Nesta página, apresentamos um guia de estudos para alunos que desejem ter uma primeira formação em Segurança da Informação. O guia também serve como material de estudo para alunos que estejam fazendo curso introdutório de Segurança da Informação com o Prof. Raphael Machado.
O guia segue uma estrutura em duas partes. A primeira parte, denominada “Segurança de Sistemas de Informação”, segue uma abordagem mais “tecnológica” e busca apresentar as ferramentas e técnicas da segurança – tanto do ponto de vista de ataques quanto de defesas. A segunda parte, denominada “Criptografia”, apresenta os conceitos e métodos fundamentais da Criptografia, ferramenta fundamental para a segurança da informação.
Informações Gerais
Apresentação do Curso
Material de Apoio
- Livros-texto: Segurança de Computadores, Stallings/Brown; Understanding Cryptography, Christof Paar
- Livro complementar: Criptografia e Segurança de Redes, Stallings
- Livro complementar: Security Engineering, R. Anderson (2a ed. 2008) (https://www.cl.cam.ac.uk/~rja14/book.html)
- Slides e material em https://sandilands.info/sgordon/teaching/its335y14s2/
Material Complementar
- Vídeos, normas, artigos e slides apresentados a cada aula.
Parte 1: Segurança de Sistemas de Informação
Módulo 1.1: Motivação e Conceitos Básicos
Objetivo:
Motivar o aluno para a importância da Segurança da Informação, mostrando os impactos concretos de ataques cibernéticos e apresentando os conceitos fundamentais que o permitirão compreender o problema.
Resumo:
Segurança da Informação é um assunto relevante. Ataques “cibernéticos” ocupam um espaço cada vez maior nos noticiários e na mídia. Iniciamos este módulo 1.1 tentando dar ao aluno uma noção do impacto dos ataques de segurança da informação – num primeiro momento, com foco no mundo corporativo, na sequência, em cenários envolvendo a Segurança Nacional e o bem-estar da Sociedade.
Em seguida, passamos a apresentar conceitos básicos e nomenclatura de Segurança da Informação. Inicialmente, discutimos os conceitos básicos de Segurança de Computadores, incluindo a tríade Confidencialidade, Integridade e Disponibilidade, assim como, conceitos derivados de Autenticidades e Resposabilidade. Também discutimos as dificuldades “fundamentais” relacionadas à segurança, as quais tornam um desafio prático tornar seguros sistemas de informação. Passamos, então, a discutir conceitos associados a ataques tais como ativos, vulnerabilidades, políticas de segurança, ameaças, ataques e controles/contramedidas. Ainda discutimos as diversas nomenclaturas para a própria área da Segurança do Informação – que receber também os nomes “Segurança de Computadores”, “Segurança Cibernética” e “Segurança de Sistemas de Informação”, para citar algumas. E concluímos discutindo alguns conceitos relacionados a segurança e arquitetura de redes, tais como serviços e mecanismos de segurança.
Passamos, então, a discutir o próprio conceito de arquitetura de segurança de redes, realizando uma análise do padrão ISO 7498-2 ou seu equivalente ITU-T X.800.
Em seguida, aprofundamos um pouco mais os conceitos e métodos relacionados a ataques de segurança, discutindo os conceitos de ameaça, adversário, ataques ativos e passivos, internos e externos, dentre outros, além de detalhar abordagens de ataques como análise de tráfego, masquerade, replay, modification e outros.
Seguindo o módulo, realizamos uma exposição sobre a padronização de segurança da informação, partindo da discussão do conceito clássico de padronização e seguindo até as iniciativas contemporâneas de padronização de segurança.
O módulo é concluído com uma discussão sobre o processo de padronização e regulação de segurança nos Estados Unidos – importante para a segurança no mundo todo.
Aula
- Slides
- Aula em vídeo: Parte 0 (Sumário), Parte 1 (Motivação), Parte 2 (Conceitos), Parte 3 (Padrões e Conformidade).
