Professional Documents
Culture Documents
Formosa-GO
2012
Formosa-GO
2011
RESUMO
O grande fluxo de informaes que so enviadas hoje, por meio de computadores,
celulares e etc., est cada vez mais aumentado e dentre estas alguns dados so de
ordem sigilosa e de extremo valor, devido a estas questes a segurana da informao
muito valorizada hoje para rea da gesto empresarial e tambm para usurios
comuns. Os crescentes nmeros de ataques empresas, governos e usurios,
reforam que o mtodo de segurana deve ser adotado em todos os setores que usam
direta ou indiretamente algum tipo de tecnologia. A internet principalmente nas reas
de aplicativos um ramo em que os mtodos de proteo tm que ser adotados de
uma forma incisiva e objetiva, pois hoje o maior foco de ataques vem diretamente da
WEB. Empresas com a Odebretch e dentre outras esto preocupadas com a segurana
de suas informaes e esto investindo nesta rea e obtendo bons resultados,com isso
podemos afirmar que a segurana da informao e vital tanto para empresas como
para usurios comuns.
PALAVRAS-CHAVE: informao, sigilosa, segurana, ataques, mtodos, tecnologia,
internet.
ABSTRACT
The flood of information that is sent today via computers, phones and so on. Is
increasingly taken and among them some data are of a confidential and extremely
valuable, because of these issues information security is highly valued today for the
area of business management and also for ordinary users. The increasing number of
attacks on businesses, governments and users, reinforcing the security method to be
adopted in all sectors that directly or indirectly use any kind of technology. The
Internet primarily in the areas of business applications is one in which the methods of
protection must be adopted in an incisive and objective way, because now the main
focus of attacks comes directly from the web. Companies with Odebretch and among
others are concerned about the security of your information and are investing in this
area and getting good results and we can say that information security is vital
for both companies and for regular users.
KEYWORDS: information, secret, security, attacks, methods, technology, internet.
SUMRIO
RESUMO................................................. 3
ABSTRACT.................................................... 4
1 INTRODUO.................................................... 6
1.1 Problematizao................................................................................7
1.2 Justificativa................................................................................................................ 8
1.3 Objetivos.................................................................................................................... 9
1.3.1 Objetivo Geral......................................................................................................... 9
1.3.2 Objetivos Especficos.............................................................................................. 9
1.4 Metodologia............................................................................................................ 10
1.4.1 Mostrar as caractersticas das chaves simtricas e assimtricas.......................... 10
1.4.2 Descrever os principais algoritmos de criptografia convencional e de chave
pblica........................................................................................................................... 15
1.4.3 Pesquisar os mecanismos e caractersticas comuns de autenticao na
Internet.......................................................................................................................... 19
1.4.4 Identificar as situaes possveis de ataques contra mtodos de autorizao
vulnerveis..................................................................................................................... 25
1.4.5 Analisar os processos de segurana e preveno de riscos para empresas......... 31
1.4.6 Mostrar as normas e padres usados por grandes organizaes na gesto de
segurana da informao e da Tecnologia da Informao............................................ 37
2 CONCLUSO................................................................................................................ 41
REFERNCIAS................................................................................................................. 42
INTRODUO
1.1 Problematizao
1.2 Justificativa
1.3 Objetivos
1.4 Metodologia
Com certeza aferramenta a automatizada mais valiosa e importante para a segurana de redes
e das comunicaes a criptografia. Duas formas de criptografia as mais usadas
normalmente: A criptografia convencional,ou simtrica, e criptografia por chave pblica, ou
assimtrica (STALLING, 2008, p.15). importante tambm estudar os princpios bsicos da
criptografia simtrica, examinar os algoritmos mais usados e explicar as aplicaes da
criptografia simtrica. A outra forma importante de criptografia a de chave pblica, que
revolucionou a segurana das comunicaes. Uma rea da criptografia relacionada a das
funes criptogrficas de hash. As funes de hash so usadas em conjunto com as cifras
simtricas para assinaturas digitais. Alm disso, as funes de hash so usadas para
autenticao de mensagens. As cifras simtricas tambm so usadas para gerenciamento de
chave (STALLING, 2008, p.163).
