Вы находитесь на странице: 1из 19

Professor Lo Matos

Segurana da Informao
SEGURANA DA INFORMAO
A Segurana da informao um conjunto de conceitos e tcnicas utilizadas para criar ferramentas
que proporcionam uma maior confiana aos usurios na utilizao de meios tecnolgicos para troca de
informaes, pode ser definida como a proteo contra um grande nmero de ameaas s informaes, de
forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de
possibilidades e investimentos.
O maior objetivo da segurana da informao est no aumento da confiabilidade e na diminuio da
fragilidade de sistemas digitais para dar continuidades nos negcios. Existem princpios que contribuem para
o alcance desse objetivo.
H quatro princpios fundamentais que devem ser garantidos pelos sistemas desenvolvidos:

Confidencialidade, Integridade, Disponibilidade e Autenticidade.


A Confidencialidade garante que a informao no seja acessada lida por pessoas no
autorizadas. Um cliente que acessa o site do banco para fazer uma transferncia eletrnica quer uma garantia
de que a sua senha no ser vista por pessoas no autorizadas, para garantir a Confidencialidade (Sigilo)
das informaes, o banco desenvolve ferramentas suficientes para cumprir este princpio, aumentando assim
a confiana deste usurio no sistema.
A Integridade garante que a informao no seja alterada por pessoas no autorizadas durante o
envio ou armazenamento. Um cliente entra no site do banco para fazer uma atualizao de endereo, quando
terminar de fazer o preenchimento do formulrio, este dever ser enviado. As informaes iro trafegar pela
Internet at chegar ao banco de dados da instituio, para garantir que a informao se mantenha ntegra,
inalterada deve estar presente no sistema o princpio da integridade.
A Disponibilidade garante que a informao estar sempre disponvel quando um usurio autorizado
solicitar. Ao tentar efetuar um depsito no caixa de um banco, um cliente fica na fila cerca de 20 minutos e
quando chega sua vez, o atendente informa que o Sistema est fora do ar, ou seja, o servio estava
indisponvel devido a problemas tcnicos. Nesse caso, o banco no garantiu a Disponibilidade do Servio
por algum problema de segurana da informao, que deveria criar e manter ferramentas suficientes para
cumprir este princpio.
A Autenticidade deve assegurar que a identificao de uma pessoa ou instituio seja legtima.
Assim, ao visitar o site de um banco atravs de um link recebido por e-mail, que certeza o cliente ter de que
aquele site verdadeiro? Para isso, importante que o banco disponibilize ferramentas para verificar a
autenticidade daquele site.
Outros princpios:
A Privacidade deve garantir ao usurio que ele possa definir quais informaes esto disponveis e para
quem esto, ou seja, ter a privacidade de escolha. Confidencialidade e autenticidade so meios para se
conseguir ter privacidade, j que o sistema deve identificar quem so os usurios que tero determinadas
autorizaes .

1 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao
O No Repdio (Irretratabilidade) deve garantir que um usurio no possa negar a autoria de uma
ao. Por exemplo, em uma transao via Internet muito importante que nenhum dos envolvidos possa
negar que enviou determinando documento digital.
Ameaas a segurana da informao
Existem diversas ameaas segurana da informao que atingem os princpios vistos anteriormente a fim
de comprometer os objetivos da organizao, seja trazendo danos diretos aos ativos ou prejuzos decorrentes
de situaes inesperadas.
Classificao das principais ameaas:
Malware (programas maliciosos): todo tipo de programa desenvolvido para prejudicar sistemas ou pessoas.
Vrus
um programa ou parte de um programa, que se propaga infectando parte de outros programas e arquivos
de um computador. O vrus necessita de um arquivo hospedeiro ou programa para infectar um computador.
Para que o vrus atinja sua finalidade depende da execuo do programa ou do arquivo infectado.
O que o vrus pode fazer? Teoricamente o vrus pode fazer qualquer coisa que outros programas fazem,
desde apresentar imagens na tela, apagar arquivos do disco, destruir ou alterar arquivos de inicializao do
Sistema operacional (vrus de boot), deixar o computador lento e outros.

