Segurança de Redes e Certificados Digitais: Conceitos

Classificado em Computação

Escrito em 1 de Fevereiro de 2026 em português com um tamanho de 26,06 KB

Sessão 1 – Conceitos de Segurança

Segurança de Redes e Certificados Digitais

Prof. César Alison Monteiro Paixão

Agenda – Sessão 1

Surgimento da Internet
Necessidade de segurança nas comunicações
Ataques e nomenclaturas
Conceitos de segurança

Surgimento da Internet – Histórico

Contexto: Guerra Fria
Comunicação: mainframe e terminais (arquitetura vulnerável)
Objetivo militar: criar um sistema de troca de informações entre bases militares resistente a ataques nucleares
A agência ARPA (Advanced Research Projects Agency) decidiu criar uma rede descentralizada
1969: ARPANET (4 computadores)
Stanford Research Institute
University of Utah
University of California (Los Angeles)
University of California (Santa Barbara)
1969–1974: nascimento do Unix, do TCP/IP, liberação para outras universidades
Década de 1990: navegadores, ARPANET → Internet, expansão
1988–1995: surgimento da Internet no Brasil

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Surgimento da Internet – Segurança

A família de protocolos TCP/IP não foi concebida com o intuito de garantir a segurança da informação.
O objetivo principal era obter funcionalidade de comunicação via rede de forma descentralizada; não foram incorporados criptografia ou outros mecanismos de segurança aos protocolos TCP/IP nativos.
A segurança da informação era baseada na confiança entre os nós.
Os projetistas não imaginavam as proporções da Internet atual originada da ARPANET.
No final da década de 1980 foram apresentadas as primeiras falhas conceituais do TCP/IP (ataques de spoofing — Bellovin, 1989: "Security Problems in the TCP/IP Protocol Suite").

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Arpanet (1969)

Cópia do diagrama original da ARPANET 1969.

Imagem fonte: http://personalpages.manchester.ac.uk/staff/m.dodge/cybergeography/atlas/arpanet2.gif

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Arpanet (1982)

Arpanet em 1982.

Imagem fonte: http://pictografica.tumblr.com/page/3

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Surgimento do comércio eletrônico

A Internet permitiu:
- Abrangência global e pública
- Compartilhamento de recursos computacionais
- Redução de custos
- Criação de novos serviços e aplicações
As empresas buscam:
- Menores custos operacionais
- Maior produtividade
- Vantagem competitiva
- Maiores lucros
Resultado: organizações investem centenas de milhões de dólares a cada ano em serviços baseados em redes de computadores.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Economia na Internet

Pesquisa realizada pela consultoria Booz-Allen & Hamilton, 1996.

Considerando todos os custos envolvidos em uma operação bancária em cinco cenários:

Acesso via agência
Acesso via telefone
Acesso via ATM (caixas eletrônicos)
Acesso via HomeBanking (programa cliente)
Acesso via InternetBanking

Comparação de custos (em dólares) considerando uma operação bancária - 1996:

Agência: 1,07
Telefônico: 0,54
ATM: 0,27
HomeBanking: 0,02
InternetBanking: 0,01

O custo do InternetBanking é cerca de 100 vezes menor que o da agência, 50 vezes menor que o telefônico, 20 vezes menor que o dos ATMs e 2 vezes menor que o do HomeBanking.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Surgimento dos crimes eletrônicos

A Internet permitiu:
- Abrangência global e pública
- Facilidade de acesso aos serviços
- Alto volume de informações trafegadas
- Transações eletrônicas de milhões de dólares
Os fraudadores buscam:
- Menores riscos
- Maiores lucros
Resultado: fraudadores investem cada vez mais em técnicas que auxiliam nos crimes digitais.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Crimes eletrônicos

Reportagem do jornal on-line "O GLOBO" (28/07/2008).
Estatísticas americanas: um assalto físico a um banco rende em média ~US$5.000, com 57% de prisões.
Somente o Fedwire Funds Service americano movimenta diariamente US$2 trilhões pela Internet.
Perdas anuais com crimes eletrônicos nos EUA chegam a US$100 bilhões.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Necessidade de segurança das comunicações

A infraestrutura da Internet é compartilhada por todos os dispositivos que fazem parte da rede. Para que as informações cheguem ao destino, elas devem passar por roteadores e dispositivos da Internet (de terceiros).
As informações podem percorrer caminhos distintos a cada operação; durante o percurso, podem ser facilmente observadas (por exemplo, com um sniffer de rede).
Qualquer pessoa conectada à rede é uma potencial ameaça, podendo observar ou interferir na comunicação de forma prejudicial.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Exemplo de comunicação típica pela Internet (1)

Rede 1 → Internet → Rede 2

Alice (origem) → R1 → ... → Bob (destino)

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Exemplo de comunicação típica pela Internet (2)

Rede 1 → Internet → Rede 2

R2, R6, R3, R8, R1, R7, R4, R5 — múltiplos roteadores possíveis entre Alice (origem) e Bob (destino).

