ads:
SEGURANÇA FRAUDE TECNOLOGIA SPAM IN
T
MALWARE PREVENÇÃO VÍRUS BANDA LARGA
TROJAN PRIVACIDADE PHISHING WIRELESS
SPYWARE ANTIVÍRUS WORM BLUETOOTH S
C
CRIPTOGRAFIA BOT SENHA ATAQUE FIREWA
L
BACKDOOR COOKIES KEYLOGGER PATCHES
R
INCIDENTE TECNOLOGIA SPAM INTERNET M
A
PREVENÇÃO VÍRUS BANDA LARGA TROJAN
PRIVACIDADE PHISHING WIRELESS SPYWARE
ANTIVÍRUS WORM BLUETOOTH SCAM
CRIPTOGRAFIA BOT SENHA ATAQUE FIREWA
L
BACKDOOR COOKIES KEYLOGGER PATCHES
R
INCIDENTE SEGURANÇA FRAUDE INTERNET
MALWARE PREVENÇÃO VÍRUS BANDA LARGA
TROJAN PRIVACIDADE PHISHING WIRELESS
SPYWARE ANTIVÍRUS WORM BLUETOOTH S
C
CRIPTOGRAFIA BOT SENHA ATAQUE FIREWA
L
BACKDOOR COOKIES KEYLOGGER PATCHES
R
INCIDENTE SEGURANÇA FRAUDE TECNOLOGI
A
Cartilha de Segurança
para Internet
Parte I: Conceitos de Segurança
Versão 3.0
Setembro de 2005
http://cartilha.cert.br/
ads:
Livros Grátis
http://www.livrosgratis.com.br
Milhares de livros grátis para download.
CERT.br – Centro de Estudos, Resposta e Tratamento
de Incidentes de Seguranc¸a no Brasil
Cartilha de Seguranc¸a para Internet
Parte I: Conceitos de Seguranc¸a
Esta parte da Cartilha apresenta conceitos de seguranc¸a de computa-
dores, onde s
˜
ao abordados temas relacionados
`
as senhas, engenharia
social, malware, vulnerabilidade, ataques de negac¸
˜
ao de servic¸o, crip-
tografia e certificados digitais. Os conceitos aqui apresentados s
˜
ao im-
portantes para o entendimento de partes subseq
¨
uentes desta Cartilha.
Vers
˜
ao 3.0 – Setembro de 2005
http://cartilha.cert.br/
ads:
Parte I: Conceitos de Seguranc¸a
Sum
´
ario
1 Seguranc¸a de Computadores 3
1.1 Por que devo me preocupar com a seguranc¸a do meu computador? . . . . . . . . . . 3
1.2 Por que algu
´
em iria querer invadir meu computador? . . . . . . . . . . . . . . . . . 3
2 Senhas 4
2.1 O que n
˜
ao se deve usar na elaborac¸
˜
ao de uma senha? . . . . . . . . . . . . . . . . . 4
2.2 O que
´
e uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.5 Com que freq
¨
u
ˆ
encia devo mudar minhas senhas? . . . . . . . . . . . . . . . . . . . 6
2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . . . . . . . . . 6
2.7 Que cuidados devo ter com o usu
´
ario e senha de Administrator (ou root) em um
computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3 Cookies 7
4 Engenharia Social 7
4.1 Que exemplos podem ser citados sobre este m
´
etodo de ataque? . . . . . . . . . . . . 8
5 Vulnerabilidade 8
6 C
´
odigos Maliciosos (Malware) 9
7 Negac¸
˜
ao de Servic¸o (Denial of Service) 9
7.1 O que
´
e DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma invas
˜
ao? . 10
8 Criptografia 10
8.1 O que
´
e criptografia de chave
´
unica?
. . . . . . . . . . . . . . . . . . . . . . . . . . 10
8.2 O que
´
e criptografia de chaves p
´
ublica e privada? . . . . . . . . . . . . . . . . . . . 11
8.3 O que
´
e assinatura digital? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave
´
unica e de
chaves p
´
ublica e privada? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . . . . . . . . . . . . 12
9 Certificado Digital 13
9.1 O que
´
e Autoridade Certificadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 13
9.2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . . . . . . . . . 13
Como Obter este Documento 14
Nota de Copyright e Distribuic¸
˜
ao 14
Agradecimentos 14
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 2/14
Parte I: Conceitos de Seguranc¸a
1 Seguranc¸a de Computadores
Um computador (ou sistema computacional)
´
e dito seguro se este atende a tr
ˆ
es requisitos b
´
asicos
relacionados aos recursos que o comp
˜
oem: confidencialidade, integridade e disponibilidade.
A confidencialidade diz que a informac¸
˜
ao s
´
o est
´
a dispon
´
ıvel para aqueles devidamente autoriza-
dos; a integridade diz que a informac¸
˜
ao n
˜
ao
´
e destru
´
ıda ou corrompida e o sistema tem um desempe-
nho correto, e a disponibilidade diz que os servic¸os/recursos do sistema est
˜
ao dispon
´
ıveis sempre que
forem necess
´
arios.
