Aula 1

SEGURANÇA DE COMPUTADORES
A segurança digital é encarregada de proteger os usuários de sistemas
computacionais, seja on-line ou não.
40 minutos

INTRODUÇÃO
A segurança é um dos componentes da vida em sociedade que mais requer cuidado,
vigilância e desenvolvimento, e quando se trata da sua vertente digital, aquela
encarregada de proteger os usuários de sistemas computacionais, seja on-line ou não,
esse desenvolvimento apresenta maiores complicações e mais complexidade.

Nesta aula trataremos dos conceitos básicos de segurança para que seja possível
compreender melhor o motivo de ser um tema tão desafiador na atualidade e, com
isso, entender o quão crítico o tema é na era da informação.

OS CONCEITOS BÁSICOS SOBRE SEGURANÇA DE

COMPUTADORES
Uma das principais necessidades humanas, assim como a alimentação, é a segurança,
e em um ambiente como o da internet ao qual, de alguma forma, todos têm acesso,
essa segurança ganha maior significado e importância e passa a demandar recursos,
protocolos e tecnologias que protejam a privacidade e os dados das pessoas.

Podemos compreender melhor o que é segurança a partir do dicionário Houaiss

(2018), que aborda segurança como um estado, uma condição das pessoas ou dos
sistemas, equipamentos que estão livres de perigos, de incertezas, livres de sofrer
danos ou eventuais riscos. Ainda de acordo com Houaiss (2018), o conceito de
segurança, quando aplicado à computação, em geral representa a proteção da
informação de várias formas de ataque, cujo objetivo é o de manter o
empreendimento em funcionamento, minimizando riscos e aprimorando o retorno do
investimento feito.

No universo da informática, a segurança deixa de ser apenas uma sensação e passa a

representar um processo cujo objetivo é manter a integridade das pessoas
preservando seus dados, sua identidade, seus negócios e suas interações on-line.
Desta forma, assim como defende Fontes (2017), a informação deve ser vista como
um ativo muito importante à organização, cuja proteção é primordial, pois sem
informação, a empresa não funciona.
Cresce na comunidade internacional de usuários da internet a sensação de
insegurança ao navegar on-line, algo muito diferente do sentimento de segurança que
permeava entre os que utilizavam computadores conectados décadas atrás. A
popularização dos computadores com acesso à internet fez surgir, de acordo com
Fontes (2017), diversos instrumentos legais de proteção à informação corporativa,
como os termos de compromisso, em que são descritas as principais
responsabilidades dos usuários no acesso à informação.

Um trabalho que está cada vez mais valorizado dentro deste tema da segurança
digital é feito pelos profissionais de TI que diariamente exploram vulnerabilidades de
sistemas de computadores, de softwares e de plataformas em nuvem. De modo geral,
a vulnerabilidade é representada por uma falha no sistema que pode ser explorada
pelo hacker e que lhe concede acesso a dados sigilosos.

A tarefa de manter usuários maliciosos fora de sistemas computacionais fica mais

complexa a cada ano, pois à medida que as ferramentas, os antivírus e outros
sistemas evoluem, também evoluem os métodos de ataque. Assim, a segurança se
fundamenta em três atributos denominados CID, conhecidos como confidencialidade,
integridade e disponibilidade das informações. A definição desses termos é:

Confidencialidade: necessidade de garantir que as informações

sejam divulgadas somente àqueles que possuem autorização para
vê-las.

Integridade: necessidade de garantir que as informações não

tenham sido alteradas acidentalmente ou deliberadamente, e que
elas estejam corretas e completas.

Disponibilidade: necessidade de garantir que os propósitos de um

sistema possam ser atingidos e que ele esteja acessível àqueles que
dele precisam.

— (NOGUEIRA; BODEMÜLLER JUNIOR, 2020, p. 10)

Esse tripé da segurança digital também inclui a autenticidade, representada pela

garantia de que determinada mensagem tem origem no emissor a ela atribuída. Outra
garantia é nomeada não repúdio, que conforme corrobora Fontes (2017), remove do
emissor a possibilidade de negar a sua autoria no futuro, e a confidencialidade, ou
seja, a garantia de que a informação será acessada e utilizada apenas por quem for
designado e necessite dela.
VIDEOAULA: OS CONCEITOS BÁSICOS SOBRE SEGURANÇA DE
COMPUTADORES
No vídeo deste primeiro bloco trataremos de como a segurança na computação vem
evoluindo, incluindo tecnologias como o QR Code e o uso da inteligência artificial e do
machine learning.

Videoaula: Os conceitos básicos sobre segurança de computadores

Para visualizar o objeto, acesse seu material digital.

O DESAFIO DA IMPLEMENTAÇÃO DA SEGURANÇA DOS

COMPUTADORES
Em termos práticos, garantir a segurança de algo físico, como um cofre, é
consideravelmente mais fácil do que garantir a segurança de uma conta bancária on-
line. O motivo é simples: cofres são físicos e apresentam fechaduras e outros sistemas
que impedem o acesso não autorizado ao seu conteúdo. Junto aos sistemas de
segurança do cofre existem diversas barreiras de segurança na edificação onde o
cofre se encontra e, por fim, há a limitação física, com o fato de que apenas uma ou
poucas pessoas conseguirão tentar acessar o cofre ao mesmo tempo. Esse cenário
não se repete no universo on-line, ao menos no que diz respeito ao número de
ataques que um ambiente seguro pode receber.

De acordo com OECD (2020, apud CGI.br, 2020, p. 25), o objetivo da segurança digital
está em tornar as atividades econômicas e sociais mais seguras no ambiente on-line.
Ainda segundo OECD (2020, apud CGI.br, 2020, p. 25), a segurança digital ataca tal
objetivo tratando das incertezas que afetam a confidencialidade, a integridade e a
disponibilidade, conhecidas como tríade CID.

O grande desafio da segurança digital está na necessidade de proteger o universo

digital por completo, independentemente do sistema ou da atividade que o usuário
está executando, pois, conforme Barreto (2018) afirma, as empresas precisam de seus
sistemas digitais para que o empreendimento funcione corretamente.

Em uma escala global, a economia depende da segurança digital e dos negócios

digitais, o que justifica o argumento de que a segurança deve ser de qualidade e
aplicada ao sistema inteiro, sem restrições, pois, conforme afirma CGI.br (2020, p. 26),
quando ocorre a violação da tríade CID, as atividades socioeconômicas podem ser
prejudicadas, e tal violação de disponibilidade pode, por exemplo, promover a
chamada DoS (Denial of Service), os ataques de negação de serviço construídos pela
inundação de comandos a um determinado sistema.
Quando um usuário malicioso ganha acesso a dados sigilosos, ele é capaz de se
apropriar desses dados e exigir um resgate do proprietário, promovendo o que
Fornasier, Spinato e Ribeiro (2020) chamam de ransomware, quando é negado ao
usuário acesso aos seus próprios dados, por meio de criptografia, culminando na
demanda por um pagamento, que geralmente ocorre em moedas virtuais,
conhecidas como bitcoins.

No mundo real, a maioria dos ataques visa subtrair dinheiro, salvo casos em que
documentos são o alvo, o que torna essa perspectiva diferente da que observamos no
universo on-line, cujos alvos se diversificam, incluindo a intimidade das pessoas, seus
segredos e relacionamentos, além do básico, como dinheiro, documentos digitais,
segredos industriais e muito mais.

Claro que nem sempre a falha de segurança é explorada maliciosamente, pois pode
ser um simples fruto de falha humana, como no caso brasileiro de um servidor de
acesso público que expôs dados cadastrais de mais 120 milhões de pessoas devido a
uma configuração descuidada.

Embora casos de ransomware façam com que a empresa vítima geralmente perca um
valor financeiro pequeno, quase simbólico, falhas de segurança podem causar o
roubo de segredos comerciais, o que tem o potencial de dano muitas vezes
incalculável para a companhia. O grande desafio da segurança digital é manter o
mundo on-line seguro e ao mesmo tempo intuitivo, preservando uma boa
experiência.

VIDEOAULA: O DESAFIO DA IMPLEMENTAÇÃO DA SEGURANÇA

DOS COMPUTADORES
Para o vídeo deste segundo bloco destacamos o tema ransomware, como ele vem
afetando micro e pequenas empresas e como evitar ser vítima do sequestro de dados
com a aplicação de um bom checklist.