Tipos de Vrus
Vrus de Boot: Infecta os arquivos de inicializao de um sistema (boot) alterando seu funcionamento e se
espalhando quando o sistema iniciado.
Vrus de Macro: Os vrus de macro infectam geralmente arquivos do Microsoft Office como DOC (Word),
XLS (Excel). So programas executveis embutido nos arquivos de editores de textos e outros. Existe uma
ferramenta do Office chamada de Macro, no qual utilizada por usurios para automatizar suas tarefas
criando aes repetitivas economizando tempo no trabalho. Quando a macro criada, automaticamente
gerado um cdigo em forma de linguagem de programao chamada de VB, e a ferramenta que permite
editar via programao essa macro chamada de Visual Basic for Aplication e exatamente por
programas desse tipo que o vrus desenvolvido embutido aos arquivos do Office.

2 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

Os vrus de macro podem inserir palavras, nmeros ou frases indesejadas em documentos ou alterar funes
de comando. Depois que um vrus de macro infecta a mquina de um usurio, ele pode se incorporar a todos
os documentos criados no futuro com o aplicativo. Por exemplo, se o modelo "normal.dot" do Microsoft
Word, o modelo de documento padro desse programa, for infectado com um vrus de macro, todo
documento novo criado no Word carregar uma cpia do vrus de macro e a partir da pode chegar a outras
finalidades.
Vrus de E-mail: Os primeiros vrus de E-mail utilizavam um anexo que ao ser executado enviava um cpia
sua para todos na lista de contatos do usurio. E importante ressaltar que o vrus de E-mail no se executa
sozinho, o usurio deve abrir o anexo ou o programa de correio eletrnico.
Worms Vermes
Um worm programa maliciosos que se auto copia de computador para computador utilizando
vulnerabilidades de uma rede.
Um vrus de E-mail tem algumas caractersticas do Worm, pois se propaga de um computador para outro,
mas no podemos cham-los de Worms, pois precisam de algum para iniciar a ao de propagao, e os
Worms no, eles se auto executam. Os Worms no infectam arquivos e programas como o Vrus, mas
degradam sensivelmente o desempenho de redes devido o grande trfego de dados, podendo fazer servidores
e computadores da rede parar de funcionar mesmo que temporariamente. Para se replicar os Worms utilizam
algum tipo de veculo de rede, veja abaixo alguns exemplos:
Recursos de E-mail: Um verme envia uma cpia de si mesmo para os cadastrados no catlogo de endereos
do usurio.
Programas de acesso remoto: Um verme envia uma cpia de si mesmo para outros computadores.
Capacidade de login remoto: Um verme se conecta a um sistema distante como um usurio e depois
utiliza comandos para enviar cpias de si mesmo para outros sistemas.

3 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao
Cavalo de Tria Trojan Horse: Eis o programa malicioso mais fcil de decorar para prova. Basta
lembrar-se da mitologia grega, onde os gregos tentavam invadir Tria e sem obter sucesso enviaram uma
esttua de madeira em forma de cavalo para os troianos, que aceitaram e levaram para dentro de seus
portes. A esttua foi recheada com soldados gregos que durante a noite abriram os portes portas da
cidade possibilitando a entrada dos gregos que dominaram a cidade que era to protegida.
Para segurana da Informao um programa disfarado de programa inofensivo como, por exemplo,
carto virtual, jogos e outros, que foi projetado para alm de suas funes aparentes, para executar funes
maliciosas como abrir as portas de comunicao do computador para entrada de um invasor (pessoa ou
programas maliciosos) sem o consentimento do usurio. O Cavalo de tria pode ser utilizado por um Invasor
para furtar dados pessoais (senha de bancos e outros), apagar arquivos e at mesmo para instalao de vrus
e outros.
Veja a tabela abaixo para diferenciar Vrus, Worms e Cavalo de tria:
Vrus
Infecta programas e arquivos necessita de Sim
um arquivo ou programa hospedeiro
o prprio arquivo executvel
No
Se multiplica de computador para No
computador sem necessidade de o usurio
dar inicio a ao