Alguns exemplos de violac¸
˜
oes a cada um desses requisitos s
˜
ao:
Confidencialidade: algu
´
em obt
´
em acesso n
˜
ao autorizado ao seu computador e l
ˆ
e todas as informa-
c¸
˜
oes contidas na sua declarac¸
˜
ao de Imposto de Renda;
Integridade: algu
´
em obt
´
em acesso n
˜
ao autorizado ao seu computador e altera informac¸
˜
oes da sua
declarac¸
˜
ao de Imposto de Renda, momentos antes de voc
ˆ
e envi
´
a-la
`
a Receita Federal;
Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negac¸
˜
ao
de servic¸o e por este motivo voc
ˆ
e fica impossibilitado de enviar sua declarac¸
˜
ao de Imposto de
Renda
`
a Receita Federal.
1.1 Por que devo me preocupar com a seguranc¸a do meu computador?
Computadores dom
´
esticos s
˜
ao utilizados para realizar in
´
umeras tarefas, tais como: transac¸
˜
oes fi-
nanceiras, sejam elas banc
´
arias ou mesmo compra de produtos e servic¸os; comunicac¸
˜
ao, por exemplo,
atrav
´
es de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc.
´
E importante que voc
ˆ
e se preocupe com a seguranc¸a de seu computador, pois voc
ˆ
e, provavelmente,
n
˜
ao gostaria que:
• suas senhas e n
´
umeros de cart
˜
oes de cr
´
edito fossem furtados e utilizados por terceiros;
• sua conta de acesso a Internet fosse utilizada por algu
´
em n
˜
ao autorizado;
• seus dados pessoais, ou at
´
e mesmo comerciais, fossem alterados, destru
´
ıdos ou visualizados
por terceiros;
• seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do
sistema terem sido apagados, etc.
1.2 Por que algu
´
em iria querer invadir meu computador?
A resposta para esta pergunta n
˜
ao
´
e simples. Os motivos pelos quais algu
´
em tentaria invadir seu
computador s
˜
ao in
´
umeros. Alguns destes motivos podem ser:
• utilizar seu computador em alguma atividade il
´
ıcita, para esconder a real identidade e localiza-
c¸
˜
ao do invasor;
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 3/14
Parte I: Conceitos de Seguranc¸a
• utilizar seu computador para lanc¸ar ataques contra outros computadores;
• utilizar seu disco r
´
ıgido como reposit
´
orio de dados;
• destruir informac¸
˜
oes (vandalismo);
• disseminar mensagens alarmantes e falsas;
• ler e enviar e-mails em seu nome;
• propagar v
´
ırus de computador;
• furtar n
´
umeros de cart
˜
oes de cr
´
edito e senhas banc
´
arias;
• furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por voc
ˆ
e;
• furtar dados do seu computador, como por exemplo, informac¸
˜
oes do seu Imposto de Renda.
2 Senhas
Uma senha (password ) na Internet, ou em qualquer sistema computacional, serve para autenticar
o usu
´
ario, ou seja,
´
e utilizada no processo de verificac¸
˜
ao da identidade do usu
´
ario, assegurando que
este
´
e realmente quem diz ser.
Se uma outra pessoa tem acesso a sua senha, ela poder
´
a utiliz
´
a-la para se passar por voc
ˆ
e na
Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s
˜
ao:
• ler e enviar e-mails em seu nome;
• obter informac¸
˜
oes sens
´
ıveis dos dados armazenados em seu computador, tais como n
´
umeros de
cart
˜
oes de cr
´
edito;
• esconder sua real identidade e ent
˜
ao desferir ataques contra computadores de terceiros.
Portanto, a senha merece considerac¸
˜
ao especial, afinal ela
´
e de sua inteira responsabilidade.
2.1 O que n
˜
ao se deve usar na elaborac¸
˜
ao de uma senha?
Nomes, sobrenomes, n
´
umeros de documentos, placas de carros, n
´
umeros de telefones e datas
1
dever
˜
ao estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa
mal intencionada, possivelmente, utilizaria este tipo de informac¸
˜
ao para tentar se autenticar como
voc
ˆ
e.
Existem v
´
arias regras de criac¸
˜
ao de senhas, sendo que uma regra muito importante
´
e jamais utili-
zar palavras que fac¸am parte de dicion
´
arios. Existem softwares que tentam descobrir senhas combi-
nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion
´
arios)
e listas de nomes (nomes pr
´
oprios, m
´
usicas, filmes, etc.).
1
Qualquer data que possa estar relacionada com voc
ˆ
e, como por exemplo a data de seu anivers
´
ario ou de familiares.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 4/14
Parte I: Conceitos de Seguranc¸a
2.2 O que
´
e uma boa senha?
Uma boa senha deve ter pelo menos oito caracteres
2
(letras, n
´
umeros e s
´
ımbolos), deve ser simples
de digitar e, o mais importante, deve ser f
´
acil de lembrar.
Normalmente os sistemas diferenciam letras mai
´
usculas das min
´
usculas, o que j
´
a ajuda na com-
posic¸
˜
ao da senha. Por exemplo, “pAraleLepiPedo” e “paRalElePipEdo” s
˜
ao senhas diferentes.
Entretanto, s
˜
ao senhas f
´
aceis de descobrir utilizando softwares para quebra de senhas, pois n
˜
ao pos-
suem n
´
umeros e s
´
ımbolos, al
´
em de conter muitas repetic¸
˜
oes de letras.
