Você está na página 1de 19

PLISHING Em computao, phishing uma forma de fraude eletrnica, caracterizada por tentativas de adquirir fotos e msicas e outros dados

s pessoais , ao se fazer passar como uma pessoa confivel ou uma empresa enviando uma comunicao eletrnica oficial. Isto ocorre de vrias maneiras, principalmente por email, mensagem instantnea, SMS, dentre outros.

ndice
[esconder]

1 Tipos de ataques de Phishing Scam o 1.1 Ataque ao Servidor DNS o 1.2 URLs Falsas o 1.3 Formulrios HTML Falsos em E-mails 2 Um breve histrico 3 Tipos de mensagens eletrnicas utilizadas o 3.1 Email o 3.2 Spear Phishing o 3.3 Fraude 419 o 3.4 iPhishing o 3.5 Vishing Scam o 3.6 Por Mensageiros Instantneos o 3.7 Sites de Relacionamento 4 Como essas pessoas atuam? o 4.1 Etapas do processo tradicional 5 Tipos de Furtos o 5.1 Furto de identidade o 5.2 Furto de informaes bancrias 6 Dicas para se proteger o 6.1 Alguns cuidados ao ler e-mail 6.1.1 Verifique o remetente do email 6.1.2 No baixe e nem execute arquivos no solicitados o 6.2 Tpicos de segurana na Internet 6.2.1 Certifique-se de ter um antivrus atualizado no seu computador 6.2.2 Certifique-se que o seu Windows (caso voc use o Windows) esteja atualizado 6.2.3 Certifique-se de ter um firewall habilitado 7 Referncias

[editar] Tipos de ataques de Phishing Scam


Um Phishing pode ser realizado de diversas maneiras. As mais comuns so:

[editar] Ataque ao Servidor DNS

Ataque baseado na tcnica "DNS cache poisoning", ou envenenamento de cache DNS, que consiste em corromper o DNS (Sistema de nomes de domnio) em uma rede de computadores, fazendo com que a URL (localizador uniforme de recursos ou endereo www) de um site passe a apontar para um servidor diferente do original. Ao digitar a URL(endereo) do site que deseja acessar, um banco por exemplo, o servidor DNS converte o endereo em um nmero IP, correspondente ao do servidor do banco. Se o servidor DNS estiver vulnervel a um ataque de Pharming, o endereo poder apontar para uma pgina falsa hospedada em outro servidor com outro endereo IP, que esteja sob controle de um golpista.

[editar] URLs Falsas


Uma outra maneira a criao de URLs extensas que dificultam a identificao por parte do usurio. Um exemplo simples pode ser: secure.nomedoseubanco.com.br/internetbanking/eud=651656JFYDHJJUHGRedirectto: maisalgumacoisa.dominiofalso.com Onde o usurio pode diretamente olhar o incio da URL e acreditar que est na regio segura do site do seu banco, enquanto que na verdade est em um subdomnio do website dominiofalso.com.

[editar] Formulrios HTML Falsos em E-mails


Outra tcnica menos frequente a utilizao de formulrios em emails com formatao HTML. Com isso, um usurio incauto pode diretamente no seu email incluir as informaes requeridas pelo atacante, e com isso, o mesmo nem precisa se preocupar com a clonagem da interface do banco. As buscas por essas informaes sensveis crescem com o aumento da possibilidade de realizar as mais diversas tarefas no conforto do lar. Isso pode trazer a uma grande massa de internautas a ilusria sensao de segurana. Diz-se ilusria pois, uma vez que a internet uma tendncia globalizada, no menos do que esperada a presena de criminosos. Aproveitando-se da desateno de certos usurios, indivduos maliciosos desenvolvem e pem prtica mtodos cada vez mais sofisticados para cometer aes ilcitas. Alguns destes mtodos, contudo, se destacam por sua eficcia e rendimento, e dentre estes, podemos citar, certamente, o ataque de Phishing Scam.

[editar] Um breve histrico


O termo Phishing relativamente novo, e sua criao data de meados de 1996, por crackers que praticavam roubo de contas da America Online (AOL), fraudando senhas de usurios. Sua primeira meno pblica ocorreu no grupo blackhat alt.2600, em 28 de Janeiro do mesmo ano de sua criao, feita pelo usurio mk590, que dizia: "O que acontece que antigamente, podia-se fazer uma conta falsa na AOL, uma vez que se tivesse um gerador de cartes de crdito. Porm, a AOL foi esperta. Agora, aps digitar-se os dados do carto, feita uma verificao com o respectivo banco. Algum mais conhece outra maneira de adquirir uma conta que no seja atravs de Phishing?"

Apenas um ano depois, em 1997, o termo foi citado na mdia. Neste mesmo ano, os phishs (contas hackeadas) j eram utilizados como moeda no mundo hacker, e podia-se facilmente trocar 10 phishs da AOL por uma parte de um software malicioso. O Phishing, antigamente utilizado para roubar contas de usurios da America Online, hoje tem aplicaes muito maiores e obscuras, como por exemplo, o roubo de dinheiro de contas bancrias.

[editar] Tipos de mensagens eletrnicas utilizadas


[editar] Email
Um estelionatrio envia e-mails falsos forjando a identidade de entidades populares consideradas confiveis, tais como sites de entretenimento, bancos, empresas de carto de crdito, lojas, rgos governamentais etc. Geralmente, as mensagens so enviadas para milhes de endereos de e-mail que foram previamente coletados na Internet. A entrega dos e-mails, normalmente, feita por computadores que esto sob o controle de pessoas mal intencionadas e incluem principalmente servidores de e-mail mal configurados e computadores com conexo banda larga infectados com cavalos de tria propositadamente desenvolvidos para permitir o envio de e-mail em massa.

