Please enable JavaScript.
Coggle requires JavaScript to display documents.
Segurança da Informação - 11/03 (Terminologias usadas na Lei de SI (Ativo,…
Segurança da Informação - 11/03
Definição: Preservação da
CIDA
Disponibilidade
Informação estar disponivel, acessivel
Confidencialidade
Associado a sigilo, preservar a informação
Autenticidade
Provar que vc reamente é quem diz ser (Garantia de Identidade)
Refere-se a necessidade de se
verificar a legitimidade de uma comunicação
, de uma transação ou de um acesso a algum serviço
Integridade
Salvaguarda da Exatidao, Inteireza, Completeza (nao pode ter sido alterada)
Obs: Tbm sao principios que caem muito:
Não Repudio
Se vc fez algo, depois nao pode dizer que nao foi vc quem fez
Repudiar é negar
Obs: Sinonimos: Irretratabilidade ou Irrefutabilidade
Conformidade
Estar de acordo com as leis da empresa
A seguranca da info as vezes pode ter que se adpatar às regras de um pais
Autorização
Determina as ações que a pessoa pode executar
Obs: DIFERENTE de autenticidade
Identificação
permitir que uma entidade se identifique, ou seja, diga quem ela é
Q1137024
Terminologias usadas na Lei de SI
Ameaça
É um agente que explora as vulnerabilidades
Incidente
Ameaças qnd exploram vulnerabilidades provocam incidentes
Vulnerabilidade
Fraqueza
Impacto
Prejuizo Financeiro
Ativo
Qualquer coisa que tenha valor para a instituição. Ex: Impressora, banco de dados, pc...
Informações propriamente ditas
Risco
Deve ser mensurada, mitigada...
= Probabilidade x Impacto / Medida de Segurança
Criptologia
3 Grandes Áreas
Criptoanálise
Engenharia Reversa da Criptografia
É pegar um texto cifrado e tentar decifrar
Ex: O jogo da Imitação
Esteganografia
Diferenca para a criptografia: Enquanto criptografia oculta o significado da mensagem, a esteganografia oculta
a existencia da mensagem
Ex: Escrever uma carta com material incolor que precisa ser esquentado
Criptografia
Vai codificar o conteudo para que apenas o destinatario consiga entende-lo
Pode ser
Simetrica
A chave usada para cifrar é a mesma para decifrar
Há apenas uma chave simetrica e compartilhada
O paradigma da Criptografia Simetrica é estabelecer um
canal seguro
para compartilhar a chave a qual deve ser trocada regularmente
Só garante a CONFIDENCIALIDADE (Obs: Não há de se falar de autenticidade se ela for compartilhada)
MAAS (questao do cespe),
se houver compartilhamento entre 2 pessoas apenas, ai garante-se autenticidade (pq ai tem como garantir quem escreveu)
Nem de integridade, pq a msg pode ser interceptada e alterada no caminho
Principal
algoritmo
de Criptografia Simetrica
AES, DES e 3DES
Obs:
WPA
1 more item...
WPA2
1 more item...
WEP
1 more item...
Seu grande problema: De tempo em tempo tem que mudar a chave e avisar a todos
Assimetrica
Cada usuario tem um PAR DE CHAVES
1 CHAVE PRIVADA
Só o destinatario sabe essa chave
1 CHAVE PUBLICA
São publicadas na internet
Obs:
Se escrever com a publica, fecha com a privada; Se escrever com a privada, fecha com a publica
Elas sao diferentes. A partir de uma NAO chega na outra (assimetricas)
Se tiver 50 usuarios, terao 100 chaves
Obs:
A gnt criptografa (fecha) com a chave publica de quem vai ler (abrir) a mensagem, pq só ele vai ter a privada para abrir
Se fechar com a privada, nao vai garantir o sigilo, pq o cara vai ter que abrir com a publica
1 more item...
Algoritmos
Diffie Helman
Protocolo que provê um
meio seguro
para a troca de chaves
Ex: Criptgrafo com chave simetrica, ai uso esse algoritmo pra enviar a chave pra alguem
Atenção: Não é usado para criptografia, mas sim para a troca de chaves, criação de
chaves de sessão
Não suporta assinatura digital
RSA
Sinonimo de chave publica
É sugerido usar chaves entre
2048 e 4096 bits
Tem capacidade de
encriptar, decriptar e trocar chaves
Obs: Os algoritmos de cifragem e decifragem são publicos! Nao tem problema, a chave que tem que ser secreta
Autenticidade
Fatores de Autentificação: O que voce
Sabe (senha,dados aleatorios)
Tem (Ex: token, cartao)
É (Ex: Impressao digital, reconhecimento de voz, iris)
Verificação em
Duas Etapas/Dois Fatores
Forma de Autentificação que combina 2 tipos de autenticação
Obs: Isso caracteriza AUTENTIFICACAO FORTE
= 2 etapas vinculadas a fatores diferentes (Ex: é + sabe, sabe + tem...)