Videoaula: O desafio da implementação da segurança dos computadores

Para visualizar o objeto, acesse seu material digital.

A CRITICIDADE DAS AMEAÇAS E DOS ATAQUES E COMO OS

ATIVOS DAS EMPRESAS DEVEM SER PROTEGIDOS
No universo corporativo, os ativos podem ser convertidos em dinheiro, podem ser o
saldo em conta, um ativo de liquidez imediata, ou outros ativos que necessitam ir à
venda para conversão, como imóveis, veículos, podem ser o estoque, as contas a
receber, patentes, entre outros. Desta forma, existe muito o que uma empresa
necessita defender contra as ameaças e os ataques, e o fato de um bem ser físico não
significa que não possa ser afetado por um ataque oriundo de meio digital ou virtual.

Nesse sentido, de acordo com Gaivéo (2008; apud COUTO, 2018, p. 15), dentro da
temática da segurança da informação, muitos ataques podem explorar
vulnerabilidades e comprometer o funcionamento de um sistema de informação. O
tratamento correto de uma crise é identificar e caracterizar a ameaça de forma a
oferecer uma melhor resposta e proteção ao sistema.

Risco, ameaça e vulnerabilidade são termos muito utilizados no universo digital on-
line, mas ao usuário comum muito de seu significado passa desconhecido, tendo em
vista os incontáveis casos de invasão de contas de e-mail, de aplicativos e de redes
sociais. Desconhecer esses termos é um luxo que empresas, mesmo as que não
atuam exclusivamente on-line, não podem ter, pois “a segurança da informação existe
para o gerir o risco e o risco existe em função das ameaças e vulnerabilidades”
(COUTO 2018, p. 15).

Risco é a expressão do incerto, da ocorrência de um evento indesejado, como uma

perda financeira ou a perda de algo que eventualmente produza prejuízo financeiro.
Em uma empresa, portanto, o risco se expressa na possibilidade de não se conquistar
os objetivos, de não oferecer lucro aos investidores, entre outras situações, e costuma
ser mensurado por seu impacto e pela probabilidade de ocorrência.

Já a vulnerabilidade é expressa, na computação, como uma falha de hardware ou de

software que deixe, mesmo que remota, a possibilidade de uma brecha ser explorada,
comprometendo o sistema. De acordo com Wadlow (2000 apud COUTO, 2018, p. 16)
“[...] são os pontos fracos existentes nos ativos, que quando explorados por ameaças,
afetam a confidencialidade, a disponibilidade e a integridade das informações de uma
pessoa ou organização.”.

Podemos afirmar que grande parte do desenvolvimento de um sistema operacional,

como o Microsoft Windows, que ocorre após seu lançamento tem por objetivo corrigir
falhas de vulnerabilidades que possam ser exploradas em ataques, o que se constitui
na maior ameaça a um sistema como esse. Afinal, quem deseja colocar em seu
computador um sistema que deixe portas abertas para ataques virtuais de hackers
em busca de informação que possa ser vendida no mercado clandestino?

O universo on-line apresenta o termo ameaça de forma muito mais passiva que seu
similar no mundo físico, pois no ambiente da internet as ameaças se traduzem em
circunstâncias, condições potenciais para a ocorrência de um ataque ou qualquer
evento que impacte negativamente o sistema em questão. Como define Nist (2017,
apud COUTO, 2018, p.16), ameaça pode ser definida como qualquer circunstância ou
evento com a capacidade de provocar impacto negativo na organização, nos bens ou
nos indivíduos, sem deixar de lado o sistema de informação.
É importante que cada empresa conheça as ameaças para com sua segurança da
informação e tome providências que as mitiguem, o que deve ser complementado
pela busca diária da eliminação de qualquer vulnerabilidade que comprometa o
sistema. São inúmeras as empresas que atuam na busca por vulnerabilidades e
ameaças e que, com seus relatórios, permitem que mudanças sejam feitas para
melhorar a segurança da informação.

VIDEOAULA: A CRITICIDADE DAS AMEAÇAS E DOS ATAQUES E

COMO OS ATIVOS DAS EMPRESAS DEVEM SER PROTEGIDOS
No vídeo do terceiro bloco trataremos de como são testados os sistemas de
segurança on-line, como são feitos, qual sua metodologia e o que oferecem em
termos de orientação para melhorias.

Videoaula: A criticidade das ameaças e dos ataques e como os ativos das empresas devem ser protegidos

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
A segurança da informação é um trabalho que começa com um intenso processo de
compreensão do que se necessita proteger e contra quais ameaças, de forma que os
ativos da empresa sejam devidamente blindados e protegidos e que a atividade
empresarial não sofra problemas e interrupções.

A segurança da informação deve ser ampla, atuando em eventos que ocorrem tanto
fora quanto dentro da empresa. Internamente, deve ser projetada para impedir que
sejam violadas políticas de segurança, principalmente as que atuam na coordenação
do acesso à informação, impedindo vazamentos de dados confidenciais.

A partir dessa situação, imagine que você atua como analista de segurança de uma
startup na área de desenvolvimento de software e, como demanda inicial, foi
solicitado a você uma recomendação de segurança com o objetivo de garantir a
confidencialidade dos dados armazenados na organização.

Sendo assim, apresente, em linhas gerais, a forma com que uma empresa
desenvolvedora de software deve perceber sua tríade CID, no que se refere às ações
relativas à confidencialidade.

RESOLUÇÃO DO ESTUDO DE CASO

Como destacado no enunciado do estudo de caso, a segurança da informação deve
receber uma atenção especial dentro das organizações, e nas empresas de
desenvolvimento de software não é diferente. Todos esses cuidados tendem a
impedir vazamentos de dados confidenciais. A sua recomendação, a partir da
demanda proposta, deve envolver algumas análises. Perceba que, dentro da tríade
CID, a letra C representa a confidencialidade que, para a segurança em um ambiente
corporativo de uma empresa que desenvolve sistemas, deve ser vista com extremo
cuidado e ser amplamente coberta por uma robusta política de segurança da
informação. Em ambientes como o brevemente descrito, os pontos críticos são as
redes sociais, em que profissionais podem vazar informações facilmente, mesmo que
não contenham um teor prejudicial, e dentro da organização, o acesso a dados
sensíveis e sigilosos deve ser restrito aos que necessitam da informação.

Portanto, a empresa precisa manter uma boa política de segurança da informação,

constantemente capacitar os colaboradores com as atitudes e os procedimentos de
segurança e criar uma estrutura hierárquica de perfis profissionais no sistema de
acesso às informações, de forma que existam tipos de usuários para não haja acesso
de um profissional a informações que ele não necessita para seu trabalho.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Para atender aos princípios básicos da segurança da informação, conhecidos
como a tríade CID (confidencialidade, integridade e disponibilidade), a empresa
deve desenvolver políticas e protocolos de segurança e os colocar à prova
periodicamente. O artigo indicado trata de como tais testes podem ser realizados
dentro dessa perspectiva. Disponível em: https://bit.ly/3qHlaGC.

Aula 2

CONCEITO E VALOR DA INFORMAÇÃO

Nesta aula veremos como uma informação pode ser definida por um valor
monetário, uma classificação, uma criticidade dentro dos processos e das
estratégias para as empresas.
46 minutos

INTRODUÇÃO
O principal objetivo desta aula é apresentar o que significa para as empresas a
informação e como ela pode ser definida por um valor monetário, uma classificação,
uma criticidade dentro dos processos e das estratégias empresariais.
Para construir esse conhecimento, começaremos definindo o que é informação e o
que ela representa no contexto empresarial e organizacional, para em seguida
compreendermos o que é valor e quais aspectos a empresa deve considerar quando
deseja mensurar o valor de suas informações.

Por fim, trataremos de como a informação precisa ser classificada para ser
devidamente organizada e protegida e os contra-ataques que podem ser utilizados.