[editar] Spear Phishing


Spear Phishing traduz-se como um ataque de Phishing altamente focalizado. um tipo de ataque que exige toda uma etapa de minuciosa pesquisa por parte dos atacantes, alm de muita pacincia. Correlacionando ao nome Phishing, sua denominao pode ser entendida como algo semelhante pesca com arpo. Neste tipo de ataque, o atacante estabelece seu alvo (geralmente uma empresa/departamento desta, podendo incluir ainda universidades, instituies governamentais, dentre outras). Logo em seguida, inicia a etapa na qual o phisher sonda informaes bsicas de diferentes funcionrios. Aqui, explora-se uma grande falha humana: A incapacidade de avaliar corretamente a sensibilidade de uma informao. Enquanto sozinha, esta informao pode no significar muito, mas em conjunto, se inteligentemente utilizada pelo atacante, pode garantir-lhe conhecimento suficiente para assimilar a identidade de algum com mais poder na empresa.

[editar] Fraude 419


Criada por estudantes universitrios em meados de 1980, quando a economia petrolfera da Nigria estava em crise, para manipular indivduos interessados no petrleo nigeriano. Eram inicialmente distribudos por cartas ou fax, mas com a popularizao do e-mail, este passou a ser o meio utilizado. Na verdade, h registros de que a fraude j existia previamente, datando de antes de 1588, quando redigiam-se cartas supostamente provenientes de prisioneiros de castelos espanhis, que prometiam compartilhar um tesouro com aquele que os enviasse dinheiro para subornar os guardas. Seu nome vem da seo 419 do cdigo penal nigeriano, que tipifica atividades fraudulentas. O e-mail proveniente de indivduos que dizem ser do Banco Central da Nigria ou do Governo deste mesmo pas. Porm a fraude 419 no se resume a meramente um nico e-mail. Muito alm disso, um verdadeiro jogo, no qual o risco e as regras dependem das capacidades de persuaso do atacante. Vale frisar que neste caso, atacante pode ser

lido como uma verdadeira equipe de criminosos profissionais, que articula minuciosamente seus planos.

[editar] iPhishing
iPhishing a vertente que visa explorar vulnerabilidades conseqentes do avano excessivamente rpido da tecnologia, que acaba por deixar aspectos de segurana em segundo plano, dando lugar funcionalidade e ao design. O ataque pode ocorrer de algumas maneiras, mas podemos citar o envenenamento de DNS para exemplificar. Um servidor DNS, ou Domain Name System (Sistema de Nomes e Domnios) tem como funo traduzir nomes para IP's e IP's para nomes. Um envenenamento de DNS faz com que usurios sejam redirecionados para sites diferentes daqueles que desejavam alcanar. Devido a limitao de espao na tela de portteis como o iPhone, os usurios podem no conseguir ver toda a URL das pginas que visitam, tornando-se assim muito mais vulnerveis.

[editar] Vishing Scam


Como bem se sabe, o advento de novas tecnologias geralmente traz consigo a possibilidade de ser explorada pela natureza humana para ser utilizada maleficamente. A VoIP (Voice over IP), tecnologia desenvolvida para possibilitar comunicao telefnica atravs da rede baseando-se no Protocolo de Internet (IP), no se tornou uma exceo a regra. Uma vez que apresenta diversas vantagens sobre a telefonia convencional, como o fato de ser uma tecnologia de baixo custo, e, acrescentando-se ainda a possibilidade de mascarar o nmero de telefone que ser identificado pelo receptor, a VoIP configura-se como uma excelente oportunidade para indivduos maliciosos, que, percebendo-a, criaram uma nova vertente baseada no Phishing Scam tradicional: O Vishing Scam. Ataques de Vishing Scam so geralmente propagados atravs de mensagens de texto (SMS), e-mails ou at mesmo mensagens de voz, e seu procedimento assemelha-se em muito ao do Phishing Scam tradicional. Um estelionatrio envia mensagens SMS falsas fingindo ser uma instituao de confiana. Estas mensagens pedem normalmente respostas com dados como carto de crdito e senhas, ou at mesmo que a pessoa retorne a ligao para um certo nmero e fale com um atendente golpista. As justificativas dadas para se efetuar a ligao variam, mas dentre as mais comuns delas podemos citar, por exemplo, a ocorrncia de possveis atividades fraudulentas na conta bancria que levaram suspenso da mesma.

[editar] Por Mensageiros Instantneos


Como uma das principais formas de comunicao no mundo atual, os mensageiros instantneos esto longe de estarem isentos dos perigos do Phishing. Na verdade, podese dizer que um dos terrenos mais frteis para a proliferao deste ataque, devido a alguns fatores, a serem aqui citados. O primeiro destes fatores o tipo de comunicao que geralmente se estabelece em mensageiros instantneos. uma comunicao mais informal, entre indivduos que geralmente se conhecem ou so at mesmo grandes amigos. Todo este ambiente familiar traz uma maior sensao de segurana, fazendo com que os cuidados sejam reduzidos, at porque em muitas vezes o remetente da mensagem um amigo de confiana que foi, contudo, infectado por um malware que est distribuindo a mensagem atravs de sua rede de contatos. Em segundo lugar, podemos citar a velocidade (em tempo real) e grande quantidade de conversas

estabelecidas simultaneamente. Estando o usurio perdido em tantas conversas, nas quais a troca de URL's comum e constante, uma URL maliciosa tem maiores chances de passar despercebida. Alm disso, a maior percentagem de usurios deste tipo de software engloba leigos em geral, crianas e adolescentes, que muitas vezes no possuem a capacidade de discernir entre mensagens autnticas e maliciosas, acabando por acessar portais maliciosos e/ou efetuar o download de malwares sem ter notcia de tal. Este fato agrava-se caso o computador seja compartilhado com outros que possam vir a efetuar possveis transaes bancrias (ou aes de importncia equivalente) nesta mesma mquina, uma vez que pode estar infectada por keyloggers. Fatores humanos somam-se a periculosidade do ataque de Phishing Scam, tornando este vetor possivelmente mais ameaador que e-mails.

