
























Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Encontra documentos específicos para os exames da tua universidade
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Este documento aborda os problemas de segurança de informação em sistemas telefônicos, com ênfase na necessidade de proteção de dados pessoais e corporativos. O texto discute a importância da criptografia na proteção ativa de redes e apresenta casos reais de vazamentos de dados. Além disso, é apresentado o processo de criação de um certificado digital para garantir a segurança na navegação web. O documento também discute a importância de redes privadas virtuais (vpns) para a proteção de dados durante a transmissão de dados.
Tipologia: Manuais, Projetos, Pesquisas
1 / 32
Esta página não é visível na pré-visualização
Não perca as partes importantes!

























Nesta unidade, trabalharemos os seguintes tópicos:
**- Introdução;
**- O que é uma VPN?;
Fonte: Getty Images
Objetivos
Caro Aluno(a)!
Normalmente, com a correria do dia a dia, não nos organizamos e deixamos para o úl- timo momento o acesso ao estudo, o que implicará o não aprofundamento no material trabalhado ou, ainda, a perda dos prazos para o lançamento das atividades solicitadas.
Assim, organize seus estudos de maneira que entrem na sua rotina. Por exemplo, você poderá escolher um dia ao longo da semana ou um determinado horário todos ou alguns dias e determinar como o seu “momento do estudo”.
No material de cada Unidade, há videoaulas e leituras indicadas, assim como sugestões de materiais complementares, elementos didáticos que ampliarão sua interpretação e auxiliarão o pleno entendimento dos temas abordados.
Após o contato com o conteúdo proposto, participe dos debates mediados em fóruns de discussão, pois estes ajudarão a verificar o quanto você absorveu do conteúdo, além de propiciar o contato com seus colegas e tutores, o que se apresenta como rico espaço de troca de ideias e aprendizagem. Bons Estudos!
Algoritmos Criptográficos
Introdução
Uma das atividades mais comuns que realizamos todos os dias é navegar na internet. Fazemos isso o tempo todo, praticamente todos os dias, seja nos smartphones , seja em com- putadores. Muitas vezes, não nos preocupamos com os detalhes envolvidos no ato de navegar na internet. Alguns desses detalhes, quando analisados, apontam para possíveis problemas relacionados à falta de configurações de segurança que muitos websites apresentam.
Quando acessamos um site na Internet , temos contato com o protocolo HTTP – Hypertext Transfer Protocol. É esse protocolo que permite a exibição de páginas na internet. Quando esse protocolo foi desenvolvido, não havia a preocupação com a Segurança da Informação que existe hoje. Por isso, esse é um protocolo inseguro.
Ainda nos dias atuais, existem muitos sites na internet que utilizam o protocolo HTTP de forma insegura. A figura 1 mostra um site do Governo Federal do Brasil que utiliza a versão insegura do protocolo HTTP.
Fonte: brasil.gov.br
É um site do Governo Federal!
Esse é um site que pode ser acessado por milhões de pessoas. Quais seriam os riscos a que essas pessoas estariam sujeitas caso um hacker ou criminoso virtual interceptasse as suas comunicações com o site?
Mas o que comprova que esse site não é seguro, além da mensagem que aparece no cabeçalho do navegador? Eis aqui algumas informações recentes, mostradas na figura 2.
UNIDADE Algoritmos Criptográficos
Fazendo uma inspeção mais profunda em uma navegação por um website inseguro, podemos descobrir como um hacker pode obter informações a respeito do site. A figura 3 mostra o uso da ferramenta Wireshark para capturar pacotes durante o acesso a um site inseguro. No destaque, podemos ver que o protocolo HTTP permite a visualização de informações em texto puro, onde se pode identificar informações relevantes sobre o servidor e o sistema operacional utilizado no servidor.
A partir de uma análise como essa, podemos expandir o alcance sobre o que pode ser feito com a posse de uma informação como essa. É muito comum, nos dias atuais, termos contato com informações sobre páginas clonadas de bancos, lojas virtuais, en- tre outros tipos de sites. Muitas vezes, esse processo de crime virtual começa com a interceptação de informação dos sites reais, com sua posterior clonagem e a montagem de um ambiente “ fake ”, que é então divulgado, para que pessoas de boa fé informem seus dados pessoais e bancários, imaginando que estão acessando páginas verdadeiras. A figura 4 mostra uma inspeção aprofundada de uma captura HTTP, mostrando infor- mações que não deveriam ser visíveis, mas que ficam dessa forma devido à insegurança do protocolo de comunicação.
