PROFESSOR: ANTONY

ALISON ANTONY RIBEIRO

E-mail: professorantony@hotmail.com

SEGURANA DA INFORMAO

Por que no estamos seguros?

Configuraes malfeitas
Softwares com falhas
Redes desprotegidas
Protees ineficazes
Falta de atualizaes
Fator humano

Vulnerabilidade

220 sites fora hackeados - jusbrasil

SEGURANA DA INFORMAO

ALGUNS PROTOCOLOS DE
SEGURANA.

SEGURANA DA INFORMAO

HTTP E HTTPS

Quando acessamos sites de banco ou lojas virtuais para realizar

transaes financeiras, recebemos inmeros avisos para
verificar o cadeado de segurana ou observar a sigla HTTPS na
barra de endereos do navegador. Agora vamos conhecer a
importncia do HTTPS na Internet e quais as principais
vantagens e desvantagens de usar o HTTPS, tanto para o
usurio quanto para o servidor do servio na Web.

SEGURANA DA INFORMAO

HTTP E HTTPS

O protocolo de transferncia de hipertexto (HTTP HyperText

Transfer Protocol) o protocolo padro para a Web. Atravs
dele, os navegadores requisitam as pginas da Web e as
recebem. Dessa forma, o HTTP define, entre outras
formalidades, como so requisitadas as pginas da Web, como
so enviados os dados que o usurio insere em formulrios e
como o servidor envia mensagens de erro para o navegador do
usurio. No entanto, como o HTTP um protocolo baseado em
texto, ou seja, toda a informao transmitida est em texto, os
dados do usurio e do servidor podem ser interceptados ou
alterados no meio do caminho.

SEGURANA DA INFORMAO

HTTP E HTTPS

Nesse contexto, um usurio na rede pode interceptar os seus

dados e l-los ou, pior, alterar a pgina que voc recebe ou a
informao que envia para o servidor. De fato, problemas mais
graves e imediatos podem acontecer com transaes
financeiras, como o caso de uma transferncia bancria. Se o
site do banco fosse com HTTP e um usurio mal-intencionado
desejasse alterar uma ordem de transferncia para depositar o
dinheiro na conta dele, esse usurio poderia fazer
tranquilamente, pois no h nenhum mecanismo de segurana
no protocolo HTTP.

SEGURANA DA INFORMAO

HTTP E HTTPS

Com o uso do HTTPS, que o HTTP seguro, adiciona-se

alguns princpios de segurana, como confidencialidade,
integridade e autenticao. Por confidencialidade, entende-se
que a mensagem s lida pelo destinatrio real da mensagem.
A integridade representa que a mensagem no foi alterada e o
princpio da autenticao prova que o servidor realmente
quem diz ser. Vamos ver portanto, os mecanismos utilizados
pelo HTTPS para atingir esses trs princpios bsicos.

SEGURANA DA INFORMAO

HTTP E HTTPS

A maioria das explicaes resume o HTTPS como um HTTP

com o SSL (Secure Sockets Layer) ou, seu sucessor, o TLS
(Transport Layer Security). TLS ou SSL so camadas de
segurana que fornecem confidencialidade e integridade. No
entanto, a autenticao dos sites da Web feita pelos
certificados e pela infraestrutura de chaves pblicas da Internet.
Vamos abordar as questes mais conceituais. A base do
TLS/SSL e dos certificados da Internet a criptografia.

SEGURANA DA INFORMAO

HTTP E HTTPS

Para a construo de um Website com HTTPS, o administrador

do site precisa criar um par de chaves, uma pblica e uma
privada. Assim, quando um usurio solicita uma conexo com
esse site, o servidor envia a sua chave pblica para o usurio.
De posse da chave pblica, o usurio pode se comunicar com o
servidor, garantindo que todas as mensagens enviadas para o
servidor somente sero lidas pelo servidor, pois apenas o
servidor possui a chave privada. Basta, para isso, que o
navegador do usurio encripte todas as requisies e decripte
as respostas recebidas com a chave pblica do servidor.