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Alguns ataques, ferramentas e nomenclaturas

Engenharia Social
Cavalos de Tróia
Backdoors
Vírus
Worms
DoS e DDoS
Wireless (WarDriving, WarChalking)
Defacement
Scanners de rede
Spoofing
Celulares (GSM)
Falhas em aplicações (buffer overflow)

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Engenharia Social

Técnica que explora desconhecimento tecnológico ou relações de confiança para enganar pessoas e obter informações sigilosas.
Pode ocorrer por telefonemas, e-mails ou conversas diretas.
Exemplo: phishing scam — variação de spam com intuito de roubar informações.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Engenharia Social — Exemplo (página falsa)

Imagem fonte: http://www.datasec.com.br/portal/images/stories/phishing-BB/imagem5.jpg

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Cavalos de Tróia

Programas que realizam atividades não documentadas e se passam por programas legítimos.
Em geral não se propagam sozinhos; frequentemente combinados com engenharia social.
Exemplos de disfarces: cartões virtuais, descompactadores, programas de bancos, jogos, geradores de seriais, etc.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Backdoors

Programas que permitem acesso remoto ao computador sem o conhecimento da vítima.
Podem ser instalados por hackers após invasão ou por usuários enganados por engenharia social (frequentemente via Trojan).
Exemplos: BackOrifice, NetBus, SubSeven.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Vírus

Trecho de código malicioso adicionado a um arquivo que, ao ser executado, se replica em outros arquivos.
Exemplo (fonte: Wikipedia): o vírus Chernobyl (1998) remove o acesso à unidade de disco e impede o uso do sistema; grandes prejuízos à China, Turquia e Coreia do Sul.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Worms

Programas que se replicam no mesmo computador e em outros por meio da rede.
Ao chegar a novo host, repetem o processo de replicação procurando novos computadores.
Exemplos (fonte: Wikipedia):
- Morris Worm, 1988 — criado por Robert Morris Jr.; sondou 60.000 hosts e parou cerca de 50% da Internet da época.
- ILOVEYOU, 2000 — varreu a Europa e os EUA em 6 horas; danos estimados em US$8,7 bilhões; propagava-se enviando-se para todos os contatos do Outlook.
- Blaster, 2003 — explorou vulnerabilidade do DCOM RPC; realizou DoS contra windowsupdate.microsoft.com; permitia execução remota de comandos (cmd.exe).

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

DoS e DDoS

DoS (Denial of Service): tentativa de esgotar recursos de um sistema tornando-o indisponível.
Baseia-se no envio de muitas mensagens a um alvo, de forma que ele não consiga processar todas.
DDoS (Distributed Denial of Service): versão distribuída do ataque DoS; múltiplos computadores coordenados enviam tráfego ao alvo. Frequentemente usa máquinas zumbis infectadas por vírus/worms.
Existem ferramentas para criação de ataques DDoS (ex.: Stacheldraht).

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

DDoS — Ferramenta Stacheldraht

Imagem fonte: http://en.wikipedia.org/wiki/File:Stachledraht_DDos_Attack.svg

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Redes Wireless

WarDriving: prática de procurar redes sem fio dirigindo um automóvel com um dispositivo wireless.
WarChalking: ato de desenhar símbolos em locais públicos para avisar sobre redes abertas.
Imagem fonte: http://wiki.wifi.ee/index.php?title=Wardriving, http://en.wikipedia.org/wiki/File:Warchalking.svg

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Defacement

Ato de modificar (desfigurar) ou danificar páginas web.
Exemplo de defacement em um site de Israel.
Imagem fonte: http://www.scmagazineus.com/web-defacements-escalate-as-israel-moves-farther-into-gaza/article/123542/

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Sniffers (analisadores de rede)

Ferramenta capaz de interceptar e registrar o tráfego de dados em uma rede.
Um adversário pode usar um sniffer para obter senhas em redes sem criptografia, escutar conversas ou copiar arquivos.
Exemplos: Ethereal, Wireshark.
Imagem fonte: http://www.wireshark.org/docs/wsug_html_chunked/ChapterWork.html#ChWorkSelPack1

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Scanners

Scanners de porta: executados de um host para verificar outros servidores em busca de serviços abertos. Ex.: nmap.
Scanners de vulnerabilidades: verificam servidores procurando por vulnerabilidades catalogadas. Ex.: Nessus.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Scanners — Exemplos

nmap — Imagem fonte: http://nmap.org/

Nessus — Imagem fonte: http://www.nessus.org/documentation/nessus_4.4_user_guide.pdf

Spoofing

Técnica pela qual um programa se faz passar por outro para obter privilégios indevidos.
Exemplos: IP spoofing, URL spoofing, Caller ID spoofing, e-mail address spoofing.

