<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Arquivo para Segurança - Bóson Treinamentos em Ciência e Tecnologia</title>
	<atom:link href="https://www.bosontreinamentos.com.br/category/seguranca/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.bosontreinamentos.com.br/category/seguranca/</link>
	<description>Artigos e Tutoriais sobre Desenvolvimento de Software, Bancos de Dados SQL, Linux, Lógica de Programação, Inteligência Artificial, Hardware, Eletrônica, Arduino, Técnicas e Teorias de Estudo e Aprendizagem, Carreira em TI, Ciências Cognitivas, e muito mais!</description>
	<lastBuildDate>Thu, 30 Jun 2022 12:45:34 +0000</lastBuildDate>
	<language>pt-BR</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=6.8.5</generator>
	<item>
		<title>O que é Engenharia Social e como se prevenir de ataques</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-social-e-como-se-prevenir-de-ataques/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-social-e-como-se-prevenir-de-ataques/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 07 May 2021 14:32:06 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Malware]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=17748</guid>

					<description><![CDATA[<p>Engenharia Social Existem várias técnicas e táticas que golpistas empregam para roubar dados, obter vantagens financeiras, prejudicar pessoas e organizações e outros fins ilícitos. Entre elas se incluem a disseminação de malwares diversos (ransomware, trojans, vírus, etc.), invasão de redes, ataques de negação de serviço, e outras. Essas técnicas tem em comum o emprego de tecnologias variadas, mesclando software com hardware, programação e protocolos rede, entre outras. Mas existem técnicas que não empregam diretamente tecnologias, mas que exploram o fator humano por trás dos sistemas. Estou me referindo às técnicas de Engenharia Social. A engenharia social lida com a manipulação de alvos humanos em vez de tecnológicos ou outros mecanismos. Definida como um tipo de ataque de natureza não-técnica, que envolve alguma forma de interação humana com o objetivo de tentar enganar ou coagir uma vítima a revelar informações sigilosas ou violar práticas de segurança normais. O termo é empregado em um contexto amplo, que inclui diversas atividades, geralmente maliciosas, realizadas por meio de interações humanas. Emprega regularmente técnicas de manipulação psicológica para enganar usuários e levá-los a cometer erros de segurança, ou ainda deixar vazar informações importantes. O interesse de um &#8220;engenheiro social&#8221; é obter informação que possa ser [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-social-e-como-se-prevenir-de-ataques/">O que é Engenharia Social e como se prevenir de ataques</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>Engenharia Social</h2>
<p>Existem várias técnicas e táticas que golpistas empregam para roubar dados, obter vantagens financeiras, prejudicar pessoas e organizações e outros fins ilícitos. Entre elas se incluem a disseminação de <a href="https://youtu.be/nCU-Kwn7we4" target="_blank" rel="noopener">malwares</a> diversos (<a href="https://youtu.be/4OCtoKbMmDw" target="_blank" rel="noopener">ransomware</a>, trojans, vírus, etc.), invasão de redes, ataques de negação de serviço, e outras.</p>
<p>Essas técnicas tem em comum o emprego de tecnologias variadas, mesclando software com hardware, programação e protocolos rede, entre outras. Mas existem técnicas que não empregam diretamente tecnologias, mas que exploram o fator humano por trás dos sistemas. Estou me referindo às técnicas de <em><strong>Engenharia Social</strong></em>.</p>
<p>A engenharia social lida com a manipulação de alvos humanos em vez de tecnológicos ou outros mecanismos.</p>
<p>Definida como um tipo de ataque de natureza não-técnica, que envolve alguma forma de interação humana com o objetivo de tentar enganar ou coagir uma vítima a revelar informações sigilosas ou violar práticas de segurança normais.</p>
<p>O termo é empregado em um contexto amplo, que inclui diversas atividades, geralmente maliciosas, realizadas por meio de interações humanas. Emprega regularmente técnicas de manipulação psicológica para enganar usuários e levá-los a cometer erros de segurança, ou ainda deixar vazar informações importantes.</p>
<p>O interesse de um &#8220;engenheiro social&#8221; é obter informação que possa ser empregada para realizar ações como roubo de identidade ou de senhas, por exemplo.</p>
<p>Trata-se de um método bastante popular empregado por golpistas e fraudadores, pois o elemento humano é frequentemente a parte mais fraca de um sistema, facilmente manipulável, e mais propensa a erros.</p>
<p>Uma das formas de ataque é tentar enganar a vítima, fazendo-a pensar que o atacante é alguém que possui autoridade, levando a vítima a baixar sua guarda e liberar informações importantes. veremos outras formas mais adiante neste artigo.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17753" title="Ataques de engenharia social" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-02.png" alt="Ataques de engenharia social" width="350" height="233" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-02.png 800w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-02-420x280.png 420w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-02-768x512.png 768w" sizes="auto, (max-width: 350px) 100vw, 350px" /></p>
<h3>Psicologia da engenharia social</h3>
<p>Os engenheiros sociais são bons em reconhecer sinais ou comportamentos que podem ser úteis na extração de informação, como por exemplo:</p>
<ul>
<li>Obrigação moral: a vítima demonstra desejo de fornecer assistência porque se sente compelida a tal por um senso de dever</li>
<li>Confiança: Os seres humanos possuem uma tendência inerente a confiar nos outros. Por exemplo, usar uniformes, palavras técnicas ou jargão pode levar a vítima a pensar que o atacante é realmente um profissional de confiança. A tendência à confiança é uma fraqueza constantemente explorada.</li>
<li>Ameaça: Uma vítima pode ser ameaçada se não colabora com as requisições do atacante</li>
<li>Algo por Nada: O atacante pode prometer a uma vítima que, por pouco ou nenhum trabalho, ela receberá algum tipo de recompensa interessante.</li>
<li>Ignorância: A realidade dura é que muitas pessoas não percebem os perigos associados à engenharia social, e não são capazes de reconhecê-la como ameaça.</li>
</ul>
<p>E por que a engenharia social funciona?</p>
<p>Funciona por diversos motivos, sendo que o elemento humano é muito facilmente iludido. Porém, outros fatores influem para que os engenheiros sociais tenham sucesso na perpetração de seus golpes. Entre esses fatores incluem-se:</p>
<ul>
<li>Falta de tecnologias apropriadas que possa combatê-la</li>
<li>Políticas de segurança insuficientes nas organizações</li>
<li>Difícil detecção e, por conseguinte, prevenção</li>
<li>Falta de treinamento de funcionários e usuários</li>
</ul>
<p>Some-se a a isso o fato de que, no geral, funcionários não possuem treinamento adequado sobre normas de segurança digital &#8211; normalmente, nenhum treinamento &#8211; e ainda por cima algumas vezes ocorre desonestidade por parte de colaboradores, descontentes com a organização ou simplesmente querendo obter alguma vantagem financeira, e, pronto! temos a receita do sucesso de um ataque social.</p>
<p>Como dizem, &#8220;não há remédio para a estupidez humana&#8221;</p>
<h3>Técnicas de Engenharia Social</h3>
<p>Ataques de engenharia social são realizados de diversas formas, sendo realizados em qualquer lugar onde interação humana esteja envolvida. Algumas formas de ataques comuns incluem os seguintes:</p>
<ul>
<li><strong>Baiting</strong> (&#8220;isca&#8221;): Neste ataque, uma promessa falsa é feita para atiçar a curiosidade ou ganância da vítima. <br />
Por exemplo, um atacante deixa uma isca (como um pendrive infectado) e locais por onde vítimas em potencial circulam (corredores, estacionamentos, etc.).<br />
A vítima recolhe a isca e, por curiosidade, conecta a um computador, em casa ou na empresa, resultando na contaminação automática do sistema com o malware presente.<br />
Propagandas enganosas, como ads maliciosos também são considerados formas de baiting, levando os usuários a clicarem em lnks suspeitos e baixarem programas maliciosos, pensando se tratar de itens legítimos.</li>
<li><strong>Cavalos de Tróia</strong> (trojans): Classe de malware cujo princípio de operação é enganar as pessoas, levando-as a abrir e executar arquivos maliciosos em seus computadores, que acabam assim infectados.</li>
<li><strong>Scareware</strong>&nbsp;(&#8220;software que assusta&#8221;): tipo de malware projetado para assustar uma vítima, levando-a a agir quando não é necessário. A vítima é bombardeada com alarmes falsos e ameaças fictícias. Por exemplo, um antivírus falso que diz para o usuário que ele precisa instalar uma atualização ou uma versão do software para proteger o sistema, que supostamente está infectado.</li>
<li><strong>Pretexting</strong> (pretexto, alegação): Neste tipos de ataque, informação é obtida por meio de uma série de mentiras cuidadosamente inventadas. O golpe é iniciado normalmente por alguém que finge precisar de informações sensíveis ou confidenciais da vítima, para realizar tarefas (supostamente) importantes.<br />
Normalmente, o golpista começa estabelecendo uma confiança com a vítima ao fingir ser um colega de trabalho, oficial, policial, ou outras pessoas que possuam algum tipo de autoridade. Então, o atacante começa a fazer perguntas que confirmem a identidade da vítima, por meio das quais dados pessoais importantes são obtidos.<br />
Com esse tipo de ataque é possível obter dados como números de CPF, números de contas bancárias e cartões de crédito, senhas de contas e outros serviços, senhas de acesso a sistemas, e muito mais.</li>
<li><a href="http://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/"><strong>Phishing</strong></a> (&#8220;pescaria&#8221;): Este é um dos tipos de ataque mais comuns de engenharia social, que consistem em mensagens de texto ou e-mails criadas para incutir nas vítimas um senso de urgência, de medo ou de curiosidade. O ataque leva as vítimas a revelar informações importantes e confidenciais, clicar em links e visitar páginas maliciosas, ou ainda, abrir arquivos anexos que contenham infeção por malwares diversos.<br />
Um golpe comum deste tipo é o envio de e-mails que ofereçam prêmios se a vítima preencher uma pesquisa em um website. Ao entrar no website, um formulário deve ser preenchido, onde a vítima acaba por colocar seus dados pessoais e outras informações sensíveis, que são então enviadas ao atacante.</li>
<li><strong>Spear Phishing</strong> (&#8220;pesca com arpão&#8221;): Forma mais direcionada de <a href="http://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/">phishing</a>, no qual o atacante escolhe indivíduos ou empresas específicas. As mensagens então são criadas com base nas características da vítima, como dados pessoas, posição dentro da empresa e contatos, de modo a tornar o ataque mais fácil.<br />
Este tipo de ataque requer bastante esforço por parte do atacante, pois envolve todo um trabalho de pesquisa, podendo levar semanas ou até meses para ser lançado. Porém, é muito mais difícil de detectar e em uma taxa de sucesso maior do que um ataque de phishing convencional &#8211; se for bem executado.<br />
Um exemplo desse ataque é um golista que se faz passar por alguém do departamento de TI da empresa que envia um e-mail para um ou mais funcionários específicos. O e-mail é escrito exatamente da forma como seria escrito se fosse legítimo, o que permite enganar as vítimas quanto à sua proveniência. Neste e-mail podem ser solicitadas informações confidenciais, preenchimento de informações em páginas (falsas), ou ainda pedir que os usuários alterem suas senhas para um padrão específico conhecido do atacante &#8211; o que dá a ele acesso ao sistemas da empresa.</li>
</ul>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17754" title="Engenheiros sociais e ataques a sistemas" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social.png" alt="Engenheiros sociais e ataques a sistemas" width="350" height="350" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social.png 763w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-170x170.png 170w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-420x420.png 420w" sizes="auto, (max-width: 350px) 100vw, 350px" /></p>
<p>Para evitar esses ataques é importante que os usuários sejam treinados em detectar e discernir esses incidentes de segurança. Bom-senso é importante aqui, e alguns dos sinais que denunciam um ataque de engenharia social incluem:</p>
<ul>
<li>Uso de autoridade pelo atacante, como por exemplo fazer referência a quem ele é ou quem ele conhece, ou mesmo fazer ameaças com base em seu suposto poder.</li>
<li>Incapacidade de fornecer informações de contato válidas, que permitiriam que o atacante fosse contatado quando necessário.</li>
<li>Fazer requisições informais ou fora de contexto, tentando encorajar a vítima a soltar informações que normalmente não seriam reveladas.</li>
<li>Usar repetidamente nomes de pessoas que o atacante supostamente conhece dentro da empresa</li>
<li>Uso excessivo de elogios, tentando bajular a vítima</li>
<li>Mostras de desconforto ou inquietação pelo atacante, quando questionado</li>
</ul>
<h3>Fases e etapas de um ataque de engenharia social</h3>
<p>Um ataque de engenharia social geralmente consiste em três fases distintas:</p>
<ol style="list-style-type: upper-roman;">
<li>Pesquisa</li>
<li>Desenvolvimento</li>
<li>Exploração</li>
</ol>
<p>Essas fases englobam as seguintes etapas:</p>
<ol>
<li>Usar footprinting (&#8220;seguir as pegadas&#8221;) e obter detalhes sobre um alvo, por meio de pesquisa e observação. Fontes de dados podem incluir ataques de phishing, websites, funcionários, dumpster diving (&#8220;vasculhar o lixo&#8221;), e outras.</li>
<li>Selecionar um indivíduo ou grupo que possa ter acesso à informação desejada. Alvos comuns são pessoas frustradas, super confiantes, arrogantes, que podem fornecer informações prontamente. A presença desse tipo de pessoa pode ser considerada uma ameaça interna em uma empresa.</li>
<li>Forjar um relacionamento com a vítima por meio de conversas, discussões, e-mails, ou outros canais.</li>
<li>Explorar o relacionamento formado com a vítima, e extrair a informação desejada.</li>
</ol>
<h3>Impactos da Engenharia Social</h3>
<p>Ataques de engenharia social podem ter efeitos diversos em uma organização, impactando-a de diversas formas (geralmente nefastas):</p>
<ul>
<li>Perdas econômicas: a empresa pode perder dinheiro de diversas formas.</li>
<li>Terrorismo: um alvo é coagido a agir por conta de ameaças de violência física</li>
<li>Perda de privacidade: informações obtidas podem ser usadas para realizar roubo de identidades</li>
