Se você está preocupado com a segurança de sua empresa, com certeza já ouviu falar sobre Ransomware. Trata-se de malware, código malicioso, que criptografa os dados contidos em um servidor ou máquina pessoal e pede um resgate para que a chave de descriptografia seja fornecida e os dados sejam recuperados.

Veja: se os hackers usam a criptografia para sequestrar os seus dados que estão sob a tutela de sua empresa, nada mais óbvio que entender que essa tecnologia e utilizá-la para proteger suas informações. A criptografia de dados não é uma vilã, mas sim uma alternativa para melhorar a segurança da informação e garantir a proteção contra essas investidas.

Esse e-book foi criado com o objetivo de demonstrar a importância do uso da tecnologia de criptografia dentro de uma estratégia de segurança da informação do setor de TI. Esperamos que, ao finalizar essa leitura, você tenha ampliado seus conhecimentos sobre o assunto. Acompanhe!

1. O que é criptografia de dados?

Podemos conceituar a criptografia como um conjunto de técnicas desenvolvidas com o objetivo de proteger a informação de modo que apenas algumas pessoas, que possuem uma “chave”, possam obter acesso aos dados.

A palavra criptografia vem do grego “cripto” que significa escondido e “grafia” que significa escrita, ou seja, o termo pode ser traduzido como escrita escondida, e como você pode perceber é exatamente sobre isso que se trata essa palavra.

A criptografia trata da codificação de informação, transformando dados em códigos que dificultam a leitura por pessoas não autorizadas. Desta maneira apenas quem envia e quem recebe tem acesso ao que está escrito em uma determinada mensagem, ou apenas quem tem a “chave” pode realizar a leitura de um documento.

Mesmo que possa parecer algo referente a filmes de espionagem, a criptografia está muito presente em nosso dia a dia, protegendo nossas informações pessoais de pessoas mal intencionadas.

O próprio navegador que você está utilizando para realizar o acesso a este e-book utiliza da criptografia para navegar na internet com segurança, as redes sociais, seu e-mail, muitas ferramentas da vida moderna se valem desse artifício.

Aplicações mais comuns

Existem diversas aplicações que podem ser dadas a criptografia, porém alguns usos são mais comuns. Entre eles podemos citar:

  • proteção pessoal ou empresarial — a utilização de técnicas de criptografia para a proteção de computadores pessoais e empresariais e as informações contidas neles por meio de um controle de acesso;
  • trocas de informações — também é muito utilizada para a realização de trocas de dados via internet para que as informações continuem sigilosas mesmo que capturadas;
  • áreas de segurança — é possível criar áreas de segurança dentro de um computador, onde todas as informações gravadas são automaticamente criptografadas;
  • assinatura digital de documentos ─ pode ser realizada a partir de qualquer editor e garante a veracidade do documento;
  • criptomoedas ─ as moedas digitais usam da tecnologia de blockchain para assinar criptograficamente todas as transações em uma rede.

2.  Quando surgiu a criptografia de dados?

O surgimento da criptografia remete a antiguidade e os povos antigos, quando a necessidade de mandar mensagens por longas distâncias dependia do envio de mensageiros que poderiam ser capturados por inimigos. Para manter a segurança das comunicações, as pessoas começaram a criar formas de ocultar o significado das mensagens que enviavam.

Para fins didáticos podemos dividir a criptografia em clássica e moderna, sendo o período clássico desde a sua utilização por povos antigos, Idade Média, chegando até as máquinas eletro-mecânicas durante a Segunda Guerra Mundial. Já a moderna se inicia com o surgimento e aplicação da computação. Entre os exemplos clássicos da criptografia temos:

Scytale

Esse método de criptografar mensagens surgiu em Esparta, cidade-estado grega que foi responsável por diversas inovações na área da guerra, e consistia em enrolar uma fita de tecido sobre um bastão.

A mensagem era escrita sobre a fita enrolada no bastão e enviada escondida, ao chegar ao destino era necessário enrolar a fita em um bastão de igual largura para que a mensagem pudesse der lida de maneira correta. Muitos especialistas consideram esse primeiro indício do uso da criptografia pelos espartanos como apenas um mito.

Cifra de César

Utilizada por Júlio César e o exército romano para enviar mensagens, a cifra de César é uma dos mais famosos exemplos da criptografia clássica. O processo de criptografar e decodificar as comunicações era muito simples.

Os avisos eram escritos em alfabeto normal, porém cada letra era substituída por sua correspondente três casas adiante, ou seja, para escrever a letra “A”, a pessoa deveria substituir por “D”. Foi grandemente utilizada até que seu método de decodificação foi descoberto e então cair em desuso devido à simplicidade com que o inimigo poderia visualizar as mensagens criptografadas.

