Segurança Cibernética - Resumo do Capítulo 4

Prévia do material em texto

© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 1
Capítulo 4:
A arte de proteger 
segredos
Cybersecurity Essentials v1.0
Presentation_ID 2© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Capítulo 4 – Seções e Objetivos
4.1 Criptografia
Explique como as técnicas de criptografia protegem a 
confidencialidade. 
4.2 Controle de acesso
Descreva técnicas de controle de acesso usadas para proteger a 
confidencialidade.
4.3 Ofuscação de dados
Descreva o conceito de ofuscação de dados.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 3
4.1 Criptografia
Presentation_ID 4© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Visão geral
A criptologia é a ciência de criar e violar os códigos secretos. A criptografia é o 
modo de armazenar e transmitir dados, de modo que somente o destinatário 
pretendido possa ler ou processá-los. A criptografia moderna usa algoritmos 
seguros em relação à computação para nos certificar de que os criminosos virtuais 
não possam comprometer facilmente as informações protegidas.
O histórico de criptografia começou em círculos diplomáticos há milhares de anos. 
Os mensageiros da corte real levavam mensagens criptografadas para outras 
cortes. Ocasionalmente, cortes não envolvidas na comunicação tentavam roubar 
as mensagens enviadas a um reino considerado inimigo. Não muito tempo depois, 
os comandantes começaram a usar a criptografia para proteger as mensagens.
Cada método de criptografia usa um algoritmo específico, chamado código, para 
criptografar e descriptografar as mensagens. Um código é uma série de etapas 
bem definidas usadas para criptografar e descriptografar as mensagens. Há vários 
métodos de criar um texto codificado:
▪ Transposição 
▪ Substituição 
▪ Única senha
Presentation_ID 5© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Visão geral (Cont.)
Dois tipos de criptografia
Há duas classes de algoritmos de criptografia:
▪ Algoritmos simétricos - estes algoritmos usam a mesma chave pré-
compartilhada, às vezes chamada de um par de chaves secretas, para 
criptografar e descriptografar dados. O remetente e o destinatário conhecem a 
chave pré-compartilhada, antes de qualquer comunicação criptografada 
começar. 
▪ Algoritmos assimétricos - algoritmos de criptografia assimétricos usam uma 
chave para criptografar dados e uma chave diferente para descriptografá-los. 
Uma chave é pública e outra é privada. Em um sistema de criptografia com 
chave pública, qualquer pessoa pode criptografar uma mensagem usando a 
chave pública do destinatário, e o destinatário é o único que pode 
descriptografá-la usando a chave privada. As partes trocam mensagens 
seguras sem precisar de uma chave pré-compartilhada. Algoritmos 
assimétricos são mais complexos. Esses algoritmos usam muitos recursos e 
são mais lentos para executar.
Presentation_ID 6© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia com chave privada
Processo de criptografia simétrica - algoritmos simétricos usam chaves pré-
compartilhadas para criptografar e descriptografar dados, um método também 
conhecido como criptografia com chave privada. Vários sistemas de criptografia 
usam a criptografia simétrica. Alguns padrões de criptografia comuns que usam 
criptografia simétrica:
▪ 3DES (DES triplo): Digital Encryption Standard (DES) é uma cifra de bloco 
simétrico com tamanho de bloco de 64 bits que usa uma chave de 56 bits. O 
Triplo DES criptografa três vezes os dados e usa uma chave diferente para, no 
mínimo, uma das três passagens, fornecendo um tamanho de chave cumulativa 
de 112-168 bits. 
▪ IDEIA: o Algoritmo de Criptografia de Dados International (IDEA) usa blocos de 
64 bits e chaves de 128 bits. O IDEA realiza oito transformações em cada um dos 
16 blocos que resultam na divisão de cada bloco de 64 bits. O IDEA substituiu o 
DES e agora o PGP (Pretty Good Privacy) o utiliza. 