2.3 Como elaborar uma boa senha?
Quanto mais “bagunc¸ada” for a senha melhor, pois mais dif
´
ıcil ser
´
a descobr
´
ı-la. Assim, tente
misturar letras mai
´
usculas, min
´
usculas, n
´
umeros e sinais de pontuac¸
˜
ao. Uma regra realmente pr
´
atica
e que gera boas senhas dif
´
ıceis de serem descobertas
´
e utilizar uma frase qualquer e pegar a primeira,
segunda ou a
´
ultima letra de cada palavra.
Por exemplo, usando a frase “batatinha quando nasce se esparrama pelo ch
˜
ao” podemos gerar
a senha “!BqnsepC” (o sinal de exclamac¸
˜
ao foi colocado no in
´
ıcio para acrescentar um s
´
ımbolo
`
a
senha). Senhas geradas desta maneira s
˜
ao f
´
aceis de lembrar e s
˜
ao normalmente dif
´
ıceis de serem
descobertas.
Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha, pois faz parte desta Cartilha.
Vale ressaltar que se voc
ˆ
e tiver dificuldades para memorizar uma senha forte,
´
e prefer
´
ıvel anot
´
a-la
e guard
´
a-la em local seguro, do que optar pelo uso de senhas fracas.
2.4 Quantas senhas diferentes devo usar?
Procure identificar o n
´
umero de locais onde voc
ˆ
e necessita utilizar uma senha. Este n
´
umero
deve ser equivalente a quantidade de senhas distintas a serem mantidas por voc
ˆ
e. Utilizar senhas
diferentes, uma para cada local,
´
e extremamente importante, pois pode atenuar os preju
´
ızos causados,
caso algu
´
em descubra uma de suas senhas.
Para ressaltar a import
ˆ
ancia do uso de senhas diferentes, imagine que voc
ˆ
e
´
e respons
´
avel por
realizar movimentac¸
˜
oes financeiras em um conjunto de contas banc
´
arias e todas estas contas possuem
a mesma senha. Ent
˜
ao, procure responder as seguintes perguntas:
• Quais seriam as conseq
¨
u
ˆ
encias se algu
´
em descobrisse esta senha?
• E se fossem usadas senhas diferentes para cada conta, caso algu
´
em descobrisse uma das senhas,
um poss
´
ıvel preju
´
ızo teria a mesma proporc¸
˜
ao?
2
Existem servic¸os que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif
´
ıcil
ser
´
a descobr
´
ı-la, portanto procure utilizar a senha de maior tamanho poss
´
ıvel.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 5/14
Parte I: Conceitos de Seguranc¸a
2.5 Com que freq
¨
u
ˆ
encia devo mudar minhas senhas?
Voc
ˆ
e deve trocar suas senhas regularmente, procurando evitar per
´
ıodos muito longos. Uma su-
gest
˜
ao
´
e que voc
ˆ
e realize tais trocas a cada dois ou tr
ˆ
es meses.
Procure identificar se os servic¸os que voc
ˆ
e utiliza e que necessitam de senha, quer seja o acesso
ao seu provedor, e-mail, conta banc
´
aria, ou outro, disponibilizam funcionalidades para alterar senhas
e use regularmente tais funcionalidades.
Caso voc
ˆ
e n
˜
ao possa escolher sua senha na hora em que contratar o servic¸o, procure troc
´
a-la com
a maior urg
ˆ
encia poss
´
ıvel. Procure utilizar servic¸os em que voc
ˆ
e possa escolher a sua senha.
Lembre-se que trocas regulares s
˜
ao muito importantes para assegurar a confidencialidade de suas
senhas.
2.6 Quais os cuidados especiais que devo ter com as senhas?
De nada adianta elaborar uma senha bastante segura e dif
´
ıcil de ser descoberta, se ao usar a senha
algu
´
em puder v
ˆ
e-la. Existem v
´
arias maneiras de algu
´
em poder descobrir a sua senha. Dentre elas,
algu
´
em poderia:
• observar o processo de digitac¸
˜
ao da sua senha;
• utilizar algum m
´
etodo de persuas
˜
ao, para tentar convenc
ˆ
e-lo a entregar sua senha (vide se-
c¸
˜
ao 4.1);
• capturar sua senha enquanto ela trafega pela rede.
Em relac¸
˜
ao a este
´
ultimo caso, existem t
´
ecnicas que permitem observar dados,
`
a medida que estes
trafegam entre redes.
´
E poss
´
ıvel que algu
´
em extraia informac¸
˜
oes sens
´
ıveis desses dados, como por
exemplo senhas, caso n
˜
ao estejam criptografados (vide sec¸
˜
ao 8).
Portanto, alguns dos principais cuidados que voc
ˆ
e deve ter com suas senhas s
˜
ao:
• certifique-se de n
˜
ao estar sendo observado ao digitar a sua senha;
• n
˜
ao fornec¸a sua senha para qualquer pessoa, em hip
´
otese alguma;
• n
˜
ao utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de
eventos, etc) em operac¸
˜
oes que necessitem utilizar suas senhas;
• certifique-se que seu provedor disponibiliza servic¸os criptografados, principalmente para aque-
les que envolvam o fornecimento de uma senha.