Imagem fonte: http://pt.wikipedia.org/wiki/IP_spoofing

Ataques a celulares

Ataques a celulares estão se tornando mais frequentes, incluindo vírus, clonagem, Caller ID spoofing e ataques à criptografia (GSM).
Imagem fonte: http://www.cs.technion.ac.il/news/2003/134/

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Falhas em aplicações

Falhas em aplicações podem levar a diversos ataques, por exemplo:
- Buffer overflow: ocorre quando um programa escreve dados além do limite de um buffer, atingindo áreas adjacentes de memória e permitindo execução de código malicioso.
- SQL Injection: adversário insere código SQL em consultas via manipulação de dados de entrada.
- Cross-Site Scripting (XSS): adversário inclui scripts client-side em páginas vistas por outros usuários.
Consequências: defacement, execução de comandos indevidos, invasão por obtenção de credenciais de administrador ou outros usuários.

Exemplo: Buffer Overflow

Um adversário pode escrever no buffer um código malicioso sobrescrevendo o endereço de retorno de uma função, de forma que após a execução da função o código malicioso seja executado.

Representação da memória:

BUFFER RESPEITADO: buffer (e variáveis locais) | sfp | parâmetros da função | topo da pilha | ret ...

BUFFER ATACADO: parâmetros da função ... | topo da pilha | código malicioso | sfp | ret (endereço de retorno sobrescrito)

Fraudes

Fraude (Houaiss): "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro".
Para cometer fraude, um adversário pode usar vários ataques e ferramentas: engenharia social, spam, trojans, sniffers, backdoors, scanners, defacement, zumbificação de máquinas, roubo de informações bancárias, etc.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Dados do CERT.br

CERT.br: Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo NIC.br (Comitê Gestor da Internet no Brasil). Responsável por tratar incidentes de segurança envolvendo redes conectadas à Internet brasileira. Atua como ponto central para notificações de incidentes, coordenação e apoio no processo de resposta a incidentes (Fonte: www.cert.br).

Imagens fonte: http://www.cert.br/stats/incidentes/2010-jan-dec/tipos-ataque-acumulado.html, http://www.cert.br/stats/spam/

35–36

Imagens fonte: http://www.cert.br/stats/incidentes/2010-jan-dec/tipos-ataque.html, http://www.cert.br/stats/incidentes/2010-jan-dec/fraude.html

Conceitos de segurança

Vimos que a Internet possibilita grande redução de custos devido ao uso de recursos compartilhados, mas pelo mesmo motivo facilita o trabalho de pessoas mal-intencionadas. Para tratar o problema da segurança é preciso conhecer os ataques e identificar a área de foco:

Segurança de Computador (Computer Security): ferramentas e técnicas que protegem dados de computadores contra hackers, vírus, trojans etc.
Segurança de Rede (Network Security): ferramentas e técnicas que protegem dados durante sua transmissão.
Segurança de Internet (Internet Security): proteção dos dados durante transmissão por uma coleção de redes interconectadas.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Modelo para segurança de computador

A utilização deste modelo requer:

Seleção apropriada das funções de firewall para identificação dos usuários.
Implementação de controles de segurança para garantir que apenas usuários autorizados acessem informações ou recursos designados.

Imagem fonte: William Stallings — "Cryptography and Network Security: Principles and Practice", 4th ed.

39–40

Modelo para segurança de rede e Internet

Para proteger comunicações entre redes interconectadas requer-se:

Projeto de algoritmo para transformação da informação a ser trafegada;
Geração de informação secreta (chaves) usada pelo algoritmo;
Desenvolvimento de métodos para distribuição e compartilhamento da informação secreta;
Especificação de protocolo que ofereça bases para uso do algoritmo e da informação secreta para um serviço de segurança.

Imagem fonte: William Stallings — "Cryptography and Network Security: Principles and Practice", 4th ed.