<li>Processos judiciais: dependendo do grau de comprometimento, podem surgir problemas judiciais para indivíduos ou organizações.</li>
<li>Encerramento temporário ou permanente: Se um vazamento de dados for muito grave, pode levar ao encerramento catastrófico das atividades de uma empresa.</li>
<li>Perda de confiança: Os clientes podem deixar de confiar em uma marca ou empresa dependendo do grau de danos do ataque.</li>
</ul>
<h3>Alvos comuns de engenheiros sociais</h3>
<p>Atacantes costumam procurar alvos oportunos ou vitimas em potencial que tenham algo a oferecer. Alguns alvos comuns incluem:</p>
<ul>
<li>Recepcionistas</li>
<li>Pessoal de Help Desk</li>
<li>Administradores de Sistemas</li>
<li>Executivos</li>
<li>Usuários em geral</li>
</ul>
<p>Essas pessoas ocupam cargos em empresas que, geralmente, tem acesso a algum tipo de dado importante, ou ainda informações que podem dar acesso a sistemas internos e, justamente por isso, costumam ser alvos dos golpistas.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17756" title="Ataque de engenharia social" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-ataque.png" alt="Ataque de engenharia social" width="600" height="400" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-ataque.png 1000w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-ataque-420x280.png 420w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/engenharia-social-ataque-768x512.png 768w" sizes="auto, (max-width: 600px) 100vw, 600px" /></p>
<h3>Como se prevenir contra ataques de engenharia social</h3>
<p>Os engenheiros sociais enganam suas vítimas manipulando os sentimentos humanos, como o medo, ganância ou curiosidade, levando-as a cair em suas armadilhas. Assim, sempre que você se sentir alarmado ao receber um telefonema, mensagem ou um e-mail, fique alerta: é grande a possibilidade de se tratar de uma fraude.</p>
<p>Siga também as seguintes dicas para ajudá-lo a evitar esse tipo de golpes:</p>
<ul>
<li>Não abra e-mails nem tampouco anexos vindos de fontes suspeitas: Se você não conhece a pessoa que lhe enviou um e-mail, é grande a probabilidade de você sequer precisar ler esse e-mail. Mesmo que o e-mail tenha vindo de uma pessoa conhecida, fique esperto: é muito simples forjar um e-mail falso, e por isso sempre verifique se a pessoa em questão realmente te enviou a mensagem.</li>
<li>Fique esperto com ofertas muito tentadoras: Como diz o ditado, &#8220;se é muito bom para ser verdade, então não é&#8221;. Pense duas vazes antes de aceitar ofertas muito tentadoras recebidas por e-mail ou telefone, como supostos prêmios ou promoções, principalmente se envolverem o fornecimento ou confirmação de dados pessoais ou da empresa onde você trabalha. Uma pesquisa rápida em um buscador como o do Google vai te mostrar se aquela oferta é um golpe ou possivelmente não.</li>
<li>Use autenticação baseada em mais de um fator: As credenciais de acesso são o tipo de informação mais desejada por golpistas, pois elas lhes dão acesso a sistemas e dados confidenciais. Por isso, ao usar autenticação baseada em dois ou mais fatores, como o emprego concomitante de <a href="http://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/">biometria</a>, você dificulta em muito o trabalho de um fraudador, ajudando a manter suas contas mais seguras.</li>
<li>Mantenha antivírus e softwares de segurança atualizados: Essa é básica, mas ainda assim muitos se esquecem de atualizar antivírus na máquina (e alguns nem tem instalado!), e para auxiliá-lo deixe sempre o esquema de atualização automática do antivírus ativo. E, obviamente, somente use antivírus original &#8211; obtido diretamente a partir do fabricante &#8211; e nunca baixado de sites diversos e torrents, pois o antivírus obtido nesses locais pode ele próprio estar infectado, e assim não funcionar como deveria.</li>
<li>Ah, e use o antivírus! Rode periodicamente as rotinas de verificação de ameaças em sua máquina, para determinar se há algum arquivo infectado presente no seu sistema.</li>
</ul>
<h3>Casos clássicos de Engenharia Social</h3>
<p>Ataques de engenharia social são muito comuns ao redor do mundo. A seguir, alguns exemplos conhecidos de ataques que resultaram em grandes prejuízos para organizações e governos (e lucro para outros).</p>
<h4>Partido Democrata dos Estados Unidos, 2016</h4>
<p>Um dos casos mais impactantes de engenharia social foi a eleição presidencial dos Estados Unidos no ano de 2016. Ataques de spear phishing levaram ao vazamento de e-mails e informações do Partido Democrata que acabaram por influenciar o resultado da eleição, levando à vitória de Donald Trump sobre Hillary Clinton.</p>
<p>Neste ataque, hackers russos criaram um e-mail falso do Gmail, convidando usuários, por meio de um link, a alterar suas senhas devido a atividades incomuns.</p>
<p>O alvo principal era o gerente de campanha de Hillary Clinton, John Podesta. Podesta recebeu um e-mail falso de &#8220;redefinição de conta&#8221; que parecia ser legítimo do Google, solicitando que ele fizesse login e alterasse sua senha; porém o endereço real do link fornecido, oculto por um encurtador de link bit.ly, era o link <em>myaccount.google.com-securitysettingpage.ml</em>.</p>
<p>A partir daí os fraudadores tiveram acesso a centenas de e-mails contendo informações confidenciais sobre a campanha de Clinton.</p>
<h4>Ubiquiti Networks, 2015</h4>
<p>A Ubiquiti Networks, um fabricante de tecnologia para redes, teve um prejuízo quase 40 milhões de dólares, em 2015, após sofrer um ataque de phishing.</p>
<p>Aparentemente uma conta de e-mail de um funcionário foi comprometida em Hong Kong. Os atacantes enviaram e-mails aos funcionários do departamento financeiro da subsidiária da Ubiquiti em Hong Kong, alegando ser um alto executivo, solicitando transferências eletrônicas de fundos para &#8220;terceiros&#8221; &#8211; na verdade, contas sob o controle dos criminosos. E o dinheiro foi transferido.</p>
<h4>RSA, 2011</h4>
<p>A RSA, uma das maiores empresas da área de segurança digital, perdeu cerca de US$ 66 milhões por conta de uma violação de dados, em 2011.</p>
<p>O ataque começou com um documento Excel, enviado a um pequeno grupo de funcionários por e-mail. Ao menos dois funcionários de baixo escalão abriram esse arquivo, chamado &#8220;Plano de recrutamento 2011.xls&#8221;, proveniente de um remetente desconhecido.<br />
O anexo continha um arquivo malicioso que abriu um backdoor para os hackers &#8211; ele rodou uma macro que instalou um backdoor nos computadores, compromentendo e reduzindo a eficácia do produto SecurID, o carro-chefe da RSA.</p>
<h4>As peripécias de Kevin Mitnick</h4>
<p>Kevin Mitnick foi um dos hackers mais notórios dos anos 80 e 90 da era da informática. Suas façanhas eram (de acordo com ele) motivadas pela curiosidade, e não pelo lucro, e a engenharia social era seu superpoder.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17761" title="Kevin Mitnick" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/kevin-mitnick-engenharia-social.jpg" alt="Kevin Mitnick" width="280" height="406" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/kevin-mitnick-engenharia-social.jpg 314w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/05/kevin-mitnick-engenharia-social-290x420.jpg 290w" sizes="auto, (max-width: 280px) 100vw, 280px" /></p>
<p>Um exemplo do que Mitnick era capaz: em 1979, com apenas 16 anos, ele fez amizade com alguns hackers que encontraram o número de um modem dial-up para um sistema que a DEC (<em>Digital Equipment Corporation</em>) empregava para desenvolvimento de SO, mas eles disseram a Mitnick que o número não tinha serventia porque eles não tinham um nome de conta ou senha para login.</p>
<p>O que Mitnick fez? Ele simplesmente ligou para o gerente de sistema da DEC, alegou ser Anton Chernoff, um dos principais desenvolvedores da empresa, e disse que estava tendo problemas para fazer login nos sistemas; imediatamente lhe foi informado um login que fornecia acesso de alto nível ao sistema. (Mitnick, agora do lado dos &#8220;bons&#8221;, trabalha no negócio de consultoria de segurança.)</p>
<h4>Sony Pictures, 2014</h4>
<p>Após uma investigação, o FBI (<em>Federal Bureau of Investigation</em>) nos EUA apontou que o ataque cibernético à Sony Pictures, em 2014, foi de responsabilidade do governo da Coreia do Norte.</p>
<p>Milhares de arquivos, incluindo acordos comerciais, documentos financeiros e informações de funcionários, entre outros, foram roubados. A Sony Pictures foi alvo de ataques de spear phishing. Aparentemente os funcionários foram atraídos por e-mails falsos supostamente enviados pela Apple.</p>
<h3>Dicas</h3>
<p>Para aprender um pouco mais sobre engenharia social enquanto se diverte, recomendo o&nbsp;filme Prenda-Me se For Capaz (2002), que é uma dramatização das explorações de um engenheiro social do mundo real.</p>
<p>Outros filmes interessantes sobre o assunto são Os Vigaristas (2003) e Uma Saída de Mestre (2003).</p>
<h3>Referências</h3>
<ul>
<li>HADNAGY, C. <em><strong>Social Engineering: The Art of Human Hacking</strong></em>. Wiley Publishing. 1ª ed., 2011.</li>
<li>Website <em><strong>Security Through Education</strong></em>:&nbsp;<a href="https://www.social-engineer.org/" target="_blank" rel="noopener">https://www.social-engineer.org/</a></li>
</ul>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-social-e-como-se-prevenir-de-ataques/">O que é Engenharia Social e como se prevenir de ataques</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/o-que-e-engenharia-social-e-como-se-prevenir-de-ataques/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>O que é Biometria &#8211; Conceitos e Tecnologias</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Wed, 28 Apr 2021 15:28:24 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Biometria]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=17723</guid>

					<description><![CDATA[<p>O que é Biometria Um dos pilares da segurança digital é o reconhecimento e identificação de um indivíduo, seja para garantir ou negar seu acesso a um local físico, permitir a entrada em um sistema de computador ou o acesso a recursos a que ela tenha direito, ou ainda para impedir que pessoas não-autorizadas consigam acessar tais recursos e sistemas. As técnicas mais tradicionais de autenticação e autorização envolvem o uso de senhas ou tokens de identificação (como cartões de acesso).&#160;Em um sistema baseado em senhas, por exemplo, uma correspondência perfeita entre duas strings alfanuméricas é necessária para validar a identidade de um usuário. E para tal o usuário precisa criar essas strings e se lembrar delas &#8211; duas tarefas que podem comprometer o nível de segurança da aplicação ou do sistema, pois é comum que se empreguem senhas fáceis de memorizar (como datas de aniversário, nomes de animais de estimação, etc.) e, consequentemente, de se descobrir. Para melhorar e aumentar o nível de segurança em tais aplicações é recomendado que se empreguem tecnologias mais confiáveis, como o uso da Biometria, ou Reconhecimento Biométrico. Conceitos Básicos de Segurança Para entender e apreciar a importância da ciência biométrica, precisamos ter em [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/">O que é Biometria &#8211; Conceitos e Tecnologias</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>O que é Biometria</h2>
<p>Um dos pilares da <a href="http://www.bosontreinamentos.com.br/category/seguranca/">segurança digital</a> é o reconhecimento e identificação de um indivíduo, seja para garantir ou negar seu acesso a um local físico, permitir a entrada em um sistema de computador ou o acesso a recursos a que ela tenha direito, ou ainda para impedir que pessoas não-autorizadas consigam acessar tais recursos e sistemas.</p>
<p>As técnicas mais tradicionais de autenticação e autorização envolvem o uso de senhas ou tokens de identificação (como cartões de acesso).&nbsp;Em um sistema baseado em <a href="http://www.bosontreinamentos.com.br/linux/38-gerenciamento-de-usuarios-e-grupos-05-alterar-senhas-comando-passwd/">senhas</a>, por exemplo, uma correspondência perfeita entre duas strings alfanuméricas é necessária para validar a identidade de um usuário.</p>
<p>E para tal o usuário precisa criar essas strings e se lembrar delas &#8211; duas tarefas que podem comprometer o nível de segurança da aplicação ou do sistema, pois é comum que se empreguem senhas fáceis de memorizar (como datas de aniversário, nomes de animais de estimação, etc.) e, consequentemente, de se descobrir.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17740" title="Sistema de Biometria em Segurança" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/biometria-ilustracao-boson.jpg" alt="Sistema de Biometria em Segurança" width="551" height="328" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/biometria-ilustracao-boson.jpg 633w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/biometria-ilustracao-boson-420x250.jpg 420w" sizes="auto, (max-width: 551px) 100vw, 551px" /></p>
<p>Para melhorar e aumentar o nível de segurança em tais aplicações é recomendado que se empreguem tecnologias mais confiáveis, como o uso da <em><strong>Biometria</strong></em>, ou <em><strong>Reconhecimento Biométrico</strong></em>.</p>
<h3>Conceitos Básicos de Segurança</h3>
<p>Para entender e apreciar a importância da ciência biométrica, precisamos ter em mente dois conceitos básicos: os conceitos de <em>identidade pessoal</em> e de <em>gerenciamento de identidade</em>.</p>
<ul>
<li>Identidade Pessoal: é o conjunto de atributos físicos e comportamentais associados a uma pessoa.</li>
<li>Gerenciamento de Identidade: Técnicas empregadas para estabelecer a associação entre um indivíduo e sua identidade pessoal.</li>
</ul>
<p>Uma pessoa pode ser reconhecida com base em três métodos básicos:</p>
<ol>
<li>O que ela sabe, como as já citadas senhas ou PINs (<strong>P</strong>ersonal <strong>I</strong>dentification <strong>N</strong>umbers);</li>
<li>O que ela possui (extrinsecamente), como um token ou cartão de acesso;</li>
<li>O que ela é (intrinsecamente), ou seja, as suas características físicas e comportamentais.</li>
</ol>
<p>O gerenciamento de identidade tem papel crucial em diversas aplicações. Alguns exemplos incluem o controle do cruzamento de fronteiras internacionais, restrição de acesso físico a instalações importantes como usinas nucleares, o controle de acesso lógico a recursos compartilhados e informações, a realização remota de transações financeiras, ou a distribuição de benefícios sociais.</p>
<h3>Roubo de Identidade</h3>
<p>A grande importância do gerenciamento de identidade reside no fato de que uma identidade pode ser usurpada. O roubo ou fraude de identidade ocorre quando uma pessoa se apossa da identidade de outro indivíduo ou ainda afirma uma identidade falsa de modo a acessar recursos ou serviços para os quais ela não tem direito.</p>
<p>Por exemplo, de posse da senha de uma pessoa é possível realizar transações bancárias pela Internet sem que ela se dê conta, podendo causar prejuízos financeiros grandes.</p>
