N1_AULA 6

Prévia do material em texto

Disciplina: Segurança e Preservação de Dados 
Mecanismos de Segurança 
 
 
 
 
Segurança da Informação 
 
 
Ricardo Kléber 
Mecanismos de segurança 
Como identificar, combater e responder a ameaças? 
● Medidas Físicas 
● Cuidados/regras com equipamentos e ambientes 
● Assunto não será abordado nesta disciplina 
● Medidas Organizacionais 
● Segurança organizacional e/ou administrativa (normas e procedimentos) 
● Assunto parcialmente abordado em Padrões de Segurança da Informação 
● Medidas Físicas (técnicas) 
Segurança da Informação 
 
 
● Mecanismos lógicos (com forte dependência de software) 
● Controle de perímetro e/ou de acesso a dados 
Mecanismos de segurança 
Como identificar, combater e responder a ameaças? 
● Segurança em protocolos/serviços 
● Uso de Criptografia (no armazenamento e transmissão de dados) 
● Segurança em sistemas operacionais, aplicativos e protocolos/serviços 
● Firewalls 
● 
● IDS (Sistemas de Detecção de Intrusões) 
Segurança da Informação 
 
 
● VPNs (Redes Virtuais Privadas) 
● Controlando o acesso a sistemas (autenticação) 
● Padronização / uso de normas / política de segurança 
Mecanismos (complementares) de segurança 
Grupos Especializados 
Segurança da Informação 
 
 
CSIRT's (Computer Security Incident Response Team's) http://www.cert.br/csirts/brasil/ 
Criados e mantidos por 
instituições públicas e privadas para 
gerenciar proativamente a segurança 
institucional 
CERT 
● www.cert.org 
CERT.Br 
● www.cert.br 
CAIS/RNP 
● www.cais.rnp.br 
 
 
Disciplina: Segurança e Preservação de Dados Ricardo Kléber 
 
 
 
 
Segurança da Informação 
Boas Práticas 
Acompanhamento de vulnerabilidades 
● Bugtraq http://bugtraq-team.com 
● Securityfocus http://www.securityfocus.com 
● CVE = Common Vulnerabilities and Exposures www.cve.mitre.org 
● CWE = Common Weakness Enumeration www.cwe.mitre.org 
● NVD = National Vulnerability Database (US-CERT) 
http://web.nvd.nist.gov/view/ncp/repository 
● Central de Proteção e Segurança Microsoft 
http://www.microsoft.com/pt-br/security/default.aspx 
● Microsoft Security TechCenter http://technet.microsoft.com/pt-
br/security/ 
 
 
 
Segurança da Informação 
Boas Práticas 
Observação permanente aos acontecimentos externos 
● Participação em eventos da área (ou acesso ao material apresentado) 
● http://gts.nic.br 
● http://www.iccyber.org 
● Simpósio Brasileiro de Segurança (SBSEG) 
● http://www.blackhat.com 
● http://www.defcon.org 
● Listas de discussão específicas 
● Relatórios de incidentes e/ou novas ameaças (instituições públicas e privadas) ● 
Deep Web !!?? 
Criptografia 
 
 
Contextualização 
O impulso para descobrir segredos está profundamente 
enraizado na natureza humana. 
Mesmo a mente menos curiosa é estimulada pela 
perspectiva de compartilhar o 
Conhecimento oculto aos outros” 
 (John Chadwick) 
 
Criptografia 
 
 
 
 Segurança da Informação x Criptografia
 
“À medida em que a informação se torna uma mercadoria 
cada vez mais valiosa e a revolução nas comunicações muda a 
sociedade, o processo de 
Codificação de mensagens vai desempenhar um processo cada 
vez maior na vida diária” 
 (Simon Singh) 
 
Criptografia 
 
 
Definição 
► Comunicação secreta por cifragem da mensagem 
► Do grego : kriptos = oculto 
graphein = escrever 
► A mensagem é misturada de acordo com um protocolo 
específico estabelecido previamente entre o transmissor e o 
receptor 
► Vantagem : leitura ilegível caso interceptada 
► Base tecnológica para a resolução de problemas de 
segurança em sistemas computacionais 
Criptografia 
 
