Considerações sobre Segurança da Informação

Estamos vivendo um crescente aumento na área de segurança da informação. Nunca o assunto segurança esteve tão presente nas revistas, artigos, jornais e até programas de Tv, e muitas empresas têm obtido prejuízos incontáveis sem sequer saber porque.

Quando é falado segurança da informação, logo se vem à mente, Bancos, grandes instituições financeiras, lojas online, pois são esses os maiores alvos dos ladrões virtuais, porém esses incidentes podem também acontecer com instituições menores e até mesmo com usuários finais, acessando internet em suas residências, o que torna um entendimento mínimo sobre segurança, fundamental para qualquer usuário.

Um dos maiores bens que uma empresa tem é as informações. Há alguns anos atrás, a informação mais crítica da empresa poderia ficar segura ao ser trancada numa gaveta de alguma mesa. Hoje em dia, independente da tecnologia da empresa, a segurança da informação é uma das maiores dores de cabeça que os empresários têm.

Pense nas seguintes perguntas: 

- Você tem certeza que, enquanto você está trabalhando, não existe ninguém com acesso não autorizado conectado em sua infra-estrutura e espionando todas as informações que trafegam por sua rede?

- Você acha todos os seus funcionários, confiáveis o suficiente para delegar tarefas que exijam a manipulação de dados sigilosos?

- Você sabe se seus servidores seriam capazes de suportar um ataque DDoS e continuarem online? Você testa esse tipo de ataque?

- Você poderia afirmar com certeza que informações confidências de sua empresa não estão sendo enviadas para os seus concorrentes?

- Você poderia afirmar que sua rede é segura, que dados importantes/sigilosos trafegam criptografados, que somente existem hosts autorizados e que todas as aplicações que são usadas foram desenvolvidas utilizando técnicas de programação seguras? 

- Segurança em sua empresa se resume à antivirus em seus hosts?

Se você não tiver as respostas para essas perguntas significa que você é um alvo em potencial para os hackers, e que seu setor de segurança cometeu falhas ou sequer existe. Se está perdido e não sabe o que fazer, procure uma consultoria em segurança.

Hotspot: basics

 

O que é Hotspot?

Hotspot é um termo em inglês que significa ponto de acesso ou ponto de extensão e geralmente se refere a uma área pública ou privada onde há cobertura do serviço de internet sem fio através da tecnologia Wi-Fi.

 

Mas quais as vantagens?

Para o usuário as vantagens são, acesso fácil e prático para, adiantar tarefas profissionais, receber e enviar e-mails, e navegar pela Internet em alta velocidade em locais como aeroportos, shoppings, cafés, hotéis, restaurantes e outros, tudo isso sem precisar estar conectado a algum cabo ou ponto fixo de rede.

Para o estabelecimento as vantagens são vinculadas ao fato de hoje existir uma grande necessidade de se estar conectado 24 horas por dia, por meio de celulares, tablets, notebooks e etc, como normalmente no Brasil o 3G é extremamente limitado, hotspots são mais atraentes para os possíveis consumidores em potencial, muitas vezes sendo diferencial na escolha do local por parte do cliente.

E quanto a qualidade?

Aqui é um dos pontos onde existe grandes diferenças de hotspot para hotspot. Você deve se lembrar sempre que em informática quase tudo se resume a serviço e não a produto, porém as empresas sempre querem comprar soluções empacotadas e muitas vezes pagar o menor preço possível por isso. Portanto é muito comum se encontrar por aí apenas um roteador Wi-Fi, com sinal aberto e internet compartilhada. Essa situação trás alguns problemas em relação à qualidade. Primeiro por não haver uma divisão ou controle do tráfego, é muito comum um usuário comprometer toda a estrutura com  máquinas infectadas, atualizações de sistemas e programas, ou simplesmente com uso mal controlado. Outro ponto que também interfere muito na qualidade é não haver um estudo de consumo de link antes de implementar a solução. Lembrando que vários ISPs fazem traffic shaping, e limitam conexões simultâneas, portas TCP, etc... ou seja, simplesmente ligar seu roteador à maior internet com menor preço de sua localidade pode trazer resultados bem inferiores do que um link que seja mais indicado para a sua situação específica.

