Cartilha de Segurança para Internet

Comitê Gestor da Internet no Brasil

Cartilha de Segurança para Internet
Parte I: Conceitos de Segurança

Versão 3.1 2006

br – Centro de Estudos. Os conceitos aqui apresentados s˜ o ima portantes para o entendimento de partes subseq¨ entes desta Cartilha.CERT.br/ . malware. crip¸˜ ¸ tografia e certificados digitais. vulnerabilidade. Resposta e Tratamento de Incidentes de Seguranca no Brasil ¸ Cartilha de Seguranca para Internet ¸ Parte I: Conceitos de Seguranca ¸ Esta parte da Cartilha apresenta conceitos de seguranca de computa¸ ` dores.1 – Outubro de 2006 http://cartilha. engenharia a social. ataques de negacao de servico.cert. onde s˜ o abordados temas relacionados as senhas. u ˜ Versao 3.

. . . . . . . . . . . . . 3 4 5 6 7 8 . e Senhas 2. . . . . . . 9 Certificado Digital ´ 9. . . . . . . . . . . . . . . . . . 2. . . . . . . . . . . . . u 8. . . . . . . . . . . . . . . . isto significa que houve uma invas˜ o? . . 2. . . . . . . . . . . .2 Que exemplos podem ser citados sobre o uso de certificados? . . . . . ¸ 1. . . . . . . . . . . . . . . . .Parte I: Conceitos de Seguranca ¸ Sum´ rio a 1 Seguranca de Computadores ¸ 1. . . . . Cookies Engenharia Social 4. . uˆ 2. . . . . .4 Que exemplos podem ser citados sobre o uso de criptografia chaves p´ blica e privada? . .1 O que n˜ o se deve usar na elaboracao de uma senha? . . . . . . . . . . . . . . . . . . .2 Por que algu´ m iria querer invadir meu computador? . . . . . . . . . . . .1 O que e Autoridade Certificadora (AC)? . . . .3 O que e assinatura digital? . . . . . . 3 3 3 4 4 5 5 5 6 6 6 7 7 8 8 9 9 9 10 10 10 11 11 12 12 13 13 13 14 14 14 2 .1 O que e criptografia de chave unica? . root) em um . . . . . . 2. . . 7. . . . . . . e Vulnerabilidade C´ digos Maliciosos (Malware) o Negacao de Servico (Denial of Service) ¸˜ ¸ ´ 7. . . . . .1 Que exemplos podem ser citados sobre este m´ todo de ataque? . . .5 Que tamanho de chave deve ser utilizado? . . . . . . . . . . . . a Criptografia ´ ´ 8. . . . . . . ´ 8. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4 Quantas senhas diferentes devo usar? . . . . . . . . .5 Com que freq¨ encia devo mudar minhas senhas? . . . . . . . . . . . . . . .2 O que e criptografia de chaves p´ blica e privada? . . . . . . . . .2 O que e uma boa senha? . . . . . . . . . . . . . . . . . . . u ´ 8. . .6 Quais os cuidados especiais que devo ter com as senhas? . .7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou a computador? . . . . . . . . . Como Obter este Documento Licenca de Uso da Cartilha ¸ Agradecimentos Cartilha de Seguranca para Internet – c 2006 CERT. . . . . . . .1 Por que devo me preocupar com a seguranca do meu computador? . . . . . . . . .br ¸ 2/14 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2. . . . . . . . . . . . . . . . . . . . . . . . .2 Se uma rede ou computador sofrer um DoS. . .1 O que e DDoS? . . . . a ¸˜ ´ 2. . . . 8. . de . . . . . . . . . . . . . . . . . . . . . ´ de chave unica e . . . .3 Como elaborar uma boa senha? . 9.

