser definida por um valor monetário, uma classificação,
uma criticidade dentro dos processos e das estratégias para as empresas.
46 minutos

INTRODUÇÃO
O principal objetivo desta aula é apresentar o que significa para as empresas a informação e como ela pode
ser definida por um valor monetário, uma classificação, uma criticidade dentro dos processos e das
estratégias empresariais.

Para construir esse conhecimento, começaremos definindo o que é informação e o que ela representa no
contexto empresarial e organizacional, para em seguida compreendermos o que é valor e quais aspectos a
empresa deve considerar quando deseja mensurar o valor de suas informações.

Por fim, trataremos de como a informação precisa ser classificada para ser devidamente organizada e
protegida e os contra-ataques que podem ser utilizados.

OS CONCEITOS BÁSICOS DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

A massiva digitalização do universo corporativo significa que uma grande parte dos ativos das empresas passa
a se encontrar no domínio dos bits e bytes, ou seja, informações, dados de mercado, esquemas, desenhos,
projetos e produtos passam a ser armazenados digitalmente. Desta forma, a infraestrutura de TI das
empresas passa a demandar maior robustez e segurança, assim como afirma Barreto (2018), por ter um papel
fundamental na atividade corporativa, principalmente em casos em que a informação apresenta maior
relevância diferencial competitiva.

Ainda de acordo com Barreto (2018), a segurança da informação atua garantindo, entre outras atribuições, a
confidencialidade e a integralidade e mantendo sempre a disponibilidade dos ativos de informação, de forma
que o risco de ataques seja sempre mitigado.

A competitividade de mercado faz com que as organizações busquem maneiras de serem mais eficientes em
suas operações, e isso inclui a forma com que armazenam e disponibilizam a informação, o que, dependendo
do ramo de atuação da empresa, pode representar um vasto banco de dados.

Portanto, é variada a informação no contexto organizacional, o que significa também que existe uma grande
variação sobre o real valor que determinada informação tem. De acordo com Barreto (2018), esse valor
depende da aplicação da informação, que pode estar relacionada, por exemplo, a dados e à eficiência com a
qual os dados são mantidos e tratados. A relação da informação com o sucesso da organização e até mesmo o
uso de estratégias específicas para o perfil da informação são reflexos de como a companhia se empenhou
para sua proteção.

O conhecimento e a informação são elementos centrais em qualquer organização, mercado de atuação ou

tamanho e, portanto, sua proteção deve ser proporcional ao seu valor, sua representatividade. O quadro a
seguir apresenta os principais motivos para que a segurança da informação seja devidamente tratada pela
empresa.

Quadro 1 | Por que atuar pela segurança da informação?

Roubo de dados e Para muitas empresas, seu maior capital é sua regra de negócios, isto é, o
informações conhecimento retido por ela quanto ao fazer negócio.
 Impacto na Muitas empresas dependem de seus sistemas computadorizados para seu
operacionalização da funcionamento. Imagine que uma invasão nos servidores de uma organização
empresa tire seus sistemas do ar e faça com que ela pare de trabalhar por 24 horas.

Sequestro de dados Nos casos em que os dados dos servidores de uma empresa são vitais para
seu funcionamento, é preocupante o risco de sequestro deles, em que um
invasor captura as informações da base de dados da empresa e cobra valores
significativamente altos pelo resgate.

Vazamento de dados Quando uma organização armazena dados pessoais de clientes, por exemplo,
confidenciais de ela assume com o cliente um compromisso de responsabilidade. Deixar o
clientes sistema vulnerável viola esse compromisso, uma vez que os dados podem ser
capturados direto do servidor se houver uma falha de segurança.

Danos à imagem da Todos os problemas citados acima causam uma quebra de confiança entre a
empresa empresa e seus clientes, o que pode causar perda de clientes e graves danos
financeiros para a companhia.

Fonte: Barreto (2018, p. 15).

Portanto, seja qual for o tamanho da empresa, existirá, invariavelmente, alguma porção de sua atividade
registrada em meio eletrônico, como seu sistema de gestão, um banco de dados de consumidores, de
fornecedores, de vendas, entre outros.

VIDEOAULA: OS CONCEITOS BÁSICOS DA INFORMAÇÃO NO CONTEXTO ORGANIZACIONAL

Neste vídeo, compreenderemos melhor o valor da informação utilizando como comparativo as empresas que
mais a valorizam, como esse processo facilita o desenvolvimento de novos produtos e como impacta
severamente no sucesso e na continuidade dos empreendimentos. Concluindo, analisaremos as ferramentas
que essas organizações utilizam para proteger suas informações.

Videoaula: Os conceitos básicos da informação no contexto organizacional

Para visualizar o objeto, acesse seu material digital.

O VALOR DA INFORMAÇÃO

Para que a empresa dimensione corretamente sua solução de segurança, principalmente com relação à
proteção das informações, o primeiro passo é determinar o valor delas, o que não é um processo altamente
objetivo, embora possível de ser realizado. Em companhias que possuem patentes de produtos ou de
processos produtivos, por exemplo, é comum que a informação seja tratada com maior cuidado, diligência e
proteção, ao passo que uma empresa que licencia invenções de outras organizações tem a guarda da
informação ligeiramente menos complexa.

Podemos afirmar que existe, na atualidade, uma grande busca por informação de valor relevante, o que
agrega, em termos de dificuldade, ao processo de composição do seu valor, tal como afirmam Valentim e
Ançanello (2018, p. 26): “nessa perspectiva, identificar quais atributos conferem valor à informação se constitui
em um fator importante na sociedade contemporânea.”.

Assim como qualquer outro processo de mensuração de valor, a informação da empresa tem seu valor
encontrado mediante o estabelecimento de uma metodologia, de parâmetros que guiarão o processo e que
podem assumir algumas classificações, conforme a figura a seguir.

Figura 1 | Parâmetros da mensuração do valor

Fonte: adaptada de Valentim e Ançanello (2018).

Por ser de valor econômico, o valor da informação sofre flutuações como qualquer commodity. Desta forma,
podemos agregar valor à informação, seja pelo fato de a capacidade da informação gerar lucro ao seu
proprietário ou simplesmente pela perspectiva da oferta e da procura. Mas sempre existirá um certo grau de
subjetividade no valor da informação, pois é uma questão de percepção.

