3. Chaves de segurança para transações bancárias http://www.bradescoseguranca.com.br/default.asp
4. Definições OSI (Open Systems interconnection) Ataques a segurança : inclui ataques passivos (somente leitura de texto e análise de trafego de dados) e ataques ativos (modificações em textos, negação de acessos) Mecanismos de segurança: qualquer mecanismo ou processo que tenha por finalidade prevenir, detectar ou recuperar algum dano causado por ataque. Ex: autenticação de protocolos, assinaturas digitais. Serviços seguros: inclui autenticação, controle de acesso, integridade e confidencialidade de dados. William Stallings – Criptography and network security – Pg 07
7. Cookies São arquivos gerados pelos sites e salvos em seu computador, pelo seu browser , que monitoram a navegação do internauta, direcionam conteúdos e quantificam visitas a páginas web. As informações ficam armazenadas na máquina do usuário, para que ele não precise repetir alguns dados, ao preencher cadastro, por exemplo, quando voltar a uma determinada página. Os cookies também servem para mapear suas preferências, possibilitando que o site ofereça conteúdos distintos a cada usuário pelo perfil de navegação. Se o usuário for infectado por um Trojan , que abre a máquina ao acesso de criminosos, estes podem acessar todas as informações contidas nos cookies .
8. Utilizar um bom antivírus, e um programa anti-phishing, apagar os cookies é uma precaução que os usuários devem adotar, aconselha o engenheiro da Symantec É possível e muito fácil bloquear e apagar os cookies, mas é preciso ficar atento. Muitos sites não funcionam se os cookies forem bloqueados. O Flickr e alguns serviços Google como Orkut, Gmail e Blogger não funcionam se os cookies estiverem bloqueados. Cookies www.sgi.ms.gov.br/index.php?templat=vis&site=89&id_comp=66&id_reg=130&voltar=lista&site_reg=89&id_comp_orig=66 Apesar de não ter como finalidade danificar o computador pode-se considerar os cookies como ataques passivos, pois eles armazenam dados e analisam a conexão, e caso sejam alvo de ataques ativos toda a segurança será perdida.
10. Modelo de segurança de rede William Stallings – Criptography and network security – Pg 22
11. Unipaulistana -Adm. Gerência e segurança de redes – Página 42 Protolco de Aplicação FTP, SMTP, HTTP, Telnet, SNM, etc. TCP, UDP Data Link Ethernet, Token Ring, FDDI, etc IP Física Aplicações aplicação transporte rede enlace física Seqüência de empacotamento Filtragem dos pacotes
13. Consiste em codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc. Criptografia http://www.clubedohardware.com.br/artigos/667
14. Tipos de ataques a segurança Criptoanalise: ataque que explora as características do algoritmo para tentar deduzir um texto claro específico ou a chave utilizada. Mais utilizado quando há um conhecimento de parte ou características do texto claro por parte do criptoanalista. Ataque por força bruta: tenta achar a chave por tentativa e erro em um trecho do texto cifrado, até obter uma tradução inteligível do texto claro. Em média é necessário testar metade das chaves para localizar a correta.
15. Cifra de Cezar Exemplo: Mensagem original: Meet me tonight by the Sphinx Texto cifrado: Phhw ph wrqlijkw eb wkh Vsklqa
16. Frequência das letras nos textos cifrados Como visto no gráfico cifras que apresentam maior uniformidade na distribuição das letras são menos susceptíveis ao ataque por criptoanalise. William Stallings – Criptography and network security – Pg 42
17. Criptografia Simétrica Forma de criptografia em que a única chave secreta é partilhada pelo emissor e pelo receptor da mensagem, assim a chave que cifra é a mesma que decifra. Para que tal seja possível é necessário que a chave secreta só seja do conhecimento do emissor e do receptor. Vantagem Rapidez no cálculo das operações de cifra / decifra Desvantagem Necessitar que a chave secreta seja compartilhada com todos os que precisam de ler a mensagem, ficando assim vulnerável a roubos e sendo possível a alteração do documento por qualquer das partes. http://assinaturas-digitais.web.simplesnet.pt/criptografia_simetrica.htm
18. Algoritmo DES (Data Encryption Standart ) Desenvolvido na década de 70 pelo National Bureau of Standarts com ajuda da National Security Agency , com o propósito de criar um método padrão para proteção de dados. A IBM criou o primeiro rascunho do algoritmo, chamando-o de LUCIFER. O DES tornou-se oficialmente norma federal americana em novembro de 1976. A única forma de quebrar o algoritmo DES seria por força bruta. Em 1994 o NIST reafirma o uso federal do algoritmo DES por mais 5 anos, porém em 1999 foi emitiu um novo padrão em que o algoritmo DES deveria ser usado somente para sistemas legados e que o padrão seria a partir dessa data o triple DES. Cifra blocos de 64 bits de texto claro e utiliza uma chave secreta de 56 bits. São executadas 16 rodadas. http://www.gta.ufrj.br/grad/99_2/marcos/des.htm e Stallings criptografia e segurança de redes pg 48
20. Algoritmo triple DES Refere se a um algoritmo de criptografia. Este cifrador é de chave simétrica, implementando uma criptografia de bloco e foi baseado no algoritmo DES (Data Encryption Standard) desenvolvido pela IBM em 1974. O 3DES utiliza três chaves, K1, K2 e K3, de 64 bits (56 bits compõem cada uma das chaves e 8 bits são de paridade) em três estágios de codificação em cascata. Com isto, o algoritmo pode ter chaves de até 192 bits.