Worms
No

Cavalo de Tria
No

Sim
Sim

Sim
No

Spyware espies: So programas que monitoram os hbitos de um usurio. No necessariamente os


Spywares so utilizados de forma ilcita, pois muitas empresas utilizam programas dessa categoria para
monitorar o trabalho de funcionrios. Existem tambm muitos programas que trazem funes primrias
como tocadores de MP3, jogos e outros, que internamente trazem programas que monitoram o usurio para
coletar informaes que possam ser utilizados por empresas de publicidade de marketing. Mas por outro
lado os Spywares podem ser utilizados para monitorar o usurio de um computador para espionagem,
capturar informaes sigilosas de forma ilcita.
Ao ser instalado um Spyware na mquina do usurio, ele pode enviar as informaes coletadas para o
Espio por um sistema de correio eletrnico ou at mesmo de forma instantnea.
Keylogger: um programa do tipo Spyware capaz de capturar e armazenar as teclas digitadas pelo usurio
no teclado fsico de um computador. o grande terror das instituies bancrias, pois podem capturar a
senha e conta do usurio no momento da digitao, por isso implementam o que chamamos de teclado
virtual onde o usurio digita a senha atravs de cliques com o mouse, com isso dando ao usurio a garantia
do princpio da Confidencialidade SIGILO.

Teclado virtual utilizado em um site de banco


4 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

Screenlogger: um programa do tipo Spyware que captura informaes do mouse como as coordenadas
(x,y) do cursor, tambm captura a tela apresentada no monitor, nos momentos em que o mouse clicado. O
espio ao receber estes dados pode deduzir onde foi clicado no teclado virtual e montar senhas ou outros
dados.
Backdoor porta dos fundos: um programa instalado secretamente em um computador invadido que tem
por objetivo garantir o retorno facilitado do invasor sem recorrer os mtodos utilizados na invaso. O
invasor tem o controle total do computador infectado sem precisar invadi-lo novamente.
No necessariamente um Backdoor precisa estar relacionado a uma invaso j que pode ser instalado a partir
de um cavalo de tria, ou incluso como conseqncia de uma m configurao de um programa de acesso
remoto brechas.
Muitos fabricantes de Software ou computadores incluiam ou incluem backdoors em seus produtos onde
alegam que podem precisar fazer manutenes preventivas no futuro.
Adware: um programa projetado para apresentar propagandas atravs de um navegador ou outros
programas instalados na mquina do usurio que abaixa o desempenho de um computador. No
necessariamente projetado para o fim malicioso pode ser utilizados por programas que so distribudos de
forma gratuita para apresentar propagandas de patrocinadores como o MSN da Microsoft. O Adware pode
ser considerado uma espcie de Spyware caso monitore os hbitos do usurio, por exemplo, durante a
navegao na Internet para direcionar as propagandas que sero apresentadas.

Bot: um programa maliciosos bem parecido com os worms , porque podem se propagar automaticamente,
explorando vulnerabilidades existentes ou falhas em programas instalados em um computador. A diferena
que os Bots podem se comunicar com o Hacker atravs de canais IRC chats permitindo que seja
controlado remotamente.
Sniffer Farejador de Pacotes: so programas que podem ser utilizados para analisar o trfego de dados
(pacotes) de uma rede. Administradores de redes utilizam Sniffers para seu trabalho, mas tambm so
utilizados com propsitos maliciosos por invasores que tentam capturar o trfego da rede com diversos
objetivos, dentre os quais podem ser citados, obter cpias de arquivos importantes durante sua transmisso, e
obter senhas que permitam estender o seu raio de penetrao em um ambiente invadido ou ver as
conversaes em tempo real. importante ressaltar que os Sniffers s analisa o trfedo de redes locais no
sendo utilizado podendo ser utilizado para capturar pacotes na Internet.

