Integrantes: Renato Duarte Leonardo de Jesus Felipe Plattek Ricardo Villas-Bôas Fernandes Marcus Vinícius S. Silva
Agenda <ul><li>Segurança de dados e informação </li></ul><ul><li>Banco de dados </li></ul><ul><li>Vulnerabilidades </li></...
Segurança de Dados e Informação
Desafios das organizações <ul><li>Estabelecer contra medidas para o risco de perda de dados. </li></ul><ul><li>Adequar-se ...
Dados e Informação <ul><li>Problemas identificados em dados não protegidos: </li></ul><ul><ul><li>Dados armazenados em míd...
Dados e Informação <ul><li>Valores agregados à proteção dos dados e informação: </li></ul><ul><ul><li>Redução do custo, au...
Banco de Dados
Banco de Dados  <ul><li>É um conjunto de registros dispostos em uma estrutura regular que possibilita a reorganização dos ...
Banco de Dados  <ul><li>São utilizados para armazenar diversos tipo de dados, como informações de pessoas, dados bancários...
Ferramentas de Segurança <ul><ul><li>Política de Segurança </li></ul></ul><ul><ul><li>Levantamento de Necessidades de Usuá...
Ferramentas de Segurança <ul><li>SQL Server  </li></ul><ul><ul><li>Modos de Segurança: Standard e Integrated  </li></ul></...
Ferramentas de Segurança <ul><li>Oracle  </li></ul><ul><ul><li>Integração com o SO  </li></ul></ul><ul><ul><li>Schemas  </...
Vulnerabilidades
Vulnerabilidades <ul><li>O maior valor de uma empresa são as informações que ela possui. </li></ul><ul><li>Todos os recurs...
<ul><li>Ameaças e vulnerabilidades poderão ser de menor impacto se estiver bem definido: </li></ul><ul><ul><li>Processo  (...
Ataques a Banco de Dados
Ataques a Banco de Dados <ul><li>SQL Injection </li></ul><ul><li>Uma das técnicas de fraude mais conhecida pelos desenvolv...
SQL Injection – Exemplo $Sql = &quot;SELECT * FROM tb_usuario  WHERE usuario = '&quot; + $usuario + “ AND senha = ‘” + $se...
<ul><li>SQL Injection – Exemplo </li></ul><ul><li>$Sql = &quot;SELECT * FROM tb_clientes </li></ul><ul><li>WHERE cliente =...
<ul><li>SQL Injection – Solução </li></ul><ul><li>Utilização de parâmetros </li></ul><ul><li>Remoção de caracteres especia...
Criptografia
Criptografia <ul><li>Codifica os dados através de algoritmos; </li></ul><ul><li>A decodificação dos dados é feita através ...
Tipos de criptografia <ul><li>Criptografia Hash (ou Digest); </li></ul><ul><li>Chaves Simétricas; </li></ul><ul><li>Chaves...
Criptografia Hash <ul><li>Permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital ...
Chaves Simétricas <ul><li>A mesma chave é usada tanto na codificação quanto na decodificação; </li></ul><ul><li>Algoritmos...
Chaves Assimétricas <ul><li>O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar ...
Criptografia em Banco de Dados <ul><li>Não deve ser considerada em todos os dados ou conexões.  </li></ul><ul><li>Como os ...
Conclusão <ul><li>Independentemente dos recursos e investimentos aplicados em alta tecnologia, se faz necessária uma adoçã...
“ Nenhuma corrente é mais forte que seu elo mais fraco.”
