SEGURANÇA DA INFORMAÇÃO Flashcards
São barreiras que limitam o contato ou acesso direto à informação ou à infraestrutura suporta essa informação
Controle Físico
São barreiras que impedem ou limitam o acesso
à informação por meio do monitoramento e controle de acesso a informações e a sistemas de computação. Ex: senhas, firewalls, listas de controle de acesso, criptografia, biometria2, IDS, IPS, entre outros.
Constrole lógico
Qualquer coisa que tenha valor para instituição, tais como: informações, pessoas, serviços, software, hardware, documentos físicos, entre outros. Essa descrição se refe:
ATIVO
Ativo que tem valor para a organização e, por isso, deve ser adequadamente protegido
INFORMAÇÃO
Fonte produtora de um evento que pode ter um efeito adverso sobre um ativo de informação, como um funcionário, meio ambiente, hacker, etc
AGENTE
Fragilidades presentes ou associadas a ativos que, quando exploradas por ameaças, levam à ocorrência de incidentes de segurança.
VULNERABILIDADE
Agente externo que, se aproveitando das vulnerabilidades, poderá quebrar a confidencialidade, integridade ou disponibilidade da informação, causando um desastre ou perda significativa em um ambiente, sistema ou ativo de informação.
AMEAÇA. A ameaça trata de um dano potencial. Caso ocorra um incidente, poderá haver dano ou não.
Evento decorrente da exploração de uma vulnerabilidade por uma ameaça com o intuito de obter, alterar, destruir, remover, implantar ou revelar informações sem autorização de acesso.
ATAQUE
Ocorrência identificada de um sistema, serviço ou rede, que indica uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a Segurança da Informação.
EVENTO
Fato decorrente de um ataque bem-sucedido, com consequências negativas, uma ocorrência indicando uma violação, uma falha ou situação desconhecida, algo que possa ser relevante para a segurança da informação.
INCIDENTE
Abrangência dos danos causados por um incidente de segurança sobre um ou mais processos de negócio.
IMPACTO
Probabilidade potencial da concretização de um evento que possa causar danos a um ou mais ativos da organização.
RISCO. O risco trata de um dano real, isto é, caso ocorra um incidente, necessariamente haverá perdas ou danos.
É um pricípio que garante que informações não sejam acessadas por entidades não autorizadas. Ela é comparada à privacidade, onde apenas pessoas autorizadas têm acesso a informações privadas.
Princípio da confidencialidade.
Ex: Um carteiro pode manusear uma carta, mas não deve lê-la. Se o selo for quebrado, a confidencialidade é violada e pessoas não autorizadas podem acessar os dados privados contidos na carta.
É a garantia de que a informação está correta, completa e não foi corrompida, assegurando que ela não foi alterada sem autorização desde a origem até o destino.
A integridade. A pessoa pode quebrar a confidencialidade sem ferir o píncípio da integridade. Uma não depende da outra
É a propriedade de garantir que informações e ativos estejam acessíveis e utilizáveis por entidades autorizadas sempre que necessário. Isso envolve garantir que usuários autorizados tenham acesso contínuo, oportuno e robusto aos dados.
Disponibilidade. Um exemplo bancos que para evitar indisponibilidades, investem em recursos como firewalls, backups, redundâncias e equipamentos de energia.
A confidencialidade garante que a informação somente esteja acessível para usuários autorizados.
Já a disponibilidade garante que a informação esteja disponível aos usuários autorizados sempre que necessário.
CONFIDENCIALIDADE X DISPONIBILIDADE
Garante que o emissor de uma mensagem é realmente quem afirma ser, assegurando a identidade de quem envia a informação.
Princípio adicional da Autenticidade
Um exemplo é a assinatura em um contrato, que é verificada pelo cartório.
Também conhecido como irrefutabilidade ou não-repúdio, garante que o emissor de uma mensagem ou participante de um processo não possa negar posteriormente a sua autoria.
O princípio da irretratabilidade
Quando garantimos a autenticidade (assinatura) e a integridade (mensagem sem modificações), nós garantimos automaticamente a irretratabilidade.
