Professional Documents
Culture Documents
$XWDUTXLDDVVRFLDGDj8QLYHUVLGDGHGH6mR3DXOR
6(*85$1d$12(19,2(5(&(%,0(172'(0(16$*(16
$75$9e6'2&255(,2(/(75Ð1,&2
6LOYLR%XOODUD
9LWRU+XJR-DFRE
623$8/2
,167,7872'(3(648,6$6(1(5*e7,&$6(18&/($5(6
$XWDUTXLDDVVRFLDGDj8QLYHUVLGDGHGH6mR3DXOR
6(*85$1d$12(19,2(5(&(%,0(172'(0(16$*(16
$75$9e6'2&255(,2(/(75Ð1,&2
6LOYLR%XOODUD
9LWRU+XJR-DFRE
623$8/2
Examinador______________________________________
Examinador______________________________________
Examinador______________________________________
'(',&$7Ï5,$
Ao coordenador, professor e
Mestre Joca nossos protestos da
mais alta estima e consideração
pelo seu esforço e dedicação ao
longo do curso, às nossas
esposas e filhos e que durante
todo este tempo estiveram ao
nosso lado nos compreendendo
e apoiando.
A menor distância entre dois pontos
nem sempre é uma linha reta.
Albert Einstein
6(*85$1d$12(19,2(5(&(%,0(172'(0(16$*(16$75$9e6'2
&255(,2(/(75Ð1,&2
6LOYLR%XOODUD
9LWRU+XJR-DFRE
5(6802
O homem levou milhares de anos para criar e desenvolver seu aparelho
fonador e assim emitir sons inteligíveis. Levou também milhares de anos para
desenvolver a escrita e mais algumas centenas de anos para criar os meios
eletrônicos de comunicação. No final do século XX, criou a Internet que veio por
agregar mais um modo de comunicação, o correio eletrônico, que hoje é um dos
principais meios de comunicação entre pessoas. A comunicação é uma
necessidade humana e dentro desta necessidade, encontramos questões latentes
como confidencialidade, integridade, disponibilidade, autenticidade, legalidade e
métodos de não repúdio das mensagens enviadas e recebidas através do correio
eletrônico. É nesse contexto que este trabalho tem por objetivo focalizar, a
comunicação segura entre pessoas através do correio eletrônico, analisando
todas as questões latentes acima citadas.
6(*85$1d$12(19,2(5(&(%,0(172'(0(16$*(16$75$9e6'2
&255(,2(/(75Ð1,&2
6LOYLR%XOODUD
9LWRU+XJR-DFRE
$%675$&7
Man took over thousands years to create and to develop his phonetics
abilities with the purpose of emitting intelligible sounds. He also took thousands of
years to develop written system and some hundred of years to create the
electronic means of communication. At the twentieth century the Internet was
created wich added another method of communication among people.
Communication is a human needs in that brings unanswered questions such as
confidentiality, integrity, availability, authentication methods and a nonrepudiation
policies from sent and received e-mail messages. Inserted in this contex, this
paper focus on the safety communication among people through e-mail, analyzing
all the implied questions above.
680È5,2
1 Projeto de Pesquisa ..........................................................................................................12
1.1 Motivação ......................................................................................................................12
1.2 Direcionamento do trabalho ..........................................................................................12
1.3 Objetivo .........................................................................................................................12
1.4 Metodologia...................................................................................................................13
2 O processo de comunicação. ............................................................................................14
3 O correio eletrônico no processo de comunicação. ..........................................................17
4 O funcionamento do correio eletrônico .............................................................................18
4.1 Protocolo SMTP - Simple Mail Transfer Protocol .........................................................20
4.2 Protocolo POP - Post Office Protocol ...........................................................................22
4.3 Protocolo IMAP - Internet Message Access Protocol ...................................................22
4.4 Protocolo HTTP - Hyper Text Transfer Protocol ...........................................................23
5 Os pilares da segurança no envio e recebimento de mensagens eletrônicas..................24
5.1 Confidencialidade..........................................................................................................24
5.2 Integridade ....................................................................................................................24
5.3 Disponibilidade ..............................................................................................................25
5.4 Autenticidade.................................................................................................................25
5.5 Legalidade.....................................................................................................................25
5.6 Não repúdio...................................................................................................................25
6 Insegurança no correio eletrônico .....................................................................................26
7 Uso de tecnologias para envio de mensagens eletrônicas com segurança .....................28
7.1 Criptografia....................................................................................................................28
7.1.1 História da criptografia..........................................................................................30
7.2 Algorítmo DES...............................................................................................................32
7.3 Sistemas de criptografia de Chave Privada..................................................................35
7.4 Sistemas de criptografia de Chave Pública ..................................................................35
7.5 Certificado Digital ..........................................................................................................36
7.5.1 Emissão do certificadio digital ..............................................................................36
7.5.2 Funcionamento de um certificado digital..............................................................37
7.5.3 Obtenção do certificado digital .............................................................................38
7.6 Assinatura Digital ..........................................................................................................39
8 Segurança no correio eletrônico - implementação............................................................40
8.1 IMAPS / POP3S / SMTPS / HTTPS..............................................................................41