A percepção do valor da informação pode ocorrer, de acordo com Moresi (2000, apud VALENTIM;
ANÇANELLO, 2018) das seguintes maneiras: por meio da identificação dos custos; da compreensão de sua
cadeia de uso; da avaliação da incerteza comumente associada ao retorno do investimento em informação; da
dificuldade no estabelecimento das relações causais entre alguns produtos específicos e os insumos da
informação; e, por fim, do fracasso ao reconhecer o significado da informação em seu aspecto comercial.
Além da percepção, a dificuldade em se estabelecer o real valor da informação vem de fatores como os
apresentados por Clemente e Souza (2004 apud Valentim; Ançanello, 2018) ao afirmarem que tal valor recebe
grande generalização pelas trocas de informação, por não ser algo tangível, como um produto, levando o
processo até o extremo de se estabelecer seu ganho unitário, ainda um processo subjetivo.

De acordo com Cunha e Cavalcanti (2008, apud VALENTIM; ANÇANELLO, 2018), o termo economia da
informação, tão representativo nos últimos anos, foi cunhado na década de 1960, mas apenas a partir de
1980 que seu uso passou a figurar dentro do meio das ciências da informação. Desta forma, temos que a
informação deve ser vista também pelo seu valor econômico.

A informação de elevado valor deve produzir riqueza à empresa, e uma das formas de se expressar esse fato
se dá com organizações que possuem patentes de tecnologias, ou seja, seus profissionais geram informações
capazes de desenvolver inovação tecnológica que passa a ser propriedade da empresa. Quando tal tecnologia
desenvolvida for alvo do desejo de outra companhia, esta deverá pagar royalties para a detentora da patente,
gerando receita a ela.

VIDEOAULA: O VALOR DA INFORMAÇÃO

No vídeo deste bloco compreenderemos melhor a relação entre a informação e seu valor por meio de uma
comparação que demonstrará a diferenciação dos valores dependendo de fatores como o status do mercado,
acontecimentos governamentais e da empresa, dona da informação e das circunstâncias. Neste sentido,
aprenderemos que diferentes circunstâncias podem modificar severamente o valor de uma informação.

Videoaula: O valor da informação

Para visualizar o objeto, acesse seu material digital.

CLASSIFICAÇÃO DAS INFORMAÇÕES

Sobre a informação existem duas afirmativas que dificilmente vão se mostrar falsas no universo corporativo:
que independentemente do ramo, toda empresa possui suas informações e que o valor delas tende a variar,
dependendo de uma quantidade variável de fatores. Corroborando com o argumento, Barreto (2018) afirma
que na maioria das empresas a informação tem um valor fundamental. A informação corporativa pode ser
representada de diversas maneiras: em formato digitalizado, dentro de um banco de dados, fisicamente, em
papel, depositada em arquivos. Ainda segundo o autor, a informação também apresenta, além da forma de
representação, uma diferenciação a respeito de sua restrição de acesso, ou seja, cada tipo de informação
deve apresentar o perfil ou quem tem autorização para acessar, como em níveis de segurança.

existe uma fonte comum que deve orientar tanto a definição do valor da informação quanto o nível de
segurança que demanda: a política de classificação de criticidade desenvolvida pela empresa. De acordo com
a política de classificação da informação, a companhia é capaz de definir o tratamento dado aos diferentes
tipos de informação e seu risco, que pode receber, nas palavras de Barreto (2018), algumas medidas como: a
redução do risco de permitir que pessoas não autorizadas tenham acesso a informações com nível superior
de sensibilidade; a promoção da correta divulgação de informações públicas e a redução do risco de
problemas, como a perda da integridade das informações, principalmente as que apresentam grande valor ao
empreendimento.

A definição dos níveis de segurança determina que a organização é capaz de compreender as informações
que possui e sua importância para os resultados. Assim, ela é capaz de classificar corretamente suas
informações em públicas, internas, confidenciais e secretas, conforme apresenta o quadro a seguir.

Quadro 2 | Classificação das informações

Pública Tipo de informação que demanda menos trabalho de segurança, por ser uma informação
cuja integridade não é vital e que pode ser de senso comum, dentro e fora da empresa, sem
prejudicar o negócio.

Interna Segundo tipo de informação que exige menos trabalho de segurança. Para informações
internas, o sigilo deve ser mantido e devem ser impostas restrições de acesso. Contudo, os
danos causados por um acesso não autorizado não são demasiadamente sérios. A
integridade da informação interna é importante, mesmo que não seja vital.

Confidencial Esse tipo de informação deve ser mantido nos limites da empresa, por isso, devem ser
investidos esforços de segurança nessas informações. O acesso não autorizado, o dano ou
a perda desse tipo de informação pode trazer prejuízos consideráveis e levar ao
desequilíbrio operacional. Além disso, pode ocorrer uma quebra de confiabilidade perante
o cliente, além de permitir vantagem expressiva ao concorrente.

Secreta Essas informações são críticas para a empresa. Elas precisam ser preservadas e deve ser
investido nelas o maior esforço possível para a sua segurança. O acesso a esse tipo de
informações deve ser restrito, e sua manipulação tem que ser extremamente cuidadosa.

Fonte: adaptado de Laureano (2005, apud BARRETO 2018, p. 25).

Existe uma ressalva a ser feita sobre essa classificação: precisa ser construída usando toda a empresa, não
apenas o setor que apresenta maior pertinência.

VIDEOAULA: CLASSIFICAÇÃO DAS INFORMAÇÕES

Neste vídeo vamos ressaltar a importância da proteção da informação, ou seja, seu sigilo, por meio da análise
de situações de como a quebra de sigilo da informação pode forçar uma severa mudança de estratégia,
representar grande prejuízo para a empresa ou até mesmo fazer com que a companhia encerre
definitivamente suas atividades.

Videoaula: Classificação das informações

Para visualizar o objeto, acesse seu material digital.

 ESTUDO DE CASO

Existem casos em que uma informação pode ser a diferença entre o sucesso e o fracasso de uma empresa.
Em alguns setores, ela é exclusivamente responsável por viabilizar o empreendimento, como o caso já
conhecido da exploração do petróleo, que depende da descoberta de novos poços, o que demanda estudos
complexos e de custo elevado.