OS CONCEITOS BÁSICOS DA INFORMAÇÃO NO CONTEXTO

ORGANIZACIONAL
A massiva digitalização do universo corporativo significa que uma grande parte dos
ativos das empresas passa a se encontrar no domínio dos bits e bytes, ou seja,
informações, dados de mercado, esquemas, desenhos, projetos e produtos passam a
ser armazenados digitalmente. Desta forma, a infraestrutura de TI das empresas
passa a demandar maior robustez e segurança, assim como afirma Barreto (2018), por
ter um papel fundamental na atividade corporativa, principalmente em casos em que
a informação apresenta maior relevância diferencial competitiva.

Ainda de acordo com Barreto (2018), a segurança da informação atua garantindo,

entre outras atribuições, a confidencialidade e a integralidade e mantendo sempre a
disponibilidade dos ativos de informação, de forma que o risco de ataques seja
sempre mitigado.

A competitividade de mercado faz com que as organizações busquem maneiras de

serem mais eficientes em suas operações, e isso inclui a forma com que armazenam e
disponibilizam a informação, o que, dependendo do ramo de atuação da empresa,
pode representar um vasto banco de dados.

Portanto, é variada a informação no contexto organizacional, o que significa também

que existe uma grande variação sobre o real valor que determinada informação tem.
De acordo com Barreto (2018), esse valor depende da aplicação da informação, que
pode estar relacionada, por exemplo, a dados e à eficiência com a qual os dados são
mantidos e tratados. A relação da informação com o sucesso da organização e até
mesmo o uso de estratégias específicas para o perfil da informação são reflexos de
como a companhia se empenhou para sua proteção.

O conhecimento e a informação são elementos centrais em qualquer organização,

mercado de atuação ou tamanho e, portanto, sua proteção deve ser proporcional ao
seu valor, sua representatividade. O quadro a seguir apresenta os principais motivos
para que a segurança da informação seja devidamente tratada pela empresa.

Quadro 1 | Por que atuar pela segurança da informação?

 Roubo de dados e Para muitas empresas, seu maior capital é sua regra de
informações negócios, isto é, o conhecimento retido por ela quanto ao
fazer negócio.

Impacto na Muitas empresas dependem de seus sistemas

operacionalização da computadorizados para seu funcionamento. Imagine que
empresa uma invasão nos servidores de uma organização tire seus
sistemas do ar e faça com que ela pare de trabalhar por
24 horas.

Sequestro de dados Nos casos em que os dados dos servidores de uma

empresa são vitais para seu funcionamento, é
preocupante o risco de sequestro deles, em que um
invasor captura as informações da base de dados da
empresa e cobra valores significativamente altos pelo
resgate.

Vazamento de dados Quando uma organização armazena dados pessoais de

confidenciais de clientes, por exemplo, ela assume com o cliente um
clientes compromisso de responsabilidade. Deixar o sistema
vulnerável viola esse compromisso, uma vez que os
dados podem ser capturados direto do servidor se
houver uma falha de segurança.

Danos à imagem da Todos os problemas citados acima causam uma quebra

empresa de confiança entre a empresa e seus clientes, o que pode
causar perda de clientes e graves danos financeiros para
a companhia.

Fonte: Barreto (2018, p. 15).

Portanto, seja qual for o tamanho da empresa, existirá, invariavelmente, alguma

porção de sua atividade registrada em meio eletrônico, como seu sistema de gestão,
um banco de dados de consumidores, de fornecedores, de vendas, entre outros.

VIDEOAULA: OS CONCEITOS BÁSICOS DA INFORMAÇÃO NO

CONTEXTO ORGANIZACIONAL
Neste vídeo, compreenderemos melhor o valor da informação utilizando como
comparativo as empresas que mais a valorizam, como esse processo facilita o
desenvolvimento de novos produtos e como impacta severamente no sucesso e na
continuidade dos empreendimentos. Concluindo, analisaremos as ferramentas que
essas organizações utilizam para proteger suas informações.
 Videoaula: Os conceitos básicos da informação no contexto organizacional

Para visualizar o objeto, acesse seu material digital.

O VALOR DA INFORMAÇÃO
Para que a empresa dimensione corretamente sua solução de segurança,
principalmente com relação à proteção das informações, o primeiro passo é
determinar o valor delas, o que não é um processo altamente objetivo, embora
possível de ser realizado. Em companhias que possuem patentes de produtos ou de
processos produtivos, por exemplo, é comum que a informação seja tratada com
maior cuidado, diligência e proteção, ao passo que uma empresa que licencia
invenções de outras organizações tem a guarda da informação ligeiramente menos
complexa.

Podemos afirmar que existe, na atualidade, uma grande busca por informação de
valor relevante, o que agrega, em termos de dificuldade, ao processo de composição
do seu valor, tal como afirmam Valentim e Ançanello (2018, p. 26): “nessa perspectiva,
identificar quais atributos conferem valor à informação se constitui em um fator
importante na sociedade contemporânea.”.

Assim como qualquer outro processo de mensuração de valor, a informação da

empresa tem seu valor encontrado mediante o estabelecimento de uma metodologia,
de parâmetros que guiarão o processo e que podem assumir algumas classificações,
conforme a figura a seguir.

Figura 1 | Parâmetros da mensuração do valor

Fonte: adaptada de Valentim e Ançanello (2018).

Por ser de valor econômico, o valor da informação sofre flutuações como qualquer
commodity. Desta forma, podemos agregar valor à informação, seja pelo fato de a
capacidade da informação gerar lucro ao seu proprietário ou simplesmente pela
perspectiva da oferta e da procura. Mas sempre existirá um certo grau de
subjetividade no valor da informação, pois é uma questão de percepção.

A percepção do valor da informação pode ocorrer, de acordo com Moresi (2000, apud
VALENTIM; ANÇANELLO, 2018) das seguintes maneiras: por meio da identificação dos
custos; da compreensão de sua cadeia de uso; da avaliação da incerteza comumente
associada ao retorno do investimento em informação; da dificuldade no
estabelecimento das relações causais entre alguns produtos específicos e os insumos
da informação; e, por fim, do fracasso ao reconhecer o significado da informação em
seu aspecto comercial.

Além da percepção, a dificuldade em se estabelecer o real valor da informação vem de

fatores como os apresentados por Clemente e Souza (2004 apud Valentim; Ançanello,
2018) ao afirmarem que tal valor recebe grande generalização pelas trocas de
informação, por não ser algo tangível, como um produto, levando o processo até o
extremo de se estabelecer seu ganho unitário, ainda um processo subjetivo.

De acordo com Cunha e Cavalcanti (2008, apud VALENTIM; ANÇANELLO, 2018), o

termo economia da informação, tão representativo nos últimos anos, foi cunhado na
década de 1960, mas apenas a partir de 1980 que seu uso passou a figurar dentro do
meio das ciências da informação. Desta forma, temos que a informação deve ser vista
também pelo seu valor econômico.

A informação de elevado valor deve produzir riqueza à empresa, e uma das formas de
se expressar esse fato se dá com organizações que possuem patentes de tecnologias,
ou seja, seus profissionais geram informações capazes de desenvolver inovação
tecnológica que passa a ser propriedade da empresa. Quando tal tecnologia
desenvolvida for alvo do desejo de outra companhia, esta deverá pagar royalties para
a detentora da patente, gerando receita a ela.

VIDEOAULA: O VALOR DA INFORMAÇÃO

No vídeo deste bloco compreenderemos melhor a relação entre a informação e seu
valor por meio de uma comparação que demonstrará a diferenciação dos valores
dependendo de fatores como o status do mercado, acontecimentos governamentais e
da empresa, dona da informação e das circunstâncias. Neste sentido, aprenderemos
que diferentes circunstâncias podem modificar severamente o valor de uma
informação.

Videoaula: O valor da informação

Para visualizar o objeto, acesse seu material digital.

