Ameaças à Segurança:
Segurança numa rede -
Segurança de rede, é um nível de proteção que garante que a operação de todas as máquinas em uma rede, funcione de maneira otimizada e que os utilizadores das mesmas possuam apenas os direitos que lhes foram concedidos.
Ameaça -
Uma ameaça é qualquer ação efetuada com o intuito de comprometer a segurança do fluxo de informação entre duas entidades.
Ameaças á segurança na rede:
Segurança numa rede -
Segurança de rede, é um nível de proteção que garante que a operação de todas as máquinas em uma rede, funcione de maneira otimizada e que os utilizadores das mesmas possuam apenas os direitos que lhes foram concedidos.
Ameaça -
Uma ameaça é qualquer ação efetuada com o intuito de comprometer a segurança do fluxo de informação entre duas entidades.
Ameaças á segurança na rede:
Modificação -
Consiste na alteração dos dados de uma mensagem em transito.
Exemplo: Num negócio, um agente não autorizado altera uma encomenda de dez unidades por parte de uma entidade para 1000 ou mais unidades.
Exemplo: Num negócio, um agente não autorizado altera uma encomenda de dez unidades por parte de uma entidade para 1000 ou mais unidades.
Repetição -
Acontece quando uma operação já realizada é repetida, sem autorização, de modo a obter o mesmo resultado.
Exemplo: Um caso em que um fornecedor utiliza sucessivamente os dados enviados por um comprador para efectuar o pagamento, obtendo de forma ilícita vários pagamentos adicionais.
Exemplo: Um caso em que um fornecedor utiliza sucessivamente os dados enviados por um comprador para efectuar o pagamento, obtendo de forma ilícita vários pagamentos adicionais.
Interceção -
Ocorre quando se verifica o acesso não autorizado a uma mensagem, que, não tem a possibilidade de alterar.
Um exemplo desse ataque é a "escuta" da informação trocada entre duas agências de uma empresa por uma empresa concorrente.
Um exemplo desse ataque é a "escuta" da informação trocada entre duas agências de uma empresa por uma empresa concorrente.
Disfarce -
Consiste em apresentar uma identidade falsa perante um determinado utilizador.
Exemplo: Quando um agente não autorizado pretende ocultar a sua própria identidade ou quando assume a identidade de outro com o intuito de prejudicar o detentor daquela identidade.
Exemplo: Quando um agente não autorizado pretende ocultar a sua própria identidade ou quando assume a identidade de outro com o intuito de prejudicar o detentor daquela identidade.
Repúdio -
Consiste na negação de participação numa determinada comunicação.
Exemplo: Quando um comprador nega o envio de uma mensagem com uma ordem de pagamento, ou quando um vendedor nega ter recebido o cancelamento de uma encomenda.
Exemplo: Quando um comprador nega o envio de uma mensagem com uma ordem de pagamento, ou quando um vendedor nega ter recebido o cancelamento de uma encomenda.
Negação de serviço -
Consiste na realização de ações com o objetivo de dificultar o bom funcionamento de um sistema.
Exemplo: Saturando uma infra-estrutura de comunicação ou restringindo todas as mensagens para um destino específico.
Garantias de Segurança -
As características que a informação deve possuir para garantir a nossa segurança podem ser classificadas em Autenticação, Confidencialidade, Integridade, Controlo de acesso, Autorização, Não Repudiação (Não-repudio) Disponibilidade e Registo.
Autenticação:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos.
Confidencialidade:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos partilhados.
Integridade:
É a característica que consiste na proteção da informação contra um ataque de modificação.
Autorização:
É a característica que assegura a proteção contra ações não autorizadas, garantindo, por exemplo, que apenas um número restrito de participantes pode desempenhar um determinado papel numa operação.
Não-repudiação:
Consiste em permitir garantir que uma transição não pode ser negada.
O ato de não-repúdio pode ser realizado em três fases distintas, nomeadamente:
1. Na criação, quando o autor de uma mensagem ou de um documento não pode negar a sua autoria ou o seu envio, por exemplo, se o documento estiver assinado;
2. Na submissão, quando o autor de uma mensagem ou de um documento obtém uma prova do seu envio como, por exemplo, no correio registado;
3. Na receção, quando o destinatário de uma mensagem não pode negar que a recebeu como, por exemplo, no correio registado com aviso de receção.
Disponibilidade:
Consiste em permitir manter o bom funcionamento do sistema de informação.
Registo:
Consiste em permitir o arquivamento de determinadas operações.
Encriptação ou mecanismos de Cifragem -
Criptografia é codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc.
- A encriptação é um processo que codifica os dados através de uma chave secreta, conhecida apenas pelas entidades envolvidas.
- O processo de modificação da mensagem chama-se Cifragem e transforma-a num Criptograma.
- O processo de recuperação da mensagem original denomina-se por Decifragem.
Mecanismos criptográficos:
Os mecanismos criptográficos são: cifra simétrica, cifra assimétrica e geração de números aleatórios imprevisíveis.
