Baixe o app para aproveitar ainda mais
Prévia do material em texto
Segurança Computacional Comunicação de Dados Segura Universidade CEUMA Sistemas de Informação Prof. Emanoel Claudino Fundamentos da Comunicação de Dados Segura Para garantir a segurança na comunicação de dados, permitindo a realização de transações comerciais, troca de informações, comércio eletrônico, etc., é essencial atentar ao que se denomina de requisitos básicos de segurança na comunicação de dados. São eles: 1. a autenticação; 2. a autorização; 3. o não repúdio; 4. a integridade dos dados; e 5. a privacidade. Autenticação A autenticação (do grego: αυθεντικός = real ou genuíno, de 'authentes' = autor) é o ato de estabelecer ou confirmar algo (ou alguém) como autêntico, isto é, que reivindica a autoria ou a veracidade de alguma coisa. A autenticação também remete à confirmação da origem de um objeto ou pessoa. Nesse caso, é frequentemente relacionada à verificação da sua identidade. O objetivo da autenticação é provar a identidade de uma pessoa (física ou jurídica) ou de um computador, vinculando-a à geração ou fornecimento de uma informação. Autenticação No mundo real, para comprovar nossa identidade, utilizam-se as carteiras de identidade, documentos emitidos por autoridades reconhecidas, que são difíceis de falsificar ou adulterar e que são vinculados ao indivíduo, seu titular. De forma idêntica, no mundo virtual, a autenticação deve identificar, de forma unívoca, uma pessoa, ser verificável por um terceiro, ser de fácil utilização, oferecer grande nível de dificuldade à falsificação e permitir a associação da identidade à informação por ele gerada. A autenticação busca essencialmente garantir que uma comunicação é autêntica. Autenticação Para o caso de uma mensagem, o objetivo da autenticação é garantir que a mensagem teve verdadeiramente origem na fonte informada. Permite também verificar se um documento realmente foi gerado e aprovado pelo signatário. Tratando-se de uma conexão entre dois computadores, deverão ser avaliar dois aspectos. No momento da inicialização da conexão, (1) a autenticação deverá garantir que a origem e o destino da comunicação sejam autênticos, que suas identificações estejam corretas. Autenticação O serviço deverá garantir também que (2)não seja possível que uma terceira pessoa se disfarce e assuma a identidade de uma das partes já autenticadas no momento da inicialização da conexão, conseguindo assim transmitir e receber mensagens de forma autorizada. Entre os meios utilizados para a autenticação, destacam-se o uso de login/senha e a identificação biométrica. O primeiro consiste na utilização de um apelido (nickname), combinado com uma senha, e não oferece segurança suficiente às ações do processo eletrônico, pois os dados poderão ser interceptados e reconhecidos com uso de softwares maliciosos, engenharia social ou força bruta. Autenticação A utilização de biometria, que consiste no uso de equipamentos que verificam as características físicas únicas das pessoas, comparando-as com informação anteriormente cadastrada, tem-se mostrado mais segura, sendo adotada para alguns tipos de aplicação, especialmente no acesso a ambientes e em sistemas de controle de movimentação bancária. Todavia, mesmo o uso de biometria não garante total segurança, haja vista que já foram identificados casos em que o uso de moldes feitos em silicone foram utilizados para burlar sistemas que usam impressão digital para controle de autenticação. Outra restrição no uso da biometria é que, uma vez que os registros biométricos caiam na posse de pessoas mal intencionadas, não há como alterá-los, visto que se baseiam em características físicas do indivíduo que, por razões óbvias, não poderão ser modificadas. Autenticação Assim, em caso de violação, em que ocorra a apropriação do registro de biometria, não seria possível alterar a informação biométrica previamente cadastrada, utilizada para comparação. Nesse contexto, a combinação de login/senha possui maior flexibilidade, pois uma senha esquecida, perdida ou furtada é facilmente substituível. Como será visto adiante, a certificação digital tem-se apresentado como a solução mais adequada para garantir a autenticação segura no ambiente computacional. Autorização Uma vez que a identidade de uma pessoa é reconhecida por meio da autenticação, resta saber se aquela pessoa poderá ou não realizar uma determinada ação. A autorização, em segurança da informação, pode ser definida como o mecanismo responsável por garantir que apenas pessoas autorizadas utilizem ou acessem recursos protegidos de um sistema computacional. Os recursos poderão ser arquivos, programas de computador, dispositivos de hardware ou funcionalidades disponibilizadas por um sistema de informação. Assim, autenticação e autorização caminham juntas, mas não devem jamais ser confundidas. Autorização Mas qual a importância da autorização? No caso dos sistemas de informação, a autorização limita o escopo das ações que um determinado usuário poderá realizar. Um dado usuário (por exemplo, um técnico judiciário) poderá estar devidamente identificado (autenticado) no sistema, com permissão para realizar diversas ações (cadastrar despachos, emitir certidões, etc.), mas não poderá assinar uma sentença, já que a autorização para tal procedimento estará disponível apenas para magistrados. A autorização constitui-se em mecanismo essencial ao controle do que cada usuário poderá realizar dentro de um sistema de informação, possibilitando que cada pessoa acesse o sistema e realize um conjunto de atividades, resguardando a segurança