destru´dos ou visualizados e ı por terceiros. Alguns destes motivos podem ser: a u • utilizar seu computador em alguma atividade il´cita. etc. ou at´ mesmo comerciais. 1. ¸˜ e a ` Disponibilidade: o seu provedor sofre uma grande sobrecarga de dados ou um ataque de negacao ¸˜ de servico e por este motivo vocˆ fica impossibilitado de enviar sua declaracao de Imposto de ¸ e ¸˜ ` Renda a Receita Federal. • seu computador deixasse de funcionar. a integridade diz que a informacao n˜ o e destru´da ou corrompida e o sistema tem um desempe¸˜ a ´ ı nho correto.2 Por que algu´ m iria querer invadir meu computador? e A resposta para esta pergunta n˜ o e simples. fossem alterados. a Alguns exemplos de violacoes a cada um desses requisitos s˜ o: ¸˜ a Confidencialidade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e lˆ todas as informae e a e coes contidas na sua declaracao de Imposto de Renda. o A confidencialidade diz que a informacao s´ est´ dispon´vel para aqueles devidamente autoriza¸˜ o a ı dos. integridade e disponibilidade. ¸˜ Cartilha de Seguranca para Internet – c 2006 CERT. por exemplo. provavelmente. tais como: transacoes fie a u ¸˜ nanceiras. para esconder a real identidade e localizaı cao do invasor. sejam eles pessoais ou comerciais. Os motivos pelos quais algu´ m tentaria invadir seu a ´ e computador s˜ o in´ meros. 1. etc. u o e • sua conta de acesso a Internet fosse utilizada por algu´ m n˜ o autorizado. ¸˜ ¸˜ Integridade: algu´ m obt´ m acesso n˜ o autorizado ao seu computador e altera informacoes da sua e e a ¸˜ declaracao de Imposto de Renda. a ¸ ¸˜ atrav´ s de e-mails. e ´ E importante que vocˆ se preocupe com a seguranca de seu computador. pois vocˆ . momentos antes de vocˆ envi´ -la a Receita Federal. e a disponibilidade diz que os servicos/recursos do sistema est˜ o dispon´veis sempre que ¸ a ı forem necess´ rios. e a • seus dados pessoais. sejam elas banc´ rias ou mesmo compra de produtos e servicos. por ter sido comprometido e arquivos essenciais do sistema terem sido apagados.Parte I: Conceitos de Seguranca ¸ 1 Seguranca de Computadores ¸ ´ Um computador (ou sistema computacional) e dito seguro se este atende a trˆ s requisitos b´ sicos e a relacionados aos recursos que o comp˜ em: confidencialidade. e ¸ e n˜ o gostaria que: a • suas senhas e n´ meros de cart˜ es de cr´ dito fossem furtados e utilizados por terceiros. comunicacao. armazenamento de dados.br ¸ 3/14 .1 Por que devo me preocupar com a seguranca do meu computador? ¸ Computadores dom´ sticos s˜ o utilizados para realizar in´ meras tarefas.

e utilizada no processo de verificacao da identidade do usu´ rio.br ¸ 4/14 . a senha merece consideracao especial. n´ meros de documentos. a ´ Portanto. ı • furtar n´ meros de cart˜ es de cr´ dito e senhas banc´ rias. utilizaria este tipo de informacao para tentar se autenticar como ¸˜ vocˆ . u o e a • furtar a senha da conta de seu provedor. etc. afinal ela e de sua inteira responsabilidade. ¸˜ 2. e ´ Existem v´ rias regras de criacao de senhas. placas de carros. possivelmente.). Se uma outra pessoa tem acesso a sua senha. assegurando que a ¸˜ a ´ este e realmente quem diz ser. serve para autenticar ´ o usu´ rio. sobrenomes. ı o • destruir informacoes (vandalismo). e • furtar dados do seu computador. para acessar a Internet se fazendo passar por vocˆ . como por exemplo a data de seu anivers´ rio ou de familiares. informacoes do seu Imposto de Renda. Existem softwares que tentam descobrir senhas combi¸ a nando e testando palavras em diversos idiomas e geralmente possuem listas de palavras (dicion´ rios) a e listas de nomes (nomes pr´ prios. ou seja. m´ sicas. ou em qualquer sistema computacional. o e • esconder sua real identidade e ent˜ o desferir ataques contra computadores de terceiros. ¸ • utilizar seu disco r´gido como reposit´ rio de dados. Alguns dos motivos pelos quais uma pessoa poderia utilizar sua senha s˜ o: a • ler e enviar e-mails em seu nome. como por exemplo. e a Cartilha de Seguranca para Internet – c 2006 CERT. tais como n´ meros de ¸˜ ı u cart˜ es de cr´ dito. n´ meros de telefones e datas1 u u dever˜ o estar fora de sua lista de senhas.1 O que n˜ o se deve usar na elaboracao de uma senha? a ¸˜ Nomes. o u 1 Qualquer data que possa estar relacionada com vocˆ . • obter informacoes sens´veis dos dados armazenados em seu computador. ¸˜ • disseminar mensagens alarmantes e falsas. sendo que uma regra muito importante e jamais utilia ¸˜ zar palavras que facam parte de dicion´ rios. filmes. • ler e enviar e-mails em seu nome.Parte I: Conceitos de Seguranca ¸ • utilizar seu computador para lancar ataques contra outros computadores. • propagar v´rus de computador. ¸˜ 2 Senhas Uma senha (password) na Internet. Esses dados podem ser facilmente obtidos e uma pessoa a mal intencionada. ela poder´ utiliz´ -la para se passar por vocˆ na a a e Internet.

