as duas faces do anonimato
DESCRIPTION
As duas faces do anonimato. Diogo Rodrigues Maciel – drm Paulo Roberto de Melo Rodrigues – prmr. Roteiro. Anonimato Anonimato na era digital Criptografia Cryptovírus e roubo de senhas Resolvendo os problemas Como evitar. Anonimato. - PowerPoint PPT PresentationTRANSCRIPT
As duas faces do anonimato
Diogo Rodrigues Maciel – drm
Paulo Roberto de Melo Rodrigues – prmr
Roteiro
Anonimato Anonimato na era digital Criptografia Cryptovírus e roubo de senhas Resolvendo os problemas Como evitar
Anonimato
Definição: Anonimato é a qualidade ou condição do que é anônimo, isto é, sem nome ou assinatura. A expressão designa ainda o individuo sem renome.
Com o advento das mensagens por telecomunicações e, em particular, pela Internet, designa o ato de manter uma identidade escondida de terceiros.
Isso é bom ou ruim?
Anonimato
Vantagens– As pessoas podem fazer determinadas ações ou
expor idéias sem medo de perseguição.– Exemplo: Eleição, disque-denúncia, caixas de
sugestões etc.
Anonimato
Desvantagens– Os criminosos podem realizar crimes sem medo
de serem descobertos.
Anonimato na era digital
As vantagens e desvantagens continuam praticamente as mesmas
... no entanto causando um maior impacto, tanto nas vantagens como nas desvantagens.
Vantagens
Comércio eletrônico.
– Dinheiro (cédulas) – Anônimo mas não é seguro.
– Cartões (e-money identificado) – Seguro mas não é anônimo.
– Dinheiro eletrônico (e-money anônimo) – Seguro e anônimo.
Desvantagens
Os crimes se tornam cada vez mais difíceis de serem solucionados.– Aparecimento dos chamados “Crimes
perfeitos”.
... impossível não falar de criptografia
Criptografia
Criptografia é a técnica de converter (codificar) uma mensagem ou mesmo um arquivo utilizando um código secreto. Com o propósito de segurança, as informações nele contidas não podem ser utilizadas ou lidas até serem decodificadas.
Um pouco da história da criptografia
Os Estados Unidos sempre classificaram a criptografia como uma arma e tentaram evitar a “proliferação” desta tecnologia.– Empresas privadas e estrangeiros não deveriam ter acesso
a formar de criptografia.– No entanto matemáticos desenvolveram sistemas
independentes. Phil Zimmermann criador do PGP (Pretty Good
Privacy) defende a criptografia. Clinton relaxou o controle sobre a criptografia, até
que um dia...
Um pouco da história da criptografia
Agentes do FBI e da CIA recusam-se a comentar se os terroristas utilizaram programas de criptografia para planejar os ataques.
... mas a questão é: o anonimato volta a ser um tema bastante discutido.
... Outros problemas
Compartilhamento de arquivos– Protocolos descentralizados dificultam o
descobrimento das pessoas que estão distribuindo arquivos ilegais.
Cryptovírus e Roubo de Senha
Deniable password snatching
Cryptovírus
Uma nova classe de vírus de computador que contêm a chave pública do autor do virus.
Usando a chave pública, o vírus pode encriptar os arquivos da vítima e tomá-los como “reféns”
O único modo da vítima obter a chave privada é pagando o “resgate” (que não necessáriamente é dinheiro)
Roubo de senha e Segurança por obscuridade
Exemplo: um trojan horse que rouba os pares login/senha dos usuários e guarda os dados em um arquivo oculto.
Mais tarde o autor do ataque acessa a máquina e baixa o arquivo com as senhas
Roubo de senha e Segurança por obscuridade
Para o autor este ataque é arriscado por duas razões Outra pessoa pode achar o arquivo O trojan Horse pode ser descoberto - o ator do ataque pode
estar se entregando ao baixar o arquivo.
Segurança por obscuridade não é aconselhável pelos criptógrafos, mas este é um princípio bastante utilizado na
segurança de computadores.
Segurança não deve depender do segredo do sistema, nem da ignorância de quem o ataca.
Resolvendo o problema com criptovirologia
Um criptotrojan com chave pública pode ser usado
Para resolver a primeira questão: O trojan pode encriptar cada entrada (login/senha)
usando uma chave pública O código cifrado resultante é armazenado em um
arquivo oculto, como antes. Este arquivo pode ser concebido para conter sempre N valores de entradas cifradas e permanecer com o tamanho fixo.
Resolvendo o problema com criptovirologia
Para implementar isto um indice i é armazenado no início do arquivo. Seu valor indica o proxima entrada a ser sobrescrita. Deste modo o arquivo fica sempre atualizado e com tamanho fixo.
Índice i
Entrada 1
Entrada 2
Entrada N-2
Entrada N-1
Resolvendo o problema com criptovirologia
Para resolver a segunda questão: O fato de que os pares login/senha estão encriptados abre
espaço para um canal de distribuição anonima.
Situação de exemplo: O trojan se copia em qualquer disquete inserido na
máquina ( desde que haja espaço ) Para que o arquivo continue oculto, ele é escrito nos
últimos setores, menos utilizados, do disquete. Assim ele fica “invisível” para o sistema de arquivo
Resolvendo o problema com criptovirologia
Este ataque mostra que: Às vezes o malware precisa coletar e salvar os dados
obtidos no sistema alvo. Para que o malware seja mais difícil de detectar, ele deve
ter tamanho fixo. (lista circular)
Para o autor do trojan resta o problema de instalá-lo pela primeira vez. Pode ser escrito um vírus que o instale na máquina.
Se o autor for pego na hora de infectar uma máquina, pode alegar que é uma vítima inocente do vírus.
Como evitar
Autenticação sem uso de login/senha– smart cards
Timed cryptographic tokens– Cada usuário tem um número de
identificação pessoal (PIN) e um código mostrado no token que muda em intervalos regulares de tempo.
– RSA SecureID
Como evitar
De qualquer forma, esse tipo de ataque pode ser usado para roubar outros tipos de informação.
Um trojan pode manda em broadcast dados criptografados com chave pública
Neste caso apenas o autor seria capaz de desencriptar a mensagem
Referências
Malicious Cryptography: Exposing Cryptovirology. Adam Young. (Capítulo 4 “The Two Faces Of Anonymity”).
en.wikipedia.org/wiki/Main_Page
Perguntas?