Golpes (Scan)
Muitas empresas investem muito dinheiro na rea de segurana da informao, contratando profissionais
especializados que desenvolvem e implantam ferramentas que so necessrias para continuidade dos
negcios, mas a cada dia que passa, fraudadores criam formas para explorar as fragilidades dos usurios para
furtarem informaes que os interessam como dados bancrios, comerciais e outros.
5 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

Phishing Scan golpe do site falso


um golpe que tenta induzir um usurio a partir de um site falso a inserir informaes pessoais ou
financeiras. Naturalmente o usurio recebe um e-mail que apresenta informativo de uma instituio
indicando um procedimento que ele deve fazer, como: Atualize seus dados pessoais, clique aqui. O
usurio pensa que realmente a instituio que lhe presta servios e clica no link, automaticamente aberta
uma pgina com a aparncia idntica o da instituio no qual so solicitadas informaes pessoais, como um
nmero de conta, senhas, CPF e outros dados que sero enviados ao fraudador.
Depois de capturados, seus dados pessoais e financeiros sero enviados para os fraudadores podendo ser
utilizados em vrios golpes financeiros.
Para no cair nesse tipo de golpe o usurio no deve clicar em links suspeitos recebidos por e-mail.

Pharming DNS Cache Poisoning Envenenamento de DNS


Em um golpe de Phishing o usurio pode perceber atravs do endereo da pgina URL que est realmente
caindo em um golpe, j que este endereo no tem nada haver com o da instituio, o site tem a aparncia
idntica, mas o endereo denuncia o golpe. Atravs do golpe de Pharming o golpista tem praticamente o
mesmo objetivo quando pratica Phishing, capturar informaes sigilosas. A diferena que no golpe de
Pharming muito difcil de identificar o golpe, porque o Cracker invade o servidor DNS alterando de
forma no autorizada ligao entre o domnio do site visitado e o servidor hospedeiro.
Ao digitar a URL do site que deseja acessar, o servidor DNS converte o endereo em no IP do servidor que
armazena os arquivos do site. Se o servidor DNS estiver sendo vitima de um golpe de Pharming, o endereo
apontar para um servidor falso que apresentar uma pgina fraudulenta que esteja sob controle de um
golpista.
Veja o exemplo abaixo:

6 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao
Engenharia Social Golpe da Lbia, Persuaso
Nos golpes de engenharia social, normalmente o golpista tenta explorar a confiana do usurio, se fazendo
passar por outra pessoa para induzi-lo a passar informaes que facilitem uma invaso. Normalmente uma
invaso comea a partir da engenharia social. Imagine um Cracker que quer invadir um computador e
tenta de vrias formas e no consegue, ele ir tentar explorar a ingenuidade das pessoas da instituio,
enviando um e-mail ou telefonando pedindo que faa procedimentos que possam desabilitar ferramentas de
segurana mesmo sem a pessoa perceber, o que facilitar o seu acesso a rede da empresa;
Ataques de negao de servios (DOS Denial of Service)
uma srie de ataques que tentam inibir ou impedir o funcionamento de um Sistema deixando os recursos
indisponveis para seus utilizadores. Afeta diretamente o princpio da Disponibilidade.
Os principais alvos desse tipo de ameaa so os servidores, que so os principais responsveis pelo
fornecimento de informaes aos programas clientes que as solicitam. No se trata de uma invaso ao
sistema, mas sim da sua invalidao por sobrecarga.
Muitas pessoas podem imaginar o porque desses ataques, dentre os principais objetivos esto: Ataques de
concorrncia (para que os clientes fiquem insatisfeitos) prejudicando o desempenho da empresa, terrorismo.

