O documento discute assinatura digital e certificado digital. Explica que a assinatura digital surgiu com a necessidade de substituir a assinatura convencional em documentos digitais e garante autenticidade e integridade ao documento através da criptografia. Também define certificado digital como um arquivo eletrônico que identifica seu titular e é emitido por uma Autoridade Certificadora.

1. Jorge Ávila

2. Assinatura Digital
 É extremamente importante garantir a autenticidade
de uma informação
 Desde muito tempo até os dias atuais a assinatura de
uma pessoa em um documento qualquer garante que
este documento é autêntico e ainda mais, garante que a
pessoa que o assinou está ciente do conteúdo e não
pode mais voltar atrás

3. Assinatura Digital
 Com o advento dos documentos digitais
 Surgiu a necessidade de se criar um mecanismo que
substituísse a assinatura convencional, surgindo assim
a assinatura digital.

4. Assinatura Digital
 Tem validade jurídica inquestionável e equivale a uma
assinatura de próprio punho.
 É uma tecnologia que utiliza a criptografia e vincula o
certificado digital ao documento eletrônico que está
sendo assinado.
 Assim, dá garantias de integridade e autenticidade.”
[Texto extraído de www.documentoeletronico.com.br].

5. Assinatura Digital
 Para acrescentar à assinatura digital a característica da
integridade, podemos lançar mão de uma técnica as
Funções de Hashing, que como vimos, trata-se da
aplicação de uma função matemática à mensagem
gerando um resultado de tamanho fixo chamado de
digest que é enviado junto com a mensagem ao
destinatário.

6. Assinatura Digital
 Este por sua vez, ao receber a mensagem e o digest,
aplica a mesma função matemática na mensagem
recebida e compara os digests: caso sejam iguais, a
mensagem está íntegra.
 Juntar a criptografia assimétrica às funções de hashing
é a melhor forma de assinar digitalmente um
documento.

7. Assinatura Digital
 Entretanto, criptografar todo um documento, que
pode chegar a ter dezenas de páginas, faz com que o
processo se torne lento a ponto de ser inviável em
algumas situações.
 Tendo este fato em vista, é considerado mais prudente
criptografar apenas o digest gerado pela mensagem.

8. Assinatura Digital
 Assim sendo, o processo se torna menos dispendioso e
continua garantindo:
 A autenticidade e o não-repúdio, já que o digest será
encriptado com a chave privada do emissor.
 A integridade, já que serão usadas funções de hashing
para a verificação.

9. Certificado Digital
 De acordo com a Receita Federal do Brasil “um
certificado digital é um arquivo eletrônico que
identifica quem é seu titular, pessoa física ou jurídica,
ou seja, é um Documento Eletrônico de Identidade.
 Quando são realizadas transações, de uma forma
presencial, muitas vezes é solicitada uma identificação,
por meio de um registro que comprove a identidade.
 Na internet, como as transações são feitas de forma
eletrônica o Certificado Digital surge como forma de
garantir a identidade das partes envolvidas”.

10. Certificado Digital
 Um certificado digital é um arquivo de
computador que contém a chave pública e a chave
privada de uma pessoa, uma empresa, um
computador, uma página na internet ou aplicação
de qualquer espécie.
 Este certificado só é válido se for assinado por uma
Autoridade Certificadora – AC.

11. Certificado Digital
 Os certificados digitais são muito usados em páginas
na internet.
 Quando um site possui um certificado digital válido,
ele está garantindo que é verdadeiro e de confiança.
 Alguns órgãos públicos como a Receita Federal do
Brasil já exigem dos profissionais da área contábil um
certificado digital para que possam efetuar o envio de
informações como declarações, retificações,
documentos, entre outros.

12. Certificado Digital

13. Certificado Digital
 Para facilitar seu uso, o certificado digital é inserido
em cartões criptográficos ou tokens em forma de
unidades de armazenamento com entrada USB.

14. Certificado Digital

15. Exercicio
1. Qual o motivo de ter se tornado necessário criar a
assinatura digital?
2. O que é um Assinatura Digital?
3. O que é um Certificado Digital?
4. O que é uma Autoridade Certificadora?
5. O quê a assinatura digital garante? (Marque mais de uma
opção se for o caso).
a) Confidencialidade. b) Integridade.
c) Disponibilidade. d) Autenticidade.
e) Não-repúdio.

16. ATAQUES
 Evitar um ataque a um serviço ou sistema é o trabalho
principal de um profissional da segurança das
informações.
 Infelizmente eles estão frequentemente presentes nas
redes de uma forma geral e se apresenta de diferentes
maneiras.
 É importante que conheçamos os principais tipos de
ataques para tentar combatê-los.