<h3>Biometria</h3>
<p>O reconhecimento biométrico pode ser definido como a ciência empregada para estabelecer a identidade de um indivíduo com base em características físicas e/ou comportamentais da pessoa, de forma total ou semi-automatizada. A palavra &#8220;biometria&#8221; é a combinação de duas palavras em grego: &#8220;<em><strong>bios</strong></em>&#8220;, que significa <strong>vida</strong>, e &#8220;<em><strong>metros</strong></em>&#8220;, que significa <strong>medição</strong>. Ou seja, a medição de características de um ser vivo.</p>
<p>As características biométricas constituem uma ligação forte e razoavelmente permanente entre uma pessoa e sua identidade. Isso significa que essas características, ou traços, podem ser associados a um indivíduo de forma a permitir que esse indivíduo seja identificado e diferenciado dos demais indivíduos com baixa probabilidade de erro, além de serem <em>imutáveis</em>, ou seja, não mudam ao longo da vida da pessoa, exceto em casos específicos.</p>
<h3>Sistema Biométrico</h3>
<p>Um sistema biométrico é essencialmente um sistema de reconhecimento ou comparação de padrões que consiste em quatro blocos básicos de construção:</p>
<ul>
<li>Sensor:&nbsp;Interface de usuário que mede ou registra os dados biométricos brutos do usuário.</li>
<li>Extrator de características:&nbsp;&nbsp;Módulo que realiza pré-processamento nos dados brutos lidos do sensor. Funções incluem a avaliação da qualidade da leitura realizada, segmentação e melhoria</li>
<li>Banco de dados:&nbsp;Repositório das informações biométricas e identidade pessoal.</li>
<li>Comparador (sistema de correspondência):&nbsp;Módulo que compara amostras&nbsp;biométricas com dados armazenados no banco,&nbsp;para efetuar validação ou recusar uma identidade alegada.</li>
</ul>
<p><em>Segmentação</em> é a separação entre dados coletados e ruído presente na leitura das características desejadas.<br />
<em>Melhoria</em> inclui processos como equalização, suavização, mais redução de ruído, etc., empregados para aumentar a qualidade dos dados adquiridos a partir do sensor biométrico.</p>
<p>Um sistema biométrico mede uma ou mais características físicas ou comportamentais, como informações de impressões digitais, rosto, íris, retina, voz, assinatura, modo de andar, DNA, e outras de um indivíduo para determinar ou verificar sua identidade.</p>
<p>Essas características são chamadas de <strong><em>traços</em></strong>, <strong><em>indicadores</em></strong>, <strong><em>identificadores</em></strong> ou <strong><em>modalidades</em></strong>. Resumiremos os principais traços biométricos mais adiante, neste artigo.</p>
<h3>Erros em sistemas de biometria</h3>
<p>A ciência do reconhecimento biométrico é baseada em duas premissas fundamentais dos traços biométricos: singularidade e permanência.&nbsp;Um identificador biométrico é único (singular) apenas se duas pessoas no mundo podem ser diferenciadas com base nesse identificador.</p>
<p>Já um traço biométrico é permanente se ele não muda ao longo do tempo de vida de um indivíduo.</p>
<p>Raramente essas duas premissas são totalmente válidas em sistemas biométricos reais, e por conta disso sempre há um componente de erro que pode acometer o sistema. Porém, a taxa de erros em leituras ou verificações em um sistema biométrico é muito menor do que em sistemas tradicionais, como os sistemas que empregam senhas para identificação pessoal.</p>
<h3>Características biométricas comuns</h3>
<p>Algumas das características biométricas mais comuns empregadas em sistemas incluem:</p>
<ul>
<li>Impressões digitais</li>
<li>Impressão da palma da mão</li>
<li>Íris</li>
<li>Rosto</li>
<li>Geometria da mão</li>
<li>Voz</li>
<li>Modo de andar</li>
<li>Retina</li>
<li>Assinatura</li>
<li>DNA</li>
</ul>
<p>Vamos ver uma breve introdução a algumas das características biométricas mais comumente empregadas.</p>
<h4>Impressão Digital</h4>
<p>Impressão digital é o padrão de cristas (papilas) e sulcos na superfície da ponta de um dedo, cuja formação é determinada durante os primeiros sete meses do desenvolvimento do feto.</p>
<p>Desde a Antiguidade é sabido que as impressões digitais são diferentes de pessoa para pessoa, e elas já vem sendo usadas em&nbsp;aplicações forenses há mais de 100 anos. Os padrões de impressão digital são diferentes até mesmo em gêmeos idênticos.</p>
<div id="attachment_17726" style="width: 260px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17726" class="wp-image-17726" title="Leitor de impressões digitais - biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/leitor-impressão-digital.png" alt="Leitor de impressões digitais - biometria" width="250" height="336" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/leitor-impressão-digital.png 396w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/leitor-impressão-digital-313x420.png 313w" sizes="auto, (max-width: 250px) 100vw, 250px" /><p id="caption-attachment-17726" class="wp-caption-text">Leitor de impressões digitais</p></div>
<p>A leitura de digitais é a técnica biométrica mais difundida e comum, mas não necessariamente a mais segura ou eficiente, apesar de indiscutivelmente ser muito importante nos dias de hoje.</p>
<h4>Impressão da Palma da Mão</h4>
<p>As palmas das mãos humanas contém padrões de cristas e sulcos como as impressões digitais, e&nbsp; por isso são exploradas em aplicações de biometria.</p>
<p>A área da palma é bem maior que a área de um dedo, e, por conta disso, as impressões de palmas podem ser mais distintivas que as impressões digitais.</p>
<div id="attachment_17728" style="width: 410px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17728" class="wp-image-17728" title="Leitura da palma da mão em biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/palma-da-mao-leitura.jpg" alt="Leitura da palma da mão em biometria" width="400" height="278" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/palma-da-mao-leitura.jpg 526w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/palma-da-mao-leitura-420x292.jpg 420w" sizes="auto, (max-width: 400px) 100vw, 400px" /><p id="caption-attachment-17728" class="wp-caption-text">Leitura da palma da mão com um leitor biométrico</p></div>
<p>Também é possível explorar os padrões das&nbsp;veias nas palmas das mãos, que é diferente em todas as pessoas, mesmo em gêmeos idênticos.</p>
<h4>Reconhecimento de Íris</h4>
<p>A íris é a região anular do olho que se localiza entre a pupila e a esclera (branco do olho). Trata-se da parte do olho que é colorida, sendo facilmente observável e muito utilizada em aplicações de biometria.</p>
<div id="attachment_17741" style="width: 285px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17741" class="wp-image-17741 size-full" title="Íris em um olho humano - biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/iris-olho-biometria.jpg" alt="Íris em um olho humano - biometria" width="275" height="236"><p id="caption-attachment-17741" class="wp-caption-text">Íris em um olho humano</p></div>
<p>A textura visual da íris é formada durante o desenvolvimento fetal e se estabiliza durante os dois primeiros anos de vida (a cor continua a mudar por mais tempo).&nbsp;Como essa textura é muito complexa, pode ser&nbsp;usada para reconhecimento pessoal.</p>
<div id="attachment_17729" style="width: 410px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17729" class="wp-image-17729 size-full" title="Scanner de íris" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/scanner-de-iris.jpg" alt="Scanner de íris" width="400" height="484" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/scanner-de-iris.jpg 400w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/scanner-de-iris-347x420.jpg 347w" sizes="auto, (max-width: 400px) 100vw, 400px" /><p id="caption-attachment-17729" class="wp-caption-text">Scanner de íris</p></div>
<p>Mais de 200 pontos são analisados por um leitor de íris comum. E o uso de óculos ou lentes de contato não altera as características da íris.</p>
<h4>Scanner de Retina</h4>
<p>A vasculatura da retina (conjunto das veias no fundo do olho) é rica em estruturas e aparentemente distinta para cada indivíduo e também para cada olho.&nbsp;Alega-se que é o tipo de biometria mais seguro de todos, pois é praticamente impossível alterar ou replicar o padrão de veias na retina humana.</p>
<div id="attachment_17731" style="width: 310px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17731" class="wp-image-17731" title="Veias na retina humana" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/retina-humana-boson.jpg" alt="Veias na retina humana" width="300" height="301" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/retina-humana-boson.jpg 323w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/retina-humana-boson-170x170.jpg 170w" sizes="auto, (max-width: 300px) 100vw, 300px" /><p id="caption-attachment-17731" class="wp-caption-text">Veias na retina humana</p></div>
<p>Porém pode revelar condições médicas, como hipertensão. A taxa de erro de um scanner de retina é de cerca de 1 em 10 milhões.</p>
<p>É impossível forjar uma retina humana, e a retina de um morto se degrada muito rapidamente, de modo que não é possível usá-la para enganar um scanner.&nbsp;A taxa de erro de um scanner de retina é de cerca de 1 em 10 milhões &#8211; compare isso à taxa de erro de leitores de impressão digital, que pode ser tão alta como 1 em 500 leituras.</p>
<div id="attachment_17732" style="width: 255px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17732" class="wp-image-17732 size-full" title="Scanner de retina para biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/scanner-de-retina-biometria.jpg" alt="Scanner de retina para biometria" width="245" height="347"><p id="caption-attachment-17732" class="wp-caption-text">Scanner de retina para biometria</p></div>
<p>Trata-se de um método indicado e apropriado para ambientes que requeiram segurança máxima, como instalações militares, governamentais ou financeiras.</p>
<h4>Reconhecimento Facial (Rosto)</h4>
<p>Reconhecimento facial é um método não-intrusivo, que leva em conta características específicas do rosto de uma pessoa, sendo que os atributos faciais são os traços biométricos mais comuns empregadas pelos humanos para se&nbsp;reconhecerem entre si.</p>
<p>Envolve a análise de características e padrões faciais para verificação e autenticação de um indivíduo.</p>
<div id="attachment_17730" style="width: 460px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17730" class="wp-image-17730 size-full" title="Reconhecimento facial em biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/Reconhecimento-Facial-boson.jpg" alt="Reconhecimento facial em biometria" width="450" height="331" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/Reconhecimento-Facial-boson.jpg 450w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/Reconhecimento-Facial-boson-420x309.jpg 420w" sizes="auto, (max-width: 450px) 100vw, 450px" /><p id="caption-attachment-17730" class="wp-caption-text">Equipamento para reconhecimento facial biométrico</p></div>
<p>O reconhecimento facial comumente emprega recursos avançados de Inteligência Artificial, como algoritmos específicos que facilitam o processamento das imagens capturadas.</p>
<h4>Geometria da Mão</h4>
<p>Sistema baseado em um número de medidas tiradas da mão humana, incluindo formato, tamanho da palma, comprimentos e larguras dos dedos, entre outras.</p>
<div id="attachment_17736" style="width: 310px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17736" class="wp-image-17736 size-full" title="Scanner de geometria das mãos" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/scanner-geometria-mão.jpg" alt="Scanner de geometria das mãos" width="300" height="364"><p id="caption-attachment-17736" class="wp-caption-text">Scanner de geometria das mãos</p></div>
<p>A geometria das mãos não é muito distintiva, e por isso não pode ser escalonada para sistemas que necessitem identificar um indivíduo em uma população grande, sendo indicada para ambientes com poucas pessoas, como pequenos escritórios ou residências.</p>
<h4>Modo de Andar</h4>
<p>O modo de andar é um dos poucos traços biométricos que pode ser usado para reconhecer uma pessoa à distância.</p>
<p>Essa técnica biométrica consiste em uma câmera de vídeo que captura imagens de uma pessoa caminhando, considerando características como ângulos entre as articulações e silhuetas do indivíduo para criar e verificar um perfil biométrico.</p>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-17737" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/modo-de-andar-biometria.jpg" alt="Modo de andar em sistemas biométricos" width="783" height="192" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/modo-de-andar-biometria.jpg 783w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/modo-de-andar-biometria-420x103.jpg 420w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/modo-de-andar-biometria-768x188.jpg 768w" sizes="auto, (max-width: 783px) 100vw, 783px" /></p>
<p>É útil em cenários de vigilância onde a identidade de um indivíduo pode ser estabelecida de forma secreta e sem a necessidade de sua colaboração.</p>
<h4>Reconhecimento de Voz</h4>
<p>O reconhecimento por voz emprega uma combinação de características biométricas físicas e comportamentais.</p>
<p>As características físicas são invariantes para um indivíduo, pois dependem da constituição de suas cordas vocais, formato da boca, nariz, etc., mas os aspectos comportamentais podem mudar ao longo do tempo, devido à idade, condição de saúde (uma gripe, por exemplo), estado emocional, etc.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17738" title="Reconhecimento de voz em biometria" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/voz-biometria.jpg" alt="Reconhecimento de voz em biometria" width="450" height="238" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/voz-biometria.jpg 475w, https://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/voz-biometria-420x222.jpg 420w" sizes="auto, (max-width: 450px) 100vw, 450px" /></p>
<p>Por conta desses fatores a biometria por voz não é apropriada para identificação&nbsp;em grande escala, sendo empregada apenas em ambientes pequenos, como ambientes domésticos.</p>
<h4>Assinatura</h4>
<p>A forma como uma pessoa assina seu nome é uma característica específica de cada indivíduo.</p>
<p>Uma assinatura requer contato físico com o instrumento de escrita (e esforço do usuário), e é uma técnica amplamente aceita em transações legais, governamentais e comerciais como forma de autenticação. A assinatura pode ser realizada de forma tradicional, em papel, ou em um sistema digital, usando-se sensores e dispositivos apropriados.</p>
<div id="attachment_17743" style="width: 410px" class="wp-caption aligncenter"><img loading="lazy" decoding="async" aria-describedby="caption-attachment-17743" class="size-full wp-image-17743" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/assinatura-biometria-boson.jpg" alt="Assinatura biométrica em segurança de redes" width="400" height="231"><p id="caption-attachment-17743" class="wp-caption-text">Assinatura biométrica com dispositivo digital</p></div>
