terça-feira, 3 de março de 2015

Introdução

Criptografia é um estudo das formas de transformar uma informação legível e com significado para ilegível e sem significado. A mensagem legível será apenas conhecida pelo destinatário, remetente e outras partes autorizadas. O objetivo da criptografia de uma forma geral é prevenir que pessoas não autorizadas não tenham acesso a esta informação, ou seja, sigilo.


Não conseguiu entender? Vamos a alguns exemplos práticos:

- Usuário A envia informações para o usuário B. Usuário C intercepta a comunicação e visualiza sem ter sido autorizado.

Bom, aqui podemos ver claramente o problema. Você envia algo para alguma pessoa e no meio do caminho outra pessoa, sem autorização visualiza esta informação. Se esta informação é sigilosa você não quer sair mostrando por ai, então para garantir que ninguém veja você aplica uma medida de segurança. Não estamos falando aqui exclusivamente de comunicação através de computadores, e sim qualquer tipo de comunicação. Um exemplo prático disso é em uma empresa. Um funcionário do setor de RH encaminha a folha de pagamento dos funcionários para o setor Financeiro, um funcionário intercepta e vê o salário de todos os funcionários.

- Usuário A envia informações para o usuário B. Usuário C intercepta, altera as informações e entrega a B.

Aqui temos um outro problema, similar em alguns aspectos com o anterior. Neste caso além de uma pessoa não autorizada ver informações que não deveria ela ainda altera essa informação com o objetivo de causar algum dano, obter alguma vantagem, etc. O exemplo prático que podemos usar aqui é o de uma escola. O professor preenche as notas e encaminha a secretaria, um aluno intercepta, troca sua nota e entrega o livro na secretaria.

- Usuário C se passando pelo usuário A, envia uma mensagem para o Usuário B solicitando alguma informação. O Usuário B acreditando ser mesmo o Usuário A, entrega a informação para o Usuário C.

Um exemplo simples desse tipo de problema é aqueles golpes por email e telefone. Pode parecer bobo, mas muitas pessoas caem nesse tipo de golpe. Se você não sabia, a maioria dos grandes hacks de redes sociais foi através de um ataque de engenharia social desses. Eu postei um exemplo desses a algum tempo atras.

Breve história

Você deve achar que por usarmos criptografia em nossos sistemas, servidores e computadores, a criptografia é algo novo e moderno, não é?

Pelo contrário! A criptografia é usada já a centenas ou até mesmo milhares de anos. Como o objetivo da criptografia é criar “comunicações secretas”, já foram encontradas diversas provas do uso da criptografia para esconder informações na antiguidade, como por exemplo hieróglifos incomuns encontrados em tumbas no Egito, em placas de barro da Mesopotamia, mensagens entre militares espartanos, exército romano (a famosa cifra de César) e por ai vai.


Obviamente os métodos usados foram evoluindo com o tempo junto com a matemática, saindo das formas básicas da antiguidade, passando por cifras clássicas com a cifra de César e a máquina Enigma usada na Segunda Guerra Mundial, até chegar nos algoritmos criptográficos modernos. Futuramente em outros posts vamos ver mais a respeito de algumas das técnicas clássicas, mas se quiser dar uma olhada rápida sobre o tema recomendo os dois filmes sobre o Alan Turing e a máquina Enigma, O Enigma (2001) e o Jogo da Imitação (2014).

Documentos digitais X documentos físicos

Agora já tendo uma noção de que tipo de problemas podemos encontrar, vamos começar a introduzir o mundo digital na história. Primeiramente vamos comparar o mundo digital com o mundo físico. Existem alguns detalhes que fazem toda a diferença em segurança digital e segurança física, o que muda completamente a abordagem que temos que usar, veja alguns:

- Documentos físicos são mais bem protegidos que documentos digitais: Olhe para a empresa em que trabalha ou empresas que conhece. Na maioria dos casos essa afirmação é verdadeira. Documentos físicos são armazenados em arquivos de ferro (você sabe o que é um arquivo né?), dentro de uma sala possivelmente fechada com chave. Para obter um documento você teria de conseguir a chave e entrar fisicamente nesse local. Já no digital, os documentos são armazenados em servidores e estações de trabalho com versões desatualizadas e piratas de sistemas operacionais e outros serviços, na maioria dos casos sem nenhum conhecimento de segurança aplicado a eles. Não preciso nem comentar quão fácil é de acessar e obter esses dados né? :)

- Possibilidade de identificar o original de uma cópia: De um modo geral, é possível identificar um documento original e uma cópia fisicamente. Por exemplo se você comparar uma assinatura a caneta em um documento e o xerox dessa assinatura vai notar pequenas diferenças. Já no digital, tudo é uma sequencia de bits e não pode se notar diferença entre dois documentos. Se você duplicar um documento, a princípio não se tem como identificar o original. Claro que não estamos levando em consideração a perícia forense, que pode identificar o menor sinal de modificação, estamos falando aqui de pessoas normais, que não notariam esse tipo de modificação.

- Alterações físicas deixam evidências, alterações digitais não: Outro caso similar ao de cima, ao olho de uma pessoa comum, uma rasura em um documento pode indicar uma modificação por exemplo, em um documento digital não temos como identificar facilmente essas evidências.

Principais ataques contra informações


Interceptação Ativa: Quando uma parte não autorizada intercepta uma mensagem entre duas partes e lê o conteúdo das mensagens.


Análise de tráfego: Também conhecida como interceptação passiva, onde o atacante apenas observa e analisa a comunicação em busca de padrões.



Fabricação: Também conhecido como personificação, quando o atacante se passa por uma das partes para obter informações.


Replay: Quando o atacante intercepta uma mensagem válida de uma parte e mais tarde reenvia com a esperança de que o destinatário reenvie a resposta da mensagem.




Modificação: Neste caso, o atacante intercepta a mensagem, altera seu conteúdo e depois encaminha para o destino.


0 comentários:

Postar um comentário

Subscribe to RSS Feed Follow me on Twitter!