▪ AES: o Advanced Encryption Standard (AES) tem um tamanho de bloco fixo de 
128 bits, com um tamanho de chave de 128, 192 ou 256 bits. O Instituto Nacional 
de Padrões e Tecnologia (NIST) aprovou o algoritmo AES em dezembro de 2001. 
O governo norte-americano usa o AES para proteger informações confidenciais.
Presentation_ID 7© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia com chave pública
Processo de criptografia assimétrica - criptografia assimétrica, também 
chamada de criptografia com chave pública, utiliza uma chave de criptografia 
que é diferente da chave usada para descriptografia. Um criminoso não pode 
calcular uma chave de descriptografia baseada no conhecimento da chave de 
criptografia e vice-versa, em qualquer período razoável. Os algoritmos 
assimétricos incluem:
▪ RSA (Rivest_Shamir-Adleman) - usa o produto de dois números primos 
muito grandes, com o mesmo comprimento, entre 100 e 200 dígitos. Os 
navegadores usam RSA para estabelecer uma conexão segura.
▪ Diffie-Hellman - fornece um método de troca eletrônica para compartilhar a 
chave secreta. Os protocolos seguros, como Secure Sockets Layer (SSL), 
Transport Layer Security (TLS), Secure Shell (SSH) e Internet Protocol 
Security (IPsec) usam Diffie-Hellman.
▪ ElGamal - usa o padrão do governo dos EUA para assinaturas digitais. Esse 
algoritmo é de uso gratuito porque ninguém detém sua patente.
▪ Criptografia de curva elíptica (ECC) - usa curvas elípticas como parte do 
algoritmo. Nos Estados Unidos, a Agência Nacional de Segurança usa ECC 
para geração de assinatura digital e troca de chave.
Presentation_ID 8© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia simétrica versus assimétrica
Comparação de tipos de criptografia
▪ É importante compreender as diferenças entre os métodos de criptografia 
simétrica e assimétrica. Os sistemas de criptografia simétrica são mais 
eficientes e podem lidar com mais dados. No entanto, os sistemas de 
gerenciamento de chave com criptografia simétrica são mais problemáticos e 
difíceis de gerenciar. 
▪ A criptografia assimétrica é mais eficiente na proteção da confidencialidade de 
pequenas quantidades de dados e o seu tamanho a torna mais segura para 
tarefas como troca de chave eletrônica, que é uma pequena quantidade de 
dados em vez da criptografia de grandes blocos de dados.
Presentation_ID 9© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia simétrica versus assimétrica
Aplicação
Há várias aplicações para os algoritmos simétricos e assimétricos. Um token 
gerador de senha de uso único é um dispositivo de hardware que usa criptografia 
para gerar uma única senha. Uma única senha é uma cadeia de caracteres 
numérica ou alfanumérica gerada automaticamente que autentica um usuário para 
uma transação de uma sessão somente. O número muda a cada 30 segundos. 
A senha de sessão aparece em um visor e o usuário insere a senha.
▪ O setor de pagamento eletrônico usa o 3DES. 
▪ Os sistemas operacionais usam DES para proteger os arquivos e os dados do 
sistema com senhas. 
▪ A maioria dos sistemas de arquivo de criptografia, como NTFS, usa AES.
Presentation_ID 10© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia simétrica versus assimétrica
Aplicação
Quatro protocolos usam algoritmos de chave assimétrica.
▪ Internet Key Exchange (IKE), que é um componente fundamental das redes 
virtuais privadas IPsec (VPNs).
▪ Secure Socket Layer (SSL), que é um meio de implementar a criptografia em 
um navegador da Web.
▪ Secure Shell (SSH), que é um protocolo que fornece uma conexão de acesso 
remoto seguro a dispositivos de rede.
▪ Pretty Good Privacy (PGP), que é um programa de computador que fornece 
privacidadecriptográfica e autenticação para aumentar a segurança de 
comunicações de e-mail.
