SEGURANA FRAUDE TECNOLOGIA SPAM INT MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

SPYWARE ANTIVRUS WORM BLUETOOTH SC

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL INCIDENTE

BACKDOOR COOKIES KEYLOGGER PATCHES R PREVENO VRUS BANDA LARGA TROJAN

Cartilha de Segurana PRIVACIDADE PHISHING WIRELESS SPYWARE para Internet ANTIVRUS WORM BLUETOOTH SCAM
INCIDENTE SEGURANA FRAUDE

TECNOLOGIA SPAM INTERNET MA

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R MALWARE PREVENO VRUS BANDA LARGA TROJAN PRIVACIDADE PHISHING WIRELESS

Parte I: Conceitos de Segurana

INTERNET

SPYWARE ANTIVRUS WORM BLUETOOTH SC

Verso 3.0 Setembro de 2005 http://cartilha.cert.br/

CRIPTOGRAFIA BOT SENHA ATAQUE FIREWAL

BACKDOOR COOKIES KEYLOGGER PATCHES R

INCIDENTE SEGURANA FRAUDE TECNOLOGIA

CERT.br Centro de Estudos, Resposta e Tratamento de Incidentes de Seguranc a no Brasil

Cartilha de Seguranc a para Internet Parte I: Conceitos de Seguranc a

Esta parte da Cartilha apresenta conceitos de seguranc a de computa` s senhas, engenharia dores, onde s ao abordados temas relacionados a o de servic social, malware, vulnerabilidade, ataques de negac a o, criptograa e certicados digitais. Os conceitos aqui apresentados s ao importantes para o entendimento de partes subseq uentes desta Cartilha.

3.0 Setembro de 2005 Versao

http://cartilha.cert.br/

Parte I: Conceitos de Seguranc a

Sum ario
1 Seguranc a de Computadores 1.1 Por que devo me preocupar com a seguranc a do meu computador? . . . . . . . . . . 1.2 Por que algu em iria querer invadir meu computador? . . . . . . . . . . . . . . . . . Senhas o de uma senha? . . . . . . . . . 2.1 O que n ao se deve usar na elaborac a uma boa senha? . . . . . . . . . . . . . . . . . . . . . . . . 2.2 O que e 2.3 Como elaborar uma boa senha? . . . . . . . . . . . . . . . . . . . . . 2.4 Quantas senhas diferentes devo usar? . . . . . . . . . . . . . . . . . . ncia devo mudar minhas senhas? . . . . . . . . . . . 2.5 Com que freq ue 2.6 Quais os cuidados especiais que devo ter com as senhas? . . . . . . . 2.7 Que cuidados devo ter com o usu ario e senha de Administrator (ou computador? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Cookies Engenharia Social 4.1 Que exemplos podem ser citados sobre este m etodo de ataque? . . . . . . . . . . . . Vulnerabilidade C odigos Maliciosos (Malware) o de Servic Negac a o (Denial of Service) DDoS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1 O que e 7.2 Se uma rede ou computador sofrer um DoS, isto signica que houve uma invas ao? . Criptograa criptograa de chave u nica? . . . . . . . . . . . . . . 8.1 O que e criptograa de chaves p 8.2 O que e ublica e privada? . . . . . . . assinatura digital? . . . . . . . . . . . . . . . . . . . 8.3 O que e 8.4 Que exemplos podem ser citados sobre o uso de criptograa chaves p ublica e privada? . . . . . . . . . . . . . . . . . . . . 8.5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . 3 3 3 4 4 5 5 5 6 6 6 7 7 8 8 9 9 9 10 10 10 11 11 12 12 13 13 13 14 14 14

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . root) em um . . . . . . . .

3 4

5 6 7

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . nica e de chave u . . . . . . . . . . . . . . . . . . . .

. . . . . . de . . . .

Certicado Digital Autoridade Certicadora (AC)? . . . . . . . . . . . . . . . . . . . . . . . . 9.1 O que e 9.2 Que exemplos podem ser citados sobre o uso de certicados? . . . . . . . . . . . . .