[editar] Sites de Relacionamento


Assim como no caso dos mensageiros instantneos, os sites de relacionamento so, por assim dizer, ambientes virtuais mais descontrados que, por exemplo, uma caixa de emails, e novamente tem-se uma reduo na cautela. No assemelha-se apenas neste ponto: Alm disto, na maior parte das vezes o remetente da mensagem algum amigo de confiana, possivelmenteinfectado por um malware. Por se tratar de uma rede onde circulam fotografias, informaes da vida alheia, e onde estabelecem-se paralelos com o mundo real, so estes os pontos que os phishers exploram. As possibilidades so inesgotveis: os atacantes indicam a existncia de uma foto da vtima circulando pela rede, de uma comunidade difamando-a, ou de um vdeo que deveria ser assistido, dentre outros. Os sites de relacionamento so um terreno frtil para phishings, pois nas pginas de recados, alm da disseminao de links ser normal, so de acesso pblico (se no forem definidos como privados), e h a possibilidade de fisgar outros usurios que naveguem pela rede. Devido desenfreada incluso digital, temos nestes, ainda, muitos usurios leigos, completamente vulnerveis, passveis de serem facilmente fraudados.

[editar] Como essas pessoas atuam?


Os Phishers adotam diversos vetores para distribuir seus ataques, indo do massivo envio de mensagens conhecido como Spam, at ataques altamente focalizados, conhecidos como Spear Phishing. De qualquer modo, os ataques tm nvel razoavelmente alto de sucesso, ultrapassando os 5%, de acordo com o Anti-Phishing Working Group.

[editar] Etapas do processo tradicional


1) Fase de planejamento (Fase inicial): Nesta fase, o atacante escolhe seu alvo, define o objetivo do ataque, de que artimanhas vai se valer e o mtodo a utilizar. 2) Fase de preparao: Nesta fase, elabora-se todo o material a ser utilizado, como emails, websites falsos, dentre outros. Obtm-se informaes sobre o alvo, prepara toda a parte eletrnica a ser utilizada no ataque e, no caso de atacantes mais experientes, eleva seu nvel deocultao.

3) Fase de ataque: Na fase de ataque, o atacante utiliza a via pela qual optou na fase de planejamento. O ataque pode ocorrer:

Via e-mail; Via website; Via mensageiros instantneos; Via VoIP; Via malware;

4) Fase de coleta: Nesta fase, ocorre a coleta dos dados obtidos com o ataque. Dados inseridos em pginas web previamente preparadas para o ataque, em respostas das mensagens disparadas ou capturadas por malwares. 5) Fase da fraude: Fase onde ocorre a fraude propriamente dita. Nesta fase, h o roubo de dinheiro, de informaes sensveis, apropriao da identidade alheia para cometer outros delitos,vend-las a quem interesse ou utilizar em um segundo ataque em busca do objetivo definido na fase inicial. 6) Fase ps-ataque: Nesta fase ocorre o desligamento das mquinas utilizadas, e a destruio das evidncias. H ainda a avaliao da efetividade e possivelmente lavagem do dinheiro adquirido (no caso de t-lo sido).

[editar] Tipos de Furtos


[editar] Furto de identidade
Uma tcnica popular o furto de identidade via e-mail. Estelionatrios enviam e-mails tentando persuadir os receptores a fornecer dados pessoais sensveis, tais como nome completo, endereo, nome da me, nmero da segurana social, cartes de crdito, nmeros de conta bancria, entre outros. Se captados, esses dados podem ser usados para obter vantagens financeiras ilcitas. A identidade usada nessas mensagens, geralmente, de rgos governamentais, bancos e empresas de carto de crdito. No corpo da mensagem, normalmente, existem ligaes que apontam para stios falsos, normalmente muito parecidos com os stios verdadeiros, onde existem formulrios que a vtima deve preencher com as informaes solicitadas. O contedo preenchido no formulrio enviado ao estelionatrio.

[editar] Furto de informaes bancrias


A forma de persuaso semelhante do furto de identidade, porm a mensagem recebida contm ligaes que apontam pra stios que contm programas de computador que, se instalados, podem permitir a captura de informaes, principalmente nmeros de conta e senhas bancrias. A instalao desses programas , na maioria absoluta dos casos, feita manualmente pelo usurio. Tecnicamente, pode existir a possibilidade da instalao automtica desses programas apenas pela leitura da mensagem, mas isso depende de uma combinao de muitos fatores, que raramente acontece (e que no vale a pena ser explicada aqui). No Brasil, o phishing via e-mail no vem apenas com o nome de entidades famosas. So usados diversos tipos de assuntos com o intuito de atrair a curiosidade e fazer com que o receptor da mensagem clique na ligao contida

junto ao corpo do e-mail. Na figura ao lado uma suposta admiradora secreta envia supostas fotos suas. Na verdade, a ligao no contm fotos, mas sim um arquivo executvel, que ao ser baixado e executado instala um cavalo de tria (trojan) bancrio no computador do usurio. Outro tema muito comum so os cartes virtuais. Eles so um bom chamariz, visto que comum as pessoas trocarem cartes virtuais via email.Os supostos cartes virtuais, normalmente, tm a sua identidade associada a de algum stio popular de cartes virtuais. Isso ajuda a tentativa de legitimar o golpe e tenta dar mais credibilidade farsa. A mensagem tem o mesmo formato e, geralmente, utiliza as imagens originais dos stios de cartes virtuais. Um detalhe em que o usurio deve prestar a ateno so os erros de gramtica que essas mensagens geralmente apresentam. Outro detalhe fundamental que ao clicar em ligaes contidas nessas mensagens quase sempre aberta uma janela para download de arquivo. Nenhum site srio de cartes requer que o usurio baixe qualquer arquivo!