Presentation_ID 11© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Criptografia
Criptografia simétrica versus assimétrica
Aplicação
Uma VPN é uma rede privada que usa rede pública, geralmente a internet, para 
criar um canal de comunicação seguro. Uma VPN conecta dois endpoints, como 
dois escritórios remotos, pela Internet com o objetivo de formar a conexão.
▪ As VPNs usam IPsec. IPsec é um conjunto de protocolos desenvolvido para 
obter serviços seguros pelas redes. 
▪ Os serviços de IPsec permitem a autenticação, integridade, controle de acesso e 
confidencialidade. 
▪ Com a IPsec, os sites remotos podem trocar informações criptografadas e 
verificadas.
▪ Os dados em uso são uma preocupação cada vez maior para várias empresas. 
Quando em uso, os dados não têm mais proteção porque o usuário precisa abrir 
e alterar os dados. 
▪ A memória do sistema guarda os dados em uso e pode conter dados 
confidenciais, como chave de criptografia. 
▪ Se danificarem os dados em uso, os criminosos terão acesso aos dados inativos 
e aos dados em movimento.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 12
4.2 Controle de acesso
Presentation_ID 13© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Tipos de controle de acesso
Controles de acesso físico - barreiras reais implantadas para evitar o contato 
direto com sistemas. A meta é prevenir que usuários não autorizados acessem 
fisicamente as instalações, equipamentos e outros ativos organizacionais. O 
controle de acesso físico determina quem pode entrar (ou sair), onde podem entrar 
(ou sair) e quando podem entrar (ou sair).
Controles de acesso lógicos - soluções de hardware e software usadas para 
gerenciar o acesso aos recursos e sistemas. Essas soluções baseadas em 
tecnologia incluem ferramentas e protocolos que os sistemas de computador usam 
para identificação, autenticação, autorização e responsabilidade.
Controles de acesso administrativos - políticas e procedimentos definidos pelas 
empresas para implementar e aplicar todos os aspectos do controle de acesso não 
autorizado. Os controles administrativos focam em práticas pessoais e de negócios.
Presentation_ID 14© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Estratégias de controle de acesso
Controle de acesso obrigatório (MAC) - restringe as ações que uma pessoa pode 
executar em um objeto. Um indivíduo pode ser um usuário ou um processo. Um 
objeto pode ser um arquivo, uma porta ou um dispositivo de entrada/saída. Uma 
regra de autorização reforça se um indivíduo pode ou não acessar o objeto.
Controle de acesso discricionário (DAC) - o DAC concede ou restringe acesso ao 
objeto que é determinado pelo proprietário do objeto. Como o nome implica, os 
controles são discricionários pois o proprietário de um objeto com determinadas 
permissões de acesso podem concedê-las a outro indivíduo.
Controle de acesso por função (RBAC) - baseia-se na função do sujeito. Funções 
são funções de trabalho em uma empresa. Funções específicas necessitam de 
permissões para realizar determinadas operações. Os usuários obtêm permissões 
pelas funções. O RBAC pode funcionar em combinação com DAC ou MAC ao 
reforçar as políticas de um deles.
Controle de acesso com base em regras - usa listas de controle de acesso (ACLs) 
para ajudar a determinar a concessão do acesso. Uma série de regras está contida 
na ACL, conforme mostrado na figura. A determinação de acesso concedido ou não 
depende dessas regras. Um exemplo de tal regra é declarar que nenhum funcionário 
pode ter acesso a folha de pagamentos após o horário comercial ou nos fins de 
semana.
Presentation_ID 15© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Identificação
A identificação aplica as regras estabelecidas pela política de autorização: 
▪ Um indivíduo solicita acesso a um recurso do sistema. 
▪ Sempre que o indivíduo solicita acesso a um recurso, os controles de acesso 
determinam se devem conceder ou negar o acesso. 
▪ As políticas de segurança cibernética determinam quais controles de 
identificação devem ser usados. 
▪ A confidencialidade das informações e os sistemas de informações determinam 
o nível de exigência dos controles. 
▪ O aumento nas violações de dados forçou muitas empresas a reforçar os 
controles de identificação. 