Criptografia simétrica:
A criptografia simétrica é também conhecida por criptografia de chave secreta.
Algoritmos que usam criptografia simétrica tendem a ser mais rápidos, no entanto não são tão seguros como os que usam criptografia assimétrica, uma vez que a chave usada para cifrar a informação é partilhada entre as várias máquinas.
Isto funciona usando uma única chave que é partilhada entre o emissor e o recetor. Desta forma, a chave que é usada para cifrar é a mesma que é usada para decifrar.
Criptografia assimétrica:
A criptografia assimétrica é também conhecida por criptografia de chave pública.
Funcionamento:
- Usam um par de chaves distintas (chave privada e chave pública)
- A chave pública é usada para cifrar (encriptar)
- A chave privada é usada para decifrar (desencriptar)
Em comparação com a criptografia simétrica, a criptografia assimétrica tende a ser mais lenta e necessita de um maior poder computacional por parte das máquinas. No entanto, este é um excelente método para garantir a segurança num canal público e inseguro (ex. Internet). Apenas a chave pública é partilhada entre emissor e recetor, e a chave privada é usada para decifrar a informação.
Geração de números aleatórios:
A geração de números aleatórios é importante, porque muitos mecanismos de segurança são derrotados por falta de verdadeira aleatoriedade.
Um erro comum é o uso de funções pseudoaleatórias, que recebem uma semente (seed) e depois geram uma sequência de números (a mesma semente gera sempre a mesma sequência). Nestes casos é possível adivinhar as chaves que vão ser geradas a seguir.
Assinatura Digital:
A assinatura digital permite garantir a autenticação do emissor e a integridade do conteúdo da mensagem.
Para fazer uma assinatura é só gerar o resumo de mensagem a enviar, cifrar o resumo com a chave privada do emissor.
Mecanismos de Certificação:
Certificação Digital:
A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas ou adotadas, que elevam a segurança às comunicações e transações eletrónicas, proporcionando a autenticidade e integridade das informações que transmitam de forma eletrónica.
Distribuição do certificado:
A distribuição de certificados pode ser realizada de algumas formas.
No caso de grupos pequenos de utilizadores, o certificado pode ser trocado através de pens ou e-mail contendo a chave pública de cada dono, conhecida como distribuição manual das chaves públicas. Entretanto os certificados também podem ser armazenados sob a forma de repositórios em sistemas estruturados quanto à sua administração, conhecidos como Infraestruturas de chaves públicas (ICPs).
Necessidades de Segurança:
Acesso não autorizado - Ocorre quando um utilizador descobre a informação de autenticação de um outro utilizador e a utiliza para aceder aos recursos desse utilizador;
Ataques por Imitação - Consiste em fazer com que um dado utilizador ou sistema se comporte como um outro.
Disrupção de serviços - É uma forma de ataque cujo objetivo é a interrupção ou a perturbação de um serviço por causa dos danos causados nos sistemas.
Questões Pontuação 1 a 5
Tem antivírus?
Utiliza a Internet para compras e vendas online?
Acesso físico do público ao interior do edifício?
Estranhos têm acesso aos recursos da empresa?
Tem algum afiliado?
Tem muitos ataques de hackers à empresa?
Onde guarda os seus recursos e documentos mais importantes?
As firewalls estão sempre ativadas?
Tem mecanismos de Encriptação?
Os funcionários têm acesso aos recursos da empresa?
Tem servidores?
Tem os pc's sempre atualizados?
Existem muitas falhas de energia?
Têm backup dos dados mais importantes?
Os servidores estão expostos ao público?
Exemplo: Saturando uma infra-estrutura de comunicação ou restringindo todas as mensagens para um destino específico.
Garantias de Segurança -
As características que a informação deve possuir para garantir a nossa segurança podem ser classificadas em Autenticação, Confidencialidade, Integridade, Controlo de acesso, Autorização, Não Repudiação (Não-repudio) Disponibilidade e Registo.
Autenticação:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos.
Confidencialidade:
Consiste em assegurar que só as pessoas autorizadas têm acesso aos recursos partilhados.
Integridade:
É a característica que consiste na proteção da informação contra um ataque de modificação.
Autorização:
É a característica que assegura a proteção contra ações não autorizadas, garantindo, por exemplo, que apenas um número restrito de participantes pode desempenhar um determinado papel numa operação.
Não-repudiação:
Consiste em permitir garantir que uma transição não pode ser negada.
O ato de não-repúdio pode ser realizado em três fases distintas, nomeadamente:
1. Na criação, quando o autor de uma mensagem ou de um documento não pode negar a sua autoria ou o seu envio, por exemplo, se o documento estiver assinado;
2. Na submissão, quando o autor de uma mensagem ou de um documento obtém uma prova do seu envio como, por exemplo, no correio registado;
3. Na receção, quando o destinatário de uma mensagem não pode negar que a recebeu como, por exemplo, no correio registado com aviso de receção.
Disponibilidade:
Consiste em permitir manter o bom funcionamento do sistema de informação.
Registo:
Consiste em permitir o arquivamento de determinadas operações.