Foco do curso

O foco do curso é na Segurança da Internet, que consiste nas medidas para deter, prevenir, detectar e corrigir violações de segurança envolvendo transmissão e armazenamento da informação.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Conceitos de segurança – Padrões

Existem diversos padrões e recomendações de segurança. Destaca-se:

ITU-T X.800 "Arquitetura de Segurança para o OSI": define elementos arquiteturais gerais relacionados à segurança para proteger a comunicação entre sistemas; atua como adendo de segurança para a arquitetura OSI, com foco em comunicação de redes.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Conceitos de segurança – Aspectos

De maneira geral, recomendações e padrões consideram três aspectos principais:

Ataques
Serviços de segurança
Mecanismos de segurança

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Conceitos de segurança – Ataques

Vulnerabilidade: fraqueza ou falha no sistema que pode ser explorada.
Ameaça: possibilidade de exploração das vulnerabilidades; perigo potencial.
Ataque: exploração efetiva de uma vulnerabilidade.

Exemplos:

Vulnerabilidade: falta de treinamento em segurança dos funcionários — Ameaça: pessoas mal-intencionadas enganarem funcionários — Ataque: roubo de senha por engenharia social.
Vulnerabilidade: falta de criptografia na comunicação — Ameaça: roubo de informações trafegadas — Ataque: dados de clientes roubados.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Classificação dos ataques (Stallings)

Passivos: informação apenas observada ou copiada.
Ativos: informação desviada, criada ou alterada.
Tipos de ataques:
- Interceptação: monitoramento sem conhecimento das partes.
- Interrupção: bloqueio do fluxo normal da informação.
- Modificação: alteração da informação sem conhecimento das partes.
- Fabricação: criação de informação por um adversário se passando por uma das partes.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Serviços de segurança

Segundo X.800, um serviço de segurança é provido por uma camada de protocolo que assegura a segurança adequada dos sistemas ou da transferência de dados. Para cada tipo de ataque existe um ou mais serviços de segurança que o tratam.

Serviços básicos de segurança:

Confidencialidade
Integridade
Autenticidade
Irretratabilidade (Não repúdio)
Disponibilidade
Controle de acesso
Auditoria

Obs.: o padrão X.800 divide os serviços em 5 categorias e 14 serviços específicos; no curso tratamos de forma mais genérica.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

47–49

Definições dos serviços

Confidencialidade: garantia de que informações sejam reveladas, acessadas ou manipuladas somente por usuários autorizados, independentemente do tipo de mídia.
Integridade: garantia da consistência das informações, impedindo alterações sem permissão do proprietário.
Autenticidade: garantia de que a identidade alegada por um usuário é verificável e intransferível.
Irretratabilidade (Não repúdio): garantia de que o originador/recebedor não pode negar autoria/recebimento.
Disponibilidade: garantia de que usuários legítimos possam acessar informações e recursos do sistema.
Controle de acesso: permitir ou negar acesso a serviços e recursos conforme política.
Auditoria: capacidade de verificar atividades no sistema e determinar o que foi feito, por quem, quando e o que foi afetado.

Implementação dos serviços

Todos os serviços são importantes, mas prioridades variam por organização (ex.: bancário vs. acadêmico). A implementação ocorre por mecanismos de segurança, que podem ser matemáticos, políticas, meios jurídicos ou dispositivos físicos.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Mecanismos de segurança

Mecanismos são técnicas, procedimentos, algoritmos e leis cujo objetivo é implementar serviços de segurança para detectar, prevenir ou impedir um ataque. A implementação de um serviço exige o uso de um ou mais mecanismos.

Exemplos de mecanismos

Criptografia simétrica
Criptografia assimétrica
Protocolos de segurança
Filtragem de dados e comandos
Ferramentas de controle de acesso
Ferramentas de auditoria
Ferramentas de backup
Padrões

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Exercícios

Quantos caminhos possíveis existem entre Alice e Bob no slide 14?
Classifique cada um dos 4 tipos de ataques apresentados em uma das categorias: passivo ou ativo.
Para cada um dos 4 tipos de ataques apresentados, cite um ou mais serviços de segurança associados.
Alice envia uma carta para Bob pedindo que transfira R$100,00 para Joana. Carlos (o carteiro e marido de Joana) abre a carta, lê e altera o valor para R$1000,00. Quais ataques dos 4 classificados em aula Carlos utilizou? Quais serviços de segurança foram violados?
Supondo que Alice seja capaz de verificar a autenticidade de uma mensagem, ela deverá conseguir também verificar a irretratabilidade?

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Referências

Furmankiewicz, Edson & Figueiredo, Sandra. Segurança Máxima: O mais famoso hacker ensina a proteger seu site e sua rede. 3. ed. Rio de Janeiro: Campus, 2001.
Stallings, William. Cryptography and Network Security: Principles and Practice. New Jersey: Prentice Hall, 2003.

Segurança de Redes e Certificados Digitais — Prof. César Alison Monteiro Paixão

Entradas relacionadas:

Etiquetas: