Aula 10_GESTAO DE SEGURANÇA DE REDES

Prévia do material em texto

*
*
GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS
 SEGURANÇA NO 
COMÉRCIO ELETRÔNICO
 
*
*
SEGURANÇA NO COMÉRCIO ELETRÔNICO
OBJETIVO
	Identificar as principais características do comércio eletrônico as técnicas utilizadas para prover segurança ao mesmo.
*
*
CONCEITO
	Comércio Eletrônico (e-commerce) pode ser entendido como uma combinação de tecnologias, aplicações e procedimentos negociais que permitem a transação on-line de bens e serviços entre governos, sociedades e empresas. 
 Um conceito básico para comércio eletrônico seria defini-lo como qualquer transação comercial por meio eletrônico.
*
*
FUNDAMENTO DO COMÉRCIO ELETRÔNICO
 Segurança;
 Criptografia;
 Moedas e pagamentos eletrônicos
*
*
HISTÓRICO
	A Internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de interconexão dos computadores de instituições de pesquisa, de ensino e governamentais. Essa rede fornecia os serviços básicos de correio eletrônico, transferência de arquivos e compartilhamento de impressoras, e foi projetada para uso de uma comunidade restrita de usuários que confiavam mutuamente entre si (SMITH & GIBBS, 1994). Não foi concebida para um ambiente comercial e sendo assim é vulnerável a vários tipos de ataques.
*
*
HISTÓRICO
	Originalmente, comércio eletrônico significava a facilitação de transações comerciais eletrônicas, usando tecnologias como:
Eletronic Data Interchange (EDI) - troca de documentos via sistemas de teleinformática entre duas ou mais organizações de forma padronizada. 
Eletronic Funds Transfer (EFT) - transferência eletrônica de dinheiro de uma conta para outra.
*
*
RISCOS DE COMÉRCIO ELETRÔNICO
	 Atualmente é um tipo de transação comercial feita especialmente através de um equipamento eletrônico, aplicada aos negócios, criando, alterando ou redefinindo valores.
Receio do consumidor em comprar online; 
Questões de segurança da informação; 
Transações fraudulentas; 
Questões de privacidade; 
Compras baseadas apenas em fotos sem manusear o produto; 
Possível dificuldade com devoluções.
*
*
DESAFIOS
	A segurança é um dos fatores que distingue as lojas de comércio eletrônico perante os consumidores.
Consumidores passam a exigir mais garantias, a preocupação torna-se maior e isso cria um novo e promissor cenário: o de oferecer aos consumidores algo além da qualidade, da garantia de entrega e dos melhores preços. A garantia de seu direito à privacidade.
*
*
PRINCIPAIS AMEAÇAS
 Acesso não autorizado
 Alteração de dados
 Monitorização
 Spoofing
 Negação de serviço
 Repudio
*
*
PRINCIPAIS PROBLEMAS DE SEGURANÇA
 Privacidade
 Autenticação
 Autorização
 Integridade 
 Não repudio
*
*
CONCEITOS DO 
SISTEMA DE PAGAMENTOS BRASILEIRO - SPB
	 O SPB é o conjunto de procedimentos, regras, instrumentos e operações integrados que, por meio eletrônico, que dão suporte à movimentação financeira entre os diversos agentes econômicos do mercado brasileiro, tanto em moeda local quanto estrangeira, visando a maior proteção contra rombos ou quebra em cadeia de instituições financeiras.
*
*
CONCEITOS DO 
SISTEMA DE PAGAMENTOS BRASILEIRO - SPB
Função básica - permitir a transferência de recursos financeiros, o processamento e a liquidação de pagamentos para pessoas físicas, jurídicas e entes governamentais.
*
*
CONCEITOS DO 
SISTEMA DE PAGAMENTOS BRASILEIRO - SPB
REDE DO SISTEMA FINANCEIRO NACIONAL (RSFN)
 