Portanto, a exploração do petróleo começa com a sua descoberta que, de acordo com o Serviço Geológico do
Brasil (2014, [s. p.]), “esses estudos começam selecionando as bacias sedimentares onde há maior
probabilidade de se encontrar petróleo. Para isso, reúnem-se geólogos, geofísicos e paleontólogos, entre
outros especialistas.”.

Estudante, imagine que a PetroTek (hipotética), uma empresa exploradora de petróleo tem passado nos
últimos anos um pesadelo financeiro, com resultados abaixo do esperado e acusações de problemas em seus
balanços patrimoniais. Recentemente, o mercado recebeu notícias de que ela teria descoberto duas novas
jazidas na costa brasileira, próximas ao estado de Alagoas, em Maceió Com a descoberta dessas novas jazidas,
a PretroTek se considera capaz de oferecer, nos próximos dois anos, resultados financeiros positivos depois
de anos no vermelho, mas alerta que depende da extração dessas jazidas para a sustentabilidade do negócio.

Desta forma, argumente sobre como você classifica a informação da descoberta de novas jazidas de petróleo
e o que considera relevante no tratamento dessa informação, pensando em quem deve ter acesso à
informação. Considere que a empresa pode não ter recursos para concluir o estudo das novas jazidas,
dependendo de investidores para viabilizá-lo.

RESOLUÇÃO DO ESTUDO DE CASO

O caso da PetroTek deixa claro que a informação das novas jazidas é extremamente sensível a ponto de
representar a continuidade do empreendimento. Desta forma, cabe aos diretores e pesquisadores apenas
seus respectivos conhecimentos. Embora essa resolução pareça simples, não soluciona a questão dos
eventuais investidores que, neste caso, devem ter contato com os estudos somente se expressarem interesse
em investir no desenvolvimento da atividade, ou seja, a informação completa não precisa ser de
conhecimento do investidor para que se encoraje em fazer o aporte.

De qualquer forma, contratos de sigilo devem ser robustos e sempre utilizados, para que todos os envolvidos
compreendam a criticidade e a sensibilidade das informações.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
 Em geral, a segurança da população é uma das atribuições do Poder Público. Portanto, as empresas não
estão sozinhas nos esforços em manter seus dados e os dados de seus clientes seguros. Com o avanço e
a globalização do comércio eletrônico, assim como as diversas transações e transferências de
informações e conhecimento, o governo brasileiro se viu motivado a desenvolver a Lei Geral de Proteção
de Dados, a Lei nº 13.709, de 14 de agosto de 2018.

A sugestão será para a leitura do guia sobre o impacto da LGPD na publicidade on-line. Saiba mais pelo
link: https://bit.ly/33N5BEr.

Aula 3

CRIPTOGRAFIA
Nesta aula veremos o surgimento e desenvolvimento da segurança da informação, dando origem à
criptografia.
38 minutos

INTRODUÇÃO

Nesta aula vamos estudar como surgiu e se desenvolveu a segurança da informação e como se deu a origem
da criptografia que é hoje largamente utilizada no universo digital. Em seguida, trataremos das criptografias
assimétrica e simétrica e como essa divisão tem relação com a forma com que as chaves são criadas.

Por fim, vamos aprender um pouco mais sobre as criptografias assimétrica e simétrica, trabalhando suas
principais diferenças e como impactam na segurança de cada chave criada.

Bons estudos!

A EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO E A ORIGEM DA CRIPTOGRAFIA

A humanidade vem evoluindo muito nas formas, nas estratégias e nas tecnologias que usa para proteção.
Cofres são utilizados para impedir o acesso não autorizado a dinheiro, documentos e joias, enquanto veículos
e propriedades possuem dispositivos como câmeras e sensores de presença e movimento que desestimulam
a entrada não autorizada a certos ambientes.

Como vivemos na era da informação, existe uma necessidade cada vez maior de proteger as informações, e
isso inclui a criação de códigos que embaralham textos, por exemplo, fazendo com que apenas os
possuidores deste código, também conhecido como chave, possam desvendar o real sentido da informação.
Isso impede que o leitor compreenda seu sentido, tecnologia que recebe o nome de criptografia que, de
acordo com Fiarresga (2010, apud NAKAMURA, 2016), é derivada das palavras kryptos (oculto) e graphien
(escrever) e representa a arte de escrever ou resolver códigos. Ainda segundo o autor, a função da criptografia
não é de esconder a mensagem, e sim de ocultar seu significado. Desta forma, se a mensagem criptografada é
subtraída por alguém não autorizado, o intruso não será capaz de ler ou compreender seu conteúdo, apenas
o legítimo remetente e destinatário poderão ter acesso à mensagem original.

Vale ressaltar que até o século XX, a criptografia tinha status de arte, pois tanto a criação dos códigos (ou
chaves) quanto sua quebra tinham forte ligação com a criatividade e o talento das pessoas. Porém, de acordo
com Nakamura (2016), com a chegada do século XX, impulsionada pelos estudos científicos, a criptografia
ganhou relevância e virou ciência, deixando de ser apenas uma comunicação secreta e passando a incluir
atribuições importantes à segurança, como as assinaturas digitais e os protocolos de mudança de chaves.

Quando os profissionais afirmam ter quebrado uma chave de criptografia, estão afirmando que descobriram
o teor do seu código, ou seja, a chave, que deveria ser secreta e conhecida apenas pelos interessados em
manter a mensagem em sigilo agora é conhecida por terceiros.

A história dessa tecnologia apresenta grandes momentos. Nakamura (2016) afirma que seu primeiro uso
registrado foi por volta de 1900 a.C. no Egito com a descoberta de hieróglifos fora do padrão. Mas entre os
anos de 600 a.C. e 500 a.C., foi descoberto o uso de cifras de substituição simples.

De acordo com Nakamura (2016, p. 123), em 1948 a criptografia teve um salto em seu desenvolvimento com a
concepção da Teoria Matemática da Comunicação, de Claude Shannon, que permitiu a evolução dos
processos, da criptoanálise, e com a Guerra Fria (entre Estados Unidos e a extinta União Soviética), floresceu
ainda mais.