Upcoming SlideShare
Loading in...5
×

Seguranca e Criptografia de Dados

3,153

Published on

Apresentação do trabalho da disciplina Banco de Dados do MBA em Tecnologia da Informação - Executivo da Escola Politécnica da UFRJ

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,153
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
113
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide
  • Chaves Simétricas      É o tipo mais simples de criptografia, já que tanto o emissor quanto o receptor da mensagem possuem a mesma chave, ou seja, a mesma chave é usada tanto na codificação quanto na decodificação.      Para ser realizada, basta que o emissor, antes de enviar a mensagem criptografada, envie a chave privada que será utilizada para descriptografá-la. Retirado do site da USP Existem diversos algoritmos criptográficos que fazem uso da Chave Simétrica, tais como:   - DES (Data Encryption Standard)       Criado pela IBM em 1977, usa criptografia de 56 bits, o que corresponde a cerca de 72 quadrilhões de chaves diferentes. Apesar de ser um valor bastante alto, foi quebrado por em 1997 por força bruta (tentativa e erro), em um desafio feito na Internet.   - IDEA (Internacional Data Encryption Algorithm)       Criado em 1991 por Massey e Xuejia Lai, utiliza chaves de 128 bits com uma estrutura semelhante ao anteriormente citado DES, porém, possui uma implementação mais simples.   - RC (Ron’s Code ou Rivest Cipher)       Desenvolvido por Ron Rivest, é largamente utilizado em e- mails. Possui diversas versões (RC2, RC4, RC5 e RC6), com chaves que vão de 8 à 1024 bits       Podemos citar ainda o 3DES, o Twofish e o Blowfish, entre outros.       Porém, a Chave Simétrica apresenta alguns problemas graves, tais como a necessidade da troca constante dessas chaves e a impossibilidade de serem usados com fins de autentificação (já que a transmissão da chave privada de um para o outro pode não ser segura e acabar caindo em outras mãos), apesar de seus algoritmos serem mais rápidos do que os algoritmos assimétricos.
  • Chaves Assimétricas      Diferentemente do método de Chave Simétrica, esse tipo utiliza 2 chaves, uma pública e uma privada. O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem. Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta. Retirado da Wikipedia Retirado da Wikipedia Na figura, a chave verde representa a chave pública, enquanto a chave rosa reprenta a chave privada.            Esse esquema de chaves pública e privada atuando em conjunto funciona muito bem, principalmente quando queremos garantir a confiabilidade nos dados, já que somente o proprietário da chave privada será capaz de descriptografar a mensagem e vice-versa (nem mesmo o dono da chave pode descriptar a mensagem que ele encriptou, a não ser que ele possua a outra chave), ou seja, mesma que ela caia em “mãos erradas”, essa pessoa não será capaz de lê-la.      Existem diversos algoritmos criptograficos que fazem uso da Chave Simétrica, tais como:       - RSA (Rivest, Chamir e Adleman)       Criado em 1977 por Ron Rivest, Adi Shamir e Len Adleman, é um dos algoritmos de chave assimétrica mais utilizados. Seu funcionamento consiste na multiplicação de 2 números primos muito grandes para a geração de um terceiro número. Para quebrar essa cripografia, seria necessário a fatoração desse número para encontrar os 2 números primos que o geraram, porém, para isso é necessário um poder muito alto de processamento, o que acaba inviabilizando a tarefa. A chave privada são os dois números primos e a pública é o terceiro número.        - ElGamal       Desenvolvido por Taher ElGamal, faz uso de um algoritmo conhecido como “logaritmo discreto” para se tornar seguro. É frequente seu uso em assinaturas digitais.      Podemos citar ainda o DSS (Digital Signature Standard), entre outros.       Assim como a Chave Simétrica, a Assimétrica também tem seus problemas. A utilização de algoritmos reversos para desencriptação de mensagens acaba por elevar o tempo computacional dos algoritmos de criptografia assimétrica, tornando inviável o seu uso em uma comunicação intensa.
  • Importante Embora a criptografia seja uma ferramenta valiosa para ajudar a garantir a segurança, não deve ser considerada em todos os dados ou conexões. Quando você estiver decidindo se a criptografia deve ser implementada, considere como os usuários acessarão os dados. Se os usuários acessarem dados por uma rede pública, a criptografia de dados poderá ser necessária para aumentar a segurança. No entanto, se todos os acessos envolverem uma configuração de intranet segura, a criptografia poderá não ser necessária. Qualquer uso de criptografia deve também incluir uma estratégia de manutenção de senhas, chaves e certificados.
