Trabalho Prtico 1

Pesquisa sobre Segurana

FUMEC - Fundao Mineira de Educao e Cultura
Mdulo: Segurana de Redes
Professor: Mrcio H. C. d'vila
Data: 03 de maio de 2001
Valor: 10 (% do total do mdulo)
Data de Devoluo: 14/05/01, Segunda-feira
Trabalho em Grupo: at 5 alunos
Objetivo: Levantamento e anlise crtica dos aspectos prticos da importncia
e indicadores de segurana, vulnerabilidades, ameaas, ataques e medidas.
Este trabalho consiste em:
1. fazer uma pesquisa de levantamento de indicadores de segurana da
informao em redes corporativas e computadores pessoais;
2. preparar um relatrio apresentando de forma clara e representativa os
dados colhidos, se possvel apresentado tambm critrios e fontes de
pesquisa;
3. complementar os dados do relatrio escrevendo uma anlise crtica dos
resultados, incluindo as expectativas, opinies e concluses dos
participantes do grupo e tomando como base comparativa a 6 Pesquisa
Nacional sobre Segurana da Informao (Mdulo, Brasil, 2001) e, se
for o caso, do Computer Crime and Security Survey (CSI/FBI, EUA,
2001).
Os dados a serem pesquisados se dividiro em dois tpicos:
Segurana em computadores pessoais: entrevistar os participantes do
grupo e outros usurios de computador, excludos participantes de
outros grupos, totalizando pelo menos 8 pessoas.
Segurana em redes corporativas: levantar dados em pelo menos 1
empresa (estudo de caso).
Os itens de pesquisa devem abordar pelo menos os seguintes aspectos:
Segurana em computadores pessoais
o Conscientizao: preocupaes, ameaas, ataques e medidas
(preveno e providncias).
o Vrus: contaminaes, uso e atualizao de anti-virus.
o E-mail: anexos, SPAM.
o Software: atualizao e uso de sistema operacional, browser,
outros programas de internet, programas de segurana.
o Backup: cpias de segurana, freqncia e mtodos.
o Uso compartilhado do computador: controle de acesso,
privacidade.
Segurana em redes corporativas
o Conscientizao: preocupaes, vulnerabilidades, ameaas,
ataques, perdas.
o Investimento em segurana: medidas de preveno e
manuteno, providncias, limitaes.
o Vrus: contaminaes, uso e atualizao de anti-virus.
o E-mail: anexos, SPAM, acesso externo/remoto, monitoramento e
sigilo.
o Software: atualizao e uso de sistema operacional, browser,
outros programas de internet, programas de segurana; pirataria.
o Backup: cpias de segurana, freqncia e mtodos.
o Usurios: senhas, controle de acesso, privacidade.
o Internet e Intranet: usos, acesso interno e remoto, restries,
abusos.
o Polticas e procedimentos de segurana.
Os trabalhos sero avaliados pelos seguintes critrios:
adequao de objetivos;
representatividade dos tpicos escolhidos e dados;
contedo da anlise crtica e comparativa.











Trabalho Prtico 2
Conhecendo o PGP
FUMEC - Fundao Mineira de Educao e Cultura
Mdulo: Segurana de Redes
Professor: Mrcio H. C. d'vila
Data: 28 de maio de 2001
Valor: 3,5 pontos
Data de Devoluo: 05/06/01, Tera-feira (-1 ponto por dia de atraso)
Trabalho Individual
Objetivo: Conhecer e utilizar o PGP, a mais popular ferramenta de segurana
e privacidade pessoal para e-mail, computadores e redes.
Este trabalho consiste em realizar uma pequena demonstrao de uso do
software de segurana e privacidade pessoal PGP - Pretty Good Privacy - para
comunicaes seguras por e-mail, entre cada aluno e o professor. As tarefas a
serem realizadas consistem no seguinte:
1. Obter uma cpia do PGP verso 6.5.8 ou mais recente (7.0.x), que um
software gratuito para uso pessoal. Para download do PGP para
Windows (ou outra plataforma), deve-se acessar um destes sites:
o PGPi - International PGP Home Page.
o PGP International - Network Associates International (Win
9x/NT/2000: PGPFW703.zip).

2. Instalar o PGP em um computador no qual voc tenha acesso a sua
conta de e-mail (seja localmente via POP ou IMAP, ou web-mail).
3. Criar uma nova chave PGP para o seu e-mail pessoal. Normalmente, o
PGP j solicitao esta criao ao final da instalao. Se isto no
ocorrer, abra o utilitrio "PGP Keys" (Windows); no menu "Keys"
escolha "New Key". Eis as diretrizes para a criao da chave:
a. Fornea seu nome completo.
b. Fornea seu endereo de e-mail pessoal que ser utilizado nas
comunicaes com o professor, para este trabalho.
c. Escolha o tipo de par de chaves: "Diffie-Hellman/DSS".
d. Escolha como tamanho de chave: 2048, 3072 ou 4096. Quanto
maior a chave, mais lenta a execuo do programa.
e. Escolha para durao da chave: "Never expires" (eterna).
f. Escolha uma frase-passe que ser usada na senha de proteo de
sua chave privada.
g. Complete o processo de gerao do par de chaves pblica-
privada.
h. Se desejar, envie sua chave pblica para o servidor de chaves
PGP, via Internet. Este envio opcional e no ser usado para
este trabalho.

4. Importar a chave pblica do professor. Para tanto, faa download do
seguinte arquivo, ou copie seu contedo:
marcio_tp2.asc (2k)
Formatos alternativos: mesmo arquivo como
TXT (2k), marcio_tp2.zip (1k)
Se for selecionada a opo de abrir o arquivo ASC diretamente do
browser, no computador onde o PGP estiver instalado,
automaticamente ser ativada a importao da chave pblica. O arquivo
formato texto-puro e pode ser importado manualmente com o
utilitrio PGP Keys, pela opo de menu "Keys" > "Import". Confira a
chave pblica importada com as seguintes caractersticas:
o Nome: Mrcio Henrique C. d'vila
o E-mail: marcio.tp2@bol.com.br
o Fingerprint Hexadecimal, que pode ser visualizado na janela
de Propriedades da chave, com a opo "Hexadecimal" marcada:
4222 1403 880C 080A 88BC EF55 15B5 649A 640E 8279

5. Confirmada a chave pblica do professor, assin-la para torn-la vlida.
No PGP Keys, selecione a chave do professor e escolha a opo "Key"
> "Sign".
6. Na janela de propriedades da chave pblica do professor, definir o nvel
de confiana como "Trusted" (todo direita).
7. Exportar para texto a sua chave pblica, que voc gerou inicialmente,
para inclu-la em um e-mail destinado ao professor. Isto pode ser feito
de vrias maneiras, no PGP Keys. Selecione a sua prpria entrada e use
um destes procedimentos:
o Envie para a rea de transferncia do Windows, com Ctrl+C ou
"Edit" > "Copy". Com isto, o PGP copia a chave pblica em
formato texto. Posteriormente bastar colar (Ctrl+V) este
contedo com a chave pblica no texto do e-mail.
o Arraste a entrada com seu nome, do PGP Keys para a janela de
novo e-mail. Em alguns programas, como o Microsoft Outlook,
esta operao inclui a chave pblica como anexo, e no
diretamente no texto, o que no serve para o que precisaremos.
Se o seu programa de e-mail incluir como anexo, exclua o
anexo; esta maneira no poder ser usada.
o Se as maneiras anteriores no funcionaram, sempre possvel
exportar a chave pblica para arquivo texto: escolha "Key" >
"Export" e salve o arquivo ASC, somente com a chave pblica
(nomarque a opo de incluir a chave privada). Em seguida,
abra o arquivo texto .asc (usando o Bloco de Notas ou similar),
copie todo o contedo (Ctrl+C) para depois colar (Ctrl+V) no
programa de e-mail.

8. Enviar sua chave pblica para o professor, por e-mail, conforme
instrues a seguir.
o Formato texto-puro. Por favor, no utilize formato HTML no e-
mail.
o Destinatrio: marcio.tp2@bol.com.br
o Assunto: TP2 seu_nmero_de_matrcula
O texto do e-mail deve conter o seguinte:
o Seu nome completo
o Seu nmero de matrcula da FUMEC
o O fingerprint da sua chave pblica, em formato Hexadecimal,
que voc copia da janela de propriedades da sua chave.
o A sua chave pblica, que voc exportou como texto. No inclua
o arquivo .asc como anexo. Coloque o contedo da chave
pblica no texto do e-mail, aps as demais informaes. O PGP
usa as marcas de incio (BEGIN) e fim (END) para reconhecer o
contedo exato da informao.
Por fim, resta o ltimo procedimento, antes de enviar: criptografar o
e-mail com o PGP, usando a chave pblica do professor. Criptografe
todo o texto do e-mail (nome, matrcula, fingerprint e chave). Existem
duas maneiras de realizar isto.
o A maneira geral copiar todo o texto do e-mail (Ctrl+C),
selecionar no menu de acesso do PGP (o cadeado na barra de
sistema do Windows) "Clipboard" > "Encrypt", escolher como
destinatrio da criptografia apenas o professor, e por fim colar o
resultado criptografado de volta (Ctrl+C), substituindo o
contedo do e-mail pelo resultado criptografado. O PGP coloca o
resultado da criptografia de volta na prpria rea de transferncia
do Windows.
o Nos programas de e-mail para os quais o PGP instala plugin,
como Microsoft Outlook e Eudora, esta operao pode ser
realizada de maneira simplificada com o boto "Encrypt (PGP)"
que foi adicionado na janela do e-mail pelo plugin.