Porém várias vezes temos a grata surpresa de encontrar hotspots que dividem a banda de forma que todos conseguem navegar numa velocidade agradável, e sem degradar os valores absolutos do link.

E a segurança?

Esse é o ponto onde mais se encontra situações de risco. 

Na internet cada host recebe 1 ip, que é um endereço único, e é distribuído pelo ISP ao qual se conecta. Portanto quando você se conecta à internet tudo o que acontece originado do seu ip é de sua responsabilidade. Estabelecimentos que contratam internet e a repassam de forma transparente sem nenhum tipo de controle, podem acabar respondendo por quaisquer crimes cometidos dentro de sua estrutura. Isso também vale para pontos de acesso dentro de sua residência e qualquer outro tipo de compartilhamento de internet, o responsável é sempre o titular do contrato.

O que na verdade é uma via de mão dupla, da mesma forma que um hotspot mal configurado gera situações perigosas ao responsável, também é perigoso para o usuário, pois ele pode ser exposto a situações de risco ao se conectar a esse tipo de acesso, como ataques de phishing, tentativas de invasão, entre outras.

Conclusão

Um hotspot é uma solução muito interessante, e que agrega muito valor a um estabelecimento ou local, porém deve ser implementado com a supervisão de um profissional qualificado, pois o barato pode sair caro.

Vulnerabilidade no Skype, permite o roubo de contas tendo apenas o email do usuário

Link onde li sobre isso (em russo) - http://habrahabr.ru/post/158545/

Várias pessoas estão confirmando nos comentários que funciona e também relatando que suas contas foram roubadas.

Veja como funciona:

1. Registe-se para uma nova conta Skype. Use e-mail da vítima. Um aviso irá surgir de que uma conta com esse e-mail já existe, mas você ainda pode prosseguir com o preenchimento do formulário e criação da conta. 
2. Entre no cliente Skype com a sua nova conta. 
3. https://login.skype.com/account/password-reset-request - solicitar uma redefinição de senha usando e-mail da vítima.
4.  Você receberá uma notificação de redefinição de senha e token em seu cliente skype. Siga o link para pegar conta da vítima e redefinir a senha. 

Parece que a única maneira de proteger-se, por agora é mudar seu e-mail principal conta Skype para um que não é de conhecimento público. Porém não acredito que a microsoft não irá resolver essa vulnerabilidade rapidamente.

Esteganografia Basics: A arte de esconder uma mensagem

Esteganografia nada mais é do que o nome que damos a uma técnica de esconder um arquivo dentro de outro arquivo qualquer, que pode ser uma imagem, documento do Word, planilha de Excel, etc, com o objetivo que apenas o receptor real consiga recuperar a mensagem original.

Vamos partir para um exemplo prático para entendermos melhor.

A imagem deste post, que a princípio parece uma imagem normal como a de qualquer outro post deste blog, carrega em seu código uma mensagem que só poderá ser vista por quem tiver algumas informações, dessa forma eu poderia usar posts num blog ou mesmo um email para enviar mensagens secretas, e caso elas fossem interceptadas não seria possível entender a mensagem original.

Vamos então receber a mensagem:

Usei o programa "steghide" instalado facilmente no ubuntu por #sudo apt-get install steghide

Após instalar o steghide, salve a imagem em seu PC, neste exemplo usaremos o nome top_secret.jpg.

No terminal, entre na pasta onde salvou a imagem e dê o comando: #steghide extract -sf top_secret.jpg -xf mensagem.txt, note que você deveria saber antecipadamente que a mensagem escondida está num arquivo .txt. Será pedido uma senha, que para esse exemplo foi usada: abc123 (nunca use uma senha fraca assim), após digitar a senha nessa pasta agora terá um arquivo "mensagem.txt" e dentro dele o texto que foi passado secretamente através de uma imagem.

Mas como enviarei minha própria mensagem secreta?