Presentation_ID 16© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Métodos de autenticação
O que você sabe - senhas, frases secretas ou PINs são exemplos de algo que 
o usuário sabe. As senhas são o método mais popular usado para autenticação. 
O que você tem - cartões inteligentes e chaves fob de segurança são exemplos 
de algo que os usuários têm..
Quem você é - uma característica física única, como uma impressão digital, 
retina ou voz, que identifica um usuário específico, é chamada de biometria. 
Autenticação multifator - a autenticação multifator usa pelo menos dois 
métodos de verificação. Uma chave de segurança fob é um bom exemplo. Os 
dois fatores são algo que você sabe, como uma senha, e algo que você tem, 
como uma chave de segurança fob. 
Presentation_ID 17© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Autorização
A autorização controla o que um usuário pode ou não fazer na rede após a 
autenticação: 
▪ Depois que um usuário revelar sua identidade, o sistema verifica quais 
recursos da rede o usuário pode acessar e o que os usuários podem fazer 
com os recursos. 
▪ A autorização usa um conjunto de atributos que descrevem o acesso do 
usuário à rede. 
▪ O sistema compara esses atributos às informações contidas no banco de 
dados de autenticação, determina um conjunto de restrições para o usuário 
e o entrega no roteador local em que o usuário está conectado.
▪ Definir as regras de autorização é a primeira etapa no controle de acesso. 
Uma política de autorização estabelece essas regras.
Presentation_ID 18© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Auditabilidade
A auditoria rastreia uma ação até a pessoa ou processo que está efetuando 
a mudança em um sistema, coleta essas informações e reporta os dados de 
uso. 
• A empresa pode usar esses dados para determinadas finalidades, como 
auditoria ou cobrança. 
• Os dados coletados podem incluir a hora de login para um usuário, 
independentemente de o login de usuário ter sido bem ou malsucedido ou 
quais recursos de rede o usuário acessou. 
• Isso permite que a empresa rastreie as ações e os erros durante uma 
auditoria ou investigação.
• A implementação da auditabilidade consiste em tecnologias, políticas, 
procedimentos e educação. 
• Os arquivos de log fornecem informações detalhadas com base nos 
parâmetros escolhidos. 
Presentation_ID 19© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Tipos de controle de segurança
Controles preventivos - prevenir significa impedir que algo aconteça. 
Controles de acesso preventivos impedem que atividades indesejadas ou não 
autorizadas aconteçam. 
Controles de dissuasão - uma dissuasão é o oposto de uma recompensa. 
Uma recompensa incentiva os indivíduos a fazer o que é certo, uma coibição 
desencoraja-os de fazer o que é errado. Empresas e profissionais de segurança 
digital usam dissuasores para limitar ou mitigar uma ação ou comportamento. 
Dissuasores nem sempre interrompem essas ações.
Controles de detecção - detecção é o ato ou processo de perceber ou 
descobrir algo. As detecções de controle de acesso identificam diferentes tipos 
de atividade não autorizada. Os sistemas de detecção podem ser bem simples, 
como um detector de movimento ou proteçãode segurança. Eles também 
podem ser mais complexos, como um sistema de detecção de invasão.
Presentation_ID 20© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Controle de acesso
Tipos de controle de segurança
Controles corretivos - correções neutralizam algo que é indesejável. As 
empresas implementam controles de acesso corretivos após o sistema passar 
por uma ameaça. Os controles corretivos restauram o sistema ao estado de 
confidencialidade, integridade e disponibilidade. Eles também podem restaurar 
os sistemas ao estado normal, após ocorrer atividade não autorizada.
Controles de recuperação - recuperação é um retorno a um estado normal. 
Os controles de acesso de recuperação restauram os recursos, funções e 
capacidades após uma violação de uma política de segurança. Os controles 
de recuperação podem reparar danos, além de deter qualquer dano adicional. 
Esses controles têm mais recursos avançados em controles de acesso 
corretivos.