do que optar pelo uso de senhas fracas. n´ meros e sinais de pontuacao. s˜ o senhas f´ ceis de descobrir utilizando softwares para quebra de senhas. portanto procure utilizar a senha de maior tamanho poss´vel. Utilizar senhas e ´ diferentes.br ¸ 5/14 . Este n´ mero u e u deve ser equivalente a quantidade de senhas distintas a serem mantidas por vocˆ . “pAraleLepiPedo” e “paRalElePipEdo” s˜ o senhas diferentes. 3 Observe que a senha “1qaz2wsx” parece ser suficientemente “baguncada”. mas n˜ o e considerada uma boa senha. min´ sculas. al´ m de conter muitas repeticoes de letras. e um poss´vel preju´zo teria a mesma proporcao? ı ı ¸˜ servicos que permitem utilizar senhas maiores do que oito caracteres. Por exemplo. e extremamente importante.Parte I: Conceitos de Seguranca ¸ 2. caso algu´ m descobrisse uma das senhas. ¸ a ´ ` pois est´ associada a proximidade entre esses caracteres no teclado. n´ meros e s´mbolos). ı ´ segunda ou a ultima letra de cada palavra. a 2 Existem Cartilha de Seguranca para Internet – c 2006 CERT. e prefer´vel anot´ -la e ı a e guard´ -la em local seguro. Quanto maior for a senha. tente ¸ ı a ı misturar letras mai´ sculas. ¸˜ a Entretanto. imagine que vocˆ e respons´ vel por a e ´ a realizar movimentacoes financeiras em um conjunto de contas banc´ rias e todas estas contas possuem ¸˜ a a mesma senha. ´ Vale ressaltar que se vocˆ tiver dificuldades para memorizar uma senha forte. a 2. e Para ressaltar a importˆ ncia do uso de senhas diferentes.2 ´ O que e uma boa senha? Uma boa senha deve ter pelo menos oito caracteres2 (letras. u ı e ¸˜ 2. uma para cada local. Por exemplo. deve ser simples u ı de digitar e. pois mais dif´cil ser´ descobr´-la3 .4 Quantas senhas diferentes devo usar? Procure identificar o n´ mero de locais onde vocˆ necessita utilizar uma senha. deve ser f´ cil de lembrar. pois faz parte desta Cartilha. o que j´ ajuda na comu u a posicao da senha. pois n˜ o posa a a suem n´ meros e s´mbolos.3 Como elaborar uma boa senha? Quanto mais “baguncada” for a senha melhor. Mas lembre-se: a senha “!BqnsepC” deixou de ser uma boa senha. mais dif´cil ¸ ı a ı ı ser´ descobr´-la. Ent˜ o. pois pode atenuar os preju´zos causados. Assim. Senhas geradas desta maneira s˜ o f´ ceis de lembrar e s˜ o normalmente dif´ceis de serem a a a ı descobertas. ı caso algu´ m descubra uma de suas senhas. o mais importante. a Normalmente os sistemas diferenciam letras mai´ sculas das min´ sculas. usando a frase “batatinha quando nasce se esparrama pelo ch˜ o” podemos gerar a ` a senha “!BqnsepC” (o sinal de exclamacao foi colocado no in´cio para acrescentar um s´mbolo a ¸˜ ı ı senha). Uma regra realmente pr´ tica u u u ¸˜ a ´ e que gera boas senhas dif´ceis de serem descobertas e utilizar uma frase qualquer e pegar a primeira. procure responder as seguintes perguntas: a • Quais seriam as conseq¨ encias se algu´ m descobrisse esta senha? uˆ e • E se fossem usadas senhas diferentes para cada conta.

2. em hip´ tese alguma. disponibilizam funcionalidades para alterar senhas a e use regularmente tais funcionalidades. cybercafes. alguns dos principais cuidados que vocˆ deve ter com suas senhas s˜ o: e a • certifique-se de n˜ o estar sendo observado ao digitar a sua senha. Existem v´ rias maneiras de algu´ m poder descobrir a sua senha. ou outro. pois det´ m todos os privil´ gios em a a e e um computador. quer seja o acesso ¸ e ao seu provedor. 2. Caso vocˆ n˜ o possa escolher sua senha na hora em que contratar o servico. stands de a eventos. Dentre elas. a • n˜ o forneca sua senha para qualquer pessoa. principalmente para aque¸ les que envolvam o fornecimento de uma senha. e-mail. E poss´vel que algu´ m extraia informacoes sens´veis desses dados. Uma sue ı gest˜ o e que vocˆ realize tais trocas a cada dois ou trˆ s meses. Procure utilizar servicos em que vocˆ possa escolher a sua senha.Parte I: Conceitos de Seguranca ¸ 2. procurando evitar per´odos muito longos. existem t´ cnicas que permitem observar dados. se ao usar a senha ı algu´ m puder vˆ -la. ¸˜ • utilizar algum m´ todo de persuas˜ o.1). procure troc´ -la com e a ¸ a a maior urgˆ ncia poss´vel. e ı ¸ e Lembre-se que trocas regulares s˜ o muito importantes para assegurar a confidencialidade de suas a senhas. a ¸ o • n˜ o utilize computadores de terceiros (por exemplo. como por ı e ¸˜ ı exemplo senhas.br ¸ 6/14 . etc) em operacoes que necessitem utilizar suas senhas. conta banc´ ria. a medida que estes ¸˜ e ´ trafegam entre redes.5 ¨e Com que frequˆ ncia devo mudar minhas senhas? Vocˆ deve trocar suas senhas regularmente. ¸˜ • capturar sua senha enquanto ela trafega pela rede. para tentar convencˆ -lo a entregar sua senha (vide see a e cao 4. caso n˜ o estejam criptografados (vide secao 8). a ¸˜ Portanto. Ele deve ser usado em situacoes onde um usu´ rio normal n˜ o tenha privil´ gios para ¸˜ a a e Cartilha de Seguranca para Internet – c 2006 CERT. ¸˜ • certifique-se que seu provedor disponibiliza servicos criptografados. a ´ e e Procure identificar se os servicos que vocˆ utiliza e que necessitam de senha. ´ ` Em relacao a este ultimo caso.6 Quais os cuidados especiais que devo ter com as senhas? De nada adianta elaborar uma senha bastante segura e dif´cil de ser descoberta. em LAN houses. e e a e algu´ m poderia: e • observar o processo de digitacao da sua senha.7 Que cuidados devo ter com o usu´ rio e senha de Administrator (ou root) a em um computador? ´ O usu´ rio Administrator (ou root) e de extrema importˆ ncia.

