Baixe o app para aproveitar ainda mais
Prévia do material em texto
* * GESTÃO DA SEGURANÇA EM REDES E DISPOSITIVOS COMPUTACIONAIS SEGURANÇA NO COMÉRCIO ELETRÔNICO * * SEGURANÇA NO COMÉRCIO ELETRÔNICO OBJETIVO Identificar as principais características do comércio eletrônico as técnicas utilizadas para prover segurança ao mesmo. * * CONCEITO Comércio Eletrônico (e-commerce) pode ser entendido como uma combinação de tecnologias, aplicações e procedimentos negociais que permitem a transação on-line de bens e serviços entre governos, sociedades e empresas. Um conceito básico para comércio eletrônico seria defini-lo como qualquer transação comercial por meio eletrônico. * * FUNDAMENTO DO COMÉRCIO ELETRÔNICO Segurança; Criptografia; Moedas e pagamentos eletrônicos * * HISTÓRICO A Internet nasceu em 1969, sob o nome de ARPANET, resultado de um projeto de interconexão dos computadores de instituições de pesquisa, de ensino e governamentais. Essa rede fornecia os serviços básicos de correio eletrônico, transferência de arquivos e compartilhamento de impressoras, e foi projetada para uso de uma comunidade restrita de usuários que confiavam mutuamente entre si (SMITH & GIBBS, 1994). Não foi concebida para um ambiente comercial e sendo assim é vulnerável a vários tipos de ataques. * * HISTÓRICO Originalmente, comércio eletrônico significava a facilitação de transações comerciais eletrônicas, usando tecnologias como: Eletronic Data Interchange (EDI) - troca de documentos via sistemas de teleinformática entre duas ou mais organizações de forma padronizada. Eletronic Funds Transfer (EFT) - transferência eletrônica de dinheiro de uma conta para outra. * * RISCOS DE COMÉRCIO ELETRÔNICO Atualmente é um tipo de transação comercial feita especialmente através de um equipamento eletrônico, aplicada aos negócios, criando, alterando ou redefinindo valores. Receio do consumidor em comprar online; Questões de segurança da informação; Transações fraudulentas; Questões de privacidade; Compras baseadas apenas em fotos sem manusear o produto; Possível dificuldade com devoluções. * * DESAFIOS A segurança é um dos fatores que distingue as lojas de comércio eletrônico perante os consumidores. Consumidores passam a exigir mais garantias, a preocupação torna-se maior e isso cria um novo e promissor cenário: o de oferecer aos consumidores algo além da qualidade, da garantia de entrega e dos melhores preços. A garantia de seu direito à privacidade. * * PRINCIPAIS AMEAÇAS Acesso não autorizado Alteração de dados Monitorização Spoofing Negação de serviço Repudio * * PRINCIPAIS PROBLEMAS DE SEGURANÇA Privacidade Autenticação Autorização Integridade Não repudio * * CONCEITOS DO SISTEMA DE PAGAMENTOS BRASILEIRO - SPB O SPB é o conjunto de procedimentos, regras, instrumentos e operações integrados que, por meio eletrônico, que dão suporte à movimentação financeira entre os diversos agentes econômicos do mercado brasileiro, tanto em moeda local quanto estrangeira, visando a maior proteção contra rombos ou quebra em cadeia de instituições financeiras. * * CONCEITOS DO SISTEMA DE PAGAMENTOS BRASILEIRO - SPB Função básica - permitir a transferência de recursos financeiros, o processamento e a liquidação de pagamentos para pessoas físicas, jurídicas e entes governamentais. * * CONCEITOS DO SISTEMA DE PAGAMENTOS BRASILEIRO - SPB REDE DO SISTEMA FINANCEIRO NACIONAL (RSFN) A RSFN é a estrutura de comunicação de dados, implementada por meio de tecnologia de rede, criada com a finalidade de suportar o tráfego de mensagens entre as instituições financeiras titulares de conta de reservas bancárias, entre as câmaras e os prestadores de serviços de compensação e de liquidação, a Secretaria do Tesouro Nacional e o Banco Central, no âmbito do Sistema de Pagamentos Brasileiro. * * CONCEITOS DE SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS As preocupações com pagamentos eletrônicos e segurança incluem: A natureza