<p>Porém, trata-se de um traço biométrico comportamental que pode mudar&nbsp;ao longo do tempo, e ainda ser influenciado por estados físico&nbsp;e emocional do assinante. Além disso, falsificadores profissionais são capazes de forjar uma&nbsp;assinatura, e assim enganar todo um sistema de verificação.</p>
<h4>DNA</h4>
<p>O DNA , ou <em>Ácido Desoxirribonucleico</em>, é a molécula que contém a informação genética necessária para o desenvolvimento e funcionamento de organismos vivos. Trata-se de uma espécie de código unidimensional único para cada indivíduo, sendo distinto até mesmo em gêmeos idênticos.</p>
<p>A chance de dois indivíduos compartilharem o mesmo DNA é menor do que uma em cem bilhões.&nbsp;Mesmo gêmeos idênticos não compartilham 100% do mesmo DNA, com algumas mutações diferindo entre eles.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-17739 size-full" title="Reconhecimento biométrico por DNA" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2021/04/dna-biometria.jpg" alt="Reconhecimento biométrico por DNA" width="410" height="253"></p>
<p>A identificação por DNA é usada atualmente em aplicações forenses para identificar suspeitos e vítimas, ou para verificar a existência de laços familiares entre pessoas. É uma forma de identificação suscetível à contaminação ou degradação, necessita de métodos químicos, e pode acabar revelando informações privadas, como a existência de doenças no indivíduo.</p>
<h3>Outros tipos de biometria</h3>
<p>Existem diversos outros tipos de traços biométricos que podem encontrar aplicação em sistemas de reconhecimento, apesar de não serem muito empregados atualmente (ainda).</p>
<p>Entre eles se incluem:</p>
<ul>
<li>Termograma infravermelho das veias</li>
<li>Odor</li>
<li>Formato das Orelhas</li>
</ul>
<h3>Multibiometria</h3>
<p>Uma forma de melhorar ainda mais a precisão de um sistema biométrico é usar mais de um traço biométrico em uma aplicação de reconhecimento, tornando-os mais confiáveis devido ao emprego de múltiplas peças de evidência.</p>
<p>Esse tipo de sistema é denominado <strong><em>sistema multibiométrico</em></strong> ou ainda <strong><em>biometria multimodal</em></strong>.</p>
<p>Ao se combinar mais de uma&nbsp;forma de identificação biométrica em uma mesma aplicação, obtém-se um sistema de&nbsp;identificação ultra seguro, com aplicações geralmente nas áreas militar e governamental.</p>
<h3>Aplicações dos sistemas de biometria</h3>
<p>Estabelecer a identidade de uma pessoa com alto grau de confiabilidade é crítico em diversas aplicações. Alguns exemplos:</p>
<table style="border-collapse: collapse; width: 100%;" border="1">
<thead>
<tr>
<td style="width: 33.3333%; text-align: center;"><strong>Forense</strong></td>
<td style="width: 33.3333%; text-align: center;"><strong>Governamental</strong></td>
<td style="width: 33.3333%; text-align: center;"><strong>Comercial</strong></td>
</tr>
</thead>
<tbody>
<tr>
<td style="width: 33.3333%;">Identificação de cadáveres</td>
<td style="width: 33.3333%;">Documentos para identificação de cidadãos</td>
<td style="width: 33.3333%;">Controle de acesso a edifícios, como empresas.</td>
</tr>
<tr>
<td style="width: 33.3333%;">Investigação criminal</td>
<td style="width: 33.3333%;">Distribuição de benefícios</td>
<td style="width: 33.3333%;">Caixas eletrônicos (ATM)</td>
</tr>
<tr>
<td style="width: 33.3333%;">Testes de paternidade</td>
<td style="width: 33.3333%;">Controle de fronteiras</td>
<td style="width: 33.3333%;">E-commerce e e-banking</td>
</tr>
<tr>
<td style="width: 33.3333%;">Localização de pessoas desaparecidas</td>
<td style="width: 33.3333%;">Aplicações militares</td>
<td style="width: 33.3333%;">Login em sistemas de computador</td>
</tr>
</tbody>
</table>
<h3>Sistemas de Segurança</h3>
<p>É importante perceber que um sistema de biometria é apenas um componente em uma solução geral de segurança, pois ele cuida apenas do aspecto da autenticação.</p>
<p>Outras tecnologias como <a href="http://www.bosontreinamentos.com.br/seguranca/criptografia-paradigmas-e-tecnicas-de-autenticacao/">criptografia</a>, assinaturas digitais, etc. são necessárias para atender aos critérios de confidencialidade, integridade e disponibilidade do sistema de informação como um todo.</p>
<p>Assim, o sistema de biometria pode ser considerado como um subsistema no sistema de informação completo.</p>
<h3>Resumo</h3>
<p>A biometria traz diversas vantagens quando comparada a sistemas de autenticação baseados em tokens ou informações conhecidas:</p>
<ul>
<li>Desencoraja a fraude e aumenta a segurança</li>
<li>Detecta duplicação de identidades</li>
<li>Não pode ser transferido, esquecido, perdido ou copiado com facilidade</li>
<li>Elimina alegações de repúdio</li>
<li>Aumenta a conveniência e facilidade de uso para o usuário.</li>
</ul>
<p>Assim, os sistemas de reconhecimento por biometria são reconhecidos como uma ferramenta poderosa e necessária para o gerenciamento de identidades.</p>
<p>O reconhecimento confiável de indivíduos é parte integral do funcionamento adequado de nossa sociedade. Hoje é amplamente aceito que técnicas de reconhecimento convencionais baseadas em credenciais como documentos de identificação, passaportes, senhas, PINs, etc., não são suficientemente confiáveis para reconhecer um indivíduo, pois são vulneráveis a roubo e falsificação.</p>
<h3>Referências</h3>
<ul>
<li>JAIN, A.K.; ROSS, A.A.; NANDAKUMAR, K. <em><strong>Introduction to Biometrics</strong></em>. 1ª ed. 2001. Springer</li>
<li>JAIN, A.K.; ROSS, A.A.; NANDAKUMAR, K. <em><strong>Handbook of Multibiometrics</strong></em>. 1ª ed. 2006. Springer</li>
</ul>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/">O que é Biometria &#8211; Conceitos e Tecnologias</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/o-que-e-biometria-conceitos-e-tecnologias/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>O que é Rainbow Table em Criptografia</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/?noamp=mobile#comments</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 06 Dec 2019 22:17:40 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Criptografia]]></category>
		<category><![CDATA[Hacker]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=15898</guid>

					<description><![CDATA[<p>O que é Rainbow Table É extremamente comum armazenarmos uma senha em um bancos de dados usando um hash criptográfico computado a partir dessas senhas. Assim, em teoria, se alguém conseguir acessar a tabela que armazena esses hashes, não poderá saber qual é a senha que o gerou, pois as funções de hash empregadas são funções de uma via (one-way), o que significa que o algoritmo não é reversível. Porém, isso não garante efetivamente que seja impossível descobrir as senhas. Existem técnicas que podem levar um indivíduo mal-intencionado a obter senhas de forma indevida, como ataques de força bruta e ataques de dicionário &#8211; mas o tipo de ataque que pode ser mais efetivo neste caso é o emprego de Rainbow Tables. Rainbow Table é um método para descobrir senhas a partir de hashes, de forma rápida. A ideia básica é pré-computar uma longa lista de senhas, com seus respectivos hashes gerados por algum algoritmo específico, e armazenar essa lista em um arquivo, no formato de uma tabela. Assim, é possível reverter uma função de hash criptográfico. Uma rainbow table pode conter muitos bilhões de hashes com as respectivas senhas que os geraram, podendo ser consultada em questão de segundos. [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/">O que é Rainbow Table em Criptografia</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>O que é Rainbow Table</h2>
<p>É extremamente comum armazenarmos uma senha em um bancos de dados usando um hash criptográfico computado a partir dessas senhas. Assim, em teoria, se alguém conseguir acessar a tabela que armazena esses hashes, não poderá saber qual é a senha que o gerou, pois as funções de hash empregadas são funções de uma via (one-way), o que significa que o algoritmo não é reversível.</p>
<p>Porém, isso não garante efetivamente que seja impossível descobrir as senhas. Existem técnicas que podem levar um indivíduo mal-intencionado a obter senhas de forma indevida, como ataques de força bruta e ataques de dicionário &#8211; mas o tipo de ataque que pode ser mais efetivo neste caso é o emprego de Rainbow Tables.</p>
<p><strong>Rainbow Table</strong> é um método para descobrir senhas a partir de <strong>hashes</strong>, de forma rápida. A ideia básica é pré-computar uma longa lista de senhas, com seus respectivos hashes gerados por algum algoritmo específico, e armazenar essa lista em um arquivo, no formato de uma tabela. Assim, é possível reverter uma função de hash criptográfico.</p>
<p>Uma rainbow table pode conter muitos bilhões de hashes com as respectivas senhas que os geraram, podendo ser consultada em questão de segundos. Assim, a partir de um hash, é possível retornar a senha correspondente.</p>
<h3>Exemplo</h3>
<p>Suponha que o usuário Fábio use a senha <strong>LaranjaLima</strong> para se logar em um sistema. Essa senha, após ser criptografada usando um algoritmo de hash como o MD5, fica assim:</p>
<pre><strong>58D8295B3B5966D00DFC5304544D806F</strong></pre>
<p>Este é o hash MD5 da senha fornecida, que para este exemplo gerei usando um <a href="https://passwordsgenerator.net/md5-hash-generator/" target="_blank" rel="noopener">gerador de hash online</a>, e que seria armazenado no banco de dados de senhas do sistema. A partir desse hash, não há função que permita determinar a senha original.</p>
<p>Porém, se este hash for fornecido a uma aplicação que utilize rainbow tables, pode ser possível descobrir a senha que o originou. Existem inclusive bancos de dados de hashes online para descobrir senhas de hashes comuns &#8211; vamos testar esse hash no site <a href="https://hashkiller.co.uk/Cracker" target="_blank" rel="noopener">HashKiller</a>:</p>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-15917" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/12/rainbow-table-crack-MD5-hash.png" alt="Quebrar senha hash MD5 com rainbow table" width="476" height="128" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/12/rainbow-table-crack-MD5-hash.png 476w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/12/rainbow-table-crack-MD5-hash-420x113.png 420w" sizes="auto, (max-width: 476px) 100vw, 476px" /></p>
<p>Note que ao fornecer o hash da senha, o site retornou imediatamente a senha que escolhemos. Nível de segurança dessa senha com a criptografia MD5? Quase nulo, como podemos ver.</p>
<h3>Onde encontrar Rainbow Tables</h3>
<p>Muitos sites na Internet distribuem rainbow tables para download, como por exemplo o <a href="https://freerainbowtables.com/" target="_blank" rel="noopener">Free Rainbow Tables</a>, em arquivos que podem chegar a vários Terabytes (TB) de tamanho.</p>
<h3>Como se proteger contra Rainbow Tables</h3>
<p>A forma mais prática e efetiva de evitar o emprego de rainbow tables para descobrir senhas é o <a href="http://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/">uso de salt na hora de criar o hash de uma senha</a>. Isso basicamente anula o valor das tabelas, pois é praticamente impossível computar previamente os hashes de todas as combinações de caracteres gerados pela combinação de senhas com strings de salt &#8211; desde que sejam longas.</p>
<p>Além disso, alguns algoritmos são mais seguros que outros, tornando difícil o processo de criação de rainbow tables. Evite usar algoritmos de hash vulneráveis, como o MD5 e o SHA1, por exemplo.</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/">O que é Rainbow Table em Criptografia</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/feed/</wfw:commentRss>
			<slash:comments>1</slash:comments>
		
		
			</item>
		<item>
		<title>O que é Salt em criptografia</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/?noamp=mobile#comments</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 06 Dec 2019 22:10:45 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Criptografia]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=9991</guid>

					<description><![CDATA[<p>O que é Salt Um salt é, basicamente, uma cadeia de caracteres aleatória concatenada com uma senha, passphrase ou arquivo antes de efetuar uma operação de hash. O salt pode ser anexado antes ou depois desses dados, e o uso do salt permite que o hash gerado seja completamente diferente toda vez que for gerado, mesmo que a senha seja idêntica. Assim, por exemplo, se dois usuários escolherem a mesma senha para login em um sistema, o hash de ambas será completamente diferente, por conta do salt adicionado (que será diferente, por ser aleatório). Chamamos comumente a essa operação de salgar a senha. O valor de salt gerado é armazenado no banco de dados juntamente com o hash, pois ele será necessário quando do processo de verificação da senha &#8211; por exemplo, quando um usuário tenta se logar em um sistema com suas credenciais. O emprego de salt inutiliza as técnicas empregadas para descobrir senhas hasheadas, como rainbow tables, tabelas de lookup e de lookup reverso, por exemplo. Como o hacker não tem como saber de antemão os valores de salts que serão empregados ao criar os hashes de senha, se torna impossível gerar tabelas de senhas com seus respectivos [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/">O que é Salt em criptografia</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>O que é Salt</h2>
<p>Um <strong>salt</strong> é, basicamente, uma cadeia de caracteres aleatória concatenada com uma senha, passphrase ou arquivo antes de efetuar uma operação de hash. O salt pode ser anexado antes ou depois desses dados, e o uso do salt permite que o hash gerado seja completamente diferente toda vez que for gerado, mesmo que a senha seja idêntica.</p>
<p>Assim, por exemplo, se dois usuários escolherem a mesma senha para login em um sistema, o hash de ambas será completamente diferente, por conta do salt adicionado (que será diferente, por ser aleatório).</p>
<p>Chamamos comumente a essa operação de <strong><em>salgar a senha</em></strong>.</p>
<p>O valor de salt gerado é armazenado no banco de dados juntamente com o hash, pois ele será necessário quando do processo de verificação da senha &#8211; por exemplo, quando um usuário tenta se logar em um sistema com suas credenciais.</p>
<p>O emprego de salt inutiliza as técnicas empregadas para descobrir senhas hasheadas, como rainbow tables, tabelas de lookup e de lookup reverso, por exemplo. Como o hacker não tem como saber de antemão os valores de salts que serão empregados ao criar os hashes de senha, se torna impossível gerar tabelas de senhas com seus respectivos hashes (como Rainbow Tables).</p>
<p>Além disso,seu uso impede que duas senhas iguais tenham o mesmo valor de hash.</p>