SPAM
So E-mails no solicitados indesejados pelo usurio que geralmente so enviados para um grande nmero
de pessoas em massa. O contedo destes e-mails podem ser propagandas e tambm um dos mais
utilizados meios para propagao de ameaas de todos os tipos. Por um SPAM pode ser enviado programas
maliciosos em anexo e aplicado golpes como o de Phishing site falso.
HOAX
So histrias falsas, boatos, lendas urbanas distribudas via Internet. Naturalmente recebidas por e-mail, sites
de relacionamentos. Muitos Hoax circulam na Internet como: criana com Leucemia, Michel Jackson no
morreu, e um dos mais conhecidos que diz que existe um vrus com cone de um urso e que voc deve
encontr-lo atravs da pesquisa do Windows digitando seu nome jdbgmgr.exe. Esse arquivo no deve ser
apagado faz parte do Sistema e as pessoas apagavam pensando ser realmente um vrus.

Tcnicas de Segurana
Segurana pode ser entendido com um estado no qual estamos livres de perigos e incertezas. Em uma
organizao, aplica-se o termo segurana aos chamados ativos, ou seja, a tudo aquilo que possui valor para a
organizao.

7 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

comum que as organizaes possuam departamento de segurana patrimonial, que cuida da segurana
fsica, e outro departamento de segurana lgica, responsvel pela segurana dos sistemas de Tecnologia da
Informao (TI).
Classificao dos ativos:

Tangvel Mobilirio em geral, informaes impressas ou em mdia.


Intangvel Imagem da empresa, confiabilidade na marca de determinado produto ou a prpria
marca, o conhecimento dos funcionrios etc.

Classificao dos tipos de proteo:

Proteo lgica So controles efetuados atravs de Software como: Firewall, Anti vrus, senhas e
outros.
Proteo fsica Portas, fechaduras, catracas eletrnicas, dados biomtricos (digital e ris).
Proteo administrativa Conjunto de regras e procedimentos, polticas de segurana, boletins
semanais de segurana, no adianta se a empresa investe bilhes na proteo fsica e lgica se no
investir tambm em treinamentos para seus funcionrios, ou seja, na conscientizao dos mesmos.

Antivrus
So programas que varrem o computador em busca de programas maliciosos para remov-los. Protege um
computador contra infeco por programas maliciosos de vrios tipos. Atualmente trazem mecanismos que
conseguem detectar cavalos de tria, spywares e outros.
So funes de um Antivrus eficiente:
identificar e eliminar a maior quantidade possvel de vrus e outros tipos de malware programas
maliciosos;
analisar os downloads pela Internet;
verificar continuamente os discos rgidos (HDs), disco removveis (disquetes, pendrives);
procurar por programas maliciosos nos anexos dos e-mails.
possibilitar a atualizao das assinaturas de novos vrus que venham a surgir no mercado de forma
automtica.
importante destacar que para aumentar a eficincia da proteo pelo antivrus ele deve estar atualizado
constantemente.
No so funes de um Antivrus:

No capaz de impedir que um Hacker explore vulnerabilidades do seu sistema, como portas abertas
e outros.
8 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

No protege contra ataques DOS.


No capaz de proteger contra um acesso no autorizado por um Backdoor ou cavalo de tria que j
estejam instalados no computador do usurio.

Firewall

Um firewall uma barreira de proteo por onde todo trfego de dados precisa passar. Um Firewall pode ser
projetado para fazer:
- Controle de trfego separando redes, como por exemplo: uma rede privada de uma rede pblica (internet).
- Controle de acesso para proteger um computador ou uma rede contra acessos no autorizados invases.
- Filtragens de pacotes IP para saber se so pacotes autorizados a entrar na rede ou sair da rede.
- Bloquear as tentativas de invaso a um computador e possibilitar a identificao das origens destas
tentativas atravs de um LOG histrico de eventos.
- Efetuar controle de portas e servios. Por exemplo, bloquear o servio de troca de mensagens instantneas
pelo MSN e servios de FTP.
Criptografia
A criptografia uma tcnica matemtica para embaralhar informaes para que os dados possam sair da
origem e chegar ao destino de forma sigilosa.
Para acontecer o processo criptogrfico, ou seja, o embaralhamento das informaes, existem dois elementos
de grande importncia, o Algoritmo criptogrfico (programa de criptografia) e a chave (segredo da
criptografia).
Veja abaixo:

9 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

1. O remetente utiliza um programa (algoritmo criptogrfico) de criptografia para cifrar (criptografar)


uma mensagem.
2. O programa utiliza uma chave para embaralhar a mensagem.
3. A mensagem cifrada enviada ao destinatrio
4. O destinatrio recebe a mensagem cifrada e deve utilizar um programa de criptografia (natural que
seja o mesmo algoritmo utilizado no envio) para decifrar utilizando a chave que o segredo.
5. Se por acaso algum intercept-la no caminho e no tiver a chave, no vai entender o contedo da
mensagem porque estar totalmente cifrada (incompreensvel) garantindo assim o princpio da
Confidencialidade.
importante destacar que sem o conhecimento da chave no possvel decifrar o texto cifrado. Assim, para
manter uma informao secreta, basta cifrar a informao e manter em segredo a chave.

Existem duas tcnicas de criptografias muito importantes para provas de concursos, so elas: simtrica e
Assimtrica.
Simtrica (chave nica): A criptografia simtrica realiza a cifragem e a decifragem de uma informao
atravs de algoritmos que utilizam a mesma chave. A chave que cifra a mesma que deve ser utilizada para
decifrar.
Como a mesma chave deve ser utilizada na cifragem e na decifragem, a chave deve ser compartilhada entre
quem cifra e quem decifra os dados, ou seja, deve ser enviada da origem ao destino. A troca de chaves deve
ser feita de forma segura, uma vez que todos que conhecem a chave podem decifrar a informao cifrada ou
mesmo reproduzir uma informao cifrada.

10 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

A ilustrao acima mostra que a mensagem normal A senha 12345 o programa utilizou uma chave
que tornou a mensagem criptografada assim #&1aa@12*s!90 que depois foi enviada. Ao destinatrio
chega a mensagem criptografada e a chave, que sero utilizadas pelo programa para decifrar a mensagem A
senha 12345.
A chave que cifrou foi a mesma que decifrou!

Assimtrica (chave pblica): Os algoritmos de chave pblica operam com duas chaves distintas: chave
privada e chave pblica. Essas chaves so geradas simultaneamente e forma um par dependente, ou seja,
possibilita que a operao executada por uma seja revertida pela outra. A chave privada deve ser mantida em
sigilo e protegida e no deve ser passada para ningum. A chave pblica disponibilizada e tornada
acessvel a qualquer indivduo que deseje se comunicar com o proprietrio da chave privada correspondente.
Imagine que um usurio A precisa se comunicar com um usurio B de forma sigilosa utilizando
criptografia assimtrica. O usurio A tem duas chaves (pblica e privada) que so dependentes, a chave
privada ele guarda em segredo e disponibiliza sua chave pblica para quem quer se comunicar com ele, no
caso ao usurio B. Quando o usurio B precisar enviar uma mensagem criptografada para A utilizar
a chave pblica de A para cifrar e enviar.
Quando o usurio A receber a mensagem ele utilizar a
chave que forma o par, ou seja, a chave privada, que s ele conhece e que foi mantida em segredo para
decifrar a mensagem recebida.

