Seguranca e Criptografia de Dados
-
Upload
felipe-plattek -
Category
Documents
-
view
3.560 -
download
1
description
Transcript of Seguranca e Criptografia de Dados
![Page 1: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/1.jpg)
Integrantes:Renato Duarte
Leonardo de JesusFelipe Plattek
Ricardo Villas-Bôas FernandesMarcus Vinícius S. Silva
![Page 2: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/2.jpg)
Agenda
• Segurança de dados e informação• Banco de dados• Vulnerabilidades• Ataques a banco de dados• Criptografia• Conclusão
![Page 3: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/3.jpg)
Segurança de Dados e Informação
![Page 4: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/4.jpg)
Desafios das organizações
• Estabelecer contra medidas para o risco de perda de dados.
• Adequar-se às exigências da atual dinâmica empresarial;
• Rapidez nas tomadas de decisão;• Racionalização dos processos;• Processamento de grandes volumes;• Pressão sobre os resultados.
![Page 5: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/5.jpg)
Dados e Informação
Problemas identificados em dados não protegidos:
Dados armazenados em mídia removível (perdidos / roubados)Política inconsistente de dados;Dados não estruturados;Falha no processo de auditoria internaExposição legal, regulamentária e ética para a organização;Custo de violações de dados.
![Page 6: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/6.jpg)
Dados e Informação
Valores agregados à proteção dos dados e informação:
Redução do custo, aumento da capacidade de cumprir as obrigações de auditoria e conformidade;
Garantia que os dados estejam disponíveis para as pessoas certas, no momento certo;
Garantia que os dados não sejam deliberada- ou inadvertidamente acessados, vazados ou danificados;
![Page 7: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/7.jpg)
Banco de Dados
![Page 8: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/8.jpg)
Banco de Dados
É um conjunto de registros dispostos em uma estrutura regular que possibilita a reorganização dos mesmos permitindo extrair a informação.
![Page 9: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/9.jpg)
Banco de Dados
São utilizados para armazenar diversos tipo de dados, como informações de pessoas, dados bancários, informações confidenciais, etc.
![Page 10: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/10.jpg)
Ferramentas de SegurançaPolítica de Segurança
Levantamento de Necessidades de Usuários O que desejam O que precisam Perfis comuns Níveis de Segurança Adaptação às Regras da Empresa
Administrador, Dono de Objetos, Usuário Comum Proteção em nível de Tabela Gerência da base; Acesso a Objetos (Tabelas, Visões etc.) Integração com o Sistema Operacional Views, Stored Procedures, Triggers Backup & Recovery Auditoria
![Page 11: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/11.jpg)
Ferramentas de Segurança
SQL Server
Modos de Segurança: Standard e Integrated Logins Usuários
Administrador, Database Owner, Database Object Owner, Database User
Privilégios de Objeto vs. Sistema Objetos: Rule, Default, Stored Procedure, Trigger, View Políticas de Backup Recuperação Auditoria Ferramentas externas
![Page 12: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/12.jpg)
Ferramentas de SegurançaOracle
Integração com o SO Schemas Usuários
Administrador, Database Owner, Database Object Owner, Database User
Privilégios de Objeto vs. Sistema Roles
Objetos: Stored Procedure, Trigger, View, Synonym, Profile Políticas de Backup Recuperação Ferramentas do Oracle Enterprise Manager Oracle Security Server Auditoria Criptografia
![Page 13: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/13.jpg)
Vulnerabilidades
![Page 14: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/14.jpg)
Vulnerabilidades
O maior valor de uma empresa são as informações que ela possui.
Todos os recursos que expõem dados ou informações podem ser considerados um risco, se forem implementados incorretamente.
A preocupação com a segurança dos dados contidos em bancos de dados deve ser alta, independente do tipo de informação que está sendo tratada.
![Page 15: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/15.jpg)
Ameaças e vulnerabilidades poderão ser de menor impacto se estiver bem definido:
Processo (Diretivas de segurança);Plataforma (Sistema não atualizado);Autenticação (Senhas pouco seguras);Programação (Injeção SQL);Acesso aos dados (Criptografia aplicada de forma inadequada);
Vulnerabilidades
![Page 16: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/16.jpg)
Ataques a Banco de Dados
![Page 17: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/17.jpg)
Ataques a Banco de Dados
SQL Injection
Uma das técnicas de fraude mais conhecida pelos desenvolvedores web.
