Introdução à Segurança da Informação

Nesta página, apresentamos um guia de estudos para alunos que desejem ter uma primeira formação em Segurança da Informação. O guia também serve como material de estudo para alunos que estejam fazendo curso introdutório de Segurança da Informação com o Prof. Raphael Machado.

O guia segue uma estrutura em duas partes. A primeira parte, denominada “Segurança de Sistemas de Informação”, segue uma abordagem mais “tecnológica” e busca apresentar as ferramentas e técnicas da segurança – tanto do ponto de vista de ataques quanto de defesas. A segunda parte, denominada “Criptografia”, apresenta os conceitos e métodos fundamentais da Criptografia, ferramenta fundamental para a segurança da informação.

Informações Gerais

Apresentação do Curso

Material de Apoio

  • Livros-texto: Segurança de Computadores, Stallings/Brown; Understanding Cryptography, Christof Paar
  • Livro complementar: Criptografia e Segurança de Redes, Stallings
  • Livro complementar: Security Engineering, R. Anderson (2a ed. 2008) (https://www.cl.cam.ac.uk/~rja14/book.html)
  • Slides e material em https://sandilands.info/sgordon/teaching/its335y14s2/

Material Complementar

  • Vídeos, normas, artigos e slides apresentados a cada aula.

Parte 1: Segurança de Sistemas de Informação

Módulo 1.1: Motivação e Conceitos Básicos

Objetivo:
Motivar o aluno para a importância da Segurança da Informação, mostrando os impactos concretos de ataques cibernéticos e apresentando os conceitos fundamentais que o permitirão compreender o problema.

Resumo:
Segurança da Informação é um assunto relevante. Ataques “cibernéticos” ocupam um espaço cada vez maior nos noticiários e na mídia. Iniciamos este módulo 1.1 tentando dar ao aluno uma noção do impacto dos ataques de segurança da informação – num primeiro momento, com foco no mundo corporativo, na sequência, em cenários envolvendo a Segurança Nacional e o bem-estar da Sociedade.
Em seguida, passamos a apresentar conceitos básicos e nomenclatura de Segurança da Informação. Inicialmente, discutimos os conceitos básicos de Segurança de Computadores, incluindo a tríade Confidencialidade, Integridade e Disponibilidade, assim como, conceitos derivados de Autenticidades e Resposabilidade. Também discutimos as dificuldades “fundamentais” relacionadas à segurança, as quais tornam um desafio prático tornar seguros sistemas de informação. Passamos, então, a discutir conceitos associados a ataques tais como ativos, vulnerabilidades, políticas de segurança, ameaças, ataques e controles/contramedidas. Ainda discutimos as diversas nomenclaturas para a própria área da Segurança do Informação – que receber também os nomes “Segurança de Computadores”, “Segurança Cibernética” e “Segurança de Sistemas de Informação”, para citar algumas. E concluímos discutindo alguns conceitos relacionados a segurança e arquitetura de redes, tais como serviços e mecanismos de segurança.
Passamos, então, a discutir o próprio conceito de arquitetura de segurança de redes, realizando uma análise do padrão ISO 7498-2 ou seu equivalente ITU-T X.800.
Em seguida, aprofundamos um pouco mais os conceitos e métodos relacionados a ataques de segurança, discutindo os conceitos de ameaça, adversário, ataques ativos e passivos, internos e externos, dentre outros, além de detalhar abordagens de ataques como análise de tráfego, masquerade, replay, modification e outros.
Seguindo o módulo, realizamos uma exposição sobre a padronização de segurança da informação, partindo da discussão do conceito clássico de padronização e seguindo até as iniciativas contemporâneas de padronização de segurança.
O módulo é concluído com uma discussão sobre o processo de padronização e regulação de segurança nos Estados Unidos – importante para a segurança no mundo todo.

Aula

Leitura Recomendada

  • Capítulo 1 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 1 do “Criptografia e Segurança de Redes” (Stallings)
  • Capítulo 1 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=bx5CPmNbblI
  • https://www.youtube.com/watch?v=ixx_MfMHnbE

Material Complementar

Sites Recomendados

  • https://csrc.nist.gov/publications
  • https://www.iso.org/home.html
  • https://www.itu.int/en/ITU-T/Pages/default.aspx
  • https://ietf.org/

Aula 1.2: Vulnerabilidade de Software

Objetivo:
Apresentar ao aluno as principais vulnerabilidades de software que são, na prática, exploradas por atacantes e usuários maliciosos.

Aula

Leitura Recomendada

Sugestões de Vídeos

Material Complementar

Sites Recomendados

  • https://cwe.mitre.org/
  • https://nvd.nist.gov/
  • https://owasp.org/

Aula 1.3: Software Malicioso

Objetivo:
Mostrar como aplicações de software podem carregar funcionalidades maliciosas capazes de comprometer a segurança de sistemas de informação.