<p>Os salts são gerados usando bibliotecas e funções do tipo <strong>CSPRNG</strong> (<em>Cryptographically Secure Pseudo-Random Number Generator</em>), ou Gerador de Números Pseudo-Aleatórios Criptograficamente Seguros, que estão disponíveis na maioria das linguagens de programação.</p>
<p>Exemplos dessas bibliotecas e funções em algumas linguagens de programação incluem:</p>
<ul>
<li>C &#8211;<a href="http://man7.org/linux/man-pages/man2/getrandom.2.html" target="_blank" rel="noopener"> getrandom()</a></li>
<li>Java &#8211;&nbsp;<a href="https://docs.oracle.com/javase/8/docs/api/java/security/SecureRandom.html" target="_blank" rel="noopener">java.security.SecureRandom</a></li>
<li>Python &#8211; <a href="https://docs.python.org/3/library/secrets.html#module-secrets" target="_blank" rel="noopener">secrets()</a></li>
<li>PHP &#8211; <a href="http://www.bosontreinamentos.com.br/php-programming/armazenando-senhas-de-forma-segura-em-php-funcoes-de-hash/">password_hash()</a>,&nbsp;<a href="https://www.php.net/manual/en/function.random-bytes.php" target="_blank" rel="noopener">random_bytes()</a></li>
<li>C# &#8211;&nbsp;<a href="https://docs.microsoft.com/en-us/dotnet/api/system.security.cryptography.rngcryptoserviceprovider?view=netframework-4.8" target="_blank" rel="noopener">RNGCryptoServiceProvider</a></li>
<li>Ruby &#8211; <a href="https://ruby-doc.org/stdlib-2.5.1/libdoc/securerandom/rdoc/SecureRandom.html" target="_blank" rel="noopener">Securerandom</a></li>
</ul>
<h3>Exemplo</h3>
<p>Suponha que um usuário deseja se cadastrar em um sistema online, criando um nome de usuário e uma senha, a saber: usuário <strong>fabio</strong> e senha <strong>a1s2d3fH</strong>. Precisamos armazenar esse par de valores em um banco de dados (BD) para permitir que o usuário seja capaz de fazer logon sempre que for necessário em sua conta.</p>
<p>Evidentemente não vamos armazenar essa senha no BD, por questões de segurança &#8211; afinal, qualquer um que tenha acesso à tabela do banco de dados poderia obter a senha instantaneamente. O que devemos armazenar é um hash dessa senha &#8211; o valor fornecido de senha será processado por um algoritmo de hash criptográfico.</p>
<p>Porém, mesmo essa técnica não é segura, pois é relativamente fácil encontrar tabelas de senhas com seus respectivos hashes pré-calculados na Internet (chamadas de <a href="http://www.bosontreinamentos.com.br/seguranca/o-que-e-rainbow-table/"><em>Rainbow Tables</em></a>) &#8211; assim, de posse do hash em si é possível descobrir qual senha foi utilizada para gerá-lo.</p>
<p>Para evitar esse problema usamos o salt.</p>
<p>Geramos um salt criptográfico aleatório (que nunca deve ser reutilizado) e o concatenamos com a senha fornecida pelo usuário, antes de efetuar a operação de hashing. Assim, suponhamos que foi gerado um salt com a sequência de caracteres <strong>hfwoffw8k0*4Mj&amp;jk</strong>. Esse salt será concatenado com a senha:</p>
<pre><strong>hfwoffw8k0*4Mj&amp;jka1s2d3fH</strong></pre>
<p>E esse conjunto alimentará a função de hash:</p>
<pre><strong>hash = fHash(hfwoffw8k0*4Mj&amp;jka1s2d3fH)</strong></pre>
<p>O valor de hash retornado será armazenado no banco de dados. E o salt empregado também deve ser armazenado, para que seja possível validar a senha posteriormente, quando o usuário desejar entrar no dito sistema novamente:</p>
<table style="border-collapse: collapse; width: 100%;" border="1">
<tbody>
<tr>
<td style="width: 19.8015%; text-align: center;"><strong>Usuario</strong></td>
<td style="width: 48.7596%; text-align: center;"><strong>HashSenha</strong></td>
<td style="width: 31.4388%; text-align: center;"><strong>Salt</strong></td>
</tr>
<tr>
<td style="width: 19.8015%; text-align: center;">fabio</td>
<td style="width: 48.7596%; text-align: center;">fhd#yrfkY6iuhUhygYGytrYT5jh&amp;)dnfnuh&amp;H.U</td>
<td style="width: 31.4388%; text-align: center;">hfwoffw8k0*4Mj&amp;jk</td>
</tr>
</tbody>
</table>
<h3>Resumindo os passos para armazenar senhas de forma segura com salt</h3>
<p><strong>Como armazenar uma senha de forma segura em um banco de dados</strong></p>
<ol>
<li>Gere um salt longo e aleatório usando um CSPRNG.</li>
<li>Anexe o salt gerado à senha escolhida pelo usuário e então crie um hash usando uma função de hash de senha padrão, como <a href="http://www.bosontreinamentos.com.br/linux/utilitario-de-criptografia-bcrypt-no-linux/">bcrypt</a>, scrypt, PBKDF2, ou outra comum.</li>
<li>Salve tanto o hash gerado quanto o salt em campos no banco de dados.</li>
</ol>
<p><strong>Como verificar uma senha</strong></p>
<ol>
<li>Obtenha o salt e o hash armazenados no banco de dados.</li>
<li>Anexe o salt à senha fornecida pelo usuário e crie o hash usando a mesma função de hash usada ao armazenar a senha.</li>
<li>Compare o hash da senha fornecida com o hash armazenado banco de dados. Se eles forem iguais, significa que a senha fornecida está correta. Caso contrário, a senha está errada.</li>
</ol>
<h3>Conclusão</h3>
<p>O emprego de salt aumenta brutalmente a segurança ao criptografar dados usando algoritmos de hash, e é imprescindível que o utilizemos em todos os sistemas que exijam autenticação em algum ponto.</p>
<p>Leia mais sobre o <a href="http://www.bosontreinamentos.com.br/linux/utilitario-de-criptografia-bcrypt-no-linux/">utilitário de criptografia bcrypt</a> aqui.</p>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/">O que é Salt em criptografia</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/o-que-e-salt-em-criptografia/feed/</wfw:commentRss>
			<slash:comments>3</slash:comments>
		
		
			</item>
		<item>
		<title>12 Exemplos de uso do utilitário nmap</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/12-exemplos-de-uso-do-utilitario-nmap/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/12-exemplos-de-uso-do-utilitario-nmap/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 10 May 2019 23:22:19 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Linux]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=14912</guid>

					<description><![CDATA[<p>Nmap &#8211; Network Mapper O nmap é um utilitário open source para exploração de redes e auditoria de segurança. Criado por Gordon Lyon em 1997, ele permite escanear desde hosts únicos a grandes redes de dispositivos, tanto local quanto remotamente, por meio do envio de pacotes e análise das repostas recebidas. O nmap roda em Linux, BSD, OS X e Windows, possuindo interface padrão em linha de comandos e também uma implementação de interface gráfica, chamada de zenmap. Neste tutorial vamos mostrar doze exemplos de uso do nmap. Mas antes, precisamos instalá-lo no sistema. Usaremos um sistema Ubuntu Linux para mostrar os exemplos, que poderão ser replicados em qualquer outro sistema: Como instalar o nmap e zenmap Vamos instalar os pacotes: # apt install nmap zenmap Verificar se nmap e zenmap estão instalados: # whereis nmap # whereis zenmap Não vamos utilizar o zenmap neste tutorial; deixe-o instalado pois vamos mostrar como usá-lo nos próximos tutoriais sobre o assunto. Vamos aos exemplos de uso do nmap agora. Exemplos 1 &#8211; Listar as portas abertas em um host remoto, como o scanme.nmap.org: # nmap scanme.nmap.org Conta comum: envia TCP Connect Scan; Conta com privilégios: envia SYN Stealth Scan. Estados das portas [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/12-exemplos-de-uso-do-utilitario-nmap/">12 Exemplos de uso do utilitário nmap</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>Nmap &#8211; Network Mapper</h2>
<p><span style="font-weight: 400;">O nmap é um utilitário open source para exploração de redes e auditoria de segurança. Criado por Gordon Lyon em 1997, ele p</span><span style="font-weight: 400;">ermite escanear desde hosts únicos a grandes redes de dispositivos, tanto local quanto remotamente, por meio do envio de pacotes e análise das repostas recebidas.</span></p>
<p><span style="font-weight: 400;">O nmap roda em Linux, BSD, OS X e Windows, p</span><span style="font-weight: 400;">ossuindo interface padrão em linha de comandos e também uma implementação de interface gráfica, chamada de <strong>zenmap</strong>.</span></p>
<p>Neste tutorial vamos mostrar doze exemplos de uso do nmap. Mas antes, precisamos instalá-lo no sistema. Usaremos um sistema Ubuntu Linux para mostrar os exemplos, que poderão ser replicados em qualquer outro sistema:</p>
<h2><strong>Como instalar o nmap e zenmap</strong></h2>
<p><span style="font-weight: 400;">Vamos instalar os pacotes:</span></p>
<pre><span style="font-weight: 400;"># apt install nmap zenmap</span></pre>
<p><span style="font-weight: 400;">Verificar se nmap e zenmap estão instalados:</span></p>
<pre><span style="font-weight: 400;"># whereis nmap</span>
<span style="font-weight: 400;"># whereis zenmap</span></pre>
<p>Não vamos utilizar o zenmap neste tutorial; deixe-o instalado pois vamos mostrar como usá-lo nos próximos tutoriais sobre o assunto.</p>
<p>Vamos aos exemplos de uso do nmap agora.</p>
<h3>Exemplos</h3>
<p><strong>1 &#8211; Listar as portas abertas em um host remoto, como o scanme.nmap.org:</strong></p>
<pre><span style="font-weight: 400;"># nmap scanme.nmap.org</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14913" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-01.png" alt="Listar portas abertas em um host remoto com nmap" width="616" height="286" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-01.png 616w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-01-420x195.png 420w" sizes="auto, (max-width: 616px) 100vw, 616px" /></p>
<p><span style="font-weight: 400;">Conta comum: envia TCP Connect Scan; Conta com privilégios: envia SYN Stealth Scan.</span></p>
<h4><span style="font-weight: 400;">Estados das portas</span></h4>
<p><span style="font-weight: 400;">As portas podem se encontrar nos seguintes estados:</span></p>
<ul>
<li style="font-weight: 400;"><b>open</b><span style="font-weight: 400;"> &#8211; Uma aplicação está escutando conexões nesta porta.</span></li>
<li style="font-weight: 400;"><b>closed</b><span style="font-weight: 400;"> &#8211; Pacote recebido, mas nenhuma aplicação escutando na porta.</span></li>
<li style="font-weight: 400;"><b>filtered</b><span style="font-weight: 400;"> &#8211; Pacote não recebido, e estado não pôde ser estabelecido. Pacotes podem estar sendo descartados por filtros.</span></li>
<li style="font-weight: 400;"><b>unfiltered</b><span style="font-weight: 400;"> &#8211; Pacote recebido, mas estado não pôde ser estabelecido. </span></li>
<li style="font-weight: 400;"><b>open/filtered</b><span style="font-weight: 400;"> &#8211; Porta filtrada ou aberta, mas o nmap não conseguiu estabelecer o estado.</span></li>
<li style="font-weight: 400;"><b>closed/filtered</b> &#8211; Porta filtrada ou fechada, mas o nmap não conseguiu estabelecer o estado.</li>
</ul>
<p><strong>2 &#8211; Detecção de Versão de Serviços</strong></p>
<p><span style="font-weight: 400;">A detecção de serviço é uma das técnicas mais usadas no nmap, permitindo por exemplo identificar vulnerabilidades de segurança ou simplesmente verificar se um serviço está rodando em uma porta específica.</span></p>
<p><span style="font-weight: 400;">A flag <strong>sV</strong> habilita detecção de serviço, retornando informações sobre serviços e versões.</span></p>
<pre><span style="font-weight: 400;"># nmap -sV scanme.nmap.org</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14915" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/detectar-service-nmap-02.png" alt="Detecção de serviços com nmap" width="598" height="230" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/detectar-service-nmap-02.png 598w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/detectar-service-nmap-02-420x162.png 420w" sizes="auto, (max-width: 598px) 100vw, 598px" /></p>
<p><strong>3 &#8211; Usar o Modo Agressivo</strong></p>
<p><span style="font-weight: 400;">O modo agressivo é um modo de operação especial do nmap que é ativado com o uso da flag A, habilitando a detecção de S.O., versão, escaneamento de script e traceroute:</span></p>
<pre><span style="font-weight: 400;"># nmap -A localhost</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14916" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/modo-agressivo-nmap-03.png" alt="Como usar o modo agressivo com nmap" width="378" height="240"></p>
<p><strong>4 &#8211; Encontrar hosts ativos na rede</strong></p>
<p><span style="font-weight: 400;">Podemos enumerar ou monitorar alvos ativos, usando a flag P (ping scanning):</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -sP 192.168.1.1/24</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14918" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-encontrar-hosts-ativos-rede-04.png" alt="Encontrar hosts ativos na rede com nmap" width="572" height="219" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-encontrar-hosts-ativos-rede-04.png 572w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-encontrar-hosts-ativos-rede-04-420x161.png 420w" sizes="auto, (max-width: 572px) 100vw, 572px" /></p>
<p><strong>5 &#8211; Escanear portas específicas na rede</strong></p>
<p><span style="font-weight: 400;">Podemos escanear uma porta ou grupo de portas específicas com a flag -p</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p80 192.168.1.1/24</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14919" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-escanear-portas-rede-05.png" alt="Escanear portas específicas na rede com nmap" width="357" height="281"></p>
<p><span style="font-weight: 400;">Outras formas de escanear portas específicas:</span></p>
<p><span style="font-weight: 400;">Lista de portas:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p80, 443 192.168.1.1/24</span></pre>
<p><span style="font-weight: 400;">Faixa de portas:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p1-200 192.168.1.1/24</span></pre>
<p><span style="font-weight: 400;">Todas as portas:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p- 192.168.1.1/24</span></pre>
<p><span style="font-weight: 400;">Portas específicas por protocolos:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -pT:22,U:53 192.168.1.1/24</span></pre>
<p><span style="font-weight: 400;">Por nome de serviço:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p ftp 192.168.1.1/24</span></pre>
<p><strong>6 &#8211; Identificar hostnames</strong></p>
<p><span style="font-weight: 400;">Podemos identificar os nomes de hosts ativos na rede com a flag -L</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -sL 192.168.1.1/24</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14920" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-identificar-hostnames-06.png" alt="identificar hostnames com nmap na rede" width="414" height="184"></p>
<p><strong>7 &#8211; Identificar sistema operacional</strong></p>