 
 Principais Conceitos 
► Algoritmo 
 É o próprio processo de substituição ou transposição 
 Passos a serem tomados para realizar a encriptação 
► Chave 
Define o alfabeto cifrado exato que será utilizado em uma 
codificação em particular 
Criptografia 
 
 
O algoritmo utilizado em um processo de 
encriptação pode ser divulgado sem 
problemas. 
A chave, porém, deve ser uma 
informação confidencial do 
remetente e do destinatário 
Tipos de Criptografia 
Simétrica 
► Também conhecida como tradicional 
► Origem e destino compartilham uma única chave 
► Computacionalmente leves / rápidos 
Criptografia 
 
 
Assimétrica 
► Cada entidade possui um par de chaves 
 (Pública/privada) 
► Computacionalmente pesados / lentos 
Criptografia 
 
 
Tipos de Criptografia (Ilustração) 
 
 Meio 
 
Criptograma 
 
Transmissor 
 
 
 
 
 
 
 
 
 
 
 
Criptografia Simétrica 
Principal Algoritmo 
Algoritmo DES (Data Encription Standard) 
► Criado em 1977, como um padrão para comunicação segura 
► Principal Algoritmo derivado da criptografia simétrica 
► Algoritmo de criptografia mais usado até os dias atuais 
(forma original ou alterações) 
 
 
 
Todos os 
algoritmos frutos da criptografia simétrica 
incorrem no problema de distribuição da 
chave 
Criptografia Assimétrica Principal Algoritmo 
Algoritmo RSA (Rivest Shamir e Adleman) 
► Proposta em 1976 
► Cada usuário que deseja utilizar um algoritmo assimétrico possui um par de 
chaves (calculadas de forma independente): 
● Uma chave pública, distribuída livremente 
● Uma chave privada, secreta 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
 
► Para se comunicar com outro usuário deve-se 
possuir a sua chave pública 
► Uma mensagem criptografada com a chave 
pública de um usuário só pode ser 
decriptografada por sua chave privada 
 
Possível captura de login/senha e dados 
 Telnet :: Comunicação Remota em modo texto 
 Quase não é mais utilizado em servidores 
 Mas presente em muitos ativos de rede (switches e roteadores) 
 
 
 
 FTP :: Transferência de Arquivos 
 Ainda é muito usado por 
Webmasters 
 FTP Público não é problema 
 POP3 :: Transferência de arquivos de e-mail servidor/cliente 
 Problema minimizado pelo uso de Webmails 
 SMTP :: Envio de e-mails 
 Não autentica o emissor (não solicita login/senha para envio) 
 Problema também minimizado pelo uso de Webmails 
Fragilidade do HTTP principalmente se usar login/senha 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
Exemplo de fragilidade de protocolos de rede sem criptografia 
 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
Exemplo de fragilidade de protocolos de rede sem criptografia 
Remontagem de sessão FTP com opção Follow TCP Stream 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
 
Exemplo de fragilidade de protocolos de rede sem criptografia 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
Remontagem de sessão Telnet com opção Follow TCP Stream 
 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
Exemplo de fragilidade de protocolos de rede sem criptografia 
Remontagem de sessão HTTP com opção Follow TCP Stream 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
 
Exemplo de fragilidade de protocolos de rede sem criptografia 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
Remontagem de sessão POP3 com opção Follow TCP Stream 
 
Adicionando Criptografia a Protocolos Frágeis 
Criptografia 
Importância do Uso em Protocolos de Rede 
 
Tráfego de rede analisado com a ferramenta Wireshark 
• Telnet x SSH 
• FTP x SCP / FTPS 
• POP3 x POP3S 
• SMTP x SMTPS 
• HTTP x HTTPSCriptografia 
 
 
Reflexão... 
“Será que algum dia os criadores de códigos conseguirão 
elaborar um código realmente indecifrável e triunfar na 
busca pelo segredo absoluto? 
Ou será que os decifradores poderão construir uma 
máquina capaz de decifrar qualquer mensagem?” 
(Simon Singh) 
Esteganografia 
Contextualizando (história) 
 