Para quem se interessou pelo assunto eu recomendo estudar as opções do steghide ou outra ferramenta que preferir, para facilitar vou mostrar qual foi o comando que utilizei para criar esse exemplo: criei um arquivo chamado secreto.txt com a mensagem e após isso usei o comando - #steghide embed -ef secreto.txt -cf top_secret_sem_mensagem.jpg -sf top_secret_com_mensagem.jpg -e blowfish

Em embed eu digo que quero incorporar um arquivo a outro, -ef, (embedfile filename) o nome do arquivo que será incorporado, -cf (coverfile filename) o nome do arquivo que servirá de cobertura, -sf (stegofile filename) nome do arquivo estenografado que será criado, -e (encryption) os parâmetros para a encriptação.

De onde vêm as vulnerabilidades?

Qualquer pessoa que já programou ao menos uma vez, sabe que existe uma quantidade infinita de escolhas que se deve fazer ao escrever códigos. Essas escolhas vão desde qual linguagem de programação utilizar, algo que lhe permita a maior flexibilidade aritmética dos ponteiros, permitindo otimizações manuais de desempenho, ou escolherá uma linguagem fortemente tipada (type-safe), que evita buffer overflows, mas perde um pouco de sua capacidade? Para cada ação, haverá escolhas ilimitadas de algoritmos, parâmetros e estruturas de dados a serem utilizados. Em cada bloco de código, haverá escolhas sobre nomes e tipos de variáveis, como comentar e até organização de espaço em branco no código. Cada programador faz escolhas baseado em sua forma pessoal de programar, como programadores são diferentes entre si, as escolhas normalmente também são diferentes. Em grandes projetos existe a necessidade de serem utilizados muitos programadores, eles devem ser capazes de trabalhar em equipe e entender/modificar os códigos uns dos outros. É bastante difícil gerenciar o próprio código, e mais ainda quando é produzido por outras pessoas. Em sistemas modernos existem códigos com milhões de linhas, criadas por inúmeras pessoas, gerenciar as vulnerabilidades desse código é algo extremamente difícil.

"Não seria necessário empregar tanto tempo, dinheiro e trabalho em segurança de rede se não tivéssemos uma segurança de software tão ruim." - Schneier

Pensem na última vulnerabilidade de segurança sobre a qual você leu. Um killer packet que permite ao invasor travar um servidor, um buffer oveverflow que permita assumir o controle de um sistema, ou mesmo uma vulnerabilidade de criptografia que permita ao invasor ler algo que não poderia. Tudo isso é uma questão de software.

Normalmente sempre que falamos em segurança não focamos na raiz do problema, a falha de software.

Um software pode desempenhar "qualquer função", o que envolve funções mal-intencionadas, funções possivelmente perigosas e funções simplesmente erradas.

Com a conexão dos computadores em rede o número de ações de compartilhamento aumentou exponencialmente, a tecnologia de software que possibilita tudo isso é muito nova e amplamente instável. Porém o ritmo da economia atual, faz com que haja uma grande pressão do mercado sobre as empresas de software para que forneçam tecnologias novas e atraentes. O "tempo de entrada no mercado" é um motivador crítico e o "pra ontem" é uma exigência comum. Quanto mais a tecnologia demorar a entrar no mercado, maior o risco de fracasso comercial. Como segurança consome muito tempo e dinheiro, o software tende a ser criado às pressas e a ser testado inedaquadamente. Esse descaso em relação ao desenvolvimento de software levou a termos hoje uma rede global com bilhões de bugs que podem ser explorados.

Traffic Shaping: Basics

Introdução

Nos últimos dias ando vendo vários amigos reclamando consideravelmente sobre a velocidade de banda contratada ser diferente da velocidade real de uso de internet principalmente em determinados serviços, como nesse assunto sou pedra mas também sou vidraça, pois no serviço trabalho na equipe de infra-estrutura de um ISP (Provedor de internet) e em casa sou usuário de internet que utiliza: torrents, videos, EaD, servidores de games, etc; é relativamente comum amigos pedirem para eu ver o que pode estar acontecendo em suas conexões, e na maioria das vezes acabo, infelizmente, constatando que estão sendo vítimas de traffic shaping.

O que é Trafic Shaping?