8.2 SSL................................................................................................................................42
8.2.1 O protocolo Handshake........................................................................................44
8.2.2 Protocolo SPEC “SSL Change Cypher” ...............................................................45
8.2.3 Protocolo de alerta SSL........................................................................................45
8.2.4 Protocolo de armazenamento de camada SSL....................................................45
8.2.5 Vantagens do uso do SSL....................................................................................47
8.2.6 Desvantagens do uso do SSL..............................................................................48
8.2.7 Análise de segurança do SSL ..............................................................................48
8.3 Autenticação no SMPT .................................................................................................49
8.4 Verificação do “relay” aberto .........................................................................................49
8.4.1 Problemas com “relays” abertos ..........................................................................50
8.4.2 ORDB – Open Relay Data Base ..........................................................................50
8.5 Ferramentas que agregam segurança..........................................................................51
8.5.1 PGP - Pretty Good Privacy...................................................................................51
8.5.2 O Protocolo S/MIME.............................................................................................66
8.5.3 Gnu-PG.................................................................................................................68
8.5.4 PEM - Privacy Enhanced Mail ..............................................................................70
8.6 Comparativo entre as ferramentas................................................................................72
9 Outras ameaças ................................................................................................................73
9.1 Tipos de ameaças .........................................................................................................73
9.1.1 “spyware”, “adware”, “hijackers”, “cookies” e “tracking cookies”..........................73
9.1.2 “Keylogger” e “Imagelogger”.................................................................................77
9.1.3 Vírus, “worms” e cavalos de Tróia........................................................................79
9.1.4 “Spam” ..................................................................................................................81
9.1.5 “Tempest” .............................................................................................................84
9.1.6 “Snooping” ............................................................................................................88
9.1.7 “Wipe” ...................................................................................................................89
9.1.8 “Lay-out” ...............................................................................................................90
9.1.9 Ataques de força bruta .........................................................................................91
9.1.10 Engenharia social .................................................................................................91
9.1.11 Descarte e armazenamento de mídias ................................................................93
9.1.12 Falhas humanas ...................................................................................................93
9.2 O que cada ameaça pode comprometer ......................................................................96
9.3 Como se proteger das ameaças ...................................................................................97
10 Conclusão .....................................................................................................................98
11 Glossário .......................................................................................................................99
12 Bibliografia...................................................................................................................101
12.1 Livros ...........................................................................................................................101
12.2 Sites Internet ...............................................................................................................102
12.3 Revista e periódicos ....................................................................................................106
12.4 Manuais.......................................................................................................................106
12.5 Trabalhos acadêmicos ................................................................................................107
12.6 RFC´s ..........................................................................................................................107
12.7 Normas........................................................................................................................108
/,67$'(),*85$6
3URMHWRGH3HVTXLVD
0RWLYDomR
'LUHFLRQDPHQWRGRWUDEDOKR
2EMHWLYR
0HWRGRORJLD
2SURFHVVRGHFRPXQLFDomR
Para plena compreensão deste trabalho faz-se necessário o
entendimento do processo de comunicação.
)LJXUD2PRGHORGHFRPXQLFDomRSURSRVWRSRU6KDQQRQH:HDYHU
IRQWHDXWRUHV
)LJXUD2PRGHORGHFRPXQLFDomRSURSRVWRSRU%HUOR
IRQWHDXWRUHV
)LJXUD2PRGHORVLPSOLILFDGRGRSURFHVVRGHFRPXQLFDomR
IRQWHDXWRUHV
2FRUUHLRHOHWU{QLFRQRSURFHVVRGHFRPXQLFDomR
Como vimos anteriormente, é através do processo de comunicação que
se juntam todos os alicerces necessários para uma continuidade de descobertas
sem precedentes, e entre elas, a invenção da Internet, que nos leva novamente a
um ciclo de novas necessidades, onde o próprio entendimento desse processo de
comunicação em um nível mais amplo fez nascer o correio eletrônico, designado
também por e-mail, abreviatura do inglês “HOHWURQLFPDLO´.
)LJXUD2WUiIHJRGDPHQVDJHPHOHWU{QLFDHQWUHRHPLVVRUHRUHFHSWRU
IRQWHDXWRUHV
2IXQFLRQDPHQWRGRFRUUHLRHOHWU{QLFR
Para entender o funcionamento do serviço de correio eletrônico é
imprecindível entender como funciona a troca de mensagens, seja na Internet,
seja em uma rede local. Para uma simples troca de mensagens entre dois
usuários pode ser necessária a utilização de vários protocolos e de várias
aplicações. A seguir será elucidado como isso ocorre.