CLASSIFICAÇÃO DAS INFORMAÇÕES
Sobre a informação existem duas afirmativas que dificilmente vão se mostrar falsas
no universo corporativo: que independentemente do ramo, toda empresa possui suas
informações e que o valor delas tende a variar, dependendo de uma quantidade
variável de fatores. Corroborando com o argumento, Barreto (2018) afirma que na
maioria das empresas a informação tem um valor fundamental. A informação
corporativa pode ser representada de diversas maneiras: em formato digitalizado,
dentro de um banco de dados, fisicamente, em papel, depositada em arquivos. Ainda
segundo o autor, a informação também apresenta, além da forma de representação,
uma diferenciação a respeito de sua restrição de acesso, ou seja, cada tipo de
informação deve apresentar o perfil ou quem tem autorização para acessar, como em
níveis de segurança.

existe uma fonte comum que deve orientar tanto a definição do valor da informação
quanto o nível de segurança que demanda: a política de classificação de criticidade
desenvolvida pela empresa. De acordo com a política de classificação da informação, a
companhia é capaz de definir o tratamento dado aos diferentes tipos de informação e
seu risco, que pode receber, nas palavras de Barreto (2018), algumas medidas como: a
redução do risco de permitir que pessoas não autorizadas tenham acesso a
informações com nível superior de sensibilidade; a promoção da correta divulgação
de informações públicas e a redução do risco de problemas, como a perda da
integridade das informações, principalmente as que apresentam grande valor ao
empreendimento.

A definição dos níveis de segurança determina que a organização é capaz de

compreender as informações que possui e sua importância para os resultados. Assim,
ela é capaz de classificar corretamente suas informações em públicas, internas,
confidenciais e secretas, conforme apresenta o quadro a seguir.

Quadro 2 | Classificação das informações

Pública Tipo de informação que demanda menos trabalho de segurança, por

ser uma informação cuja integridade não é vital e que pode ser de
senso comum, dentro e fora da empresa, sem prejudicar o negócio.

Interna Segundo tipo de informação que exige menos trabalho de

segurança. Para informações internas, o sigilo deve ser mantido e
devem ser impostas restrições de acesso. Contudo, os danos
causados por um acesso não autorizado não são demasiadamente
sérios. A integridade da informação interna é importante, mesmo
que não seja vital.
 Confidencial Esse tipo de informação deve ser mantido nos limites da empresa,
por isso, devem ser investidos esforços de segurança nessas
informações. O acesso não autorizado, o dano ou a perda desse tipo
de informação pode trazer prejuízos consideráveis e levar ao
desequilíbrio operacional. Além disso, pode ocorrer uma quebra de
confiabilidade perante o cliente, além de permitir vantagem
expressiva ao concorrente.

Secreta Essas informações são críticas para a empresa. Elas precisam ser
preservadas e deve ser investido nelas o maior esforço possível para
a sua segurança. O acesso a esse tipo de informações deve ser
restrito, e sua manipulação tem que ser extremamente cuidadosa.

Fonte: adaptado de Laureano (2005, apud BARRETO 2018, p. 25).

Existe uma ressalva a ser feita sobre essa classificação: precisa ser construída usando
toda a empresa, não apenas o setor que apresenta maior pertinência.

VIDEOAULA: CLASSIFICAÇÃO DAS INFORMAÇÕES

Neste vídeo vamos ressaltar a importância da proteção da informação, ou seja, seu
sigilo, por meio da análise de situações de como a quebra de sigilo da informação
pode forçar uma severa mudança de estratégia, representar grande prejuízo para a
empresa ou até mesmo fazer com que a companhia encerre definitivamente suas
atividades.

Videoaula: Classificação das informações

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Existem casos em que uma informação pode ser a diferença entre o sucesso e o
fracasso de uma empresa. Em alguns setores, ela é exclusivamente responsável por
viabilizar o empreendimento, como o caso já conhecido da exploração do petróleo,
que depende da descoberta de novos poços, o que demanda estudos complexos e de
custo elevado.

Portanto, a exploração do petróleo começa com a sua descoberta que, de acordo com
o Serviço Geológico do Brasil (2014, [s. p.]), “esses estudos começam selecionando as
bacias sedimentares onde há maior probabilidade de se encontrar petróleo. Para isso,
reúnem-se geólogos, geofísicos e paleontólogos, entre outros especialistas.”.
Estudante, imagine que a PetroTek (hipotética), uma empresa exploradora de petróleo
tem passado nos últimos anos um pesadelo financeiro, com resultados abaixo do
esperado e acusações de problemas em seus balanços patrimoniais. Recentemente, o
mercado recebeu notícias de que ela teria descoberto duas novas jazidas na costa
brasileira, próximas ao estado de Alagoas, em Maceió Com a descoberta dessas novas
jazidas, a PretroTek se considera capaz de oferecer, nos próximos dois anos,
resultados financeiros positivos depois de anos no vermelho, mas alerta que depende
da extração dessas jazidas para a sustentabilidade do negócio.

Desta forma, argumente sobre como você classifica a informação da descoberta de

novas jazidas de petróleo e o que considera relevante no tratamento dessa
informação, pensando em quem deve ter acesso à informação. Considere que a
empresa pode não ter recursos para concluir o estudo das novas jazidas, dependendo
de investidores para viabilizá-lo.

RESOLUÇÃO DO ESTUDO DE CASO

O caso da PetroTek deixa claro que a informação das novas jazidas é extremamente
sensível a ponto de representar a continuidade do empreendimento. Desta forma,
cabe aos diretores e pesquisadores apenas seus respectivos conhecimentos. Embora
essa resolução pareça simples, não soluciona a questão dos eventuais investidores
que, neste caso, devem ter contato com os estudos somente se expressarem
interesse em investir no desenvolvimento da atividade, ou seja, a informação
completa não precisa ser de conhecimento do investidor para que se encoraje em
fazer o aporte.

De qualquer forma, contratos de sigilo devem ser robustos e sempre utilizados, para
que todos os envolvidos compreendam a criticidade e a sensibilidade das
informações.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Em geral, a segurança da população é uma das atribuições do Poder Público.
Portanto, as empresas não estão sozinhas nos esforços em manter seus dados e
os dados de seus clientes seguros. Com o avanço e a globalização do comércio
eletrônico, assim como as diversas transações e transferências de informações e
conhecimento, o governo brasileiro se viu motivado a desenvolver a Lei Geral de
Proteção de Dados, a Lei nº 13.709, de 14 de agosto de 2018.
 A sugestão será para a leitura do guia sobre o impacto da LGPD na publicidade
on-line. Saiba mais pelo link: https://bit.ly/33N5BEr.

Aula 3 Imprimir

CRIPTOGRAFIA
Nesta aula veremos o surgimento e desenvolvimento da segurança da
informação, dando origem à criptografia.
38 minutos

INTRODUÇÃO
Nesta aula vamos estudar como surgiu e se desenvolveu a segurança da informação e
como se deu a origem da criptografia que é hoje largamente utilizada no universo
digital. Em seguida, trataremos das criptografias assimétrica e simétrica e como essa
divisão tem relação com a forma com que as chaves são criadas.

Por fim, vamos aprender um pouco mais sobre as criptografias assimétrica e

simétrica, trabalhando suas principais diferenças e como impactam na segurança de
cada chave criada.

Bons estudos!

A EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO E A ORIGEM DA

CRIPTOGRAFIA
A humanidade vem evoluindo muito nas formas, nas estratégias e nas tecnologias que
usa para proteção. Cofres são utilizados para impedir o acesso não autorizado a
dinheiro, documentos e joias, enquanto veículos e propriedades possuem dispositivos
como câmeras e sensores de presença e movimento que desestimulam a entrada não
autorizada a certos ambientes.

Como vivemos na era da informação, existe uma necessidade cada vez maior de
proteger as informações, e isso inclui a criação de códigos que embaralham textos,
por exemplo, fazendo com que apenas os possuidores deste código, também
conhecido como chave, possam desvendar o real sentido da informação. Isso impede
que o leitor compreenda seu sentido, tecnologia que recebe o nome de criptografia
que, de acordo com Fiarresga (2010, apud NAKAMURA, 2016), é derivada das palavras
kryptos (oculto) e graphien (escrever) e representa a arte de escrever ou resolver
códigos. Ainda segundo o autor, a função da criptografia não é de esconder a
mensagem, e sim de ocultar seu significado. Desta forma, se a mensagem
criptografada é subtraída por alguém não autorizado, o intruso não será capaz de ler
ou compreender seu conteúdo, apenas o legítimo remetente e destinatário poderão
ter acesso à mensagem original.

Vale ressaltar que até o século XX, a criptografia tinha status de arte, pois tanto a
criação dos códigos (ou chaves) quanto sua quebra tinham forte ligação com a
criatividade e o talento das pessoas. Porém, de acordo com Nakamura (2016), com a
chegada do século XX, impulsionada pelos estudos científicos, a criptografia ganhou
relevância e virou ciência, deixando de ser apenas uma comunicação secreta e
passando a incluir atribuições importantes à segurança, como as assinaturas digitais e
os protocolos de mudança de chaves.