Para mostrar melhor o conceito de chaves criptogrficas podemos fazer uma ilustrao do
computador como sendo uma porta onde aberta poder guardar todas as informaes
necessrias. O algoritmo de criptografia sendo uma fechadura onde esconde o segredo para
abrir a porta (computador) e a chave sendo o que o prprio nome j diz ter a funo de
destrancar a fechadura e consequentemente abrira porta. Podemos ver que o funcionamento
de uma chave e bem parecido como o de um numero secreto, ou seja, dar alguma autorizao
um agente determinar uma ao no nosso caso encriptar um arquivo. Como os dois termos
funcionam da mesma forma o termo chave designa esse nmero secreto. O que mais fcil:
Guardar um algoritmo em segredo ou guardar uma chave? Para responder esta pergunta
podemos pensar de uma forma simples e lgica.
As chaves nos aliviam da necessidade de se preocupar em guardar um algoritmo em segredo,
porque se precisamos proteger alguns dados com uma chave precisamos nos preocupar
somente com a chave. Se tivermos diversos tipos de informao, iremos utilizar diversas
chaves para guardar segredos diferentes, ou seja, se algum invasor quebrar alguma de suas
chaves os outros arquivos estaro seguros, pois a chave que a estava protegendo no a
quefoi comprometida. Se voc depender de um algoritmo, um invasor que quebre esse
algoritmo ter acesso a todos os seus dados sigilosos. O segredo de que o criptoanalista
conhece o algoritmo e que o segredo deve residir exclusivamente na chave chamada de
Princpio de Kerckchoff (1883):
Todos os algoritmos devem ser pblicos; apenas as chaves so secretas. Os Princpios
fundamentais da criptografia so muito importantes, pois nos traz regras que devemos seguir
para o bom uso deste mtodo. Sendo assim iremos citar os dois mais importantes.
impedidos de gerar dados invlidos que possam ser interpretados como dados
vlidos.
precisamos manter o algoritmo secreto; precisamos manter apenas a chave secreta. Essa
caracterstica da criptografia simtrica o que a torna vivel para uso generalizado. O fato de
que o algoritmo no precisa ser mantido secreto significa que os fabricantes podem
desenvolver como realmente desenvolveram, implementao de chip de baixo custo com
algoritmos de criptografia de dados. Esses chips so encontrados com facilidade e esto
incorporados em diversos produtos. Com o uso da criptografia simtrica, o principal problema
de segurana manter o sigilo da chave (STALLING, 2008, p.19).
Os sistemas criptogrficos so caracterizados em trs dimenses independentes: Primeira
dimenso; o tipo das operaes usadas para transformar texto claro em texto cifrado. Todos
os algoritmos de criptografia so baseados em dois princpios gerais: substituio, em que
cada elemento no texto claro (bit, letra grupo de bits ou letras) mapeado em outro
elemento, e transposio, em que os elementos no texto claro so reorganizados. O requisito
fundamental que nenhuma informao seja perdida (ou seja, que todas as operaes sejam
reversveis). A maioria dos sistemas, chamados de sistema de produto, envolve vrios estgios
e substituies e transposies.
A segunda dimenso; o nmero de chaves usadas: Se tanto o emissor quanto o receptor
utilizarem e mesma chave, o sistema considerado como criptografia simtrica, de chave
nica, de chave secreta ou convencional. Se emissor e receptor usarem chaves diferentes, o
sistema considerado de criptografia assimtrica, de duas chaves ou de chave pblica.
Finamente a terceira dimenso; o modo como o texto claro processado: Uma cifra de bloco
processa a entrada de um bloco de elementos de cada vez, produzindo um bloco de sada para
cada bloco de entrada.