Como Obter este Documento o Nota de Copyright e Distribuic a Agradecimentos

Cartilha de Seguranc a para Internet c 2005 CERT.br

2/14

Parte I: Conceitos de Seguranc a

Seguranc a de Computadores

dito seguro se este atende a tr Um computador (ou sistema computacional) e es requisitos b asicos relacionados aos recursos que o comp oem: condencialidade, integridade e disponibilidade. o s A condencialidade diz que a informac a o est a dispon vel para aqueles devidamente autoriza o n destru dos; a integridade diz que a informac a ao e da ou corrompida e o sistema tem um desempenho correto, e a disponibilidade diz que os servic os/recursos do sistema est ao dispon veis sempre que forem necess arios. es a cada um desses requisitos s Alguns exemplos de violac o ao: Condencialidade: algu em obt em acesso n ao autorizado ao seu computador e l e todas as informa es contidas na sua declarac o de Imposto de Renda; c o a es da sua Integridade: algu em obt em acesso n ao autorizado ao seu computador e altera informac o o de Imposto de Renda, momentos antes de voc ` Receita Federal; declarac a e envi a-la a o Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negac a o de Imposto de de servic o e por este motivo voc e ca impossibilitado de enviar sua declarac a ` Receita Federal. Renda a

1.1

Por que devo me preocupar com a seguranc a do meu computador?

es Computadores dom esticos s ao utilizados para realizar in umeras tarefas, tais como: transac o o, por exemplo, nanceiras, sejam elas banc arias ou mesmo compra de produtos e servic os; comunicac a atrav es de e-mails; armazenamento de dados, sejam eles pessoais ou comerciais, etc. importante que voc E e se preocupe com a seguranc a de seu computador, pois voc e, provavelmente, n ao gostaria que: suas senhas e n umeros de cart oes de cr edito fossem furtados e utilizados por terceiros; sua conta de acesso a Internet fosse utilizada por algu em n ao autorizado; seus dados pessoais, ou at e mesmo comerciais, fossem alterados, destru dos ou visualizados por terceiros; seu computador deixasse de funcionar, por ter sido comprometido e arquivos essenciais do sistema terem sido apagados, etc.

1.2

Por que algu em iria querer invadir meu computador?

simples. Os motivos pelos quais algu A resposta para esta pergunta n ao e em tentaria invadir seu computador s ao in umeros. Alguns destes motivos podem ser: utilizar seu computador em alguma atividade il cita, para esconder a real identidade e localiza o do invasor; c a
Cartilha de Seguranc a para Internet c 2005 CERT.br 3/14

Parte I: Conceitos de Seguranc a

utilizar seu computador para lanc ar ataques contra outros computadores; utilizar seu disco r gido como reposit orio de dados; es (vandalismo); destruir informac o disseminar mensagens alarmantes e falsas; ler e enviar e-mails em seu nome; propagar v rus de computador; furtar n umeros de cart oes de cr edito e senhas banc arias; furtar a senha da conta de seu provedor, para acessar a Internet se fazendo passar por voc e; es do seu Imposto de Renda. furtar dados do seu computador, como por exemplo, informac o

Senhas

Uma senha (password) na Internet, ou em qualquer sistema computacional, serve para autenticar utilizada no processo de vericac o da identidade do usu o usu ario, ou seja, e a ario, assegurando que realmente quem diz ser. este e Se uma outra pessoa tem acesso a sua senha, ela poder a utiliz a-la para se passar por voc e na Internet. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s ao: ler e enviar e-mails em seu nome; es sens obter informac o veis dos dados armazenados em seu computador, tais como n umeros de cart oes de cr edito; esconder sua real identidade e ent ao desferir ataques contra computadores de terceiros. o especial, anal ela e de sua inteira responsabilidade. Portanto, a senha merece considerac a

2.1

o de uma senha? O que n ao se deve usar na elaborac a

Nomes, sobrenomes, n umeros de documentos, placas de carros, n umeros de telefones e datas1 dever ao estar fora de sua lista de senhas. Esses dados podem ser facilmente obtidos e uma pessoa o para tentar se autenticar como mal intencionada, possivelmente, utilizaria este tipo de informac a voc e. o de senhas, sendo que uma regra muito importante e jamais utiliExistem v arias regras de criac a zar palavras que fac am parte de dicion arios. Existem softwares que tentam descobrir senhas combinando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion arios) e listas de nomes (nomes pr oprios, m usicas, lmes, etc.).
1 Qualquer

data que possa estar relacionada com voc e, como por exemplo a data de seu anivers ario ou de familiares.