2.7 Que cuidados devo ter com o usu
´
ario e senha de Administrator (ou root)
em um computador?
O usu
´
ario Administrator (ou root)
´
e de extrema import
ˆ
ancia, pois det
´
em todos os privil
´
egios em
um computador. Ele deve ser usado em situac¸
˜
oes onde um usu
´
ario normal n
˜
ao tenha privil
´
egios para
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 6/14
Parte I: Conceitos de Seguranc¸a
realizar uma operac¸
˜
ao, como por exemplo, em determinadas tarefas administrativas, de manutenc¸
˜
ao
ou na instalac¸
˜
ao e configurac¸
˜
ao de determinados tipos de software.
Sabe-se que, por uma quest
˜
ao de comodidade e principalmente no ambiente dom
´
estico, muitas
pessoas utilizam o usu
´
ario Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele
´
e usado para se conectar
`
a Internet, navegar utilizando o browser, ler e-mails, redigir documentos,
etc.
Este
´
e um procedimento que deve ser sempre evitado, pois voc
ˆ
e, como usu
´
ario Administrator (ou
root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacio-
nal ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente
um software malicioso que, como usu
´
ario Administrator (ou root), teria todos os privil
´
egios que ne-
cessitasse, podendo fazer qualquer coisa.
Portanto, alguns dos principais cuidados que voc
ˆ
e deve ter s
˜
ao:
• elaborar uma boa senha para o usu
´
ario Administrator (ou root), como discutido na sec¸
˜
ao 2.3, e
seguir os procedimentos descritos na sec¸
˜
ao 2.6;
• utilizar o usu
´
ario Administrator (ou root) somente quando for estritamente necess
´
ario;
• criar tantos usu
´
arios com privil
´
egios normais, quantas forem as pessoas que utilizam seu com-
putador, para substituir assim o usu
´
ario Administrator (ou root) em tarefas rotineiras, como
leitura de e-mails, navegac¸
˜
ao na Internet, produc¸
˜
ao de documentos, etc.
3 Cookies
Cookies s
˜
ao pequenas informac¸
˜
oes que os sites visitados por voc
ˆ
e podem armazenar em seu
browser. Estes s
˜
ao utilizados pelos sites de diversas formas, tais como:
• guardar a sua identificac¸
˜
ao e senha quando voc
ˆ
e vai de uma p
´
agina para outra;
• manter listas de compras ou listas de produtos preferidos em sites de com
´
ercio eletr
ˆ
onico;
• personalizar sites pessoais ou de not
´
ıcias, quando voc
ˆ
e escolhe o que quer que seja mostrado
nas p
´
aginas;
• manter a lista das p
´
aginas vistas em um site, para estat
´
ıstica ou para retirar as p
´
aginas que voc
ˆ
e
n
˜
ao tem interesse dos links.
A parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas
sugest
˜
oes para que se tenha maior controle sobre eles.
4 Engenharia Social
O termo
´
e utilizado para descrever um m
´
etodo de ataque, onde algu
´
em faz uso da persuas
˜
ao,
muitas vezes abusando da ingenuidade ou confianc¸a do usu
´
ario, para obter informac¸
˜
oes que podem
ser utilizadas para ter acesso n
˜
ao autorizado a computadores ou informac¸
˜
oes.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 7/14
Parte I: Conceitos de Seguranc¸a
4.1 Que exemplos podem ser citados sobre este m
´
etodo de ataque?
Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O
´
ultimo exemplo apresenta um ataque realizado por telefone.
Exemplo 1: voc
ˆ
e recebe uma mensagem e-mail , onde o remetente
´
e o gerente ou algu
´
em em nome
do departamento de suporte do seu banco. Na mensagem ele diz que o servic¸o de Internet Bank-
ing est
´
a apresentando algum problema e que tal problema pode ser corrigido se voc
ˆ
e executar
o aplicativo que est
´
a anexado
`
a mensagem. A execuc¸
˜
ao deste aplicativo apresenta uma tela
an
´
aloga
`
aquela que voc
ˆ
e utiliza para ter acesso a conta banc
´
aria, aguardando que voc
ˆ
e digite
sua senha. Na verdade, este aplicativo est
´
a preparado para furtar sua senha de acesso a conta
banc
´
aria e envi
´
a-la para o atacante.
Exemplo 2: voc
ˆ
e recebe uma mensagem de e-mail, dizendo que seu computador est
´
a infectado por
um v
´
ırus. A mensagem sugere que voc
ˆ
e instale uma ferramenta dispon
´
ıvel em um site da
Internet, para eliminar o v
´
ırus de seu computador. A real func¸
˜
ao desta ferramenta n
˜
ao
´
e eliminar
um v
´
ırus, mas sim permitir que algu
´
em tenha acesso ao seu computador e a todos os dados nele
armazenados.
Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t
´
ecnico do seu provedor.
Nesta ligac¸
˜
ao ele diz que sua conex
˜
ao com a Internet est
´
a apresentando algum problema e,
ent
˜
ao, pede sua senha para corrig
´
ı-lo. Caso voc
ˆ
e entregue sua senha, este suposto t
´
ecnico
poder
´
a realizar uma infinidade de atividades maliciosas, utilizando a sua conta de acesso a
Internet e, portanto, relacionando tais atividades ao seu nome.