Uma cifra em fluxo processa os elementos da entrada continuamente, produzindo a sada de
um elemento de cada vez, enquanto prossegue (STALLING, 2008, p.19-20).
A criptografia assimtrica diferente da simtrica uma forma de criptossistema em que a
criptografia e a decriptografia so realizadas usando diferentes chaves uma chave pblica e
uma chave privada. Ela tambm conhecida como criptografia de chave pblica. Ela
transforma o texto claro em texto cifrado usando uma de duas chaves e um algoritmo de
criptografia. Usando a outra chave associada e um algoritmo de decriptografia, o texto claro
recuperado a partir do texto cifrado. A criptografia assimtrica pode ser usada para
confidencialidade, autenticao ou ambos (STALLING, 2008, p.181).
O desenvolvimento da criptografia de chave pblica a maior e talvez a nica verdadeira
revoluo na histria da criptografia. Desde o seu inicio at os tempos modernos,
praticamente todos os sistemas criptogrficos tem sido baseados nas ferramentas
elementares da substituio e permutao. Depois de milnios de trabalho com algoritmos
que basicamente poderiam ser calculados mo, um grande avano na criptografia simtrica
ocorreu com o desenvolvimento da mquina de criptografia \ decriptografia de rotor. A
criptografia de chave publica oferece uma mudana radical em relao a tudo o que se havia
feito. Por um lado, os algoritmos de chave pblica so baseados em funes matemticas, em
vez de na substituio e permutao. Mais importante, a criptografia de chave pblica
assimtrica, envolvendo o uso de duas chaves separadas, diferentemente da criptografia
simtrica, que usa apenas uma chave. O uso de duas chaves tem profundas consequncias nas
reas da confidencialidade, distribuio de chaves e autenticao.
Terceiro a chave pbica e privada que um par de chaves que foi selecionado de modo que, se
uma for usada para criptografia, outra ser usada para a decriptografia. As transformaes
exatas realizadas pelo algoritmo dependem da chave pblica ou privada que fornecida como
entrada. Quarto o texto cifrado que a mensagem codificada produzida como sada. Ela
depende do texto claro e da chave. Para uma determinada mensagem, duas chaves diferentes
produziro dois textos cifrados diferentes. O quinto o algoritmo de decriptografia que aceita
o texto cifrado e a chave correspondente e produz o texto claro original. As etapas essenciais
so as seguintes:
Primeiro, o texto claro de 64 bits passa por uma permutao inicial (IP), que reorganiza os bits
para produzir a entrada permutada. Isso seguido por uma fase constituindo em 16 rodadas
da mesma funo, que envolve funes de permutao e substituio. A sada da ltima
(dcima sexta) rodada consiste em 64 bits que so uma funo do texto claro de entrada e da
chave. As metades esquerda e direita da sada so trocadas para produzir a pr-sada.
Finalmente, a pr-sada passada por uma permutao (IP^-1) que o inverso da funo
de permutao inicial, para produzir o texto cifrado de 64 bits. Com exceo das
permutaes inicial e final, o DES tem a estrutura exata de uma cifra de Feistel. Inicialmente
achave passada por uma funo de permutao. Depois, para cada uma das 16 rodadas, uma
subchave (Ki) produzida pela combinao de um deslocamento circular a esquerda e uma
permutao. A funo da permutao a mesma para cada rodada, mas uma subchave
diferente produzida, devido aos deslocamentos repetidos dos bits da chave (STALLING, 2008,
p.48).