Outro avanço importante foi a criação de criptografia de chave pública, em 1976, por Diffie e Hellman, que
levou ao desenvolvimento do algoritmo RSA. Antes, era parte da proteção de comunicação em guerras, e hoje
a criptografia faz parte do cotidiano de todos, muitas vezes de forma transparente, como é o caso do acesso
web, de transações bancárias e de acesso às redes sociais (NAKAMURA, 2016).

VIDEOAULA: A EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO E A ORIGEM DA CRIPTOGRAFIA

Neste vídeo trataremos de como a segurança digital está sendo aprimorada com o uso da criptografia por
meio da demonstração de alguns de seus tipos básicos. Assim, poderemos compreender a importância dessa
ferramenta para a segurança da informação e de como ela contribuiu para o desenvolvimento das
criptomoedas.

Videoaula: A evolução da segurança da informação e a origem da criptografia

Para visualizar o objeto, acesse seu material digital.

OS PRINCIPAIS TIPOS DE CRIPTOGRAFIA

Para compreender a criptografia, é necessário saber que é um processo que ocorre em duas etapas, sendo a
primeira a encriptação e desencriptação. De acordo com Barreto (2018, p. 30), a encriptação representa a
conversão dos dados pela aplicação da chave criptográfica “[...] tornando-os ilegíveis para pessoas não
autorizadas, é conhecida como codificação. A desencriptação é a operação que reverte estes dados ao
formato original, permitindo assim a sua leitura [...]”.

Figura 1 | Esquema de uma chave assimétrica

Fonte: elaborada pelo autor.

As chaves criptográficas mais comuns são:

Criptografia hash;

Chaves simétricas;

Chaves assimétricas;

Combinação dos tipos.

A respeito das chaves, a criptografia pode ser simétrica, assimétrica ou até mesmo uma mistura das duas. Se
for definida como assimétrica ou chave pública, utiliza duas chaves: a primeira, denominada chave de
encriptação (chave pública), e a segunda, destinada aà desencriptação (chave privada). As duas chaves são
diferentes. De acordo com Barreto (2018, p. 30),

Assim, temos que a encriptação utiliza a chave "k1" em cima da mensagem em texto legível
e a partir deste irá gerar um texto ilegível. Após isso, no processo de descriptografia, é
utilizada a chave "k2" em cima do texto codificado e teremos como resposta o texto
descodificado.

Sendo um sistema de duas chaves, a pública tem tal designação devido ao fato de ser conhecida a todos, além
de sua função de codificar o texto. O quadro a seguir apresenta maiores detalhes sobre essa chave
assimétrica.
 Quadro 1 | Chaves públicas e privadas

Função da chave Tipo da chave De quem?

Criptografar os dados para um destinatário Pública Do destinatário

Assinar a mensagem Privada Do remetente

Descriptografar os dados para ler a mensagem Privada Do destinatário

Verificar a assinatura da mensagem Privada Do destinatário

Fonte: adaptado de Amaro (2009 apud Barreto, 2018, p. 31).

Existe o fator custo a se considerar quando a escolha for a assimétrica: o custo operacional é maior do que
quando se utiliza uma chave simétrica. Isso passa a ser uma preocupação devido à necessidade de se manter
uma chave que costuma ter tamanho (número de caracteres) maior do que uma chave simétrica.

Claro que o tamanho da chave depende também de qual algoritmo é usado para criptografar. De acordo com
Barreto (2018), o lado interessante desse modelo simétrico está no fato de que qualquer usuário tem acesso à
chave pública para o envio de sua mensagem. Já a chave privada fica em segredo e só deve ser disponibilizada
para o usuário que tem o direito e a atribuição para conhecer o correto teor da mensagem.

Figura 2 | Esquema de uma chave simétrica

Fonte: elaborada pelo autor.

O esquema da Figura 2 apresenta o funcionamento de uma chave simétrica. Os algorítmicos de criptografia de

chave única mais comuns são Data Encryption Standard (DES) e Advanced Encryption Standard (AES). De
acordo com Teixeira (2020), o DES nasceu em 1977, por meio dos trabalhos realizados pelo National Bureau of
Standards, hoje National Institute of Standards and Technology (NIST), e representou uma das primeiras
tentativas de se criar um algoritmo criptografado e que ganhou grande popularidade. O DES foi substituído
pelo 3DES anos depois.
Já o AES ganhou vida em 2001 e, de acordo com Teixeira (2020), mostrou-se mais rápido e mais seguro que o
DES. A motivação para seu desenvolvimento seria de oferecer uma alternativa que superasse algumas das
falhas do antecessor. Além do DES e do AES, são também algoritmos sintéticos IDEA, Blowfish, Twofish,
Serpent, CAST-128 e RC4.

Criptografia simétrica pode ser referida como a criptografia da chave secreta, ou por nomes como encriptação
convencional ou encriptação de chave única, o que já indica que se trata de uma forma mais simples de
criptografia, ou seja, utiliza apenas uma forma de processar uma mensagem.

VIDEOAULA: OS PRINCIPAIS TIPOS DE CRIPTOGRAFIA

No vídeo do Bloco 2 trataremos da importância de compreender as situações em que se deve aplicar uma
chave simétrica ou uma chave assimétrica. Na sequência, apresentaremos alguns exemplos comparativos
entre as chaves assimétricas e simétricas, ressaltando os pontos fortes e fracos de cada situação.

Videoaula: Os principais tipos de criptografia

Para visualizar o objeto, acesse seu material digital.

A DIFERENCIAÇÃO DAS CRIPTOGRAFIAS SIMÉTRICA E ASSIMÉTRICA

A criptografia auxilia na defesa dos sistemas contra acessos ilegais que possam comprometer dados
corporativos, pois são responsáveis por validar informações e acessos. Os algoritmos trabalham com as
chaves e possuem seu nível de segurança atrelado ao tamanho da chave utilizada.

Dentro do processo de criptografia, os algoritmos são responsáveis por gerar a chave capaz de encriptar a
informação, portanto, ser assimétrica ou simétrica representa a maneira com a qual a chave será empregada
no sistema.

Embora coexistam em alguns ambientes, a criptografia assimétrica surgiu como uma alternativa à simétrica,
pois foi capaz de solucionar algumas de suas deficiências, principalmente as ligadas ao gerenciamento das
chaves e sua distribuição, como apresenta Teixeira (2020, p. 43) no quadro a seguir.