Estes casos mostram ataques t
´
ıpicos de engenharia social, pois os discursos apresentados nos
exemplos procuram induzir o usu
´
ario a realizar alguma tarefa e o sucesso do ataque depende
´
unica e
exclusivamente da decis
˜
ao do usu
´
ario em fornecer informac¸
˜
oes sens
´
ıveis ou executar programas.
A parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.
5 Vulnerabilidade
Vulnerabilidade
´
e definida como uma falha no projeto, implementac¸
˜
ao ou configurac¸
˜
ao de um soft-
ware ou sistema operacional que, quando explorada por um atacante, resulta na violac¸
˜
ao da seguranc¸a
de um computador.
Existem casos onde um software ou sistema operacional instalado em um computador pode con-
ter uma vulnerabilidade que permite sua explorac¸
˜
ao remota, ou seja, atrav
´
es da rede. Portanto, um
atacante conectado
`
a Internet, ao explorar tal vulnerabilidade, pode obter acesso n
˜
ao autorizado ao
computador vulner
´
avel.
A parte
II: Riscos Envolvidos no Uso da Internet e M
´
etodos de Prevenc¸
˜
ao apresenta algumas
formas de identificac¸
˜
ao de vulnerabilidades, bem como maneiras de prevenc¸
˜
ao e correc¸
˜
ao.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 8/14
Parte I: Conceitos de Seguranc¸a
6 C
´
odigos Maliciosos (Malware)
C
´
odigo malicioso ou Malware (Malicious Software)
´
e um termo gen
´
erico que abrange todos os
tipos de programa especificamente desenvolvidos para executar ac¸
˜
oes maliciosas em um computador.
Na literatura de seguranc¸a o termo malware tamb
´
em
´
e conhecido por “software malicioso”.
Alguns exemplos de malware s
˜
ao:
• v
´
ırus;
• worms e bots;
• backdoors;
• cavalos de tr
´
oia;
• keyloggers e outros programas spyware;
• rootkits.
A parte VIII: C
´
odigos Maliciosos (Malware) apresenta descric¸
˜
oes detalhadas e formas de identi-
ficac¸
˜
ao e prevenc¸
˜
ao para os diversos tipos de c
´
odigo malicioso.
7 Negac¸
˜
ao de Servic¸o (Denial of Service)
Nos ataques de negac¸
˜
ao de servic¸o (DoS – Denial of Service) o atacante utiliza um computador
para tirar de operac¸
˜
ao um servic¸o ou computador conectado
`
a Internet.
Exemplos deste tipo de ataque s
˜
ao:
• gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o
usu
´
ario n
˜
ao consiga utiliz
´
a-lo;
• gerar um grande tr
´
afego de dados para uma rede, ocupando toda a banda dispon
´
ıvel, de modo
que qualquer computador desta rede fique indispon
´
ıvel;
• tirar servic¸os importantes de um provedor do ar, impossibilitando o acesso dos usu
´
arios a suas
caixas de correio no servidor de e-mail ou ao servidor Web.
7.1 O que
´
e DDoS?
DDoS (Distributed Denial of Service) constitui um ataque de negac¸
˜
ao de servic¸o distribu
´
ıdo,
ou seja, um conjunto de computadores
´
e utilizado para tirar de operac¸
˜
ao um ou mais servic¸os ou
computadores conectados
`
a Internet.
Normalmente estes ataques procuram ocupar toda a banda dispon
´
ıvel para o acesso a um com-
putador ou rede, causando grande lentid
˜
ao ou at
´
e mesmo indisponibilizando qualquer comunicac¸
˜
ao
com este computador ou rede.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 9/14
Parte I: Conceitos de Seguranc¸a
7.2 Se uma rede ou computador sofrer um DoS, isto significa que houve uma
invas
˜
ao?
N
˜
ao. O objetivo de tais ataques
´
e indisponibilizar o uso de um ou mais computadores, e n
˜
ao
invad
´
ı-los.
´
E importante notar que, principalmente em casos de DDoS, computadores comprometidos
podem ser utilizados para desferir os ataques de negac¸
˜
ao de servic¸o.
Um exemplo deste tipo de ataque ocorreu no in
´
ıcio de 2000, onde computadores de v
´
arias partes
do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com
´
ercio
eletr
ˆ
onico. Estas empresas n
˜
ao tiveram seus computadores comprometidos, mas sim ficaram impos-
sibilitadas de vender seus produtos durante um longo per
´
ıodo.
8 Criptografia
Criptografia
´
e a ci
ˆ
encia e arte de escrever mensagens em forma cifrada ou em c
´
odigo.
´
E parte de
um campo de estudos que trata das comunicac¸
˜
oes secretas, usadas, dentre outras finalidades, para:
• autenticar a identidade de usu
´
arios;
• autenticar e proteger o sigilo de comunicac¸
˜
oes pessoais e de transac¸
˜
oes comerciais e banc
´
arias;
• proteger a integridade de transfer
ˆ
encias eletr
ˆ
onicas de fundos.