  • Seguranca e Criptografia de Dados

    1. 1. Integrantes: Renato Duarte Leonardo de Jesus Felipe Plattek Ricardo Villas-Bôas Fernandes Marcus Vinícius S. Silva
    2. 2. Agenda <ul><li>Segurança de dados e informação </li></ul><ul><li>Banco de dados </li></ul><ul><li>Vulnerabilidades </li></ul><ul><li>Ataques a banco de dados </li></ul><ul><li>Criptografia </li></ul><ul><li>Conclusão </li></ul>
    3. 3. Segurança de Dados e Informação
    4. 4. Desafios das organizações <ul><li>Estabelecer contra medidas para o risco de perda de dados. </li></ul><ul><li>Adequar-se às exigências da atual dinâmica empresarial; </li></ul><ul><ul><li>Rapidez nas tomadas de decisão; </li></ul></ul><ul><ul><li>Racionalização dos processos; </li></ul></ul><ul><ul><li>Processamento de grandes volumes; </li></ul></ul><ul><ul><li>Pressão sobre os resultados. </li></ul></ul>
    5. 5. Dados e Informação <ul><li>Problemas identificados em dados não protegidos: </li></ul><ul><ul><li>Dados armazenados em mídia removível (perdidos / roubados) </li></ul></ul><ul><ul><li>Política inconsistente de dados; </li></ul></ul><ul><ul><li>Dados não estruturados; </li></ul></ul><ul><ul><li>Falha no processo de auditoria interna </li></ul></ul><ul><ul><li>Exposição legal, regulamentária e ética para a organização; </li></ul></ul><ul><ul><li>Custo de violações de dados. </li></ul></ul>
    6. 6. Dados e Informação <ul><li>Valores agregados à proteção dos dados e informação: </li></ul><ul><ul><li>Redução do custo, aumento da capacidade de cumprir as obrigações de auditoria e conformidade; </li></ul></ul><ul><ul><li>Garantia que os dados estejam disponíveis para as pessoas certas, no momento certo; </li></ul></ul><ul><ul><li>Garantia que os dados não sejam deliberada- ou inadvertidamente acessados, vazados ou danificados; </li></ul></ul>
    7. 7. Banco de Dados
    8. 8. Banco de Dados <ul><li>É um conjunto de registros dispostos em uma estrutura regular que possibilita a reorganização dos mesmos permitindo extrair a informação. </li></ul>
    9. 9. Banco de Dados <ul><li>São utilizados para armazenar diversos tipo de dados, como informações de pessoas, dados bancários, informações confidenciais, etc. </li></ul>
    10. 10. Ferramentas de Segurança <ul><ul><li>Política de Segurança </li></ul></ul><ul><ul><li>Levantamento de Necessidades de Usuários </li></ul></ul><ul><ul><ul><li>O que desejam </li></ul></ul></ul><ul><ul><ul><li>O que precisam </li></ul></ul></ul><ul><ul><ul><li>Perfis comuns </li></ul></ul></ul><ul><ul><ul><li>Níveis de Segurança </li></ul></ul></ul><ul><ul><ul><li>Adaptação às Regras da Empresa </li></ul></ul></ul><ul><ul><li>Administrador, Dono de Objetos, Usuário Comum </li></ul></ul><ul><ul><li>Proteção em nível de Tabela </li></ul></ul><ul><ul><li>Gerência da base; Acesso a Objetos (Tabelas, Visões etc.) </li></ul></ul><ul><ul><li>Integração com o Sistema Operacional </li></ul></ul><ul><ul><li>Views, Stored Procedures, Triggers </li></ul></ul><ul><ul><li>Backup & Recovery </li></ul></ul><ul><ul><li>Auditoria </li></ul></ul>