Quadro 2 | Comparação de criptografias

Criptografia simétrica Criptografia assimétrica

Processamento Rápido Lento

Distribuição das chaves Complexa Simples

Assinatura digital Não oferece Oferece

Fonte: Teixeira (2020, p. 43).

De acordo com o quadro, podemos notar que existe maior velocidade nos algorítmicos que utilizam
criptografia simétrica, embora os que usam a assimétrica são lentos, mas mais seguros. Além disso, a
assimétrica também demanda maior poder de processamento do que a outra. Apesar desses fatos, para
Teixeira (2020), com a criptografia assimétrica existe um melhor e consideravelmente simplificado processo de
gerenciamento e de distribuição das chaves, o que previne que o emissor e o receptor se unam
antecipadamente e compartilhem suas chaves. Essa proximidade ajuda na melhor confidencialidade dos
dados e auxilia no desenvolvimento das assinaturas digitais.

A tecnologia criptográfica se beneficia da criação de um sistema capaz de unir o melhor que cada modelo tem
a oferecer, ou seja, considera as melhores características de uma criptografia assimétrica e une com o melhor
do desempenho da simétrica, conforme defende Teixeira (2020), ao afirmar que a diversidade das
características fez com que um modelo fosse criado aproveitando o melhor de cada um dos anteriores, ou
seja, com a rapidez do ciframento sintético, mas com a distribuição de assinaturas e chaves a moda do tipo
assimétrico.

O comprimento das chaves também é visto como fonte de diferenciação entre seus modelos simétrico e
assimétrico, e trata-se de uma diferença funcional entre as chaves, tendo relação com o número de bits que,
por sua vez determina o quão segura é a chave fornecida pelo algoritmo.

Desta forma, se a criptografia for simétrica, a chave por ela gerada é aleatória e composta por uma palavra de
128 a 256 bits de comprimento, dependendo da exigência de segurança. Para a assimétrica, por existirem
duas chaves, o sistema deve ser construído em volta de uma relação matemática, ou seja, é necessário que
haja um padrão entre as duas chaves.

A existência da relação matemática entre ambas as chaves no modelo assimétrico apresenta um problema: o
risco de ser um fator utilizado pelos hackers como vulnerabilidade, por isso tais chaves são geralmente
maiores que as simétricas. Em termos numéricos, se uma chave apresenta 128 bits em seu modelo simétrico,
deve apresentar ao menos 2.048 bits se for feita assimetricamente com o mesmo nível de segurança como
comparativo.

VIDEOAULA: A DIFERENCIAÇÃO DAS CRIPTOGRAFIAS SIMÉTRICA E ASSIMÉTRICA

No vídeo do bloco 3 abordaremos um aspecto importante da segurança: a possibilidade de um sistema

protegido por criptografia sofrer ataques de hackers em suas chaves. Será tratada a forma com que as chaves
criptográficas podem ser atacadas por hackers e de que forma a segurança dos sistemas pode ser
aprimorada.

Videoaula: A diferenciação das criptografias simétrica e assimétrica

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Estudante, a empresa StarLab Testes Inteligentes está expandindo suas operações em diversos países e, com
isso, terá ao todo cinco laboratórios localizados nos Estados Unidos, Japão, Inglaterra, Espanha e Portugal. A
organização entende que tal operação demanda o uso da computação em nuvem e, mesmo com toda
segurança envolvida na sua migração, teme pela segurança dos dados dos testes laboratoriais que realiza.

Então, a empresa contratou você, estudante, como consultor de cibersegurança e estabeleceu alguns critérios:
dada a criticidade dos dados que circularão entre os diferentes servidores e redes espalhados, a criptográfica
deve proteger e coordenar tanto quem acessa os dados e quando como os dados devem ser restritos a quem
necessita deles para a confecção de laudo médico, por exemplo. A empresa demanda que o gerenciamento
de senhas e de usuários seja de elevada qualidade e segurança.

Apresente uma abordagem que use a criptografia para a autenticação de usuário e proteção de dados que
seja segura e confiável, dentro dos requisitos estabelecidos pela companhia. Lembre-se de que a abordagem
deve prever a segurança do acesso dos consumidores finais, os pacientes.

RESOLUÇÃO DO ESTUDO DE CASO

Para que o laboratório tenha sucesso na expansão de sua atividade em outros países e mantenha os dados
dos testes seguros, mesmo sendo realizados e enviados por meio da nuvem, é necessário investir em
criptografia. Ela deve ser aplicada em dois momentos: na criação dos perfis de usuário, limitando a
informação a quem necessita e gerenciando a criação e a atualização dos usuários que acessarão o sistema,
além de uma criptografia que proteja os dados contra vazamentos.

Para os usuários finais, ou seja, os pacientes que realizam exames com a empresa, uma solução pode ser o
uso dos OTP’s, ou one-time password, as senhas de uso único. Para grande parte da equipe, uma
possibilidade de elevada segurança é o uso de tokens gerenciáveis e rastreáveis, que podem ser atribuídos a
usuários ou a partes de um software ou de um grupos de dados.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Complementando o que foi discutido nesta aula, recomendamos o interessante vídeo sobre a diferença
entre as chaves criptográficas assimétricas e simétricas com o pessoal do Canal Código Fonte TV, -por
meio do link: https://bit.ly/3fE2wsX.

Um dos aplicativos mais utilizados na atualidade, de mensagens instantâneas, o WhatsApp, apresenta

uma sofisticada forma de manter seguras as mensagens de seus milhões de usuários. Acesse o
infográfico a seguir e entenda como funciona o processo de criptografia de ponta a ponta do WhatsApp.
Disponível em: https://bit.ly/3KtQz7i.
 Sobre a Criptografia RSA, recomendamos a leitura da dissertação defendida por Gabrielle Eduarda
Perissotto, mais precisamente o item 3, que apresenta os métodos de pré-codificação, geração de chaves
para essa metodologia. Disponível em: https://bit.ly/3fLKF3f.

Aula 4

FUNÇÕES HASH
As funções hash possuem a capacidade de usar resumos de dados e validar informações e senhas de
acesso.
45 minutos

INTRODUÇÃO

À medida que se tem cada vez mais serviços importantes sendo realizados na internet, temos um enorme
crescimento no número de usuários e de transações diariamente realizadas, o que atrai a ação de criminosos
virtuais.

