Temporada II Segurança da Informação

Prévia do material em texto

1º Desafio - Varredura de Portas e Serviços
A empresa ABC contratou você para gerenciar a equipe de segurança da informação e suporte de redes.
​​​​​​​Dada a sua nova função, seu gerente solicitou que você listasse medidas para que esse tipo de situação não volte a se repetir, devendo apresentar precauções a serem tomadas pela empresa.
Padrão de resposta esperado
Algumas ações podem ser tomadas quanto à confidencialidade das informações:
Encriptação: a transformação de informação utilizando um segredo chamado chave de encriptação, de modo que essa informação transformada possa apenas ser lida fazendo uso outro segredo, denominado chave de decriptação.
Controle de acesso: regras e políticas que limitam o acesso à informação confidencial apenas para aquelas pessoas e/ou sistemas que terão a necessidade de saber.
Autenticação: determinação da identidade ou do papel de alguém. Essa determinação pode ser feita de diversas maneiras. Geralmente, é baseada em uma combinação de algo que a pessoa tem (como um cartão inteligente ou um dispositivo que armazena chaves secretas), algo que a pessoa sabe (como uma senha) e algo que a pessoa é (como a sua impressão digital).
Autorização: determinação se uma pessoa ou um sistema tem permissão de acessar os recursos, com base em uma política de controle de acesso.
Segurança física: estabelecimento de barreiras físicas para limitar o acesso a recursos computacionais protegidos. Tais barreiras incluem cadeados em gabinetes e portas, a colocação de computadores em salas sem janelas, o uso de sólidos materiais de isolamento, dentre outros.
_____________________________________________________________________________
2º Desafios - Funções Hash
Um algoritmo de hash consiste em uma função matemática, aplicada em um conjunto de dados, que vai gerar um outro número aleatório, bem menor, conhecido como hash ou resumo. As funções de hash mais utilizadas ultimamente são algoritmos que geram resumos de 16 bytes ou de 128 bits. Os mais comuns são os algoritmos da família MD e, também, os algoritmos da família SHA. 
​​​​​​​Qual algoritmo de hash você utilizaria para fazer esse tipo de operação em seu site? Como funciona?
Padrão de resposta esperado
O algoritmo utilizado deve ser de dispersão criptográfica, chamado de MD5t, pois é um dos mais utilizados para verificação de integridade de arquivos baixados da Internet. Funciona da seguinte forma: o site que disponibiliza um arquivo para download tem o hash correto e, muitas vezes, o divulga, a fim de que o usuário que baixou o arquivo possa verificar a sua integridade. Da mesma maneira, o sistema no qual o usuário fez a digitação da senha tem o hash adequado; sendo assim, a comparação do que foi digitado com o que era esperado é realizada.
3º Desafio - Análise de vulnerabilidade em serviços de informação
O mercado de trabalho vem se tornando cada vez mais amplo e diversificado para as pessoas que atuam como profissionais de segurança da informação. Nessa perspectiva, é essencial que conheçam as diversas ferramentas de análise a vulnerabilidades, a fim de que possam avaliar algumas situações com mais segurança, como no caso a seguir.
​​​​​​​
​​​​​​​Diante desse cenário, você, como funcionário da área de segurança da informação da empresa, foi chamado para auxiliar na resolução do problema. Informe qual será a sua decisão frente à situação exposta.
Padrão de resposta esperado
Como profissional de segurança da informação, propõe o uso de um servidor proxy, muito comum para prevenir ataques de negação de serviço, atuando como ponte entre a Internet e as máquinas da rede. Além disso, filtra o tráfego indesejado e deixa passar o verdadeiro.
Esse servidor deve ser configurado com bloqueio de acesso às redes sociais e a sites de vídeos, como o YouTube. Além disso, é ideal que se configure também restrição a outras páginas de conteúdo indevido dentro do contexto empresarial, como as de pornografia.
4º Desafio - Assinatura Digital
A criptografia é a codificação de dados que precisam ficar incompreensíveis e ininteligíveis para pessoas que não estão participando de uma transação específica.
Neste Desafio, considere que você trabalha na área de segurança de informação de uma empresa e precisa decidir o tipo de criptografia a ser utilizada para trocar arquivos com os clientes. Você deve escolher entre a criptografia simétrica e a assimétrica bem como explicar a sua escolha aos gestores da empresa. Qual você escolhe e por quê?
                            
                  

  !   
     "                   
       #$                      
%& '
(             )      )    
   #     %  )           
 
(           )         )  *  
*    +      )                *   %    
 #
                 *  )      *
          ,    #          )
-*
          
               &          
                        )  *
    *!                      
)&,
                            
                  

  !   
     "                   
       #$                      
%& '
(             )      )    
   #     %  )           
 
(           )         )  *  
*    +      )                *   %    
 #
                 *  )      *
          ,    #          )
-*
         
               &          
                        )  *
    *!                      
)&,
Padrão de resposta esperado
O correto é usar a criptografia assimétrica, que utiliza duas chaves, uma para criptografar e outra para descriptografar os dados, que, apesar de serem diferentes, têm uma coerência matemática entre si. O algoritmo utilizado é mais complexo; por isso, o processo de criptografia é mais lento; em compensação, é bem mais seguro.
Somente uma das partes envolvidas na transação tem a chave privada, sendo que as outras partes conhecem a chave pública. Esta é divulgada para todos, enquanto que a chave privada é mantida em segredo, sendo, praticamente, impossível deduzi-la. Essas características oferecem mais segurança e confiabilidade para a operação de envio e de recebimento de arquivos.