DEFESA CIBERNÉTICA

Márcia Maria Savoine

e-Book 3
Sumário
INTRODUÇÃO������������������������������������������������� 4

TÉCNICAS DE PROTEÇÃO DE
INFRAESTRUTURA DE TECNOLOGIA DA
INFORMAÇÃO������������������������������������������������ 6
ATAQUES CIBERNÉTICOS���������������������������������������������������� 6
ANÁLISE DE INTRUSÃO E PENETRAÇÃO (PENTESTING)12
CRIPTOGRAFIA������������������������������������������������������������������� 25

CONSIDERAÇÕES FINAIS���������������������������� 31

REFERÊNCIAS BIBLIOGRÁFICAS &

CONSULTADAS�������������������������������������������� 33
INTRODUÇÃO
Em pleno século 21, Era Digital, as informações
são um dos ativos mais imp ortantes para as
organizações, uma vez que o volume de dados
com que as organizações trabalham tem crescido
exponencialmente.

Nesse sentido, a segurança da informação torna-se

uma condição essencial, alcançando o patamar
de uma das estratégias imprescindíveis para a
infraestrutura de Tecnologia da Informação (TI)
bem gerenciada.

A partir desse cenário, neste módulo estudare-

mos as técnicas desenvolvidas para a proteção
da infraestrutura de TI nas organizações. Assim,
estudaremos os ataques cibernéticos, que são
de quatro tipos: ativos, passivos, internos e exter-
nos. Além disso, estes são agrupados segundo a
estratégia do atacante ou técnica empregada ou
finalidade atingida.

Depois, conheceremos a análise de intrusão e

penetração, também conhecida como pentes-
ting. Nele, os testes de intrusão impedem que os
dados sigilosos das organizações e dos clientes
sejam expostos a pessoas não autorizadas, bem
como salvaguarda a imagem e confiabilidade da
organização.

4
Quando falamos em testes de penetração, também
falamos do conceito de criptografia e suas formas
de salvaguardar os dados. Por isso, ao final do
módulo, teremos abordados todos esses tópicos.

5
TÉCNICAS DE PROTEÇÃO
DE INFRAESTRUTURA
DE TECNOLOGIA DA
INFORMAÇÃO
A cada dia, temos disponíveis no mercado novas
tecnologias, sendo que a utilização dessas tecno-
logias resulta sempre em novos pontos de vulne-
rabilidades às organizações e consequentemente
ataques virtuais.

Sendo assim, a segurança cibernética é fundamental,

dado que cuidados com a segurança dos ativos
da organização são não apenas necessários, mas
antes imprescindíveis. Em linhas gerais, a segurança
cibernética é um dos bens mais valiosos que as
organizações têm na atualidade.

ATAQUES CIBERNÉTICOS
Ataque cibernético são tentativas de acesso não
autorizado, roubo, alteração, exposição, destruição,
interrupção de dispositivos ou sistemas das organi-
zações ou aos dados dos usuários. Em síntese, um
ataque cibernético é qualquer ação que prejudique
a segurança da informação de uma organização
ou pessoa física.

6
Quem pratica ataques cibernéticos chama-se ata-
cante. O atacante pode ter diversos motivos para
praticar o ato. Entretanto, o que se considera de
mais elementar é o retorno financeiro obtido com
a exposição ou o roubo de dados (informações)
do alvo. Em outras palavras,

Cada tipo de ataque pode possuir um alvo especí-

fico: os servidores da empresa, os ativos de redes,
a própria rede, os computadores, os usuários, etc.
Quase sempre, as vítimas não têm conhecimento
dos ataques realizados e podem inclusive, de for-
ma involuntária, contribuir com o êxito do ataque,
por exemplo, clicando em um e-mail duvidoso e
instalando um backdoor (OLIVEIRA, 2019, p. 99).

Os ataques podem ser classificados em quatro tipos:

y Ataques passivos: ações usadas quando os
atacantes não querem que suas atividades sejam
detectadas, por isso servem principalmente para
roubar dados e informações, podendo ter como
objetivo de espionagem. São ataques difíceis de
detectar e podem ser evitados com a utilização
de criptografia.
y Ataques ativos: mais ofensivos, podem causar
interrupção grave no sistema ou destruir dados,
além de desativar redes inteiras de conexão. Tra-
ta-se de ataques que abrangem a alteração de
dados, criação de objetos falsificados ou negação

7
de serviço. Utilizados contra pessoas físicas e or-
ganizações, seu alvo é ocasionar danos ou perdas
irrecuperáveis. São, portanto, ataques opostos aos
passivos e de difícil prevenção.
y Ataques internos: ataques realizados por indi-
víduos internos da organização, que têm acesso
ao sistema ou à rede. Esse tipo de ataque está
associado à espionagem corporativa.
y Ataques externos: ataques efetuados por
indivíduos sem acesso direto ao sistema, à rede
ou ao dispositivo da organização. Esse tipo de
ataque é efetuado contra pessoas físicas e contra
organizações concorrentes.