Em 1999, o NIST lanou uma nova verso do seu padro DES que indicava que o mesmo
algoritmo s deveria ser utilizado em sistemas legados e que o DES triplo (3DES) fosse utilizado
em seu lugar. O 3DES possui dois atrativos que garantem o seu uso generalizado pelos
prximos anos. Primeiro, com seu tamanho de chave de 168 bits, ele contorna a
vulnerabilidade do ataque por fora bruta ao DES. Segundo, o algoritmo de criptografia bsico
no 3DES iguala o do DES. Esse algoritmo foi submetido a mais analises detalhadas que
qualquer outro algoritmo de criptografia por um longo perodo, e nenhuma ataque
criptoanaltico eficaz contra o algoritmo, alm da fora bruta, teve sucesso. Por conseguinte,
existe um alto nvel de confiana de que o 3DES resistente criptoanlise. Se a segurana
fosse a nica considerao, ento o 3DES, seria uma escolha apropriada para um algoritmo de
criptografia padronizado por mais alguma dcadas.
A principal desvantagem do 3DES que o algoritmo um relativamente lento em software. O
DES original foi projetado para implementao em hardware em meados da dcada de 1970, e
no produz um cdigo de software eficiente. O 3DES que tem trs vezes mais rodadas que o
DES, correspondentemente mais lento.
Uma desvantagem secundria que tanto o DES quanto o 3DES utilizam um tamanho de bloco
de 64 bits. Por motivos e eficincia e de segurana, um tamanho de bloco maior desejvel.
Por causa dessas desvantagens, o 3DES no um candidato razovel para uso em longo prazo.
Como alterativa, em 1997 o NIST pediu propostas para um novo AdvancedEncryption Standard
(AES), que deveria ter um grau de segurana igual ou superior ao 3DES e uma eficincia bem
melhorada. Alm desses requisitos gerais, o NIST especificou que o AES deveria ter uma cifra
de bloco simtrica com um tamanho de bloco de 128 bits e suporte para tamanhos de chaves
de 128,192 e 256 bits. Em uma primeira rodada de avaliao, 15 algoritmos propostos foram
aceitos. Uma segunda rodada estreitou a competio para 5 algoritmos. O NIST completou o
processo de avaliao e publicou um padro final em novembro de 2001. O NIST selecionou
Rijndael com o algoritmo AES proposto.Os dois pesquisadores que desenvolveram e enviaram
o Rijndael para o AES so criptgrafos belgas: o Dr. Joan Daemen e Dr. VicentRijmen.
Definitivamente, o AES est destinado a substituir o 3DES, mas esse processo levar alguns
anos. O NIST antecipa que o 3DES permanecer como algoritmo (para uso do governo do EUA)
por prazo indeterminado (STALLING, 2008, p.92). AES uma cifra de bloco cujo objetivo
substituir o DES para aplicaes comerciais. O AES usa um tamanho e bloco de 128 bits e um
tamanho de chave 128, 192 ou 256 bits. O AES no usa uma estrutura de Feistel. Em vez disso,
cada rodada completa consiste em quatro funes distintas: substituio de bytes,
permutao, operaes aritmticas sobre um corpo finito e operao XOR com uma chave
(STALLING, 2008, p.91).
O padro de criptografia avanado AES foi publicado pelo NIST em 2001. O AES uma cifra em
bloco simtrica cujo objetivo substituir o DES como padro aprovado para uma grande
variedade de aplicaes. Comparado com cifras de chave pblica, como RSA, a estrutura do
AES e da maioria das cifras simtricas, muito complexa e no pode ser explicado to
facilmente quanto o RSA e os algoritmos semelhantes (STALLING, 2008, p.92). A proposta
de Rijndael para o AES definiu uma cifra em que o tamanho do bloco e o tamanho da chave
podem ser especificados independentemente como 128, 192 ou 256 bits. A especificao do
AES usa as mesmas trs alternativas de tamanho de chave, mas limita o tamanho do bloco
a 128 bits (STALLING, 2008, p.95). Diversos parmetros do AES dependem do tamanho da
chave. O Rijndael foi projetado para ter trs caractersticas. A primeira que resistncia
contra todos os ataques conhecidos. A segunda que velocidade e compactao de cdigo
em uma grande variedade de plataformas e a terceira que simplicidade de projeto
(STALLING, 2008, p.96).