Cartilha de Seguranc a para Internet c 2005 CERT.br

4/14

Parte I: Conceitos de Seguranc a

2.2

uma boa senha? O que e

Uma boa senha deve ter pelo menos oito caracteres2 (letras, n umeros e s mbolos), deve ser simples de digitar e, o mais importante, deve ser f acil de lembrar. Normalmente os sistemas diferenciam letras mai usculas das min usculas, o que j a ajuda na com o da senha. Por exemplo, pAraleLepiPedo e paRalElePipEdo s posic a ao senhas diferentes. Entretanto, s ao senhas f aceis de descobrir utilizando softwares para quebra de senhas, pois n ao pos es de letras. suem n umeros e s mbolos, al em de conter muitas repetic o

2.3

Como elaborar uma boa senha?

Quanto mais bagunc ada for a senha melhor, pois mais dif cil ser a descobr -la. Assim, tente o. Uma regra realmente pr misturar letras mai usculas, min usculas, n umeros e sinais de pontuac a atica utilizar uma frase qualquer e pegar a primeira, e que gera boas senhas dif ceis de serem descobertas e ltima letra de cada palavra. segunda ou a u Por exemplo, usando a frase batatinha quando nasce se esparrama pelo ch ao podemos gerar o foi colocado no in ` a senha !BqnsepC (o sinal de exclamac a cio para acrescentar um s mbolo a senha). Senhas geradas desta maneira s ao f aceis de lembrar e s ao normalmente dif ceis de serem descobertas. Mas lembre-se: a senha !BqnsepC deixou de ser uma boa senha, pois faz parte desta Cartilha. prefer Vale ressaltar que se voc e tiver diculdades para memorizar uma senha forte, e vel anot a-la e guard a-la em local seguro, do que optar pelo uso de senhas fracas.

2.4

Quantas senhas diferentes devo usar?

Procure identicar o n umero de locais onde voc e necessita utilizar uma senha. Este n umero deve ser equivalente a quantidade de senhas distintas a serem mantidas por voc e. Utilizar senhas extremamente importante, pois pode atenuar os preju diferentes, uma para cada local, e zos causados, caso algu em descubra uma de suas senhas. respons Para ressaltar a import ancia do uso de senhas diferentes, imagine que voc ee avel por es nanceiras em um conjunto de contas banc realizar movimentac o arias e todas estas contas possuem a mesma senha. Ent ao, procure responder as seguintes perguntas: ncias se algu Quais seriam as conseq ue em descobrisse esta senha? E se fossem usadas senhas diferentes para cada conta, caso algu em descobrisse uma das senhas, o? um poss vel preju zo teria a mesma proporc a
servic os que permitem utilizar senhas maiores do que oito caracteres. Quanto maior for a senha, mais dif cil a descobr -la, portanto procure utilizar a senha de maior tamanho poss vel. ser
2 Existem

Cartilha de Seguranc a para Internet c 2005 CERT.br

5/14

Parte I: Conceitos de Seguranc a

2.5

encia devo mudar minhas senhas? Com que frequ

Voc e deve trocar suas senhas regularmente, procurando evitar per odos muito longos. Uma su que voc gest ao e e realize tais trocas a cada dois ou tr es meses. Procure identicar se os servic os que voc e utiliza e que necessitam de senha, quer seja o acesso ao seu provedor, e-mail, conta banc aria, ou outro, disponibilizam funcionalidades para alterar senhas e use regularmente tais funcionalidades. Caso voc e n ao possa escolher sua senha na hora em que contratar o servic o, procure troc a-la com a maior urg encia poss vel. Procure utilizar servic os em que voc e possa escolher a sua senha. Lembre-se que trocas regulares s ao muito importantes para assegurar a condencialidade de suas senhas.

2.6

Quais os cuidados especiais que devo ter com as senhas?