Leitura Recomendada
- Capítulo 1 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 1 do “Criptografia e Segurança de Redes” (Stallings)
- Capítulo 1 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=bx5CPmNbblI
- https://www.youtube.com/watch?v=ixx_MfMHnbE
Material Complementar
- Recomendações ITU-T X.200 e X.800
- RFC 2828
- NIST SP 800-12
Sites Recomendados
- https://csrc.nist.gov/publications
- https://www.iso.org/home.html
- https://www.itu.int/en/ITU-T/Pages/default.aspx
- https://ietf.org/
Aula 1.2: Vulnerabilidade de Software
Objetivo:
Apresentar ao aluno as principais vulnerabilidades de software que são, na prática, exploradas por atacantes e usuários maliciosos.
Aula
Leitura Recomendada
Sugestões de Vídeos
Material Complementar
Sites Recomendados
- https://cwe.mitre.org/
- https://nvd.nist.gov/
- https://owasp.org/
Aula 1.3: Software Malicioso
Objetivo:
Mostrar como aplicações de software podem carregar funcionalidades maliciosas capazes de comprometer a segurança de sistemas de informação.
Aula
Leitura Recomendada
- Capítulo 1 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 1 do “Criptografia e Segurança de Redes” (Stallings)
- Capítulo 1 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=1O0aav4jhcE
- https://www.youtube.com/watch?v=JCE7TMhufT8
Material Complementar
Aula 1.4: Ataques DDoS
Objetivo:
Apresentar ao aluno esta importante classe de ataques com grande impacto na disponibilidade de sistemas de informação.
Aula
Leitura Recomendada
- Capítulo 7 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 21 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=PnOCVwZpIYs
Material Complementar
Aula 1.5: Ameaças Avançadas e Persistentes
Objetivo:
Mostrar ao aluno que ataques cibernéticos podem possuir grande complexidade e ser executados por atacantes com elevados recursos e motivação, apresentando exemplos reais de ataques.
Aula
- Slides (não disponível)
Leitura Recomendada
- https://en.wikipedia.org/wiki/Advanced_persistent_threat
- https://digitalguardian.com/blog/what-advanced-persistent-threat-apt-definition
Sugestões de Vídeos
- Documentário ZeroDays Parte 1 e Parte 2.
- Operation Orchard: Israel’s strike on the Syrian reactor
- Série Dirty Money – episódio 1 “Hard NOx”
Material Complementar
- https://www.amazon.com.br/Cyber-War-Threat-National-Security/dp/0061962244
- https://www.amazon.com.br/Countdown-Zero-Day-Stuxnet-Digital/dp/0770436196
Aula 1.6: Criptografia
Objetivo:
Apresentar histórico e ferramentas básicas de criptografia: cifra simétrica, hash, MAC, cifra de chave pública, assinatura digital, além de aplicações. Algoritmos serão vistos em maior detalhe na segunda parte do curso.
Aula
Leitura Recomendada
- Capítulo 2 do “Segurança de Computadores” (Stallings/Brown)
- Capítulos 2, 3, 7, 9, 11, 12, 13, 14 do “Criptografia e Segurança de Redes” (Stallings)
- Capítulo 5 do “Security Engineering” (Anderson)
Sugestões de Vídeos
Material Complementar
- Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms
- Animação Flash do AES.
- Data Encryption Standard (DES).
- The Legacy of DES (artigo do Schneier).
- Triple DES.
- Desuso do 3DES.
- Sobre a utilização de DES-reverso no 3DES.
- Advanced Encryption Standard (AES).
- Histórico do desenvolvimento do AES.
- Secure Hash Standard (SHS).
- Digital Signature Standard (DSS).
- Recommendation for Key Management, Part 1: General.
Aula 1.7: Autenticação de Usuário
Objetivo:
Apresentar ao aluno a importância, os desafios e as técnicas para autenticar usuários em redes de computadores, sistemas de informação e aplicações de software.
