Apresentação TEMA 09 - Segurança das Informações e Continuidades dos negócios

1. TECNOLOGIA DA INFORMAÇÃO NPA 810 - PROF: MATEUS COZER SEGURANÇA DAS INFORMAÇÕES E CONTINUIDADE DOS NEGÓCIOS Antony K. Oliveira 12.204.325-0 Aldemar Junior 12.205.515-5 Rodrigo Galdino 12.105.302-9

2. “Não haverá nunca, senhor o tempo, em que os nós não se importam” – Verygood, Jeeves! P.G.Wodehouse Nesta época de conectividade eletrônica universal, de vírus e hackers, de espionagem eletrônica e fraude eletrônica, não há um tempo em que a segurança não importa.

3. EXISTEM DUAS TENDÊNCIAS PARA QUE A SEGURANÇA SEJA VITAL Primeiro:O crescimento explosivo dos sistemas de computador e suas interconexões através de redes tem aumentado a dependência de organizações e indivíduos da informação armazenada e comunicada por meio desses sistemas. Isso tem levado a uma maior conscientização da necessidade de proteger dados e recursos contra divulgação de garantir a autenticidade ded dados e mensagens e proteger sistemas contra ataques baseados em redes.não importa.

4. Segundo:As disciplinas de criptografia e seguranças de rede amadureceram e levaram ao desenvolvimento de aplicações práticas e prontamente disponíveis para impor a segurança da rede.

5. Ataques passivos: (Mais difícil de identificar)Leitura não autorizadas de mensagens arquivos e análise de tráfego. William Stallings – Criptographyand network security – Pg6

6. Ataques ativos: Modificação de mensagens e arquivos ou negação de serviços disponíveis para impor a segu-rançada rede. William Stallings – Criptographyand network security – Pg7

7. Mecanismo de Segurança: É qualquer processo ou dispositivo desse processo, projetado para detectar, impedir ou permitir a recuperação de um ataque à segurança. Alguns dispositivos são algoritmos de criptografia, assinaturas digitais e protocolos de autenticação.Serviço de segurança:Incluem autenticação, controle de acesso, confidencialidade de dados, integridade de dados, irretratabilidade e disponibilidade e seguranças de rede amadureceram e levaram ao desenvolvimento de aplicações práticas e prontamente disponíveis para impor a segurança da rede.

8. William Stallings – Criptographyand network security – Pg 11

9. São arquivos gerados pelos sites e salvos em seu computador, pelo seu browser, que monitoram a navegação do internauta, direcionam conteúdos e quantificam visitas a páginas web. As informações ficam armazenadas na máquina do usuário, para que ele não precise repetir alguns dados, ao preencher cadastro, por exemplo, quando voltar a uma determinada página. Os cookies também servem para mapear suas preferências, possibilitando que o site ofereça conteúdos distintos a cada usuário pelo perfil de navegação. http://www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66

10. Se o usuário for infectado por um Trojan, que abre a máquina ao acesso de criminosos, estes podem acessar todas as informações contidas nos cookies. Utilizar um bom antivírus, e um programa anti-phishing, apagar os cookies é uma precaução que os usuários devem adotar, aconselha o engenheiro da Symantec É possível e muito fácil bloquear e apagar os cookies, mas é preciso ficar atento. Muitos sites não funcionam se os cookies forem bloqueados. O Flickr e alguns serviços Google como Orkut, Gmail e Blogger não funcionam se os cookies estiverem bloqueados Apesar de não ter como finalidade danificar o computador pode-se considerar os cookies como ataques passivos, pois eles armazenam dados e analisam a conexão, e caso sejam alvo de ataques ativos toda a segurança será perdida. http://www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66

11. William Stallings – Criptographyand network security – Pg12

13. A palavra criptografia tem origem grega e significa a arte de escrever em códigos de forma a esconder a informação na forma de um texto incompreensível. A informação codificada é chamada de texto cifrado. O processo de codificação ou ocultação é chamado de cifragem, e o processo inverso, ou seja, obter a informação original a partir do texto cifrado, chama-se decifragem. http://www.dsc.ufcg.edu.br/~pet/atividades/ciclo_seminarios/tecnicos/2007/criptografia.pdf