eletrônica quase anônima das transações que ocorrem entre os sistemas de computadores em rede de compradores e vendedores; O processo de pagamento no comércio eletrônico é complexo devido à ampla variedade de alternativas de débito e crédito e instituições financeiras e intermediários que podem participar do processo; * * CONCEITOS DE SEGURANÇA EM TRANSAÇÕES ELETRÔNICAS Existe um grande número de diferentes sistemas eletrônicos de pagamento; Nas compras online na Internet as informações de cartão de crédito do cliente estão sujeitas à interceptação por sniffers de rede, softwares que reconhecem facilmente os formatos dos números dos cartões de crédito; * * MECANISMOS DE SEGURANÇA Basicamente, referem-se as técnicas que asseguram que dados armazenados ou em transferência não sejam acessados ou alterados. A maioria das medidas de segurança envolve encriptação de dados e de senhas. A encriptação, ou cifragem , é a transformação de dados para uma forma ilegível que impede ou dificulta o seu entendimento. A senha ou frase secreta possibilita a um usuário o acesso a um determinado programa ou sistema. Além destas medidas, convém citar protocolos de segurança, baseados em algoritmos de encriptação, e às barreiras digitais. * * MECANISMOS DE SEGURANÇA Como mecanismos de segurança no comércio eletrônico podem ser citados os seguintes: Barreiras digitais (firewall) Criptografia de chave simétrica Criptografia de chaves assimétricas Protocolos de autenticação Certificados digitais Assinaturas digitais Selos digitais. * * MECANISMOS DE SEGURANÇA FIREWALL Solução de segurança baseada em hardware ou software, que a partir de um conjunto de regras ou instruções, analisa o tráfego de rede para determinar que tratamento será dado aos pacotes de transmissão ou recepção de dados. O objetivo de um Firewall é bloquear tráfego de dados indesejado e liberar acessos autorizados. * * MECANISMOS DE SEGURANÇA CRIPTOGRAFIA Encriptação consiste em converter mensagens e dados para um formato ilegível com objetivo de proteger o seu conteúdo. Apenas quem possuir a chave a chave secreta poderá fazer a decifragem. Por vezes, é possível decifrar com uso de força bruta. Contudo, as técnicas modernas buscam tornar a encriptação virtualmente "inquebráveis". De acordo com o tipo de chave utilizada, os métodos criptográficos podem ser subdivididos em duas grandes categorias: criptografia de chave simétrica e criptografia de chaves assimétricas. * * MECANISMOS DE SEGURANÇA Criptografia de chave simétrica (ou de chave única): utiliza uma mesma chave tanto para codificar como para decodificar informações, sendo usada principalmente para garantir a confidencialidade dos dados. Casos nos quais a informação é codificada e decodificada por uma mesma pessoa não há necessidade de compartilhamento da chave secreta. Entretanto, quando estas operações envolvem pessoas ou equipamentos diferentes, é necessário que a chave secreta seja previamente combinada por meio de um canal de comunicação seguro (para não comprometer a confidencialidade da chave). * * MECANISMOS DE SEGURANÇA Criptografia de chaves assimétricas (ou de chave pública): utiliza duas chaves distintas: uma pública, que pode ser livremente divulgada, e uma privada, que deve ser mantida em segredo por seu dono. Quando uma informação é codificada com uma das chaves, somente a outra chave do par pode decodificá-la. Qual chave usar para codificar depende da proteção que se deseja, se confidencialidade ou autenticação, integridade e não-repúdio. A chave privada pode ser armazenada de diferentes maneiras, como um arquivo no computador, um smartcard ou um token. O RSA é um exemplo de método criptográfico utilizado. * * MECANISMOS DE SEGURANÇA RSA (Rivest, Shamir e Adelman) Algoritmo desenvolvido pela RSA Data Securtuy,Inc. O transmissor possui à chave pública do receptor e a utiliza para encriptar o dado que será desencriptado pela chave privada do receptor. Devido