11 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

A chave pblica do destinatrio vai cifrar a mensagem, e a chave privada do destinatrio que vai
decifrar a mensagem. Veja que as chaves so dependentes e se completam para o processo da criptografia
assimtrica acontecer.
Simtrica x Assimtrica
Simtrica
Utiliza uma nica chave. A chave que
cifra a mesma que decifra.
A chave deve ser compartilhada entre os
usurios

Assimtrica
Utiliza duas chaves distintas. Uma chave
cifra e outra decifra.
A chave privada deve ser mantida em
segredo e no deve ser compartilhada, a
pblica a que deve ser compartilhada.
Considerada menos segura j que a chave mais segura, pois a chave que decrifra a
deve ser compartilhada
mensagem est mantida em segredo, e s
quem a tem pode decifrar uma mensagem.
Processo rpido e simples de criptografia. Processo mais lento e complexo.
Algoritmos DES, 3DES, AES
Algoritmo RSA
Vimos que a criptografia assimtrica utilizada nos exemplos anteriores garante que o usurio A troque
informaes como o usurio B de forma sigilosa garantindo o principio da confidencialidade, mas tambm
12 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao
pode ser utilizada para garantir o principio da autenticidade e no repdio quando utilizada na assinatura
digital.

Assinatura digital
A assinatura digital utiliza a criptografia assimtrica para garantir que o destinatrio possa conferir a
Autenticidade do documento recebido. As chaves so aplicadas no sentido inverso de quando so utilizadas
para garantir sigilo. O autor de um documento utiliza sua chave privada para assin-lo de modo a garantir
sua autoria em um documento, j que s ele conhece sua chave privada, garantindo que ningum possa ter
uma assinatura igual a sua, princpio da Autenticidade.

Se o usurio A assinar um documento com sua chave privada e enviar para o usurio B, ele poder
conferir se a assinatura verdadeira, pois tem acesso chave pblica de A. Alm disto, qualquer outra
pessoa que possui a chave pblica de A poder conferir tambm a assinatura.

A assinatura digital garante a AUTENTICIDADE e o NO REPDIO. O usurio que receber o documento


assinado tem a garantia de que a assinatura realmente do remetente e que ele no pode negar a autoria;
A funo de HASH um resumo da mensagem que ser enviada. um mtodo matemtico que utiliza
criptografia para garantir a integridade (no modificao) dos dados que sero enviados.
Teoricamente o "hash a transformao de uma grande quantidade de informaes em uma pequena
quantidade de informaes, ou seja, um resumo.
Depois de criado o hash da mensagem, ser enviado junto com a mensagem ao destinatrio, que atravs de
um programa ir calcular o hash para ver se tem exatamente as mesmas caractersticas do documento
enviado.
13 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

O resumo criptogrfico o resultado retornado por uma funo de hash. Este pode ser comparado a uma
impresso digital, pois cada documento possui um valor nico de resumo e at mesmo uma pequena
alterao no documento, como a insero de um espao em branco, resulta em um resumo completamente
diferente garantindo assim que o destinatrio possa saber se a mensagem foi alterada durante o envio.
A assinatura digital garante:
Autenticidade, No repdio (utilizando as chaves da criptografia assimtrica)
Integridade (utilizando o HASH) e a Integridade.
No garante a Confidencialidade, pois no cifra o contedo da mensagem, utiliza a criptografia para assinar
e conferir documentos.
CERTIFICADO DIGITAL
O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para
comprovar sua identidade.
Um Certificado Digital normalmente apresenta as seguintes informaes:

nome da pessoa ou entidade a ser associada chave pblica


perodo de validade do certificado
chave pblica
nome e assinatura da entidade que assinou o certificado
nmero de srie

14 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

O Certificado digital a garantia de que a chave pblica que ser utilizada tanto na conferncia de uma
Assinatura digital quanto na criptografia de dados faz parte realmente da instituio que o usurio est se
comunicando.

SSL (Secure Socket Layer)


um protocolo de segurana que utiliza criptografia para fazer comunicao entre o navegador e o servidor
de forma sigilosa.
Hoje a Internet utilizada por muitas empresas para transaes financeiras como o caso de sites de
comrcio eletrnico e de bancos. Essas aplicaes disponibilizaro ao cliente formulrio para preenchimento
de dados necessrios para realizar a transao, como um site de comrcio eletrnico faz disponibilizando
campos, nome, endereo, telefone, CPF, nmero do carto de crdito e outros. Assim o usurio deseja ter
confiana de que estes dados preenchidos no sero vistos por pessoas no autorizadas.
muito importante antes de efetuar qualquer transao via formulrios verificar se o site que voc est
utilizando garante o sigilo da comunicao entre voc e o servidor, e para fazer isso basta verificar o
endereo do site. Se possuir o endereo com o protocolo HTTP quer dizer que o navegador no est se
comunicando com o servidor de forma sigilosa, e se possuir HTTPS a utilizao do protocolo HTTP sobre
uma camada de segurana (SSL) que criptografa as informaes trocadas entre o navegador e o servidor.