17. DoS – (Denial of Service)
 É o ataque de negação de serviço.
 Este ataque visa tornar indisponível algum serviço na
rede como uma aplicação, um site da Web, um servidor
de qualquer tipo.
 A indisponibilidade acontece porque o atacante
inunda a vítima de solicitações a ponto de o serviço
não conseguir responder a contento e sair da rede.
 Em um ataque de DoS, a vítima acarreta um prejuízo
ao ficar temporariamente fora do ar.

18. DoS – (Denial of Service)

19. DoS – (Denial of Service)
Vídeo Dos

20. Ping da Morte
 O comando ping faz parte do protocolo ICMP e é
utilizado para testar conexões de rede.
 Ao executar este comando, insere-se o endereço da
máquina que se quer testar.
 Daí são enviados quatro pequenos pacotes de 32 bytes
para o endereço informado
 Este processo é extremamente simples e, se bem
utilizado, não causa nenhum mal-estar na rede.

21. Ping da Morte

22. Ping da Morte
 O Ping da Morte trata-se de enviar várias vezes para a
vítima um ping com o tamanho máximo: 65500 bytes.
 Com uma rajada de pacotes maior que o tolerável, a
placa de rede não consegue responder a todas as
solicitações e é derrubada.
 O Ping da Morte também pode ser considerado um
tipo de ataque de DoS,

23. Ataque que abalou a Internet
 Nesta semana aconteceu o
maior ciberataque da
história. Uma briga entre a
Spamhaus, organização
anti-spam, e a hospedeira
de sites Cyberbunker, que
estava na lista negra do
grupo, quase derrubou a
internet em diversas
partes do mundo.
Fonte : www. http://olhardigital.uol.com.br

24. Ataque que abalou a Internet
 A ofensiva, considerada
seis vezes mais agressiva
que as direcionadas a
bancos, usou uma
estratégia já conhecida, a
de negação de serviço
distribuído (DDoS, na
sigla em inglês).
Fonte : www. http://olhardigital.uol.com.br

25. Ataque que abalou a Internet
 Normalmente, um ataque
DDoS de 50 Gb/s (gigabits
por segundo) é suficiente
para derrubar um site de
banco. Mas no episódio
desta semana a equipe da
Spamhaus sofreu
agressões de até 300 Gb/s
por cerca de sete dias.
Fonte : www. http://olhardigital.uol.com.br

26. Engenharia Social
 A engenharia social é uma antiga
técnica usada para conseguir
informações importantes de
pessoas descuidadas.
 O invasor normalmente engana a
vítima se disfarçando, ou
mantendo uma conversa
agradável e amistosa até ganhar a
confiança da mesma.

27. Engenharia Social
 Este tipo de ataque se caracteriza
por não usar nenhum aparato
tecnológico para conseguir uma
informação sigilosa
 A engenharia social busca
trabalhar o fator humano, tendo
em vista que os usuários das
informações são um risco em
potencial à segurança por serem
muito sujeito a falhas,
intencionais ou não.

28. Engenharia Social
 O invasor lança mão de
ferramentas que lhe permitam
se passar por outras pessoas
ou que lhe concedam a
confiança da vítima: uma
ligação telefônica, um e-mail,
uma visita à empresa fingindo
ser um cliente, ou um técnico
que irá fazer a manutenção de
uma determinada impressora
de rede e até mesmo revirar o
lixo.

29. Ataque man in the middle
 (Homem no meio, em referência ao atacante que
intercepta os dados) é uma forma de ataque em que os
dados trocados entre duas partes, por exemplo você e o
seu banco, são de alguma forma interceptados,
registados e possivelmente alterados pelo atacante sem
que as vitimas se apercebam.

30. Ataque man in the middle
 Durante o ataque man-in-the-middle, a comunicação é
interceptada pelo atacante e retransmitida por este de
uma forma discricionária. O atacante pode decidir
retransmitir entre os legítimos participantes os dados
inalterados, com alterações ou bloquear partes da
informação.

31. Ataque man in the middle
 Como os participantes legítimos da comunicação não
se apercebem que os dados estão a ser adulterados
tomam-nos como válidos, fornecendo informações e
executando instruções por ordem do atacante.

32. Spywares
 São programas espiões, isto é, sua função é coletar
informações sobre uma ou mais atividades realizadas
em um computador.
 É um programa que capta os nossos dados pessoais,
tais como hábitos de navegação, configurações atuais
dos nossos programas e outros, colecionando-os para
de seguida enviá-los pela internet a empresas de
publicidades e estudos de marketing, sem que para
isso esse mesmo programa não nos tenha avisado
explicitamente.

33. Spywares
 Muitas vezes, quando instalamos produtos gratuitos
ou shareware (produtos em versão de demonstração),
esses parasitas também invadem o computador.