22. Pin Pad PPC - 800 Pin Pad’s são utilizados para leitura de cartões e comunicação com computadores. Utiliza criptografia nos modos DES, Triple DES, DUKPT e RSA simultâneos www.safetyti.com.br/produtos/gertec_pinpad_ppc_800_serial.html
23. Algoritmo AES ( Advanced Encryption Standard) Em janeiro de 1997, o NIST ( National Institute of Standards and Technology ) anunciou um concurso para o substituto do DES. Os candidatos, que deveriam ser algoritmos de chave simétrica, capazes de suportar blocos de 128 bits e chaves de 128, 192 e 256 bits, deveriam ter direitos autorais livres, pois seriam divulgados publicamente. Esse concurso foi chamado de AES ( Advanced Encryption Standard ), que acabou dando nome também ao algoritmo vencedor (antes chamado de Rijndael). O algoritmo de Rijndael tem tamanho de chaves e blocos que podem ser escolhidos entre 128, 192 e 256 bits. Numero de rodadas é variável de acordo com o numero de bits das chaves. http://www.gta.ufrj.br/~natalia/SSH/aes.html e www.bibl.ita.br/ixencita/artigos/FundRafaelAntonio1.pdf e adm-net-a.unifei.edu.br/phl/pdf/0032910.pdf
25. Aplicação do algoritmo AES O SecureCall da Silentel é um sistema que criptografa sua chamada através de um telefone móvel GSM e frustra, absolutamente, qualquer interceptação. A criptografia usa o algoritmo AES 256, que, atualmente, é o padrão de segurança mundial mais seguro. Este é um sistema com segurança ponta-a-ponta. www.orion.com.br/securecall.htm
26. Tempos de ataque por força bruta William Stallings – Criptography and network security – Pg 35
27. Para usar um algoritmo de criptografia é necessário que as partes envolvidas possuam um segredo em comum, uma chave. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA O Problema da distribuição de chaves
28.
29. Durante a segunda guerra mundial, por exemplo, os alemães usaram a famosa máquina Enigma para cifrar suas mensagens. http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
30.
31. Dificuldades dos alemães: Com navios, submarinos e exércitos espalhados em vários pontos e com uma chave descartável, usada somente durante um único dia, como dar a conhecer aos operadores de rádio a chave do próximo dia? http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
32. Os alemães resolveram isto com a publicação de livros de códigos. Cada livro tinha chaves para vários dias e era entregue em mãos ao operador de comunicações. A primeira maneira que os aliados encontraram para quebrar a enigma foi subornar um oficial alemão descontente que lhes entregava uma cópia do livro http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ O Problema da distribuição de chaves
33.
34. A criptografia assimétrica facilitou o problema da distribuição de chaves O Problema da distribuição de chaves
35. Um algoritmo assimétrico possui mais de uma chave, tipicamente duas. Uma delas é usada para cifrar e a outra serve apenas para decifrar . Conceito http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
38. Como enviar uma mensagem de modo seguro? Vivian vai em uma ferragem, compra um cadeado qualquer e o envia aberto para Renan, mantendo consigo a chave Renan recebe pelos correios o cadeado aberto de Vivian Renan usa o cadeado para fechar a caixa e a envia para Vivian Renan Vivian http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/
39.
40.
41.