O criptossistema de chave pblica mais utilizada o RSA. A dificuldade de atacar o RSA est
na dificuldade de encontrar os fatores primos de um nmero composto (STALLING,
2008, p.181). O antigo pioneiro de Diffie e Hellman apresentou uma nova tcnica para
criptografia e, na realidade, desafiou os criptologistas a encontrarem um algoritmo
criptogrfico que atendesse aos requisitos para os sistemas de chave pblica. Uma das
primeiras respostas ao desafio foi desenvolvida em 1977 por Ron Rivest, Adi Shamir e
LenAdleman, no MIT, e publicada em 1978. Desde ento, o esquema Rivest-ShamirAdleman (RSA) tem reinado soberano como tcnica de uso geral mais aceita para a
criptografia de chave pblica. O esquema RSA uma cifra de bloco em que o texto claro e o
texto cifrado so inteiros entre 0 e n-1, para algum n. Um tamanho tpico para n 1.024 bits,
u 309 dgitos decimais. Ou seja, n menor que 2^1204 (STALLING, 2008, p.188-189). A
premissa por trs do RSA que fcil multiplicar dois nmeros primos para obter um terceiro
nmero, mas muito difcil recuperar os dois primos a partir daquele terceiro nmero. Isto
conhecido como fatorao. Por exemplo, os fatores primos de 3.337 so 47 e 71. Gerar a
chave pblica envolve multiplicar dois primos grandes; qualquer um pode fazer isto.
Derivar a chave privada a partir da chave pblica envolve fatorar um grande nmero. Se o
nmero for grande o suficiente e bem escolhido, ento ningum pode fazer isto em uma
quantidade de tempo razovel. Assim, a segurana do RSA baseia-se na dificuldade de
fatorao de nmeros grandes. Deste modo, a fatorao representa um limite superior do
tempo necessrio para quebrar o algoritmo. Uma chave RSA de 512 bits foi quebrada em 1999
pelo Instituto Nacional de Pesquisa da Holanda, com o apoio de cientistas de mais 6 pases.
Levou cerca de 7 meses e foram utilizadas 300 estaes de trabalho para a quebra. Um fato
preocupante: cerca de 95% dos sites de comrcio eletrnico utilizam chaves RSA de 512 bits
(MENDONA, 2010).
O RSA um padro de fato para criptografia assimtrica: Anexo da norma ISO 9796, draft de
uma normal ANSI, padro bancrio na Frana e Austrlia. No padro nos EUA por
especificado dentro o desafio do servidor: o RFC 2617 descreve o uso da funo hash
MD5 como padro. O uso de um nonce na autenticao Digest similar ao uso de salts
em outros esquemas de senha. utilizado para criar um espao de chave maior para
dificultar que algum realize um ataque de banco de dados com senhas comuns.
Considere um grande banco de dados que possa armazenar um hash MD5 de todas as
palavras do dicionrio e todas as permutaes de caracteres com menos de dez
caracteres alfanumricos. O atacador simplesmente teria que calcular a senha
associada ao hash MD5. O uso do nonce aumenta eficazmente o espao de chave e
torna o ataque de banco de dados inexequvel por exigir um banco de dados
muito maior (SCAMBRAY, 2003, p.141).
A autenticao Digest uma melhoria significativa em relao autenticao Basic,
principalmente porque a senha direta do usurio no passada pela linha. Isso a
torna muito resistente a ataque de eavesdropping do que a autenticao Basic.
A autenticao Digest ainda vulnervel a ataque de replay, pois o
messagedirect da resposta dar acesso ao recurso solicitado mesmo na ausncia
da senha verdadeira do usurio. Entretanto, como a solicitao do recurso original
includa no messagedirect, um ataque de replay deve apenas permitir acesso ao
recurso especfico (supondo que a autenticao Digest tenha sido implementada
adequadamente). Para proteger-se contra os ataques de replay, o nonce poderia ser
construdo a partir de informaes com as quais seja difcil trapacear, como um
digest o endereo de IP do cliente e um timestamp, Outros ataques possveis conta a
autenticao Digest so esboados no RFC 2617 (SCAMBRAY, 2003, p.142).