Imagine a internet como uma enorme avenida, com vários acessos, e onde se misturam carros, motos, vans, ônibus e caminhões, todos carregando uma certa quantidade de pacotes, porém, cada um em uma determinada velocidade. Em horários de pico é normal que o tráfego fique mais lento e congestionado, fazendo com que a velocidade de todos os veículos fique consideravelmente menor. Por conta deste problema o governo decide banir os veículos mais pesados, no caso, vans, ônibus e caminhões, só permitindo sua circulação em determinados horários, enquanto cada vez mais carros e motos utilizam a avenida.

Troque governo por provedores de internet e caminhões por torrents, vans e ônibus por streaming de áudio e vídeo (youtube, radioonline, etc) e temos um exemplo de como funciona o traffic shaping.

A maioria dos usuários não percebem ou se preocupam com isso, mas o restante deles, aqueles que fazem downloads grandes via protocolos de transferência, já notaram que determinados programas ou em determinados horários a internet fica muito abaixo da velocidade contratada. Aproximadamente 10% dos usuários no Brasil são responsáveis por 80% do tráfego nos provedores nacionais. O que faz sobrar mais ou menos 20% de banda para todo o resto.

Por conta disso, vários provedores de acesso à internet, principalmente os que vendem os maiores acessos à clientes, começaram a moldar o tráfego, limitando o tamanho de banda ou número de conexões simultâneas para determinados protocolos que utilizam mais da rede, que são basicamente os protocolos P2P, usados em programas como o Limewire, Emule e o Ares Galaxy, ou os Torrent utilizados em larga escala por vários usuários domésticos. Em alguns casos já me deparei, inclusive, com limites para transmissão de arquivos via FTP, o protocolo utilizado para downloads e uploads.

Essa prática é chamada de Traffic Shaping, e significa literalmente a modelação de tráfego. Os ISP negam a prática por ela ser ilegal e camuflam muito bem a forma como isso é feito.

Como saber se seu provedor pratica traffic shaping

Como acabamos de afirmar, podemos simplificar e dizer que traffic shaping é um jeito que os provedores de acesso encontraram de economizar banda, diminuindo a velocidade com que certos pacotes são enviados e recebidos na sua rede. Essa é uma das causas lentidão de downloads em torrents ou no carregamento de vídeos em Flash, por exemplo.

Como poucos usuários sabem testar sua conexão contra esses métodos, a Google (sempre ela) criou o Measurement Lab, junto com outras 3 organizações onde podemos testar vários aspectos de nossa conexão. Vamos usar como exemplo um teste que detecta traffic shaping do procolo BitTorrent.

1. Acesse Glasnost test.

É usado um applet em java (talvez você tenha de instalar o plugin java em seu navegador) para tentar detectar se o seu provedor está modificando a velocidade de certos pacotes de acordo com a opção que você escolheu. Você pode testar vários tipos de traffic shaping em protocolos de P2P mais conhecidos, ou mesmo em protocolos padrão para a maioria dos aplicativos na internet como POP, IMAP4 , HTTP, SSH.

2. Aguarde a contagem regressiva.

É interassante deixar a conexão livre durante o teste. Vá tomar um café enquanto isso.

3. Descubra se existe o traffic shaping em sua conexão.

Caso houver alguma evidência de traffic shaping irão aparecer resultados em vermelho. No resultado completo é especificado em quais portas foi detectado maior lentidão ou um comportamento anômalo.

Meu provedor pratica Traffic Shaping o que faço?

Existem algumas técnicas para tentar enganar os limitadores, porém, caso esteja sofrendo de traffic shaping a saída geralmente é trocar de programa ou de provedor. Não crie falsas esperanças que algo mudará se reclamar com seu provedor ou mesmo com a ANATEL, as empresas negam a prática e estão amparadas pelo contrato que você assinou. E a ANATEL precisaria de tempo para investigar as denúncias. A solução é encontrar um provedor que permita a você fazer os downloads que quiser.

Porque alguns provedores fazem isso?