 A RSFN é a estrutura de comunicação de dados, implementada por meio de tecnologia de rede, criada com a finalidade de suportar o tráfego de mensagens entre as instituições financeiras titulares de conta de reservas bancárias, entre as câmaras e os prestadores de serviços de compensação e de liquidação, a Secretaria do Tesouro Nacional e o Banco Central, no âmbito do Sistema de Pagamentos Brasileiro.
*
*
CONCEITOS DE SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS
	As preocupações com pagamentos eletrônicos e segurança incluem: 
A natureza eletrônica quase anônima das transações que ocorrem entre os sistemas de computadores em rede de compradores e vendedores;
O processo de pagamento no comércio eletrônico é complexo devido à ampla variedade de alternativas de débito e crédito e instituições financeiras e intermediários que podem participar do processo;
*
*
CONCEITOS DE SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS
Existe um grande número de diferentes sistemas eletrônicos de pagamento;
Nas compras online na Internet as informações de cartão de crédito do cliente estão sujeitas à interceptação por sniffers de rede, softwares que reconhecem facilmente os formatos dos números dos cartões de crédito; 
*
*
MECANISMOS DE SEGURANÇA
	Basicamente, referem-se as técnicas que asseguram que dados armazenados ou em transferência não sejam acessados ou alterados. A maioria das medidas de segurança envolve encriptação de dados e de senhas. A encriptação, ou cifragem , é a transformação de dados para uma forma ilegível que impede ou dificulta o seu entendimento. A senha ou frase secreta possibilita a um usuário o acesso a um determinado programa ou sistema. Além destas medidas, convém citar protocolos de segurança, baseados em algoritmos de encriptação, e às barreiras digitais.
*
*
MECANISMOS DE SEGURANÇA
	Como mecanismos de segurança no comércio eletrônico podem ser citados os seguintes: 
 Barreiras digitais (firewall)
 Criptografia de chave simétrica
 Criptografia de chaves assimétricas
 Protocolos de autenticação
 Certificados digitais
 Assinaturas digitais
 Selos digitais.
*
*
MECANISMOS DE SEGURANÇA
	FIREWALL 
	Solução de segurança baseada em hardware ou software, que a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar que tratamento será dado aos pacotes de transmissão ou recepção de dados. O objetivo de um Firewall é bloquear tráfego de dados indesejado e liberar acessos autorizados.
*
*
MECANISMOS DE SEGURANÇA
	CRIPTOGRAFIA
	Encriptação consiste em converter mensagens e dados para um formato ilegível com objetivo de proteger o seu conteúdo. Apenas quem possuir a chave a chave secreta poderá fazer a decifragem. Por vezes, é possível decifrar com uso de força bruta. Contudo, as técnicas modernas buscam tornar a encriptação virtualmente "inquebráveis".
De acordo com o tipo de chave utilizada, os métodos criptográficos podem ser subdivididos em duas grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétricas.
*
*
MECANISMOS DE SEGURANÇA
	Criptografia de chave simétrica (ou de chave única): utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos diferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro (para não comprometer a confidencialidade da chave).
*
*
MECANISMOS DE SEGURANÇA
	Criptografia de chaves assimétricas (ou de chave pública): utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token.
O RSA é um exemplo de método criptográfico utilizado.
*
*
MECANISMOS DE SEGURANÇA
	RSA (Rivest, Shamir e Adelman)
	
	Algoritmo desenvolvido pela RSA Data Securtuy,Inc. O transmissor possui à chave pública do receptor e a utiliza para encriptar o dado que será desencriptado pela chave privada do receptor. 
	Devido ao fato de ser um pouco lento, este algoritmo é utilizado em textos pequenos. Apresenta-se como uma boa solução em utilização conjunta com o DES ou outro algoritmo de chave única. 
*
*
MECANISMOS DE SEGURANÇA
	RSA (Rivest, Shamir e Adelman)
	