Outro protocolo que pode ser utilizado para este mesmo fim é o IMAP
(Internet Message Access Protocol), que incorpora, além das funcionalidades
fornecidas pelo POP, inúmeros outros recursos. O POP e o IMAP são protocolos
para recebimentos de mensagens, ao contrário do protocolo SMTP, que serve
exclusivamente para enviar mensagens, logo, possuem funcionalidades
diferenciadas, como por exemplo, autenticação do usuário.
)LJXUD)XQFLRQDPHQWRGRFRUUHLRHOHWU{QLFR
)RQWHDXWRUHV
3URWRFROR60736LPSOH0DLO7UDQVIHU3URWRFRO
que o sistema de correio eletrônico emita um aviso para o usuário que, quando
achar conveniente, ativa o módulo de interface com o usuário para receber as
mensagens eletrônicas.
3URWRFROR3233RVW2IILFH3URWRFRO
3URWRFROR,0$3,QWHUQHW0HVVDJH$FFHVV3URWRFRO
O IMAP [S03, S04] está definido pela RFC 3501 [C03] e é também um
protocolo para acesso remoto a caixas de correio eletrônico. Ao contrário do POP,
o funcionamento do protocolo IMAP é “RQOLQH”.
3URWRFROR+773+\SHU7H[W7UDQVIHU3URWRFRO
2VSLODUHVGDVHJXUDQoDQRHQYLRHUHFHELPHQWRGH
PHQVDJHQVHOHWU{QLFDV
&RQILGHQFLDOLGDGH
A confidencialidade tem por objetivo garantir que o acesso à informação
seja obtido somente pela pessoa autorizada, ou seja, somente os verdadeiros
destinatários da mensagem, assim como os emissores devem conhecer seu
conteúdo.
,QWHJULGDGH
A integridade tem por objetivo a salvaguarda da exatidão e completeza
da informação e dos métodos de processamento. A Integridade não se prende ao
conteúdo, que pode estar errado, mas a variações e alterações entre o processo
de geração e resgate.
'LVSRQLELOLGDGH
Garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes sempre que necessário.
$XWHQWLFLGDGH
É a veracidade da identidade das pessoas envolvidas no processo de
envio e recebimento de mensagens. É a garantia de que a mensagem recebida
realmente foi enviada pela pessoa que se diz ser. É a assinatura das mensagens
em meio eletrônico.
/HJDOLGDGH
É a aderência jurídica das operações que se utilizam das tecnologias de
informática e telecomunicação. No correio eletrônico são as normas de
segurança, políticas de utilização do correio eletrônico e regras e sanções de
utilização dos ativos da empresa.
1mRUHS~GLR
Processo que impede os emissores ou receptores negarem a emissão
ou recepção da mensagem, respectivamente. É a garantia de que a mensagem
realmente foi enviada ou recebida pelos envolvidos
,QVHJXUDQoDQRFRUUHLRHOHWU{QLFR
Os protocolos SMTP, POP, IMAP e HTTP descritos anteriormente
foram desenvolvidos há muito tempo, onde o aspecto segurança ainda não era
uma grande preocupação, além do correio eletrônico, anos atrás, não era tão
popular como é hoje. A grande maioria destas mensagens eletrônicas é
transmitida em texto puro, e sendo assim, pode ter seu conteúdo facilmente
obtido por alguma pessoa mal intencionada que esteja à espreita na rede Internet,
quebrando os pilares da segurança da informação mencionados no capítulo
anterior, ou seja, perda ou desvio da informação, ocorrendo pela quebra da
confidencialidade e, por conseguinte a invasão da privacidade.
)LJXUD,QVHJXUDQoDQRFRUUHLRHOHWU{QLFR
)RQWHDXWRUHV
8VRGHWHFQRORJLDVSDUDHQYLRGHPHQVDJHQV
HOHWU{QLFDVFRPVHJXUDQoD
Antes de dissertar a respeito de como agregar segurança para o envio
e recebimento de mensagens eletrônicas faz-se necessário o entendimento de
alguns conceitos como criptografia, certificado digital e assinatura digital, que
serão descritos a seguir.
&ULSWRJUDILD
A escrita cifrada [L04, L05, L06, S06, S07, S08] é uma ferramenta muito
antiga. Logo após o homem inventar o alfabeto e começar a escrever, surgiu a
necessidade de escrever textos secretos.