De nada adianta elaborar uma senha bastante segura e dif cil de ser descoberta, se ao usar a senha algu em puder v e-la. Existem v arias maneiras de algu em poder descobrir a sua senha. Dentre elas, algu em poderia: o da sua senha; observar o processo de digitac a utilizar algum m etodo de persuas ao, para tentar convenc e-lo a entregar sua senha (vide se o 4.1); c a capturar sua senha enquanto ela trafega pela rede. o a este u ltimo caso, existem t ` medida que estes Em relac a ecnicas que permitem observar dados, a poss es sens trafegam entre redes. E vel que algu em extraia informac o veis desses dados, como por o 8). exemplo senhas, caso n ao estejam criptografados (vide sec a Portanto, alguns dos principais cuidados que voc e deve ter com suas senhas s ao: certique-se de n ao estar sendo observado ao digitar a sua senha; n ao fornec a sua senha para qualquer pessoa, em hip otese alguma; n ao utilize computadores de terceiros (por exemplo, em LAN houses, cybercafes, stands de es que necessitem utilizar suas senhas; eventos, etc) em operac o certique-se que seu provedor disponibiliza servic os criptografados, principalmente para aqueles que envolvam o fornecimento de uma senha.

2.7

Que cuidados devo ter com o usu ario e senha de Administrator (ou root) em um computador?

de extrema import O usu ario Administrator (ou root) e ancia, pois det em todos os privil egios em es onde um usu um computador. Ele deve ser usado em situac o ario normal n ao tenha privil egios para
Cartilha de Seguranc a para Internet c 2005 CERT.br 6/14

Parte I: Conceitos de Seguranc a

o, como por exemplo, em determinadas tarefas administrativas, de manutenc o realizar uma operac a a o e congurac o de determinados tipos de software. ou na instalac a a Sabe-se que, por uma quest ao de comodidade e principalmente no ambiente dom estico, muitas pessoas utilizam o usu ario Administrator (ou root) para realizar todo e qualquer tipo de atividade. Ele usado para se conectar a ` Internet, navegar utilizando o browser, ler e-mails, redigir documentos, e etc. um procedimento que deve ser sempre evitado, pois voc Este e e, como usu ario Administrator (ou root), poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. Ou ainda, poderia instalar inadvertidamente um software malicioso que, como usu ario Administrator (ou root), teria todos os privil egios que necessitasse, podendo fazer qualquer coisa. Portanto, alguns dos principais cuidados que voc e deve ter s ao: o 2.3, e elaborar uma boa senha para o usu ario Administrator (ou root), como discutido na sec a o 2.6; seguir os procedimentos descritos na sec a utilizar o usu ario Administrator (ou root) somente quando for estritamente necess ario; criar tantos usu arios com privil egios normais, quantas forem as pessoas que utilizam seu computador, para substituir assim o usu ario Administrator (ou root) em tarefas rotineiras, como o na Internet, produc o de documentos, etc. leitura de e-mails, navegac a a

Cookies

es que os sites visitados por voc Cookies s ao pequenas informac o e podem armazenar em seu browser. Estes s ao utilizados pelos sites de diversas formas, tais como: o e senha quando voc guardar a sua identicac a e vai de uma p agina para outra; manter listas de compras ou listas de produtos preferidos em sites de com ercio eletr onico; personalizar sites pessoais ou de not cias, quando voc e escolhe o que quer que seja mostrado nas p aginas; manter a lista das p aginas vistas em um site, para estat stica ou para retirar as p aginas que voc e n ao tem interesse dos links. A parte III: Privacidade apresenta alguns problemas relacionados aos cookies, bem como algumas sugest oes para que se tenha maior controle sobre eles.

Engenharia Social

utilizado para descrever um m O termo e etodo de ataque, onde algu em faz uso da persuas ao, es que podem muitas vezes abusando da ingenuidade ou conanc a do usu ario, para obter informac o es. ser utilizadas para ter acesso n ao autorizado a computadores ou informac o
Cartilha de Seguranc a para Internet c 2005 CERT.br 7/14

Parte I: Conceitos de Seguranc a

4.1

Que exemplos podem ser citados sobre este m etodo de ataque?

Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail. O ltimo exemplo apresenta um ataque realizado por telefone. u o gerente ou algu Exemplo 1: voc e recebe uma mensagem e-mail, onde o remetente e em em nome do departamento de suporte do seu banco. Na mensagem ele diz que o servic o de Internet Banking est a apresentando algum problema e que tal problema pode ser corrigido se voc e executar ` mensagem. A execuc o deste aplicativo apresenta uma tela o aplicativo que est a anexado a a ` quela que voc an aloga a e utiliza para ter acesso a conta banc aria, aguardando que voc e digite sua senha. Na verdade, este aplicativo est a preparado para furtar sua senha de acesso a conta banc aria e envi a-la para o atacante. Exemplo 2: voc e recebe uma mensagem de e-mail, dizendo que seu computador est a infectado por um v rus. A mensagem sugere que voc e instale uma ferramenta dispon vel em um site da o desta ferramenta n eliminar Internet, para eliminar o v rus de seu computador. A real func a ao e um v rus, mas sim permitir que algu em tenha acesso ao seu computador e a todos os dados nele armazenados. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t ecnico do seu provedor. o ele diz que sua conex Nesta ligac a ao com a Internet est a apresentando algum problema e, ent ao, pede sua senha para corrig -lo. Caso voc e entregue sua senha, este suposto t ecnico poder a realizar uma innidade de atividades maliciosas, utilizando a sua conta de acesso a Internet e, portanto, relacionando tais atividades ao seu nome. Estes casos mostram ataques t picos de engenharia social, pois os discursos apresentados nos nica e exemplos procuram induzir o usu ario a realizar alguma tarefa e o sucesso do ataque depende u es sens exclusivamente da decis ao do usu ario em fornecer informac o veis ou executar programas. A parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque.

Vulnerabilidade

denida como uma falha no projeto, implementac o ou congurac o de um softVulnerabilidade e a a o da seguranc ware ou sistema operacional que, quando explorada por um atacante, resulta na violac a a de um computador. Existem casos onde um software ou sistema operacional instalado em um computador pode con o remota, ou seja, atrav ter uma vulnerabilidade que permite sua explorac a es da rede. Portanto, um ` Internet, ao explorar tal vulnerabilidade, pode obter acesso n atacante conectado a ao autorizado ao computador vulner avel. o apresenta algumas A parte II: Riscos Envolvidos no Uso da Internet e M etodos de Prevenc a o de vulnerabilidades, bem como maneiras de prevenc o e correc o. formas de identicac a a a

Cartilha de Seguranc a para Internet c 2005 CERT.br

8/14

Parte I: Conceitos de Seguranc a

C odigos Maliciosos (Malware)

um termo gen C odigo malicioso ou Malware (Malicious Software) e erico que abrange todos os es maliciosas em um computador. tipos de programa especicamente desenvolvidos para executar ac o conhecido por software malicioso. Na literatura de seguranc a o termo malware tamb em e Alguns exemplos de malware s ao: v rus; worms e bots; backdoors; cavalos de tr oia; keyloggers e outros programas spyware; rootkits. es detalhadas e formas de identiA parte VIII: C odigos Maliciosos (Malware) apresenta descric o o e prevenc o para os diversos tipos de c cac a a odigo malicioso.

o de Servic Negac a o (Denial of Service)

o de servic Nos ataques de negac a o (DoS Denial of Service) o atacante utiliza um computador o um servic ` Internet. para tirar de operac a o ou computador conectado a Exemplos deste tipo de ataque s ao: gerar uma grande sobrecarga no processamento de dados de um computador, de modo que o usu ario n ao consiga utiliz a-lo; gerar um grande tr afego de dados para uma rede, ocupando toda a banda dispon vel, de modo que qualquer computador desta rede que indispon vel; tirar servic os importantes de um provedor do ar, impossibilitando o acesso dos usu arios a suas caixas de correio no servidor de e-mail ou ao servidor Web.

7.1

DDoS? O que e

o de servic DDoS (Distributed Denial of Service) constitui um ataque de negac a o distribu do, utilizado para tirar de operac o um ou mais servic ou seja, um conjunto de computadores e a os ou ` Internet. computadores conectados a Normalmente estes ataques procuram ocupar toda a banda dispon vel para o acesso a um como putador ou rede, causando grande lentid ao ou at e mesmo indisponibilizando qualquer comunicac a com este computador ou rede.
Cartilha de Seguranc a para Internet c 2005 CERT.br 9/14

Parte I: Conceitos de Seguranc a

7.2

Se uma rede ou computador sofrer um DoS, isto signica que houve uma ao? invas

indisponibilizar o uso de um ou mais computadores, e n N ao. O objetivo de tais ataques e ao invad -los. E importante notar que, principalmente em casos de DDoS, computadores comprometidos o de servic podem ser utilizados para desferir os ataques de negac a o. Um exemplo deste tipo de ataque ocorreu no in cio de 2000, onde computadores de v arias partes do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com ercio eletr onico. Estas empresas n ao tiveram seus computadores comprometidos, mas sim caram impossibilitadas de vender seus produtos durante um longo per odo.