como discutido na secao 2. navegar utilizando o browser. ¸˜ e a • manter listas de compras ou listas de produtos preferidos em sites de com´ rcio eletrˆ nico. e a ¸˜ seguir os procedimentos descritos na secao 2. navegacao na Internet. a • manter a lista das p´ ginas vistas em um site. Ele a ´ ` e usado para se conectar a Internet. e e a muitas vezes abusando da ingenuidade ou confianca do usu´ rio. Estes s˜ o utilizados pelos sites de diversas formas. onde algu´ m faz uso da persuas˜ o.3. ¸˜ ¸˜ 3 Cookies Cookies s˜ o pequenas informacoes que os sites visitados por vocˆ podem armazenar em seu a ¸˜ e browser. para estat´stica ou para retirar as p´ ginas que vocˆ a ı a e n˜ o tem interesse dos links. para substituir assim o usu´ rio Administrator (ou root) em tarefas rotineiras. poderia acidentalmente apagar arquivos essenciais para o funcionamento do sistema operacional ou de algum software instalado em seu computador. como a leitura de e-mails. quando vocˆ escolhe o que quer que seja mostrado ı e nas p´ ginas. etc. alguns dos principais cuidados que vocˆ deve ter s˜ o: e a • elaborar uma boa senha para o usu´ rio Administrator (ou root). ´ Este e um procedimento que deve ser sempre evitado. podendo fazer qualquer coisa. ler e-mails. ¸˜ ¸˜ Sabe-se que. como usu´ rio Administrator (ou root). o 4 Engenharia Social ´ O termo e utilizado para descrever um m´ todo de ataque. por uma quest˜ o de comodidade e principalmente no ambiente dom´ stico. quantas forem as pessoas que utilizam seu coma e putador. ¸˜ • utilizar o usu´ rio Administrator (ou root) somente quando for estritamente necess´ rio. producao de documentos. teria todos os privil´ gios que nea e cessitasse.br ¸ 7/14 .Parte I: Conceitos de Seguranca ¸ realizar uma operacao. a ¸˜ Cartilha de Seguranca para Internet – c 2006 CERT.6. poderia instalar inadvertidamente um software malicioso que. redigir documentos. tais como: a • guardar a sua identificacao e senha quando vocˆ vai de uma p´ gina para outra. de manutencao ¸˜ ¸˜ ou na instalacao e configuracao de determinados tipos de software. a A Parte III: Privacidade apresenta alguns problemas relacionados aos cookies. e o • personalizar sites pessoais ou de not´cias. bem como algumas sugest˜ es para que se tenha maior controle sobre eles. pois vocˆ . a a • criar tantos usu´ rios com privil´ gios normais. como usu´ rio Administrator (ou e a root). como por exemplo. muitas a e pessoas utilizam o usu´ rio Administrator (ou root) para realizar todo e qualquer tipo de atividade. etc. em determinadas tarefas administrativas. para obter informacoes que podem ¸ a ¸˜ ser utilizadas para ter acesso n˜ o autorizado a computadores ou informacoes. Portanto. Ou ainda.

Parte I: Conceitos de Seguranca ¸ 4. Existem casos onde um software ou sistema operacional instalado em um computador pode conter uma vulnerabilidade que permite sua exploracao remota. a A Parte II: Riscos Envolvidos no Uso da Internet e M´ todos de Prevencao apresenta algumas e ¸˜ formas de identificacao de vulnerabilidades. ´ Exemplo 1: vocˆ recebe uma mensagem e-mail. dizendo que seu computador est´ infectado por e a um v´rus. utilizando a sua conta de acesso a a Internet e. O ´ ultimo exemplo apresenta um ataque realizado por telefone. pede sua senha para corrig´-lo. resulta na violacao da seguranca ¸˜ ¸ de um computador. 5 Vulnerabilidade ´ Vulnerabilidade e definida como uma falha no projeto. pode obter acesso n˜ o autorizado ao a computador vulner´ vel. um ¸˜ e ` atacante conectado a Internet. mas sim permitir que algu´ m tenha acesso ao seu computador e a todos os dados nele ı e armazenados. onde o remetente e o gerente ou algu´ m em nome e e do departamento de suporte do seu banco. quando explorada por um atacante. ao explorar tal vulnerabilidade. ¸˜ ¸˜ ¸˜ Cartilha de Seguranca para Internet – c 2006 CERT. ¸˜ a a ent˜ o. este aplicativo est´ preparado para furtar sua senha de acesso a conta a banc´ ria e envi´ -la para o atacante. Portanto. para eliminar o v´rus de seu computador. ou seja. Caso vocˆ entregue sua senha. pois os discursos apresentados nos ı ´ exemplos procuram induzir o usu´ rio a realizar alguma tarefa e o sucesso do ataque depende unica e a exclusivamente da decis˜ o do usu´ rio em fornecer informacoes sens´veis ou executar programas. relacionando tais atividades ao seu nome. portanto. a a ¸˜ ı A Parte IV: Fraudes na Internet apresenta algumas formas de se prevenir deste tipo de ataque. implementacao ou configuracao de um soft¸˜ ¸˜ ware ou sistema operacional que. bem como maneiras de prevencao e correcao. A real funcao desta ferramenta n˜ o e eliminar ı ¸˜ a ´ um v´rus. aguardando que vocˆ digite a e a e sua senha. e Nesta ligacao ele diz que sua conex˜ o com a Internet est´ apresentando algum problema e. a a Exemplo 2: vocˆ recebe uma mensagem de e-mail. A execucao deste aplicativo apresenta uma tela a ¸˜ ` an´ loga aquela que vocˆ utiliza para ter acesso a conta banc´ ria.br ¸ 8/14 . A mensagem sugere que vocˆ instale uma ferramenta dispon´vel em um site da ı e ı Internet. Na mensagem ele diz que o servico de Internet Bank¸ ing est´ apresentando algum problema e que tal problema pode ser corrigido se vocˆ executar a e ` o aplicativo que est´ anexado a mensagem. Na verdade. Estes casos mostram ataques t´picos de engenharia social. Exemplo 3: algum desconhecido liga para a sua casa e diz ser do suporte t´ cnico do seu provedor. este suposto t´ cnico a ı e e poder´ realizar uma infinidade de atividades maliciosas. atrav´ s da rede.1 Que exemplos podem ser citados sobre este m´ todo de ataque? e Os dois primeiros exemplos apresentam casos onde foram utilizadas mensagens de e-mail.

1 ´ O que e DDoS? DDoS (Distributed Denial of Service) constitui um ataque de negacao de servico distribu´do. • backdoors. causando grande lentid˜ o ou at´ mesmo indisponibilizando qualquer comunicacao a e ¸˜ com este computador ou rede. a a a • gerar um grande tr´ fego de dados para uma rede. Cartilha de Seguranca para Internet – c 2006 CERT. • rootkits. ¸ e ´ Alguns exemplos de malware s˜ o: a • v´rus. ¸˜ Na literatura de seguranca o termo malware tamb´ m e conhecido por “software malicioso”. A Parte VIII: C´ digos Maliciosos (Malware) apresenta descricoes detalhadas e formas de identio ¸˜ ficacao e prevencao para os diversos tipos de c´ digo malicioso. impossibilitando o acesso dos usu´ rios a suas ¸ a caixas de correio no servidor de e-mail ou ao servidor Web. um conjunto de computadores e utilizado para tirar de operacao um ou mais servicos ou ¸˜ ¸ ` computadores conectados a Internet. ı • worms e bots. ¸˜ ¸˜ o 7 Negacao de Servico (Denial of Service) ¸˜ ¸ Nos ataques de negacao de servico (DoS – Denial of Service) o atacante utiliza um computador ¸˜ ¸ ` para tirar de operacao um servico ou computador conectado a Internet. ocupando toda a banda dispon´vel. Normalmente estes ataques procuram ocupar toda a banda dispon´vel para o acesso a um comı putador ou rede. ¸˜ ¸ ı ´ ou seja.Parte I: Conceitos de Seguranca ¸ 6 C´ digos Maliciosos (Malware) o ´ C´ digo malicioso ou Malware (Malicious Software) e um termo gen´ rico que abrange todos os o e tipos de programa especificamente desenvolvidos para executar acoes maliciosas em um computador. ¸˜ ¸ Exemplos deste tipo de ataque s˜ o: a • gerar uma grande sobrecarga no processamento de dados de um computador. ı • tirar servicos importantes de um provedor do ar. de modo a ı que qualquer computador desta rede fique indispon´vel. de modo que o usu´ rio n˜ o consiga utiliz´ -lo. 7. o • keyloggers e outros programas spyware. • cavalos de tr´ ia.br ¸ 9/14 .

Os m´ todos de criptografia atuais s˜ o seguros e eficientes e baseiam-se no uso de uma ou mais e a ´ chaves.1 ´ ´ O que e criptografia de chave unica? ´ A criptografia de chave unica utiliza a mesma chave tanto para codificar quanto para decodificar mensagens. mas sim ficaram imposo a sibilitadas de vender seus produtos durante um longo per´odo.2). os m´ todos criptogr´ ficos podem ser subdivididos em duas grandes categorias. E parte de e o um campo de estudos que trata das comunicacoes secretas.br ¸ 10/14 . u e uma mensagem deve poder ser assinada. a pessoa que a recebeu deve poder verificar se o ´ remetente e mesmo a pessoa que diz ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada.2 Se uma rede ou computador sofrer um DoS. a • autenticar e proteger o sigilo de comunicacoes pessoais e de transacoes comerciais e banc´ rias.4 e 8. somente e aquele que enviou e aquele que recebeu devem ter acesso ao conte´ do da mensagem. Al´ m disso. onde computadores de v´ rias partes ı a do mundo foram utilizados para indisponibilizar o acesso aos sites de algumas empresas de com´ rcio e eletrˆ nico. A chave e uma seq¨ encia de caracteres. computadores comprometidos invad´-los. ou e ¸˜ seja. de e a ´ acordo com o tipo de chave utilizada: a criptografia de chave unica (vide secao 8. respectivamente. ı 8 Criptografia ´ ´ Criptografia e a ciˆ ncia e arte de escrever mensagens em forma cifrada ou em c´ digo. tem como principal desvantagem a necessidade de utilizacao de um meio seguro para que a chave possa ser compartilhada entre pessoas ou ¸˜ entidades que desejem trocar informacoes criptografadas. E ı podem ser utilizados para desferir os ataques de negacao de servico. utilizado pelos m´ todos de criptografia para codificar u e e decodificar mensagens. ou seja. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo da chave ¸˜ e o ı ´ unica podem ser vistos nas secoes 8. isto significa que houve uma a invas˜ o? ´ N˜ o. e o Uma mensagem codificada por um m´ todo de criptografia deve ser privada. u ¸˜ 8.5. e que e convertida em um n´ mero. que pode conter letras.1) e a criptografia ¸˜ de chave p´ blica e privada (vide secao 8. Atualmente. O objetivo de tais ataques e indisponibilizar o uso de um ou mais computadores. Apesar deste m´ todo ser bastante eficiente em relacao ao tempo de processamento. e n˜ o a a ´ importante notar que. usadas. para: ¸˜ • autenticar a identidade de usu´ rios. ou seja. ¸˜ Cartilha de Seguranca para Internet – c 2006 CERT. principalmente em casos de DDoS. ¸˜ ¸ Um exemplo deste tipo de ataque ocorreu no in´cio de 2000.Parte I: Conceitos de Seguranca ¸ 7. Estas empresas n˜ o tiveram seus computadores comprometidos. o tempo gasto para codificar e decodificar mensagens. d´gitos e s´mbolos (como uˆ ı ı ´ uma senha). dentre outras finalidades. ¸˜ ¸˜ a • proteger a integridade de transferˆ ncias eletrˆ nicas de fundos.

Neste processo ser´ gerada uma segunda assinatura digital. u ¸˜ 8.5. ¸˜ o e ¸˜ de modo que a pessoa ou entidade que receber uma mensagem contendo este c´ digo possa verificar o ´ se o remetente e mesmo quem diz ser e identificar qualquer mensagem que possa ter sido modificada. e e ´ 3. e ¸˜ ´ quando comparado ao m´ todo de criptografia de chave unica (secao 8. ´ Desta forma. Tamb´ m e importante ressaltar que o fato de assinar uma mensagem e ´ Cartilha de Seguranca para Internet – c 2006 CERT. Maria utilizar´ a chave p´ blica de Jos´ para decodificar a u e ` a mensagem. mas utilizando a a chave p´ blica de Jos´ . que ser´ adicionada a mensagem a a enviada para Maria. Depois de criptografada. Ent˜ o. Se Maria quiser responder a mensagem. que e apenas de seu conhecimento. uma para codificar e u outra para decodificar mensagens.1).Parte I: Conceitos de Seguranca ¸ 8. n˜ o necessitando de um meio seguro para que chaves ¸˜ u a sejam combinadas antecipadamente. pode ser utilizado na geracao de assinaturas digitais. e utilizado o m´ todo de criptografia de chaves p´ blica e privada. ¸˜ Se Jos´ quiser enviar uma mensagem assinada para Maria. Maria ter´ certeza que o remetente da mensagem foi o Jos´ e a e e que a mensagem n˜ o foi modificada.br ¸ 11/14 . Jos´ codifica uma mensagem utilizando a chave p´ blica de Maria. que pode ser divulgada livremente. Maria recebe e decodifica a mensagem. As mensagens codificadas com a chave p´ blica s´ podem ser decodificadas com a chave u o privada correspondente. ¸˜ Exemplos de utilizacao deste m´ todo de criptografia e sugest˜ es para o tamanho m´nimo das ¸˜ e o ı chaves p´ blica e privada podem ser vistos nas secoes 8. Al´ m disso. que deve ser mantida em segredo pelo u seu dono.3. atrav´ s da Internet. 4. e outra privada. 2. dever´ realizar o mesmo procedimento. que ser´ comparada a pria a meira. mas em um processo e u inverso ao apresentado no exemplo da secao 8. Neste m´ todo cada pessoa ou entidade mant´ m duas chaves: uma e e p´ blica. Seja o exemplo. Se as assinaturas forem idˆ nticas. apresenta como principal e ¸˜ vantagem a livre distribuicao de chaves p´ blicas. a ´ ´ E importante ressaltar que a seguranca do m´ todo baseia-se no fato de que a chave privada e co¸ e nhecida apenas pelo seu dono.2 ´ ´ O que e criptografia de chaves publica e privada? A criptografia de chaves p´ blica e privada utiliza duas chaves distintas. onde Jos´ e Maria querem se comunicar de maneira sigilosa. respectivamente. eles ter˜ o e a a que realizar os seguintes procedimentos: 1. que est´ dispon´vel para o e u a ı uso de qualquer pessoa.4 e 8. utilizando sua chave privada. u e Apesar deste m´ todo ter o desempenho bem inferior em relacao ao tempo de processamento. ele codificar´ a mensagem com sua e a ` chave privada.2. atrav´ s da utilizacao de uma chave privada. Neste processo ser´ gerada uma assinatura digital. Ao receber a mensagem.3 ´ O que e assinatura digital? A assinatura digital consiste na criacao de um c´ digo. e ¸˜ como mostra a secao 8. Jos´ envia a mensagem para Maria.

¸˜ a ´ Estas conex˜ es seguras via Web utilizam o m´ todo de criptografia de chave unica. quanto maior for ¸˜ e a chave. aumentando assim o n´vel de seguranca de todo o processo. tornando os m´ todos de a e e criptografia ainda mais seguros. a A partir deste ponto. Atualmente. Portanto. O browser do usu´ rio precisa informar ao site qual ser´ a a a ´ chave unica utilizada na conex˜ o segura. e que apresentam bons n´veis de seguranca. ou e ¸ seja. chaves podem ser trocadas regularmente. a a Para isto. u 4 Certificados s˜ o discutidos na secao 9 e na Parte IV: Fraudes na Internet. Para o exemplo anterior. A chave unica pode e ¸˜ e ser trocada em intervalos de tempo determinados. ele utiliza esta chave p´ blica para codificar e enviar uma mensagem para o site. u a 8. a ¸˜ Cartilha de Seguranca para Internet – c 2006 CERT. estabelecidas entre o browser de um usu´ rio e um site. em u a o a transacoes comerciais ou banc´ rias via Web. contendo a a u ´ chave unica a ser utilizada na conex˜ o segura. e u ¸˜ e Ent˜ o. e aconselh´ vel utilizar chaves de no m´nimo 128 bits. sendo o m´nimo aceit´ vel u a ı a de 1024 bits. inviabilizando assim a descoberta de uma a u ¸˜ chave em tempo h´ bil. O site utiliza sua chave privada para decodificar a a ´ mensagem e identificar a chave unica que ser´ utilizada. atrav´ s da utilizacao do m´ todo de criptografia de chave unica. atrav´ s da repeticao dos procedimentos descritos e ¸˜ anteriormente. o browser obt´ m a chave p´ blica do certificado4 da instituicao que mant´ m o site. maior ser´ o n´ mero de combinacoes a testar. seria preciso codific´ -la com a u a chave p´ blica de Maria. Al´ m disso. Dependendo dos fins para os quais os m´ todos criptogr´ ficos ser˜ o utilizados.Parte I: Conceitos de Seguranca ¸ n˜ o significa gerar uma mensagem sigilosa. s˜ o e ı ¸ a publicamente conhecidos e s˜ o seguros pela robustez de seus algoritmos e pelo tamanho das chaves a que utilizam. se Jos´ quisesse assinar a mena e sagem e ter certeza de que apenas Maria teria acesso a seu conte´ do. de forma sia ¸˜ ´ ´ gilosa e segura.4 ´ Que exemplos podem ser citados sobre o uso de criptografia de chave unica ´ e de chaves publica e privada? ´ Exemplos que combinam a utilizacao dos m´ todos de criptografia de chave unica e de chaves ¸˜ e p´ blica e privada s˜ o as conex˜ es seguras. ı ¸ 8. E para o m´ todo de criptografia a ı e ´ de chaves p´ blica e privada e aconselh´ vel utilizar chaves de 2048 bits. testar combinacoes de chaves at´ que a correta seja descoberta. deve-se e a a ´ considerar a utilizacao de chaves maiores: 256 ou 512 bits para chave unica e 4096 ou 8192 bits para ¸˜ chaves p´ blica e privada.br ¸ 12/14 . depois de assin´ -la. para se obter um bom n´vel de seguranca na utilizacao do m´ todo de criptografia de ı ¸ ¸˜ e ´ ´ chave unica. antes de iniciar a transmiss˜ o de dados sigilosos. o browser do usu´ rio e o site podem transmitir informacoes. implementado o e pelo protocolo SSL (Secure Socket Layer). Para que um atacante descubra uma chave ele precisa utilizar algum m´ todo de forca bruta.5 Que tamanho de chave deve ser utilizado? Os m´ todos de criptografia atualmente utilizados.