<p><span style="font-weight: 400;">Para identificar o sistema operacional de um host usamos a flag -O</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -O 192.168.1.1</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14921" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-identificar-sistema-operacional-07.png" alt="Como identificar o sistema operacional usando nmap" width="711" height="223" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-identificar-sistema-operacional-07.png 711w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-identificar-sistema-operacional-07-420x132.png 420w" sizes="auto, (max-width: 711px) 100vw, 711px" /></p>
<p><strong>8 &#8211; Escanear as x principais portas</strong></p>
<p><span style="font-weight: 400;">Podemos escanear as x principais portas (por exemplo, as 20 principais portas) com o parâmetro </span><i><span style="font-weight: 400;">&#8211;top-ports</span></i><span style="font-weight: 400;">:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap --top-ports 20 192.168.1.1</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14922" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-escanear-principais-portas-08.png" alt="Escanear principais portas nmap" width="290" height="257"></p>
<p><strong>9 &#8211; Salvar a saída em um arquivo de texto</strong></p>
<p><span style="font-weight: 400;">Podemos salvar a saída gerada pelo nmap em um arquivo de texto, que pode ser analisado posteriormente, com a opção -oN:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap --top-ports 20 -oN saida.txt 192.168.1.1</span></pre>
<p><span style="font-weight: 400;">E então abrir essa saída usando qualquer editor de textos, ou até mesmo o comando cat.</span></p>
<p><strong>10 &#8211; Ler um arquivo de texto contendo IPs</strong></p>
<p><span style="font-weight: 400;">Podemos usar um arquivo de texto contendo diversos endereços IP com entrada para o escaneamento do nmap com a opção -iL.</span></p>
<p><span style="font-weight: 400;">Suponha que tenhamos um arquivo de nome listaIP.txt e que possua o seguinte conteúdo:</span></p>
<pre><span style="font-weight: 400; color: #008000;">192.168.1.1</span>
<span style="font-weight: 400; color: #008000;">8.8.8.8</span>
<span style="font-weight: 400; color: #008000;">192.168.1.60</span>
<span style="font-weight: 400; color: #008000;">www.locaweb.com.br</span></pre>
<p><span style="font-weight: 400;">Usamos o comando como segue:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -p80 -iL listaIP.txt</span></pre>
<p><strong>11 &#8211; Escanear apenas portas TCP ou UDP</strong></p>
<p><span style="font-weight: 400;">Podemos especificar se o escaneamento deve ocorrer apenas em portas TCP ou UDP (o padrão é em ambas), com as flags -sT (TCP) e -sU (UDP):</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -sT localhost</span>
<span style="font-weight: 400;"># sudo nmap -sU localhost</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14924" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-escanear-portas-TCP-UDP-09.png" alt="Escanear portas TCP e UDP com nmap" width="711" height="127" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-escanear-portas-TCP-UDP-09.png 711w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-escanear-portas-TCP-UDP-09-420x75.png 420w" sizes="auto, (max-width: 711px) 100vw, 711px" /></p>
<p><strong>12 &#8211; Mostrar rotas e interfaces no host</strong></p>
<p><span style="font-weight: 400;">Podemos verificar a configuração das interfaces de rede e as rotas no host que roda o nmap, para fins de troubleshooting:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -iflist</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14925" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-mostrar-rotas-interfaces-host-10.png" alt="Mostrar rotas e interfaces no host com nmap" width="518" height="247" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-mostrar-rotas-interfaces-host-10.png 518w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-mostrar-rotas-interfaces-host-10-420x200.png 420w" sizes="auto, (max-width: 518px) 100vw, 518px" /></p>
<p><strong>Bônus: Como usar o NSE &#8211; Nmap Scripting Engine</strong></p>
<p><span style="font-weight: 400;">Recurso poderoso do nmap, o NSE nos permite usar um conjunto pré-determinado de scripts, ou ainda escrever nossos próprios scripts de alta complexidade.</span></p>
<p><span style="font-weight: 400;">Um exemplo é um script de teste completo de vulnerabilidade:</span></p>
<pre><span style="font-weight: 400;"># sudo nmap -Pn --script vuln 192.168.1.1</span></pre>
<p><img loading="lazy" decoding="async" class="aligncenter size-full wp-image-14926" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-script-engine-NSE-11.png" alt="Nmap Script Engine  - NSE" width="667" height="146" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-script-engine-NSE-11.png 667w, https://www.bosontreinamentos.com.br/wp-content/uploads/2019/05/nmap-script-engine-NSE-11-420x92.png 420w" sizes="auto, (max-width: 667px) 100vw, 667px" /></p>
<h3><strong>Referências</strong></h3>
<p><span style="font-weight: 400;">Lyon, G. F. </span><b><i>Nmap Network Scanning.</i></b><span style="font-weight: 400;"> Ed. Insecure.com, 1ª Ed. 2008</span></p>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/12-exemplos-de-uso-do-utilitario-nmap/">12 Exemplos de uso do utilitário nmap</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/12-exemplos-de-uso-do-utilitario-nmap/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>O que é Phishing? &#8211; Tópicos de Segurança Digital</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Tue, 02 Apr 2019 17:21:46 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=14650</guid>

					<description><![CDATA[<p>O que é Phishing? Phishing se refere a um conjunto de técnicas empregadas por bandidos digitais com o intuito de enganar usuários para que eles forneçam inadvertidamente informações sigilosas e valiosas.&#160; Geralmente, este tipo de ataque começa com o recebimento de um e-mail falso, ou ainda outra forma de comunicação cujo intuito seja enganar a vítima, como uma mensagem instantânea. A mensagem enviada é forjada para se parecer com uma mensagem legítima, proveniente de uma fonte confiável ao usuário. Caso a vítima caia na armadilha, poderá ter informações confidenciais roubadas, comumente fornecendo esses dados em um website falso. Algumas vezes também é feito o download de software malicioso para o computador da vítima. O phishing é um exemplo clássico de técnica de Engenharia Social empregada para enganar usuários de sistemas de computador. A palavra &#8220;phishing&#8221; é um homófono (palavras que soam da mesma forma) da palavra em inglês fishing, que significa &#8220;pescaria&#8221; &#8211; denotando o caráter de &#8220;pesca&#8221; de vítimas. Tipos de Phishing Existem várias formas de se realizar ataques de phishing, dependendo de como é realizado e de quem são os alvos. Os mais comuns são os seguintes: Whaling Quando um ataque de phishing tem por alvo uma figura [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/">O que é Phishing? &#8211; Tópicos de Segurança Digital</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>O que é Phishing?</h2>
<p>Phishing se refere a um conjunto de técnicas empregadas por bandidos digitais com o intuito de enganar usuários para que eles forneçam inadvertidamente informações sigilosas e valiosas.&nbsp; Geralmente, este tipo de ataque começa com o recebimento de um e-mail falso, ou ainda outra forma de comunicação cujo intuito seja enganar a vítima, como uma mensagem instantânea.</p>
<p>A mensagem enviada é forjada para se parecer com uma mensagem legítima, proveniente de uma fonte confiável ao usuário. Caso a vítima caia na armadilha, poderá ter informações confidenciais roubadas, comumente fornecendo esses dados em um website falso. Algumas vezes também é feito o download de software malicioso para o computador da vítima.</p>
<p>O phishing é um exemplo clássico de técnica de Engenharia Social empregada para enganar usuários de sistemas de computador.</p>
<p>A palavra &#8220;phishing&#8221; é um homófono (palavras que soam da mesma forma) da palavra em inglês <em><strong>fishing</strong></em>, que significa &#8220;pescaria&#8221; &#8211; denotando o caráter de &#8220;pesca&#8221; de vítimas.</p>
<h3>Tipos de Phishing</h3>
<p>Existem várias formas de se realizar ataques de phishing, dependendo de como é realizado e de quem são os alvos. Os mais comuns são os seguintes:</p>
<h4>Whaling</h4>
<p>Quando um ataque de phishing tem por alvo uma figura de grande importância, como o diretor de uma grande empresa, o ataque é também conhecido como &#8220;whaling&#8221;, que significa basicamente &#8220;pesca à baleia&#8221;, pelo porte do usuário-alvo e alta possibilidade de retorno da &#8220;operação&#8221;. Este é um ataque de periculosidade elevada, devido à categoria de informações que podem ser obtidas.</p>
<h4>Pharming</h4>
<p>Uma outra forma de phishing bastante comum é chamada de &#8220;Pharming&#8221;, na qual os usuários são redirecionados a um website falso, mas que aparenta ser legítimo. Às vezes nem é necessário que o usuário clique em um link malicioso &#8211; é possível alterar registros DNS na máquina da vítima ou no servidor de hospedagem do site de modo a redirecionar as requisições de acesso ao site para uma página falsa, mesmo que o endereço correto do website seja digitado no navegador.<br />
É preciso tomar muito cuidado e sempre inspecionar minuciosamente o endereço que está sendo acessado, pois normalmente um endereço falso difere de um legítimo por diferenças mínimas, como um simples caractere.</p>
<p>Por exemplo, a URL www.bancobrasil.com.br leva ao site oficial do Banco do Brasil; um atacante pode forjar um redirecionamento para um site falso cuja URL seja, por exemplo, www.bancobrazil.com.br, a qual não te leva ao site original.</p>
<h4>Spear Phishing</h4>
<p>Também existe o conceito de Spear Phishing (&#8220;Pesca com Arpão&#8221;), no qual o alvo são indivíduos específicos, em vez de um grande grupo de pessoas aleatórias. Para tal, os atacantes podem pesquisar informações sobre o alvo em redes sociais e em outros locais, de modo a coletar informações suficientes para personalizar a comunicação empregada no ataque &#8211; o que a torna muito mais autêntica, e passível de êxito.</p>
<h4>Clone Phishing</h4>
<p>Neste tipo de ataque um e-mail legítimo, recebido anteriormente e contendo um anexo ou link tem seu conteúdo e endereços de destinatários recebidos alterados para criar um e-mail praticamente idêntico ou ainda totalmente clonado. O anexo ou link enviado no email é substituído por uma versão maliciosa e, enviado a partir de um endereço de email falsificado para que pareça ser proveniente do remetente original.</p>
<h3>Objetivos de um ataque de Phishing</h3>
<p>Na maior parte dos casos, meliantes querem obter vantagens financeiras, e fazem isso roubando números de cartão de crédito, senhas de acesso a bancos ou outros tipos de dados do gênero. Algumas vezes o phishing é empregado para obter dados de acesso a uma corporação, obtendo esses dados de funcionários incautos, como por exemplo dados de login em sistemas.</p>
<p>Além disso, é possível que um ataque de phishing seja escalado para um ataque mais elaborado, como por exemplo a implantação de ransomware nos computadores de uma empresa.</p>
<h3>Como se proteger contra ataques de Phishing</h3>
<p>Há diversas medidas que podem ser tomadas para a proteção contra o phishing. Entre elas elencamos:</p>
<h4>Uso de Tecnologias de Segurança</h4>
<p>É imprescindível que sejam implantadas tecnologias de segurança dos equipamentos da empresa (ou de sua casa), sendo as mais comuns o emprego de antivírus e firewall, que permitem diminuir a probabilidade de um ataque ocorrer, ou ainda minimizar seu impacto, caso ocorra.<br />
Controle de acesso de usuários e monitoramento de suas ações também são técnicas amplamente empregadas para proteger a rede de ataques em geral, incluindo phishing.</p>
<p>Uma técnica bastante empregada também é o emprego de uma lista de sites de phishing conhecidos e sempre verificar essa lista ao acessar um site em sua máquina. Um exemplo desse tipo de serviço é o Google Safe Browsing, e praticamente todos os navegadores possuem algum tipo de técnica anti-phishing como esta.</p>
<p>O uso de filtros de spam também pode ajudar a diminuir problemas com ataques de phishing, por meio da análise e remoção automáticas de alguns tipos de ataques, muitas vezes empregando abordagens avançadas de machine learning (aprendizagem de máquina) ou processamento de linguagem natural, para classificar e-mails maliciosos.</p>
<p>Muitos pacotes de softwares para segurança, como pacotes antivírus, possuem software anti-phishing integrado.</p>
<h4>Educar os Usuários</h4>
<p>De crucial importância é a educação dos usuários, sejam eles funcionários da organização ou você mesmo, em sua casa ou outro local. É muito importante saber como reconhecer um e-mail de phishing, e o que fazer ao receber um &#8211; o que, basicamente, significa jamais clicar em links ou abrir anexos não solicitados, e excluir o e-mail suspeito imediatamente. Dependendo da ferramenta de segurança disponível no sistema, também é possível reportado o e-mail para que ele seja detectado e marcado caso venha a ser recebido novamente.</p>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/">O que é Phishing? &#8211; Tópicos de Segurança Digital</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/o-que-e-phishing-topicos-de-seguranca-digital/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Servidor SSH &#8211; Conceitos básicos e conexão por senha no Linux</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/ssh-conceitos-basicos-e-conexao-por-senha-no-linux/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/ssh-conceitos-basicos-e-conexao-por-senha-no-linux/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 26 Oct 2018 14:23:39 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Criptografia]]></category>
		<category><![CDATA[Linux]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=13427</guid>

					<description><![CDATA[<p>Servidor SSH &#8211; Conceitos básicos e conexão por senha no Linux Nesta lição vamos aprender a usar o protocolo SSH para efetuar acesso remoto a um sistema Linux Debian (e derivados), usando uma conexão por meio de senha. Instalaremos o pacote de código aberto OpenSSH para nossos testes. Servidor SSH (Secure Shell) Trata-se de um protocolo de rede seguro utilizado para administração e acesso remotos em servidores Linux (e outros tipos de sistemas operacionais) que permite a comunicação com nível elevado de segurança através do uso de criptografia entre os clientes e o servidor SSH. Para instalá-lo no Debian e derivados, use o comando a seguir: # apt-get install openssh-server Após instalar o serviço, verifique se ele está em execução: # service ssh status Para iniciar o programa (se necessário) use o comando a seguir: # /etc/init.d/ssh start ou ainda # service ssh start Após a instalação do OpenSSH será necessário gerar as chaves de criptografia que serão utilizadas durante os processos de autenticação e transferência de dados. Para isso, digite o seguinte comando no terminal: # ssh-keygen –t rsa Pressione &#60;enter&#62; quando perguntado sobre os locais para armazenamento das chaves. Isso irá gerar as chaves de criptografia no padrão [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/ssh-conceitos-basicos-e-conexao-por-senha-no-linux/">Servidor SSH &#8211; Conceitos básicos e conexão por senha no Linux</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>Servidor SSH &#8211; Conceitos básicos e conexão por senha no Linux</h2>
