PCF-3

Questões comentadas, artigos e notícias

Arquivo por Autor

Blog de Informativos

Posted by felipeel em 27/07/2009

wordpresssCaríssimos amigos e futuros federais,

Gostaria de compartilhar com vocês este “achado”. Trata-se de mais um blog para fonte de estudos no campo do direito. Na verdade, trata-se de um blog que categoriza todos os informativos do STF e STJ.

Divisão dos Informativos do STJ e STF

Gostaria também de parabenizar ao autor pelo ótimo trabalho no blog.

Mas por qual motivo eu estaria falando deste blog? Propaganda?

Não!!!

Todos sabemos que não é incomum as bancas(CESPE, ESAF, FCC) recorrerem às principais descisões do STJ e STF para formularem suas questões. Para nós meros candidatos, acho que mais nos interessa os informativos relacionados com as matérias de direito penal, processo penal e administrativo. Por isso fica aqui a dica de adicionar o blog ao seu reader RSS. Por hoje é só…

Até a próxima!!!

Posted in Motivacional, News & Clipping | 1 Comment »

Prova Suporte Técnico – SERPRO 2008 – Segurança (89 a 93)

Posted by felipeel em 24/03/2009

Olá pessoal,

Depois de muito tempo na espera, eu estou de volta! E vim para ficar…
Estou preparando uma enxurrada de questões das mais diversas áreas, desde segurança à engenharia de software. 

 

Para começar, estou comentando a parte de SEGURANÇA DA INFORMAÇÃO da prova de SUPORTE TÉCNICO – SERPRO 2008.

Good Luck!

89 Na criptografia assimétrica, se A cifrar uma mensagem com a chave pública de B, apenas B poderá decifrar a mensagem enviada por A. Se A cifrar a mensagem usando a sua chave pública, B poderá ter certeza de que a mensagem foi enviada por A, mas não poderá garantir o sigilo da mensagem. Na criptografia simétrica, é possível garantir o sigilo, mas não é possível autenticar mensagens.

90 Algoritmos criptográficos simétricos e assimétricos podem ser combinados de modo que as vantagens de cada um deles sejam aproveitadas. Por exemplo, um algoritmo simétrico pode ser usado para cifrar mensagens trocadas, e um assimétrico, para distribuir a chave usada pelo algoritmo simétrico. Nesse caso, se A deseja enviar uma mensagem para B, A deve realizar as seguintes operações: gerar uma chave C1, usando o algoritmo simétrico e C1 para cifrar a mensagem; cifrar C1 usando o algoritmo assimétrico e a chave pública de B para cifrar C1; enviar para B a mensagem cifrada e C1 cifrada.

91 Para que uma entidade A use uma infra-estrutura de chaves públicas (PKI) de modo a se comunicar, solicita um certificado digital à autoridade registradora (RA), que confirma a identidade de A. Uma vez confirmada a identidade, o certificado é criado e assinado pela autoridade certificadora (CA). Se B receber o certificado de A, deve avaliar se confia na CA que assinou o certificado de A, em caso afirmativo, pode obter a chave privada de A a partir do certificado recebido.

92 Um vírus é uma pequena aplicação, ou trecho de código, que infecta outras aplicações; existem vírus, escritos em linguagens de macro, capazes de infectar e se replicar em documentos criados com editores de texto; alguns vírus, para dificultar sua detecção, criam cópias suas e alteram a seqüência de instruções em cada cópia; um worm requer uma aplicação hospedeira para se reproduzir, enquanto um vírus se reproduz sem uma aplicação hospedeira.

93 Um programa de segurança física procura combinar pessoas, processos, procedimentos e equipamentos para proteger recursos. Ao elaborar esse programa, deve-se: analisar riscos para identificar vulnerabilidades e ameaças (threats); definir os níveis de risco aceitáveis; definir métricas para avaliar os controles e contramedidas (countermeasure); identificar e implementar controles e contramedidas que visam inibir a ocorrência de crimes.

Comentários:

89.  Somente o primeiro trecho da questão esta correto. O resto…

1. Podemos garantir o sigilo da mensagem enviada por A se ela criptografar com a chave pública de A. Porque? Nínguem conseguirar ler a mensagem. Porém, não consigo oferecer autenticação pois não podemos ter certeza de que A enviou a mensagem. Como? Teoricamente, everybody tem a chave pública de A.

2. O último trecho costuma ser polêmico por causa da interpretação. Na criptografia simétrica puramente falando, não consigo autenticar as mensagens, por isso ela só oferece o sigilo. SALVE, se o sistema utilizar outros meios para oferecer a autenticação.

 

90. Linda questão. Perfeita! Tudo correto.

 

91. Poxa, a questão estava indo bem até ele falar “pode obter a chave privada de A”…que pena! NUNCA um certificado vai oferecer a minha chave privada. Os certificados digitais, que são assinados por uma CA, oferecem a CHAVE PÚBLICA da entidade a qual desejo me comunicar.

 

92. Outra questão que estava indo bem até diferenciar um worm de um vírus. Segundo STALLINGS,

– Vírus: Anexa-se a um programa e propaga cópias de si mesmo a outros programas.

-Verme(Worm?): Programa que propaga cópias de si mesmo a outros computadores. 