Tipos de ataques cibernéticos

Além de classificar os ataques, podemos agrupá-
-los segundo a estratégia do atacante, a partir da
técnica empregada para sua ação/finalidade:
y Escuta clandestina (eavesdropping): ataque
passivo cujo objetivo é armazenar o conteúdo de
cada pacote trafegado. A violação da confiden-
cialidade pode ocorrer em formato de quebras de
senhas e informações confidenciais que trafegam
sem criptografia na rede. Contudo, em caso de as
informações serem criptografadas, o invasor pode
armazená-las para analisá-las posteriormente.
y Inundação de solicitações (flooding): ataque
realizado pelo envio de várias solicitações ao um

8
determinado endereço IP ou estação de trabalho,
congestionando-os. Pode ocasionar lentidão no
sistema, tirar um equipamento de operação e, com
isso, o atacante pode corromper os programas
no nível operacional. É um método intermediário
de outros tipos de ataques, como a negação de
serviço e man-in-the-middle.
y Ataque de força bruta: empenha-se na violação
de senha ou nome de usuário por meio da aborda-
gem de tentativa e erro. Por exemplo:

• Ataque de dicionário é o método pelo qual o

atacante tenta descobrir a senha testando todas
as palavras possíveis que ele armazena em um
dicionário.
• Ataque de força bruta reversa é método pelo
qual o atacante pode usar bancos de dados de
e-mails e senhas para acertar seu alvo.
• Ataque de credential stuffing é o método pelo
qual o atacante usa combinações de nome de
usuário e senha a que tem acesso e que foram
rastreadas de alguma vulnerabilidade de segurança.

Ressaltamos que os ataques de força bruta nor-

malmente obtêm êxito quando são usadas senhas
fracas ou prováveis de serem descobertas.
y Man-in-the-Middle: é uma técnica por meio da
qual o atacante se estabelece entre duas partes
que estão tentando se comunicar, rastreando as

9
mensagens enviadas e, depois, se disfarça em
uma das partes. Podemos subdividir esse tipo de
ataque em três tipos:

• Envenenamento de cache ARP (ARP Cache

Poisoning): permite que um invasor, na mesma
sub-rede, escute todo o tráfego de rede entre as
vítimas.
• Falsificação de DNS (Spoofing de DNS): é uma
técnica utilizada para fornecer informações falsas
de Domain Name System (DNS) a um host de modo
que, quando se tenta navegar, por exemplo, www.
bancodaamericadosul.com no endereço IP XXX.
XX.XX.XX, são enviados para uma URL falsa do
“bancodaamericadosul.com” residente no endereço
IP YYY.YY.YY.YY, que um atacante criou para roubar
as credenciais do banco on-line e as informações
das contas de usuários imprudentes.
• Sequestro de Sessão (Session Hijacking): é
um termo utilizado com bastante frequência e
abrange uma grande variedade de ataques. Em
linhas gerais, qualquer ataque que envolva a ex-
ploração de uma sessão entre dispositivos é um
sequestro de sessão. Por “sessão”, entende-se a
conexão entre dispositivos que tenham estado,
ou seja, há um diálogo estabelecido no qual uma
conexão foi formalmente configurada, a conexão
é mantida e um processo definido deve ser usado
para encerrar a conexão.

10
• Sequestro de SSL (SSL Hijacking): ocorre antes
de o usuário se conectar a um servidor seguro,
visto que o atacante redireciona todo o tráfego
para o seu computador, com isso, as informações
do usuário (e-mails, senhas, dados bancários etc.)
passam primeiro pelo atacante, que sequestra os
dados sigilosos do indivíduo. Esse tipo de ataque é
inerentemente um dos ataques Man-in-the-Middle
mais potentes, pois permite explorar serviços que
as pessoas consideram seguros.

y Negação de Serviço (Denial of Service - DoS):

é uma estratégia de interromper o tráfego normal
a servidores, serviços e redes, tirando de opera-
ção temporária ou permanentemente serviços ou
servidores da rede. Esse tipo de ataque tem um
subtipo, o Distributed DoS (DDoS), que consiste
em um ataque com o qual várias máquinas são
utilizadas para fazer as requisições simultâneas.
Assim sendo, o ataque DDoS é distribuído entre
várias máquinas, ao passo que o DoS é realizado
por apenas um atacante, que envia vários pacotes
interrompendo serviços ou servidores da rede.