Quando os profissionais afirmam ter quebrado uma chave de criptografia, estão

afirmando que descobriram o teor do seu código, ou seja, a chave, que deveria ser
secreta e conhecida apenas pelos interessados em manter a mensagem em sigilo
agora é conhecida por terceiros.

A história dessa tecnologia apresenta grandes momentos. Nakamura (2016) afirma

que seu primeiro uso registrado foi por volta de 1900 a.C. no Egito com a descoberta
de hieróglifos fora do padrão. Mas entre os anos de 600 a.C. e 500 a.C., foi descoberto
o uso de cifras de substituição simples.

De acordo com Nakamura (2016, p. 123), em 1948 a criptografia teve um salto em seu
desenvolvimento com a concepção da Teoria Matemática da Comunicação, de Claude
Shannon, que permitiu a evolução dos processos, da criptoanálise, e com a Guerra
Fria (entre Estados Unidos e a extinta União Soviética), floresceu ainda mais.

Outro avanço importante foi a criação de criptografia de chave pública, em 1976, por
Diffie e Hellman, que levou ao desenvolvimento do algoritmo RSA. Antes, era parte da
proteção de comunicação em guerras, e hoje a criptografia faz parte do cotidiano de
todos, muitas vezes de forma transparente, como é o caso do acesso web, de
transações bancárias e de acesso às redes sociais (NAKAMURA, 2016).

VIDEOAULA: A EVOLUÇÃO DA SEGURANÇA DA INFORMAÇÃO E A

ORIGEM DA CRIPTOGRAFIA
Neste vídeo trataremos de como a segurança digital está sendo aprimorada com o
uso da criptografia por meio da demonstração de alguns de seus tipos básicos. Assim,
poderemos compreender a importância dessa ferramenta para a segurança da
informação e de como ela contribuiu para o desenvolvimento das criptomoedas.

Videoaula: A evolução da segurança da informação e a origem da criptografia

Para visualizar o objeto, acesse seu material digital.

OS PRINCIPAIS TIPOS DE CRIPTOGRAFIA
Para compreender a criptografia, é necessário saber que é um processo que ocorre
em duas etapas, sendo a primeira a encriptação e desencriptação. De acordo com
Barreto (2018, p. 30), a encriptação representa a conversão dos dados pela aplicação
da chave criptográfica “[...] tornando-os ilegíveis para pessoas não autorizadas, é
conhecida como codificação. A desencriptação é a operação que reverte estes dados
ao formato original, permitindo assim a sua leitura [...]”.

Figura 1 | Esquema de uma chave assimétrica

Fonte: elaborada pelo autor.

As chaves criptográficas mais comuns são:

Criptografia hash;

Chaves simétricas;

Chaves assimétricas;

Combinação dos tipos.

A respeito das chaves, a criptografia pode ser simétrica, assimétrica ou até mesmo
uma mistura das duas. Se for definida como assimétrica ou chave pública, utiliza duas
chaves: a primeira, denominada chave de encriptação (chave pública), e a segunda,
destinada aà desencriptação (chave privada). As duas chaves são diferentes. De
acordo com Barreto (2018, p. 30),

Assim, temos que a encriptação utiliza a chave "k1" em cima da

mensagem em texto legível e a partir deste irá gerar um texto ilegível.
Após isso, no processo de descriptografia, é utilizada a chave "k2" em
cima do texto codificado e teremos como resposta o texto
descodificado.

Sendo um sistema de duas chaves, a pública tem tal designação devido ao fato de ser
conhecida a todos, além de sua função de codificar o texto. O quadro a seguir
apresenta maiores detalhes sobre essa chave assimétrica.
 Quadro 1 | Chaves públicas e privadas

Função da chave Tipo da chave De quem?

Criptografar os dados para um destinatário Pública Do destinatário

Assinar a mensagem Privada Do remetente

Descriptografar os dados para ler a mensagem Privada Do destinatário

Verificar a assinatura da mensagem Privada Do destinatário

Fonte: adaptado de Amaro (2009 apud Barreto, 2018, p. 31).

Existe o fator custo a se considerar quando a escolha for a assimétrica: o custo

operacional é maior do que quando se utiliza uma chave simétrica. Isso passa a ser
uma preocupação devido à necessidade de se manter uma chave que costuma ter
tamanho (número de caracteres) maior do que uma chave simétrica.

Claro que o tamanho da chave depende também de qual algoritmo é usado para
criptografar. De acordo com Barreto (2018), o lado interessante desse modelo
simétrico está no fato de que qualquer usuário tem acesso à chave pública para o
envio de sua mensagem. Já a chave privada fica em segredo e só deve ser
disponibilizada para o usuário que tem o direito e a atribuição para conhecer o
correto teor da mensagem.

Figura 2 | Esquema de uma chave simétrica

Fonte: elaborada pelo autor.

O esquema da Figura 2 apresenta o funcionamento de uma chave simétrica. Os

algorítmicos de criptografia de chave única mais comuns são Data Encryption
Standard (DES) e Advanced Encryption Standard (AES). De acordo com Teixeira (2020),
o DES nasceu em 1977, por meio dos trabalhos realizados pelo National Bureau of
Standards, hoje National Institute of Standards and Technology (NIST), e representou
uma das primeiras tentativas de se criar um algoritmo criptografado e que ganhou
grande popularidade. O DES foi substituído pelo 3DES anos depois.
Já o AES ganhou vida em 2001 e, de acordo com Teixeira (2020), mostrou-se mais
rápido e mais seguro que o DES. A motivação para seu desenvolvimento seria de
oferecer uma alternativa que superasse algumas das falhas do antecessor. Além do
DES e do AES, são também algoritmos sintéticos IDEA, Blowfish, Twofish, Serpent,
CAST-128 e RC4.

Criptografia simétrica pode ser referida como a criptografia da chave secreta, ou por
nomes como encriptação convencional ou encriptação de chave única, o que já indica
que se trata de uma forma mais simples de criptografia, ou seja, utiliza apenas uma
forma de processar uma mensagem.

VIDEOAULA: OS PRINCIPAIS TIPOS DE CRIPTOGRAFIA

No vídeo do Bloco 2 trataremos da importância de compreender as situações em que
se deve aplicar uma chave simétrica ou uma chave assimétrica. Na sequência,
apresentaremos alguns exemplos comparativos entre as chaves assimétricas e
simétricas, ressaltando os pontos fortes e fracos de cada situação.

Videoaula: Os principais tipos de criptografia

Para visualizar o objeto, acesse seu material digital.

A DIFERENCIAÇÃO DAS CRIPTOGRAFIAS SIMÉTRICA E

ASSIMÉTRICA
A criptografia auxilia na defesa dos sistemas contra acessos ilegais que possam
comprometer dados corporativos, pois são responsáveis por validar informações e
acessos. Os algoritmos trabalham com as chaves e possuem seu nível de segurança
atrelado ao tamanho da chave utilizada.

Dentro do processo de criptografia, os algoritmos são responsáveis por gerar a chave

capaz de encriptar a informação, portanto, ser assimétrica ou simétrica representa a
maneira com a qual a chave será empregada no sistema.

Embora coexistam em alguns ambientes, a criptografia assimétrica surgiu como uma

alternativa à simétrica, pois foi capaz de solucionar algumas de suas deficiências,
principalmente as ligadas ao gerenciamento das chaves e sua distribuição, como
apresenta Teixeira (2020, p. 43) no quadro a seguir.

Quadro 2 | Comparação de criptografias

Criptografia simétrica Criptografia assimétrica

Processamento Rápido Lento

Distribuição das chaves Complexa Simples

 Criptografia simétrica Criptografia assimétrica

Assinatura digital Não oferece Oferece

Fonte: Teixeira (2020, p. 43).

De acordo com o quadro, podemos notar que existe maior velocidade nos
algorítmicos que utilizam criptografia simétrica, embora os que usam a assimétrica
são lentos, mas mais seguros. Além disso, a assimétrica também demanda maior
poder de processamento do que a outra. Apesar desses fatos, para Teixeira (2020),
com a criptografia assimétrica existe um melhor e consideravelmente simplificado
processo de gerenciamento e de distribuição das chaves, o que previne que o emissor
e o receptor se unam antecipadamente e compartilhem suas chaves. Essa
proximidade ajuda na melhor confidencialidade dos dados e auxilia no
desenvolvimento das assinaturas digitais.