SEGURANA DA INFORMAO

HTTP E HTTPS

Dessa forma, garante-se a confidencialidade, pois o usurio tem

certeza que apenas o servidor vai receber suas mensagens e
que foi o servidor quem enviou aquela mensagem. De fato, o
procedimento na prtica mais complexo, pois utilizar o par de
chaves assimtricas para a troca de dados demanda muito
processamento. Ento, no incio da conexo, o servidor e o
usurio combinam uma chave simtrica nica e aleatria para a
conexo. Na prtica, a mesma segurana, pois s os dois
conhecem a chave simtrica.

SEGURANA DA INFORMAO

HTTP E HTTPS

Para garantir a integridade, o TLS/SSL adiciona a cada

mensagem, seja ela requisio ou resposta, um cdigo. Esse
cdigo denominado MAC (Message Authentication Code) e
busca permitir ao destinatrio detectar se a mensagem foi
alterada. Seu funcionamento simples. Calcula-se um resumo
(Hash) de cada mensagem e envia-se esse resumo junto com a
mensagem. Assim, quando o destinatrio receber a mensagem,
deve calcular o mesmo resumo e verificar se o resumo
calculado igual ao recebido. Se for igual, a mensagem no foi
alterada, mas se for diferente, o destinatrio deve descartar a
mensagem e pedir uma nova.

SEGURANA DA INFORMAO

HTTP E HTTPS

SEGURANA DA INFORMAO

HTTP E HTTPS

Assim, com o TLS/SSL adicionado ao HTTP, o HTTPS garante

tanto a confidencialidade quanto a integridade das requisies e
respostas do protocolo. No entanto, apenas com o TLS/SSL no
possvel garantir que o servidor realmente quem ele diz ser.
Isso ocorre, pois a chave pblica enviada para o navegador
pelo prprio servidor Web. Dessa forma, se o usurio malicioso
falar com o usurio como se fosse o servidor, o usurio envia os
dados para o usurio malicioso pensando que est conversando
com o servidor legtimo. Para evitar esse problema, na Internet,
criou-se uma infraestrutura de chaves pblicas.

SEGURANA DA INFORMAO

HTTP E HTTPS

O funcionamento simples, quando o servidor envia a chave

pblica para o usurio, ele tambm envia o certificado que
atesta a validade da chave pblica. Assim, o usurio consulta a
autoridade certificadora para verificar o certificado, que pode
inclusive ter sido revogado. Caso a autoridade certificadora
ateste a validade do certificado, o navegador confia na chave
pblica recebida e se comunica com o servidor tendo a certeza
de que o servidor legtimo.

SEGURANA DA INFORMAO

HTTP E HTTPS

SEGURANA DA INFORMAO

HTTP E HTTPS

Para o usurio, o site com HTTPS oferece a vantagem da

segurana. No entanto, podemos nos perguntar por que todos
os sites no utilizam HTTPS. A resposta custo e desempenho.
Primeiramente, a validao do certificado pela autoridade
certificadora cobrada, custando, em algumas modalidades,
mais de R$ 3.000,00 (trs mil reais) por ano. Nem todos os
servios na Web desejam ou podem pagar quantias como
essas.

SEGURANA DA INFORMAO

HTTP E HTTPS

Alm disso, utilizar HTTPS nos servios web reduz

drasticamente o desempenho da comunicao. Por esses
motivos, os sites evitam utilizar o HTTPS, reservando-o apenas
para as transaes mais sensveis, como as financeiras. No
entanto, no esquea de observar o uso correto do HTTPS
tambm em redes sociais, servios de e-mail, discos virtuais e
outras aplicaes que exijam senhas ou o envio de dados
pessoais. Essas informaes tambm so sensveis e requerem
cuidado ao serem enviadas na Internet.