34. Spywares
 Os chamados spyware podem ser de dois tipos: interno
e externo.
 O spyware integrado ou interno está incluído no código
fonte de um programa dando-lhe a possibilidade de
recolher e transmitir informações pela internet.
 É o caso do Gator, Savenow, Webhancer, TopText e
Alexa.

35. Spywares
 O spyware externo é uma aplicação autónoma que dialoga
com o programa que lhe está associado e a sua principal
função é recolher informação, mostrar publicidade, etc.
Este tipo de programa-espião é concebido normalmente
por empresas publicitárias (Cydoor, Web3000, Radiate...)
que têm acordos com editores desoftware .
 Por exemplo, o Cydoor é um spyware que se instala ao
mesmo tempo que o famoso KaZaA.

36. Cavalo de Tróia
 Também conhecido como Trojan, o cavalo de Tróia é
um arquivo que entra no computador camuflado em
aplicações aparentemente inofensivas.
 O arquivo aparentemente inofensivo apresenta-se de
forma destrutiva, causando danos e auxiliando na
captura de informações do sistema e dos usuários.

37. Keylogger
 Um keylogger é um programa que monitora, captura e
armazena todas as entradas feitas no teclado, em
outras palavras, ele guarda tudo o que é digitado em
um arquivo de texto.
 Keyloggers são utilizados por invasores para descobrir
senhas e conhecer o conteúdo de mensagens.
 Eles também são usados para capturar dados
inocentemente inseridos em sites falsos.

38. MECANISMOS DE PROTEÇÃO E
MONITORAMENTO
O que pode ser feito para minimizar as chances de uma
vítima sofrer um ataque?

39. MECANISMOS DE PROTEÇÃO E
MONITORAMENTO
 Para conseguir um ambiente seguro, é necessário
buscar executar três processos importantes:
 Prevenção;
 Detecção;
 Reação;

40. MECANISMOS DE PROTEÇÃO E
MONITORAMENTO
 Os profissionais e estudiosos da área da segurança das
informações estão constantemente criando métodos
que funcionem como soluções às ameaças que
encontramos hoje em dia.
 Dentre estas soluções, temos algumas que agem na
prevenção contra estes ataques, já que, como
sabemos: prevenir é mais barato, mais rápido e menos
trabalhoso que remediar.

41. MECANISMOS DE PROTEÇÃO E
MONITORAMENTO
 Temos também soluções de detecção, já que não é
possível bloquear 100% do tráfego de rede ou do acesso
a ela.
 O processo de reação

42. IPS e IDS
 IPS :
 é um Sistema de Prevenção de Intrusão.
 IDS:
 é um Sistema de Detecção de Intrusão e este conceito é
mais antigo que o IPS

43. IPS
 Ele tem a função de prevenir qualquer tipo de ataque.
 Como se pode prever, um IPS trabalha antes que o
problema aconteça, na tentativa de impedir a sucessão
de um ataque.
 Como forma de auxiliar o administrador de rede, um
IPS deve além de detectar o ataque, alertar sobre a
tentativa.
 Assim, o administrador poderá trabalhar no sentido
de evitar novas tentativas dirimindo possíveis brechas
e possíveis falhas de segurança que possam estar sendo
utilizadas por invasores.

44. IPS
 Uma solução de IPS pode estar em softwares ou
hardwares.
Cisco IPS 4270 Sensor

45. IDS
 Um IDS é importante para controlar o tráfego que não
é bloqueado por firewalls, por exemplo, e também o
tráfego que não passa por eles.
 Também encontrado na forma de software e na forma
de hardware, o IDS atua durante um ataque, alertando
o administrador da rede para que o mesmo tome as
providências cabíveis.

46. IDS
 Como vantagem, um IDS consegue armazenar em um
banco de dados os principais tipos de ataques e ao
ataques já sofridos, para que assim, ele possa
monitorar e perceber se uma ação na rede é
semelhante a de um ataque já conhecido.
 Como desvantagem, se o invasor utilizar um tipo de
ataque pela primeira vez, este não será detectado.

47. Firewall
 O Firewall é um conjunto de softwares e também
hardware que atua fazendo um isolamento da rede e
filtrando, ou seja, verificando todo pacote que
pretende entrar nela, assim ele pode permitir ou
bloquear a entrada do mesmo.
 Ao comunicarmos a rede de uma corporação com a
internet, estamos pondo-a em um ambiente de alto
risco, onde as conexões não são seguras.
 Ao ligarmos uma rede à internet, estamos ligando-a a
uma rede mundial, onde qualquer um pode tentar
penetrar e causar algum dano.

48. Firewall
 um firewall é uma poderosa
proteção que colocamos na
entrada da rede. Podemos ter
mais de um firewall na
mesma rede separando sub-
redes que não devem trocar
pacotes específicos, como por
exemplo, em uma empresa,
onde queiramos isolar o setor
contábil dos outros setores.