Cifra de Vegenère

Foi descrita, primeiramente, em 1553 por Giovan Battista Bellaso e foi considerada até meados do XIX como “a cifra indecifrável”, quando foi encontrado uma maneira de decodifica-la por Charles Babbage e Friedrich Kasiki.

Essa técnica de criptografia se utilizou de uma complexidade maior, o que é indicado pelo tempo que foi levado até que alguém encontrasse uma maneira de criptografar as mensagens codificadas dessa maneira.

Seu processo se dá pela escolha do usuário por uma chave alfabética. Caso a chave ter um número de caracteres menor que a mensagem, deverá ser repetida a chave até que ambas tenham o mesmo tamanho.

Ao realizar uma relação entre a mensagem e a chave, cada letra do aviso será cifrada com um alfabeto específico correspondente, o que tornou dificultoso sua decodificação por muito tempo.

Enigma

Até a Idade Moderna, por volta do início do século XX, bastava tempo e dedicação para que se pudesse decodificar uma mensagem criptografada por quaisquer das técnicas existentes na época.

Com a revolução industrial e a chegada da mecanização, diversas máquinas foram desenvolvidas com o intuito de melhorar a criptografia e dificultar a leitura de mensagens.

O exemplo mais famoso dessas máquinas foi a Enigma, utilizada pelo exército alemão durante a Segunda Guerra Mundial, e por muitos anos, impossível de decifrar. Ela lembra uma máquina de escrever antiga e a codificação das mensagens era realizada por meio de rotores eletromecânicos.

Tais rotores formavam a chave de descriptação que podia ser alterada a cada mensagem para dificultar ainda mais as tentativas de descobrir o conteúdo das mensagens dos alemães.

No entanto, em uma ação conjunta de ingleses e poloneses, entre eles Alan Turing o pai da computação moderna, foi possível entender o funcionamento da máquina e ter acesso às mensagens criptografadas com o uso dela.

Criptografia moderna

Após a criação dos computadores a criptografia só evoluiu, dificultando muito as tentativas de obter acesso às comunicações cifradas. Hoje, o uso de dados criptografados estão em todo lugar, só alterando os tipos de técnicas utilizadas e a aplicação delas.

3. Por que devemos usar a criptografia de dados?

Existem vários bons motivos para uma empresa investir na criptografia de dados, mas o principal é claro, a proteção de suas informações contra o vazamento. Temos como uma dos principais exemplos recentes a falha que levou a exposição de dados de mais de 143 milhões de clientes da Equifax, uma das três principais concessionárias de crédito dos EUA.

Entre os dados sigilosos que acabaram expostos aos cibercriminosos estavam nome completo, número do seguro social e endereço. Essas informações são mais que suficientes para que os hackers consigam realizar várias fraudes e roubo de identidade.

Apenas esse exemplo já é o suficiente para podermos visualizar a importância de manter uma rotina de criptografia de dados afim de evitar a leitura de informações que possam ter valor estratégico para a sua empresa.

Mesmo que o uso da criptografia não possa impedir o roubo de uma determinada informação, ela pode evitar que os dados sejam lidos e possam ser utilizados de maneira a prejudicar a empresa. Vamos listar os principais motivos para investir na tecnologia de criptografia:

Proteger informações em trânsito

A internet é uma grande rede onde milhares de informações se cruzam o tempo todo e nada impede, mesmo com toda a tecnologia, que certas mensagens possam ser capturadas enquanto circulam na web.

Proteger as informações em trânsito é essencial para evitar que dados sigilosos de clientes, ou mensagens estratégicas acabem de posse de cibercriminosos ou pessoas mal intencionadas. Ao criptografar esses envios apenas o destinatário poderá fazer uso da chave para verificar o conteúdo.

Proteger dados guardados em nuvem

A computação em nuvem veio para ficar e os provedores dessa tecnologia investem cada vez mais em segurança para garantir que os dados de seus clientes não serão corrompidos ou acessados por pessoas sem autorização.

No entanto, um ataque e roubo de dados sempre pode ocorrer e mesmo com todas as ferramentas disponíveis, um vazamento tem chances de não ser detido. Por isso criptografar dados armazenados em nuvem também é fundamental para a proteção das informações de sua empresa e clientes.

Proteger dados sigilosos

Todas as empresas possuem dados sigilosos, seja com relação as suas operações, estratégias de negócios, novos produtos a serem lançados ou até mesmo informações de clientes sob sua tutela.

Ataques coordenados por concorrentes podem parecer um enredo de filme, porém não podem ser descartados e pode acreditar, eles ocorrem. Para se proteger contra a espionagem industrial o ideal é investir em criptografia de dados. Outra tecnologia que ganha destaque no caso de ataques de hackers é a perícia forense digital.

Proteger a navegação

O uso de dispositivos móveis é muito comum hoje nas empresas. Essas ferramentas possibilitam que os colaboradores acessem dados da empresa por meio de qualquer link de internet.

O que ocorre é que muitas vezes a navegação pode ser realizada a partir de uma rede pública, como bibliotecas, shoppings centers e outros ambientes que disponibilizam acesso à web.

Esse tipo de rede facilita a captura, por parte de criminosos, de senhas, usuários e outros dados importantes que podem ser utilizados em uma futura invasão e roubo de informações. Criptografar os dados de acesso é uma solução para evitar essa situação.

Proteger sua empresa contra ataques

Como dito, os hackers estão cada vez mais audaciosos, e as tentativas de invasão e roubo de dados têm se tornado algo comum no mundo corporativo. Malwares cada mais sofisticados são utilizados para obter acessos a informações confidenciais dentro da empresa e entre as técnicas mais comuns de invasão temos:

  • vírus ─ é um código malicioso que se utiliza de um programa hospedeiro e repassado geralmente por meio de cópias piratas de softwares consagrados;
  • worm ─ são malwares que não necessitam de programas hospedeiros se propagando pela rede e infectando computadores utilizando-se de brechas de segurança;
  • cavalo de troia ─ é um código malicioso que necessita de uma determinada ação do usuário como, por exemplo, executar um anexo de e-mail;
  • engenharia social ─ aqui os criminosos se utilizam de técnicas de persuasão para ludibriar colaboradores e obter acesso a dados confidenciais e senhas.

Os criminosos buscam empresas que não tenham protegido seus dados contra invasões, pois são alvos mais fáceis e que têm maiores chances de ceder a uma possível chantagem para resgate das informações.

4. Quais as aplicações para a criptografia de dados?

Já falamos onde se deve utilizar a criptografia para a proteção de dados, agora vamos mostrar para você algumas aplicações práticas para essa tecnologia. Listaremos os usos mais comum para a proteção de sites, com acesso de usuários internos e externos, códigos fontes de aplicações, e-mails e informações sigilosas.

1. Criptografia simples (SSL)

O mais conhecido protocolo de criptografia, conhecido por todos aqueles que navegam na internet e garante a proteção na troca de informações com um website da rede é o SSL. ─ aquele do cadeado verde no canto esquerdo da barra de navegação.

É um protocolo recomendado a todos os sites, sendo um critério de desempate para o algoritmo de busca do Google. Ele valida a URL do site e protege as informações sensíveis dos clientes, como dados bancários e pessoais. É identificado pelo HTTPS junto ao link na barra de navegação.

Existem ainda outras derivações do protocolo SSL que são dignos de nota. São eles:

  • versão estendida ─ funciona como um certificado SSL comum, porém acompanhado da razão social da empresa e é utilizado para demonstrar a preocupação com a segurança;
  • wildcard ─ utilizado para sites que trabalham com subdomínios, certificando a segurança de todos os sublinks ligados ao link certificado;
  • multidomínio ─ utilizado por empresas que detém uma série de domínios como forma de simplificar a gestão da segurança entre eles;
  • multidomínio SAN ─ criado para certificar a segurança das informações em aplicações que utilizem Microsoft Exchance;
  • multidomínio EV ─ esse certificado combina as características de um certificado multidomínio e validação estendida;

2. Certificado codesign

Esse é um tipo de certificado de criptografia que foi desenvolvido para garantir a segurança do código fonte das aplicações e permite que os programadores responsáveis realizem a assinatura de um determinado sistema.

Essa tecnologia pode ser utilizada para assinar código em JAVA (.jar), diversas extensões Microsoft (.exe, .dll, .cab, .xpi, .xap, entre outras) e também para as plataformas Mobile (IOS, Android e Windows Phone).

3. Criptografia para e-mails

A criptografia para e-mails visa melhorar a proteção das mensagens enviadas e recebidas e garantir que apenas as pessoas autorizadas terão acesso às informações descritas no corpo da comunicação.

Esse tipo de criptografia é indicado para empresas que trocam muitas informações sigilosas com outras companhias ou clientes e necessitam proteger seus dados contra vazamentos.

4. Criptografia de HD

Realizada por meio de ferramentas de software a criptografia de HD é uma técnica que visa proteger o conteúdo geral desse hardware contra o acesso de qualquer pessoa não autorizada.

Geralmente é utilizado em HDs externos para o transporte de dados fora do ambiente da empresa, dificultando o vazamento de informações no caso da perda do equipamento.

5. Criptografia de arquivo

Cada vez mais comum no meio empresarial a criptografia de arquivos é uma das técnicas mais eficazes para evitar o vazamento de informações. Uma vez que o hacker consiga o acesso aos seus dados, eles estarão criptografados, impedindo a leitura.