A tecnologia criptográfica se beneficia da criação de um sistema capaz de unir o

melhor que cada modelo tem a oferecer, ou seja, considera as melhores
características de uma criptografia assimétrica e une com o melhor do desempenho
da simétrica, conforme defende Teixeira (2020), ao afirmar que a diversidade das
características fez com que um modelo fosse criado aproveitando o melhor de cada
um dos anteriores, ou seja, com a rapidez do ciframento sintético, mas com a
distribuição de assinaturas e chaves a moda do tipo assimétrico.

O comprimento das chaves também é visto como fonte de diferenciação entre seus
modelos simétrico e assimétrico, e trata-se de uma diferença funcional entre as
chaves, tendo relação com o número de bits que, por sua vez determina o quão
segura é a chave fornecida pelo algoritmo.

Desta forma, se a criptografia for simétrica, a chave por ela gerada é aleatória e
composta por uma palavra de 128 a 256 bits de comprimento, dependendo da
exigência de segurança. Para a assimétrica, por existirem duas chaves, o sistema deve
ser construído em volta de uma relação matemática, ou seja, é necessário que haja
um padrão entre as duas chaves.

A existência da relação matemática entre ambas as chaves no modelo assimétrico

apresenta um problema: o risco de ser um fator utilizado pelos hackers como
vulnerabilidade, por isso tais chaves são geralmente maiores que as simétricas. Em
termos numéricos, se uma chave apresenta 128 bits em seu modelo simétrico, deve
apresentar ao menos 2.048 bits se for feita assimetricamente com o mesmo nível de
segurança como comparativo.
VIDEOAULA: A DIFERENCIAÇÃO DAS CRIPTOGRAFIAS SIMÉTRICA
E ASSIMÉTRICA
No vídeo do bloco 3 abordaremos um aspecto importante da segurança: a
possibilidade de um sistema protegido por criptografia sofrer ataques de hackers em
suas chaves. Será tratada a forma com que as chaves criptográficas podem ser
atacadas por hackers e de que forma a segurança dos sistemas pode ser aprimorada.

Videoaula: A diferenciação das criptografias simétrica e assimétrica

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
Estudante, a empresa StarLab Testes Inteligentes está expandindo suas operações em
diversos países e, com isso, terá ao todo cinco laboratórios localizados nos Estados
Unidos, Japão, Inglaterra, Espanha e Portugal. A organização entende que tal operação
demanda o uso da computação em nuvem e, mesmo com toda segurança envolvida
na sua migração, teme pela segurança dos dados dos testes laboratoriais que realiza.

Então, a empresa contratou você, estudante, como consultor de cibersegurança e

estabeleceu alguns critérios: dada a criticidade dos dados que circularão entre os
diferentes servidores e redes espalhados, a criptográfica deve proteger e coordenar
tanto quem acessa os dados e quando como os dados devem ser restritos a quem
necessita deles para a confecção de laudo médico, por exemplo. A empresa demanda
que o gerenciamento de senhas e de usuários seja de elevada qualidade e segurança.

Apresente uma abordagem que use a criptografia para a autenticação de usuário e

proteção de dados que seja segura e confiável, dentro dos requisitos estabelecidos
pela companhia. Lembre-se de que a abordagem deve prever a segurança do acesso
dos consumidores finais, os pacientes.

RESOLUÇÃO DO ESTUDO DE CASO

Para que o laboratório tenha sucesso na expansão de sua atividade em outros países
e mantenha os dados dos testes seguros, mesmo sendo realizados e enviados por
meio da nuvem, é necessário investir em criptografia. Ela deve ser aplicada em dois
momentos: na criação dos perfis de usuário, limitando a informação a quem necessita
e gerenciando a criação e a atualização dos usuários que acessarão o sistema, além
de uma criptografia que proteja os dados contra vazamentos.

Para os usuários finais, ou seja, os pacientes que realizam exames com a empresa,
uma solução pode ser o uso dos OTP’s, ou one-time password, as senhas de uso
único. Para grande parte da equipe, uma possibilidade de elevada segurança é o uso
de tokens gerenciáveis e rastreáveis, que podem ser atribuídos a usuários ou a partes
de um software ou de um grupos de dados.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Complementando o que foi discutido nesta aula, recomendamos o interessante
vídeo sobre a diferença entre as chaves criptográficas assimétricas e simétricas
com o pessoal do Canal Código Fonte TV, -por meio do link: https://bit.ly/3fE2wsX.

Um dos aplicativos mais utilizados na atualidade, de mensagens instantâneas, o

WhatsApp, apresenta uma sofisticada forma de manter seguras as mensagens de
seus milhões de usuários. Acesse o infográfico a seguir e entenda como funciona
o processo de criptografia de ponta a ponta do WhatsApp. Disponível em:
https://bit.ly/3KtQz7i.

Sobre a Criptografia RSA, recomendamos a leitura da dissertação defendida por

Gabrielle Eduarda Perissotto, mais precisamente o item 3, que apresenta os
métodos de pré-codificação, geração de chaves para essa metodologia. Disponível
em: https://bit.ly/3fLKF3f.

Aula 4

FUNÇÕES HASH
As funções hash possuem a capacidade de usar resumos de dados e validar
informações e senhas de acesso.
45 minutos

INTRODUÇÃO
À medida que se tem cada vez mais serviços importantes sendo realizados na
internet, temos um enorme crescimento no número de usuários e de transações
diariamente realizadas, o que atrai a ação de criminosos virtuais.

Nesse contexto, existem as funções hash, responsáveis por criar o hash, cuja
capacidade de usar resumos de dados e validar informações e senhas de acesso tem
lhe concedido uma grande fama de promotor da segurança cibernética. Nesta aula
trataremos de como são criadas as funções hash e de como aprimoram a segurança.
OS PRINCIPAIS CONCEITOS DAS FUNÇÕES HASH
As funções hash são mais conhecidas pelo seu produto, o hash, que representa
grande parte da segurança dentro da blockchain, a tecnologia de validação de dados
utilizada nas moedas digitais, as criptomoedas. A função hash atua na aceleração do
processo de criptografia, pois faz seu trabalho com base em um resumo da
informação, e não dela inteira, o que poupa tempo e poder de processamento.

De acordo com Nogueira e Bodemüller Junior (2020, p. 39), a “[...] função resumo, ou
hash, é usada para construir uma pequena impressão digital de algum dado; se o
dado for alterado, então a impressão digital não será mais válida.”. Portanto, a função
hash é aplicada em variáveis quantidades de informação, embora o hash resultante
seja de tamanho fixo.

Por se tratar de uma tecnologia muitas vezes atrelada à segurança (tal como nas
transações de criptomoeda), o hash resultante não permite engenharia reversa, ou
seja, impede que um processamento inverso revele a informação original. Portanto,
se algo na informação original for alterado, o hash também é modificado.

A seguir, na Figura 1, temos um exemplo de aplicação dessa função em um processo

de busca. Perceba que se trata de uma lista telefônica onde o número de algumas
pessoas está sendo pesquisado. Nesse tipo de pesquisa trabalha-se com resumos da
informação, ou seja, a pesquisa que determinará em qual posição está o número de
telefone desejado será feita no resumo, não na lista inteira.

Figura 1 | Função hash aplicada em uma busca

Fonte: elaborada pelo autor.

O diagrama apresenta um termo novo, o bucket, que nas funções hash representa o
local onde determinado dado está localizado na tabela que contém os dados
correspondentes. Vale ressaltar que um bucket pode conter vários registros.
O hash tem grande importância nas transações de criptomoedas porque é capaz de
oferecer uma chave que não pode ser modificada ou excluída, o que permite que a
identidade do emissor da mensagem seja validada. Para Stallings (2017 apud AMO;
PICHETTI, 2021, p. 166), temos que a função hash (H) funciona por meio de uma
entrada de um bloco de dados (M), de comprimento variável, produzindo um hash (h)
de tamanho fixo, portanto, temos que esse processo pode ser representado pela
equação: h = H (M).