[editar] Dicas para se proteger


[editar] Alguns cuidados ao ler e-mail
[editar] Verifique o remetente do email Desconfie de e-mails que no tenham um remetente conhecido. Ao receber e-mail de pessoas desconhecidas duplique o cuidado em relao s mensagens. Principalmente, pense duas vezes antes de clicar em qualquer ligao no contedo da mensagem. No acredite em ofertas milagrosas (do estilo "almoo grtis"). Tenha cuidado tambm com e-mails de um remetente conhecido. Caso o contedo do email contiver arquivos, links para outras pginas ou imagens, verifique com o remetente a autenticidade da mensagem. Facilmente golpistas podem falsificar sua identidade de remetente como alguem ou alguma instituio de confiana. [editar] No baixe e nem execute arquivos no solicitados Cavalos de tria e outros programas que capturam senhas so "no solicitados". Se algum conhecido enviar um arquivo que voc no pediu, verifique com a pessoa se ela realmente enviou o arquivo, e pergunte qual o contedo deste. Evite, ao mximo, executar programas. Programas que tm o nome do arquivo (a extenso) terminado em alguma dessas: .exe, .scr, .pif, .cmd, .com, .cpl, .bat, .vir entre outros, podem ser, em alguns casos, maliciosos.

[editar] Tpicos de segurana na Internet


[editar] Certifique-se de ter um antivrus atualizado no seu computador Programas antivrus podem ajud-lo filtrando possveis ameaas vindas por e-mail. Entretanto, lembre-se: voc a primeira linha de defesa! O programa antivrus a segunda linha. Os programas antivrus usam assinaturas determinsticas pra detectar programas maliciosos. As empresas de antivrus precisam primeiro receber um exemplar do vrus antes de prover uma assinatura e detect-lo. Geralmente, a freqncia

mdia de deteco dos vrus capturadores de senhas bancrias menor do que 90%[1], independente da empresa que os fornece. Ou seja, mesmo tendo um antivrus atualizado no garantido que o arquivo ser identificado e bloqueado. Mas um antivirus atualizado aumenta as chances de deteco desses programas. [editar] Certifique-se que o seu Windows (caso voc use o Windows) esteja atualizado Esse tpico no exatamente relacionado ao phishing ou a mensagens recebidas por email, mas um item importante de segurana em geral na Internet. Estar com as atualizaes automticas habilitadas no Windows ajuda a corrigir possveis falhas de segurana que possam existir, tornando o computador menos vulnervel a ataques. Principalmente, pode evitar a instalao de programas spyware, ad-ware entre outros. [editar] Certifique-se de ter um firewall habilitado Mais um item no relacionado a phishing, mas a segurana em geral. Ter um firewall instalado e habilitado bloqueia algumas tentativas de acesso externo ao computador tornando menos vulnervel a possveis ataques externos. Termos correlacionados, em ingls: Advanced Persistent Threat Anti-phishing software Certificate authority Computer hacking Confidence trick E-mail spoofing FBI In-session phishing Internet fraud Pharming SMiShing Social engineering Spy-phishing Vishing White collar crime Wire fraud

MIME
Origem: Wikipdia, a enciclopdia livre Extenses Multi funo para Mensagens de Internet (sigla MIME do ingls Multipurpose Internet Mail Extensions) uma norma da internet para o formato das mensagens de correio eletrnico. A grande maioria das mensagens de correio eletrnico so trocadas usando o protocolo SMTP e usam o formato MIME. As mensagens na Internet tem uma associao to estreita aos padres SMTP e MIME que algumas vezes so chamadas de mensagens SMTP/MIME.

ndice
[esconder]

1 Introduo 2 Cabealhos MIME o 2.1 Verso MIME o 2.2 Tipos de contedos

2.3 Codificao de contedo de transferncia 3 Palavra codificada 4 Exemplo de Multipart 5 Referncias 6 Ver tambm
o

7 Ligaes externas

[editar] Introduo
O protocolo bsico de transmisso de e-mail pela Internet, SMTP, suporta apenas 7-bit de caracteres ASCII. Isto limita as mensagens de emails, incluindo somente os caracteres usados na lngua inglesa. O MIME prov mecanismos para o envio de outros tipos de informaes por e-mail, incluindo caracteres no utilizados no idioma ingls, usando codificaes diferentes do ASCII, assim como formatos binrios contendo imagens, sons, filmes, e programas de computador. MIME tambm um componente fundamental de comunicao de protocolos como o HTTP, que requer que os dados sejam transmitidos em contextos semelhantes a mensagens de email, mesmo que o dado a ser transmitido no seja realmente um e-mail. O mapeamento de mensagens dentro e fora do formato MIME tipicamente utilizado pelos clientes de email ou pelos servidores de email quando enviam ou recebem emails via SMTP/MIME. O formato bsico de e-mail definido pela RFC 2822, que atualiza a verso RFC 822. Estes padres especificam os formatos familiares para o cabealho dos e-mails e o corpo e as regras que pertencem aos campos geralmente usados do cabealho como "Para:", "Assunto:", "De:", e "Data:". O MIME define uma coleo de cabealhos do e-mail para especificar atributos adicionais de uma mensagem incluindo o tipo de caracter do texto e dos arquivos (ficheiros) de transferncia que podem ser usados para representar dados binrios 8-bit usando caracteres de 7-bit ASCII. O MIME extensivo, as suas definies incluem mtodos para registrar novos contedos e valores. Os objetivos da definio do MIME no eram mudanas aos usurios de e-mail. Este objetivo conseguido permitindo que todos os atributos da mensagem do MIME sejam opcionais, com os valores padres que fazem uma mensagem no-MIME, provavelmente, capaz de ser interpretada corretamente por um cliente MIME.