Nesse contexto, existem as funções hash, responsáveis por criar o hash, cuja capacidade de usar resumos de
dados e validar informações e senhas de acesso tem lhe concedido uma grande fama de promotor da
segurança cibernética. Nesta aula trataremos de como são criadas as funções hash e de como aprimoram a
segurança.

OS PRINCIPAIS CONCEITOS DAS FUNÇÕES HASH

As funções hash são mais conhecidas pelo seu produto, o hash, que representa grande parte da segurança
dentro da blockchain, a tecnologia de validação de dados utilizada nas moedas digitais, as criptomoedas. A
função hash atua na aceleração do processo de criptografia, pois faz seu trabalho com base em um resumo
da informação, e não dela inteira, o que poupa tempo e poder de processamento.

De acordo com Nogueira e Bodemüller Junior (2020, p. 39), a “[...] função resumo, ou hash, é usada para
construir uma pequena impressão digital de algum dado; se o dado for alterado, então a impressão digital não
será mais válida.”. Portanto, a função hash é aplicada em variáveis quantidades de informação, embora o hash
resultante seja de tamanho fixo.

Por se tratar de uma tecnologia muitas vezes atrelada à segurança (tal como nas transações de criptomoeda),
o hash resultante não permite engenharia reversa, ou seja, impede que um processamento inverso revele a
informação original. Portanto, se algo na informação original for alterado, o hash também é modificado.
A seguir, na Figura 1, temos um exemplo de aplicação dessa função em um processo de busca. Perceba que se
trata de uma lista telefônica onde o número de algumas pessoas está sendo pesquisado. Nesse tipo de
pesquisa trabalha-se com resumos da informação, ou seja, a pesquisa que determinará em qual posição está
o número de telefone desejado será feita no resumo, não na lista inteira.

Figura 1 | Função hash aplicada em uma busca

Fonte: elaborada pelo autor.

O diagrama apresenta um termo novo, o bucket, que nas funções hash representa o local onde determinado
dado está localizado na tabela que contém os dados correspondentes. Vale ressaltar que um bucket pode
conter vários registros.

O hash tem grande importância nas transações de criptomoedas porque é capaz de oferecer uma chave que
não pode ser modificada ou excluída, o que permite que a identidade do emissor da mensagem seja validada.
Para Stallings (2017 apud AMO; PICHETTI, 2021, p. 166), temos que a função hash (H) funciona por meio de
uma entrada de um bloco de dados (M), de comprimento variável, produzindo um hash (h) de tamanho fixo,
portanto, temos que esse processo pode ser representado pela equação: h = H (M).

No entanto, o processo da função hash demanda informações adicionais, como a quantidade total de bits do
bloco de dados (M), representada pela letra L. Outra informação é representada pela letra P, que se trata da
variável que a função hash pode solicitar para facilitar o cálculo, também denominado padding, ou
preenchimento, e que costuma ser somado à largura L do bloco M. De acordo com Amo e Pichetti (2021),
temos a mensagem entrando no processo da função hash para ser transformada em um resumo, no valor de
hash (h), com tamanho fixo predefinido.

Uma forma interessante de compreender o resultado de uma função hash, tal como nos apresentam
Hintzbergen et al. (2018 apud AMO; PICHETTI, 2021), assemelha-se ao processo de misturar diferentes cores
de titãs, pois ao misturar duas cores distintas, como a cor branca e a preta, o resultado final é o cinza.
Quando se tem um hash, ou um balde de tinta cinza, não é mais possível separar os elementos e construir de
volta o texto original do hash, muito menos obter dois baldes com as tintas preta e branca separadas. Desta
forma, temos que a função hash produz um cálculo irreversível.

VIDEOAULA: OS PRINCIPAIS CONCEITOS DAS FUNÇÕES HASH

Neste vídeo trataremos como a criptografia, os algoritmos e a função hash permitiram o surgimento das
criptomoedas e como atuam nelas. Portanto, vamos tratar do que é o blockchain e sua relação com os hashes.

Videoaula: Os principais conceitos das funções hash

Para visualizar o objeto, acesse seu material digital.

COMO O CÓDIGO HASH É CONSTITUÍDO E PORQUE APRIMORA A SEGURANÇA

Com um algoritmo hash, uma função matemática é aplicada ao bloco de dados, dando origem a um conjunto
de dados menor, aleatório e denominado hash. De acordo com Barreto et al. (2018, p. 65), para que um dado
seja transformado em hash, é necessário usar uma função. Vale reforçar que, independentemente do
tamanho do bloco de dados que entra na função, o bloco de dados por ela gerado, o hash, terá tamanho fixo,
determinado pelo tipo de algoritmo sendo utilizado.

Figura 2 | Algoritmo hash MD5 de 32 caracteres

Fonte: elaborada pelo autor.

A Figura 2 apresenta uma aplicação do algoritmo tipo MD5 ao texto exemplo “A cotação do dólar deve recuar
25 pontos percentuais nos próximos dias.”, que resulta em um texto criptografado com comprimento de 32
caracteres. Caso fosse aplicado um texto menor, pois o da figura tem 71 caracteres com espaço, o resultado
seria um texto criptografado de 32 caracteres.

Embora exista muito desenvolvimento de algoritmos hash, a possibilidade de colisões jamais será descartada.
As colisões são situações em que uma função ou um algoritmo pode gerar o mesmo resumo mesmo para
blocos de dados diferentes. Assim, temos, conforme defendem Barreto et al. (2018, p. 65), nenhuma das
funções hash existentes é livre de colisões, embora existam aqueles algoritmos que apresentam uma taxa de
colisão muito baixa.
A possibilidade de uma função hash produzir resumos idênticos a blocos de dados distintos deve ser
endereçada e resolvida, então, é preciso que seja construído um método capaz de trabalhar com as eventuais
colisões e que o faça independente da função em uso.

Neste sentido, de acordo com Cabral e Caprino (2015 apud BARRETO et al., 2018), os algoritmos hash mais
utilizados possuem comprimento de palavra na ordem de 16 a 128 bits, sendo os mais populares das famílias
MD e SHA. O quadro a seguir apresenta uma breve descrição destes algoritmos.