+LVWyULDGDFULSWRJUDILD
$OJRUtWPR'(6
O algoritmo DES (Data Encryption Standard) [L04, S06, S07, S10] é o
algoritmo de encriptação mais usado no mundo. Durante muitos anos, e para
muitas pessoas, "fazer código secreto" e DES foram sinônimos. Apesar do
recente grande feito da Electronic Frontier Foundation, criando uma máquina de
US$ 220.000 para quebrar mensagens encriptadas com DES, este algoritmo vai
continuar vivo em governos e bancos pelos próximos anos através de uma outra
versão chamada "triple-DES".
Em binário:
110001100101001111000101011111101001011001111001011010111
11011101110100110000110000111101010101011000110101000101011110000
00101011110011111011000011111110011010011001010011101111010100100
00100
Em hexadecimal
C6 53 C5 7E 96 79 6B EE E9 86 1E AA C6 A2 BC 0A F3 EC 3F 9A 65
3B D4 84
6LVWHPDVGHFULSWRJUDILDGH&KDYH3ULYDGD
Sistemas de criptografia de chave privada [L04, L05, S05, S07, S08],
como mostra a figura 7, utilizam a mesma chave criptográfica tanto para
criptografar como para a decriptografar. Este tipo de criptografia é chamado de
criptografia simétrica.
)LJXUD&ULSWRJUDILDGHFKDYHSULYDGD
)RQWHDXWRUHV
6LVWHPDVGHFULSWRJUDILDGH&KDYH3~EOLFD
Um sistema de criptografia com chave pública [L04, L05, S05, S07,
S08], como mostra a figura 8, por outro lado, utiliza-se de métodos matemáticos
para gerar duas chaves relacionadas, uma pública e outra privada. Neste
sistema, uma mensagem criptografada com uma chave pode ser
descriptografada unicamente com a chave correspondente. Tal sistema é
chamado de assimétrico.
)LJXUD&ULSWRJUDILDGHFKDYHS~EOLFD
)RQWHDXWRUHV
&HUWLILFDGR'LJLWDO
(PLVVmRGRFHUWLILFDGLRGLJLWDO
)XQFLRQDPHQWRGHXPFHUWLILFDGRGLJLWDO
2EWHQomRGRFHUWLILFDGRGLJLWDO
7DEHOD±$TXLVLomRGHFHUWLILFDGRVGLJLWDLV
)RQWHZZZVHUDVDFRPEU
$VVLQDWXUD'LJLWDO
6HJXUDQoDQRFRUUHLRHOHWU{QLFRLPSOHPHQWDomR
)LJXUD1HFHVVLGDGHGHPDLVVHJXUDQoD
)RQWHDXWRUHV
,0$36323660736+7736
66/
O SSL, que está descrito na RFC 2595 [C04], foi desenvolvido pela
Netscape Communications em sua versão inicial em julho de 1994. Em abril de
1995, com o apoio das empresas Verisign e Sun foi lançada a referência para
implementação da versão 2 sendo distribuído junto aos navegadores internet
Netscape e Internet Explorer e aos servidores “ZHE” mais comuns como o
Apache, NCSA httpd, IIS, Netscape Server entre outros, transformando-se em um
padrão em comércio eletrônico, tendo a sua especificação submetida ao grupo de
trabalho W3C (Word Wibe Web Consortium) cuja especificação está disponível
em documento do IETF (The Internet Engineering Task Force), com o nome de
TLS (Transaction Layer Security) descrito na RFC 2246 [C08].
7DEHOD3LOKDGH&DPDGDVGR7&3,3FRP66/
IRQWHDXWRUHV
2SURWRFROR+DQGVKDNH
3URWRFROR63(&³66/&KDQJH&\SKHU´
3URWRFRORGHDOHUWD66/
3URWRFRORGHDUPD]HQDPHQWRGHFDPDGD66/
9DQWDJHQVGRXVRGR66/
'HVYDQWDJHQVGRXVRGR66/
$QiOLVHGHVHJXUDQoDGR66/
$XWHQWLFDomRQR6037
9HULILFDomRGR³UHOD\´DEHUWR
3UREOHPDVFRP³UHOD\V´DEHUWRV
25'%±2SHQ5HOD\'DWD%DVH
)HUUDPHQWDVTXHDJUHJDPVHJXUDQoD
A seguir, são relacionandas ferramentas que agregam segurança ao
envio e recebimento de mensagens através do correio eletrônico.
3*33UHWW\*RRG3ULYDF\
&DSDFLGDGHVGR3*3
&KDYHV3~EOLFD3ULYDGDHGH6HVVmR
&KDYH3~EOLFD
&KDYH3ULYDGD
&KDYHVGHVHVVmR
$GPLQLVWUDomRGDVFKDYHV3*3
Por exemplo, Alice entrega sua chave pública nas mãos de Bob,
garantindo assim a sua autenticidade. Sendo Bob amigo de Alice, ele assina a
chave pública de Alice. Ele então devolve a chave assinada por ela à Alice e
guarda uma cópia da mesma com ele. Quando Alice deseja se comunicar com
sua amiga Carol, Alice envia a Carol uma cópia de sua chave pública,
relembrando que esta chave enviada foi aquela assinada ou certificada por Bob.