ao fato de ser um pouco lento, este algoritmo é utilizado em textos pequenos. Apresenta-se como uma boa solução em utilização conjunta com o DES ou outro algoritmo de chave única. * * MECANISMOS DE SEGURANÇA RSA (Rivest, Shamir e Adelman) O funcionamento torna-se bastante simples e seguro: utiliza-se o DES, por exemplo, para a encriptação do texto a ser transmitido, ficando a cargo do RSA a codificação da chave a ser utilizada pelo DES. Neste caso, a função do RSA se torna um meio seguro para a troca da chave a ser utilizada pelo DES entre o receptor e o transmissor. É possível utilizar o RSA para providenciar assinatura digital garantindo o não-repudio. * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL Associa a identidade de um titular a um par de chaves eletrônicas (uma pública e outra privada) que, usadas em conjunto, fornecem a comprovação da identidade. Pode ser usado em uma grande variedade de aplicações, como comércio eletrônico, Intranet, Internet, transferência eletrônica de fundos, etc. * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL O Certificado Digital é emitido e assinado por uma Autoridade Certificadora Digital (Certificate Authority), que o emite utilizando as mais avançadas técnicas de criptografia disponíveis e de padrões internacionais (norma ISO X.509 para Certificados Digitais). * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL Um certificado é composto dos seguintes elementos: INFORMAÇÃO DE ATRIBUTO CHAVE DE INFORMAÇÃO PÚBLICA ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL INFORMAÇÃO DE ATRIBUTO CHAVE DE INFORMAÇÃO PÚBLICA ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) - informação sobre o objeto que é certificado. Em sendo uma pessoa, dados como nome, nacionalidade, endereço, e-mail, organização, dentre outros. * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL INFORMAÇÃO DE ATRIBUTO CHAVE DE INFORMAÇÃO PÚBLICA ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) - é a chave pública da entidade certificada. O certificado atua para associar a chave pública à informação de atributo descrita antes e pode ser qualquer chave assimétrica, mas usualmente é uma chave RSA * * MECANISMOS DE SEGURANÇA CERTIFICADO DIGITAL INFORMAÇÃO DE ATRIBUTO CHAVE DE INFORMAÇÃO PÚBLICA ASSINATURA DA AUTORIDADE EM CERTIFICAÇÃO (CA) – a CA assina os dois primeiros elementos e, então, adiciona credibilidade ao certificado. Quem recebe o certificado verifica a assinatura e acredita na informação de atributo e chave pública associadas, se acreditar na Autoridade em Certificação. * * MECANISMOS DE SEGURANÇA FUNÇÃO DE HASH (resumo) Uma função de resumo é um método criptográfico que, quando aplicado sobre uma informação, independente do tamanho que ela tenha, gera um resultado único e de tamanho fixo, chamado hash. * * MECANISMOS DE SEGURANÇA APLICAÇÃO DE HASH (resumo) verificar a integridade de um arquivo armazenado; verificar a integridade de um arquivo obtido da Internet (alguns sites, além do arquivo em si, também disponibilizam o hash correspondente, para que você possa verificar se o arquivo foi corretamente transmitido e gravado); gerar assinaturas digitais. * * MECANISMOS DE SEGURANÇA ASSINATURA DIGITAL Os sistemas de assinatura digital podem ser divididos em: Assinatura Biométrica Assinatura Codificada * * MECANISMOS DE SEGURANÇA ASSINATURA DIGITAL Os sistemas de assinatura digital podem ser divididos em: Assinatura Biométrica Assinatura Codificada – sistemas que dependem de alguma característica física do usuário para verificar a sua identidade. * * MECANISMOS DE SEGURANÇA ASSINATURA DIGITAL Os sistemas de assinatura digital podem ser divididos em: Assinatura Biométrica Assinatura Codificada – sistemas que têm uma abordagem mais transparente. Estas tecnologias anexam uma assinatura exclusiva codificada – algumas vezes chamada de certificado digital – a um documento ou transação. * * MECANISMOS DE SEGURANÇA ASSINATURA