Segurança na Web. Programação para a Internet. Prof. Vilson Heck Junior
|
|
- Raphael Regueira de Lacerda
- 8 Há anos
- Visualizações:
Transcrição
1 Segurança na Web Programação para a Internet Prof. Vilson Heck Junior
2 Males São inúmeros os males existentes no universo online: Vírus; Trojan; Spyware; Adware; Invasão; Keyloggers; Phishing; Golpes; Spam; Falhas de segurança; Privacidade;...
3 Prevenção Para qualquer um deles, a melhor forma de se prevenir é através do conhecimento: Saber quais riscos existem; Entender porque algo pode ser arriscado; Cartilha:
4 ONLINE! Cuidado com o conteúdo que você coloca no servidor: Mesmo não estando com link inserido em uma página, o conteúdo pode estar sujeito à indexação por mecanismos de busca! Entre no Google e pesquise por senhas.txt.
5 Tecnologias Criptografia; Certificação Digital.
6 Criptografia Criptografia vem do grego: escrita escondida; Basicamente é a transformação de dados, informações, texto, ou qualquer coisa, em símbolos sem equivalência aparente.
7 Criptografia Pode ocorrer em vários níveis: Criptografa o que está criptografado... Criptografia na camada de Transporte: TLS -> SSL: (responsabilidade do browser) Transport Layer Security; Secure Sockets Layer; Criptografia na camada de Apresentação: Com qualquer algoritmo de criptografia: Responsabilidade do programador.
8 Várias Criptografias
9 Criptografia Dado a enviar: Senha: 1234 Dado transmitido: Fqh23$Q#@%sh 2@434!5jsoi internet Dado recebido: Senha: 1234 Criptografia Decriptografia
10 Criptografia Atualmente o modelo de criptografia mais utilizado é o com chave assimétrica: Chave Privada + Chave Pública: onde Chave Privada!= Chave Pública Cifrar Terminal 1 Decifrar Terminal 2 Chave Privada 1 Chave Pública 1 Chave Pública 2 Transferência Chave Privada 2
11 Chave Assimétrica Cada dispositivo que irá utilizar a criptografia assimétrica deverá ter duas chaves: Privada: apenas o próprio dispositivo conhece sua própria chave privada; Pública: quem precisar enviar mensagens ao dispositivo deve conhecê-la;
12 Chave Assimétrica Antes de dois dispositivos trocarem dados, eles trocam suas chaves públicas: Terminal 1 Terminal 2 Chave Privada 1 Chave Pública 2 Chave Pública 1 Chave Privada 2
13 Chave Assimétrica Antes de dois dispositivos trocarem dados, eles trocam suas chaves públicas: Terminal 1 Terminal 2 Chave Privada 1 Chave Pública 1 Chave Pública 2 Chave Privada 2
14 RSA Um dos algoritmos mais seguros e fáceis de entender de criptografia; Na prática a maioria dos sites utilizam diversos tipos de artifícios de segurança ao mesmo tempo, não apenas RSA ou qualquer outro algoritmo; Ronald Rivest, Adi Shamir e Leonard Adleman: MIT As chaves, tanto a privada quanto a pública, são apenas pares de números inteiros;
15 RSA
16 RSA Criação das Chaves: 1. Escolha aleatoriamente dois números primos grandes: p e q (da ordem de pra cima); 2. Calcule n = pq; 3. Calcule t = (p 1)(q 1); 4. Escolha um número e, tal que 1 < e < t, de forma que e e t sejam primos entre si; 5. Calcule d, tal que (d * e) mod t = 1 Chave Pública = {n, e} Chave Privada = {n, d}
17 RSA Exemplo: 1. Dois números primos: p=13 e q=11; 2. Calcule n = pq = 143; 3. Calcule t = (p 1)(q 1) = 120; 4. Número e; 1 < e < t; e e t sejam primos entre si: e = 7; 5. Calcule d, tal que [(d * e) mod t = 1]; -> = 103; Chave Pública = {143, 7} Chave Privada = {143, 103}
18 RSA - Java Scanner entrada = new Scanner(System.in); System.out.print("Digite p(primo): "); long p = Long.parseLong(entrada.nextLine()); System.out.print("Digite q(primo): "); long q = Long.parseLong(entrada.nextLine()); long n = p * q; long t = (p - 1) * (q - 1); long e = 2; while (t % e == 0) e++; long d; for (d = 1; ; d++) if ((d * e) % t == 1 && d!= e) break; System.out.println("Chave Pública: " + n + ", " + e); System.out.println("Chave Privada: " + n + ", " + d);
19 RSA Java (BigInteger) Scanner entrada = new Scanner(System.in); System.out.print("Digite p(primo): "); BigInteger p = new BigInteger(entrada.nextLine()); System.out.print("Digite q(primo): "); BigInteger q = new BigInteger(entrada.nextLine()); BigInteger n = p.multiply(q); BigInteger t = p.subtract(biginteger.one).multiply(q.subtract(biginteger.one)); BigInteger e = new BigInteger("2"); while (t.remainder(e).equals(biginteger.zero)) e = e.add(biginteger.one); BigInteger d = new BigInteger("100"); while (!d.multiply(e).remainder(t).equals(biginteger.one) d.equals(e)) d = d.add(biginteger.one); System.out.println("Chave Pública: " + n + ", " + e); System.out.println("Chave Privada: " + n + ", " + d);
20 BigInteger Criar número primo grande: Documentação; BigInteger seed = new BigInteger( ); BigInteger primo = seed. nextprobableprime(); System.out.println(primo);
21 RSA Cript/Decript Dado uma mensagem m, onde 0 < m < n; Usando a chave pública do destinatário: {n, e} Cifração: c m e modn Usando a chave privada do receptor: {n, d} Decifração: m c d modn
22 RSA Cript/Decript Cifrando a senha numérica: 123 Chave pública: {143, 7} C = 123^7 mod 143 C = 7 Decifrando 7: Chave privada: {143, 103} M = 7^103 mod 143 M = 123
23 Atividade com RSA 1. Crie o seu par de chaves (números pequenos); 2. Divulgue aos colegas qual é sua chave pública; 3. Esconda sua chave privada; 4. Utilize o algoritmo RSA disponibilizado: 1. Cifrar (deve receber os valores: m, n, e) 2. Decifrar (apenas o valor C)
24 Em Programação Web... PHP: Função crypt(): JSP: W3C Classe Cipher: API Java Client Side JavaScript: Web Cryptography API W3C (Em homologação); Muitas outras bibliotecas online.
25 Segurança na WEB CERTIFICAÇÃO DIGITAL
26 Certificação Digital Contraditório com Assinatura Digital: Certificado Digital da Receita Basicamente é um arquivo (ou dados) criptografado por alguém com sua chave privada; O arquivo criptografado é disponibilizado com sua chave pública; Quem receber o arquivo usa a chave pública para abri-lo ; Assim você terá certeza de que o arquivo foi gerado por quem te enviou e está integro.
27 Certificação Digital
28 Certificação Digital Para que um website seja certificado, ele deverá ser cadastrado a uma Unidade Certificadora; Na prática, existem árvores de Unidades Certificadoras; Um exemplo de Certificadora é a Certisign; A empresa é quem irá fornecer suas chaves Pública e Privada, bem como garantir trocas (atualizações das mesmas).
29 Certificação Digital AC Autoridade Certificadora Executam politicas de certificados digitais e expedem certificados às ARs AR Autoridades de Registro Trabalham com usuários finais, reconhecendo-os pessoalmente para realizar seus cadastros ICP - Brasil
30 Certificação Digital Caso você não possa pagar por uma certificação, você poderá gerar suas próprias chaves: OpenSSL; Exemplo: A maioria destas configurações são feitas no servidor: Apache, por exemplo.
31 Conclusões Ao planejar um website que precise de informações seguras: Busque informações sobre como obter uma certificação digital; Configure seu servidor/página web para utilizar a certificação adquirida; Utilize algum tipo de criptografia em camada de aplicação quando possível; Ao gravar dados em bancos de dados, você pode criptografá-los utilizando uma chave assimétrica. Somente sua chave par conseguiria recuperar os dados.
Assinatura Digital: problema
Assinatura Digital Assinatura Digital Assinatura Digital: problema A autenticidade de muitos documentos, é determinada pela presença de uma assinatura autorizada. Para que os sistemas de mensagens computacionais
Leia maisREDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13
REDES DE COMPUTADORES E TELECOMUNICAÇÕES MÓDULO 13 Índice 1. Criptografia...3 1.1 Sistemas de criptografia... 3 1.1.1 Chave simétrica... 3 1.1.2 Chave pública... 4 1.1.3 Chave pública SSL... 4 2. O símbolo
Leia maisProf. Roberto Franciscatto 4º Semestre - TSI - CAFW. Free Powerpoint Templates Page 1
Segurança na Web Cap. 4: Protocolos de Segurança Prof. Roberto Franciscatto 4º Semestre - TSI - CAFW Page 1 é definido como um procedimento seguro para se regular a transmissão de dados entre computadores
Leia maisCertificado Digital: Como Funciona (www.bry.com.br)
Comércio Eletrônico Faculdade de Tecnologia SENAC Curso Superior de Tecnologia em Análise e Desenvolvimento de Sistemas Unidade Curricular: Comércio Eletrônico Edécio Fernando Iepsen (edecio@terra.com.br)
Leia maisI T I. AC Raiz. Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal. Receita Federal SERASA SERPRO CAIXA CERT PRIVADA
I T I AC Raiz Instituto Nacional de Tecnologia da Informação, órgão do Governo Federal Receita Federal SERASA SERPRO CAIXA CERT AC PRIVADA AR Autoridade Registradora AR Autoridade Registradora Certificado
Leia maisProtocolos de Aplicação SSL, TLS, HTTPS, SHTTP
Protocolos de Aplicação SSL, TLS, HTTPS, SHTTP SSL - Secure Socket Layer Protocolos criptográfico que provê comunicação segura na Internet para serviços como: Telnet, FTP, SMTP, HTTP etc. Provê a privacidade
Leia maisCriptografia e Segurança em Redes Capítulo 9. Quarta Edição William Stallings
Criptografia e Segurança em Redes Capítulo 9 Quarta Edição William Stallings Capítulo 9 - Public Key Cryptography e RSA Cada egípicio recebia dois nomes que eram conhecidos respectivamente como o nome
Leia maisUNIVERSIDADE ESTADUAL DE GOIÁS UNIDADE UNIVERSITÁRIA DE JUSSARA LICENCIATURA EM MATEMÁTICA ANA PAULA ALVES MACHADO DE LIMA
UNIVERSIDADE ESTADUAL DE GOIÁS UNIDADE UNIVERSITÁRIA DE JUSSARA LICENCIATURA EM MATEMÁTICA ANA PAULA ALVES MACHADO DE LIMA A HISTÓRIA DA CRIPTOGRAFIA E A APLICAÇÃO DE TEORIA DOS NÚMEROS EM CRIPTOGRAFIA
Leia maisIntrodução. Iremos procurar ver aqui alguns mecanismos de proteção mais utilizados como: criptografia e SSL. 1.0 Criptografia
Introdução Atualmente no mundo internacional das redes e com o comércio eletrônico, todo sistema de computador se tornou um alvo em potencial para intrusos. O problema é que não há como saber os motivos
Leia maisProjeto Integrador Segurança de Redes e Transmissão de Dados
FACULDADE DE TECNOLOGIA SENAC GOIÁS SEGURANÇA DA INFORMAÇÃO Projeto Integrador Segurança de Redes e Transmissão de Dados AYLSON SANTOS EDFRANCIS MARQUES HEVERTHON LUIZ THIAGO SHITINOE AYLSON SANTOS EDFRANCIS
Leia maisGerenciamento e Segurança de Dados
Prof. Wanderson Reis professor@wanderson.pro.br Gerenciamento e Segurança de Dados 04/03/2011 Informática - PDS Tópicos principais Definições básicas de segurança da informação Políticas de segurança da
Leia maisPrivacidade. <Nome> <Instituição> <e-mail>
Privacidade Agenda Privacidade Riscos principais Cuidados a serem tomados Créditos Privacidade (1/3) Sua privacidade pode ser exposta na Internet: independentemente da sua
Leia maisI Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA
I Seminário sobre Segurança da Informação e Comunicações CRIPTOGRAFIA OBJETIVO Conhecer aspectos básicos do uso da criptografia como instrumento da SIC.. Abelardo Vieira Cavalcante Filho Assistente Técnico
Leia maisfonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0
Entenda o que é um certificado digital SSL (OPENSSL) fonte: http://www.nit10.com.br/dicas_tutoriais_ver.php?id=68&pg=0 1. O que é "Certificado Digital"? É um documento criptografado que contém informações
Leia maisSegurança da Informação. Prof. Gleison Batista de Sousa
Segurança da Informação Prof. Gleison Batista de Sousa Ao longo do tempo e com a evolução tecnologia surgiram uma quantidade enorme de problemas desafiadores relacionados a segurança da informação. Quais
Leia maisAuditoria e Segurança da Informação GSI536. Prof. Rodrigo Sanches Miani FACOM/UFU
Auditoria e Segurança da Informação GSI536 Prof. Rodrigo Sanches Miani FACOM/UFU Revisão Criptografia de chave simétrica; Criptografia de chave pública; Modelo híbrido de criptografia. Criptografia Definições
Leia maisSegurança da Informação
INF-108 Segurança da Informação Autenticação Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Resumos de mensagem (hash) Algoritmo Hash são usados quando a autenticação é necessária, mas o sigilo,
Leia maisSERVIDOR WEB - APACHE SERVIDOR WEB - APACHE SERVIDOR WEB - APACHE 27/02/2012
O servidor Apache é o mais bem sucedido servidor web livre. Foi criado em 1995 por Rob McCool, então funcionário do NCSA (National Center for Supercomputing Applications). Em maio de 2010, o Apache serviu
Leia maisAssinatura e Certificação Digital
e Certificação Digital Por Rafael Port da Rocha 2006 Versão: 07/04/06 20:28 Notas de ula - 2006 Rafael Port da Rocha 1 Características Básicas para um Processo de Comunicação I B C utenticidade: O usuário
Leia maisPROJETO INTEGRADOR. 5º PERÍODO Gestão da Tecnologia da Informação Noturno
FACULDADE DE TECNOLOGIA SENAC GOIÁS PROJETO INTEGRADOR 5º PERÍODO Gestão da Tecnologia da Informação Noturno GOIÂNIA 2014-1 Sistemas de Gestão Empresarial Alunos: Alessandro Santos André de Deus Bruno
Leia maishttp://cartilha.cert.br/
http://cartilha.cert.br/ Códigos maliciosos são usados como intermediários e possibilitam a prática de golpes, a realização de ataques e o envio de spam Códigos maliciosos, também conhecidos como pragas
Leia maisUNIP UNIVERSIDADE PAULISTA
UNIP UNIVERSIDADE PAULISTA GERENCIAMENTO DE REDES Segurança Lógica e Física de Redes 2 Semestre de 2012 SEGURANÇA LÓGICA: Criptografia Firewall Protocolos Seguros IPSec SSL SEGURANÇA LÓGICA: Criptografia
Leia maisCriptografia e Chave Pública. Segurança da Informação
Criptografia e Chave Pública Segurança da Informação Ementa Visão Global O que é? Criptografia está em todo lugar; Técnicas Primitivas de Cifragem; Outras técnicas de criptografia; Criptografia Moderna;
Leia maisVírus é um programa. Sendo que este programa de computadores é criado para prejudicar o equipamento ou sabotar os dados nele existente.