Encriptação ou mecanismos de Cifragem -
Criptografia é codificar dados em informações aparentemente sem sentido, para que pessoas não consigam ter acesso às informações que foram cifradas. Há vários usos para a criptografia em nosso dia-a-dia: proteger documentos secretos, transmitir informações confidenciais pela Internet ou por uma rede local, etc.
- A encriptação é um processo que codifica os dados através de uma chave secreta, conhecida apenas pelas entidades envolvidas.
- O processo de modificação da mensagem chama-se Cifragem e transforma-a num Criptograma.
- O processo de recuperação da mensagem original denomina-se por Decifragem.
Mecanismos criptográficos:
Os mecanismos criptográficos são: cifra simétrica, cifra assimétrica e geração de números aleatórios imprevisíveis.
Criptografia simétrica:
A criptografia simétrica é também conhecida por criptografia de chave secreta.
Algoritmos que usam criptografia simétrica tendem a ser mais rápidos, no entanto não são tão seguros como os que usam criptografia assimétrica, uma vez que a chave usada para cifrar a informação é partilhada entre as várias máquinas.
Isto funciona usando uma única chave que é partilhada entre o emissor e o recetor. Desta forma, a chave que é usada para cifrar é a mesma que é usada para decifrar.
Criptografia assimétrica:
A criptografia assimétrica é também conhecida por criptografia de chave pública.
Funcionamento:
- Usam um par de chaves distintas (chave privada e chave pública)
- A chave pública é usada para cifrar (encriptar)
- A chave privada é usada para decifrar (desencriptar)
Em comparação com a criptografia simétrica, a criptografia assimétrica tende a ser mais lenta e necessita de um maior poder computacional por parte das máquinas. No entanto, este é um excelente método para garantir a segurança num canal público e inseguro (ex. Internet). Apenas a chave pública é partilhada entre emissor e recetor, e a chave privada é usada para decifrar a informação.
Geração de números aleatórios:
A geração de números aleatórios é importante, porque muitos mecanismos de segurança são derrotados por falta de verdadeira aleatoriedade.
Um erro comum é o uso de funções pseudoaleatórias, que recebem uma semente (seed) e depois geram uma sequência de números (a mesma semente gera sempre a mesma sequência). Nestes casos é possível adivinhar as chaves que vão ser geradas a seguir.
Assinatura Digital:
A assinatura digital permite garantir a autenticação do emissor e a integridade do conteúdo da mensagem.
Para fazer uma assinatura é só gerar o resumo de mensagem a enviar, cifrar o resumo com a chave privada do emissor.
Mecanismos de Certificação:
Certificação Digital:
A Certificação Digital pode ser vista como um conjunto de técnicas, processos e normas estabelecidas ou adotadas, que elevam a segurança às comunicações e transações eletrónicas, proporcionando a autenticidade e integridade das informações que transmitam de forma eletrónica.
Distribuição do certificado:
A distribuição de certificados pode ser realizada de algumas formas.
No caso de grupos pequenos de utilizadores, o certificado pode ser trocado através de pens ou e-mail contendo a chave pública de cada dono, conhecida como distribuição manual das chaves públicas. Entretanto os certificados também podem ser armazenados sob a forma de repositórios em sistemas estruturados quanto à sua administração, conhecidos como Infraestruturas de chaves públicas (ICPs).
Necessidades de Segurança:
Acesso não autorizado - Ocorre quando um utilizador descobre a informação de autenticação de um outro utilizador e a utiliza para aceder aos recursos desse utilizador;
Ataques por Imitação - Consiste em fazer com que um dado utilizador ou sistema se comporte como um outro.
Disrupção de serviços - É uma forma de ataque cujo objetivo é a interrupção ou a perturbação de um serviço por causa dos danos causados nos sistemas.
Perguntas de Segurança para uma Empresa
Questões Pontuação 1 a 5
Tem antivírus?
Utiliza a Internet para compras e vendas online?
Acesso físico do público ao interior do edifício?
Estranhos têm acesso aos recursos da empresa?
Tem algum afiliado?
Tem muitos ataques de hackers à empresa?
Onde guarda os seus recursos e documentos mais importantes?
As firewalls estão sempre ativadas?
Tem mecanismos de Encriptação?
Os funcionários têm acesso aos recursos da empresa?
Tem servidores?
Tem os pc's sempre atualizados?
Existem muitas falhas de energia?
Têm backup dos dados mais importantes?
Os servidores estão expostos ao público?
Política de Segurança
Definição de uma política de segurança -
Uma política de segurança é um conjunto de regras e procedimentos que visam controlar o acesso a determinados recursos de uma empresa, por exemplo, informações confidenciais, dispositivos físicos ou até mesmo instalações.
As principais regras de uma boa política de segurança são:
- Ser implementável através de procedimentos de administração, publicação das regras, ou outros métodos apropriados.
- Ser exigida com ferramentas de segurança, onde apropriado.
- Definir claramente as áreas de responsabilidade para os utilizadores, administradores e gerentes.