Aula

Leitura Recomendada

  • Capítulo 1 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 1 do “Criptografia e Segurança de Redes” (Stallings)
  • Capítulo 1 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=1O0aav4jhcE
  • https://www.youtube.com/watch?v=JCE7TMhufT8

Material Complementar

Aula 1.4: Ataques DDoS

Objetivo:
Apresentar ao aluno esta importante classe de ataques com grande impacto na disponibilidade de sistemas de informação.

Aula

Leitura Recomendada

  • Capítulo 7 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 21 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=PnOCVwZpIYs

Material Complementar

Aula 1.5: Ameaças Avançadas e Persistentes

Objetivo:
Mostrar ao aluno que ataques cibernéticos podem possuir grande complexidade e ser executados por atacantes com elevados recursos e motivação, apresentando exemplos reais de ataques.

Aula

  • Slides (não disponível)

Leitura Recomendada

  • https://en.wikipedia.org/wiki/Advanced_persistent_threat
  • https://digitalguardian.com/blog/what-advanced-persistent-threat-apt-definition

Sugestões de Vídeos

Material Complementar

  • https://www.amazon.com.br/Cyber-War-Threat-National-Security/dp/0061962244
  • https://www.amazon.com.br/Countdown-Zero-Day-Stuxnet-Digital/dp/0770436196

Aula 1.6: Criptografia

Objetivo:
Apresentar histórico e ferramentas básicas de criptografia: cifra simétrica, hash, MAC, cifra de chave pública, assinatura digital, além de aplicações. Algoritmos serão vistos em maior detalhe na segunda parte do curso.

Aula

Leitura Recomendada

  • Capítulo 2 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulos 2, 3, 7, 9, 11, 12, 13, 14 do “Criptografia e Segurança de Redes” (Stallings)
  • Capítulo 5 do “Security Engineering” (Anderson)

Sugestões de Vídeos

Material Complementar

Aula 1.7: Autenticação de Usuário

Objetivo:
Apresentar ao aluno a importância, os desafios e as técnicas para autenticar usuários em redes de computadores, sistemas de informação e aplicações de software.

Aula

Leitura Recomendada

  • Capítulo 3 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 15 do “Criptografia e Segurança de Redes” (Stallings)
  • Capítulos 2 e 15 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=Vn25IqOQwgI
  • https://www.youtube.com/watch?v=VpTPAPG-anM
  • https://www.youtube.com/watch?v=GT_qgImaUS4
  • https://www.youtube.com/watch?v=2tE-fWSM8cA

Material Complementar

Aula 1.8: Controle de Acesso

Objetivo:
Apresentar ao aluno as diferentes estratégias para garantir a correta atribuição de acesso de usuários aos recursos de um sistema.

Aula

Leitura Recomendada

  • Capítulo 4 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 4 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=ggBGT2XOr6U
  • https://www.youtube.com/watch?v=CDer4DbS8Ds
  • https://www.youtube.com/watch?v=_ZddjRL_nvE

Material Complementar

Aula 1.9: Detecção de Intrusão

Objetivo:
Apresentar ao aluno o histórico e os princípios de operação de ferramentas de IDS.

Aula

Leitura Recomendada

  • Capítulo 8 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo 21 do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=aFdE_5CfLU4
  • https://www.youtube.com/watch?v=NwHx467ZT9I
  • https://www.youtube.com/watch?v=AHo0RRQeivs

Material Complementar

Aula 1.10: Firewall e Segurança de Rede

Objetivo:
Apresentar ao aluno os tipos de firewall e as maneiras como podem ser usados para segmentar e proteger redes de computadores.

Aula

Leitura Recomendada

  • Capítulo 9 do “Segurança de Computadores” (Stallings/Brown)
  • Capítulo ?? do “Security Engineering” (Anderson)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=aFdE_5CfLU4
  • https://www.youtube.com/watch?v=NwHx467ZT9I
  • https://www.youtube.com/watch?v=AHo0RRQeivs

Material Complementar

Parte 2: Criptografia

Aula 2.1: Introdução à Criptografia

Objetivo:
Intuição sobre criptografia: transformação de mensagens para atender a certos requisitos de segurança (confidencialidade, integridade, irrefutabilidade,…)

Vídeo-Aula
Introdução à criptografia, modelo geral de cifras simétricas, modelo de ataque e criptanálise. Prof. Raphael Machado.

Leitura Recomendada

  • Capítulo 1 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=2aHkqB2-46k&t=4s
  • https://www.youtube.com/watch?v=W1SY6qKZrUk&t=495s

Material Complementar

Aula 2.2: Cifras de Stream e Geradores de Números Aleatórios

Objetivo:
Apresentar as cifras de stream e as ferramentas básicas para a sua construção, os LFSR. Apresentar o conceito de One-Time Pad e mostrar como geradores de números aleatórios podem ser usados na construção de cifras de stream.