Então quem é que precisa de um hospedeiro? UM VÍRUS, e não um worm como a questão fala.

Dica: basta lembrar da vida real!!! Um vírus humano ativa todas as funções quando encontra um hospedeiro, quando fora do corpo ele fica em um estado “standby”. Um verme precisa de hospedeiro para sobreviver ? Nunca vi.

 

93.  O examinador queria combinar os conceitos de Gestão do Risco com Segurança Física e do Ambiente. A combinação dos processos da Gestão de Risco também podem ser utilizados com outras áreas da segurança da informação. Mesmo que as fases citadas estejam um pouco diferentes das mais conhecidas(identificação, análise, avaliação, tratamento e aceitação) a questão continua certa.

 

Gabarito: 89 – E ; 90 – C ; 91 – E ; 92 – E ; 93 – C

Go Go Go Federais!

Posted in Segurança | Etiquetado: , | 1 Comment »

SSL Broken

Posted by felipeel em 13/02/2009

Para o meu primeiro post, vou colocar aqui uma notícia no mínimo interessante.

Para quem ainda não ouviu falar, alguns dos algoritmos de hash possuem um tipo de vulnerabilidade chamada de COLISÃO.

Mas o que seria uma colisão? A colisão nos algoritmos de hash ocorre quando duas mensagens diferentes geram um mesmo número de hash. Por exemplo, no Linux, podem existir duas senhas totalmente diferentes mas que por ironia do destino…os hashes são iguais. Bom seria se todas as funções de hash não oferecessem essa fragilidade. Pena que isso não acontece na prática.

Vamos ao que interessa. Um grupo de hackers dos EUA e Europa se juntaram em uma pesquisa para encontrar uma forma de explorar a fragilidade de colisão do MD5 e utiliza-lá na prática. Simplesmente eles utilizaram 200 PS3 (Playstation 3) e cerca de U$ 700,00. O dinheiro foi usado para comprar vários certificados digitais. O intuito do grupo era criar um falso Certification Authority (CA) e através disso permitir a criação de falsos certificados SSL. Lembrando que utilizamos muito o SSL nas transações comerciais.

Essa “pesquisa” é interessante porque mostra que ainda existem 6 autoridades certificadoras(CAs) que teimam em utilizar o MD5 nas criptografias de assinaturas digitais e certficados digitais. O problema é que os browsers mais comuns (IE, Firefox) citam essas 6 certificadoras como “Autoridades de certificação raiz confiáveis”. Traduzindo, qualquer site que tiver um certificado emitido por tal “autoridade confiável” poderá estar seriamente comprometido.

We basically broke SSL
Alex Sotirov (um dos cabeças do time)

 

Logo após a notícia, a Microsoft Brasil se aprontou em confortar seus usários. Segue o trecho mais interessante da matéria, que é exatamente a explicação do ataque:

Como Funciona o Ataque

O ataque é feito gerando uma chamada “colisão” no algoritmo de hash MD5. Uma colisão acontece quando dois conjunto de dados tem o mesmo resultado de hash. Algoritmos como o MD5 são desenhados para que colisões sejam extremamente difíceis de serem encontradas, uma propriedade chamada collision resistance que é fundamental para a segurança de assinaturas digitais.

Isto porque uma assinatura digital é feita encriptando o hash de um dado com a chave privada de um algoritmo RSA. Mais importante a validação dessa assinatura é feito decriptando-a com a chave pública e comparando com o hash calculado para o dado. Ou seja, se eu tenho dois dados com o mesmo hash, ao assinar um eu também estou na prática assinando o outro!

O ataque fez exatamente isso: utilizou um conjunto de CPUs Cell para gerar dois certificados com o mesmo hash MD5. Um destes certificados, vamos chamá-lo aqui de “original”, foi enviado para ser assinado por uma autoridade certificadora, escolhida cuidadosamente por ser uma das poucas que ainda usa MD5 como algoritmo de hash e por ter um número de série previsível (mais sobre isso em instantes). Após ele ser assinado, a assinatura  foi copiada deste certificado “original” para o outro certificado, chamado aqui de “clone”, tornando ele igualmente válido.

Para tornar o ataque mais letal, os atacantes configuraram o certificado “clone” como sendo um certificado de autoridade certificadora – ou seja, usando ele poderiam assinar novos certificados digitais igualmente válidos.

Um ponto complicador para o ataque é que existe uma parte do conteúdo do certificado que é controlado pela autoridade certificadora: o número de série. Como o número de série faz parte do cálculo do hash, para computar a colisão os atacantes precisariam saber com antecedência qual seria o número de série que a AC iria designar para aquele certificado. No caso os atacantes escolheram um AC que atribui números de série sequencialmente, e puderam com razoável certeza adivinhar qual seria este número (eles também poderiam submeter a mesma requisição de certificado várias vezes até chegar no número desejado).

E tem mais, sabem qual a empresa certificadora que sofreu o ataque? Pasmem!
Empresa Certificadora Confiável 

 

Bom, é isso ae pessoal. Vou deixar aqui alguns links interessantes para mais informações:

Blog Microsoft
Palestra do Ataque(em ppt)
Matéria Completa

 

Nos próximos posts continuarei falando sobre hash. 

Abraços e bons estudos!

Posted in Criptografia, Segurança | 1 Comment »