Uma mensagem codificada por um m
´
etodo de criptografia deve ser privada, ou seja, somente
aquele que enviou e aquele que recebeu devem ter acesso ao conte
´
udo da mensagem. Al
´
em disso,
uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder verificar se o
remetente
´
e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter
sido modificada.
Os m
´
etodos de criptografia atuais s
˜
ao seguros e eficientes e baseiam-se no uso de uma ou mais
chaves. A chave
´
e uma seq
¨
u
ˆ
encia de caracteres, que pode conter letras, d
´
ıgitos e s
´
ımbolos (como
uma senha), e que
´
e convertida em um n
´
umero, utilizado pelos m
´
etodos de criptografia para codificar
e decodificar mensagens.
Atualmente, os m
´
etodos criptogr
´
aficos podem ser subdivididos em duas grandes categorias, de
acordo com o tipo de chave utilizada: a criptografia de chave
´
unica (vide sec¸
˜
ao
8.1) e a criptografia
de chave p
´
ublica e privada (vide sec¸
˜
ao 8.2).
8.1 O que
´
e criptografia de chave
´
unica?
A criptografia de chave
´
unica utiliza a mesma chave tanto para codificar quanto para decodificar
mensagens. Apesar deste m
´
etodo ser bastante eficiente em relac¸
˜
ao ao tempo de processamento, ou
seja, o tempo gasto para codificar e decodificar mensagens, tem como principal desvantagem a ne-
cessidade de utilizac¸
˜
ao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou
entidades que desejem trocar informac¸
˜
oes criptografadas.
Exemplos de utilizac¸
˜
ao deste m
´
etodo de criptografia e sugest
˜
oes para o tamanho m
´
ınimo da chave
´
unica podem ser vistos nas sec¸
˜
oes 8.4 e 8.5, respectivamente.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 10/14
Parte I: Conceitos de Seguranc¸a
8.2 O que
´
e criptografia de chaves p
´
ublica e privada?
A criptografia de chaves p
´
ublica e privada utiliza duas chaves distintas, uma para codificar e
outra para decodificar mensagens. Neste m
´
etodo cada pessoa ou entidade mant
´
em duas chaves: uma
p
´
ublica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo
seu dono. As mensagens codificadas com a chave p
´
ublica s
´
o podem ser decodificadas com a chave
privada correspondente.
Seja o exemplo, onde Jos
´
e e Maria querem se comunicar de maneira sigilosa. Ent
˜
ao, eles ter
˜
ao
que realizar os seguintes procedimentos:
1. Jos
´
e codifica uma mensagem utilizando a chave p
´
ublica de Maria, que est
´
a dispon
´
ıvel para o
uso de qualquer pessoa;
2. Depois de criptografada, Jos
´
e envia a mensagem para Maria, atrav
´
es da Internet;
3. Maria recebe e decodifica a mensagem, utilizando sua chave privada, que
´
e apenas de seu
conhecimento;
4. Se Maria quiser responder a mensagem, dever
´
a realizar o mesmo procedimento, mas utilizando
a chave p
´
ublica de Jos
´
e.
Apesar deste m
´
etodo ter o desempenho bem inferior em relac¸
˜
ao ao tempo de processamento,
quando comparado ao m
´
etodo de criptografia de chave
´
unica (sec¸
˜
ao 8.1), apresenta como principal
vantagem a livre distribuic¸
˜
ao de chaves p
´
ublicas, n
˜
ao necessitando de um meio seguro para que chaves
sejam combinadas antecipadamente. Al
´
em disso, pode ser utilizado na gerac¸
˜
ao de assinaturas digitais,
como mostra a sec¸
˜
ao 8.3.
Exemplos de utilizac¸
˜
ao deste m
´
etodo de criptografia e sugest
˜
oes para o tamanho m
´
ınimo das
chaves p
´
ublica e privada podem ser vistos nas sec¸
˜
oes 8.4 e 8.5, respectivamente.
8.3 O que
´
e assinatura digital?
A assinatura digital consiste na criac¸
˜
ao de um c
´
odigo, atrav
´
es da utilizac¸
˜
ao de uma chave privada,
de modo que a pessoa ou entidade que receber uma mensagem contendo este c
´
odigo possa verificar
se o remetente
´
e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada.
Desta forma,
´
e utilizado o m
´
etodo de criptografia de chaves p
´
ublica e privada, mas em um processo
inverso ao apresentado no exemplo da sec¸
˜
ao 8.2.
Se Jos
´
e quiser enviar uma mensagem assinada para Maria, ele codificar
´
a a mensagem com sua
chave privada. Neste processo ser
´
a gerada uma assinatura digital, que ser
´
a adicionada
`
a mensagem
enviada para Maria. Ao receber a mensagem, Maria utilizar
´
a a chave p
´
ublica de Jos
´
e para decodificar
a mensagem. Neste processo ser
´
a gerada uma segunda assinatura digital, que ser
´
a comparada
`
a pri-
meira. Se as assinaturas forem id
ˆ
enticas, Maria ter
´
a certeza que o remetente da mensagem foi o Jos
´
e
e que a mensagem n
˜
ao foi modificada.