11
ANÁLISE DE INTRUSÃO E
PENETRAÇÃO (PENTESTING)
São cada vez mais numerosos os ataques ci-
bernéticos a organizações de todos os portes e
pessoas físicas. Quando dados confidenciais de
proprietários e clientes são violados, expostos ou
perdidos, automaticamente isso prejudicará toda
a execução do negócio, bem como o trabalho dos
colaboradores.

A despeito disso, é fato que as violações de dados

podem trazer resultados negativos para as orga-
nizações, além de prejuízos financeiros e danos à
sua imagem perante o mercado.

Nesse sentido, analisar as vulnerabilidades dos

ativos digitais (rede, servidores, aplicativos etc.) das
organizações, descobrir as ameaças e testar seus
sistemas para mapear quais são as vulnerabilida-
des e fraquezas que os atacantes podem explorar
(senhas fracas, softwares inseguros etc.) são ati-
vidades de todas as organizações, pois isso trará
maior confiabilidade de uso em seus ativos digitais.

Para isso, temos uma metodologia, que é a análise

de intrusão ou penetração, também conhecida como
Pentesting. Essa análise consiste em uma técnica
cujo objetivo é verificar e reconhecer, através de
um conjunto de testes em um ambiente de rede,
sistema ou aplicação, as prováveis vulnerabilidades

12
existentes com base na conexão da rede interna
ou externa, concedendo acesso não autorizado a
informações, dados e dispositivos.

Por conta disso, Moreno (2019, p. 43) pondera o seguinte:

[...] aplicar e realizar um pentest torna-se tarefa vital

para grandes corporações, pois somente por meio
do pentest é que será possível descobrir as falhas
inerentes à rede testada. Com as falhas encontradas,
é possível criar mecanismos de defesa adequados
para aquela corporação.

Observe que é fundamental realizar os testes de

intrusão de maneira planejada e em etapas. Por esse
motivo, indicamos sete etapas, descritas assim:

1) Preparação e planejamento: designação de

quem realiza o serviço e o recrutamento da equipe
interna, além da descrição dos objetivos para a
realização dos testes na organização. Por exem-
plo, quais objetivos a organização quer atingir ao
realizar os testes de penetração?
2) Verificação: recolher informações sobre a es-
trutura da organização. Por exemplo, os endereços
de IP, as definições dos sistemas, a arquitetura de
rede, os serviços públicos e privados, entre várias
outras informações que dependem de cada con-
texto organizacional.

13
3) Reconhecimento: é a análise diagnóstica dos
ativos-alvo, detectando possíveis pontos fracos e
vulnerabilidades, que implicam descobertas das
ameaças de rede, servidor ou serviços. Em seguida,
entram em cena as simulações de invasões.
4) Análise de informação e riscos: é uma investi-
gação minuciosa nas vulnerabilidades detectadas.
5) Realização dos testes de intrusão reais: con-
siste em efetivar invasões, explorando todas as
falhas encontradas nas etapas anteriores, assim
como buscar dados sigilosos que, se forem rou-
bados, alterados ou corrompidos, trazem danos
à organização.
6) Análises finais: é a fase pós-exploração, quando
analisamos as informações de todo o ambiente
atacado, como a rede, o servidor e os serviços. Além
disso, é quando investigamos o que é praticável
com o acesso adquirido, mas também é quando
mensuramos as vulnerabilidades encontradas.
7) Relatório: consiste em um documento que
contém toda a descrição dos testes realizados
clara e objetivamente. O relatório deve conter
as particularidades de cada etapa, informações
levantadas e resultados obtidos. Com isso, deve
conter também os dados sobre os riscos desco-
bertos e as sugestões para melhorar a segurança
organizacional.

14
Tipos de pentest
Os testes de penetração podem ser classificados
em Black-box, White-box e Gray-box, podendo ser
executados em aplicações, aplicativos, na rede e
no hardware. Além disso, podem indicar inconsis-
tências ou problemas, impedindo assim prováveis
ataques. Vamos a eles:
y Black-box ou Teste caixa preta ou Teste cego:
neste tipo, o especialista não tem qualquer infor-
mação prévia ou credencial da estrutura de rede,
isto é, quais são as máquinas, o mapeamento da
infraestrutura, os servidores e os processos em
execução. Esse é o contexto de teste que mais
se equivale a um possível ataque externo à or-
ganização. Por isso, Moreno (2019, p. 45) afirma
categoricamente que

Esse cenário será o mais típico quando uma empresa

sofrer um ataque de invasão externo, pois a maioria
dos invasores terá vindo de fora da rede e não terá
conhecimento da infraestrutura. Os aspirantes a
hackers executam scripts automatizados para
determinar falhas e vulnerabilidades, e saem a seu
bel-prazer enumerando as redes que encontram. Por
uma questão de sorte, acabam encontrando uma
rede falha e mal configurada que permite a invasão.