A autenticao Integrated Windows (antes conhecida como autenticao NTLM e
autenticao desafio / resposta Windows NT) utiliza o algoritmo de autenticao
NT LAN Manager (NTLM), de propriedade da Microsoft, em HTTP. Como ela
utiliza NTLM em vez de algoritmo de complicao padro, ela funciona apenas
entre o navegador Internet Explorer a Microsoft e servidores Web IIS. Como a maioria
dos sites da internet suportam mltiplos navegadores, eles tipicamente no
implementam a autenticao Intergrated Windows. Isso torna a autenticao
Intergrated Windows mais adequada para uso em internet. A autenticao
IntegratedWindows funciona de maneira muito parecida com a autenticao Digest,
utilizando um mecanismo de desafio-resposta. Quando um cliente solicita um
recurso protegido pela autenticao Integrated Windows, o servidor responde com um
HTTP 410 Access Danied e um header WWW-Authenticate: NTLM [desafio]
(SCAMBRAY, 2003, p.42). O valor [desafio] contm um digest do nonce NTLM e
outras informaes relacionadas a solicitao. O Internet Explorer ir, ento,
reunir as credenciais NTLM para o usurio Windows que est atualmente com logon,
utilizar o algoritmo NTLM para dar hash no valor desafio e eto fornecer o valor
hashed em uma resposta HTTP com um header Authorization: NTLM [resposta].
Se essas credenciais falharem trs vezes, o Internet Explorer ira fornecer ao
usurio uma caixa de dilogo. O usurio pode entrar usando a caixa de dialogo, com o
nome de usurio, senha e domnio corretos, e o processo se repete. O principal
determinado componente ActiveX), voc pode modificar esse header para faz-lo
passar por IE (SCAMBRAY, 2003, p.1768).
Os cookies so uma forma popular de gerenciamento de sesso, apesar de o uso de
cookies ter sido infestado com vulnerabilidades de segurana. Entretanto, seu uso
ainda comum e os cookies geralmente so muito utilizados para armazenar
campos importantes como nomes de usurio e nmeros de conta. Os cookies
tambm podem ser utilizados para armazenar quase qualquer dado, e todos os
campos podem ser facilmente modificados utilizando-se um programa como o
CookieSpy. O CookieSpy um plug-in do Internet Explorer que abre um painel no
navegador para exibir todos os cookies de um site (SCAMBRAY, 2003, p.176).
s vezes difcil criar a solicitao correta ou mesmo saber o que os campos
significam. Os autores utilizaram uma tcnica chamada de analise diferencial que
teve muito sucesso. Apesar de isso parecer complicado, a tcnica muito simples.
Voc basicamente precisa ter duas ou mais contas. Voc passeia pelo Web site com
cada conta e observa as diferenas, da o nome de analise diferencial. Bem, voc
possui duas contas e pode observar onde os cookies e outros campos diferem. Por
exemplo, alguns valores de cookie ou outras informaes refletiro diferenas nos
perfis ou configuraes personalizadas. Outros valores, como o numero de ID, para
citar um, talvez sejam muito prximos uns dos outros. Ainda outros valores podem
diferir com base nas permisses de cada usurio. A recuperao arbitraria de
arquivos geralmente possui como alvo os arquivos de configurao de servidores
Web, outras aplicaes e o sistema operacional (SCAMBRAY, 2003, p.177).