<p>Nesta lição vamos aprender a usar o protocolo SSH para efetuar acesso remoto a um sistema Linux Debian (e derivados), usando uma conexão por meio de senha. Instalaremos o pacote de código aberto OpenSSH para nossos testes.</p>
<h3>Servidor SSH (Secure Shell)</h3>
<p>Trata-se de um protocolo de rede seguro utilizado para administração e acesso remotos em servidores Linux (e outros tipos de sistemas operacionais) que permite a comunicação com nível elevado de segurança através do uso de criptografia entre os clientes e o servidor SSH.</p>
<p>Para instalá-lo no Debian e derivados, use o comando a seguir:</p>
<pre><span style="color: #ff0000;"><strong># apt-get install openssh-server</strong></span></pre>
<p>Após instalar o serviço, verifique se ele está em execução:</p>
<pre><span style="color: #ff0000;"><strong># service ssh status</strong></span></pre>
<p>Para iniciar o programa (se necessário) use o comando a seguir:</p>
<pre><span style="color: #ff0000;"><strong># /etc/init.d/ssh start</strong></span></pre>
<p>ou ainda</p>
<pre><span style="color: #ff0000;"><strong># service ssh start</strong></span></pre>
<p>Após a instalação do <strong>OpenSSH</strong> será necessário gerar as chaves de criptografia que serão utilizadas durante os processos de autenticação e transferência de dados. Para isso, digite o seguinte comando no terminal:</p>
<pre><span style="color: #ff0000;"><strong># ssh-keygen –t rsa</strong></span></pre>
<p>Pressione <span style="color: #ff0000;"><strong>&lt;enter&gt;</strong></span> quando perguntado sobre os locais para armazenamento das chaves. Isso irá gerar as chaves de criptografia no padrão RSA. Verifique o local onde as chaves serão salvas. Serão gerados dois arquivos: <strong>id_rsa</strong> e <strong>id_rsa.pub</strong>, que correspondem respectivamente à chave privada e à chave pública de criptografia.</p>
<h3>Testando o OpenSSH</h3>
<p>Para entrar no servidor remotamente basta agora rodar um cliente ssh, como o PuTTY no Windows (<a href="http://www.putty.org" target="_blank" rel="noopener">www.putty.org</a>).</p>
<p>O serviço do SSH roda por padrão na porta TCP 22. Lembre-se sempre de liberar essa porta no firewall do sistema, se ele estiver ativo, caso contrário a conexão remota será recusada.</p>
<p>Ainda com dúvidas? Assista a um vídeo sobre a instalação e configuração do servidor SSH no Linux a seguir:</p>
<p><iframe loading="lazy" src="https://www.youtube.com/embed/e7TdtHL6b0E" width="640" height="480" frameborder="0" allowfullscreen="allowfullscreen"></iframe></p>
<p>Até a próxima!</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/ssh-conceitos-basicos-e-conexao-por-senha-no-linux/">Servidor SSH &#8211; Conceitos básicos e conexão por senha no Linux</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/ssh-conceitos-basicos-e-conexao-por-senha-no-linux/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Esquema de Codificação Base58</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/esquema-de-codificacao-base58/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/esquema-de-codificacao-base58/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Fri, 24 Nov 2017 19:55:35 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Bitcoin]]></category>
		<category><![CDATA[Criptografia]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=11152</guid>

					<description><![CDATA[<p>O que é o Base58 Para representar números grandes (longos) de forma sucinta e compacta, usando pouco símbolos, os sistemas de computador utilizam representações alfanuméricas com uma base numérica maior do que a base 10. Por exemplo, o sistema tradicional de representação numérica que usamos no dia-a-dia é o sistema base 10, que utiliza os numerais de 0 a 9 para representar todos os números. Porém, é muito comum em programação de computadores que endereços de memória sejam representados numericamente, e para isso geralmente usamos o sistema de numeração hexadecimal (base 16), que contém os numerais de 0 a 9, mais as &#8220;letras&#8221; de A a F, que representam os valores numéricos de 10 a 15. Assim, um número representado no sistema hexadecimal é mais curto do que sua representação equivalente em decimal, facilitando as tarefas de digitação, representação e memorização (se necessária). Podemos compactar ainda mais a representação de strings de caracteres e valores numéricos usando sistemas como o Base64, que utiliza as 26 letras do alfabeto latino minúsculas, as 26 letras maiúsculas, 10 numerais (0 a 9) e mais dois caracteres especiais, como &#8220;+&#8221; e &#8220;/&#8221; para a transmissão de dados binários em mídias baseadas em texto, como [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/esquema-de-codificacao-base58/">Esquema de Codificação Base58</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>O que é o Base58</h2>
<p>Para representar números grandes (longos) de forma sucinta e compacta, usando pouco símbolos, os sistemas de computador utilizam representações alfanuméricas com uma base numérica maior do que a base 10. Por exemplo, o sistema tradicional de representação numérica que usamos no dia-a-dia é o sistema base 10, que utiliza os numerais de 0 a 9 para representar todos os números.</p>
<p>Porém, é muito comum em programação de computadores que endereços de memória sejam representados numericamente, e para isso geralmente usamos o sistema de numeração hexadecimal (base 16), que contém os numerais de 0 a 9, mais as &#8220;letras&#8221; de A a F, que representam os valores numéricos de 10 a 15. Assim, um número representado no sistema hexadecimal é mais curto do que sua representação equivalente em decimal, facilitando as tarefas de digitação, representação e memorização (se necessária).</p>
<p>Podemos compactar ainda mais a representação de strings de caracteres e valores numéricos usando sistemas como o <strong>Base64</strong>, que utiliza as 26 letras do alfabeto latino minúsculas, as 26 letras maiúsculas, 10 numerais (0 a 9) e mais dois caracteres especiais, como &#8220;+&#8221; e &#8220;/&#8221; para a transmissão de dados binários em mídias baseadas em texto, como e-mails. O sistema Base64 é muito utilizado para adicionar anexos binários em e-mails.</p>
<h3>Base58</h3>
<p>Já o sistema <strong>Base58</strong> é um formato de codificação binária baseado em texto desenvolvido para uso em aplicações de criptomoedas, como o <strong>Bitcoin</strong>. Ele oferece um balanço entre a representação compacta, facilidade de leitura, detecção e prevenção de erros. O Base58 é um subconjunto do sistema Base64, utilizando as letras do alfabeto maiúsculas e minúsculas, números, e omitindo alguns caracteres que muitas vezes são confundidos com outros caracteres, e que podem parecer idênticos dependendo da fonte usada na representação do texto.</p>
<p>No caso do Base58, os caracteres que não são utilizados são o 0 (zero), O (letra o maiúscula), I (letra i maiúscula), l (letra L minúscula) e os símbolos &#8220;+&#8221; e &#8220;/&#8221;.</p>
<p>Abaixo temos o alfabeto Base58 completo:</p>
<p style="text-align: center;"><span style="color: #000080;"><strong>123456789ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnopqrstuvwxyz</strong></span></p>
<p>O Base58 foi projetado especificamente para que seja possível humanos entrarem com dados manualmente, ou ainda copiá-los de alguma fonte visualmente.</p>
<p>As principais aplicações do Base58 são a criação de endereços de Bitcoin, endereços de Ripple (outra criptomoeda) e URLs encurtadas para o Flickr, entre outras.</p>
<h3>Base58Check</h3>
<p>O <strong>Base58Check</strong> é um formato de codificação Base58 que, além de codificar os dados, também registra o tipo dos dados na string formada, e inclui detecção de erros nos últimos caracteres da codificação.</p>
<p>O checksum (soma de verificação para detecção de erros) consiste em quatro bytes adicionais concatenados no final dos dados que são codificados. O checksum é derivado de um <a href="http://www.bosontreinamentos.com.br/seguranca/criptografia-tipos-simetrica-assimetrica-e-funcoes-de-hash-02/" target="_blank" rel="noopener noreferrer">hash</a> dos dados codificados, e assim pode ser utilizado para detectar e prevenir modificação dos dados e erros de digitação. </p>
<p>Quando um software recebe uma string codificada com Base58Check, ele calcula o checksum dos dados e o compara com o checksum incluído no código e si. Se os valores não baterem, um ero ocorreu na transmissão dos dados e o dado é considerado inválido. Desta forma, por exemplo, evita-se que um endereço Bitcoin digitado erroneamente seja aceito por um software de carteira como um destino válido de fundos, um erro que resultaria em perda do dinheiro transferido.</p>
<p>Para converter dados brutos em formato Base58Check, primeiramente adicionamos um prefixo ao dado, chamado de &#8220;Byte de Versão&#8221;, que serve para identificar com facilidade o tipo de dado que está sendo codificado. Por exemplo, para um endereço de bitcoin o prefixo será zero, enquanto o prefixo usado para codificar uma chave privada será o número 128 (em hexadecimal, 0x80).</p>
<p>Após adicionar o prefixo, é computado um hash duplo do dado, usando o algoritmo SHA256 duas vezes, como segue:</p>
<pre><span style="color: #800080;"><strong>soma de verificação = SHA256(Sha256(prefixo + dado))</strong></span></pre>
<p>O resultado será uma string de 32 bytes, dos quais usa-se apenas os quatro primeiros. Esses quatro bytes servem como código de verificação de erros (não de correção!), e é o que chamamos de &#8220;Checksum&#8221;. Esse valor é concatenado o final da string de dados a ser transmitida.</p>
<p>Assim, temos no final ma string composta por um prefixo, dados e um checksum. Esse conjunto é então codificado usando o formato Base58 que vimos na seção anterior.</p>
<p>Uma das principais aplicações do Base58Check é a codificação de dados em bitcoin para apresentação ao usuário, pois os dados se tornam compactos, fáceis de ler e de detectar erros. Os endereços de bitcoin codificados desta forma sempre iniciam com o caractere 1 (um).</p>
<p>Como exemplo, veja o endereço público para contribuições de bitcoin para a Bóson Treinamentos (caso queira contribuir com qualquer valor, fique à vontade!):</p>
<h4><strong>1F2zucNtHimYR2dpnGxpX1fnoMn5xKM5S6</strong></h4>
<p>Como esperado, o endereço (que está codificado) se inicia com o valor 1.</p>
<p>É isso aí! No próximo tutorial vamos continuar explorando as tecnologias por trás das criptomoedas. Até mais!</p>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/esquema-de-codificacao-base58/">Esquema de Codificação Base58</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/esquema-de-codificacao-base58/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>A criptografia quântica é inquebrável. Assim como a engenhosidade humana</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/a-criptografia-quantica-e-inquebravel-assim-como-a-engenhosidade-humana/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/a-criptografia-quantica-e-inquebravel-assim-como-a-engenhosidade-humana/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Sat, 12 Aug 2017 17:37:58 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<category><![CDATA[Criptografia]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=10414</guid>

					<description><![CDATA[<p>Por Joshua Holden Professor de matemática no Instituto de Tecnologia Rose-Hulman em Indiana. Ele estuda teoria dos números e criptografia. É o autor de The Mathematics of Secrets: Cryptography from Cesar Ciphers to Digital Encryption (2017). Dois tipos básicos de esquemas de criptografia são usados hoje na internet. Um, conhecido como criptografia de chave simétrica, segue o mesmo padrão que as pessoas tem usado para enviar mensagens secretas por milhares de anos. Se Alice quer enviar uma mensagem secreta a Bob, eles começam por se reunir em algum lugar onde eles não possam ser ouvidos e escolhem uma chave secreta; Mais tarde, quando eles estão separados, eles podem usar essa chave para enviar mensagens que Eva, a espiã, não consegue entender mesmo que as intercepte. Este é o tipo de criptografia usado quando você configura uma conta online com o banco na sua vizinhança; Você e seu banco já possuem informações privadas um sobre o outro e usam essas informações para configurar uma senha secreta para proteger suas mensagens. O segundo esquema é chamado de criptografia de chave pública, e foi inventado apenas na década de 1970. Como o nome sugere, estes são sistemas nos quais Alice e Bob escolhem [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/a-criptografia-quantica-e-inquebravel-assim-como-a-engenhosidade-humana/">A criptografia quântica é inquebrável. Assim como a engenhosidade humana</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p><img loading="lazy" decoding="async" class="aligncenter wp-image-10425 size-full" title="Criptografia quântica" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2017/08/cryptography-icon.png" alt="Criptografia quântica" width="256" height="256" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2017/08/cryptography-icon.png 256w, https://www.bosontreinamentos.com.br/wp-content/uploads/2017/08/cryptography-icon-170x170.png 170w" sizes="auto, (max-width: 256px) 100vw, 256px" /></p>
<p><em>Por Joshua Holden</em><br />
 <em>Professor de matemática no Instituto de Tecnologia Rose-Hulman em Indiana. Ele estuda teoria dos números e criptografia. É o autor de The Mathematics of Secrets: Cryptography from Cesar Ciphers to Digital Encryption (2017).</em></p>
<p>Dois tipos básicos de esquemas de criptografia são usados hoje na internet. Um, conhecido como criptografia de chave simétrica, segue o mesmo padrão que as pessoas tem usado para enviar mensagens secretas por milhares de anos. Se Alice quer enviar uma mensagem secreta a Bob, eles começam por se reunir em algum lugar onde eles não possam ser ouvidos e escolhem uma chave secreta; Mais tarde, quando eles estão separados, eles podem usar essa chave para enviar mensagens que Eva, a espiã, não consegue entender mesmo que as intercepte. Este é o tipo de criptografia usado quando você configura uma conta online com o banco na sua vizinhança; Você e seu banco já possuem informações privadas um sobre o outro e usam essas informações para configurar uma senha secreta para proteger suas mensagens.</p>