´
E importante ressaltar que a seguranc¸a do m
´
etodo baseia-se no fato de que a chave privada
´
e co-
nhecida apenas pelo seu dono. Tamb
´
em
´
e importante ressaltar que o fato de assinar uma mensagem
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 11/14
Parte I: Conceitos de Seguranc¸a
n
˜
ao significa gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos
´
e quisesse assinar a men-
sagem e ter certeza de que apenas Maria teria acesso a seu conte
´
udo, seria preciso codific
´
a-la com a
chave p
´
ublica de Maria, depois de assin
´
a-la.
8.4 Que exemplos podem ser citados sobre o uso de criptografia de chave
´
unica
e de chaves p
´
ublica e privada?
Exemplos que combinam a utilizac¸
˜
ao dos m
´
etodos de criptografia de chave
´
unica e de chaves
p
´
ublica e privada s
˜
ao as conex
˜
oes seguras, estabelecidas entre o browser de um usu
´
ario e um site, em
transac¸
˜
oes comerciais ou banc
´
arias via Web.
Estas conex
˜
oes seguras via Web utilizam o m
´
etodo de criptografia de chave
´
unica, implementado
pelo protocolo SSL (Secure Socket Layer). O browser do usu
´
ario precisa informar ao site qual ser
´
a a
chave
´
unica utilizada na conex
˜
ao segura, antes de iniciar a transmiss
˜
ao de dados sigilosos.
Para isto, o browser obt
´
em a chave p
´
ublica do certificado
3
da instituic¸
˜
ao que mant
´
em o site.
Ent
˜
ao, ele utiliza esta chave p
´
ublica para codificar e enviar uma mensagem para o site, contendo a
chave
´
unica a ser utilizada na conex
˜
ao segura. O site utiliza sua chave privada para decodificar a
mensagem e identificar a chave
´
unica que ser
´
a utilizada.
A partir deste ponto, o browser do usu
´
ario e o site podem transmitir informac¸
˜
oes, de forma si-
gilosa e segura, atrav
´
es da utilizac¸
˜
ao do m
´
etodo de criptografia de chave
´
unica. A chave
´
unica pode
ser trocada em intervalos de tempo determinados, atrav
´
es da repetic¸
˜
ao dos procedimentos descritos
anteriormente, aumentando assim o n
´
ıvel de seguranc¸a de todo o processo.
8.5 Que tamanho de chave deve ser utilizado?
Os m
´
etodos de criptografia atualmente utilizados, e que apresentam bons n
´
ıveis de seguranc¸a, s
˜
ao
publicamente conhecidos e s
˜
ao seguros pela robustez de seus algoritmos e pelo tamanho das chaves
que utilizam.
Para que um atacante descubra uma chave ele precisa utilizar algum m
´
etodo de forc¸a bruta, ou
seja, testar combinac¸
˜
oes de chaves at
´
e que a correta seja descoberta. Portanto, quanto maior for
a chave, maior ser
´
a o n
´
umero de combinac¸
˜
oes a testar, inviabilizando assim a descoberta de uma
chave em tempo h
´
abil. Al
´
em disso, chaves podem ser trocadas regularmente, tornando os m
´
etodos de
criptografia ainda mais seguros.
Atualmente, para se obter um bom n
´
ıvel de seguranc¸a na utilizac¸
˜
ao do m
´
etodo de criptografia de
chave
´
unica,
´
e aconselh
´
avel utilizar chaves de no m
´
ınimo 128 bits. E para o m
´
etodo de criptografia
de chaves p
´
ublica e privada
´
e aconselh
´
avel utilizar chaves de 2048 bits, sendo o m
´
ınimo aceit
´
avel
de 1024 bits. Dependendo dos fins para os quais os m
´
etodos criptogr
´
aficos ser
˜
ao utilizados, deve-se
considerar a utilizac¸
˜
ao de chaves maiores: 256 ou 512 bits para chave
´
unica e 4096 ou 8192 bits para
chaves p
´
ublica e privada.
3
Certificados s
˜
ao discutidos na sec¸
˜
ao 9 e na parte IV: Fraudes na Internet.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 12/14
Parte I: Conceitos de Seguranc¸a
9 Certificado Digital
O certificado digital
´
e um arquivo eletr
ˆ
onico que cont
´
em dados de uma pessoa ou instituic¸
˜
ao,
utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou
em outra m
´
ıdia, como um token ou smart card.
Exemplos semelhantes a um certificado digital s
˜
ao o CNPJ, RG, CPF e carteira de habilitac¸
˜
ao
de uma pessoa. Cada um deles cont
´
em um conjunto de informac¸
˜
oes que identificam a instituic¸
˜
ao ou
pessoa e a autoridade (para estes exemplos,
´
org
˜
aos p
´
ublicos) que garante sua validade.
Algumas das principais informac¸
˜
oes encontradas em um certificado digital s
˜
ao:
• dados que identificam o dono (nome, n
´
umero de identificac¸
˜
ao, estado, etc);
• nome da Autoridade Certificadora (AC) que emitiu o certificado (vide sec¸
˜
ao 9.1);
• o n
´
umero de s
´
erie e o per
´
ıodo de validade do certificado;
• a assinatura digital da AC.
O objetivo da assinatura digital no certificado
´
e indicar que uma outra entidade (a Autoridade
Certificadora) garante a veracidade das informac¸
˜
oes nele contidas.
9.1 O que
´
e Autoridade Certificadora (AC)?