Aula
Leitura Recomendada
- Capítulo 3 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 15 do “Criptografia e Segurança de Redes” (Stallings)
- Capítulos 2 e 15 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=Vn25IqOQwgI
- https://www.youtube.com/watch?v=VpTPAPG-anM
- https://www.youtube.com/watch?v=GT_qgImaUS4
- https://www.youtube.com/watch?v=2tE-fWSM8cA
Material Complementar
Aula 1.8: Controle de Acesso
Objetivo:
Apresentar ao aluno as diferentes estratégias para garantir a correta atribuição de acesso de usuários aos recursos de um sistema.
Aula
Leitura Recomendada
- Capítulo 4 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 4 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=ggBGT2XOr6U
- https://www.youtube.com/watch?v=CDer4DbS8Ds
- https://www.youtube.com/watch?v=_ZddjRL_nvE
Material Complementar
Aula 1.9: Detecção de Intrusão
Objetivo:
Apresentar ao aluno o histórico e os princípios de operação de ferramentas de IDS.
Aula
Leitura Recomendada
- Capítulo 8 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo 21 do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=aFdE_5CfLU4
- https://www.youtube.com/watch?v=NwHx467ZT9I
- https://www.youtube.com/watch?v=AHo0RRQeivs
Material Complementar
Aula 1.10: Firewall e Segurança de Rede
Objetivo:
Apresentar ao aluno os tipos de firewall e as maneiras como podem ser usados para segmentar e proteger redes de computadores.
Aula
Leitura Recomendada
- Capítulo 9 do “Segurança de Computadores” (Stallings/Brown)
- Capítulo ?? do “Security Engineering” (Anderson)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=aFdE_5CfLU4
- https://www.youtube.com/watch?v=NwHx467ZT9I
- https://www.youtube.com/watch?v=AHo0RRQeivs
Material Complementar
Parte 2: Criptografia
Aula 2.1: Introdução à Criptografia
Objetivo:
Intuição sobre criptografia: transformação de mensagens para atender a certos requisitos de segurança (confidencialidade, integridade, irrefutabilidade,…)
Leitura Recomendada
- Capítulo 1 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=2aHkqB2-46k&t=4s
- https://www.youtube.com/watch?v=W1SY6qKZrUk&t=495s
Material Complementar
Aula 2.2: Cifras de Stream e Geradores de Números Aleatórios
Objetivo:
Apresentar as cifras de stream e as ferramentas básicas para a sua construção, os LFSR. Apresentar o conceito de One-Time Pad e mostrar como geradores de números aleatórios podem ser usados na construção de cifras de stream.
Slides
P2A02-Cifras-Stream-Geradores-Numeros-Aleatorios.ppt
Leitura Recomendada
- Capítulo 2 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=AELVJL0axRs
- https://www.youtube.com/watch?v=sKUhFpVxNWc
Material Complementar
Aula 2.3: Data Encryption Standard
Objetivo:
Apresentar ao aluno a estrutura e os princípios de funcionamento da cifra DES, o Data Encryption Standard.
Slides
P2A03-Data-Encryption-Standard.ppt
Leitura Recomendada
- Capítulo 3 do “Understanding Cryptography” (Paar/Pelzl).
Sugestões de Vídeos
- https://www.youtube.com/watch?v=kPBJIhpcZgE&t=1524s
- https://www.youtube.com/watch?v=l-7YW06BFNs&t=17s
Material Complementar
Aula 2.4: Advanced Encryption Standard
Objetivo:
Apresentar ao aluno a estrutura e os princípios de funcionamento da cifra AES, o Advanced Encryption Standard.
Slides
P2A04-Advanced-Encryption-Standard.ppt
Leitura Recomendada
- Capítulo 4 do “Understanding Cryptography” (Paar/Pelzl).