Quem compartilha recursos em uma rede, sabe que quando várias pessoas estão conectadas ao mesmo tempo a velocidade é reduzida, pois a capacidade da rede é divida entre vários computadores. O mesmo acontece com a internet, toda vez que os clientes se conectam eles dividem os recursos da rede de seu provedor de acesso, quando provedores vendem planos de 10Mb, 20Mb, 40Mb, 80Mb, etc, acabam por vender mais do que a capacidade total de suas redes, e como dissemos acima que a maioria dos usuários ou não percebem ou não se importam com variações na velocidade em determinados serviços como downloads, torrents, P2P, o provedor consegue economizar banda não entregando a totalidade de internet contratada em serviços que utilizam mais a rede.

Como tentar enganar o Traffic Shaping.

Como foi dito acima, provedores que praticam o traffic shaping estão sempre atualizando suas ferramentas para que você não consiga enganar as limitações, porém é possível fazer algumas tentativas para driblar essas ferramentas.

A primeira coisa que você pode fazer é usar criptografia no tráfego P2P em seus programas de Torrent. Desta forma dificultará consideravelmente as provedoras saberem que você está usando esses protocolos. Dependendo do programa existem formas diferentes para habilitar a função.

BitTorrent e uTorrent: Menu Preferences - BitTorrent. Escolha Protocol encryption e marque a opção Enabled.

Outra solução é utilizar uma ferramenta gratuita de VPN como SecureIX ou outra que forneça o mesmo tipo de serviço, a fim de criptografar não apenas o tráfego de P2P/torrent e sim toda a sua navegação.

Cinco vírus de Computador tão ruins quanto seus nomes sugerem

Os vírus de computador são terríveis, mas muitas vezes seus nomes parecem enganosamente algo brando, inocente, etc. O vírus "I love you" causou estragos em bancos e empresas, na virada do milênio, apesar do nome feliz, enquanto o recém nomeado Stuxnet foi o mais recente avanço na sabotagem de armas nucleares. Mas alguns vírus são exatamente tão ruins como os nomes soam:

BooNana: o Windows tem sido historicamente alvo de criadores de vírus muito mais vezes do quesistemas operacionais da Apple, mas o BooNana, encontrado pela primeira vez em 2010, foi um dos primeiros de uma nova onda de vírus que infectava PCs e Macs. Usuários eram enganados a fazer download de um plugin Java, o BooNana identificava qual o tipo de sistema operacional em que ele estava, em seguida, instalava-se e começava a sequestrar credenciais de usuários em redes sociais. Ainda mais assustador? Esses vírus estão se tornando a norma.

Code Red: Code Red e o Code Red II sucessor que apareceu rapidamente após o original, eles apareceram em 2001: Esses Worms complexos foram concebidos para causar falhas generalizadas em sistemas Windows - entre eles, o da Casa Branca, que era um de seus alvos.

Beast: Uma vez ativado, este Trojan de 2002 podia replicar-se em vários diretórios, permitindo copiar ou apagar arquivos, roubar senhas e congelar sistemas. Mas a parte mais assustadora era um recurso de chat em que os atacantes eram habilitados a se comunicar com os usuários.

MyDoom: Apareceu em 2004 e foi o worm de emails em massa mais rápido de todos os tempos. Transmitido principalmente pelo lista de endereços de e-mail, dos usuários infectados e acumulou 38.000 milhões dólares no valor dos danos.

The Creeper: Um mais antigo. Inicialmente concebido em 1971, este foi realmente um programa experimental que provou as teorias anteriores de comunicação por computador. Procuraria outros sistemas na mesma rede, se transferia para eles, e em seguida, exibia a mensagem "Eu sou o Creeper, pegue-me se você puder!", Antes de se transferir novamente. Mais de 40 anos depois, é amplamente reconhecido como o primeiro vírus de computador.

fonte:http://blog.kaspersky.com/boo-five-computer-viruses-that-were-as-scary-as-their-names-suggested/

Scareware e golpes de Phishing usam lançamento de Windows8

O Windows 8 acabou de ser lançado, mas os golpistas e equipes de phishing já estão se utilizando dele,  com a criação de novas campanhas com base no recém lançado sistema operacional. Pesquisadores de segurança identificaram uma nova campanha scareware que se utiliza do lançamento do 8 Windows, assim como um e-mail de phishing tentando a mesmas idéia.