Autoridade Certificadora (AC)
´
e a entidade respons
´
avel por emitir certificados digitais. Estes
certificados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador,
departamento de uma instituic¸
˜
ao, instituic¸
˜
ao, etc.
Os certificados digitais possuem uma forma de assinatura eletr
ˆ
onica da AC que o emitiu. Grac¸as
`
a sua idoneidade, a AC
´
e normalmente reconhecida por todos como confi
´
avel, fazendo o papel de
“Cart
´
orio Eletr
ˆ
onico”.
9.2 Que exemplos podem ser citados sobre o uso de certificados?
Alguns exemplos t
´
ıpicos do uso de certificados digitais s
˜
ao:
• quando voc
ˆ
e acessa um site com conex
˜
ao segura, como por exemplo o acesso a sua conta
banc
´
aria pela Internet (vide parte IV: Fraudes na Internet),
´
e poss
´
ıvel checar se o site apresen-
tado
´
e realmente da instituic¸
˜
ao que diz ser, atrav
´
es da verificac¸
˜
ao de seu certificado digital;
• quando voc
ˆ
e consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes
de fornecer informac¸
˜
oes sobre a conta;
• quando voc
ˆ
e envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certificado
para assinar “digitalmente” a mensagem, de modo a assegurar ao destinat
´
ario que o e-mail
´
e
seu e que n
˜
ao foi adulterado entre o envio e o recebimento.
A parte IV: Fraudes na Internet apresenta algumas medidas de seguranc¸a relacionadas ao uso de
certificados digitais.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 13/14
Parte I: Conceitos de Seguranc¸a
Como Obter este Documento
Este documento pode ser obtido em http://cartilha.cert.br/. Como ele
´
e periodicamente
atualizado, certifique-se de ter sempre a vers
˜
ao mais recente.
Caso voc
ˆ
e tenha alguma sugest
˜
ao para este documento ou encontre algum erro, entre em contato
atrav
´
es do enderec¸o
Nota de Copyright e Distribuic¸
˜
ao
Este documento
´
e Copyright
c
2000–2005 CERT.br. Ele pode ser livremente copiado desde que
sejam respeitadas as seguintes condic¸
˜
oes:
1.
´
E permitido fazer e distribuir c
´
opias inalteradas deste documento, completo ou em partes,
contanto que esta nota de copyright e distribuic¸
˜
ao seja mantida em todas as c
´
opias, e que a
distribuic¸
˜
ao n
˜
ao tenha fins comerciais.
2. Se este documento for distribu
´
ıdo apenas em partes, instruc¸
˜
oes de como obt
ˆ
e-lo por completo
devem ser inclu
´
ıdas.
3.
´
E vedada a distribuic¸
˜
ao de vers
˜
oes modificadas deste documento, bem como a comercializac¸
˜
ao
de c
´
opias, sem a permiss
˜
ao expressa do CERT.br.
Embora todos os cuidados tenham sido tomados na preparac¸
˜
ao deste documento, o CERT.br n
˜
ao
garante a correc¸
˜
ao absoluta das informac¸
˜
oes nele contidas, nem se responsabiliza por eventuais con-
seq
¨
u
ˆ
encias que possam advir do seu uso.
Agradecimentos
O CERT.br agradece a todos que contribu
´
ıram para a elaborac¸
˜
ao deste documento, enviando co-
ment
´
arios, cr
´
ıticas, sugest
˜
oes ou revis
˜
oes.
Cartilha de Seguranc¸a para Internet –
c
2005 CERT.br 14/14
Livros Grátis
( http://www.livrosgratis.com.br )
Milhares de Livros para Download:
Baixar livros de Administração
Baixar livros de Agronomia
Baixar livros de Arquitetura
Baixar livros de Artes
Baixar livros de Astronomia
Baixar livros de Biologia Geral
Baixar livros de Ciência da Computação
Baixar livros de Ciência da Informação
Baixar livros de Ciência Política
Baixar livros de Ciências da Saúde
Baixar livros de Comunicação
Baixar livros do Conselho Nacional de Educação - CNE
Baixar livros de Defesa civil
Baixar livros de Direito
Baixar livros de Direitos humanos
Baixar livros de Economia
Baixar livros de Economia Doméstica
Baixar livros de Educação
Baixar livros de Educação - Trânsito
Baixar livros de Educação Física
Baixar livros de Engenharia Aeroespacial
Baixar livros de Farmácia
Baixar livros de Filosofia
Baixar livros de Física
Baixar livros de Geociências
Baixar livros de Geografia
Baixar livros de História
Baixar livros de Línguas
Baixar livros de Literatura
Baixar livros de Literatura de Cordel
Baixar livros de Literatura Infantil
Baixar livros de Matemática
Baixar livros de Medicina
Baixar livros de Medicina Veterinária
Baixar livros de Meio Ambiente
Baixar livros de Meteorologia
Baixar Monografias e TCC
Baixar livros Multidisciplinar
Baixar livros de Música
Baixar livros de Psicologia
Baixar livros de Química
Baixar livros de Saúde Coletiva
Baixar livros de Serviço Social
Baixar livros de Sociologia
Baixar livros de Teologia
Baixar livros de Trabalho
Baixar livros de Turismo