14. Guerras da Gália de Júlio César foi o primeiro documento que usou uma cifra de substituição para fins militares A forma de criptografia era simples: composta de um alfabeto original no qual a mensagem era escrita e um alfabeto cifrado, composto por um deslocamento no alfabeto original. Esta forma de substituição é chamada cifra de César. William Stallings – Criptographyand network security – Pg12

15. William Stallings – Criptographyand network security – Pg12

16. Criptoanalise: ataque que explora as características do algoritmo para tentar deduzir um texto claro específico ou a chave utilizada. Mais utilizado quando há um conhecimento de parte ou características do texto claro por parte do criptoanalista. Ataque por força bruta: tenta achar a chave por tentativa e erro em um trecho do texto cifrado, até obter uma tradução inteligível do texto claro. Em média é necessário testar metade das chaves para localizar a correta.

17. Forma de criptografia em que a única chave secreta é partilhada pelo emissor e pelo receptor da mensagem, assim a chave que cifra é a mesma que decifra. Para que tal seja possível é necessário que a chave secreta só seja do conhecimento do emissor e do receptor.

18. O Data Encryption Standard (DES) é o algoritmo simétrico mais disseminado no mundo. Foi criado pela IBM em 1977 e, apesar de permitir cerca de 72 quadrilhões de combinações (256), seu tamanho de chave (56 bits) é considerado pequeno, tendo sido quebrado por "força bruta" em 1997 em um desafio lançado na Internet. A figura ao lado mostra um esquema genérico do funcionamento do DES. O texto cifrado é gerado a partir de 16 interações entre as permutações do texto inicial e da chave A permutação inicial mostrada na figura é feita de acordo com uma tabela que indica o novo posicionamento dos 64 bits após a permutação http://www.gta.ufrj.br/~natalia/SSH/DES.html

19. Refere se a um algoritmo de criptografia. Este cifrador é de chave simétrica, implementando uma criptografia de bloco e foi baseado no algoritmo DES (Data Encryption Standard) desenvolvido pela IBM em 1974. O 3DES utiliza três chaves, K1, K2 e K3, de 64 bits (56 bits compõem cada uma das chaves e 8 bits são de paridade) em três estágios de codificação em cascata. Com isto, o algoritmo pode ter chaves de até 192 bits O 3DES é uma simples variação do DES, utilizando-o em três ciframentos sucessivos, podendo empregar um versão com duas ou com três chaves diferentes. É seguro, porém muito lento para ser um algoritmo padrão. http://www.gta.ufrj.br/~natalia/SSH/DES.html

20. Em janeiro de 1997, o NIST (National Institute of Standards and Technology) anunciou um concurso para o substituto do DES. Os candidatos, que deveriam ser algoritmos de chave simétrica, capazes de suportar blocos de 128 bits e chaves de 128, 192 e 256 bits, deveriam ter direitos autorais livres, pois seriam divulgados publicamente. Esse concurso foi chamado de AES (Advanced Encryption Standard), que acabou dando nome também ao algoritmo vencedor (antes chamado de Rijndael). http://www.gta.ufrj.br/~natalia/SSH/DES.html

21. Para usar um algoritmo de criptografia é necessário que as partes envolvidas possuam um segredo em comum, uma chave Se existe a possibilidade de um encontro pessoal e físico o compartilhamento desta chave pode ser realizado com segurança, mas se o único meio de transmissão existente entre eles é inseguro, tem-se um problema sério. Não se pode enviar a chave junto com a mensagem, pois em caso de alguém estar escutando, este verá esta informação. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA

22. Durante a segunda guerra mundial os alemães utilizavam a ENIGMA para envio de mensagens criptografadas. Com navios, submarinos e exércitos espalhados em vários pontos e com uma chave descartável, usada somente durante um único dia, como dar a conhecer aos operadores de rádio a chave do próximo dia? http://www.vivaolinux.com.br/artigo/Fundamentos-da-criptografia-assimetrica

23. Solução encontrada pelos alemães: Os alemães resolveram isto com a publicação de livros de códigos. Cada livro tinha chaves para vários dias e era entregue em mãos ao operador de comunicações Solução encontrada pelos aliados para quebrar a chave: A primeira maneira que os aliados encontraram para quebrar a enigma foi subornar um oficial alemão descontente que lhes ou uma cópia Os códigos da máquina enigma acabaram sendo quebrados de forma definitiva por Alan Turing http://www.vivaolinux.com.br/artigo/Fundamentos-da-criptografia-assimetrica

24. Existiria alguma forma realmente segura e confiável de realizar uma troca de chaves de forma sigilosa sem que um encontro físico ocorresse? A criptografia assimétrica ajudou a resolver este problema!! http://www.vivaolinux.com.br/artigo/Fundamentos-da-criptografia-assimetrica

25. Um sistema de criptografia assimétrica pode ser usado para codificar mensagens enviadas entre dois participantes de uma comunicação, de forma que um intruso que escute as mensagens codificadas não possa decodificá-las. William Stallings – Criptographyand network security – Pg 184

26. BOB envia uma mensagem para Alice. A mensagem é cifrada com a chave pública de Alice (que foi distribuída por ela e Bob possui), que somente Alice com sua chave privada pode decifrá-la. Além da chave privada, é enviada também uma autenticação que é feita utilizando a chave privada de BOB e decifrada pela chave pública de BOB que Alice possui. William Stallings – Criptographyand network security – Pg 184

27. Um número primo é um inteiro que pode ser divido sem resto por valores positivos e negativos de si mesmo e por 1. Desempenham papel fundamental na teoria dos números e na criptografia como por exemplo no algoritmo RSA William Stallings – Criptographyand network security – Pg 167

28. O RSA é um algoritmo assimétrico que possui este nome devido a seus inventores: Ron Rivest, Adi Shamir e LenAdleman, que o criaram em 1977 no MIT. É, atualmente, o algoritmo de chave pública mais amplamente utilizado A premissa por trás do RSA é que é fácil multiplicar dois números primos para obter um terceiro número, mas muito difícil recuperar os dois primos a partir daquele terceiro número. Isto é conhecido como fatoração. Por exemplo, os fatores primos de 3.337 são 47 e 71. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html

29. Permite garantir a autenticidade de quem envia a mensagem, associada à integridade do seu conteúdo. http://www.gta.ufrj.br/grad/00_1/rodrigo/fr8right.htm

30. A assinatura digital utilizando criptografia assimétrica possui alguns problemas. É lento, e ele produz um volume enorme de dados, pelo menos dobra o tamanho da informação original. Para solucionar este problema utilizamos a FUNÇÃO HASH.

32. A hashfunction assegura que, se a informação é mudada de qualquer forma—até mesmo por só um bit—uma saída inteiramente diferente é produzida. http://www.gta.ufrj.br/grad/00_1/rodrigo/fr8right.htm

33. Qual o modelo de criptografia que devemos utilizar? Simétrico ou assimétrico? A resposta é simples: devemos utilizar os dois, em um modelo denominado híbrido. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html

35. Assinatura Digital

36. Hashing. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html

37. O certificado digital é um documento eletrônico assinado digitalmente e cumpre a função de associar uma pessoa ou entidade a uma chave pública. As informações públicas contidas num certificado digital são o que possibilita colocá-lo em uma autoridade de certificação ou CA (CertificationAuthority), que funciona como um cartório eletrônico. http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf

39. chave pública

40. nome e assinatura da entidade que assinou o certificado

41. número de série.http://www.iti.gov.br/twiki/pub/Certificacao/CartilhasCd/brochura01.pdf