[editar] Cabealhos MIME


[editar] Verso MIME
A presena deste cabealho indica que a mensagem tem o formato MIME. Tipicamente, o valor "1.0"; portanto, este cabealho aparece como

MIME-Version: 1.0

[editar] Tipos de contedos


Tipos de contedo so identificados no cabealho da mensagem ("header") como Content-Type, que indica o type (tipo) e subtype (subtipo) do contedo da mensagem, p. ex.:
Content-type: text/plain

A combinao de tipo e subtipo geralmente chamada MIME type, embora nas aplicaes mais modernas o Internet media type seja o termo favorito, indicando a sua aplicao fora das mensagens MIME. Um grande nmero de formatos de ficheiro registrou o MIME type. Qualquer tipo de texto tem um parmetro charset que pode ser includo para indicar a codificao de caracter. Uma grande quantidade de tipos de letra registraram nomes de charset MIME. Embora originalmente definido por MIME e-mail, o cabealho contedo-tipo e o tipo MIME de registro reutilizado em outros protocolos de Internet, como HTTP. O tipo de registro MIME administrado por IANA. Atravs do uso do tipo multipart, MIME permite mensagens com vrios tipos de construes em rvore, onde os ns da folha so qualquer tipo de mensagem multipart e os ns no-folha so alguma variante do tipo multipart. Veja alguns mecanismos suportados:

Textos simples usando text/plain (este o valor padro para o "Content-type:") Texto com arquivos (ficheiros) anexos (multipart/mixed com uma parte text/plain e outra no-textual). Uma mensagem MIME incluindo um arquivo anexo geralmente indicada o nome original do anexo no "Content-disposition:" dentro do cabealho. Respostas com anexos originais (multipart/mixed com uma parte text/plain e a mensagem original como um MIME message/rfc822) Contedo alternativo, usado quando uma mensagem enviada em texto simples e, por exemplo, um cliente de email a transforma em HTML para o destino, o MIME ser (multipart/alternative com o mesmo contedo do texto simples em text/plain mas o MIME transformado em text/html) Muitas outras construes de mensagens.

[editar] Codificao de contedo de transferncia


Codificao de contedo de transferncia so identificados como Content-TransferEncoding. MIME (RFC 2045) define uma gama de mtodos para a representao de dados binrios em formato texto ASCII. O content-transfer-encoding: no header indica o mtodo a ser utilizado. A RFC e a lista da IANA so quem define os tipos de codificaes de transferncia:

Uso apropriado com SMTP normal:

o o

7bit - acima de 998 octetos por linha na variao de [1..127] com CR e LF (cdigos 10 e 13) reservado somente para aparecer como a parte de uma linha final de CRLF. Este o valor padro. quoted-printable - usado para textos simples com caracteres US-ASCII. base64 - usado para dados binrios arbitrrios.

Uso apropriado com servidores SMTP que suportam transporte 8BITMIME: o 8bit - acima de 998 octetos por linha CR e LF (cdigos de 10 e 13) reservado somente para aparecer como a parte de uma linha final de CRLF. No apropriado para uso com SMTP: o binrio - seqncia de octetos. No usado com e-mails SMTP.

No h nenhuma codificao definida que projetada explicitamente para dados binrios arbitrrios com transporte 8BITMIME, assim a base64 ou quoted-printable so s vezes ainda utilizados.

[editar] Palavra codificada


Desde a RFC 2822, os nomes e valores dos headers das mensagens so sempre caracteres ASCII. Valores que contenham caracteres no-ASCII so denominados encoded-word pelo MIME, ficando com a sintaxe da RFC 2047 em vez da frase literal. Esta sintaxe usa a string de caracteres ASCII para indicar o tipo de codificao de caracter original, ou seja, o "charset" e o "content-transfer-encoding" usado para o mapa de bytes do charset dentro dos caracteres ASCII. A forma : "=?charset?encoding?encoded text?=".

O charset frequentemente utf-8, mas pode ser qualquer caracter registrado com a IANA. iso-2022-jp comum no Japo. iso-8859-1 e mais recentemente iso8859-15 so comuns no leste europeu. encoding pode ser um "Q" denotando a codificao da quoted-printable ou "B" que denota a codificao base64. encoded text (codificao do texto) o texto da "quoted-printable" ou de "base64-encoded".

Por exemplo,
Subject: =?utf-8?Q?=C2=A1Hola,=20se=C3=B1or!?=

interpretado como "Subject: Hola, seor!". O formato da palavra codificada ("encoded-word") no usado nos nomes do cabealho, somente no Subject: (Ttulo). Todo o texto do cabealho sempre escrito em Ingls . Quando a mensagem no est em ingls, o cabealho traduzido pelo cliente de e-mail.

[editar] Exemplo de Multipart

Um MIME com mensagem multipart contm um "boundary" (literalmente, um "limite") no "Content-type:" do header; este boundary, colocado entre as partes, no comeo e no fim do corpo da mensagem, como segue:
Content-type: multipart/mixed; boundary="frontier" MIME-version: 1.0frontier Content-type: text/plain Este o corpo da mensagem. --frontier Content-type: application/octet-stream Content-transfer-encoding: base64 gajwO4+n2Fy4FV3V7zD9awd7uG8/TITP/vIocxXnnf/5mjgQjcipBUL1b3uyLwAV tBLOP4nV LdIAhSzlZnyLAF8na0n7g6OSeej7aqIl3NIXCfxDsPsY6NQjSvV77j4hWEjlF/ag lS6ghfju FgRr+OX8QZMI1OmR4rUJUS7xgoknalqj3HJvaOpeb3CFlNI9VGZYz6H6zuQBOWZz NB8glwpCfrontier--

Criptografia
Criptografia (Do Grego krypts, "escondido", e grphein, "escrita") o estudo dos princpios e tcnicas pelas quais a informao pode ser transformada da sua forma original para outra ilegvel, de forma que possa ser conhecida apenas por seu destinatrio (detentor da "chave secreta"), o que a torna difcil de ser lida por algum no autorizado. Assim sendo, s o receptor da mensagem pode ler a informao com facilidade. um ramo da Matemtica, parte da Criptologia.[1] Nos dias atuais, onde grande parte dos dados digital, sendo representados por bits, o processo de criptografia basicamente feito por algoritmos que fazem o embaralhamento dos bits desses dados a partir de uma determinada chave ou par de chaves, dependendo do sistema criptogrfico escolhido De facto, o estudo da criptografia cobre bem mais do que apenas cifragem e decifragem. um ramo especializado da teoria da informao com muitas contribuies de outros campos da matemtica e do conhecimento, incluindo autores como Maquiavel, Sun Tzu e Karl von Clausewitz. A criptografia moderna basicamente formada pelo estudo dos algoritmos criptogrficos que podem ser implementados em computadores. O estudo das formas de esconder o significado de uma mensagem usando tcnicas de cifragem tem sido acompanhado pelo estudo das formas de conseguir ler a mensagem quando no se o destinatrio; este campo de estudo chamado criptoanlise.[2] Criptologia o campo que engloba a Criptografia e a Criptoanlise. As pessoas envolvidas neste trabalho, e na criptografia em geral, so chamados criptgrafos, criptlogos ou criptoanalistas, dependendo de suas funes especficas.