O lançamento público do Windows 8 foi apenas na sexta-feira, 26 de outubro, e a maioria das pessoas provavelmente não viram ainda o sistema operacional funcionando pessoalmente. Mas isso não impede os golpistas de tentar fazer um dinheirinho por fora às custas do trabalho da Microsoft. Isto não deve surpreender ninguém, dado que esses grupos usam praticamente todos os principais eventos, desastres naturais e escândalos de celebridades como uma oportunidade de ganhar dinheiro.

Desta vez, o lançamento do Windows 8 tem inspirado um novo de scareware -  e certamente não será a última - que pretende ser o "Windows 8 Security System" e, claro, alerta vítimas sobre uma série de ameaças não-existentes em seu computador. O scareware mostra aos usuários um aviso, dizendo-lhes que suas máquinas estão infectadas e informando-os de que eles deveriam registrar sua cópia do scareware, a fim de ver quais são as ameaças e removê-las, de acordo com uma análise da Trend Micro.

Os usuários muitas vezes vão se deparar com essas ameaças falsas de antivírus ou scareware tantos em sites sites legítimos comprometidos ou sites maliciosos. Scammers irão tentar comprometer os sites mais populares, como sites de notícias, sites de mídia social e outros, e inserir um código malicioso. Quando os usuários visitam um site comprometido, eles podem ver uma janela pop-up dizendo que sua máquina está infectada. Normalmente, ao clicar em qualquer link no pop-up irá baixar o scareware, que poderia, então, exigir um pagamento de US$50 ou US$100, a fim de removê-lo.

Scammers usam buscas de termos populares, como o Windows 8, a fim de direcionar os usuários para sites maliciosos que controlam, de modo que amarram suas campanhas com os assuntos mais procurados. Os pesquisadores da Trend Micro também encontraram uma campanha de phishing que está vinculada ao Windows 8, a tentar incitá-los a fazer o download de uma cópia gratuita do novo sistema operacional. Em vez de uma versão gratuita do Windows 8, a vítima recebe um pedido de seus dados pessoais, incluindo nome, email e outros detalhes.

Para ser claro, a única maneira que você poderá receber o Windows 8 de graça é quando você compra um novo PC ou tablet.

Devo criptografar meu PenDrive?

Hoje em dia está muito acessível obter uma grande quantidade memória de armazenamento. No passado, a única coisa que era difícil de encontrar em um computador era justamente espaço para armazenamento. Você só tinha uma pequena quantidade de espaço para trabalhar. E não estou falando da pequena quantidade de memória RAM que um computador tinha. Mas ao longo dos anos tanto os dispositivos de armazenamento de um computador e também a RAM tornaram-se muito mais baratos. E mais velozes também. Como a quantidade de dados que hoje em dia utilizamos necessitam de uma grande quantidade de área de armazenamento sem espaço um computador se torna praticamente inútil. Um arquivo de vídeo em média é maior que 1GB de espaço de armazenamento. 5 ou 6 anos atrás, um computador normal só viria com 10 a 20 GB de espaço de armazenamento. Se fosse esse o caso, significaria que seu computador só seria capaz de armazenar até 10 a 20 filmes. Basta imaginar um computador com 20 filmes e sem espaço para nada mais.
Mas, como dissemos que não é o caso hoje em dia. A maioria dos computadores vêm com mais de 100 GB de espaço de armazenamento. Por uma questão lógica, a média é cerca de 500 GB de espaço de armazenamento. E isso inclui os computadores portáteis que compramos. E, enquanto a quantidade de armazenamento do computador convencional subiu, o preço deste sofreu uma imensa queda. E uma grande razão para isso é porque o preço médio de armazenamento é muito barato. Nós também podemos ver isso nos dispositivos USB que compramos.
Se você olhar em sua loja de eletrônicos favorita, você vai ver dispositivos USB com muita capacidade de armazenamento, sendo vendidos por preços muito baratos. O preço mais barato está fazendo todos comprarem um. Eles sabem que podem armazenar dados extras como fotos e arquivos importantes nesses dispositivos e que podem colocá-los em algum lugar seguro. E esta é uma idéia muito boa. Eles permitem que você mantenha uma cópia de backup local, enquanto mantém tudo em seu disco rígido normal da máquina ou nas nuvens. Mas há um problema quando você tem dispositivos como estes. Eles são muito fáceis de perder.
A maioria dos dispositivos USB portáteis que estão sendo vendidos hoje são muito pequenos. E porque eles são tão pequenos que significa que eles são fáceis de perder. E estes dispositivos se perdem o tempo todo. Pessoas os colocam em seus bolsos e algo acontece. A próxima coisa que você sabe que os dispositivos USB estão no chão. E há uma boa chance de que a maioria das pessoas nem percebam que os dispositivos foram perdidos até que alguém vem e pega. E por esse tempo, os dados que estão na unidade USB estão expostos para quem o pegou.
É por isso que você realmente precisa pensar sobre criptografar suas unidades USB antes de levá-lo a um lugar público. Isto é ainda mais sério se você mantiver dados importantes gravados nele. Existem muitas pessoas lá fora que podem usar seus dados pessoais para fins ruins. Você não quer tornar mais fácil para eles, dando os seus dados em uma bandeja de prata.