Criptograa

parte de a ci Criptograa e encia e arte de escrever mensagens em forma cifrada ou em c odigo. E es secretas, usadas, dentre outras nalidades, para: um campo de estudos que trata das comunicac o autenticar a identidade de usu arios; es pessoais e de transac es comerciais e banc autenticar e proteger o sigilo de comunicac o o arias; proteger a integridade de transfer encias eletr onicas de fundos. Uma mensagem codicada por um m etodo de criptograa deve ser privada, ou seja, somente aquele que enviou e aquele que recebeu devem ter acesso ao conte udo da mensagem. Al em disso, uma mensagem deve poder ser assinada, ou seja, a pessoa que a recebeu deve poder vericar se o mesmo a pessoa que diz ser e ter a capacidade de identicar se uma mensagem pode ter remetente e sido modicada. Os m etodos de criptograa atuais s ao seguros e ecientes e baseiam-se no uso de uma ou mais uma seq ncia de caracteres, que pode conter letras, d chaves. A chave e ue gitos e s mbolos (como convertida em um n uma senha), e que e umero, utilizado pelos m etodos de criptograa para codicar e decodicar mensagens. Atualmente, os m etodos criptogr acos podem ser subdivididos em duas grandes categorias, de nica (vide sec o 8.1) e a criptograa acordo com o tipo de chave utilizada: a criptograa de chave u a o 8.2). de chave p ublica e privada (vide sec a

8.1

criptograa de chave unica? O que e

nica utiliza a mesma chave tanto para codicar quanto para decodicar A criptograa de chave u o ao tempo de processamento, ou mensagens. Apesar deste m etodo ser bastante eciente em relac a seja, o tempo gasto para codicar e decodicar mensagens, tem como principal desvantagem a ne o de um meio seguro para que a chave possa ser compartilhada entre pessoas ou cessidade de utilizac a es criptografadas. entidades que desejem trocar informac o o deste m Exemplos de utilizac a etodo de criptograa e sugest oes para o tamanho m nimo da chave nica podem ser vistos nas sec es 8.4 e 8.5, respectivamente. u o
Cartilha de Seguranc a para Internet c 2005 CERT.br 10/14

Parte I: Conceitos de Seguranc a

8.2

criptograa de chaves publica O que e e privada?

A criptograa de chaves p ublica e privada utiliza duas chaves distintas, uma para codicar e outra para decodicar mensagens. Neste m etodo cada pessoa ou entidade mant em duas chaves: uma p ublica, que pode ser divulgada livremente, e outra privada, que deve ser mantida em segredo pelo seu dono. As mensagens codicadas com a chave p ublica s o podem ser decodicadas com a chave privada correspondente. Seja o exemplo, onde Jos e e Maria querem se comunicar de maneira sigilosa. Ent ao, eles ter ao que realizar os seguintes procedimentos: 1. Jos e codica uma mensagem utilizando a chave p ublica de Maria, que est a dispon vel para o uso de qualquer pessoa; 2. Depois de criptografada, Jos e envia a mensagem para Maria, atrav es da Internet; apenas de seu 3. Maria recebe e decodica a mensagem, utilizando sua chave privada, que e conhecimento; 4. Se Maria quiser responder a mensagem, dever a realizar o mesmo procedimento, mas utilizando a chave p ublica de Jos e. o ao tempo de processamento, Apesar deste m etodo ter o desempenho bem inferior em relac a nica (sec o 8.1), apresenta como principal quando comparado ao m etodo de criptograa de chave u a o de chaves p vantagem a livre distribuic a ublicas, n ao necessitando de um meio seguro para que chaves o de assinaturas digitais, sejam combinadas antecipadamente. Al em disso, pode ser utilizado na gerac a o 8.3. como mostra a sec a o deste m Exemplos de utilizac a etodo de criptograa e sugest oes para o tamanho m nimo das es 8.4 e 8.5, respectivamente. chaves p ublica e privada podem ser vistos nas sec o