Nos dias de hoje, as empresas dependem cada vez mais dos sistemas de
informao e da Internet para fazer negcios, no podendo se dar ao luxo de sofrer
interrupes em suas operaes. Um incidente de segurana pode impactar direta e
negativamente as receitas de uma corporao, a confiana de seus clientes e o
relacionamento com sua rede de parceiros e fornecedores. Um incidente de
segurana est diretamente relacionado com prejuzos financeiros, sejam eles
devidos parada de um sistema por conta de um vrus, ao furto de uma informao
confidencial ou perda de uma informao importante. Estima-se que worms e vrus
que atingiram grandes propores de propagao como, por exemplo, MyDoom,
Slammer, Nimda tenham ocasionado prejuzos da ordem de bilhes de dlares no
mundo. Em ltima instncia, um incidente pode impedir, direta ou indiretamente, a
organizao de cumprir sua misso e de gerar valor para o acionista. Essa
perspectiva traz a segurana da informao para um patamar novo, no apenas
relacionada com a esfera da tecnologia e das ferramentas necessrias para proteger a
informao, mas tambm como um dos pilares de suporte estratgia de negcio de
uma corporao. A gesto da segurana assume, ento, um novo significado, pois
passa a levar em considerao os elementos estratgicos de uma organizao e evolui
para a extenso da prtica de gesto de riscos do negcio (PROMON BUSSINESS
& TEC., 2005, p.2).
Os incidentes de segurana da informao vm aumentando consideravelmente ao
longo dos ltimos anos e assumem as formas mais variadas, como, por exemplo:
infeco por vrus, acesso no autorizado, ataques denialofservice contra redes e
sistemas, furto de informao proprietria, invaso de sistemas, fraudes internas
e externas, uso no autorizado de redes sem fio, entre outras. Um dos principais
motivadores desse aumento a difuso da Internet, que cresceu de alguns milhares
de usurios no incio da dcada de 1980 para centenas de milhes de usurios ao
redor do globo nos dias de hoje. Ao mesmo tempo em que colaborou com a
democratizao da informao e se tornou um canal on-line para fazer negcios,
tambm viabilizou a atuao dos ladres do mundo digital e a propagao de cdigos
maliciosos (vrus, worms, trojans etc.), spam, e outros inmeros inconvenientes
que colocam em risco a segurana de uma corporao. Alm disso, a facilidade
da realizao de ataques atravs da Internet aumentou significativamente com a
popularizao de ferramental apropriado espalhado ao longo da rede mundial de
computadores, habilitando desde hackers at leigos mal-intencionados a praticarem
investidas contra sistemas de informao corporativos. Juntamente com a difuso
da Internet, outros fatores contriburam para impulsionar o crescimento dos
incidentes de segurana. Um desses fatores o aumento do nmero de
vulnerabilidades nos sistemas existentes, como, por exemplo, as brechas de segurana
O ISO 17799 tem uma viso mais generalista que lista as recomendaes
genricas, no mensurveis. Ela no oferece certificao. Usa o termo should (em
portugus, traduzido por convm que) ao descrever prticas de segurana. O BS
7799-2 traz uma especificao para um sistema de gesto de segurana da
informao baseado nas prticas da BS 7799-11 (ISO 17799), cuja implementao
mensurvel. Dispe de processo de certificao. Usa o termo shall (deve) ao
descrever praticas de segurana (BEAL, 2005, p.35).