15
O teste Back-box é subdividido em:
• Blind (às cegas): neste, o especialista não tem
conhecimento da rede a ser testada. No entanto, o
alvo tem conhecimento do que será testado, isto é,
“atacado”, além de saber quais testes e métodos
serão executados.
• Double Blind (teste duplo cego): neste teste, o
especialista não tem conhecimento da infraestrutura
de rede a ser testada, mas o alvo tampouco sabe
o que será testado, isto é, “atacado”, nem quais
métodos e ataques serão executados.

y White-box ou Teste caixa branca ou Teste

não cego: neste tipo de teste, o especialista tem
acesso a todas informações da infraestrutura
da rede, dos servidores, do banco de dados e
dos sistemas no escopo do teste. Note que as
informações necessárias para o seu acesso são
fornecidas para a execução de testes extensivos
e com maior abrangência.

Esse tipo é aplicado visando a examinar as aplicações

web, nas quais se exploram minuciosamente tanto
a configuração do servidor quanto o código-fonte,
em busca de falhas de segurança que possam
afetar negativamente os serviços organizacionais.
O teste white-box subdivide-se em dois:

16
• Tandem (caixa de cristal): tanto o especia-
lista quanto o alvo sabem dos testes que serão
executados.
• Reversal: o especialista sabe da rede a ser
testada, mas o alvo não sabe o que será testado
(“atacado”) nem quais testes serão executados. Esse
tipo de teste é executado, sobretudo, quando se
pretende testar a equipe de resposta a incidentes.

A metodologia white-box é mais específica e detalhada

do que a black-box, visto que o auditor terá acesso a toda
e qualquer informação da rede. Dessa forma, poderá
elaborar um plano de ataque de maneira muito mais
detalhada e efetiva. As informações colhidas em testes
white-box podem ser obtidas em testes black-box, porém
pode ser que algum detalhe passe despercebido pelo
auditor na metodologia black-box. [...] Obviamente, em
testes white-box, o tempo e o custo são bem maiores do
que em testes black-box, mas garantem um resultado
bem mais efetivo (MORENO, 2019, p. 47).

y Gray-box ou Teste da caixa cinza ou Teste par-

cialmente cego: o atacante obtém as informações
parcialmente, uma vez que é essencial analisar
começando com as informações recebidas para
adquirir mais informações e efetivar o ataque em
si. Observe que esse tipo de teste se insere entre
o White-box e o black-box. Logo, trata-se de um
teste entremeio na execução.

17
Para Moreno (2019, p. 48) os testes Gray-box po-
dem subdivididos em:
• Gray-box: o auditor tem conhecimento parcial
do sistema, e o alvo sabe o que será atacado, bem
como quais testes serão realizados.
• Double gray-box: o auditor tem conhecimento
parcial do sistema, mas o alvo não sabe o que será
atacado nem quais testes serão realizados.

Os testes gray-box são pertinentes em situações

em que a organização pretende ter uma compre-
ensão fidedigna de como um atacante percebe ou
compreende algumas partes da infraestrutura, de
modo que a equipe que realizará o teste conhece-
rá prévia e parcialmente informações sobre a TI
da organização, impulsionando o processo a ser
potencializado, reduzindo o tempo de execução e
as dificuldades dos testes.

A partir desses três tipos de testes e dos contextos

em que são utilizados, compreendemos que não há
teste mais importante que outros. Portanto, é preci-
so considerar os objetivos pretendidos, o cenário e
os resultados esperados com os testes, dado que
cada teste tem suas especificidades e relevância.

Na Figura 1, temos a correlação de variáveis (tempo

de execução, eficiência versus custo, qualidade
dos resultados e profundidade dos testes) entre
os tipos de testes e a autonomia do especialista:

18
Figura 01: Correlação entre variáveis e tipos de teste de invasão.

Fonte: Auzac

Metodologias de Pentest
Uma metodologia são processos organizados de
investigação. A metodologia em testes de invasão
ou penetração é necessária, justamente porque
os atacantes seguem abordagens similares nos
ataques, com vistas a comprometer o sistema, a
rede ou o servidor.

Assim, as diversas metodologias de teste de pe-

netração são essenciais para que, a cada cenário
e escopo de projeto, possam se definir os testes
corretos. A seguir, indicamos metodologias que
são a realização dos testes de penetração:

19
y Open Source Security Testing Methodology
Manual
y Information Systems Security Assessment
Framework
y Open Web Application Security Project
y Web Application Security Consortium Threat
Classification.

Justifica-se o uso das quatro metodologias, pelo

fato de que elas são utilizadas por especialista em
testes de intrusão nas empresas, visando a garantir
a máxima eliminação de vulnerabilidades e falhas
nas infraestruturas de Tecnologia da Informação
organizacionais.

Sendo assim, note que cada uma tem suas

especificidades:

As duas primeiras metodologias garantem a segurança

da informação de modo geral. Já as duas últimas
são metodologias específicas para servidores web.
A escolha de qual metodologia aplicar durante um
teste de penetração dependerá de vários fatores:
o que foi definido no escopo do projeto, quais as
máquinas que serão testadas, qual o objetivo do
teste etc. (MORENO, 2019, p. 57).

y Open Source Security Methodology Manual:

desenvolvida de modo aberto, colaborativo e sem
fins lucrativos pelo Institute for Security Open

20
Methodologies (Isecom) — uma organização de
pesquisas na área de segurança da informação
—, é uma metodologia que pode ser aplicada em
qualquer organização, independentemente da sua
área de negócio ou porte. Compreende todas as
áreas da segurança da informação (física, lógica e
humana). Seu objetivo principal é mensurar a segu-
rança digital, atendendo aos objetivos do negócio.

Nessa metodologia, indica-se que os testes de-

vem seguir padrões que contemplem três fases
(MORENO, 2019, p. 57):
• Pré-teste: são aspectos iniciais para a avaliação
de segurança:

 Conformidade: a avaliação deve seguir as

leis vigentes do país, as normas industriais e
as políticas da empresa auditada.
 Regras de boa conduta: determinam a re-
alização da avaliação de segurança. Implicam
fatores como regras de marketing e venda (por
exemplo, não usar o medo para vender avalia-
ções de segurança), contratos permissivos a
respeito da futura avaliação, tempo e estimativa
do projeto, escopo, pessoas envolvidas etc.
 Riscos e ameaças: representa tudo o que
pode comprometer a segurança dos dados ou
ter efeito negativo sobre a corporação auditada.

21
• Teste: deve ser devidamente realizado. A meto-
dologia Backtrack descreve alguns desses testes.
Uma vez testados todos os fatores de risco à or-
ganização, escolhe-se a devida metodologia com
o tipo de teste (black-box, white-box ou gray-box).

• Pós-teste: deve ser escrita e conter a apresen-

tação dos resultados obtidos em um relatório final.

Essa metodologia apresenta ainda outro aspec-

to fundamental. Realiza-se o teste conforme a
necessidade da organização, variando segundo
o conhecimento prévio do auditor a respeito dos
ativos a testar, bem como do nível de conhecimento
que o alvo tem do teste que vai executar.

y Information Systems Security Assessment

Framework: é uma metodologia que visa a integrar
as ferramentas de gestão e controles de segurança.
Ainda, ela mensura os processos e as políticas de
segurança da informação, procura ficar em con-
formidade com os padrões e normas regulatórias,
direcionado a infraestrutura de TI. Por ser uma
metodologia aberta, podemos analisar detalhada-
mente todos os possíveis aspectos que afetam o
teste de segurança. As informações contidas são
organizadas acerca dos Critérios de Avaliação. Tais
critérios, por sua vez, são compostos por:

22
• Descrição dos critérios de avaliação.
• Pontos e objetivos a serem cobertos.
• Pré-requisitos para a realização da avaliação.
• O próprio processo de avaliação.
• Relatório dos resultados esperados.
• Contramedidas e recomendações.
• Referências e documentação externa.

A fim de sistematizar o trabalho dos testes, os

critérios foram classificados desde aspectos mais
gerais (conceitos básicos da Gestão de Projetos
de Teste de Segurança) até técnicas específicas
(execução de testes de Injeção de Código SQL, Es-
tratégias de Cracking de Senha etc.). A metodologia
compreende quatro fases (MORENO, 2019, p. 60):
• Planejamento: é o início do projeto; logo, quando
se definem as informações sobre quais máquinas
serão testadas, qual é o propósito do teste de in-
trusão etc. A partir dessas informações, elege-se
um plano de ataque.
• Avaliação: é não só a realização do pentest,
mas também a anotação dos resultados obtidos.
• Tratamento: é a decisão das ações tomadas a
respeito das vulnerabilidades encontradas.
• Acreditação: é a última etapa e corresponde
aos procedimentos finais para a empresa receber
a certificação ISSAF.