e impedindo a invasão de competência. Não repúdio O não repúdio (ou irretratabilidade) se fundamenta na utilização de um arcabouço tecnológico capaz de demonstrar, por intermédio de provas irrefutáveis, a realização de uma transação (envio de mensagem, cadastro de informação, etc.) por uma determinada pessoa, devidamente autenticada, de forma que esta não possa negar posteriormente. Para isso, de modo semelhante ao que ocorre no mundo real, a intervenção de um terceiro - como o reconhecimento de uma firma ou o registro em cartório - torna-se fundamental para que se comprove o exercício de um ato, afastando sua futura negação. No caso do processo eletrônico, o não repúdio visa garantir que o autor não negue ter criado ou assinado um documento. Não repúdio Quando uma mensagem é enviada, o destinatário poderá provar que ela proveio de um dado emissor. Da mesma forma, quando uma mensagem é recebida, o emissor poderá provar que ela foi realmente recebida por um determinado destinatário. Integridade Uma vez comprovada a autoria de um documento, deve-se assegurar que ele esteja protegido contra posterior alteração, garantindo que seu destinatário ou qualquer pessoa que tenha acesso a ele não possa realizar qualquer modificação. É disso que trata a integridade. Outro fundamento da comunicação segura, a integridade se baseia na implementação de mecanismos que garantam a não alteração dos dados. Integridade Por meio dela, deverá ser possível aferir o teor ou o conteúdo da informação, comprovando sua não violação, de modo que qualquer modificação não autorizada possa ser detectada. A integridade de dados assegura, assim, de forma inconteste, que as informações não sofreram alterações ou que um documento não foi alterado depois de ter sido assinado. Integridade Refere-se a confiabilidade da informação ou dos recursos. A violação da integridade ocorre pela modificação imprópria ou não autorizada da informação ou dos recursos. Integridade de dados = Confiabilidade do conteúdo dos dados - autorização Integridade de origem = Confiabilidade da fonte dos dados – autenticação Sustenta-se na credibilidade da fonte e na confiança que as pessoas depositam na informação. Integridade Classes de mecanismos para integridade • Mecanismos de prevenção– Objetivam manter a integridade dos dados com obloqueio de qualquer tentativa não autorizada demodificá-los ou qualquer tentativa de modificá-los pormeios não autorizados – acesso e uso não autorizados – Autenticação e controle de acessos adequados, emgeral, são eficazes para prevenir o acesso nãoautorizado – O uso não autorizado requer formas de controledistintas, sendo mais difícil de prevenir Integridade Classes de mecanismos para integridade • Mecanismos de detecção – Buscam reportar que a integridade dos dados não é mais confiável, em parte ou no todo – A criptografia pode ser usada para detectar violaçõesde integridade – A avaliação da integridade é de difícil realização por basear-se em suposições sobre a fonte dos dados e da sua confiabilidade Integridade Exemplo: corrupção da integridade de origem • Um jornal pode noticiar uma informação obtida de um vazamento no Palácio do Planalto, mas atribuí-la a uma fonte errada. A informação é impressa como recebida (integridade dos dados preservada), mas a fonte é incorreta (corrupção na integridade de origem ) Integridade Exemplo: distinção entre acesso e uso não autorizados • Num sistema contábil, o acesso não autorizado ocorre quando alguém quebra a segurança para tentar modificar o dado de uma conta, por exemplo, para quitar um débito, sem autoridade para tal • Agora, quando o contador da empresa tenta apropriar-se de dinheiro desviando-o para contas no exterior e ocultando respectivas transações, então ele está abusando de sua autoridade – embora possa, ele não deve fazê-lo Privacidade A privacidade ou confidencialidade consiste em garantir o sigilo de uma informação, impedindo seu conhecimento por pessoas não autorizadas. Levando-se em conta que a internet consiste em uma miscelânea de redes e protocolos que, à época da sua concepção, não primavam pela confidencialidade na transmissão de dados, é primordial a existência de mecanismos que garantam o sigilo dos dados transmitidos, evitando a interceptação, o acesso e a leitura. Privacidade É a manutenção do sigilo das informações ou dos recursos A violação da confidencialidade ocorre com a revelação não autorizada da informação ou dos recursos A prevenção contra as ameaças à confidencialidade em SI pode ser alcançada com a aplicação de mecanismos de controle de acesso e com técnicas de criptografia e de segurança de redes A confidencialidade também se aplica a mera existência de um dado, que pode ser mais importante do que o dado em si Todos os mecanismos que impõem confidencialidade requerem serviços para suportá-los – suposições e confiança Privacidade Exemplo: criptografia como mecanismo de controle de acesso • A criptografia do extrato de uma conta corrente previne alguém de lê-lo. Caso o correntista precise ver o extrato, ele precisa ser decifrado. Apenas o possuidor da chave criptográfica, utilizando o programa de decifração, pode fazê-lo. Entretanto, se outrem conseguir ler a chave, a confidencialidade do extrato fica comprometida • O problema da confidencialidade do extrato se reduz agora à confidencialidade da chave criptográfica, que deve ser protegida Privacidade Exemplo: proteção da existência de um dado • Saber que um indivíduo é um cliente VIP de um banco pode ser mais importante que saber quais/quantos são os recursos que ele possui aplicados
Compartilhar