Termos relacionados criptografia so Esteganografia, Esteganlise, Cdigo, Criptoanlise e Criptologia. Alguns autores cunharam o termo Criptovirologia para se referir a vrus que contm e usam chaves pblicas.[3] A Esteganografia o estudo das tcnicas de ocultao de mensagens dentro de outras, diferentemente da Criptografia, que a altera de forma a tornar seu significado original ininteligvel. A Esteganografia no considerada parte da Criptologia, apesar de muitas vezes ser estudada em contextos semelhantes e pelos mesmos pesquisadores. A Esteganlise o equivalente a criptoanlise com relao Esteganografia.[4] Uma informao no-cifrada que enviada de uma pessoa (ou organizao) para outra chamada de "texto claro" (plaintext). Cifragem o processo de converso de um texto claro para um cdigo cifrado e decifragem o processo contrrio, de recuperar o texto original a partir de um texto cifrado. Diffie e Hellman revolucionaram os sistemas de criptografia existentes at 1976, a partir do desenvolvimento de um sistema de criptografia de chave pblica que foi aperfeioado por pesquisadores do MIT e deu origem ao algoritmo RSA.

ndice
[esconder]

1 Terminologia 2 Histria 3 Cifras e Cdigos o 3.1 Chave Criptogrfica 4 Viso geral: objetivos 5 Criptografia Clssica 6 Criptografia Moderna o 6.1 Criptografia Quntica 7 Alguns algoritmos e sistemas criptogrficos o 7.1 Funes de Hash criptogrfico, ou message digest' o 7.2 Sistemas Free/Open Source o 7.3 Algoritmos assimtricos ou de chave pblica o 7.4 Algoritmos simtricos 8 Referncias 9 Ligaes externas 10 Bibliografia 11 Ver tambm 12 Ligaes externas

[editar] Terminologia
O termo comumente usado para se referir a rea de estudo de forma abrangente, como criptologia ("o estudo dos segredos").

Durante muito tempo, o termo referiu-se exclusivamente cifragem, o processo de converter uma informao comum (texto claro ou aberto) em algo no-inteligvel; o qual chama-se texto cifrado. A decifragem a tarefa contrria, dado uma informao no-inteligvel convert-la em texto claro ou aberto. No uso coloquial, o termo "cdigo" usado para referir-se a qualquer mtodo de cifragem ou similar. Em criptografia, "cdigo" tem um significado mais especfico, refere-se a substituio de uma unidade significativa (i.e., o significado de uma palavra ou frase) pelo substituto equivalente. Cdigos no so mais usados na criptografia moderna, visto que o uso de cifras se tornou mais prtico e seguro, como tambm melhor adaptado aos computadores.

[editar] Histria
Antigamente, a cifragem era utilizada na troca de mensagens, sobretudo em assuntos ligados guerra (no intuito de o inimigo no descobrir a estratgia do emissor da mensagem, caso se apoderasse dela), ao amor (para que os segredos amorosos no fossem descobertos pelos familiares) e diplomacia (para que faces rivais no estragassem os planos de acordos diplomticos entre naes). O primeiro uso documentado da criptografia foi em torno de 1900 a.c., no Egito, quando um escriba usou hierglifos fora do padro numa inscrio. Entre 600 a.c. e 500 a.c., os hebreus utilizavam a cifra de substituio simples (de fcil reverso e fazendo uso de cifragem dupla para obter o texto original), sendo monoalfabtico e monogrmica (os caracteres so trocados um a um por outros), e com ela escreveram o Livro de Jeremias. O chamado "Codificador de Jlio Csar" ou "Cifra de Csar" que apresentava uma das tcnicas mais clssicas de criptografia, um exemplo de substituio que, simplesmente, substitui as letras do alfabeto avanando trs casas. O autor da cifragem trocava cada letra por outra situada a trs posies frente no alfabeto. Segundo o autor, esse algoritmo foi responsvel por enganar muitos inimigos do Imprio Romano; no entanto, aps ter sido descoberta a chave, como todas, perdeu sua funcionalidade. Em 1586, destacam-se os estudos de Blaise de Vigenre que constituram um mtodo muito interessante; a cifra de Vigenre que utiliza a substituio de letras. Tal processo consiste na seqncia de vrias cifras (como as de Csar) com diferentes valores de deslocamento alfanumrico. A partir desse perodo, Renascena, a criptologia comeou a ser seriamente estudada no Ocidente e, assim, diversas tcnicas foram utilizadas e os antigos cdigos monoalfabticos foram, aos poucos, sendo substitudos por polialfabticos. Dos anos 700 a 1200, so relatados incrveis estudos estatsticos, em que se destacam expoentes como al-Khalil, al-Kindi, Ibn Dunainir e Ibn Adlan, que marcaram sua poca. Na Idade Mdia, a civilizao rabe-islmica contribuiu muito para os processos criptogrficos, sobretudo quanto criptoanlise (anlise da codificao, a procura de padres que identificassem mensagens camufladas por cdigos). Na Idade Moderna, merecem destaque o holands Kerckhoff e o alemo Kasiski. Modernamente, em 1918, Arthur Scherbius desenvolveu uma mquina de criptografia