23
y Open Web Application Security Project: é uma
comunidade aberta dedicada a permitir que as or-
ganizações desenvolvam, adquiram e mantenham
aplicações e APIs confiáveis. A metodologia com
o foco de testes em servidores e aplicações web.
A metodologia é fundamentada na classificação
dos riscos, determinando e estabelecendo suas
prioridades em sua lista Top 10. Mantém-se atu-
alizada periodicamente através de pesquisas e
estatísticas de ataques identificados no mundo
todo. Além de caracterizar os ataques que apre-
sentam maior risco ou impacto, a OWASP também
faz recomendações de segurança para que cada
um dos ataques apontados seja evitado a partir
das etapas do desenvolvimento das aplicações.

Em sua última versão, a metodologia indica os dez

principais riscos de segurança de aplicativos da
web, os Top Tem, considerados durante a realização
dos testes de intrusão.
y Web Application Security Consortium Thre-
at Classification: é uma metodologia de padrão
aberto utilizada para a análise da segurança de
aplicações web. Indica três aspectos para auxiliar
os desenvolvedores e auditores de segurança:

• Enumeration view: aspecto destinado a fornecer

a base para falhas e ataques de aplicações web.
As falhas são especificadas por um identificador

24
único. Ainda que auxiliem na referência seguinte,
os identificadores não se associam à severida-
de, porque servem tão-somente a propósito de
numeração.
• Development view: aspecto essencial do de-
senvolvimento, pois se associa a ataques, falhas
e vulnerabilidades passíveis de investigação em
qualquer das três fases da implementação: design,
implementação e desenvolvimento.
• Taxonomy cross reference view: refere-se a
uma combinação entrelaçada de diversos padrões
para a segurança de aplicações web, os quais au-
xiliam os auditores e desenvolvedores a rastrear
as terminologias de outros padrões.

CRIPTOGRAFIA
Como uma consequência do aumento considerável
de compartilhamento das informações on-line, os
dados ficam disponíveis em algum lugar da rede
sem a certeza de que estão seguros.

Utiliza-se a internet em vários contextos, por exem-

plo, para acessar e enviar e-mails, ouvir música
on-line, fazer reuniões virtuais, enviar mensagens
pelo celular, comprar, pagar contas, entre várias
outras necessidades.

Observe, porém, que essas informações, que devem

ser privadas, podem ser capturadas por indivíduos

25
maliciosos (atacantes) em algum tipo de golpe
virtual. Assim, é preciso garantir a Tríade CID de
segurança da informação, isto é, Confidencialidade,
Integridade e Disponibilidade das informações.

Para isso, utiliza-se a criptografia, a qual consiste

de conceitos e técnicas para codificar e decodificar
uma informação. Com ela, somente o destinatário
e o emissor dos dados podem acessar, evitando
assim que pessoas não autorizadas interceptem,
acessem ou alterem os dados. Em outras palavras,

A criptografia é uma das ferramentas para proteger

dados que podem estar armazenados ou sendo
transmitidos na rede. São alternativas para evitar a
interceptação dos dados, alterações e falsificações
(VALLIM, 2017, p. 121).

Note que a criptografia é um conjunto de técni-

cas que transformam a informação em códigos
complexos e complicados de se decifrar, isto é,
códigos criptografados.

Segundo Vallim (2017, p. 122), a criptografia com-

preende dois processos:
y Encriptação ou cifrar: processo reversível de
transformação que permite tornar incompreensível
o conteúdo de uma mensagem.

26
y Desencriptação ou decifrar: processo reverso
de transformação de uma mensagem encriptada
com um conteúdo no estado original.

A partir disso, temos que os métodos criptográficos

são classificados em dois grupos:

y Criptografia de chave simétrica: tipo de chave

simples, visto que essa mesma chave é usada para
codificação e decodificação (Figura 2). É justamente
por usar a mesma chave que esse tipo apresenta
o melhor desempenho no processamento dos
dados, além de ser mais rápido. Entretanto, fica
mais vulnerável, visto que tanto o transmissor
quanto o receptor usam a mesma chave. Com isso,
deve processar e armazenar um volume grande de
dados, uma vez que o tempo de processamento é
fundamental e deve ser levado em consideração.

