Segurança e privacidade na sociedade da informação

Prévia do material em texto

*
*
*
Segurança e Privacidade na Sociedade da Informação
Profª: MSc. Aline Lopes
*
*
*
Roteiro
1- Conceitos básicos e problemas
Problemas
Sistemas criptográficos
Sistemas de assinaturas
Privacidade digital
2 – Serviços 
Estudo de casos
Crimes digitais
*
*
*
Contexto
Vivemos na era digital
Realizamos as mais diversas operações em um ambiente compartilhado
Situações 
Comércio eletrônico
Transações bancárias
Compartilhamento de arquivos
Estamos realmente seguros neste ambiente?
*
*
*
Problemas
Acesso a conteúdos impróprios ou ofensivos 
Furto de identidade
Furto e perda de dados
Invasão de privacidade
Plágio e violação de direitos autorais
*
*
*
Mecanismos de segurança
Para garantir o acesso e disponibilização de forma segura alguns mecanismos precisam ser atendidos:
Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é. 
Autenticação: verificar se a entidade é realmente quem ela diz ser. 
Autorização: determinar as ações que a entidade pode executar.
*
*
*
Mecanismos de segurança
Integridade: proteger a informação contra alteração não autorizada. 
Confidencialidade ou sigilo: proteger uma informação contra acesso não autorizado. 
Não repúdio: evitar que uma entidade possa negar que foi ela quem executou uma ação. 
Disponibilidade: garantir que um recurso esteja disponível sempre que necessário. 
*
*
*
Comunicação segura
Objetivos
Proteção a comunicação e recursos de rede.
Detectar possíveis ataques e consequente reagir aos mesmos.
Como? Quais mecanismos ?
*
*
*
Mecanismos de segurança: criptografia
A necessidade de proteger a informação em um ambiente compartilhado buscou-se mecanismos de mascarar a informação.
Este é objetivo da criptografia, transformá-la de alguma forma de modo que semente pessoas permitidas possam ter acesso a determinada informação. 
*
*
*
Mecanismos de segurança: criptografia
Criptografia simétrica
É a técnica de criptografia onde é utilizada a mesma chave para criptografar e descriptografar os dados.
Ex: Aplicações militares
Processo de criptografar utilizando criptografia simétrica: 
DADOS ---------------->CHAVE SIMÉTRICA + ALGORITMO--------------> TEXTO CIFRADO 
Processo de decriptografar utilizando criptografia simétrica: 
TEXTO CIFRADO--------------->CHAVE SIMETRICA + ALGORITMO--------------->DADOS
 (mesma chave utilizada no processo de criptografar)
*
*
*
Mecanismos de segurança: criptografia
Criptografia assimétrica
É a técnica de criptografia onde é utilizada duas chaves uma para criptografar e outra descriptografar os dados.
Ex.: Comércio eletrônico
 Transações bancárias
*
*
*
Mecanismos de segurança: criptografia
Criptografia assimétrica
Passo 2: Bob cifra a mensagem com a chave pública de Alice e envia para Alice, que recebe e decifra o texto utilizando sua chave privada
Passo 1: Alice envia sua chave pública para Bob
*
*
*
Mecanismos de segurança: criptografia
Criptografia assimétrica
Processo de criptografar utilizando criptografia assimétrica: 
DADOS ---------------->CHAVE PÚBLICA + ALGORITMO--------------> TEXTO CIFRADO 
Processo de descriptografar utilizando criptografia assimétrica: 
TEXTO CIFRADO--------------->CHAVE PRIVADA + ALGORITMO--------------->DADOS
 (somente a chave privada será capaz de decriptografar)
 