Slides
P2A02-Cifras-Stream-Geradores-Numeros-Aleatorios.ppt

Leitura Recomendada

  • Capítulo 2 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=AELVJL0axRs
  • https://www.youtube.com/watch?v=sKUhFpVxNWc

Material Complementar

Aula 2.3: Data Encryption Standard

Objetivo:
Apresentar ao aluno a estrutura e os princípios de funcionamento da cifra DES, o Data Encryption Standard.

Slides
P2A03-Data-Encryption-Standard.ppt

Leitura Recomendada

  • Capítulo 3 do “Understanding Cryptography” (Paar/Pelzl).

Sugestões de Vídeos

Material Complementar

Aula 2.4: Advanced Encryption Standard

Objetivo:
Apresentar ao aluno a estrutura e os princípios de funcionamento da cifra AES, o Advanced Encryption Standard.

Slides
P2A04-Advanced-Encryption-Standard.ppt

Leitura Recomendada

  • Capítulo 4 do “Understanding Cryptography” (Paar/Pelzl).

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=x1v2tX4_dkQ
  • https://www.youtube.com/watch?v=NHuibtoL_qk

Material Complementar

Aula 2.5: Modos de operação e encriptação múltipla

Objetivo:
Apresentar ao aluno formas de estender o uso de cifras de chave simétrica por meio de diversos modos de operação e de encriptação múltipla.

Slides
P2A05-Modos-Operação-Encriptacao-Multipla.ppt

Leitura Recomendada

  • Capítulo 5 e Seção 3.7 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=4FBgb2uobWI&t=4222s
  • https://www.youtube.com/watch?v=M10BVpTCzGg&t=4226s

Material Complementar

Aula 2.6: Cifras de chave pública e o RSA

Objetivo:
Apresentar ao aluno o paradigma da criptografia assimétrica e descrever o funcionamento do algoritmo RSA.

Slides
P2A06-Cifras-Chave-Publica-RSA.ppt

Leitura Recomendada

  • Capítulos 6 e 7 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=fq6SXByItUI&t=4288s
  • https://www.youtube.com/watch?v=QSlWzKNbKrU&t=3064s

Material Complementar

Aula 2.7: Acordo de chaves com Diffie-Hellman

Objetivo:
Apresentar o conceito de estabelecimento de chaves e os conceitos relacionados de troca de chaves e acordo de chaves, mostrando o funcionamento do algoritmo Diffie-Helmann de acordo de chaves.

Slides
P2A07-Acordo-Chaves-Diffie-Hellman.ppt

Leitura Recomendada

  • Capítulo 8 do “Understanding Cryptography” (Paar/Pelzl) – com exceção da Seção 8.5.

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=aeOzBCbwxUo
  • https://www.youtube.com/watch?v=IGqrbM52wtg&t=6s

Material Complementar

Aula 2.8: Assinatura Digital, Hash, MAC

Objetivo:
Apresentar ao aluno outras ferramentas da criptografia – além das cifras – que permitem alcançar objetivos de integridade, autenticidade e não-repúdio.

Slides
P2A08-Assinatura-Digital-Hash-MAC.ppt

Leitura Recomendada

  • Capítulos 10,11 e 12 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=jbBe4AS5pk0
  • https://www.youtube.com/watch?v=tLkHk__-M6Q
  • https://www.youtube.com/watch?v=DiLPn_ldAAQ&t=2413s

Material Complementar

  • XXX

Aula 2.9: Estabelecimento de Chaves, Certificado Digital, PKI

Objetivo:
Apresentar os protocolos básicos para estabelecimento de chaves e gerenciamento de chaves, tanto em ambientes de criptografia simétrica quanto em criptografia de chave pública.

Slides
P2A09-Estabelecimento-Chaves-Certificado-Digital-PKI.ppt

Leitura Recomendada

  • Capítulo 13 do “Understanding Cryptography” (Paar/Pelzl)

Sugestões de Vídeos

  • https://www.youtube.com/watch?v=iaH8UG2yMg4&t=1049s
  • https://www.youtube.com/watch?v=B9UirR9YDnQ

Material Complementar

Aula 2.10: Protocolos de Segurança para Redes e Internet

Objetivo:
Apresentar visão geral e exemplos do uso de criptografia em aplicações reais, tais como TLS, HTTPS, SSH, IPsec etc.

Slides
P2A10-Protocolos-Segurança-Redes-Internet.ppt

Leitura Recomendada

  • Capítulo 16-19 do “Cryptography and Network Security” (Stallings)

Sugestões de Vídeos

  • TLS
    • https://www.youtube.com/watch?v=AlE5X1NlHgg
    • https://www.youtube.com/watch?v=ZM3tXhPV8v0
    • https://www.youtube.com/watch?v=cuR05y_2Gxc
  • IP-Sec
    • https://www.youtube.com/watch?v=sD4HB2L0PvA

Material Complementar