27
 Figura 02: Funcionamento da criptografia de chave simétrica.

1 N
Chave única
compartilhada
Mensagem Mensagem
Lorem ipsum dolor Lorem ipsum
Lorem ipsum dolor Lorem ipsum
dolor sit amet, consectetuer
dolor sit amet, consectetuer
adipiscing elit, sed diam nonummy
adipiscing elit, sed diam nonummy
nibh euismod tincidunt ut laoreet
nibh euismod tincidunt ut laoreet
dolore magna aliquam erat volutpat.
dolore magna aliquam erat volutpat.
Ut nada de anormal por aqui wisi
Ut nada de anormal por aqui wisi
enim ad minim veniam, quis nostrud
enim ad minim veniam, quis nostrud
exerci tation ullamcorper suscipit
exerci tation ullamcorper suscipit
lobortis nisl ut aliquip ex ea
lobortis nisl ut aliquip ex ea
commodo consequat. Duis autem
commodo consequat. Duis autem
vel eum iriure dolor in hendrerit in
vel eum iriure dolor in hendrerit in
vulputate velit esse molestie
vulputate velit esse molestie
consequat, vel illum dolore eu
consequat, vel illum dolore eu
feugiat nulla facilisis at vero eros et
feugiat nulla facilisis at vero eros et
accumsan et iusto odio dignissim
accumsan et iusto odio dignissim
qui blandit praesent luptatum zzril
qui blandit praesent luptatum zzril

$ %
2 3 @ !
4

#
/ +
Remetente Algoritmo Mensagem Algoritmo Destinatário
simétrico encriptada simétrico

Fonte: Adaptado de Vallim (2017, p. 123).

Ressaltamos que a mesma chave é empregada

pelo remetente, por isso é distribuída com o des-
tinatário. Para assegurar que os dados sigilosos
sejam criptografados, este tipo não é indicado, em
razão de os dados poderem ser capturados por
pessoas não autorizadas ou indivíduos maliciosos,
comprometendo assim a confidencialidade.
y Criptografia de chave assimétrica: trabalha
com outras duas chaves:

• Chave pública: usada para codificar a mensagem.

• Chave privada: usada para decodificar a men-
sagem, por isso, é confidencial. Pode ser guardada
de maneiras diferentes, como em um arquivo no
servidor, em um e-mail na nuvem, em um token etc.
Sendo assim, as duas chaves são criadas ao mesmo
tempo pelo algoritmo e ficam vinculadas entre si.

A chave assimétrica é um método que demanda

um maior consumo de processamento quando
comparado ao método de criptografia simétrica.

28
Garante, no entanto, a confidencialidade e a au-
tenticidade dos dados.

Na Figura 3, a chave pública é empregada pelo desti-

natário, aplicando algoritmos para criptografar, assim,
acontece a autenticidade do autor e do remetente.
Ao utilizar a chave privada para descriptografar, o
destinatário mantém a própria confidencialidade e
a do receptor. Visando a assegurar a criptografia de
dados sigilosos, não é adequado que se use a chave
pública, dado que os dados podem ser capturados
por pessoas não autorizadas.

Figura 03: Funcionamento da criptografia de chave assimétrica.

1
Chave Chave Chave Chave
privada pública pública privada

Mensagem Mensagem
Lorem ipsum dolor Lorem ipsum Lorem ipsum dolor Lorem ipsum
dolor sit amet, consectetuer dolor sit amet, consectetuer
adipiscing elit, sed diam nonummy adipiscing elit, sed diam nonummy
nibh euismod tincidunt ut laoreet nibh euismod tincidunt ut laoreet
dolore magna aliquam erat volutpat. dolore magna aliquam erat volutpat.
Ut nada de anormal por aqui wisi Ut nada de anormal por aqui wisi
enim ad minim veniam, quis nostrud enim ad minim veniam, quis nostrud
exerci tation ullamcorper suscipit exerci tation ullamcorper suscipit
lobortis nisl ut aliquip ex ea lobortis nisl ut aliquip ex ea
commodo consequat. Duis autem commodo consequat. Duis autem
vel eum iriure dolor in hendrerit in vel eum iriure dolor in hendrerit in
vulputate velit esse molestie vulputate velit esse molestie
consequat, vel illum dolore eu consequat, vel illum dolore eu
feugiat nulla facilisis at vero eros et feugiat nulla facilisis at vero eros et
accumsan et iusto odio dignissim accumsan et iusto odio dignissim
qui blandit praesent luptatum zzril qui blandit praesent luptatum zzril

Remetente $ % Destinatário
2
3 @ ! 4
#

/ +
Algoritmo Algoritmo
assimétrico encriptado

Fonte: Adaptado de Vallim (2017, p.125).

As chaves criptográficas são essenciais para a

criptografia, ou seja, o ponto central da segurança
dos dados cifrados. Um gestor de segurança que
permite haver vulnerabilidades em seus ativos

29
pode comprometer as chaves e, por conseguinte,
resultar na exposição de dados sigilosos.

Portanto, é fundamental proteger as chaves cripto-

gráficas contra perda, roubo, falsificação e acesso
não autorizado. Em outras palavras, as chaves
devem ser gerenciadas e controladas.