Segurança da Informação Prof. Jefferson Costa www.jeffersoncosta.com.br Engenharia Social Chama-se Engenharia Social as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações
Leia maisManual para inserir documentos no sistema Projudi
TRIBUNAL DE JUSTIÇA DO ESTADO DO PARÁ SECRETARIA DE INFORMÁTICA Manual para inserir documentos no sistema Projudi O Projudi só aceita o envio de arquivos assinados, existem três formas de realizar a assinatura
Leia maisNovidades do AVG 2013
Novidades do AVG 2013 Conteúdo Licenciamento Instalação Verificação Componentes Outras características Treinamento AVG 2 Licenciamento Instalação Verificação Componentes do AVG Outras características Treinamento
Leia maisINE 5223 Informática para Secretariado
4. AMBIENTE INTERNET UFSC Prof.: Achilles Colombo Prudêncio 4. Ambiente Internet UFSC 4.2. Utilização de Recursos da Internet O uso dos recursos da Internet vem sendo comentado sempre, em todos os tópicos
Leia maisGUIA DE TRANQÜILIDADE
GUIA DE TRANQÜILIDADE NA INTERNET versão reduzida Você pode navegar com segurança pela Internet. Basta tomar alguns cuidados. Aqui você vai encontrar um resumo com dicas práticas sobre como acessar a Internet
Leia maisTecnologias Web. Lista de Exercícios AV02 Turma 3003. Luiz Leão luizleao@gmail.com http://www.luizleao.com
Turma 3003 Luiz Leão luizleao@gmail.com http://www.luizleao.com Questão 1 Um analista de sistemas deseja enviar para seu cliente um arquivo de 300 Mb referente a uma atualização do software. Para transferir
Leia maisSegurança em Computadores. GTI SEDU atendimento@sedu.es.gov.br
Segurança em Computadores GTI SEDU atendimento@sedu.es.gov.br Agenda Computadores Riscos principais Cuidados a serem tomados Créditos Computadores (1/4) Computador pessoal grande quantidade de dados armazenados
Leia maisIntrodução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção...
Conteúdo do Ebook Introdução... O que é SSL... Quais são os tipos de SSL... Por que ter... Como contratar... Como é feita a manutenção... Quais foram as últimas falhas... Conclusão... 03 04 05 06 06 07
Leia maisTREINAMENTO. Novo processo de emissão de certificados via applet.
TREINAMENTO Novo processo de emissão de certificados via applet. Introdução SUMÁRIO Objetivo A quem se destina Autoridades Certificadoras Impactadas Produtos Impactados Pré-requisitos para utilização da
Leia maisSegurança Internet. Fernando Albuquerque. fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589
Segurança Internet Fernando Albuquerque fernando@cic.unb.br www.cic.unb.br/docentes/fernando (061) 273-3589 Tópicos Introdução Autenticação Controle da configuração Registro dos acessos Firewalls Backups
Leia maisCERTIFICAÇÃO DIGITAL
Autenticidade Digital CERTIFICAÇÃO DIGITAL Certificação Digital 1 Políticas de Segurança Regras que baseiam toda a confiança em um determinado sistema; Dizem o que precisamos e o que não precisamos proteger;
Leia maisComo usar o. Como usar o Facebook para melhorar meu Negócio?
Como usar o Facebook para melhorar meu Negócio? O que é o Facebook? É uma rede social que permite conectar-se com amigos, familiares e conhecidos para trocar informações como fotografias, artigos, vídeos
Leia maisSegurança em Informática
Especialização em Gestão das Tecnologias na Educação Básica Disciplina: Informática Aplicada a Educação Prof. Walteno Martins Parreira Júnior Segurança em Informática Inicialmente, responda o questionário
Leia maisMANUAL DE UTILIZAÇÃO DO GCD GERENCIADOR DE CERTIFICADOS DIGITAIS
MANUAL DE UTILIZAÇÃO DO GCD GERENCIADOR DE Versão 2 Atualizado em 03/05/2012 Página 1 de 77 ÍNDICE 1 - O QUE É O GCD... 3 2 - COMO EXECUTAR O GCD GERENCIADOR DE... 4 2.3 - COMO CONFIGURAR O PROXY DO GCD...