42. A comunidade científica tinha desistido de tentar encontrar um algoritmo assimétrico, classificando o problema como sem solução, mas Whitfield Diffie e Martin Hellman insistiram na utopia de um algoritmo assimétrico. Fizeram uma importante descoberta ao explorar a matemática modular. Mesmo tendo continuado sua busca, foram os pesquisadores Ronald Rivest, Adir Shamir e Leonard Adlemann que chegaram ao primeiro algoritmo de cifra assimétrico, o popularmente conhecido algoritmo RSA http://www.vivaolinux.com.br/artigo/Criptografia-assimetrica-com-o-RSA/ Algoritmo RSA
47. Na prática, é inviável o uso da criptografia assimétrica para assinaturas digitais, devido a sua lentidão. É empregada uma função Hashing, que gera um “resumo” da mensagem, de tamanho fixo, derivado da mensagem que se pretende assinar, de qualquer tamanho. Assim, a função Hashing oferece agilidade nas assinaturas digitais, além de integridade confiável http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Função Hashing
48.
49. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Qual o modelo de criptografia que devemos utilizar? Simétrico ou assimétrico? Devemos utilizar os dois, em um modelo denominado híbrido. Criptografia Simétrica x Assimétrica: Protocolos Criptográficos Criptografia Sim é trica. Criptografia Assim é trica. R á pida. Lenta. Gerência e distribui ç ão das chaves é complexa. Gerência e distribui ç ão simples. Não oferece assinatura digital Oferece assinatura digital.
50.
51.
52.
53. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Sem esta garantia, um intruso pode convencer os interlocutores de que chaves públicas falsas pertencem a eles. Estabelecendo um processo de confiança entre os interlocutores, o intruso pode fazer-se passar por ambos. Deste modo, quando um interlocutor ( Renan ) enviar uma mensagem ao outro ( Vivian ) solicitando sua chave pública, o intruso poderá interceptá-la e devolver-lhe uma chave pública forjada por ele. Certificado Digital
56. A garantia para evitar este ataque é representada pelos certificados de chave pública . Tais certificados consistem em chaves públicas assinadas por uma pessoa de confiança. Servem para evitar tentativas de substituição de uma chave pública por outra. O certificado de Renan contém algo mais do que sua chave pública: contém informações sobre Renan - seu nome, endereço e outras dados pessoais - e é assinado por alguém em quem Vivian deposita sua confiança: uma autoridade de certificação , que funciona como um cartório eletrônico. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Certificado Digital
57. Assim, um certificado digital pode ser definido como um documento eletrônico, assinado digitalmente por uma terceira parte confiável, que associa o nome (e atributos) de uma pessoa ou instituição a uma chave criptográfica pública. http://br.geocities.com/jasonbs_1917/seguranca/cripto2.html Certificado Digital
84. Termo pelo qual é comumente conhecido o envio, de mensagens eletrônicas a uma grande quantidade de pessoas de uma vez, geralmente com cunho publicitário, mas não exclusivamente. O spam também é conhecido pela sigla inglesa UCE (Unsolicited Commercial E-mail, ou Mensagem Comercial Não-Solicitada). Spam http://informatica.terra.com.br/virusecia/spam/interna/0,,OI195623-EI2403,00.html
85.
86.
87. AJAX Trata-se de uma maneira de fazer com que seu navegador, com Javascript, carregue conteúdo do servidor sem recarregar a página atual. Você pode, por exemplo, solicitar do usuário o CEP, e-mail e senha como os primeiros dados. Após ele preencher o CEP, você pode buscar o endereço dele no servidor, enquanto ele digita seu e-mail e senha. Em seguida, você pode verificar a disponibilidade daquele e-mail para cadastro, enquanto ele confere seu endereço. Isso tem grande impacto sobre a experiência do usuário, pois ele não precisa ficar esperando pela carga dos dados. www.arteccom.com.br/webdesign/downloads/25/2.pdf
88. Problemas de segurança do AJAX O AJAX é uma combinação de Javascript e XML. Ambos têm problemas de segurança que o AJAX ajuda a amplificar Um exemplo neste sentido foi o worm de infecção em massa Yamanner, que se aproveitava de um erro de múltiplos scripts no Yahoo! Mail para infectar milhares de usuários. A praga chegava aos e-mails com o assunto "New Graphic Site" e era ativado simplesmente após sua leitura pelo usuário. http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html
89. Problemas de segurança do AJAX O principal problema é que o AJAX envolve novas abordagens em oferecer funcionalidades na interface do navegador Por isto, desenvolvedores estão mais propensos a errar onde tradicionalmente eles saberiam como construir um site seguro http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html
90. Problemas de segurança do AJAX Empresas precisam estar cientes de tais riscos, de acordo com Tim Farmer, diretor do tipo de arquitetura de software da Choice Homes. No momento, porém, "os benefícios que você ganha da linguagem AJAX compensam o risco - desde que o usuário decida quais informações serão expostas pela aplicação", contesta. http://www.istf.com.br/vb/noticias-de-seguranca/9160-ajax-amplifica-riscos-de-seguranca-em-servicos-online-alertam-analistas.html