O processo de gerenciamento das chaves cripto-

gráficas conta com o armazenamento, proteção,
organização e garantia da sua utilização apropria-
da. É preciso considerar, ainda, o gerenciamento
seguro do ciclo de vida e a manutenção das cópias
de segurança.

30
CONSIDERAÇÕES FINAIS
Neste módulo, estudamos os conceitos referentes
aos ataques, os quais podem ser classificados em
quatro tipos: ativos, passivos, internos e externos.
Ademais, podemos agrupá-los conforme a estra-
tégia do atacante, ou a técnica empregada para
sua ação ou finalidade atingida.

Entre esses critérios, temos a Escuta Clandestina,

a Inundação de solicitações, o Ataque de Força
Bruta, o Man-in-the-Middle (Envenenamento de
cache ARP, Falsificação de DNS e Sequestro de
sessão) e a Negação de Serviço (DoS - Denial of
Service, e DDoS - Distributed DoS).

Nesse sentido, conhecemos a análise de intrusão

e penetração, como ela deve ser executada em
conjunto com os testes de intrusão. Realizamos
esses testes planejadamente e em etapas. Indica-
mos a realização de sete etapas:
y Preparação e Planejamento
y Verificação
y Reconhecimento
y Análise de Informação e Riscos
y Realização dos Testes de Intrusão Reais
y Análises Finais e Relatório.

31
Pudemos verificar que os testes de penetração são
classificados em três tipos: Black-box, White-box e
Gray-box. E os Pentestes têm metodologias que o
direcionam, classificadas em quatro categoridas:
Open Source Security Testing Methodology Ma-
nual, Information Systems Security Assessment
Framework, Open Web Application Security Project
e Web Application Security Consortium Threat
Classification.

Por fim, estudamos a técnica de criptografia, sua

utilização em etapas estruturadas e indicações de
práticas a serem seguidas com vistas a garantir
que o sistema operacional, os servidores e as redes
de computadores funcionem mais eficazmente.

32
Referências Bibliográficas
& Consultadas
BASTA, A.; BASTA, N.; BROWN, M. Segurança
de Computadores e Teste de Invasão. 2. ed.
São Paulo: Cengage Learning, 2014 [Minha
Biblioteca].

LIMA, A. Gestão da segurança e infraestrutura de

tecnologia da informação. São Paulo: Senac, 2018.

MACHADO, F. B.; MAIA, L. P. Arquitetura de

Sistemas Operacionais. 5. ed. Rio de Janeiro:
LTC, 2017.

MELO, S. Hardening em Linux. Rio de Janeiro:

Rede Nacional de Ensino e Pesquisa – RNP, 2014.

MICHAEL, C. C.; RADOSEVICH, K. W. W. Black

Box Security Testing Tools. 28 dez. 2005.
Maturity levels and Audience Indicators.
Disponível em: https://us-cert.cisa.gov/bsi/
articles/tools/black-box-testing/black-box-
security-testing-tools. Acesso em: 18 jan. 2021.

MORENO, D. Introdução ao Pentest. 2. ed. São

Paulo: Novatec, 2019.

MUNIZ, J.; LAKHANI, A. Web penetration testing

with kali linux. Birmingham: Packt Publishing, 2013.
OLIVEIRA, R. C. Q. Tópicos de Segurança da
Informação. São Paulo: Senac, 2019.

OWASP. OPEN WEB APPLICATION SECURITY

PROJECT. Top 10 - 2017: The Ten Most Critical
Web Application Security Risks. (Versão em
português). Disponível em: https://owasp.org/
www-pdf-archive/OWASP_Top_10-2017-pt_
pt.pdf. Acesso em: 22 jan. 2021.

SEBESTA, R. W. Conceitos de Linguagens de

Programação. 11. ed. Porto Alegre: Bookman,
2018 [Minha Biblioteca].

STALLINGS, W. Criptografia e segurança de

redes: princípios e práticas. 6. ed. São Paulo:
Pearson Education do Brasil, 2015 [Biblioteca
Virtual].

TANENBAUM, A.; BOS, H. Sistemas Operacionais

Modernos. 4. ed. São Paulo: Pearson, 2016
[Biblioteca Virtual]

TANENBAUM, A.; WETHERALL, D. Redes de

Computadores. 5. ed. São Paulo: Pearson
Prentice Hall, 2011 [Biblioteca Virtual].

TERADA, R. Segurança de Dados: criptografia

em rede de computador. 2. ed. São Paulo:
Blücher, 2019 [Biblioteca Virtual].
TUCKER, A. B.; NOONAN, R. E. Linguagens de
programação: princípios e paradigmas. 2. ed.
Porto Alegre: AMGH, 2010.

VALLIM, A. P. A. Forense computacional e

Criptografia. São Paulo: Senac, 2017.