42. http://www.gta.ufrj.br/~natalia/SSH/DES.html

43. Um serviço de autenticação com três componentes para proteger as entradas de uma rede: autenticação, contabilidade e auditoria. É um serviço de autenticação projetado para uso em um ambiente distribuído (servidores trabalham independente) Utiliza serviço de autenticação de terceiros confiável, que permite que clientes e servidores estabeleçam comunicação autenticada Utiliza exclusivamente criptografia simétrica http://www.gta.ufrj.br/~natalia/SSH/DES.html

44. Um serviço de autenticação com três componentes para proteger as entradas de uma rede: autenticação, contabilidade e auditoria. É um serviço de autenticação projetado para uso em um ambiente distribuído (servidores trabalham independente) Utiliza serviço de autenticação de terceiros confiável, que permite que clientes e servidores estabeleçam comunicação autenticada Utiliza exclusivamente criptografia simétrica

45. Conexão ao Servidor de Autenticação - O usuário se autentica perante o SA, com isso recebe um ticket e uma chave de sessão, os quais são criptografados com a sua chave secreta , e são relacionadas entre o cliente e o servidor 2) Solicitação de ticket ao TGS – O ticket e a chave de sessão são novamente gerados, só que são de outro tipo e estão relacionados entre o cliente e o serviços que serão realizados, com essas informações sendo enviadas para o cliente também criptografadas 3) Acesso ao Servidor - O ticket recebido no passo anterior é enviado na comunicação com o servidor. Como esse ticket está criptografado com a chave secreta do servidor, ele deverá decriptografá-lo e assim terá acesso à chave de sessão que durará um tempo limitado 4) Base de Dados do Kerberos - Cadastramento e manutenção das chaves secretas do cliente e do servidor.

48. As implementações de PKI, infra-estrutura de chave pública, utilizam certificados X.509

50. É definida como o conjunto de hardware, software, pessoas, políticas e procedimentos necessários para criar, gerenciar, armazenar, distribuir e revogar certificados digitais com base na criptografia assimétrica. O objetivo principal para desenvolver uma PKI é permitir a aquisição segura, conveniente e eficiente de chaves públicas

54. É um mecanismo de segurança de e-mail Enquanto o PGP é usado para segurança de e-mail pessoal, o S/MIME emergirá como o padrão do setor para uso comercial e organizacional. Oferece também a capacidade de assinar e/ou criptografar mensagens. Incorpora três algoritmos de chave pública para criptografar e decriptografar mensagens. O DSS, Diffie-Hellman e o RSA.

55. Desenvolvimento de mecanismos de segurança específicos em diversas áreas de aplicação E-mail (PGP e S/MIME) Cliente/servidor (Kerberos) Acesso à web (SecureSocketsLayer) Porém os usuários têm questões de segurança que transcedem as camadas de protocolos. Implementando a segurança no nível do IP, uma organização pode garantir uma rede segura não apenas para aplicações que possuem mecanismos de segurança, mas também para as muitas aplicações que ignoram a segurança.

57. Acesso remoto seguro pela internet: usuário que trabalha viajando pode fazer uma ligação local para um provedor de Internet e obter acesso seguro a rede de uma empresa

58. Estabelecimento de conectividade de extranet e intranet com parceiros: gerenciamento de informações e comunicação com o uso de autenticação, confidencialidade. Além de fornecer um mecanismo de troca de chaves.

60. Com uma maior acessibilidade à internet, muitos indivíduos e empresas possuem sites web. Afim de expandir seus mercados diversas empresas despertaram um interesse para o comércio eletrônico. Mas a realidade é que a internet e a web são extremamente vulneráveis a riscos de vários tipos. À medida que as empresas percebem essa realidade, a demanda por serviços web seguros aumenta. Vejamos algumas ameaças:

62. SSL (securesocketlayer) e TLS (transportlayersecurity) Oferece confidencialidade usando criptografia simétrica e integridade de mensagens usando um código de autenticação de mensagens Inclui mecanismos de protocolo para permitir que dois usuários TCP determinem os mecanismos e serviços de segurança que eles usarão SET (secureeletronictransaction) É uma especificação aberta de criptografia e segurança, projetada para proteger transações com cartão de crédito na internet. Surgiu a partir de um pedido de padrões de segurança pela MasterCard e Visa em 1996, com o envolvimento e desenvolvimento da IBM, Microsoft, Netscape, entre outras. Por volta de 1998 a primeira onda de produtos compatíveis com o SET estava disponível.