chamada Enigma, utilizada amplamente pela marinha de guerra alem em 1926, como a principal forma de comunicao. Em 1928, o exrcito alemo construiu uma verso conhecida como "Enigma G", que tinha como garantidor de segurana a troca peridica mensal de suas chaves. Essa mquina tinha como diferencial ser eltrico-mecnica, funcionando com trs (inicialmente) a oito rotores. Aparentava ser uma mquina de escrever, mas quando o usurio pressionava uma tecla, o rotor da esquerda avanava uma posio, provocando a rotao dos demais rotores direita, sendo que esse movimento dos rotores gerava diferentes combinaes de encriptao. Assim, a codificao da mensagem pelas mquinas "Enigma" era de muito difcil decodificao, uma vez que, para isso, era necessrio ter outra mquina dessas e saber qual a chave (esquema) utilizada para realizar a codificao. A Colossus surgiu do esforo de engenharia reversa das foras aliadas em decriptar as mensagens da marinha e do exrcito alemo, s logrando efetivo xito aps se ter conseguido uma mquina Enigma alem (furtada). Tais equipamentos foram, inicialmente, desenvolvidos como mquinas de decriptao, mas depois passaram a codificar mensagens das foras aliadas. Depois, surgiram outras mquinas fisicamente semelhantes Enigma (pareciam com antigas mquinas de escrever), porm foram aperfeioadas de forma a dificultar o mais possvel a decriptao por quem no as possusse. Devido aos esforos de guerra, a criptografia passou a ser largamente utilizada. Em 1948, Claude Elwood Shannon desenvolveu a Teoria Matemtica da Comunicao, que permitiu grandes desenvolvimentos nos padres de criptografia e na criptoanlise. Durante a chamada "Guerra Fria", entre Estados Unidos e Unio Sovitica, foram criados e utilizados diversos mtodos a fim de esconder mensagens a respeito de estratgias e operaes, criptografadas com diferentes mtodos e chaves. Alm dos avanos da criptografia, a criptoanlise se desenvolveu muito com os esforos de se descobrir padres e chaves, alm da diversidade dos canais de propagao das mensagens criptografadas. Desses esforos, surgiram diversos tipos de criptografia, tais como por chave simtrica, por chave assimtrica, por hash e at a chamada criptografia quntica, que se encontra, hoje, em desenvolvimento. Atualmente, a criptografia amplamente utilizada na WEB, em segurana a fim de autenticar os usurios para lhes fornecer acesso, na proteo de transaes financeiras e em comunicao.

[editar] Cifras e Cdigos


A cifra um ou mais algoritmos que cifram e decifram um texto. A operao do algoritmo costuma ter como parmetro uma chave criptogrfica. Tal parmetro costuma ser secreto (conhecido somente pelos comunicantes). A cifra pode ser conhecida, mas no a chave; assim como se entende o mecanismo de uma fechadura comum, mas no se pode abrir a porta sem uma chave real.

Na linguagem no-tcnica, um Cdigo secreto o mesmo que uma cifra. Porm, na linguagem especializada os dois conceitos so distintos. Um cdigo funciona manipulando o significado, normalmente pela substituio simples de palavras ou frases. Uma cifra, ao contrrio, trabalha na representao da mensagem (letras, grupos de letras ou, atualmente, bits). Por exemplo, um cdigo seria substituir a frase "Atacar imediatamente" por "Mickey Mouse". Uma cifra seria substituir essa frase por "sysvst ozrfosyszrmyr". No Dia D, por exemplo, as praias de desembarque no eram conhecidas pelo seu nome prprio, mas pelos seus cdigos (Omaha, Juno, etc.). Basicamente, cdigos no envolvem chave criptogrfica, apenas tabelas de substituio ou mecanismos semelhantes. Cdigos podem ser ento encarados como cifras cuja a chave o prprio conhecimento do mecanismo de funcionamento da cifra.

[editar] Chave Criptogrfica


Uma chave criptogrfica um valor secreto que modifica um algoritmo de encriptao. A fechadura da porta da frente da sua casa tem uma srie de pinos. Cada um desses pinos possui mltiplas posies possveis. Quando algum pe a chave na fechadura, cada um dos pinos movido para uma posio especfica. Se as posies ditadas pela chave so as que a fechadura precisa para ser aberta, ela abre, caso contrrio, no.

[editar] Viso geral: objetivos


A criptografia tem quatro objetivos principais: 1. confidencialidade da mensagem: s o destinatrio autorizado deve ser capaz de extrair o contedo da mensagem da sua forma cifrada. Alm disso, a obteno de informao sobre o contedo da mensagem (como uma distribuio estatstica de certos caracteres) no deve ser possvel, uma vez que, se o for, torna mais fcil a anlise criptogrfica. 2. integridade da mensagem: o destinatrio dever ser capaz de determinar se a mensagem foi alterada durante a transmisso. 3. autenticao do remetente: o destinatrio dever ser capaz de identificar o remetente e verificar que foi mesmo ele quem enviou a mensagem. 4. no-repdio ou irretratabilidade do emissor: no dever ser possvel ao emissor negar a autoria da mensagem. Nem todos os sistemas ou algoritmos criptogrficos so utilizados para atingir todos os objetivos listados acima. Normalmente, existem algoritmos especficos para cada uma destas funes. Mesmo em sistemas criptogrficos bem concebidos, bem implementados e usados adequadamente, alguns dos objetivos acima no so prticos (ou mesmo desejveis) em algumas circunstncias. Por exemplo, o remetente de uma mensagem pode querer permanecer annimo, ou o sistema pode destinar-se a um ambiente com recursos computacionais limitados.

[editar] Criptografia Clssica

Podemos dizer que o uso da criptografia to antigo quanto a necessidade do homem em esconder a informao. Muitos pesquisadores atribuem o uso mais antigo da criptografia conhecido aos hierglifos usados em monumentos do Antigo Egito (cerca de 4500 anos atrs). Diversas tcnicas de ocultar mensagens foram utilizadas pelos gregos e romanos. A criptografia pr-computacional era formada por um conjunto de mtodos de substituio e transposio dos caracteres de uma mensagem que pudessem ser executados manualmente (ou at mesmo mentalmente) pelo emissor e pelo destinatrio da mensagem. O surgimento de mquinas especializadas e, posteriormente, dos computadores ocasionou uma significativa evoluo das tcnicas criptogrficas.

[editar] Criptografia Moderna


A era da criptografia moderna comea realmente com Claude Shannon, possivelmente o pai da criptografia matemtica. Em 1949 ele publicou um artigo Communication Theory of Secrecy Systems com Warren Weaver. Este artigo, junto com outros de seus trabalhos que criaram a rea de Teoria da Informao estabeleceu uma base terica slida para a criptografia e para a criptoanlise. Depois disso, quase todo o trabalho realizado em criptografia se tornou secreto, realizado em organizaes governamentais especializadas (como o NSA nos Estados Unidos). Apenas em meados de 1970 as coisas comearam a mudar. Em 1976 aconteceram dois grandes marcos da criptografia para o pblico. O primeiro foi a publicao, pelo governo americano, do DES (Data Encryption Standard), um algoritmo aberto de criptografia simtrica, selecionado pela NIST em um concurso onde foi escolhido uma variante do algoritmo Lucifer, proposto pela IBM. O DES foi o primeiro algoritmo de criptografia disponibilizado abertamente ao mercado. O segundo foi a publicao do artigo New Directions in Cryptography por Whitfield Diffie e Martin Hellman, que iniciou a pesquisa em sistemas de criptografia de chave pblica. Este algoritmo ficou conhecido como "algoritmo Diffie-Hellman para troca de chaves" e levou ao imediato surgimento de pesquisas neste campo, que culminou com a criao do algoritmo RSA, por Ronald Rivest, Adi Shamir e Leonard Adleman.

[editar] Criptografia Quntica


Ver artigo principal: Criptografia quntica Esta pgina ou seco no cita nenhuma fonte ou referncia, o que compromete sua credibilidade (desde abril de 2010). Por favor, melhore este artigo providenciando fontes fiveis e independentes, inserindo-as no corpo do texto por meio de notas de rodap. Encontre fontes: Google notcias, livros, acadmico Scirus. Veja como referenciar e
citar as fontes.

Desenvolvimento da tcnica reunindo o conceito de criptografia e a teoria quntica mais antigo do que se imagina, sendo anterior descoberta da criptografia de Chave

Pblica. Stephen Wiesner escreveu um artigo por volta de 1970 com o ttulo: "Conjugate Coding" que permaneceu sem ser publicado at o ano de 1983. Em seu artigo, Wiesner explica como a teoria quntica pode ser usada para unir duas mensagens em uma nica transmisso quntica na qual o receptor poderia decodificar cada uma das mensagens porm nunca as duas simultaneamente, pela impossibilidade de violar uma lei da natureza (o princpio de incerteza de Heisenberg). Utilizando-se pares de ftons, a criptografia quntica permite que duas pessoas escolham uma chave secreta sem jamais terem se visto, trocado alguma mensagem ou mesmo algo material. A criptografia quntica oferece a possibilidade de gerar uma chave segura se o sinal um objeto quntico, assim, o termo mais correto seria Distribuio de Chave Quntica (Quantum Key Distribution - QKD) e no Criptografia Quntica. interessante notar que a Criptologia atual est amparada na Matemtica mas com a introduo desse conceito de mensagens criptografadas por chaves qunticas a fsica passou a ter importncia primordial no tema. O maior problema para implementao da Criptografia quntica ainda a taxa de erros na transmisso dos ftons seja por via area ou fibra tica. Os melhores resultados obtidos atualmente se do em cabos de fibra tica de altssima pureza, e conseqentemente elevadssimo custo tambm, alcanando algo em torno de 70 km. Por via area a distncia chega a algumas centenas de metros e qualquer tentativa de se aumentar essa distncia tanto em um quanto em outro mtodo a taxa de erros se torna muito grande e inviabiliza o processo. O desenvolvimento de tecnologias que permitam o perfeito alinhamento dos polarizadores, fibras ticas melhores e amplificadores qunticos de sinais permitir que o sistema de Distribuio de Chaves Qunticas venha a ser o novo padro de segurana de dados. A Criptografia Quntica se destaca em relao aos outros mtodos criptogrficos pois no necessita do segredo nem do contato prvio entre as partes, permite a deteco de intrusos tentando interceptar o envio das chaves, e incondicionalmente segura mesmo que o intruso tenha poder computacional ilimitado. A nica forma possvel de falha no processo seria se utilizar de um ardil onde a comunicao fosse interceptada e substituda, tanto para o emissor quanto para o receptor, criando assim um canal de comunicao controlado pelo intruso. O processo ainda apresenta um elevado custo de implantao, mas o desenvolvimento tecnolgico poder torn-la acessvel a todas as aplicaes militares, comerciais e de fins civis em geral.

[editar] Alguns algoritmos e sistemas criptogrficos


[editar] Funes de Hash criptogrfico, ou message digest'

MD5 SHA-1 RIPEMD-160 Tiger

[editar] Sistemas Free/Open Source

PGP

GPG SSH IPSec / Free S/WAN

[editar] Algoritmos assimtricos ou de chave pblica


Curvas elpticas Diffie-Hellman DSA de curvas elpticas El Gamal RSA

[editar] Algoritmos simtricos


Mquina Enigma (Mquina alem de rotores utilizada na 2a Guerra Mundial) DES - Data Encryption Standard (FIPS 46-3, 1976) RC4 (um dos algoritmos criados pelo Prof. Ron Rivest) RC5 (tambm por Prof. Ron Rivest) Blowfish (por Bruce Schneier) IDEA - International Data Encryption Algorithm (J Massey e X Lai) AES (tambm conhecido como RIJNDAEL) - Advanced Encryption Standard (FIPS 197, 2001) RC6 (Ron Rivest)