Implica o uso de uma chave secreta utilizada tanto para codificar quanto para decodificar informações.
A Criptografia Simétrica
Para decifrar a criptografia é necessário uma chave de encriptação. É uma informação que controla a operação de um algoritmo de criptografia
É uma informação que controla a operação de um algoritmo de criptografia
Chave de encriptação. Na criptografia simétrica, ela é utilizada tanto para codificar quanto para decodificar a mensagem.
Em um sistema de criptografia simétrica é primordial que a chave seja protegida. O que pode acontecer se a chave não for protegida?
O sistema fica vulnerável. A criptografia simétrica garante apenas o princípio da confidencialidade
DES, 3DES, AES, IDEA, RC4, Blowfish, Cifragem de Júlio César
São os Principais algoritmos Simétricas
(também chamada de Criptografia de (Chave Pública) acabou com essa vulnerabilidade ao criar duas chaves distintas e assimétricas – sendo uma pública e uma privada.
Criptografia Assimétrica.
Qual a diferença entre a chave pública e a chave privada dentro da Criptografia Assimétrica.
A chave pública é disponibilizada para qualquer um e a chave privada é de uso personalíssimo e restrito a um usuário, instituição ou equipamento.
Somente a chave privada correspondente do par é capaz de descriptografar essas informações e vice-versa. Isso se refere a:
Criptografia Assimétrica. Elas formam um par exclusivo.
Numa situação em que tem o número da sua conta corrente é público – ela seria sua……………. Já a senha de transação da sua conta corrente é privada – ela seria sua…………………
chave pública/chave privada
Principais algoritmos: RSA, DSA, ECDSA, Diffie-Hellman (para troca de chaves), etc.
Principais algoritmos Assimétrica
A propriedade que garante que o dado é correto e consistente com o estado ou informação pretendida é a ………………..; já a propriedade que garante que os limites de quem pode obtê-la é chamado de ……………….
integridade/ confidencialidade
Na assinatura digital, são utilizadas a ………………. do emissor (para criptografar) e a …………………do emissor (para descriptografar).
chave privada/chave pública
É uma criptografia que combina a Criptografia Simétrica e Criptografia Assimétrica.
Criptografia Híbrida
Como funciona a criptografia hibrida.
Utiliza-se um algoritmo de Criptografia Assimétrica apenas para trocar chaves simétricas – chamadas de chaves de sessão – de forma segura. Logo, após a troca, toda comunicação é realizada utilizando um algoritmo de Criptografia Simétrica.
Algoritmo simétrico de chave privada com 56 bits de tamanho de chave. Desenvolvido na década de 1970, é considerado fraco pelos padrões atuais de segurança.
DES (Data Encryption Standard)
Versão atualizada do DES, que usa três vezes a cifra DES para melhorar a segurança. Suas chaves podem ter 112 ou 168 bits.
3DES
Algoritmo simétrico de chave privada que substituiu o DES como padrão de criptografia em 2001. Suas chaves podem ter 128, 192 ou 256 bits.
AES (Advanced Encryption Standard)
Algoritmo simétrico de chave privada desenvolvido na década de 1990, com chave de 128 bits. Foi uma alternativa ao DES, mas é menos utilizado atualmente.
IDEA (International Data Encryption Algorithm)
Algoritmo simétrico de chave privada usado em várias aplicações, como redes sem fio e SSL/TLS. Possui chaves de 40 a 2048 bits.
RC4 (Sempre muito usado devido a sua velocidade, e por não ser afetados por ataques direcionados aos algoritmos de bloco.)
Algoritmo assimétrico de chave pública usado para criptografia e assinaturas digitais. É um dos algoritmos mais amplamente usados na criptografia moderna.
RSA (O algoritmo é baseado na teoria dos números e na dificuldade de fatorar números primos grandes)
Algoritmo de troca de chaves que permite a comunicação segura em um canal inseguro. É amplamente utilizado em sistemas criptográficos baseados em chave pública.