Carol que já possui a chave pública de Bob, a quem muito confia por ser seu
amigo a anos. Quando Carol verifica que a chave de Alice está assinada por Bob,
Carol então assume que a chave de Alice é válida pelo fato de confiar em
qualquer certificação de chaves feitas pelo Bob, seu amigo. Bob então apresentou
Alice para Carol.
Vale ressaltar, que o PGP não assume o papel de uma política para
estabelecer confiança entre os usuários; estes são livres para decidir em quem
eles confiam e em quem eles não confiam, ou em quais chaves eles confiam ou
em quais chaves eles não confiam. Neste sentido, o PGP apenas possui
mecanismos para associar confiança com chaves públicas. Desta maneira, cada
usuário mantém uma coleção de chaves assinadas e confiáveis em um arquivo
chamado “SXEOLFNH\ ULQJ”, como sendo um “chaveiro”. Cada chave deste
“chaveiro” possui um campo de legitimidade que indica o grau que um particular
usuário confia na validade desta chave. Quanto mais alto for o grau indicado por
este campo, maior é a confiança deste usuário em relação a legitimidade da
respectiva chave. Um outro indicador diz respeito a confiabilidade de assinaturas,
o qual indica quão confiável é um usuário para certificar chaves públicas de outros
usuários. E finalmente, existe um indicador que mede quanto um usuário confia
em sua própria chave para assinar ou certificar chaves públicas de outros
usuários. Este indicador é setado manualmente pelo usuário.
)LJXUD5HODo}HVGHFRQILDQoDQR3*3
IRQWHDXWRUHVDSDUWLUGRPDQXDOGR3*3>0@
Alice assinou a chave pública de Bob, Carol, Dave, Ellen e Frank. Ela
confia em Bob e Carol para assinar outras chaves públicas. Alice confia
parcialmente em Dave e Ellen para assinar chaves públicas de outros usuários. E
ela confia em Gail para assinar outras chaves públicas, mesmo não sendo ela
quem assinou a chave de Gail.
Pelo fato de que Alice acredita que uma chave qualquer é válida, ela
necessariamente não precisa confiar nesta chave para assinar a chave pública de
outros usuários. Alice não confia em Frank para assinar a chave pública de outras
pessoas, mesmo que ela tenha assinado a chave de Frank. Ela não confia na
Evidente que nada impede Alice de usar chaves nas quais ela não
confia. O trabalho do PGP é alertar a Alice que determinada chave não é
confiável e não impedir a comunicação entre os usuários.
&RPRXVDUR3*3QR:LQGRZV
)LJXUD&RQILUPDomRQDLQVWDODomRGR3*3TXHYRFrpXPQRYRXVXiULR
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
A seguir, selecione o diretório de instalação e pressione o botão “Next”
para continuar e selecione os componentes adicionais necessários para a
instalação e pressione novamente o botão “Next” conforme figura 12.
)LJXUD6HOHFLRQDQGRFRPSRQHQWVQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD1DYHUVmRJUDWXLWDGR3*3SUHVVLRQHRERWmR³/DWHU´
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUDLGHQWLILFDQGRVHQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
Agora você já pode criar seu “SDVVSKUDVH” para a sua “NH\”, digitando
exatamente a mesma “SDVVSKUDVH” nos dois campos indicados conforme mostra
a figura 15 e clique no botão “Next” para continuar.
)LJXUD&ULDQGRVXD³SDVVSKUDVH´QR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
Como ilustra a figura 16, sua chave será gerada. Novamente pressione
o botão “Next” para continuar.
)LJXUD)LQDOL]DQGRDLQVWDODomRGR3*3
IRQWHDXWRUHVFDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD23*3HQFRQWUDVHLQVWDODGRHPVHXFRPSXWDGRU
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
Existem diversas formas de se obter a chave pública de alguém, uma
delas consiste em fazer um “GRZQORDG” via FTP baixando um arquivo ASCII que a
contenha.
)LJXUD3URFXUDQGRFKDYHVS~EOLFDVQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD(IHWXDQGRXPDDVVLQDWXUDQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
Conforme ilustra a figura 20, preencha o seu “SDVVSKUDVH” no campo
apropriado e pressione o botão “OK”.
)LJXUD$XWHQWLFDQGRVHQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD8WLOL]DQGRRSURJUDPD3*30DLO
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD(VFROKHQGRDRSomRGHFULSWRJUDILDQR3*3
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
Após clicar na opção indicada, selecione o arquivo a ser assinado
digitalmente e criptografado.
)LJXUD(VFROKHQGRDFKDYHS~EOLFDGRGHVWLQDWiULR
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD$XWHQWLFDQGRSDUDFULDURDUTXLYRFULSWRJUDIDGR
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD5HFHEHQGRXPDUTXLYRFULSWRJUDIDGR
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
)LJXUD6HOHFLQDQGRRDUTXLYRUHFHELGR
IRQWHDXWRUHV±FDSWXUDGDGRSURJUDPDGHLQVWDODomR
23URWRFROR60,0(
O protocolo S/MIME (Secure Multi-Purpose Internet Mail Extensions),
foi criado em 1995 pela RSA Inc. em conjunto com um grupo de vendedores de
“VRIWZDUH”. O padrão S/MIME é usado para envios de mensagens eletrônicas com
segurança.
*QX3*
O GnuPG fornece:
– Cobertura completa para PGP;
– Não usa nenhum tipo de algoritimo patenteado;
– Pode ser usado como filtro de programas;
– Completa implementação do OpenPGP conforme a RFC 2440 [C10];
– Verifica e desencripta mensagens do PGP 5, 6 and 7;
– Suporte aos algoritimos ElGamal, DSA, RSA, AES, 3DES, Blowfish,
Twofish, CAST5, MD5, SHA-1, RIPE-MD-160 and TIGER;
– Fácil implementação de novos algoritimos usando os módulos de
extensão;
– A identidade do usuário é forçada a estar no formato padrão;
– Suporte à data de expiração da chave criptográfica;
– Suporte aos idiomas Alemão, Dinamarquês, Espanhol, Esperanto,
Estoniano, Francês, Holandês, Inglês, Italiano, Japonês, Polonês,
Português (Brasil), Português (Portugal), Russo, Sueco e Turco;
– Possuí sistema de auxílio online;
– Opcional sistema de recebimento anônimo de mensagens;
– Suporte integrado para chaves de servidores do tipo HKP.
– AIX v4.3;
– BSDI v4.0.1 com i386;
– HPUX versão 9.x, versão 10.x e versão 11.0 com HPPA CPU;
– IRIX v6.3 com MIPS R10000 CPU;
– MP-RAS;
– OSF1 versão 4.0 com Alpha CPU;
– OS/2 versão 2;
– SCO UnixWare/7.1.0;
– SunOS, Solaris em Sparc e x86;
– USL Unixware versão 1.1.2
3(03ULYDF\(QKDQFHG0DLO
&RPSDUDWLYRHQWUHDVIHUUDPHQWDV
7DEHOD±&RPSDUDWLYRHQWUHSULQFLSDLVIHUUDPHQWDVGLVSRQtYHLV
IRQWHDXWRUHV
Ferramenta
3*3 60,0( *QX3* 3(0
Características
2XWUDVDPHDoDV
7LSRVGHDPHDoDV
³VS\ZDUH´³DGZDUH´³KLMDFNHUV´³FRRNLHV´H³WUDFNLQJFRRNLHV´
³.H\ORJJHU´H³,PDJHORJJHU´
9tUXV³ZRUPV´HFDYDORVGH7UyLD
Os “ZRUPV” são muito similares aos vírus porque também fazem cópias
de si mesmos, porém se diferem do vírus em virtude de não precisar se hospedar
em arquivos já existentes no disco rígido da vítima. Quando um worm é
executado, ele procura outros sistemas para infectar e transfere seu código a
esses novos sistemas.
³6SDP´
rede possuir uma política de uso aceitável, a pessoa que enviou o “VSDP” pode
receber as penalidades que nela estão previstas.
³7HPSHVW´
Indo um pouco mais adiante, acredite que num futuro próximo, que
todas as operações de um microprocessador poderão ser “escutadas” e
reproduzidas em outro local. Isso também será “WHPSHVW”.
Mas será que o “WHPSHVW” realmente existe e pode ser uma verdadeira
ameaça sobre nós? Uma boa prova da existência do “WHPSHVW” é o trabalho do
alemão Erik Thiele [S43] que baseando na idéia do finlandês Pekka Riikonen
[S44] desenvolveu um programa chamado “Tempest for Elisa” que quando
executado, deixa o monitor de vídeo (emissor) com a imagem toda embaralhada,
sendo que, qualquer pessoa munida com um simples aparelho de rádio AM
(receptor), mesmo em outro ambiente, consegue ouvir a escala de notas musicais
da musica “Por Elisa”, uma das mais famosas obras de Ludwig Van Beethoven.
Uma solução, muito eficiente, mas com pouca prática e com altos
custos, é a blindagem de salas onde se localizam os equipamentos eletrônicos
que se deseja proteger, em nosso caso a sala onde se encontra o monitor de
vídeo que envia e recebe mensagens eletrônicas.