UNIDADE Algoritmos Criptográficos
Para maiores detalhes, assista ao vídeo completo dessa captura de dados, produzido pelo autor da disciplina, que pode ser visualizado no link: https://youtu.be/PSy743R-h-w
E se fosse o site da empresa onde você trabalha?
Desde 2018, a Europa e o Brasil sancionaram suas Leis de Proteção de Dados. A lei Europeia chama-se GDPR – General Data Protection Regulation – , enquanto a lei Brasileira chama-se LGPD – Lei Geral de Proteção de Dados. Essas leis foram criadas como uma resposta à onda de vazamentos de dados pessoais, à venda e usos indiscriminados dos dados pessoais por empresas e criminosos virtuais. A proteção dos dados pessoais sempre foi motivo de muita discussão na área de TI. Dados pessoais ou corporativos vazados podem ter um efeito devastador na vida de pessoas e empresas.
Reputação Digital demora-se muito tempo para consegui-la e apenas um vaza- mento para perdê-la, talvez não seja possível recuperá-la.
A figura 6 apresenta alguns casos reais de vazamentos recentes de dados, que tive- ram consequências para empresas e pessoas.
A partir dessas informações, surge uma pergunta simples, mas preocupante: É possí- vel navegar na internet com segurança? A resposta para essa pergunta é: sim. O protocolo HTTP tem pode ser “fortalecido” com a utilização da Criptografia. Para a navegação web segura, podemos utilizar os protocolos SSL – Secure Socket Layer – e TLS – Transport Layer Security –, permitindo uma navegação mais segura. A Criptografia atua nos pilares da confidencialidade e da integridade dos dados. A figura 7 mostra um exemplo de um website que possui um certificado digital válido, para navegação segura HTTPS.
Atividade Prática: Criação
de um Certificado Digital
Já que falamos bastante sobre a importância da Criptografia para a navegação segu- ra, vamos apresentar, de forma resumida, os passos para a criação de um certificado di- gital para um servidor web. Nesse certificado, iremos utilizar uma chave TLS de 16384 bits (muito grande e extremamente segura) e a criptografia AES256 para a proteção do fluxo de dados. A figura 8 mostra parte deste procedimento, de forma comentada.
Como fica a Navegação Segura?
O uso de certificados digitais com tecnologia SSL/TLS e sua implantação em servi- dores HTTP cria a navegação HTTPS, que fornece segurança e tráfego criptografado entre os clientes e os servidores. Na figura 9, podemos ver a demonstração da navega- ção segura no site.
Foi produzido pelo autor da disciplina um vídeo, demonstrando o processo de captura de pacotes de um servidor web com a navegação HTTPS implementada, que pode ser acessa- do a partir do link a seguir: https://youtu.be/O-BImq06HOo
E como é a Legislação Referente à Proteção
de Dados e o que está em Vigor?
Em 25 de maio de 2018, entrou em vigor o Regulamento Geral de Proteção de Dados na Europa, conhecida como GDPR – General Data Protection Regulation. Essa lei foi amplamente adotada pela União Europeia e serviu de base para a discussão de diversas outras leis de proteção de dados em outros países, inclusive o Brasil.
Nessa Lei, os artigos 4º, 6º, 10º e 32º falam sobre o uso de criptografia e de anomini- zação para a proteção dos dados, o que demonstra a importância de seu uso para manter a confidencialidade dos dados.
Em 14 de agosto de 2018, foi sancionada no Brasil a Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados, ou LGPD. Essa lei define uma série de itens so- bre a proteção de dados pessoais no território brasileiro. Um item muito importante é o que diz que a lei define o indivíduo e que as empresas que mantêm informações pessoais devem garantir a segurança desses dados.
Ela não é explícita quanto ao uso de criptografia, mas fala sobre anonimização dos dados, o que pode levar ao uso de criptografia.
Para ambas as leis: Com o uso de criptografia, mesmo que haja uma captura ou um vazamento de dados, o conteúdo desses dados não poderá ser explicitado, lido, ouvido ou usado para nada.
Problemas de Segurança da
Informação em Sistemas Telefônicos
As tecnologias de telefonia e telecomunicações têm mudado muito desde o início da década de 2010. Se, antes, a telefonia fixa era dominante e presente em milhões de re- sidências e empresas, atualmente, a telefonia utiliza, cada vez mais, as redes de telefonia móvel celular e os sistemas de Voz sobre IP, ou VoIP.