Q933299
Controle de Acesso
Lógico (Impede entrada em um
sistema
)
Físico (Roleta, Catraca, Porta, Biometria)
Obs: Biometria pode ser: Reconhecimento da: Digital, Voz, DNA..)
Obs: Biometria são padroes da pessoa que PODEM SER CLONADOS( entao nao é a MAIS segura)
Q591946
Recomendações para senha
Nao usar
palavras de dicionario
;
Datas
Nao reutilizar senhas que envolvam acesso a dados sensiveis (e-mail; internet banking)
Não usar mesma senha para assuntos pessoais e profissionais
Obs: Se no exercicio falar "codigo", ja se pressupoe que é uma senha segura
Integridade (Hash)
Obs: Hash = Resumo da Mensagem
Uma funcao de hash aceita mensagem de tamanho VARIAVEL e produz um valor de hash de valor FIXO
Fucnao de hash é RESISTENTE A COLISOES (nao existe 2 textos com a mesma saida)
Obs: É possivel que duas msgs tenham o mesmo hash, desde que sejam iguais
Obs: É PSSIVEL 2 hashs iguais para msgs diferentes, mas é extremamente improvavel
Resultado do Hash vai ter 128 bits
Obs: O hash é um algoritmo
Principal: MD5 - Message Digeste V5
Permite verificar se a integridade do arquivo foi violada
Ele é calculado sobre o conteudo do arquivo. (se eu colocar uma virgula a mais em um documento do word, o hash muda)
É um método criptográfico
Ex de Uso: Eu produzo um arquivo e envio para alguem, assim como o hash. Qnd a pessoa receber, ela pode gerar o hash novamente. Se nao for igual, o arquivo foi modificado
Obs: Nao tem como o caminho inverso (Descobrir o conteudo a partir do hash)
Q659525
Certificação e Assinatura Digital
Assinatura Digital (metodo) implica que voce tenha certificado digital (pq vc precisa das chaves, mas são coisas diferentes)
Assinatura Digital é feita usando par de chaves assimetricas (publica e privada)
Obs Imp:
Assinatura é o processo inverso da criptografia
Essa
assinatura é feita (fecha/assina) com a chave PRIVADA
do emissor e
os outros conferem (abre) com a chave PUBLICA do emissor
.
Ou seja: PR vai publicar algo. Ele fecha (assina) com sua chave privada, e os outros veem com a chave publica do PR
Resumindo:
Para Assinar: Emissor Utiliza sua chave PRIVADA
Para Verificar: Utiliza-se chave PUBLICA do emissor
Q688195
Ex: Presidente assina algo digitalmente com sua chave privada e os outros verificam isso pela chave publica do presidente
Obs: Na criptografia, fecha com a chave publica do destinatario
Garante 3 principios (AIN)
Integridade
Obs: Garante a integridade pq tem-se numero do certificado + hash, entao se for modificado, isso vai ser descoberto
Não repúdio
Autenticidade
Obs:
NAO GARANTE confidencialidade
Ex: presidente posta alguma coisa e assina digitalmente. ue, é pra todo mundo ver mesmo
Processo da Assinatura (Importante)
Mensagem>Algoritmo de Hash> Resumo da Mensagem (numero de hash)>Algoritimo de ass. dig.> Assinatura Digital
Essa assinatura Digital = Codigo = Hash + Chave Privada
Logo
esse codigo muda
, pq apesar da chave privada nao mudar, o hash muda
Obs: Para leitura: Usa-se chave pública do emissor>Hash decriptado confrontado com hash atual da msg para verificação de integridade>Se os hashs forem iguais, quer dizer que a mensagem foi assinada digitalmente (autentica, integra e irrefutavel)
Obs: Pode-se assinar e-mail, transacao bancaria, arquivo, etc..
Autoridade Certificadora (AC) de Chaves
ICP - Brasil: Infraestrutura de Chaves Públicas Brasileira
Certificados Digitais podem ser A1 e A3
Eles contêm
Chave Pública do Portador
Dados da AC emissora
Dados do Portador
Assinatura Digital da AC emissora
Periodo de Validade do Certificado
Outros dados Complementares
Obs: A chave privada vem guardada na midia criptografica.
Nao se diz que vem no certificado digital
, até pq os dados do certificado digital são acessiveis publicamente clicando no cadeadozinho do https
A3: C. D. é emitido e armazenado em uma
mídia criptográfica (CARTAO INTELIGENTE ou TOKEN)
A1: C. Digital é emitido diretamente no pc e fica armazenado no navegador da internet
Serve para
CRIPTOGRAFIA e ASSINATURA DIGITAL
Sobre IOT
Questão diz que atual geração de IOT não foi concebida com foco em segurança de software, aumentando a chance de diversos ataques
Q874770