Diffie-Hellman
Algoritmo simétrico de chave privada usado em diversas aplicações de segurança, com chaves de 32 a 448 bits. É conhecido por sua velocidade e segurança.
Blowfish
Algoritmo de hash criptográfico que gera um resumo de 128 bits da mensagem original. É amplamente usado para verificar a integridade de arquivos.
MD5
Família de algoritmos de hash criptográficos que geram resumos de tamanho fixo (160, 256, 384 ou 512 bits) da mensagem original. É amplamente usado em diversas aplicações de segurança.
SHA
Trata-se da autenticação baseada no conhecimento de algo que somente você sabe, tais como:
senhas, frases secretas, dados pessoais aleatórios, entre outros.
Trata-se da autenticação baseada no conhecimento de algo que você é, como seus dados biométricos.
impressão digital, padrão de retina, reconhecimento de voz, reconhecimento facial, assinatura manuscrita (característica comportamental individual), etc.
Trata-se da autenticação baseada em algo que somente o verdadeiro usuário possui. ela tipicamente requer a presença física do usuário, portanto é bem mais difícil para atacantes remotos conseguirem acesso.
celulares, crachás, Smart Cards, chaves físicas, tokens, etc. OBJETOS
O ……………….. é um algoritmo criptográfico que transforma uma entrada de dados em uma saída de dados. Ou seja ele pega um dado de entrada de qualquer tamanho e transforma em um dado de tamanho fixo. Não importa o tamanho do dado de entrada. ele vai ter sempre o tamanho X.
Algoritmo de Hash. (Assinatura digital)
E essa é a Assinatura Digital baseada em Hash – ela não se preocupa com a confidencialidade, qualquer um pode visualizar a mensagem. Preocupa-se apenas com………..
Nosso objetivo é garantir Autenticidade, Integridade e Irretratabilidade do emissor.
A Assinatura Digital possui uma autenticação relativamente frágil, porque não é possível saber se a chave pública que foi utilizada é realmente de quem diz ser. Porque?
o documento pode ser interceptado e ter o dado público alterado. Marcos divulga sua conta do PIX no whatsapp e Jackson edita o print colocando seu QR Code e repassa a mensagem.
Na situação em que Marcos divulga sua conta do PIX no whatsapp e Jackson edita o print colocando seu QR Code e repassa a mensagem. O que garante que a pessoa não vai depositar na conta errada?
A autenticidade é provada com os dados do usuário que aparecem. É como se fosse o certificado…A pessoa só deposita na conta errada se for desatenta.
Esse documento contém o nome, registro civil e chave pública do dono do certificado, a data de validade, versão e número de série do certificado, o nome e a assinatura digital da autoridade certificadora, algoritmo de criptografia utilizado, etc. A Autoridade Certificadora é responsável por emitir, distribuir, renovar, revogar e gerenciar certificados digitais.
Certificados Digitais.
Para que uma Autoridade Certificadora também seja confiável, sua chave pública deve ser amplamente difundida de tal modo que todos possam conhecer e atestar a sua assinatura digital nos certificados gerados, o que dificulta possíveis fraudes.
No campo da certificação digital SSL/TLS (Secure
Sockets Layer / Transport Layer Security) se refere ao.
protocolo protocolo de sergurança presente no protocolo HTTPS, que é uma implementação do protocolo HTTP. São camadas de segurança. verificação da autenticidade do servidor web por meio do uso de certificados digitais.
Trata-se um método matemático utilizado para
verificar a autenticidade e integridade de uma entidade (mensagem, software, servidor, documento, etc).
ASSINATURA DIGITAL (Garante a autenticidade do emissor, a integridade do documento e o não-repúdio.)
Trata-se de um documento eletrônico assinado
digitalmente por uma terceira parte confiável para vincular uma chave pública a uma entidade.
CERTIFICADO DIGITAL Garante a confidencialidade ou a autenticidade do
proprietário do certificado. Em combinação com outros recursos, pode garantir integridade e não repúdio.