tais como: pessoa. n´ mero de identificacao. ¸˜ • quando vocˆ envia um e-mail importante. u Algumas das principais informacoes encontradas em um certificado digital s˜ o: ¸˜ a • dados que identificam o dono (nome. o e ¸˜ utilizados para comprovar sua identidade. ¸˜ e ¸˜ • quando vocˆ consulta seu banco pela Internet. org˜ os p´ blicos) que garante sua validade. e poss´vel checar se o site apresena ı ´ tado e realmente da instituicao que diz ser. RG. fazendo o papel de a “Cart´ rio Eletrˆ nico”. como um token ou smart card.br ¸ 13/14 . a A Parte IV: Fraudes na Internet apresenta algumas medidas de seguranca relacionadas ao uso de ¸ certificados digitais.2 Que exemplos podem ser citados sobre o uso de certificados? Alguns exemplos t´picos do uso de certificados digitais s˜ o: ı a • quando vocˆ acessa um site com conex˜ o segura. seu aplicativo de e-mail pode utilizar seu certificado e ´ para assinar “digitalmente” a mensagem. u e ı • a assinatura digital da AC.Parte I: Conceitos de Seguranca ¸ 9 Certificado Digital ´ O certificado digital e um arquivo eletrˆ nico que cont´ m dados de uma pessoa ou instituicao. ¸˜ ¸˜ Os certificados digitais possuem uma forma de assinatura eletrˆ nica da AC que o emitiu.1). este tem que se assegurar de sua identidade antes e de fornecer informacoes sobre a conta. estado. CPF e carteira de habilitacao a ¸˜ de uma pessoa. ¸˜ • o n´ mero de s´ rie e o per´odo de validade do certificado. ¸˜ 9. Este arquivo pode estar armazenado em um computador ou em outra m´dia. instituicao. atrav´ s da verificacao de seu certificado digital. departamento de uma instituicao. Gracas o ¸ ` ´ a sua idoneidade. a AC e normalmente reconhecida por todos como confi´ vel. etc). o o 9. de modo a assegurar ao destinat´ rio que o e-mail e a seu e que n˜ o foi adulterado entre o envio e o recebimento.1 ´ O que e Autoridade Certificadora (AC)? ´ Autoridade Certificadora (AC) e a entidade respons´ vel por emitir certificados digitais. etc. ı Exemplos semelhantes a um certificado digital s˜ o o CNPJ. como por exemplo o acesso a sua conta e a ´ banc´ ria pela Internet (vide Parte IV: Fraudes na Internet). Estes a certificados podem ser emitidos para diversos tipos de entidades. Cartilha de Seguranca para Internet – c 2006 CERT. Cada um deles cont´ m um conjunto de informacoes que identificam a instituicao ou e ¸˜ ¸˜ ´ a pessoa e a autoridade (para estes exemplos. ´ O objetivo da assinatura digital no certificado e indicar que uma outra entidade (a Autoridade Certificadora) garante a veracidade das informacoes nele contidas. computador. u ¸˜ • nome da Autoridade Certificadora (AC) que emitiu o certificado (vide secao 9.

certifique-se de ter sempre a vers˜ o mais recente. E vedada a exibicao ou a distribuicao total ou parcial de vers˜ es modificadas deste docu¸˜ ¸˜ o mento. como parte de site ou de outro tipo de ¸˜ material. cr´ticas. enviando coı ¸˜ ment´ rios.br. completo ou em partes. nem se responsabiliza por eventuais conseq¨ encias ¸˜ ¸˜ uˆ que possam advir do seu uso. a producao de material derivado sem expressa autorizacao do CERT.br.cert.br. E permitido fazer e distribuir gratuitamente c´ pias impressas inalteradas deste documento. e a autoria deve ser citada da seguinte ¸ forma: “Texto extra´do da Cartilha de Seguranca para Internet.br agradece a todos que contribu´ram para a elaboracao deste documento. deve ser assinado um Termo de Licenca de Uso.cert. desenvolvida pelo CERT.” ´ 4. Para reproducao do documento.br.br/. e ¸ Licenca de Uso da Cartilha ¸ ´ Este documento e Copyright c 2000–2006 CERT. ¸˜ o Informacoes sobre o Termo de Licenca de Uso podem ser solicitadas para doc@cert. ı ¸ mantido pelo NIC. E permitido fazer links para a p´ gina http://cartilha.br/. bem como a ¸˜ ¸˜ comercializacao no todo ou em parte de c´ pias do referido documento. entre em contato e a atrav´ s do endereco doc@cert.br/. a Caso vocˆ tenha alguma sugest˜ o para este documento ou encontre algum erro. ı 3. a ı o o Cartilha de Seguranca para Internet – c 2006 CERT. acompanhado desta Licenca de Uso e de instrucoes de como obtˆ -lo atrav´ s da Internet.cert.br n˜ o garante a ¸˜ a correcao absoluta das informacoes nele contidas. Agradecimentos O CERT. Ele pode ser livremente distribu´do desde ı que sejam respeitadas as seguintes condicoes: ¸˜ ´ o 1.br ¸ 14/14 . ¸ ¸˜ e e ´ a 2. sugest˜ es ou revis˜ es.Parte I: Conceitos de Seguranca ¸ Como Obter este Documento ´ Este documento pode ser obtido em http://cartilha.br. o CERT. com inteiro teor em http://cartilha. Embora ¸˜ ¸ todos os cuidados tenham sido tomados na preparacao deste documento. ou para p´ ginas dentro a deste site que contenham partes espec´ficas da Cartilha. Como ele e periodicamente atualizado.br.

Sign up to vote on this title
UsefulNot useful