Leia maisSegurança da Informação
INF-108 Segurança da Informação ICP e Certificados Digitais Prof. João Henrique Kleinschmidt Santo André, junho de 2013 Criptografia de chave pública Oferece criptografia e também uma maneira de identificar
Leia maisCertificado Digital. Manual do Usuário
Certificado Digital Manual do Usuário Índice Importante... 03 O que é um Certificado Digital?... 04 Instalação do Certificado... 05 Revogação do Certificado... 07 Senhas do Certificado... 08 Renovação
Leia maiswww.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00
www.f2b.com.br 18/04/2006 Micropagamento F2b Web Services Web rev 00 Controle de Revisões Micropagamento F2b Web Services/Web 18/04/2006 Revisão Data Descrição 00 17/04/2006 Emissão inicial. www.f2b.com.br
Leia maisGerência de Segurança
Gerência de segurança envolve a proteção de dados sensíveis dos dispositivos de rede através do controle de acesso aos pontos onde tais informações se localizam Benefícios do processo de gerência de segurança
Leia maisProposta de estudo CNC
Proposta de estudo CNC Vitor Hugo Galhardo Moia vhgmoia@dca.fee.unicamp.br Universidade Estadual de Campinas - UNICAMP Faculdade de Engenharia Elétrica e de Computação FEEC APRESENTAÇÃO GRUPO DCA DE SEGURANÇA
Leia maisAula 04 Operadores e Entrada de Dados. Disciplina: Fundamentos de Lógica e Algoritmos Prof. Bruno Gomes http://www.profbrunogomes.com.
Aula 04 Operadores e Entrada de Dados Disciplina: Fundamentos de Lógica e Algoritmos Prof. Bruno Gomes http://www.profbrunogomes.com.br/ Agenda da Aula Operadores: Aritméticos; Atribuição; Concatenação;
Leia maisExecícios de Revisão Redes de Computadores Edgard Jamhour. Filtros de Pacotes Criptografia SSL
Execícios de Revisão Redes de Computadores Edgard Jamhour Filtros de Pacotes Criptografia SSL Exercício 1 Configure as regras do filtro de pacotes "E" para permitir que os computadores da rede interna
Leia maisGUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE
GUIA RÁPIDO DE UTILIZAÇÃO DO PORTAL DO AFRAFEP SAÚDE INTRODUÇÃO O portal do Afrafep Saúde é um sistema WEB integrado ao sistema HEALTH*Tools. O site consiste em uma área onde os Usuários e a Rede Credenciada,
Leia maisTipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel
Tipos de pragas Virtuais; Como funciona os antivírus; Principais golpes virtuais; Profº Michel Tipos de pragas virtuais 1 Vírus A mais simples e conhecida das ameaças. Esse programa malicioso pode ligar-se
Leia maisInstruções Básicas de Instalação - Mozilla Thunderbird
Instruções Básicas de Instalação - Mozilla Thunderbird Passo a passo da instalação do Thunderbird Introdução O Thunderbird é o leitor de email produzido pela fundação mozilla. O Thunderbird foi projetado
Leia maisCARTILHA DE SEGURANÇA
ESTADO DE SERGIPE TRIBUNAL DE CONTAS DO ESTADO CARTILHA DE SEGURANÇA COORDENADORIA DE INFORMÁTICA Sumário O que é informação... 3 Cuidado com a Engenharia Social... 3 Dicas de Senhas... 4 Recomendações
Leia maisDomínios. Domínios Mundiais Usado para atividades comerciais. Usado em instituições sem fins lucrativos. Usado para nomes pessoais.
Aula 01 Domínios Domínios são todos os nomes registrados na base de dados do DNS e que, portanto, recebem um endereço IP e passam a estar disponíveis na Internet. Todos os endereços de sites existentes
Leia maisAgora OS: Manual Interface. 2011 Milenial Multimedia
Todos os direitos reservados a Milenial Comunicação Visual LTDA. Nenhuma parte deste documento pode ser reproduzida em nenhuma forma sem a permissão do autor. Impresso em: abril 2011 Contents 3 Índice
Leia maisMALWARE. Spyware. Seguem algumas funcionalidades implementadas em spywares, que podem ter relação com o uso legítimo ou malicioso:
MALWARE Spyware É o termo utilizado para se referir a uma grande categoria de software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Seguem
Leia mais