Aplicativos como Whatsapp, Skype e outros sistemas de VoIP são muito utilizados por pessoas e empresas todos os dias. Os motivos são os mais diversos:
UNIDADE Algoritmos Criptográficos
Apesar de todos os benefícios citados, existem problemas sérios de segurança da infor- mação relacionados a esses tipos de serviços. Por exemplo, pode-se citar que a tecnologia VoIP é insegura por padrão. O mesmo ocorre com a maioria das soluções de mensagens instantâneas. Mesmo as redes celulares são vítimas de vulnerabilidades importantes. Um dos problemas das redes celulares foi apresentado na conferência Black Hat , em 2017. Esse problema é denominado Gost Telephonist, e afeta as redes 2G e 4G. Uma vulnerabilidade é explorada e é possível ao atacante capturar a chamada em curso, realizando o grampo e também se fazer passar pela pessoa grampeada. A figura 12 mos- tra um exemplo do Ghost Telephonist em que o atacante toma para si a linha do usuário.
Neste cenário, se o atacante conhecer o ISDN da vítima, ele poderá grampear a chamada, tomar para si a linha da vítima e realizar chamadas em nome da vítima.
Telefone Anônimo
Farejador Telefonista Fantasma
Vítima
**2. Fazer segunda chamada
Core Network
Na mesma conferência, foi divulgada a falha Skype & Type: Keystroke Leakage Over VoIP, que afetou o Skype e o Google Hangouts. Essa falha explora uma vul- nerabilidade do microfone dessas soluções e permite grampear as chamadas de voz. Além disso, permite que, a partir da análise de frequências das teclas digitadas no tecla- do, seja reproduzido o texto digitado. A figura 13 mostra como esse ataque é realizado.
UNIDADE Algoritmos Criptográficos
Problemas de Segurança em Sistemas PABX – Grampo de Chamadas Inseguras
Neste tópico, vamos apresentar um ambiente em que uma central telefônica IP, cons- truída em ambiente Linux, tem suas chamadas interceptadas por meio de um ataque do tipo Man-in-the-middle. Em seguida, é possível reproduzir toda a chamada, demons- trando as fragilidades de da tecnologia VoIP, sem o uso de criptografia para preservar o conteúdo das chamadas. A figura 14 mostra, de forma sintética, o ambiente de testes, composto por um PABX IP conhecido como Asterisk , com dois ramais criados e configu- rados em softphones , que são aplicativos que fazem o papel do telefone e são instalados em computadores ou smartphones. Vamos demonstrar uma ligação entre os ramais e a captura dos pacotes durante essa ligação. Depois, vamos decodificar a ligação e realizar o grampo. Em sistemas em produ- ção, o procedimento seria muito semelhante.
Grampo de Chamada de VoIP Insegura: https://youtu.be/h_YSTRdGzYw
Após você assistir ao vídeo, vale uma reflexão importante acerca dos impactos da ocorrência de um grampo telefônico como esse no seu ambiente corporativo, ou mesmo em seu telefone celular. Qual seria o impacto para a minha vida pessoal ou corporativa da ocorrência de um grampo telefônico em que eu fosse a vítima? Analisando os cenários apresentados, podemos ver que temos problemas importan- tes de segurança que afetam operadoras de telefonia, soluções globais de telecomunica- ções e mesmo os sistemas privados de telefonia. Quais seriam os seus prejuízos?
No próximo tópico, vamos tratar de soluções que ajudam a resolver alguns dos pro- blemas apresentados, com o uso da criptografia.
Resolvendo o Problema de Segurança no PABX IP com o uso da Criptografia
No tópico anterior, foi dito que a tecnologia VoIP é insegura por padrão. Mas é possí- vel resolver esse problema. A grande maioria dos sistemas VoIP é totalmente compatível com o uso de criptografia.
Isso resolve o problema de segurança, pois a integridade e a confidencialidade dos pa- cotes de voz trafegados serão preservadas. Em um momento em que as empresas estão levando a sua telefonia para a “nuvem”, saber disso pode tranquilizar muitos profissionais de telecomunicações e de segurança da informação.
Da mesma forma que foi apresentado no tópico anterior, iremos demonstrar um am- biente onde um PABX IP é atacado por um procedimento Man-in-the-middle e o resulta- do da tentativa de ataque será demonstrado.
Usando uma Solução de PABX IP
Criptografada – Grampo de Chamadas Seguras
Aqui, o cenário apresentado é similar ao do tópico anterior. A diferença está no uso de um PABX IP que integra a criptografia de voz.
A figura 15 mostra esse ambiente, onde temos dois ramais criptografados configura- dos em dois softphones. Vamos demonstrar uma ligação entre os ramais e a captura dos pacotes durante essa ligação. Depois, vamos decodificar a ligação e realizar o grampo.
a rede. Todo o tráfego da sua rede (incluindo toda a navegação na web ) está sendo ca- nalizado através do seu local de trabalho. O link abaixo mostra esse ambiente de acesso remoto por VPN.
Ambiente de uso de uma VPN para acesso remoto de um único computador – http://bit.ly/31NQl4R
Para conectar localidades inteiras, com diversos computadores (VPN Site-to-Site) Quando você tem dois locais que precisam ser conectados, com vários computadores em cada extremidade, uma simples VPN de acesso remoto não a resolverá o problema. Em vez disso, você precisa de uma VPN de site para site. Isso estabelece uma conexão entre dois servidores VPN, um em cada local. Ao contrário de uma VPN de acesso remoto que é usada conforme a necessidade, as conexões site a site normalmente são permanentes. O link abaixo apresenta esse ambiente site-to-site VPN.
Ambiente site-to-site VPN: http://bit.ly/31VK1IG
Para que posso usar uma VPN?
As VPNs site a site normalmente são usadas apenas por empresas ou grandes orga- nizações. O que a maioria de nós estará usando é uma VPN de acesso remoto, onde só precisamos conectar nosso computador a um local remoto. Existem várias razões pelas quais podemos fazer isso.
Para Trabalho Remoto ou Rede Doméstica Conforme discutido, é comum usar VPNs de acesso remoto para fazer login na rede do seu local de trabalho. Mas também é possível configurar um servidor VPN em casa. Isso permitirá que você acesse qualquer coisa em sua rede doméstica praticamente em qualquer lugar do mundo. Você pode configurar seu próprio servidor físico em casa para isso, mas alguns roteadores mais caros vêm com um software de servidor VPN integrado que facilita muito. Ou, se estiver se sentindo aventureiro, você pode criar seu próprio roteador VPN.
Uma coisa a ter em mente: enquanto estiver conectado a um local remoto, toda a sua navegação na web também estará dentro da VPN. Isso significa que você está usando a conexão de internet do escritório para navegar na web. No caso de se conectar ao escritório, ele aparecerá na internet como se você estivesse navegando do trabalho. Isso significa que seu local de trabalho também pode ver tudo o que você está navegan- do enquanto está conectado via VPN.
UNIDADE Algoritmos Criptográficos
Para Esconder o seu Tráfego de Bisbilhoteiros Se você estiver em uma conexão pública sem fio (lanchonete, aeroporto, hotel, biblio- teca etc.), qualquer pessoa sentada ao seu lado poderá ver seu tráfego. Essa é apenas a natureza das redes sem fio. Seu computador envia seu sinal como se fosse um farol de luz no escuro. Qualquer pessoa perto o suficiente (em qualquer direção) pode ver tudo o que está sendo transmitido. Isso o expõe ao hacker sentado no canto da sala ou em seu carro no estacionamento. O uso de um túnel VPN ocultaria o tráfego sem fio desses invasores. Mesmo que não seja uma rede Wi-Fi e você esteja fisicamente conectado a uma porta de rede (como em um hotel), isso não muda nada. Ainda há outros estranhos conectados à mesma rede. E não se esqueça de que o proprietário da rede pode ver todo o tráfego. Você não pode confiar em uma rede pública, ponto final. Mas as redes públicas não são a única preocupação das pessoas. Em casa, o seu pro- vedor de serviços de internet (ISP) é o seu “portal” para a internet. O ISP pode ver tudo o que você está fazendo, incluindo materiais potencialmente privados. Mesmo que você não esteja fazendo nada errado, o fato de que eles estão basicamente criando um perfil da sua vida na internet incomoda muita gente. Isso também faz com que os ISPs sejam grandes alvos dos esforços de espionagem do governo. Para impedir essas ameaças de privacidade e segurança, você pode se inscrever em um serviço VPN comercial. Essas empresas permitem que você se conecte a seus servidores VPN no mundo em algum lugar. Assim, tudo o que estiver no meio, incluindo hackers de cafeterias e empresas de ISP, será excluído do seu tráfego. No entanto, se você não se preocupa com os ISPs e tudo que deseja é a segurança em uma rede pública, pode configurar sua própria VPN em casa. Quando você se conectar a ele, seria como se você estivesse sentado em sua própria casa, usando sua própria cone- xão com a internet.
Para obter Restrições de Localização Geográfica Alguns países ou regiões restringem determinados tipos de tráfego da internet. Usando uma VPN segura, você pode ocultar seu tráfego dos sniffers que estão assistindo tudo entrar e sair. Eles só verão o túnel VPN criptografado e não poderão ver o que está dentro dele. Se a VPN estiver configurada corretamente, ela poderá ignorar esses filtros. Isso também é feito nos locais de trabalho. Algumas empresas têm proxies para todo o tráfego de entrada e saída. Isso permite que eles controlem o tráfego da internet permitido em sua rede. Uma VPN pode frustrá-los da mesma maneira que o filtro de um país.