66. Infrator (usuário legítimo que vai além do autorizado)

68. - Vírus – Anexa-se a um programa e propaga cópias de si mesmo a outros programas, realiza alguma função indesejada ou prejudicial - Cavalos-de-tróia – É um programa ou procedimento de comando útil, ou aparentemente útil, contendo código oculto que, quando invocado, realiza alguma função indesejada ou prejudicial William Stallings – Criptographyand network security – Pg 428

69. - Worm – É um programa que pode se replicar e enviar cópias de um computador para outro através de conexões de rede. William Stallings – Criptographyand network security – Pg 429

76. Imagens são bloqueadas, somente podendo ser visualizadas com a autorização do usuário

78. Utiliza software Norton para scanear contra virus;

80. Um firewall forma uma barreira através da qual o tráfego indo em cada direção precisa passar. Uma política de segurança de firewall dita qual tráfego tem autorização para passar em cada direção. Um firewall oferece um local para monitorar eventos relacionados à segurança. Auditorias e alarmes podem ser implementados no sistema de firewall. Configurações de firewall:

81. Seja por demanda interna, ou exigências regulatórias, todo negócio precisa estar preparado para situações de contingência em que a infra-estutura de TI corre risco de ser afetada por algum tipo de incidente que compromete o nível de serviço padrão. Toda empresa esta exposta a diversos riscos operacionais, como indisponibilidade elétrica, falhas no sistema de refrigeração dos servidores, indisponibilidade no acesso a internet , catástrofes naturais, impedimentos no acesso ao local de trabalho e até mesmo colaboradores insatisfeitos. Podendo acarretar na perda de informações estratégicas e operacional.

82. EXEMPLO DE PLANO DE CONTINGÊNCIA DE REDE DE UMA EMPRESA

83. Plano

85. Simulação de Falhas X

86. Simulação de Falhas X X

87. Simulação de Falhas X X X

88. ASP (Application ServiceProvider ) O Application ServiceProvider, ou Provedor de Serviços de Aplicação, é uma qualidade de prestação de serviços, que disponibiliza aos clientes recursos tecnológicos e computacionais, como softwares, infra-estrutura e também toda a mão-de-obra especializada necessária, através de um modelo de terceirização (outsourcing).

89. ASP (Application ServiceProvider ) Atualmente as empresas tentam focar no negócio e reduzir custos. Esta é a principal proposta do modelo ASP

90. Situação atual Suaempresa Clientes Alto custooperacional(software, hardware, mão de obraespecializada, custo de telecom e o custoinvisível de sistemasfora do ar) Investimento e manutençãoem infra-estrutura Mào de obraespecializada Custos de seguranca Perda de foco no negócio principal de suaempresa Proposta ASP Suaempresa Clientes Aumento de negócios e competitividade Seusnegócios 24 horas x 7 diasporsemana Empresaenxuta e econômica Diminuiçãosignificativa de custooperacional Foco no sucesso de suaempresa Satisfaçãogarantida – suaempresanuncafica “fora do ar“

91. Antes de optar por um ASP devem ser colocadas algumas questões referentes à prestação de serviços em áreas como a segurança de dados, e outras.

92. Como é que os dados são segurados e protegidos de acessos não autorizados? Quais as políticas normais de backup? Existem planos de contingência bem definidos que foi testado com sucesso? Quais os planos de contingência contra desastres e ataques? Como é que o sistema é administrado? O tempo de utilização do sistema (“Uptime”) é garantido? Que infra-estruturas do sistema e procedimentos do negócio asseguram a confiabilidade durante a fase de crescimento da empresa? Será que o vendedor fornece apoio técnico adequado? Que opções se encontram disponíveis para integrar o sistema com terceiros? Como terminar o contrato? (E retomar os dados?) A empresa ASP é financeiramente estável e segura?

94. Baixa ociosidade de máquinas e sistemas

95. Tecnologia de ponta

96. Hardware convencional já disponível na empresa

97. Evita a obsolescência dos sistemas adquiridos

98. Upgrades automáticos feitos no servidor da aplicação

99. Disponibilidade 24 horas para todos os fusos horários

100. Suporte especializado por quem entende do assunto

101. Sistemas de contingência/Perfeitamente adaptado à computação móvel

102. Disponibilidade global, onde houver uma conexão à Internet /

103. Maior capacidade de processamento e armazenamento de dados

105. Posse do sistema

106. Dependência da rede

107. Confiabilidade

108. Privacidade

109. “Uptime”

111. *Peças on Line: Peças on Line é o maiorbanco de dados de produtos no setor de auto peças. É um site de consulta de peçaspormarca de montadora.O sistemaexistedesde 1995 e integramilhares de empresas de forma totalmentetransparente e automatizada. O objetivo é facilitar a busca de peças a prontaentrega. Istopode ser feito de duasformas : ouconsultandoosestoquesdisponíveisoufazendoumacotação. Na segundaopção, a cotação é enviadaparatodososConcessionários e Distribuidores da marcaqueapósreceberem a solicitação, respondemdiretamenteaosclientesofertandosuaspropostas. http://www.pecas-on-line.com.br

114. Requisição/resposta e exibição de páginas web

115. Naweb - usuário clica em um link ou mesmo submete um formulário e faz uma requisição para um servidor web.

116. A requisição é processada pelo servidor web, que devolve como resposta outra página web completa.

120. Essa requisição é realizada através de uma thread separada dentro do browser utilizando JavaScript.

121. Em seguida o servidor devolve a resposta

122. Utilizando o mesmo canal sem a necessidade de relizar uma nova renderização da página

123. Um pedaço de código JavaScript se encarrega de recuperar esses dados e atualizar a página

128. Implementar autocompletar

129. Mostrar mais detalhes de um produto sem fazer refresh da página

130. Sofisticar interfaces web

132. Complexidade

133. Padronização do objeto XmlRequestObject

134. Muito código JavaScript

135. Dificuldade de depurar

137. Ocorre um evento do cliente

138. Um objeto XMLHttpRequest é criado e configurado

139. O objeto XMLHttpRequest criado realiza uma chamada

140. A requisição é processada pelo servlet

141. O servlet retorna um documento XML contendo o resultado

142. O objeto XMLHttpRequest chama a função callback que processa o resultado

145. Quem quiser entrar nessa onda, vai ter que estudar bem JavaScript!

148. McAfee lança ferramenta on-line para cálculo de retorno de investimento de segurançaA calculadora de ROI de Segurança em TI, desenvolvida pela ForresterResearch, apresenta uma economia relevante com soluções de segurança integradas e gerenciáveis, atestada por clientes

149. Maximizar Valor + Minimizar Custo = Total Protection . Calculador de TEI (Total EconomicImpact) CUSTO — impacto sobre a TIBENEFíCIOS — impacto sobre os negóciosFLEXIBILIDADE — oportunidades futuras criadas pelo investimento RISCO — http://www.mfesite.com/mcafee/roi/showresult_PT.jsp

150. http://www.mfesite.com/mcafee/roi/showresult_PT.jsp

151. http://www.mfesite.com/mcafee/roi/showresult_PT.jsp

152. http://www.mfesite.com/mcafee/roi/showresult_PT.jsp

154. Da mesma forma, uma empresa de médio porte com aproximadamente 500 sistemas pode economizar mais de US$500 mil.

156. www.mfeesite.com