Controles de compensação - compensar significa contrabalancear alguma 
coisa. Os controles de acesso compensatórios fornecem opções a outros 
controles para aumentar o reforço relacionado à sustentação de uma política 
de segurança. Um controle compensatório também pode substituir um controle 
que não pode ser usado devido às circunstâncias. 
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 21
4.3 Ofuscação de dados
Presentation_ID 22© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ofuscação de dados
Mascaramento de dados
O mascaramento de dados é uma tecnologia que protege dados substituindo 
informações confidenciais por uma versão que não é confidencial. A versão não 
confidencial parece e age como a original. Significa que um processo 
empresarial pode usar dados não confidenciais e não há necessidade de alterar 
os aplicativos de suporte ou as instalações de armazenamento de dados. 
No caso de uso mais comum, o mascaramento limita a propagação de dados 
confidenciais em sistemas de TI, ao distribuir conjuntos de dados substitutos 
para teste e análise. 
Existem técnicas de mascaramento de dados que podem garantir que os dados 
permaneçam significativos mas com alterações suficientes para protegê-los:
▪ Substituição - substitui dados por valores que parecem autênticos para 
aplicar o anonimato aos registros de dados.
▪ Shuffling - deriva um conjunto de substituições da mesma coluna de 
dados que um usuário deseja mascarar. Esta técnica funciona bem para 
informações financeiras em um banco de dados de teste, por exemplo.
Presentation_ID 23© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ofuscação de dados
Estenografia
A estenografia esconde dados (a mensagem) em outro arquivo, como um 
gráfico, áudio ou outro arquivo de texto. 
A vantagem da estenografia em relação à criptografia é que a mensagem 
secreta não atrai atenção especial. Ao visualizar o arquivo de forma 
eletrônica ou impressa, ninguém saberá que uma imagem, na realidade, 
contém uma mensagem secreta.
Há vários componentes envolvidos na ofuscação de dados: 
• Há os dados integrados, que são a mensagem secreta. 
• O texto de capa (ou imagem de capa ou áudio de capa) oculta os 
dados integrados, o que produz um texto de estego (ou imagem de 
estego ou áudio de estego). 
• Uma estego-chave (stego-key) controla o processo de ocultação.
Presentation_ID 24© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Ofuscação de dados
Ofuscação de dados
Ofuscação de dados - é o uso e a prática de técnicas de estenografia e 
mascaramento de dados na profissão de inteligência digital e de segurança digital: 
▪ A ofuscação é a arte de tornar uma mensagem confusa, ambígua ou mais difícil 
de entender. 
▪ Um sistema pode embaralhar propositalmente as mensagens para evitar o 
acesso não autorizado a informações confidenciais.
▪ A marca d’água de software protege o software contra acesso não autorizado 
ou modificação. 
▪ A marca d’água insere uma mensagem secreta em um programa, como prova 
de propriedade. 
▪ A mensagem secreta é a marca d’água de software. Se alguém tentar remover 
a marca d’água, o resultado é um código não funcional.
© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da CiscoPresentation_ID 25
4.4 Resumo do Capítulo
Presentation_ID 26© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
▪ Este capítulo discutiu os princípios da criptologia usados para proteger as 
comunicações. 
▪ O capítulo explicou os algoritmos de criptografia assimétrica e simétrica, 
comparou os dois algoritmos e forneceu exemplos sobre o uso deles.
▪ O capítulo explicou como o controle de acesso previne o acesso não 
autorizado a um edifício, uma sala, um sistema ou um arquivo usando 
identificação, autenticação, autorização e responsabilidade. Além disso, o 
capítulo também descreveu os modelos diferentes de controle de acesso 
e os tipos de controle de acesso.
▪ O capítulo foi concluído discutindo as várias maneiras de os usuários 
mascararem dados. A ofuscação de dados e a estenografia são as duas 
técnicas usadas para obter o mascaramento de dados.
Resumo do capítulo
Resumo
Presentation_ID 27© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco
Presentation_ID 28© 2008 Cisco Systems, Inc. Todos os direitos reservados. Confidencial da Cisco