Sugestões de Vídeos
- https://www.youtube.com/watch?v=x1v2tX4_dkQ
- https://www.youtube.com/watch?v=NHuibtoL_qk
Material Complementar
Aula 2.5: Modos de operação e encriptação múltipla
Objetivo:
Apresentar ao aluno formas de estender o uso de cifras de chave simétrica por meio de diversos modos de operação e de encriptação múltipla.
Slides
P2A05-Modos-Operação-Encriptacao-Multipla.ppt
Leitura Recomendada
- Capítulo 5 e Seção 3.7 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=4FBgb2uobWI&t=4222s
- https://www.youtube.com/watch?v=M10BVpTCzGg&t=4226s
Material Complementar
Aula 2.6: Cifras de chave pública e o RSA
Objetivo:
Apresentar ao aluno o paradigma da criptografia assimétrica e descrever o funcionamento do algoritmo RSA.
Slides
P2A06-Cifras-Chave-Publica-RSA.ppt
Leitura Recomendada
- Capítulos 6 e 7 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=fq6SXByItUI&t=4288s
- https://www.youtube.com/watch?v=QSlWzKNbKrU&t=3064s
Material Complementar
Aula 2.7: Acordo de chaves com Diffie-Hellman
Objetivo:
Apresentar o conceito de estabelecimento de chaves e os conceitos relacionados de troca de chaves e acordo de chaves, mostrando o funcionamento do algoritmo Diffie-Helmann de acordo de chaves.
Slides
P2A07-Acordo-Chaves-Diffie-Hellman.ppt
Leitura Recomendada
- Capítulo 8 do “Understanding Cryptography” (Paar/Pelzl) – com exceção da Seção 8.5.
Sugestões de Vídeos
- https://www.youtube.com/watch?v=aeOzBCbwxUo
- https://www.youtube.com/watch?v=IGqrbM52wtg&t=6s
Material Complementar
Aula 2.8: Assinatura Digital, Hash, MAC
Objetivo:
Apresentar ao aluno outras ferramentas da criptografia – além das cifras – que permitem alcançar objetivos de integridade, autenticidade e não-repúdio.
Slides
P2A08-Assinatura-Digital-Hash-MAC.ppt
Leitura Recomendada
- Capítulos 10,11 e 12 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=jbBe4AS5pk0
- https://www.youtube.com/watch?v=tLkHk__-M6Q
- https://www.youtube.com/watch?v=DiLPn_ldAAQ&t=2413s
Material Complementar
- XXX
Aula 2.9: Estabelecimento de Chaves, Certificado Digital, PKI
Objetivo:
Apresentar os protocolos básicos para estabelecimento de chaves e gerenciamento de chaves, tanto em ambientes de criptografia simétrica quanto em criptografia de chave pública.
Slides
P2A09-Estabelecimento-Chaves-Certificado-Digital-PKI.ppt
Leitura Recomendada
- Capítulo 13 do “Understanding Cryptography” (Paar/Pelzl)
Sugestões de Vídeos
- https://www.youtube.com/watch?v=iaH8UG2yMg4&t=1049s
- https://www.youtube.com/watch?v=B9UirR9YDnQ
Material Complementar
- Recommendation for Key Management: Part 2 – Best Practices for Key Management Organizations
- https://en.wikipedia.org/wiki/X.509
- ICP-Brasil
Aula 2.10: Protocolos de Segurança para Redes e Internet
Objetivo:
Apresentar visão geral e exemplos do uso de criptografia em aplicações reais, tais como TLS, HTTPS, SSH, IPsec etc.
Slides
P2A10-Protocolos-Segurança-Redes-Internet.ppt
Leitura Recomendada
- Capítulo 16-19 do “Cryptography and Network Security” (Stallings)
Sugestões de Vídeos
- TLS
- https://www.youtube.com/watch?v=AlE5X1NlHgg
- https://www.youtube.com/watch?v=ZM3tXhPV8v0
- https://www.youtube.com/watch?v=cuR05y_2Gxc
- IP-Sec
- https://www.youtube.com/watch?v=sD4HB2L0PvA
Material Complementar