Criptografia: Basics

Você se envolve em qualquer das seguintes atividades-

 - Lojas on-line?

 - Mercado Livre?

 - outros tipos de compra ou venda on-line?

 - Bancos on-line?

Se a resposta for sim, você é apenas um entre milhões de outras pessoas que usam a internet para esse fim nos dias de hoje.

Você, percebendo ou não, provavelmente está usando a criptografia de dados o tempo todo. A criptografia de dados está se tornando muito mais comum na internet, por conta do aumento do número de transações baseadas na web. Essa criptografia é uma parte essencial da segurança do comércio online.

Mas o que é exatamente a criptografia de dados?

A criptografia pode ser aplicada a muitos processos, de e-mails à formulários web, como os que você vê em sites de compras ou quando você está acessando sua conta bancária pela internet.

A técnica de criptografia é usada para ocultar o conteúdo de seu e-mail, ou os dados que você digita no formulário, evitando assim, disse que os dados sejam roubados por outra pessoa na internet.

Quando você enviar seus dados, eles irão passar por um Secure Socket Layer (SSL) e serão "modificados", de modo que se alguém conseguir interceptá-los, então eles não serão capazes de decifrar algo significativo a partir dele, pelo menos não sem ter uma enorme quantidade de problemas.

Quando os dados são recebidos pelo site, no outro extremo do processo de comunicação ele será descriptografado, revelando assim a mensagem original apenas para o alvo pretendido.
A encriptação de dados é realizada através da aplicação de algoritmos de lógica matemática aos dados.
Como acontece com quase todos os aspectos de segurança da Internet, algoritmos podem ser quebrados por alguém que tenha tempo e determinação o suficiente.

Criptografia aumenta a segurança de sua comunicação, mas um hacker suficientemente motivado ou qualquer pessoa com um bom conhecimento matemático, poderia ter sucesso em quebrar a criptografia caso tenha conhecimento, tempo, determinação e ferramentas para tal.

Como, então,  a criptografia de dados funciona? 

Para cada parte de dados encriptados há uma chave.
Estas chaves são usadas na codificação e decodificação de seus dados.

Essa chave é na verdade uma longa seqüência de bits (0s e 1s) que são usadas pelos algoritmos de encriptação.

Durante o processo de criptografia o algoritmo irá aplicar essa sequência de 1s e 0s para os dados originais, a fim de alterá-los para que, em seguida, ficarem de uma forma que não faria sentido algum a qualquer pessoa que conseguisse capturar os dados e tentar lê-los sem a utilização do algoritmo de descodificação.
Obviamente, quando os dados criptografados chegam ao seu destino, eles irão ser descriptografados usando a mesma chave (menos seguro) , ou uma outra chave (mais seguro) projetada para tal tarefa, tornando os dados úteis novamente, recuperando à mensagem original.