No entanto, o processo da função hash demanda informações adicionais, como a

quantidade total de bits do bloco de dados (M), representada pela letra L. Outra
informação é representada pela letra P, que se trata da variável que a função hash
pode solicitar para facilitar o cálculo, também denominado padding, ou
preenchimento, e que costuma ser somado à largura L do bloco M. De acordo com
Amo e Pichetti (2021), temos a mensagem entrando no processo da função hash para
ser transformada em um resumo, no valor de hash (h), com tamanho fixo predefinido.

Uma forma interessante de compreender o resultado de uma função hash, tal como
nos apresentam Hintzbergen et al. (2018 apud AMO; PICHETTI, 2021), assemelha-se ao
processo de misturar diferentes cores de titãs, pois ao misturar duas cores distintas,
como a cor branca e a preta, o resultado final é o cinza.

Quando se tem um hash, ou um balde de tinta cinza, não é mais possível separar os
elementos e construir de volta o texto original do hash, muito menos obter dois
baldes com as tintas preta e branca separadas. Desta forma, temos que a função hash
produz um cálculo irreversível.

VIDEOAULA: OS PRINCIPAIS CONCEITOS DAS FUNÇÕES HASH

Neste vídeo trataremos como a criptografia, os algoritmos e a função hash permitiram
o surgimento das criptomoedas e como atuam nelas. Portanto, vamos tratar do que é
o blockchain e sua relação com os hashes.

Videoaula: Os principais conceitos das funções hash

Para visualizar o objeto, acesse seu material digital.

COMO O CÓDIGO HASH É CONSTITUÍDO E PORQUE APRIMORA A

SEGURANÇA
Com um algoritmo hash, uma função matemática é aplicada ao bloco de dados,
dando origem a um conjunto de dados menor, aleatório e denominado hash. De
acordo com Barreto et al. (2018, p. 65), para que um dado seja transformado em hash,
é necessário usar uma função. Vale reforçar que, independentemente do tamanho do
bloco de dados que entra na função, o bloco de dados por ela gerado, o hash, terá
tamanho fixo, determinado pelo tipo de algoritmo sendo utilizado.
 Figura 2 | Algoritmo hash MD5 de 32 caracteres

Fonte: elaborada pelo autor.

A Figura 2 apresenta uma aplicação do algoritmo tipo MD5 ao texto exemplo “A

cotação do dólar deve recuar 25 pontos percentuais nos próximos dias.”, que resulta
em um texto criptografado com comprimento de 32 caracteres. Caso fosse aplicado
um texto menor, pois o da figura tem 71 caracteres com espaço, o resultado seria um
texto criptografado de 32 caracteres.

Embora exista muito desenvolvimento de algoritmos hash, a possibilidade de colisões

jamais será descartada. As colisões são situações em que uma função ou um
algoritmo pode gerar o mesmo resumo mesmo para blocos de dados diferentes.
Assim, temos, conforme defendem Barreto et al. (2018, p. 65), nenhuma das funções
hash existentes é livre de colisões, embora existam aqueles algoritmos que
apresentam uma taxa de colisão muito baixa.

A possibilidade de uma função hash produzir resumos idênticos a blocos de dados

distintos deve ser endereçada e resolvida, então, é preciso que seja construído um
método capaz de trabalhar com as eventuais colisões e que o faça independente da
função em uso.

Neste sentido, de acordo com Cabral e Caprino (2015 apud BARRETO et al., 2018), os
algoritmos hash mais utilizados possuem comprimento de palavra na ordem de 16 a
128 bits, sendo os mais populares das famílias MD e SHA. O quadro a seguir
apresenta uma breve descrição destes algoritmos.

Quadro 1 | Os algoritmos da função hash

Algoritmo O algoritmo MD5 consiste em uma função hash de dispersão

MD5 criptográfica unidirecional que gera resumos de 128 bits. É muito
utilizado para a verificação da integridade de arquivos baixados da
internet e também para a verificação de login de usuários. Esse
algoritmo foi desenvolvido pela RSA Data Security em 1991 e tem a
característica de ser unidirecional, ou seja, um hash gerado por um
algoritmo MD5 não pode ser transformado novamente no dado
original.

Algoritmo O algoritmo MD6 surgiu em 2008 como uma atualização do MD5, pois
MD6 trabalha com hash de 224, 256, 384 e até 512 bits.
 Algoritmo O algoritmo SHA-0 (Secure Hash Algorithm, ou algoritmo de dispersão
SHA-0 seguro) foi o primeiro da família SHA, publicado pelo National
Institute of Standards and Technology (NIST), e é baseado no MD5.

Algoritmo O algoritmo SHA-1 também foi publicado pelo NIST, em 1995, tendo
SHA-1 um valor de dispersão de 20 bytes, ou 160 bits. Apesar de ser muito
semelhante ao SHA-0, ele resolve os problemas de segurança
atribuídos ao seu antecessor.

Algoritmo A Agência de Segurança Nacional dos EUA criou o algoritmo SHA-2 e

SHA-2 ainda não foram relatados problemas de segurança nele, apesar de
ser semelhante ao SHA-1. Esse algoritmo trabalha com resumos de
224, 256, 384 e 512 bits.

Algoritmo O algoritmo SHA-3 surgiu em 2007 com a proposta de substituir os

SHA-3 algoritmos SHA-1 e SHA-2, e foi liberado para domínio público em
2015.

Fonte: adaptado de Barreto et al. (2018, p. 65).

A velocidade de criptografia oferecida por um algoritmo indica limitações de sua

aplicação. Algoritmos rápidos como o MD5, por exemplo, também são rapidamente
quebrados, o que os torna inviável em aplicações como no controle de senhas, ao
passo de que um algoritmo como o PBKDF2 (Password-Based Key Derivation Function)
é considerado um fortalecedor de senhas altamente configurável e propositalmente
lento o suficiente para inviabilizar ataques como os de força bruta.

São diversas as aplicações dos algoritmos hash, e a mais conhecida e valorizada é

dentro do blockchains e da própria criptografia, pois é possível agilizar processos ao
resumir dados, e promover a confiabilidade de um sistema ao validar a integridade
dos dados.

VIDEOAULA: COMO O CÓDIGO HASH É CONSTITUÍDO E PORQUE

APRIMORA A SEGURANÇA
Neste vídeo, abordaremos as principais aplicações para algoritmos da função hash
para a verificação de integridade em arquivos, o salted hash para o armazenamento
de senhas e o proof of work ou prova de trabalho.

Videoaula: Como o código hash é constituído e porque aprimora a segurança

Para visualizar o objeto, acesse seu material digital.

OS TIPOS DE ATAQUES ÀS FUNÇÕES HASH
Uma das mais populares necessidades de tecnologias como as fórmulas matemáticas
e algoritmos hash é oferecer segurança para as transações financeiras que ocorrem
na internet. Neste sentido, conforme defendem Barreto et al. (2018), um exemplo
dessa aplicação dos algoritmos hash na segurança financeira das transações on-line é
o dígito verificador dos boletos bancários.

Figura 3 | Dígito verificador de boleto de pagamento

Fonte: elaborada pelo autor.

Nos boletos bancários, a criptografia, como na Figura 3, promove o cálculo do dígito

verificador pelos seus números anteriores de forma que seja único e demonstre que
esses números estão inalterados.

De maneira até simplificada, o que o algoritmo faz, usando ainda o exemplo do

boleto, é gerar um dígito verificador único, que só muda se o algoritmo que o gerou
também mudar. Quando o banco gera o boleto e ele é pago, o evento ocorreu pela
confirmação do dígito verificador, ou seja, o banco espera certo dígito verificador para
certo boleto, para concluir a transação solicitada.

Se o dígito verificador for alterado sem que a função ou o algoritmo tenha feito isso, a
transação demandada será rejeitada. Assim, de acordo com Barreto et al. (2018), a
simplicidade do hash depende do volume de caracteres encontrados no bloco de
informação que o gerou. Essa variação de comprimento e monitoramento significa
que os hashs de baixa complexidade são mais do que capazes de evitar ataques,
mesmo que se trate de um erro de digitação, de exclusão ou de alteração do
algoritmo.