DIGITAL Assinatura codificada resume-se a um código que pode ser enviado juntamente com uma mensagem que identifica de forma única o emissor da mensagem. Num sistema com chave pública, qualquer pessoa pode cifrar uma mensagem, mas somente o destinatário da mensagem pode decifrá-la. Para contornar a baixa eficiência característica da criptografia de chaves assimétricas, a codificação é feita sobre o hash e não sobre o conteúdo em si, pois é mais rápido codificar o hash (que possui tamanho fixo e reduzido) do que a informação toda. * * MECANISMOS DE SEGURANÇA SELO DIGITAL Serve para gerar chancelas cronológicas que associam data e hora a um documento digital sob a forma de criptografia forte. Terá grande aplicação para fazer prova da existência de certo documento eletrônico em determinada data. Concretamente, como exemplo, um pesquisador pode descrever seu achado científico em documento e selá-lo com selo eletrônico digital. Posteriormente, poderá comprovar a antecedência de sua idéia, a despeito de publicação inédita por parte de outros pesquisadores. * * PROTOCOLOS UTILIZADOS EM SEGURANÇA NO E-COMMERCE SET - Secure Electronic Transaction SSL - Secure Socket Layer HTTPS - Hyper Text Transfer Protocol Secure * * PROTOCOLOS UTILIZADOS EM SEGURANÇA NO E-COMMERCE SET - Secure Electronic Transaction SSL - Secure Socket Layer HTTPS - Hyper Text Transfer Protocol Secure - é um padrão que permite transações seguras de cartão de crédito via Internet. O protocolo SET garante a confidencialidade da informação pelo uso de encriptação das mensagens. Utilizando assinaturas digitais, o SET garante também a integridade dos dados * * PROTOCOLOS UTILIZADOS EM SEGURANÇA NO E-COMMERCE SET - Secure Electronic Transaction SSL - Secure Socket Layer HTTPS - Hyper Text Transfer Protocol Secure - foi projetado para aplicações clientes/servidor, prevenindo intrusões não desejadas em transmissões de dados, alterações de dados, ou falsificação de mensagens. * * PROTOCOLOS UTILIZADOS EM SEGURANÇA NO E-COMMERCE SET - Secure Electronic Transaction SSL - Secure Socket Layer HTTPS - Hyper Text Transfer Protocol Secure - é a versão segura do HTTP (Hyper Text Transfer Protocol). Meios seguros de transferência de dados usando o protocolo HTTPS na internet são necessários para efetuar transações online seguras, como os serviços bancários ou compras online. * * BOAS PRÁTICAS - REFLEXÃO O MAIOR problema do comércio eletrônico é a falsa sensação de segurança. O administrador executa a instalação e customização dos mecanismos de segurança e “dorme em berço esplendido”. O MAIOR ERRO é NÃO acompanhar a pertinência das atualizações realmente necessárias e as vulnerabilidades apresentadas pelos mecanismos de segurança instalados. * * BOAS PRÁTICAS - REFLEXÃO Manchete publicada no site http://blog.siteblindado.com/ Heartbleed: Falha faz cerca de 70% dos SSLs do mundo pararem de funcionar “... foi identificada uma vulnerabilidade afetando todos os sites que utilizam Open SSL, biblioteca utilizada para emitir e implementar certificados nos servidores. A vulnerabilidade é chamada Heartbleed. “ * * BOAS PRÁTICAS - REFLEXÃO A segurança do comércio eletrônico de sua empresa está segura até ser descoberta e explorada uma vulnerabilidade em um dos seus SERVIÇOS (aplicativos). * * CONCLUSÃO Apesar da Internet não ser um meio seguro, existem vários mecanismos disponíveis para garantir que transações de comércio eletrônico sejam feitas com certa tranquilidade. Implementar segurança lógica utilizando protocolos de seguros,criptografia e certificados, são passos essenciais para definir segurança básica. Acompanhar as vulnerabilidades descobertas e atualizar o sistema operacional e todos os software envolvidos é vital para seu comércio eletrônico. * * PRÓXIMA AULA Você conhecerá diversos protocolos seguros da pilha TCP/IP, como SSH, SSL, HTTPS, DNSSec, IPSec, AH, ESP. TÉCNICAS DE CRIPTOGRAFIA E AUTENTICAÇÃO
Compartilhar