8.3

assinatura digital? O que e

o de um c o de uma chave privada, A assinatura digital consiste na criac a odigo, atrav es da utilizac a de modo que a pessoa ou entidade que receber uma mensagem contendo este c odigo possa vericar mesmo quem diz ser e identicar qualquer mensagem que possa ter sido modicada. se o remetente e utilizado o m Desta forma, e etodo de criptograa de chaves p ublica e privada, mas em um processo o 8.2. inverso ao apresentado no exemplo da sec a Se Jos e quiser enviar uma mensagem assinada para Maria, ele codicar a a mensagem com sua ` mensagem chave privada. Neste processo ser a gerada uma assinatura digital, que ser a adicionada a enviada para Maria. Ao receber a mensagem, Maria utilizar a a chave p ublica de Jos e para decodicar ` pria mensagem. Neste processo ser a gerada uma segunda assinatura digital, que ser a comparada a meira. Se as assinaturas forem id enticas, Maria ter a certeza que o remetente da mensagem foi o Jos e e que a mensagem n ao foi modicada. importante ressaltar que a seguranc coE a do m etodo baseia-se no fato de que a chave privada e importante ressaltar que o fato de assinar uma mensagem nhecida apenas pelo seu dono. Tamb em e

Cartilha de Seguranc a para Internet c 2005 CERT.br

11/14

Parte I: Conceitos de Seguranc a

n ao signica gerar uma mensagem sigilosa. Para o exemplo anterior, se Jos e quisesse assinar a mensagem e ter certeza de que apenas Maria teria acesso a seu conte udo, seria preciso codic a-la com a chave p ublica de Maria, depois de assin a-la.

8.4

Que exemplos podem ser citados sobre o uso de criptograa de chave unica e de chaves publica e privada?

o dos m nica e de chaves Exemplos que combinam a utilizac a etodos de criptograa de chave u p ublica e privada s ao as conex oes seguras, estabelecidas entre o browser de um usu ario e um site, em es comerciais ou banc transac o arias via Web. nica, implementado Estas conex oes seguras via Web utilizam o m etodo de criptograa de chave u pelo protocolo SSL (Secure Socket Layer). O browser do usu ario precisa informar ao site qual ser aa nica utilizada na conex chave u ao segura, antes de iniciar a transmiss ao de dados sigilosos. o que mant Para isto, o browser obt em a chave p ublica do certicado3 da instituic a em o site. Ent ao, ele utiliza esta chave p ublica para codicar e enviar uma mensagem para o site, contendo a nica a ser utilizada na conex chave u ao segura. O site utiliza sua chave privada para decodicar a nica que ser mensagem e identicar a chave u a utilizada. es, de forma siA partir deste ponto, o browser do usu ario e o site podem transmitir informac o o do m nica. A chave u nica pode gilosa e segura, atrav es da utilizac a etodo de criptograa de chave u o dos procedimentos descritos ser trocada em intervalos de tempo determinados, atrav es da repetic a anteriormente, aumentando assim o n vel de seguranc a de todo o processo.

8.5

Que tamanho de chave deve ser utilizado?

Os m etodos de criptograa atualmente utilizados, e que apresentam bons n veis de seguranc a, s ao publicamente conhecidos e s ao seguros pela robustez de seus algoritmos e pelo tamanho das chaves que utilizam. Para que um atacante descubra uma chave ele precisa utilizar algum m etodo de forc a bruta, ou es de chaves at seja, testar combinac o e que a correta seja descoberta. Portanto, quanto maior for es a testar, inviabilizando assim a descoberta de uma a chave, maior ser a o n umero de combinac o chave em tempo h abil. Al em disso, chaves podem ser trocadas regularmente, tornando os m etodos de criptograa ainda mais seguros. o do m Atualmente, para se obter um bom n vel de seguranc a na utilizac a etodo de criptograa de nica, e aconselh chave u avel utilizar chaves de no m nimo 128 bits. E para o m etodo de criptograa aconselh de chaves p ublica e privada e avel utilizar chaves de 2048 bits, sendo o m nimo aceit avel de 1024 bits. Dependendo dos ns para os quais os m etodos criptogr acos ser ao utilizados, deve-se o de chaves maiores: 256 ou 512 bits para chave u nica e 4096 ou 8192 bits para considerar a utilizac a chaves p ublica e privada.
3 Certicados