³6QRRSLQJ´
³:LSH´
³/D\RXW´
$WDTXHVGHIRUoDEUXWD
(QJHQKDULDVRFLDO
Assim, verificamos que a engenharia social tem como alvo central o ser
humano e por isso é considerada uma das maiores ameaças à segurança da
informação.
'HVFDUWHHDUPD]HQDPHQWRGHPtGLDV
)DOKDVKXPDQDV
– Não toque no anexo, não o abra, e nem não grave em seu disco. Caso
seu programa de correio eletrônico já tiver gravado o anexo no disco,
procure remove-lo. Tenha cuidado para não abri-lo ao selecioná-lo para
ser removido;
– Em se tratando de uma pessoa conhecida, contacte-a e verifique se o
anexo foi enviado com um fim específico (às vezes mesmo uma pessoa
conhecida pode ter tido sua máquina contaminada por um vírus que se
multiplica propagando-se para endereços encontrados na máquina
daquele usuário);
– Em se tratando de uma pessoa conhecida, pergunte o que o arquivo
contém, especificamente;
– Se estiver inseguro a respeito, contate a pessoa a quem usualmente
recorre quando há problemas com seu computador. Estando em sua
empresa, contate seu administrador de rede. Se estiver em casa e
contate seu provedor Internet. Nunca envie uma cópia do anexo,
descreva-o e então espere até que peça a cópia do anexo suspeito;
– Como uma das últimas alternativas, envie uma mensagem em inglês
para Virus@SecurityAdvice.com descrevendo a mensagem que
recebeu. A mensagem será investigada e você receberá uma resposta
de SecurityAdvice.com com a informação que a organização conseguir;
– Se você recebeu uma mensagem alertando sobre o perigo de receber
mensagens com determinado assunto, e pedindo que replique esta
mensagem para tantas pessoas quantas puder, antes de poluir a
Internet com mensagens de alarme desnecessárias, muitas vezes
falsos, consulte a lista hoaxes [S52];
– A Internet está constantemente sendo inundada com mensagens de
alarme sobre vírus que são falsas. O dano pretendido pelo autor é o
causado pela difusão da própria mensagem com o falso alarme em si.
Obviamente alguns alarmes são verídicos e referem-se a vírus e
cavalos de Tróia por isso é recomendado que seja feita uma consulta a
fontes seguras de informações sobre este tipo de problema, tal como o
Se você está enviando uma mensagem com anexo para alguém e inclui
a si próprio como destinatário, faça o seguinte:
O problema não termina por ai. Você precisa agir em relação a este tipo
de coisas como você age quando fecha as portas de sua casa à noite ou como
age quando anda de bicicleta numa rua movimentada. Há modos seguros e
modos inseguros de fazê-lo.
2TXHFDGDDPHDoDSRGHFRPSURPHWHU
7DEHOD±$VDPHDoDVHRVSLODUHVGDVHJXUDQoDGDLQIRUPDomR
IRQWHDXWRUHV
Confidencialidade
Disponibilidade
Pilares da segurança
Autenticidade
Indetgridade
Não repúdio
Legalidade
Ameaças
Spyware - - x - - -
Adware - - x - - -
hijackers - - - - - -
Cookies x programas de correio eletrônico - - - - - -
Cookies x webmail x x x x x x
Tracking Cookies x - - - - -
Keylogger software x x x x x x
Keylogger hardware x x x x x x
ImageLogger x x x x x x
Vírus x x x x x x
Worms x x x x x x
Cavalos de Tróia x x x x x x
SPAM - - x - - -
Tempest x x x x x x
Snooping x x x x x x
Wipe x x x x x x
Lay-out x x x x x x
Força Bruta x x x x x x
Engenharia Social x x x x x x
Descarte e armazenamento de mídia x x x x x x
Falhas humanas x x x x x x
&RPRVHSURWHJHUGDVDPHDoDV
7DEHOD&RQWUDPHGLGDVSDUDHOHYDURQtYHOGHVHJXUDQoD
IRQWHDXWRUHV
Consultoria especializada
Não aceite de cookies
Ferramentas
Anti-Spiware/Adware
Limpeza de cookies
Cuidados especiais
Estudo de Lay-out
Verificação visual
Personal Firewall
Filtros anti-spam
Anti-keyLogger
Ameaças
Anti-vírus
Spyware x x x x - - - - - - - - -
Adware x x x x - - - - - - - - x-
Cookies x webmail - x- x - - - - - - - - - x-
Tracking Cookies - - - x - - - - - - - - x-
Keylogger software x - - x x x - - - -- - - x-
Keylogger hardware x- - - x x - x - - - - x x-
ImageLogger x- - - x x x - - - - - - X-
Vírus x - - x x x - - - - - - X-
Worms x- - - x- x- x - - - - - - X-
Cavalos de Tróia x - - x x x - - - - - - --
SPAM -- - - - - - - - - x x - -
Tempest - - - - - - - - - - - x -
Snooping - - - - x x- - - - - - - x
Wipe - - - - - - -- - x - - - x-
Lay-out - - - - - - - x - - - - xx
Força Bruta - - - x - - -- - x - - - -
Engenharia Social - - - X- - - - - - - - - xx
Descarte e armazenamento de mídia - - - - - - -- - - - - - x
Falhas humanas - - - - - - -- - - - - - x
- -
&RQFOXVmR
*ORVViULR
$OJRULWPR - Conjunto das regras e procedimentos lógicos perfeitamente definidos
que levam à solução de um problema em um número finito de etapas.