	O funcionamento torna-se bastante simples e seguro: utiliza-se o DES, por exemplo, para a encriptação do texto a ser transmitido, ficando a cargo do RSA a codificação da chave a ser utilizada pelo DES. Neste caso, a função do RSA se torna um meio seguro para a troca da chave a ser utilizada pelo DES entre o receptor e o transmissor. 
	É possível utilizar o RSA para providenciar assinatura digital garantindo o não-repudio.
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
	Associa a identidade de um titular a um par de chaves eletrônicas (uma pública e outra privada) que, usadas em conjunto, fornecem a comprovação da identidade. Pode ser usado em uma grande variedade de aplicações, como comércio eletrônico, Intranet, Internet, transferência eletrônica de fundos, etc. 
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
	O Certificado Digital é emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority), que o emite utilizando as mais avançadas técnicas de criptografia disponíveis e de padrões internacionais (norma ISO X.509 para Certificados Digitais). 
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
	Um certificado é composto dos seguintes elementos:
INFORMAÇÃO DE ATRIBUTO
CHAVE DE INFORMAÇÃO PÚBLICA
ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) 
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
INFORMAÇÃO DE ATRIBUTO
CHAVE DE INFORMAÇÃO PÚBLICA
ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) 
- informação sobre o objeto que é certificado. Em sendo uma pessoa, dados como nome, nacionalidade, endereço, e-mail, organização, dentre outros.
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
INFORMAÇÃO DE ATRIBUTO
CHAVE DE INFORMAÇÃO PÚBLICA
ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) 
- é a chave pública da entidade certificada. O certificado atua para associar a chave pública à informação de atributo descrita antes e pode ser qualquer chave assimétrica, mas usualmente é uma chave RSA
*
*
MECANISMOS DE SEGURANÇA
	CERTIFICADO DIGITAL
INFORMAÇÃO DE ATRIBUTO
CHAVE DE INFORMAÇÃO PÚBLICA
ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) 
– a CA assina os dois primeiros elementos e, então, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acredita na informação de atributo e chave pública associadas, se acreditar na Autoridade em Certificação.
*
*
MECANISMOS DE SEGURANÇA
	FUNÇÃO DE HASH (resumo)
	Uma função de resumo é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash.
*
*
MECANISMOS DE SEGURANÇA
	APLICAÇÃO DE HASH (resumo)
 verificar a integridade de um arquivo armazenado;
 verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado);
 gerar assinaturas digitais.
*
*
MECANISMOS DE SEGURANÇA
	ASSINATURA DIGITAL
Os sistemas de assinatura digital podem ser divididos em: 
Assinatura Biométrica 
Assinatura Codificada
*
*
MECANISMOS DE SEGURANÇA
	ASSINATURA DIGITAL
Os sistemas de assinatura digital podem ser divididos em: 
Assinatura Biométrica 
Assinatura Codificada
– sistemas que dependem de alguma característica física do usuário para verificar a sua identidade.
*
*
MECANISMOS DE SEGURANÇA
	ASSINATURA DIGITAL
Os sistemas de assinatura digital podem ser divididos em: 
Assinatura Biométrica 
Assinatura Codificada
– sistemas que têm uma abordagem mais transparente. Estas tecnologias anexam uma assinatura exclusiva codificada – algumas vezes chamada de certificado digital – a um documento ou transação.
*
*
MECANISMOS DE SEGURANÇA
	ASSINATURA DIGITAL
	Assinatura codificada resume-se a um código que pode ser enviado juntamente com uma mensagem que identifica de forma única o emissor da mensagem. Num sistema com chave pública, qualquer pessoa pode cifrar uma mensagem, mas somente o destinatário da mensagem pode decifrá-la.
Para contornar a baixa eficiência característica da criptografia de chaves assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda.
*
*
MECANISMOS DE SEGURANÇA
	SELO DIGITAL
	Serve para gerar chancelas cronológicas que associam data e hora a um documento digital sob a forma de criptografia forte. Terá grande aplicação para fazer prova da existência de certo documento eletrônico em determinada data. 
Concretamente, como exemplo, um pesquisador pode descrever seu achado científico em documento e selá-lo com selo eletrônico digital. Posteriormente, poderá comprovar a antecedência de sua idéia, a despeito de publicação inédita por parte de outros pesquisadores.
*
*
PROTOCOLOS UTILIZADOS EM SEGURANÇA NO 
E-COMMERCE
	