Manipulação de instrução SQL através das variáveis que compõem parâmetros recebidos por scripts server-side.
![Page 18: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/18.jpg)
SQL Injection – Exemplo
$Sql = "SELECT * FROM tb_usuario
WHERE usuario = '" + $usuario + “ AND senha = ‘” + $senha + “’;"
Ao entrar com:Usuário: ‘ or ‘1’=‘1Senha: ‘ or ‘1’=‘1
Comando que será processado pelo Banco de Dados:
SELECT * FROM tb_usuario WHERE usuario = ‘’ or ‘1’=‘1’ AND senha = ‘’ or ‘1’=‘1’;
Ataques a Banco de Dados
![Page 19: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/19.jpg)
SQL Injection – Exemplo
$Sql = "SELECT * FROM tb_clientesWHERE cliente = '" + $nome + “’;"
Ao entrar com:Cliente: ‘; SELECT * FROM SYSOBJECTS;
Comando que será processado pelo Banco de Dados:
SELECT * FROM tb_clientes WHERE cliente = ‘’; SELECT * FROM SYSOBJECTS
Comando que poderá ser processado pelo Banco de Dados:
SELECT * FROM tb_clientes WHERE cliente = ‘’; DROP TABLE FINANCEIRO
Ataques a Banco de Dados
![Page 20: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/20.jpg)
SQL Injection – Solução
Utilização de parâmetros Remoção de caracteres especiais Limitação da quantidade de caracteres Configuração correta do usuário de acesso ao BD.
Ataques a Banco de Dados
![Page 21: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/21.jpg)
Criptografia
![Page 22: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/22.jpg)
Criptografia
Codifica os dados através de algoritmos;
A decodificação dos dados é feita através de chaves (pública e
privada) ou senha;
Inutiliza os dados sem a chave de decriptrografia ou senha
correspondente;
Não resolve problemas de controle de acesso;
Aumenta a segurança, limitando perda de dados mesmo se os
controles de acesso forem ignorados.
Fonte: http://msdn.microsoft.com/pt-br/library/bb510663.aspx
![Page 23: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/23.jpg)
Tipos de criptografia
Criptografia Hash (ou Digest);
Chaves Simétricas;
Chaves Assimétricas;
![Page 24: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/24.jpg)
Criptografia Hash
Permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor hash;
O valor hash geralmente é formado por 16 bytes (no caso do MD-2, MD-4 e MD-5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes;
![Page 25: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/25.jpg)
Chaves SimétricasA mesma chave é usada tanto na codificação quanto na
decodificação;Algoritmos criptográficos que fazem uso da Chave Simétrica:
DES (Data Encryption Standard); IDEA (Internacional Data Encryption Algorithm);RC (Ron’s Code ou Rivest Cipher);3DES;Twofish;Blowfish.
Confiram o vídeo exibido na apresentação:
http://www.youtube.com/watch?v=U62S8SchxX4
![Page 26: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/26.jpg)
Chaves Assimétricas
O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem;
Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta.
Na figura, a chave verde representa a chave pública, enquanto a chave rosa representa a chave privada.
Fonte: Wikipedia
![Page 27: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/27.jpg)
Criptografia em Banco de Dados
Não deve ser considerada em todos os dados ou conexões.
Como os usuários acessarão os dados?Usuários acessarem dados por uma rede pública.Usuários acessarem dados por uma intranet segura.
Qualquer uso de criptografia deve também incluir uma estratégia de manutenção de senhas, chaves e certificados.
![Page 28: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/28.jpg)
Conclusão
Independentemente dos recursos e investimentos aplicados em alta tecnologia, se faz necessária uma adoção comportamental e contínua voltada para a segurança do negócio. Pois, a sobrevivência da empresa não é fundamental apenas quanto ao aspecto da rentabilidade, mas também quanto ao aspecto da manutenção da operacionalidade em níveis que não possam interrompê-la.
![Page 29: Seguranca e Criptografia de Dados](https://reader036.fdocuments.net/reader036/viewer/2022062615/547f55e6b4af9fbe788b46b4/html5/thumbnails/29.jpg)
“Nenhuma corrente é mais forte que seu elo mais fraco.”