    11. 11. Ferramentas de Segurança <ul><li>SQL Server </li></ul><ul><ul><li>Modos de Segurança: Standard e Integrated </li></ul></ul><ul><ul><li>Logins </li></ul></ul><ul><ul><li>Usuários </li></ul></ul><ul><ul><ul><li>Administrador, Database Owner, Database Object Owner, Database User </li></ul></ul></ul><ul><ul><ul><li>Privilégios de Objeto vs. Sistema </li></ul></ul></ul><ul><ul><li>Objetos: Rule, Default, Stored Procedure, Trigger, View </li></ul></ul><ul><ul><li>Políticas de Backup </li></ul></ul><ul><ul><li>Recuperação </li></ul></ul><ul><ul><li>Auditoria </li></ul></ul><ul><ul><li>Ferramentas externas </li></ul></ul>
    12. 12. Ferramentas de Segurança <ul><li>Oracle </li></ul><ul><ul><li>Integração com o SO </li></ul></ul><ul><ul><li>Schemas </li></ul></ul><ul><ul><li>Usuários </li></ul></ul><ul><ul><ul><li>Administrador, Database Owner, Database Object Owner, Database User </li></ul></ul></ul><ul><ul><ul><li>Privilégios de Objeto vs. Sistema </li></ul></ul></ul><ul><ul><ul><li>Roles </li></ul></ul></ul><ul><ul><li>Objetos: Stored Procedure, Trigger, View, Synonym, Profile </li></ul></ul><ul><ul><li>Políticas de Backup </li></ul></ul><ul><ul><li>Recuperação </li></ul></ul><ul><ul><li>Ferramentas do Oracle Enterprise Manager </li></ul></ul><ul><ul><li>Oracle Security Server </li></ul></ul><ul><ul><li>Auditoria </li></ul></ul><ul><ul><li>Criptografia </li></ul></ul>
    13. 13. Vulnerabilidades
    14. 14. Vulnerabilidades <ul><li>O maior valor de uma empresa são as informações que ela possui. </li></ul><ul><li>Todos os recursos que expõem dados ou informações podem ser considerados um risco, se forem implementados incorretamente. </li></ul><ul><li>A preocupação com a segurança dos dados contidos em bancos de dados deve ser alta, independente do tipo de informação que está sendo tratada. </li></ul>
    15. 15. <ul><li>Ameaças e vulnerabilidades poderão ser de menor impacto se estiver bem definido: </li></ul><ul><ul><li>Processo (Diretivas de segurança); </li></ul></ul><ul><ul><li>Plataforma (Sistema não atualizado); </li></ul></ul><ul><ul><li>Autenticação (Senhas pouco seguras); </li></ul></ul><ul><ul><li>Programação (Injeção SQL); </li></ul></ul><ul><ul><li>Acesso aos dados (Criptografia aplicada de forma inadequada); </li></ul></ul>Vulnerabilidades
    16. 16. Ataques a Banco de Dados
    17. 17. Ataques a Banco de Dados <ul><li>SQL Injection </li></ul><ul><li>Uma das técnicas de fraude mais conhecida pelos desenvolvedores web. </li></ul><ul><li>Manipulação de instrução SQL através das variáveis que compõem parâmetros recebidos por scripts server-side. </li></ul>
    18. 18. SQL Injection – Exemplo $Sql = &quot;SELECT * FROM tb_usuario WHERE usuario = '&quot; + $usuario + “ AND senha = ‘” + $senha + “’;&quot; <ul><li>Ao entrar com: </li></ul><ul><li>Usuário: ‘ or ‘1’=‘1 </li></ul><ul><li>Senha: ‘ or ‘1’=‘1 </li></ul>Comando que será processado pelo Banco de Dados: SELECT * FROM tb_usuario WHERE usuario = ‘’ or ‘1’=‘1’ AND senha = ‘’ or ‘1’=‘1’; Ataques a Banco de Dados
    19. 19. <ul><li>SQL Injection – Exemplo </li></ul><ul><li>$Sql = &quot;SELECT * FROM tb_clientes </li></ul><ul><li>WHERE cliente = '&quot; + $nome + “’;&quot; </li></ul><ul><li>Ao entrar com: </li></ul><ul><li>Cliente: ‘; SELECT * FROM SYSOBJECTS; </li></ul>Comando que será processado pelo Banco de Dados: SELECT * FROM tb_clientes WHERE cliente = ‘’; SELECT * FROM SYSOBJECTS Comando que poderá ser processado pelo Banco de Dados: SELECT * FROM tb_clientes WHERE cliente = ‘’; DROP TABLE FINANCEIRO Ataques a Banco de Dados