SET - Secure Electronic Transaction
SSL - Secure Socket Layer
HTTPS - Hyper Text Transfer Protocol Secure
*
*
PROTOCOLOS UTILIZADOS EM SEGURANÇA NO 
E-COMMERCE
	
SET - Secure Electronic Transaction
SSL - Secure Socket Layer
HTTPS - Hyper Text Transfer Protocol Secure
- é um padrão que permite transações seguras de cartão de crédito via Internet. O protocolo SET garante a confidencialidade da informação pelo uso de encriptação das mensagens. Utilizando assinaturas digitais, o SET garante também a integridade dos dados
*
*
PROTOCOLOS UTILIZADOS EM SEGURANÇA NO 
E-COMMERCE
	
SET - Secure Electronic Transaction
SSL - Secure Socket Layer
HTTPS - Hyper Text Transfer Protocol Secure
- foi projetado para aplicações clientes/servidor, prevenindo intrusões não desejadas em transmissões de dados, alterações de dados, ou falsificação de mensagens.
*
*
PROTOCOLOS UTILIZADOS EM SEGURANÇA NO 
E-COMMERCE
	
SET - Secure Electronic Transaction
SSL - Secure Socket Layer
HTTPS - Hyper Text Transfer Protocol Secure
- é a versão segura do HTTP (Hyper Text Transfer Protocol). Meios seguros de transferência de dados usando o protocolo HTTPS na internet são necessários para efetuar transações online seguras, como os serviços bancários ou compras online.
*
*
BOAS PRÁTICAS - REFLEXÃO
	O MAIOR problema do comércio eletrônico é a falsa sensação de segurança. O administrador executa a instalação e customização dos mecanismos de segurança e “dorme em berço esplendido”.
O MAIOR ERRO é NÃO acompanhar a pertinência das atualizações realmente necessárias e as vulnerabilidades apresentadas pelos mecanismos de segurança instalados.
*
*
BOAS PRÁTICAS - REFLEXÃO
Manchete publicada no site http://blog.siteblindado.com/
Heartbleed: Falha faz cerca de 70% dos SSLs do mundo pararem de funcionar
“... foi identificada uma vulnerabilidade afetando todos os sites que utilizam Open SSL, biblioteca utilizada para emitir e implementar certificados nos servidores. A vulnerabilidade é chamada Heartbleed. “
*
*
BOAS PRÁTICAS - REFLEXÃO
	A segurança do comércio eletrônico de sua empresa está segura até ser descoberta e explorada uma vulnerabilidade em um dos seus SERVIÇOS (aplicativos).
*
*
CONCLUSÃO
	
	Apesar da Internet não ser um meio seguro, existem vários mecanismos disponíveis para garantir que transações de comércio eletrônico sejam feitas com certa tranquilidade.
Implementar segurança lógica utilizando protocolos de seguros,criptografia e certificados, são passos essenciais para definir segurança básica. Acompanhar as vulnerabilidades descobertas e atualizar o sistema operacional e todos os software envolvidos é vital para seu comércio eletrônico.
*
*
PRÓXIMA AULA
Você conhecerá diversos protocolos seguros da pilha TCP/IP, como SSH, SSL, HTTPS, DNSSec, IPSec, AH, ESP.
TÉCNICAS DE CRIPTOGRAFIA E AUTENTICAÇÃO