Para realizar a criptografia de arquivos pode-se contar com uma série de ferramentas de software. Geralmente os arquivos são criptografados para o envio pela web ou por serem dados confidenciais.

6. Assinatura digital

A assinatura digital tem se tornado comum e é o modo mais simples de provar a autenticidade de um documento digital. Esse método é juridicamente inquestionável e tem o mesmo peso que uma assinatura de próprio punho registrada em cartório.

A criptografia envolvida no processo vincula o certificado digital de quem está assinando junto ao documento, garantindo a sua autenticidade e integridade. Qualquer alteração no arquivo anula a assinatura e indica fraude.

5. Como funciona a criptografia de dados?

O conceito de criptografia moderna se utiliza de chaves criptográficas, formadas por uma determinada quantidade de bits, para codificar uma mensagem de tal forma que apenas o destinatário e seu emissor tenham acesso ao conteúdo.

Existem basicamente dois tipos de chaves, as públicas, de conhecimento geral e utilizadas para a criptografia dos dados e a privada, de posse apenas do emissor e do destinatário, é responsável por decodificar uma mensagem.

A segurança de uma chave depende do número de bits, quanto mais, maior a proteção sobre as informações criptografadas. Por exemplo, um algoritmo de 8 bits possui 256 combinações de chaves, já uma chave de 16 bits conta com 65535 possibilidades, ou seja, mais segurança.

Criptografia simétrica

Esse processo de encriptação de dados é o mais simples e nele existe apenas uma chave, de posse do emissor da mensagem e do destinatário. Neste caso a mesma sequência é utilizada para codificar e descodificar as informações.

A principal falha nesse processo ocorre quando alguém de fora tem acesso à chave, sendo possível decodificar todas as mensagens que foram trocadas entre remetente e destinatário. Mesmo que seja pouco recomendado o seu uso para guardar dados de grande importância, a sua aplicação é mais rápida que o método assimétrico.

Assimétrica

Um tanto quanto mais complexo que a chave simétrica, essa técnica possui duas sequencias distintas, uma para realizar a codificação, enquanto existe outra para a decodificação. Ambas só apresentam uma função, não sendo possível utilizá-las para outra.

Nesse caso, a chave que é utilizada para a codificação das mensagens é pública, não havendo nenhum tipo de complicação se o usuário a perdê-la, uma vez que ela não poderá ser utilizada para a decodificação.

As chaves são geradas por algoritmos de criptografia, e quanto maior a sequência de caracteres elas contenham, maior a segurança quer elas garantem e maior a dificuldade para decodificar as mensagens.

6. Criptografia é totalmente seguro?

Com a evolução da tecnologia, nada está seguro 100% seguro. Temos como exemplo todas as metodologias e técnicas de criptografia que foram mostradas ao longo da história no item 2.

Cedo ou tarde todas as chaves foram quebradas, ou seja, utilizar da criptografia não garante totalmente o roubo de dados de sua empresa, porém nenhuma outra técnica de segurança da informação é tão eficaz quanto a criptografia.

Por isso, podemos afirmar que mesmo que não se possa obter a total certeza de que seus dados não serão decifrados e roubados por hackers, utilizar da criptografia é a melhor forma de se proteger contra o vazamento.

Criptoanálise

O processo de buscar decodificar uma determinada mensagem sem estar de posse das chaves necessárias é a criptoanálise. É por meio dela que os cibercriminosos tentam desvendar os segredos roubados das empresas, mas que se encontram criptografados.

Essas técnicas são altamente complexas e demandam tempo e um grande poder de processamento, o que pode acabar por desencorajar os hackers a roubar e buscar maneiras de decodificar informações criptografadas.

7. Como aplicar essa tecnologia?

A aplicação de novas soluções em segurança da informação passa pela necessidade de mão de obra especializada. Por muitas vezes, manter profissionais do nível de especialistas com um know-how comprovado para aplicação de ferramentas de proteção apropriadas pode não ser uma opção.

Colaboradores com um alto nível de conhecimento em criptografia e segurança da informação demandam recursos financeiros pesados no setor de TI que boa parte das empresas não está disposta a investir ou simplesmente não dispõe.

No entanto, pode haver uma solução simples que auxilie a empresa a buscar as soluções das quais demanda sem a necessidade de investir muitos recursos e ainda assim contar com os melhores profissionais do mercado.

Por meio da terceirização da segurança da informação sua empresa poderá ter acesso aos colaboradores mais qualificados do mercado, por um custo benefício muito maior do que pela contratação desses profissionais.

Com a terceirização, é possível reduzir os gastos com mão de obra e contratação, além de outros custos que derivam do vínculo empregatício do colaborador com a empresa, além de pagar apenas pelo que utilizar.

Quer saber mais sobre esse modelo de parceria? Então leia esse artigo e entenda por que terceirizar a segurança da informação em sua empresa!