Observao: Quem utiliza sites de webmail pode ter problemas em
incluir o texto criptografado do PGP na sua forma integral, na caixa de
texto de formulrio destinada a escrever a mensagem, podendo ocorrer
quebras de linha indevidas. Em caso de problemas, realize todo os
procedimentos acima em um programa de texto como o Bloco de
Notas, salve o resultado criptografado em arquivo e inclua apenas este
arquivo TXT como anexo no e-mail para o professor.
9. Aps enviado o e-mail, voc receber to logo quanto possvel, atravs
do seu e-mail pessoal usado para enviar a mensagem, uma confirmao
de que sua chave foi recebida corretamente pelo professor junto com
instrues para uma pequena tarefa final. Este e-mail de resposta estar
assinado pela chave privada do professor. Se a chave pblica do aluno
tiver sido recebida com sucesso, a tarefa estar criptografada com
chave pblica do aluno. Caso contrrio, o aluno ser notificado do
problema e dever re-enviar sua chave pblica o mais rpido possvel.
10. Aguardar o recebimento da confirmao e das instrues e executar a
tarefa final. A tarefa final tambm ser devolvida ao professor via
Internet.
Observaes:
O prazo de concluso deste trabalho ser considerado pela data de
recebimento eletrnico do cumprimento da tarefa final.
Como voc deve ter percebido, o professor criou uma conta de e-mail e
chave PGP exclusivamente para este trabalho prtico. No utilize o e-
mail e chave PGP pessoais do professor. Eles no sero aceitos neste
trabalho.





Exerccio de Reviso em Aula
FUMEC
Mdulo: Segurana de Redes - Cincia da Computao
Prof.: Mrcio H. C. dvila
Data: 23 de Maio de 2001
Valor: 10 (% do total de pontos do mdulo) = 1,25 por questo. Extra: 1,25
pela presena

Nas questes dissertativas, procure ser sucinto e focar a questo fundamental
de cada tpico.

1. Comente 2 dados de destaque nas estatsticas sobre segurana no Brasil
e nos EUA.
2. Explique com suas palavras por que os seguintes modelos de segurana
so frgeis:
a. Obscuridade
b. Perimetral
3. Mostre a presena do aspecto humano nas origens de vulnerabilidade
em sistemas de segurana. E em qual tipo de ataque o fator humano
mais marcante? A criptografia traz mtodos que podem garantir o
sucesso de um projeto de segurana?
4. A ao de um hacker provavelmente consistir em uma seqncia de
ataques, que podem ser divididos em 3 fases:
a. Reconhecimento (coleta de informao)
b. Acesso (caminho de invaso)
c. Ao efetivamente danosa
Enquadre cada um dos seguintes exemplos de ataque em uma ou mais
destas 3 fases:
o Back door
o Port scanning
o Spoofing (ex.: IP spoof)
o Estouro de Pilha
o Quebra de senha
o Sniffing
o Desfigurao de web site
o War dialing
5. Compare as vantagens, desvantagens e o uso mais indicado das
criptografias convencional e de chave-pblica.
6. Existe o algoritmo de criptografia totalmente seguro? Por que? Em que
se baseia a segurana da criptografia?
7. O algoritmo DES inclui vrias operaes:
. Mltiplas rodadas
a. Permutao de bits
b. Expanso e contrao de bits na funo F
c. XOR com pedaos diferentes da chave
Associe estas aes aos conceitos de confuso e difuso.
8. Em que consiste basicamente um certificado digital e por que a
necessidade dele na criptografia de chave-pblica?
(Extra: Valor 2) Em um sistema de chave-pblica RSA, voc
intercepta uma cifra C = 10 enviada para um usurio cuja chave pblica
{ e = 5, n = 35 }. Qual a mensagem M?