 
Antes da Criptografia 
Área tão (ou mais) importante já existia... 
Esteganografia (Steganography) 
⇨ Comunicação secreta por ocultação de mensagem 
⇨ Do grego : steganos = coberto 
graphein = escrever 
⇨ Utilizada atualmente para esconder textos em 
Imagens, vídeos ou em outros textos 
 
 
 
⇨ Segurança por obscuridade 
 
 480 a.C. – Grécia x Pérsia 
⇨ Narrado por Heródoto 
⇨ Xerxes, Rei dos Reis, líder dos persas 
⇨ Construção de Persépolis 
⇨ Atenas e Esparta não presentearam o Reino 
⇨ Cinco anos montando seu exército 
⇨ Planejamento de ataque-surpresa a Esparta 
 
Esteganografia 
Contextualizando (história) 
 
 
⇨ Demarato, grego que vivia em Susa (Pérsia) ⇨ 
Mensagem contando planos de invasão ⇨ Desafio : 
Como enviar a mensagem ? 
⇨ Tabuletas de Madeira (revestidas de cera) 
⇨ Mensagem entregue ao destino 
⇨ Gorgo, filha de Cleômenes, desconfiou 
⇨ Armadilha e humilhação do exército persa 
Esteganografia 
Contextualizando (história) 
 
 
 Outra Técnica de Ocultação 
⇨ Também narrada por Heródoto 
⇨ Histaeu queria encorajar Aristágora de Mileto a se revoltar contra 
o rei persa 
⇨ Raspagem da cabeça do mensageiro 
⇨ Mensagem escrita no couro cabeludo ⇨ 
Espera pelo crescimento do cabelo 
⇨ Mensageiro revistado sem problemas 
Esteganografia 
Contextualizando (história) 
 
 
 
 
⇨ Chegada ao destino : Nova raspagem da cabeça 
 Técnica Chinesa Antiga 
 ⇨ Escrita em seda fina 
 ⇨ Mensagem amassada e coberta com cera 
 ⇨ Bola de cera engolida pelo mensageiro 
 ⇨ Leitura no destino dependia da digestão 
Esteganografia 
Contextualizando (história) 
 
 
Século I d.C. :: Tinta Invisível 
⇨ Descrita por Plínio, o velho 
⇨ “leite” da planta titímalo 
⇨ Transparente depois de seca 
⇨ Aquecimento suave queima a tinta, deixando a mensagem 
escrita marrom 
Esteganografia 
Contextualizando (história) 
 
 
Século XVI :: Mensagem no Ovo Cozido 
⇨ Cientista Italiano Giovanni Porta 
⇨ Tinta feita com alume e vinagre 
⇨ Escrita sobre a casca do ovo cozido 
⇨ Solução penetra na casca e estampa o ovo 
⇨ Para ler basta retirar a casca do ovo 
Esteganografia 
 
 
Exemplificando... 
Exemplo de Mensagem escondida em Texto 
O Senhor Evandro quer usar este salão temporariamente. 
Relembre o fato ocorrido, isto poderia estragar 
relíquias, florais e imagens talhadas. Obrigado. 
Esteganografia 
 
 
 
Algo “anormal” nesta mensagem? 
Exemplificando... 
Exemplo de Mensagem escondida em Texto 
Esteganografia 
 
 
O Senhor 
Evandro quer usar este salão temporariamente. 
Relembre o fato ocorrido, isto poderia estragar relíquias, 
florais e imagens talhadas. Obrigado. 
O sequestro foi perfeito 
Esteganografia 
 
 
Ferramentas
 
⇨Steghide 
Esteganografia 
 
 
⇨Camouflage 
⇨S-tools 
⇨Invisible Secrets 
⇨Gifshuf 
⇨Hideseek 
⇨Gifclean 
⇨HIP (Hide in Picture) 
Esteganografia 
 
 
 
Esteganografia 
 
 
 
Esteganografia 
 
 
 
 
Esteganografia 
 
 
http://www.zdnet.com/article/terrorists-and-
steganography 
http://archive.wired.com/politics/law/news/2001/02/4165
8