$16, - American National Standards Institute - Instituto Nacional de Padrões
Americano (equivalente ao INMETRO).
&OLHQW6HUYHU - A arquitetura cliente/servidor descreve a relação entre dois
programas de computador. O primeiro, o cliente, solicita serviços ou arquivos ao
segundo, o servidor, que atende ao pedido.
&yGLJRH[HFXWiYHO – são programas ou arquivos que contenham instruções que
são processadas tais como arquivos executáveis, arquivos do arquivos Word e do
Excel com macros.
%DFNGRRUV - São programas que instalam um ambiente de serviço em um
computador, tornando-o acessível à distância, permitindo o controle remoto da
máquina sem que o usuário saiba.
%DFNJURXQG - Área em memória onde se executam tarefas secundárias junto
com a aplicação principal que executa o computador.
&DUDFWHUHV HVSHFLDLV – Caracteres que não fazem parte do alfabeto como por
exemplo @, #, $, %, *, &, \, [, entre outros.
&RQH[mR7&3 - Veja TCP.
&RQWDVKHOO - Conta de usuário em ambientes UNIX.
&ULSWRJUDILD - É a transformação dos dados utilizando processos, chaves e
algoritmos de modo a torná-los ilegíveis.
'(6 - Data Encryption Standard. Padrão de Criptografia de Dados, padrão
americano para a codificação de dados.
'RZQORDG - Realizar a transferência de arquivos de um computador distante para
o seu próprio.
(PDLO - Eletronic Mail ou Correio eletrônico.
(QGHUHoR,3 - veja Internet Protocol.
,'($ - International Data Encryption Standard. Sistema de criptografia de 128
bits, cuja patente nos Estados Unidos de número 5,214,703 pertence à emopresa
Ascom Tech AG.
,%0 - International Business Machine. Empresa americana que atua na área de
informática.
,0$3 - Internet Message Access Protocol ou Protocolo para Acesso de
Mensagens via Internet.
,QWHUIDFHFronteira compartilhada por dois dispositivos, sistemas ou programas
que trocam dados e sinais, meio pelo qual o usuário interage com um programa
ou sistema operacional (p.ex., DOS, Windows).
,QWHUQHW 3URWRFRO - Protocolo da Internet, padrão que ajusta a conexão dos
computadores nas redes que compõe a Internet.
%LEOLRJUDILD
/LYURV
[L03] Cibercultura
Lévy Pierre, 2ª Edição 2000 - Editora 34
6LWHV,QWHUQHW
[S22] TIS/MOSS
http://ftp2.de.freebsd.org/pub/cert.dfn/pem/tismoss/
em 14/12/2004 às 0:50
[S42] Wim van Eck, “Electromagnetic Radiation from Video Display Units: An
Eavesdropping Risk?”
http://jya.com/emr.pdf
em 06/02/2005 às 6:16
5HYLVWDHSHULyGLFRV
0DQXDLV
7UDEDOKRVDFDGrPLFRV
5)&V
[C04] RFC 2595 – Using TLS with IMAP, POP3 and ACAP
http://www.ietf.org/rfc/rfc2595.txt
[C05] RFC 3207 – SMTP Service Extension for Secure SMTP over Transport
Layer Security
http://www.ietf.org/rfc/rfc3207.txt
[C09] RFC 1521 – MIME (Multipurpose Internet Mail Extensions) Part One:
Mechanisms for Specifying and Describing the Format of Internet Message
Bodies
http://www.ietf.org/rfc/rfc1521.txt
[C12] RFC 1113 - Privacy Enhancement for Internet Electronic Mail: Part I
http://www.ietf.org/rfc/rfc1113.txt
[C13] RFC 1422 - Privacy Enhancement for Internet Electronic Mail: Part II
http://www.ietf.org/rfc/rfc1422.txt
[C14] RFC 1423 - Privacy Enhancement for Internet Electronic Mail: Part III
http://www.ietf.org/rfc/rfc1423.txt
[C15] RFC 1424 - Privacy Enhancement for Internet Electronic Mail: Part IV
http://www.ietf.org/rfc/rfc1424.txt
1RUPDV