Quadro 2 | Tipos de ataques ao hash

Ataque do Um dos ataques a algoritmos ou funções hash é chamado de

aniversário ataque do aniversário. É um tipo de ataque criptográfico contra a
matemática que está envolvida na teoria da probabilidade entre as
datas de aniversário.
 Ataque de Um ataque de força bruta pode também ser conhecido como um
força bruta ataque de busca de chave por exaustão. Elepode ser usado contra
quaisquer tipos de dados codificados, de qualquer tamanho, e é
utilizado normalmente como última opção do atacante, quando já
não há mais nenhuma vulnerabilidade a ser explorada e não há
nada mais fácil para ser empregado no ataque.

Ataque do O ataque do homem do meio (ou, em inglês, man in the middle) diz
homem do respeito ao indivíduo malicioso que faz a interceptação entre os
meio dados de origem e de destino. Aqui, os dados que são trocados
entre o remetente e o destinatário sofrem interceptação de
alguma maneira (são registrados e corrompidos ou alterados pelo
indivíduo malicioso) sem que as vítimas percebam que estão sendo
atacadas.

Ataque de Um ataque de pré-imagem em uma função hash envolve a

pré-imagem tentativa de achar um valor específico de hash como resultado da
função.

Ataque de O ataque de colisão é feito por meio da geração de uma colisão no

colisão resultado da aplicação de um algoritmo de hash. A colisão
acontece quando dados originais diferentes entre si geram como
resultado um hash igual.

Fonte: adaptado de Barreto et al. (2018, p. 70).

Em uma perspectiva de segurança de TI, os algoritmos hash são valiosos mecanismos

de segurança. Um exemplo de aplicação está na avaliação da obsolescência de
determinadas tecnologias.

VIDEOAULA: OS TIPOS DE ATAQUES ÀS FUNÇÕES HASH

Neste vídeo, trataremos como a função hash é importante a mineração das
criptomoedas. Neste vídeo abordaremos a definição do hash e sua dinâmica no
processo de aferição do desempenho de mineração.

Videoaula: Os tipos de ataques às funções hash

Para visualizar o objeto, acesse seu material digital.

ESTUDO DE CASO
A internet está oferecendo com sua nuvem uma vasta quantidade de aplicações que
atendem a empresas e a pessoas comuns. Com o aumento na oferta dos serviços em
nuvem, existe uma crescente necessidade de se criar usuários e senhas para ter
acesso a tais serviços.

Embora exista uma corrente nos grandes provedores de serviços em nuvem pela
busca por serviços integrados, plataformas e suítes que abrigam diversas aplicações e,
com isso, o usuário necessita de um único cadastro para acesso aos serviços, isso não
é regra. Desta forma, o usuário que precisa de muitos serviços na nuvem pode ter
dezenas de cadastros, usuários e senhas, além de ter várias formas de concentrar e
armazenas suas senhas, para não correr o risco de esquecê-las.

No entanto, o armazenamento de senhas é algo até pouco recomendado pelos

especialistas em cibersegurança, principalmente senhas de plataformas que lidam
com finanças como bancos e financeiras. Porém, com o avanço da criptografia, o
armazenamento de senhas deixa de ser um recurso perigoso e ganha opções de
aplicativos dos maiores desenvolvedores, como o Google.

Estudante, como recém-contratado para o cargo de coordenador de segurança de

uma conhecida empresa desenvolvedora de software, a direção necessita de sua
expertise para solucionar seu maior problema: a baixa segurança gerada por uma
política de segurança de senhas defasada.

Portanto, seu desafio é escolher um algoritmo que apresente as características que

torne viável sua aplicação em um sistema de armazenamento de senhas. O detalhe
está no desempenho do algoritmo perante o teste de ataque de força bruta, ou seja,
para ser considerado na aplicação a ser criada, o algoritmo deve resistir ao ataque no
tempo considerado viável para tal.

Entre os algoritmos que podem ser cogitados, há o MD5, MD6, SHA0, SHA1, SHA2,
SHA3 e PBKDF2 (mas também é possível utilizar outros). Além disso, as senhas devem
ter comprimento de no mínimo nove caracteres sendo letras, números e caracteres
especiais. O teste pode ser conduzido com o uso do hashcat.

RESOLUÇÃO DO ESTUDO DE CASO

Para resolver a proteção das senhas, complementa-se o fato de que elas, como
descrito na política de segurança de senhas da empresa, contêm nove dígitos.

A avaliação do algoritmo hash a ser utilizado em um sistema de armazenamento de

senhas leva em conta quanto tempo um ataque de força bruta tem sucesso para
revelar uma senha. Nesse sentido, para senhas de nove caracteres, a maioria dos
algoritmos será rápida em sucumbir, inclusive o MD5.
Portanto, algoritmos como o PBKDF2 são notoriamente lentos o suficiente para não se
tornarem um problema de segurança, principalmente quando utilizados em um
virtual wallet, uma carteira virtual que armazena as senhas dos aplicativos de um
usuário.

Resolução do Estudo de Caso

Para visualizar o objeto, acesse seu material digital.

 Saiba mais
Saber utilizar os diferentes recursos que a informática tem a oferecer será
sempre um destaque ao profissional atualizado. Neste sentido, embora seja
notório o uso da criptografia na cibersegurança, é preciso compreender como
fazer bom uso do hash. Assim, recomendamos o vídeo do canal Daniel Donda
que aborda exatamente isso: a computação forense e o hash, que você pode
assistir pelo link: https://bit.ly/3GY7EUI.

Outra dica importante está em conhecer melhor o que representa a

blockchain, que depende das funções hash e que vai muito além de seu
importante uso na segurança das transações das criptomoedas, como Pedro
Belisário trabalha em seu artigo disponível em: https://bit.ly/33AU7UP.

A IBM apresenta um artigo interessante e informativo sobre o que é a

tecnologia blockchain. Você pode conferir o artigo e solicitar o download do
livro Blockchain for Dummies por meio do link: https://ibm.co/3tFo4xH.

REFERÊNCIAS
2 minutos

Aula 1
BARRETO, J. dos S. et al. Fundamentos de segurança da informação. Porto Alegre:
SAGAH, 2018.

CGI.br - Comitê Gestor da Internet no Brasil. Segurança digital: uma análise da gestão
de riscos em empresas brasileiras. São Paulo: Núcleo de Informação e Coordenação
do Ponto BR, 2020. Disponível em: https://bit.ly/3FIXcz2. Acesso em: 20 ago. 2021.

COUTO, J. C. P. Auditoria de cibersegurança: um caso de estudo. 2018. Disponível

em: https://bit.ly/3GVVbko. Acesso em: 20 ago. 2021.
FONTES, E. L. G. Segurança da informação: o usuário faz a diferença. São Paulo:
Saraiva, 2017.

FORNASIER, M. de O.; SPINATO, T. P.; RIBEIRO, F. L.. Ransomware e cibersegurança:

a informação ameaçada por ataques a dados. 2020. Disponível em:
https://bit.ly/3GJUB9D. Acesso em: 29 set. 2021.

NOGUEIRA, R. R.; BODEMÜLLER JUNIOR, R.. Segurança em tecnologia da

informação. Indaial: UNIASSELVI, 2020.

Aula 2
BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah,
2018.

VALENTIM, M. L. P.; ANÇANELLO, J. V. Análise de conceitos sobre valor da

Informação no âmbito da ciência da Informação. Disponível em:
https://bit.ly/3FKh7xN. Acesso em: 24 out. 2021.

Aula 3
BARRETO, J. dos S. Fundamentos de segurança da informação. Porto Alegre: Sagah,
2018.

NAKAMURA, E. T. Sistema de informação: medidas de segurança. Londrina: Editora e

Distribuidora Educacional S.A., 2016.

TEIXEIRA, M. A. F. Números inteiros e criptografia RSA. Rio Claro, 2020. Disponível

em: https://bit.ly/3qIN6dn. Acesso em: 28 ago. 2021.

Aula 4
AMO, G. G. de; PICHETTI, R. F. Criptografia e segurança. Indaial: UNIASSELVI, 2021.

BARRETO, J. dos S. et al. Fundamentos de segurança da informação. Porto Alegre:

SAGAH, 2018.

NOGUEIRA, R. R.; BODEMÜLLER JUNIOR, R. Segurança em tecnologia da informação.

Indaial: UNIASSELVI, 2020.