15 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

No exemplo acima estamos observando a rea de contatos do meu site com o endereo URL
http://www.leomatos.com.br, que apresenta um formulrio que ser preenchido e enviado de forma no
criptografada para o servidor, no garantindo o sigilo da comunicao.

No exemplo acima estamos rea de abertura de contas do site do Banco do Brasil com a URL HTTPS://
www16.bancodobrasil.com.br,que apresenta um formulrio que ser preenchido e enviado de forma
criptografada para o servidor garantindo que se algum interceptar as informaes no caminho no
conseguir entend-las garantindo o principio da confidencialidade.
Embora o servio que mais utilize o SSL seja o servio de navegao na Web no se limita apenas essa
finalidade.
16 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

Naturalmente quando acessos um site que utiliza o protocolo HTTPS podemos observar a presena de um
cadeado ao lado do endereo no navegador utilizado.

A presena do cadeado no garante que o site autntico (verdadeiro) podendo at mesmo o usurio estar
utilizando um site falso (golpe de phishing). At mesmo os sites falsos podem apresentar o desenho do
cadeado.
Ento o que garante que o usurio est preenchendo um formulrio e que o servidor que receber a
mensagem verdadeiro?
O usurio deve verificar se o site est utilizando realmente a chave pblica do Banco do Brasil para
criptografar os dados do formulrio atravs do certificado digital.
Para visualizar o certificado digital do Banco do Brasil basta o usurio clicar sobre o cadeado e pedir para
exibi-lo.

O certificado digital trar informaes suficientes para ter a garantia de que a chave pblica utilizada
realmente de um site verdadeiro (autntico) e no de um fraudador que criou um site falso que colocou uma
chave pblica falsa para criptografar os dados.

17 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

VPN (Virtual private network Rede Virtual privada)


natural que muitas empresas tenham a expanso dos negcios em filiais espalhadas por muitos estados ou
at mesmo pases. Quando essas filiais querem trocar informaes natural utilizar a Internet, mas como
uma rede pblica no existe privacidade nessas comunicaes j que muitas pessoas tambm esto
conectadas o que torna a comunicao mais vulnervel a interceptaes de dados.
Quando uma empresa queria conectar suas filiais de forma privada era comum contratarem servios de
telefonia dedicada a essas operaes o que por sinal muito invivel financeiramente falando.
Hoje empresas utilizam a VPN que um canal (tnel) virtual privado que utiliza a prpria rede pblica
(Internet) para comunicao entre suas filiais.
Esse conceito parece um tanto contraditrio! Como utilizar uma rede que pblica para comunicao de
forma privada?
A resposta est nos protocolos utilizados no momento da comunicao pela VPN, por tunelamento, que
feita utilizando protocolos que criptografam as comunicaes garantindo que somente pessoas autorizadas
tenho acesso a essas informaes.
O projeto mais comum de uma VPN equipar cada filial com um Firewall e criar tneis pela Internet entre
todos os pares de filiais utilizando os protocolos de criptografia. Veja abaixo:
18 PROIBIDO REPRODUZIR OU COMERCIALIZAR
www.estudioaulas.com.br

Professor Lo Matos
Segurana da Informao

Nota: As Intranets de Empresas podem ou no utilizar a VPN para que as filiais troquem informaes de
forma criptografada.

19 PROIBIDO REPRODUZIR OU COMERCIALIZAR


www.estudioaulas.com.br