Quadro 1 | Os algoritmos da função hash

Algoritmo O algoritmo MD5 consiste em uma função hash de dispersão criptográfica unidirecional que
MD5 gera resumos de 128 bits. É muito utilizado para a verificação da integridade de arquivos
baixados da internet e também para a verificação de login de usuários. Esse algoritmo foi
desenvolvido pela RSA Data Security em 1991 e tem a característica de ser unidirecional, ou
seja, um hash gerado por um algoritmo MD5 não pode ser transformado novamente no
dado original.

Algoritmo O algoritmo MD6 surgiu em 2008 como uma atualização do MD5, pois trabalha com hash de
MD6 224, 256, 384 e até 512 bits.

Algoritmo O algoritmo SHA-0 (Secure Hash Algorithm, ou algoritmo de dispersão seguro) foi o primeiro
SHA-0 da família SHA, publicado pelo National Institute of Standards and Technology (NIST), e é
baseado no MD5.

Algoritmo O algoritmo SHA-1 também foi publicado pelo NIST, em 1995, tendo um valor de dispersão
SHA-1 de 20 bytes, ou 160 bits. Apesar de ser muito semelhante ao SHA-0, ele resolve os
problemas de segurança atribuídos ao seu antecessor.

Algoritmo A Agência de Segurança Nacional dos EUA criou o algoritmo SHA-2 e ainda não foram
SHA-2 relatados problemas de segurança nele, apesar de ser semelhante ao SHA-1. Esse algoritmo
trabalha com resumos de 224, 256, 384 e 512 bits.

Algoritmo O algoritmo SHA-3 surgiu em 2007 com a proposta de substituir os algoritmos SHA-1 e SHA-
SHA-3 2, e foi liberado para domínio público em 2015.

Fonte: adaptado de Barreto et al. (2018, p. 65).

A velocidade de criptografia oferecida por um algoritmo indica limitações de sua aplicação. Algoritmos rápidos
como o MD5, por exemplo, também são rapidamente quebrados, o que os torna inviável em aplicações como
no controle de senhas, ao passo de que um algoritmo como o PBKDF2 (Password-Based Key Derivation
Function) é considerado um fortalecedor de senhas altamente configurável e propositalmente lento o
suficiente para inviabilizar ataques como os de força bruta.
São diversas as aplicações dos algoritmos hash, e a mais conhecida e valorizada é dentro do blockchains e da
própria criptografia, pois é possível agilizar processos ao resumir dados, e promover a confiabilidade de um
sistema ao validar a integridade dos dados.

VIDEOAULA: COMO O CÓDIGO HASH É CONSTITUÍDO E PORQUE APRIMORA A SEGURANÇA

Neste vídeo, abordaremos as principais aplicações para algoritmos da função hash para a verificação de
integridade em arquivos, o salted hash para o armazenamento de senhas e o proof of work ou prova de
trabalho.

Videoaula: Como o código hash é constituído e porque aprimora a segurança

Para visualizar o objeto, acesse seu material digital.

OS TIPOS DE ATAQUES ÀS FUNÇÕES HASH

Uma das mais populares necessidades de tecnologias como as fórmulas matemáticas e algoritmos hash é
oferecer segurança para as transações financeiras que ocorrem na internet. Neste sentido, conforme
defendem Barreto et al. (2018), um exemplo dessa aplicação dos algoritmos hash na segurança financeira das
transações on-line é o dígito verificador dos boletos bancários.

Figura 3 | Dígito verificador de boleto de pagamento

Fonte: elaborada pelo autor.

Nos boletos bancários, a criptografia, como na Figura 3, promove o cálculo do dígito verificador pelos seus
números anteriores de forma que seja único e demonstre que esses números estão inalterados.

De maneira até simplificada, o que o algoritmo faz, usando ainda o exemplo do boleto, é gerar um dígito
verificador único, que só muda se o algoritmo que o gerou também mudar. Quando o banco gera o boleto e
ele é pago, o evento ocorreu pela confirmação do dígito verificador, ou seja, o banco espera certo dígito
verificador para certo boleto, para concluir a transação solicitada.

Se o dígito verificador for alterado sem que a função ou o algoritmo tenha feito isso, a transação demandada
será rejeitada. Assim, de acordo com Barreto et al. (2018), a simplicidade do hash depende do volume de
caracteres encontrados no bloco de informação que o gerou. Essa variação de comprimento e monitoramento
significa que os hashs de baixa complexidade são mais do que capazes de evitar ataques, mesmo que se trate
de um erro de digitação, de exclusão ou de alteração do algoritmo.
 Quadro 2 | Tipos de ataques ao hash

Ataque do Um dos ataques a algoritmos ou funções hash é chamado de ataque do aniversário. É

aniversário um tipo de ataque criptográfico contra a matemática que está envolvida na teoria da
probabilidade entre as datas de aniversário.

Ataque de Um ataque de força bruta pode também ser conhecido como um ataque de busca de
força bruta chave por exaustão. Elepode ser usado contra quaisquer tipos de dados codificados, de
qualquer tamanho, e é utilizado normalmente como última opção do atacante, quando
já não há mais nenhuma vulnerabilidade a ser explorada e não há nada mais fácil para
ser empregado no ataque.

Ataque do O ataque do homem do meio (ou, em inglês, man in the middle) diz respeito ao indivíduo
homem do malicioso que faz a interceptação entre os dados de origem e de destino. Aqui, os dados
meio que são trocados entre o remetente e o destinatário sofrem interceptação de alguma
maneira (são registrados e corrompidos ou alterados pelo indivíduo malicioso) sem que
as vítimas percebam que estão sendo atacadas.

Ataque de Um ataque de pré-imagem em uma função hash envolve a tentativa de achar um valor
pré-imagem específico de hash como resultado da função.

Ataque de O ataque de colisão é feito por meio da geração de uma colisão no resultado da
colisão aplicação de um algoritmo de hash. A colisão acontece quando dados originais
diferentes entre si geram como resultado um hash igual.

Fonte: adaptado de Barreto et al. (2018, p. 70).

Em uma perspectiva de segurança de TI, os algoritmos hash são valiosos mecanismos de segurança. Um
exemplo de aplicação está na avaliação da obsolescência de determinadas tecnologias.