o 9 e na parte IV: Fraudes na Internet. s ao discutidos na sec a

Cartilha de Seguranc a para Internet c 2005 CERT.br

12/14

Parte I: Conceitos de Seguranc a

Certicado Digital

um arquivo eletr o, O certicado digital e onico que cont em dados de uma pessoa ou instituic a utilizados para comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra m dia, como um token ou smart card. o Exemplos semelhantes a um certicado digital s ao o CNPJ, RG, CPF e carteira de habilitac a es que identicam a instituic o ou de uma pessoa. Cada um deles cont em um conjunto de informac o a rg pessoa e a autoridade (para estes exemplos, o aos p ublicos) que garante sua validade. es encontradas em um certicado digital s Algumas das principais informac o ao: o, estado, etc); dados que identicam o dono (nome, n umero de identicac a o 9.1); nome da Autoridade Certicadora (AC) que emitiu o certicado (vide sec a o n umero de s erie e o per odo de validade do certicado; a assinatura digital da AC. indicar que uma outra entidade (a Autoridade O objetivo da assinatura digital no certicado e es nele contidas. Certicadora) garante a veracidade das informac o

9.1

Autoridade Certicadora (AC)? O que e

a entidade respons Autoridade Certicadora (AC) e avel por emitir certicados digitais. Estes certicados podem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, o, instituic o, etc. departamento de uma instituic a a Os certicados digitais possuem uma forma de assinatura eletr onica da AC que o emitiu. Grac as ` sua idoneidade, a AC e normalmente reconhecida por todos como con a avel, fazendo o papel de Cart orio Eletr onico.

9.2

Que exemplos podem ser citados sobre o uso de certicados?

Alguns exemplos t picos do uso de certicados digitais s ao: quando voc e acessa um site com conex ao segura, como por exemplo o acesso a sua conta poss banc aria pela Internet (vide parte IV: Fraudes na Internet), e vel checar se o site apresen realmente da instituic o que diz ser, atrav o de seu certicado digital; tado e a es da vericac a quando voc e consulta seu banco pela Internet, este tem que se assegurar de sua identidade antes es sobre a conta; de fornecer informac o quando voc e envia um e-mail importante, seu aplicativo de e-mail pode utilizar seu certicado para assinar digitalmente a mensagem, de modo a assegurar ao destinat ario que o e-mail e seu e que n ao foi adulterado entre o envio e o recebimento. A parte IV: Fraudes na Internet apresenta algumas medidas de seguranc a relacionadas ao uso de certicados digitais.
Cartilha de Seguranc a para Internet c 2005 CERT.br 13/14

Parte I: Conceitos de Seguranc a

Como Obter este Documento

periodicamente Este documento pode ser obtido em http://cartilha.cert.br/. Como ele e atualizado, certique-se de ter sempre a vers ao mais recente. Caso voc e tenha alguma sugest ao para este documento ou encontre algum erro, entre em contato atrav es do enderec o doc@cert.br.

o Nota de Copyright e Distribuic a

Copyright c 20002005 CERT.br. Ele pode ser livremente copiado desde que Este documento e es: sejam respeitadas as seguintes condic o permitido fazer e distribuir c opias inalteradas deste documento, completo ou em partes, 1. E o seja mantida em todas as c contanto que esta nota de copyright e distribuic a opias, e que a o n distribuic a ao tenha ns comerciais. es de como obt 2. Se este documento for distribu do apenas em partes, instruc o e-lo por completo devem ser inclu das. vedada a distribuic o de vers o a oes modicadas deste documento, bem como a comercializac a 3. E de c opias, sem a permiss ao expressa do CERT.br. o deste documento, o CERT.br n Embora todos os cuidados tenham sido tomados na preparac a ao o absoluta das informac es nele contidas, nem se responsabiliza por eventuais congarante a correc a o ncias que possam advir do seu uso. seq ue

Agradecimentos
o deste documento, enviando coO CERT.br agradece a todos que contribu ram para a elaborac a ment arios, cr ticas, sugest oes ou revis oes.

Cartilha de Seguranc a para Internet c 2005 CERT.br

14/14