<p>O segundo esquema é chamado de criptografia de chave pública, e foi inventado apenas na década de 1970. Como o nome sugere, estes são sistemas nos quais Alice e Bob escolhem uma chave, ou parte dela, trocando apenas informações públicas. Isso é incrivelmente útil no comércio eletrônico moderno: se você deseja enviar o seu número de cartão de crédito com segurança pela internet para a Amazon, por exemplo, não quer ter que se dirigir à sua sede para ter uma reunião secreta primeiro. Os sistemas de chave pública dependem do fato de que alguns processos matemáticos parecem ser fáceis de fazer, mas difíceis de desfazer. Por exemplo, para Alice pegar dois números inteiros grandes e multiplicá-los é relativamente fácil; Para Eva para obter o resultado e recuperar os números originais parece muito mais difícil.</p>
<p>A criptografia de chave pública foi inventada por pesquisadores da sede de comunicações do governo (GCHQ) &#8211; o equivalente britânico (mais ou menos) da Agência Nacional de Segurança dos EUA (NSA) &#8211; que queriam proteger as comunicações entre um grande número de pessoas em uma organização de segurança . Seu trabalho foi classificado e o governo britânico nem o usou nem permitiu que ele fosse divulgado ao público. A ideia de comércio eletrônico, aparentemente, nunca ocorreu a eles. Alguns anos depois, pesquisadores acadêmicos de Stanford e do MIT, nos Estados Unidos,  redescobriram os sistemas de chave pública. Desta vez, eles estavam pensando nos benefícios que a criptografia generalizada poderia trazer às pessoas comuns, e não menos a capacidade de fazer negócios usando computadores.</p>
<p>Agora os criptógrafos acreditam que um novo tipo de computador baseado na física quântica poderia tornar a criptografia de chave pública insegura. Os bits em um computador normal são 0 ou 1. A física quântica permite que bits estejam em uma superposição de 0 e 1, da mesma maneira que o gato de Schrödinger pode estar em uma superposição de estados vivo e morto. Isso às vezes permite que os computadores quânticos explorem possibilidades mais rapidamente do que os computadores normais. Embora ninguém tenha construído um computador quântico capaz de resolver problemas de tamanho não trivial (a menos que o estejam mantendo em segredo) nos últimos 20 anos, os pesquisadores começaram a descobrir como escrever programas para esses computadores e previram que, uma vez construídos, os computadores quânticos resolverão rapidamente &#8220;problemas ocultos de subgrupos&#8221;. Uma vez que todos os sistemas de chave pública atualmente dependem de variações desses problemas, eles poderiam, em teoria, ser quebrados por um computador quântico.</p>
<p>Os criptógrafos não estão desistindo, no entanto. Eles estão explorando substituições para os sistemas atuais, de duas formas principais. Uma implanta cifras quantum-resistentes, que são formas de criptografar mensagens usando computadores atuais, mas sem envolver problemas de subconjuntos ocultos. Assim, eles parecem ser seguros contra os quebradores de código que usariam computadores quânticos. A outra ideia é fazer cifras verdadeiramente quânticas. Estes &#8220;combateriam quantum com quantum&#8221;, usando a mesma física quântica que poderia nos permitir construir computadores quânticos para proteger contra ataques computacionais quânticos. Progresso está sendo realizado em ambas as áreas, mas ambos exigem mais pesquisas, que atualmente estão sendo realizadas em universidades e outras instituições ao redor do mundo.</p>
<p>No entanto, algumas agências governamentais ainda querem restringir ou controlar as pesquisas sobre a segurança criptográfica. Eles argumentam que, se todos no mundo tiverem acesso a uma criptografia forte, então terroristas, sequestradores e pedófilos serão capazes de esconder seus atos de tal forma que os funcionários da segurança pública e da segurança nacional não vão conseguir descobrir.</p>
<p>Mas isso não é realmente verdade. O que é verdade é que praticamente qualquer pessoa pode se apossar de um software que, quando usado corretamente, é seguro contra ataques conhecidos publicamente. A chave aqui é &#8220;quando usado corretamente&#8221;. Na realidade, quase nenhum sistema é sempre usado corretamente. E quando terroristas ou criminosos usam um sistema incorretamente, mesmo que seja uma única vez, isso pode permitir que um criptoanalista experiente que trabalhe para o governo leia todas as mensagens enviadas usando esse sistema. O pessoal responsável pela aplicação da lei e da segurança nacional pode reunir essas mensagens com informações recolhidas de outras formas &#8211; vigilância, informantes confidenciais, análise de metadados e características de transmissão, etc. &#8211; e ainda possuir uma ferramenta poderosa contra os infratores.</p>
<p>Em seu ensaio &#8220;A Few Words on Secret Writing’&#8221; (&#8220;Algumas palavras sobre a escrita secreta&#8221;), de 1841, Edgar Allan Poe escreveu: &#8220;É possível afirmar rotundamente que a ingenuidade humana não pode inventar uma cifra que a própria ingenuidade humana não possa resolver&#8221;. Na teoria, foi comprovado que ele estava: quando executado corretamente nas condições adequadas, técnicas como a criptografia quântica são seguras contra qualquer possível ataque de um intruso, como nosso personagem invasor Eva. Em situações da vida real, no entanto, Poe estava, sem dúvida, correto. Toda vez que um sistema &#8220;inquebrável&#8221; foi colocado em uso real, algum tipo de infortúnio inesperado eventualmente deu a Eva a oportunidade de quebrá-lo. Por outro lado, sempre que parecia que Eva havia ganho a partida, Alice e Bob encontraram uma maneira inteligente de voltar ao jogo. Estou convencido de uma coisa: se a sociedade não dá a &#8220;engenhosidade humana&#8221; tanto espaço para florescer quanto podemos gerenciar, todos sairemos mais empobrecidos por isso.</p>
<p><a href="http://press.princeton.edu/titles/10826.html" target="_blank" rel="nofollow noopener noreferrer">The Mathematics of Secrets: Cryptography from Caesar Ciphers to Digital Encryption por Joshua Holden</a> está disponível na Princeton University Press.</p>
<p>Traduzido e republicado com permissão de Aeon. Artigo original: &#8220;<a href="https://aeon.co/ideas/quantum-cryptography-is-unbreakable-so-is-human-ingenuity" target="_blank" rel="nofollow noopener noreferrer">Quantum cryptography is unbreakable. So is human ingenuity</a>&#8220;</p>
<p>LICENÇA: <a href="http://creativecommons.org/licenses/by-nd/4.0/" target="_blank" rel="nofollow noopener noreferrer">Creative Commons Attribution-No Derivatives</a></p>
<p><script src='https://metrics.aeon.co/count/2bd3044b-7cff-4f47-8597-6c1b7893190f.js'></script></p>
<p>Leia também: <a href="http://www.bosontreinamentos.com.br/seguranca/introducao-a-criptografia/">Introdução à Criptografia</a></p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/a-criptografia-quantica-e-inquebravel-assim-como-a-engenhosidade-humana/">A criptografia quântica é inquebrável. Assim como a engenhosidade humana</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/a-criptografia-quantica-e-inquebravel-assim-como-a-engenhosidade-humana/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>WikiLeaks revela um sistema de hacking wireless da CIA</title>
		<link>https://www.bosontreinamentos.com.br/seguranca/wikileaks-revela-um-sistema-de-hacking-wireless-da-cia/</link>
					<comments>https://www.bosontreinamentos.com.br/seguranca/wikileaks-revela-um-sistema-de-hacking-wireless-da-cia/?noamp=mobile#respond</comments>
		
		<dc:creator><![CDATA[Fábio dos Reis]]></dc:creator>
		<pubDate>Sat, 17 Jun 2017 19:11:31 +0000</pubDate>
				<category><![CDATA[Segurança]]></category>
		<guid isPermaLink="false">http://www.bosontreinamentos.com.br/?p=9763</guid>

					<description><![CDATA[<p>WikiLeaks revela um sistema de hacking wireless da CIA O WikiLeaks revelou um outro documento relacionado à série Vault 7 (revelação de ferramentas de hacking da agência central de inteligência americana). Conhecido como programa &#8220;Cherry Blossom&#8220;, que de acordo com os documentos vazados, foi supostamente desenvolvido e implementado pela CIA com a ajuda de um instituto de pesquisa sem fins lucrativos sediado em Menlo Park, na Califórnia, para seu projeto &#8220;Cherry Bomb&#8220;, e que se foca em comprometer dispositivos wireless (sem fio). O Cherry Blossom em si é um firmware que permite aos invasores explorar vulnerabilidades e comprometer dispositivos de rede sem fio, como por exemplo pontos de acesso (Access Points) e roteadores sem fio. Funcionamento do Cherry Blossom Ao comprometer remotamente o dispositivo visado, o Cherry Blossom substitui o firmware existente pelo seu próprio, permitindo que os atacantes transformem o roteador ou o AP em algo chamado de &#8220;FlyTrap&#8220;. O FlyTrap pode vasculhar endereços de e-mail, nomes de usuário de bate-papo, endereços MAC e números de VoIP no tráfego que passa pela rede &#8211; e tudo isso sem a necessidade de nenhum acesso físico. De acordo com o Press Release da WikiLeaks: Uma vez que o novo firmware no [...]</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/wikileaks-revela-um-sistema-de-hacking-wireless-da-cia/">WikiLeaks revela um sistema de hacking wireless da CIA</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></description>
										<content:encoded><![CDATA[<h2>WikiLeaks revela um sistema de hacking wireless da CIA</h2>
<p>O WikiLeaks revelou um outro documento relacionado à série <a href="https://wikileaks.org/ciav7p1/" target="_blank" rel="nofollow noopener noreferrer">Vault 7</a> (revelação de ferramentas de hacking da agência central de inteligência americana).</p>
<p>Conhecido como programa &#8220;<strong>Cherry Blossom</strong>&#8220;, que de acordo com os documentos vazados, foi supostamente desenvolvido e implementado pela CIA com a ajuda de um instituto de pesquisa sem fins lucrativos sediado em Menlo Park, na Califórnia, para seu projeto &#8220;<strong>Cherry Bomb</strong>&#8220;, e que se foca em comprometer dispositivos wireless (sem fio).</p>
<p>O Cherry Blossom em si é um firmware que permite aos invasores explorar vulnerabilidades e comprometer dispositivos de rede sem fio, como por exemplo pontos de acesso (Access Points) e roteadores sem fio.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-9765" title="SIstema de hacking wireless da CIA Cherry Blossom" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-blossom.jpg" alt="SIstema de hacking wireless da CIA Cherry Blossom" width="640" height="471" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-blossom.jpg 692w, https://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-blossom-420x309.jpg 420w" sizes="auto, (max-width: 640px) 100vw, 640px" /></p>
<h3>Funcionamento do Cherry Blossom</h3>
<p>Ao comprometer remotamente o dispositivo visado, o Cherry Blossom substitui o firmware existente pelo seu próprio, permitindo que os atacantes transformem o roteador ou o AP em algo chamado de &#8220;<strong>FlyTrap</strong>&#8220;. O FlyTrap pode vasculhar endereços de e-mail, nomes de usuário de bate-papo, endereços MAC e números de VoIP no tráfego que passa pela rede &#8211; e tudo isso sem a necessidade de nenhum acesso físico.</p>
<p>De acordo com o <a href="https://wikileaks.org/vault7/#Cherry Blossom" target="_blank" rel="nofollow noopener noreferrer">Press Release da WikiLeaks</a>:</p>
<blockquote>
<p>Uma vez que o novo firmware no dispositivo seja ativado, o roteador ou AP se tornará o chamado FlyTrap. Um FlyTrap se comunicará pela Internet com um servidor de comando e controle chamado CherryTree.</p>
<p>As informações transmitidas contém o status do dispositivo e informações de segurança que o CherryTree registra em um banco de dados. Em resposta a esta informação, o CherryTree envia uma missão com tarefas definidas pelo operador.</p>
<p>Um operador pode usar o CherryWeb, uma interface de usuário baseada em navegador para visualizar o status do Flytrap e informações de segurança, planejar tarefas da missão, visualizar dados relacionados à missão e executar tarefas de administração do sistema.</p>
</blockquote>
<p>Além disso, a WikiLeaks observa que, como os dispositivos Wi-Fi (sem fio) são muito comuns em residências, locais públicos e escritórios, isso os torna adequados para realizar ataques do tipo &#8220;Man-In-The-Middle&#8221;, pois o programa Cherry Blossom de hacking wireless da CIA pode monitorar, controlar e manipular facilmente o tráfego da Internet de usuários conectados.</p>
<p><img loading="lazy" decoding="async" class="aligncenter wp-image-9766 size-full" title="Cherry Bomb - Flytrap da CIA" src="http://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-bomb-fly-trap.jpg" alt="Cherry Bomb - Flytrap da CIA" width="445" height="270" srcset="https://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-bomb-fly-trap.jpg 445w, https://www.bosontreinamentos.com.br/wp-content/uploads/2017/06/cherry-bomb-fly-trap-420x255.jpg 420w" sizes="auto, (max-width: 445px) 100vw, 445px" /></p>
<h3>Equipamentos vulneráveis</h3>
<p>Alguns dos dispositivos que podem ter vulnerabilidades exploradas pelo Cherry Blossom incluem equipamentos da 3Com, Aironet / Cisco, Allied Telesis, Ambit, Apple, Asustek Co, Belkin, Breezecom, Cameo, D-Link, Linksys, Orinoco, USRobotics, entre outros.</p>
<p>É possível consultar uma lista completa contendo centenas de outros fornecedores a <a href="https://wikileaks.org/vault7/document/WiFi_Devices/" target="_blank" rel="nofollow noopener noreferrer">partir deste link</a></p>
<h3>A CIA e Malwares</h3>
<p>Até agora, a série Vault 7 vem mostrando como a CIA supostamente hackeia e invade TVs, smartphones, caminhões (!!!) e computadores. A série também destaca as vulnerabilidades críticas que a comunidade de inteligência tem descoberto em sistemas operacionais como Microsoft Windows e Apple Mac OS X, mas que nunca compartilha com os fabricantes em si.</p>
<p>Os documentos também mostraram como a CIA usa malwares e outros tipos de softwares contra usuários desavisados em todo o mundo. Estes incluem, entre muitos outros, Dark Matter, Marble, Grasshoppe, HIVE, Weeping Angelk, Archimedes, AfterMidnight, Athena e Pandemic.</p>
<p>Fontes: <a href="https://www.hackread.com/cherry-blossom-wikileaks-dump-cia-wireless-hacking-tools/" target="_blank" rel="nofollow noopener noreferrer">Hackread</a> e <a href="https://wikileaks.org/vault7/#Cherry Blossom" target="_blank" rel="nofollow noopener noreferrer">WikiLeaks</a></p>
<p>&nbsp;</p>
<p>O post <a href="https://www.bosontreinamentos.com.br/seguranca/wikileaks-revela-um-sistema-de-hacking-wireless-da-cia/">WikiLeaks revela um sistema de hacking wireless da CIA</a> apareceu primeiro em <a href="https://www.bosontreinamentos.com.br">Bóson Treinamentos em Ciência e Tecnologia</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.bosontreinamentos.com.br/seguranca/wikileaks-revela-um-sistema-de-hacking-wireless-da-cia/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