VIDEOAULA: OS TIPOS DE ATAQUES ÀS FUNÇÕES HASH

Neste vídeo, trataremos como a função hash é importante a mineração das criptomoedas. Neste vídeo
abordaremos a definição do hash e sua dinâmica no processo de aferição do desempenho de mineração.

Videoaula: Os tipos de ataques às funções hash

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
A internet está oferecendo com sua nuvem uma vasta quantidade de aplicações que atendem a empresas e a
pessoas comuns. Com o aumento na oferta dos serviços em nuvem, existe uma crescente necessidade de se
criar usuários e senhas para ter acesso a tais serviços.

Embora exista uma corrente nos grandes provedores de serviços em nuvem pela busca por serviços
integrados, plataformas e suítes que abrigam diversas aplicações e, com isso, o usuário necessita de um único
cadastro para acesso aos serviços, isso não é regra. Desta forma, o usuário que precisa de muitos serviços na
nuvem pode ter dezenas de cadastros, usuários e senhas, além de ter várias formas de concentrar e
armazenas suas senhas, para não correr o risco de esquecê-las.

No entanto, o armazenamento de senhas é algo até pouco recomendado pelos especialistas em

cibersegurança, principalmente senhas de plataformas que lidam com finanças como bancos e financeiras.
Porém, com o avanço da criptografia, o armazenamento de senhas deixa de ser um recurso perigoso e ganha
opções de aplicativos dos maiores desenvolvedores, como o Google.

Estudante, como recém-contratado para o cargo de coordenador de segurança de uma conhecida empresa
desenvolvedora de software, a direção necessita de sua expertise para solucionar seu maior problema: a
baixa segurança gerada por uma política de segurança de senhas defasada.

Portanto, seu desafio é escolher um algoritmo que apresente as características que torne viável sua aplicação
em um sistema de armazenamento de senhas. O detalhe está no desempenho do algoritmo perante o teste
de ataque de força bruta, ou seja, para ser considerado na aplicação a ser criada, o algoritmo deve resistir ao
ataque no tempo considerado viável para tal.

Entre os algoritmos que podem ser cogitados, há o MD5, MD6, SHA0, SHA1, SHA2, SHA3 e PBKDF2 (mas
também é possível utilizar outros). Além disso, as senhas devem ter comprimento de no mínimo nove
caracteres sendo letras, números e caracteres especiais. O teste pode ser conduzido com o uso do hashcat.

RESOLUÇÃO DO ESTUDO DE CASO

Para resolver a proteção das senhas, complementa-se o fato de que elas, como descrito na política de
segurança de senhas da empresa, contêm nove dígitos.

A avaliação do algoritmo hash a ser utilizado em um sistema de armazenamento de senhas leva em conta
quanto tempo um ataque de força bruta tem sucesso para revelar uma senha. Nesse sentido, para senhas de
nove caracteres, a maioria dos algoritmos será rápida em sucumbir, inclusive o MD5.

Portanto, algoritmos como o PBKDF2 são notoriamente lentos o suficiente para não se tornarem um
problema de segurança, principalmente quando utilizados em um virtual wallet, uma carteira virtual que
armazena as senhas dos aplicativos de um usuário.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

  Saiba mais
Saber utilizar os diferentes recursos que a informática tem a oferecer será sempre um destaque ao
profissional atualizado. Neste sentido, embora seja notório o uso da criptografia na cibersegurança,
é preciso compreender como fazer bom uso do hash. Assim, recomendamos o vídeo do canal Daniel
Donda que aborda exatamente isso: a computação forense e o hash, que você pode assistir pelo
link: https://bit.ly/3GY7EUI.

Outra dica importante está em conhecer melhor o que representa a blockchain, que depende das
funções hash e que vai muito além de seu importante uso na segurança das transações das
criptomoedas, como Pedro Belisário trabalha em seu artigo disponível em: https://bit.ly/33AU7UP.

A IBM apresenta um artigo interessante e informativo sobre o que é a tecnologia blockchain. Você
pode conferir o artigo e solicitar o download do livro Blockchain for Dummies por meio do link:
https://ibm.co/3tFo4xH.

REFERÊNCIAS
2 minutos

Aula 1

BARRETO, J. dos S. et al. Fundamentos de segurança da informação. Porto Alegre: SAGAH, 2018.

CGI.br - Comitê Gestor da Internet no Brasil. Segurança digital: uma análise da gestão de riscos em empresas
brasileiras. São Paulo: Núcleo de Informação e Coordenação do Ponto BR, 2020. Disponível em:
https://bit.ly/3FIXcz2. Acesso em: 20 ago. 2021.

COUTO, J. C. P. Auditoria de cibersegurança: um caso de estudo. 2018. Disponível em: https://bit.ly/3GVVbko.

Acesso em: 20 ago. 2021.

FONTES, E. L. G. Segurança da informação: o usuário faz a diferença. São Paulo: Saraiva, 2017.

FORNASIER, M. de O.; SPINATO, T. P.; RIBEIRO, F. L.. Ransomware e cibersegurança: a informação ameaçada
por ataques a dados. 2020. Disponível em: https://bit.ly/3GJUB9D. Acesso em: 29 set. 2021.

NOGUEIRA, R. R.; BODEMÜLLER JUNIOR, R.. Segurança em tecnologia da informação. Indaial: UNIASSELVI,
2020.

Aula 2
BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah, 2018.

VALENTIM, M. L. P.; ANÇANELLO, J. V. Análise de conceitos sobre valor da Informação no âmbito da

ciência da Informação. Disponível em: https://bit.ly/3FKh7xN. Acesso em: 24 out. 2021.

Aula 3

BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah, 2018.

NAKAMURA, E. T. Sistema de informação: medidas de segurança. Londrina: Editora e Distribuidora

Educacional S.A., 2016.

TEIXEIRA, M. A. F. Números inteiros e criptografia RSA. Rio Claro, 2020. Disponível em:
https://bit.ly/3qIN6dn. Acesso em: 28 ago. 2021.

Aula 4

AMO, G. G. de; PICHETTI, R. F. Criptografia e segurança. Indaial: UNIASSELVI, 2021.

BARRETO, J. dos S. et al. Fundamentos de segurança da informação. Porto Alegre: SAGAH, 2018.

NOGUEIRA, R. R.; BODEMÜLLER JUNIOR, R. Segurança em tecnologia da informação. Indaial: UNIASSELVI,

2020.