    20. 20. <ul><li>SQL Injection – Solução </li></ul><ul><li>Utilização de parâmetros </li></ul><ul><li>Remoção de caracteres especiais </li></ul><ul><li>Limitação da quantidade de caracteres </li></ul><ul><li>Configuração correta do usuário de acesso ao BD. </li></ul>Ataques a Banco de Dados
    21. 21. Criptografia
    22. 22. Criptografia <ul><li>Codifica os dados através de algoritmos; </li></ul><ul><li>A decodificação dos dados é feita através de chaves (pública e privada) ou senha; </li></ul><ul><li>Inutiliza os dados sem a chave de decriptrografia ou senha correspondente; </li></ul><ul><li>Não resolve problemas de controle de acesso; </li></ul><ul><li>Aumenta a segurança, limitando perda de dados mesmo se os controles de acesso forem ignorados. </li></ul>Fonte: http://msdn.microsoft.com/pt-br/library/bb510663.aspx
    23. 23. Tipos de criptografia <ul><li>Criptografia Hash (ou Digest); </li></ul><ul><li>Chaves Simétricas; </li></ul><ul><li>Chaves Assimétricas; </li></ul>
    24. 24. Criptografia Hash <ul><li>Permite que, através de uma string de qualquer tamanho, seja calculado um identificador digital de tamanho fixo, chamado de valor  hash ; </li></ul><ul><li>O valor  hash  geralmente é formado por 16 bytes (no caso do MD-2, MD-4 e MD-5) ou 20 bytes (no caso do SHA-1), mas pode se estender, embora não passe de 512 bytes; </li></ul>
    25. 25. Chaves Simétricas <ul><li>A mesma chave é usada tanto na codificação quanto na decodificação; </li></ul><ul><li>Algoritmos criptográficos que fazem uso da Chave Simétrica: </li></ul><ul><ul><li>DES (Data Encryption Standard); </li></ul></ul><ul><ul><li>IDEA (Internacional Data Encryption Algorithm); </li></ul></ul><ul><ul><li>RC (Ron’s Code ou Rivest Cipher) ; </li></ul></ul><ul><ul><li>3DES; </li></ul></ul><ul><ul><li>Twofish; </li></ul></ul><ul><ul><li>Blowfish. </li></ul></ul>Confiram o vídeo exibido na apresentação: http://www.youtube.com/watch?v=U62S8SchxX4
    26. 26. Chaves Assimétricas <ul><li>O sistema funciona da forma que alguém cria uma chave e envia essa chave à quem quiser mandar informações à ela, essa é a chamada chave pública. Com ela é feita a codificação da mensagem; </li></ul><ul><li>Para decodificação será necessário utilizar uma outra chave que deve ser criada, a chave privada – que é secreta. </li></ul>Na figura, a chave verde representa a chave pública, enquanto a chave rosa representa a chave privada. Fonte: Wikipedia
    27. 27. Criptografia em Banco de Dados <ul><li>Não deve ser considerada em todos os dados ou conexões. </li></ul><ul><li>Como os usuários acessarão os dados? </li></ul><ul><ul><li>Usuários acessarem dados por uma rede pública. </li></ul></ul><ul><ul><li>Usuários acessarem dados por uma intranet segura. </li></ul></ul><ul><li>Qualquer uso de criptografia deve também incluir uma estratégia de manutenção de senhas, chaves e certificados. </li></ul>
    28. 28. Conclusão <ul><li>Independentemente dos recursos e investimentos aplicados em alta tecnologia, se faz necessária uma adoção comportamental e contínua voltada para a segurança do negócio. Pois, a sobrevivência da empresa não é fundamental apenas quanto ao aspecto da rentabilidade, mas também quanto ao aspecto da manutenção da operacionalidade em níveis que não possam interrompê-la. </li></ul>
    29. 29. “ Nenhuma corrente é mais forte que seu elo mais fraco.”
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×