A ISO/IEC Guide 73 (Risk management vocabulary guidelines for uso in
standards), publicada em 2002, define 29 termos de gesto de riscos, os quais
foram agrupados nas seguintes categorias: termos bsicos; termos relacionados a
pessoas ou organizaes afetadas por riscos; termos relacionados avaliao de
riscos; termos relacionados a tratamento e controle de riscos. A norma til para
uniformizar o entendimento em relao aos conceitos relacionados ao risco (BEAL,
2005, p.35)
A ISO/IEC 13335 (Guidelines for the management of IT security) um conjunto
de diretrizes de gesto da segurana voltadas especificadamente para a
tecnologia da informao. A norma composta de cinco partes, que tratam de
conceitos e modelos para a segurana de TI, da administrao e planejamento de
segurana de TI, das tcnicas para a gesto da segurana de TI, da seleo de
medidas de proteo e da orientao gerencial em segurana de redes. A ISO
13335 tem por objetivo no s servir de base para o desenvolvimento e o
aprimoramento de uma estrutura de segurana de TI, como tambm estabelecer
uma referncia comum de gesto de segurana para todas as organizaes (BEAL,
2005, p.35)
Normas e padres tm por objetivo definir regras, princpios e critrios, registrar
as melhores praticas e prover uniformidade e qualidade a processos, produtos ou
servios, tendo em vista sua eficincia e eficcia. Em alguns casos, a certificao com
relao BS 177799:2 pode ser necessria para confirmar a qualidade do sistema
de gesto a segurana da informao para parceiros, clientes ou fornecedores, mas,
para a maioria das organizaes, mais importante do que buscar conformidade
total ou certificao em relao a norma procurar conhecer os padres e melhores
praticas disponveis para deles extrair aquilo que puder ser til para aprimorar seu
CONCLUSO
Atualmente os ataques contra os usurios e empresas cresceram bastante e requereu
uma contramedida para evitar que dados fossem violados e extraviados. A criptografia
tanto simtrica e assimtrica, como os mtodos de autenticao e autorizao
foram necessrios para que se houvesse uma medida para diminuir os ataques que
vem ocorrendo. Reforando assim que o estudo sobre os mtodos de criptografia so
importantes, assim como as ferramentas criptogrficas que trabalham na
transcrio de textos claros para cifrados no caso os algoritmo.
Hoje 75% dos ataques que ocorrem so contra as aplicaes Web, isso preocupa
tanto usurios como empresas, pois 90% dos sites so vulnerveis a ataques na
aplicao. 78% das vulnerabilidades so facilmente explorveis que tem a funo de
afetar aplicaes. As aplicaes Web so alvos de alto valor para hackers, pois
elas do acesso aos dados de clientes, nmeros de carto de crdito, roubo de
identidade, fraude. Trazendo isso para a nossa realidade no Brasil 13% das
empresas que sofreram ataques tiveram prejuzos que ultrapassam R$ 1 Milho.
Somando isso tudo um estudo realizado com 200 empresas brasileiras afirma que
67,5% sofreram algum tipo de ataque nos ltimos 12 meses (ISS), nos muitos casos as
Instituies financeiras nacionais tm sofrido at 100 ataques frustrados por dia.
Com esses resultados alarmantes realmente necessrio Pesquisar os
mecanismos e caractersticas comuns que realizam a autenticao na Web. Pois
conhecendo estes mecanismos podemos utilizar mtodos que sejam mais benficos
tanto usurios como empresas. Identificar as situaes possveis de ataque esta
sendo muito importante, pois os mtodos de autorizao em muitos casos esto se
mostrando vulnerveis e frgeis. Outro ponto importante analisar os riscos das
novas tecnologias para empresas e tambm os processos adotados pelas empresas.
Podemos concluir que o impacto da segurana da informao assim como a
criptografia para usurios e empresas enorme e diversos fatores demonstram que
est afirmao esta correta. Pois hoje com novas tecnologias surgindo necessrio
que usurios e empresas evoluam junto utilizando as mais recentes tcnicas de
proteo e segurana para que no tenham prejuzo e nem problema em um futuro
prximo.
REFERNCIAS
STALLINGS, Willian, Criptografia e segurana de redes. 4. ed. So Paulo:
Pearson Prentice Hall, 2008.
TERADA, Routo, Segurana de dados: criptografia em redes de computadores. 2.
ed. So Paulo: Bluchor, 2008.
SCRAMBRAY, Joel, Segurana contra hackers: aplicaes Web. So Paulo:
Futura, 2003.
BEAL, Adriana, Segurana da informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes. So Paulo: Atlas, 2005.
REZENDE, Pedro A.D, Criptografia e segurana da informao. Brasil:
CopyMarket.com, 1998.