DADOS ---------------->CHAVE PRIVADA + ALGORITMO--------------> INFORMAÇÃO CIFRADA
Processo de descriptografar utilizando criptografia assimétrica: 
INFORMAÇÃO CIFRADA--------------->CHAVE PÚBLICA + ALGORITMO--------------->DADOS 
*
*
*
Mecanismos de segurança :assinatura digital
Objetivos
Provar que você é quem diz ser e concorda com o conteúdo de um documento.
Válida somente no mundo digital.
Características
Verificável
Não falsificável
Incontestável
*
*
*
Mecanismos de segurança : certificados digitais
Quando se usa criptografia de chave pública, as chaves públicas dos usuários ou sistemas podem estar assinadas digitalmente por uma Entidade Certificadora (CA – Certification Authority Authority) .
Com isso a utilização ou publicação falsa dessas chaves pode ser evitada.
As chaves públicas assinadas digitalmente por uma autoridade certificadora confiável constituem os certificados digitais
*
*
*
Mecanismos de segurança : firewalls
È uma combinação de hardware e software que isola a rede interna de uma organização da Internet em geral, permitindo que alguns pacotes passem e bloqueando outros.
Controla o acesso ao mundo externo.
Facilita a administração e a imposição de uma politica de segurança de acesso.
*
*
*
Mecanismos de segurança : firewalls
Há dois tipos de firewall:
Filtragem de pacotes
Análise de pacotes que trafegam na rede.
Gateways de camada de aplicação
Conhecidos como serviços de proxy.
*
*
*
Mecanismos de segurança : ferramentas antimalware
Ferramentas antimalware são aquelas que procuram detectar e, então, anular ou remover os códigos maliciosos de um computador. Antivírus, antispyware, antirootkit e antitrojan são exemplos de ferramentas deste tipo. 
Entre as diferentes ferramentas existentes, a que engloba a maior quantidade de funcionalidades é o antivírus. Apesar de inicialmente eles terem sido criados para atuar especificamente sobre vírus, com o passar do tempo, passaram também a englobar as funcionalidades dos demais programas, fazendo com que alguns deles caíssem em desuso. 
*
*
*
Mecanismos de segurança : ferramentas antimalware
Há diversos tipos de programas antimalware que diferem entre si das seguintes formas: 
1 Método de detecção: assinatura (uma lista de assinaturas é usada à procura de padrões), heurística (baseia-se nas estruturas, instruções e características que o código malicioso possui) e comportamento (baseia-se no comportamento apresentado pelo código malicioso quando executado) são alguns dos métodos mais comuns. 
*
*
*
Mecanismos de segurança : ferramentas antimalware
Há diversos tipos de programas antimalware que diferem entre si das seguintes formas: 
2 Forma de obtenção: podem ser gratuitos (quando livremente obtidos na Internet e usados por prazo indeterminado), experimentais (trial, usados livremente por um prazo predeterminado) e pagos (exigem que uma licença seja adquirida). Um mesmo fabricante pode disponibilizar mais de um tipo de programa, sendo que a versão gratuita costuma possuir funcionalidades básicas ao passo que a versão paga possui funcionalidades extras, além de poder contar com suporte. 
*
*
*
Mecanismos de segurança : ferramentas antimalware
Há diversos tipos de programas antimalware que diferem entre si das seguintes formas: 
3 Execução: podem ser localmente instalados no computador ou executados sob demanda por intermédio do navegador Web. Também podem ser online, quando enviados para serem executados em servidores remotos, por um ou mais programas. 
4 - Funcionalidades apresentadas: além das funções básicas (detectar, anular e remover códigos maliciosos) também podem apresentar outras funcionalidade integradas, como a possibilidade de geração de discos de emergência e firewall pessoal.
*
*
*
Mecanismos de segurança : filtro anti-spam
Os filtros antispam já vem integrado à maioria dos Webmails e programas leitores de e-mails e permite separar os e-mails desejados dos indesejados (spams).
A maioria dos filtros passa por um período inicial de treinamento, no qual o usuário seleciona manualmente as mensagens consideradas spam e, com base nas classificações, o filtro vai "aprendendo" a distinguir as mensagens. 
*
*
*
Políticas de segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. 
É considerada como um importante mecanismo de segurança, tanto para as instituições comopara os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas.
*
*
*
Políticas de segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. 
É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas.
*
*
*
Políticas de segurança
A política de segurança define os direitos e as responsabilidades de cada um em relação à segurança dos recursos computacionais que utiliza e as penalidades às quais está sujeito, caso não a cumpra. 
É considerada como um importante mecanismo de segurança, tanto para as instituições como para os usuários, pois com ela é possível deixar claro o comportamento esperado de cada um. Desta forma, casos de mau comportamento, que estejam previstos na política, podem ser tratados de forma adequada pelas partes envolvidas.
*
*
*
Políticas de segurança
A política de segurança pode conter outras políticas específicas, como: 
Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais, como tamanho mínimo e máximo, regra de formação e periodicidade de troca. 
Política de backup: define as regras sobre a realização de cópias de segurança, como tipo de mídia utilizada, período de retenção e frequência de execução. 
*
*
*
Políticas de segurança
A política de segurança pode conter outras políticas específicas, como: 
Política de privacidade: define como são tratadas as informações pessoais, sejam elas de clientes, usuários ou funcionários. 
Política de confidencialidade: define como são tratadas as informações institucionais, ou seja, se elas podem ser repassadas a terceiros. 
Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de "Termo de Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as responsabilidades de quem os utiliza e as situações que são consideradas abusivas.