SóProvas

ID
1682848
Banca
CESPE / CEBRASPE
Órgão
STJ
Ano
2015
Provas
Disciplina
Segurança da Informação
Assuntos

       Analistas de TI do STJ desenvolveram um sistema para comunicação por meio de trocas de mensagens entre os funcionários do tribunal. A fim de garantir segurança nas comunicações, cada servidor do órgão configurou o sistema com um par de chaves digitais — uma pública e uma privada — e com um certificado digital. Assim, a comunicação segura funciona da seguinte forma: a mensagem do emissor é cifrada com a chave pública do receptor e enviada a um servidor; posteriormente, o receptor busca essa mensagem e a decifra utilizando sua chave privada. Após os servidores do STJ terem recebido instruções referentes à utilização desse sistema, André enviou mensagens para Maria; no entanto, Pedro teve acesso e revelou as mensagens destinadas à Maria antes que ela tivesse buscado as mensagens no servidor.

A respeito dessa situação hipotética, julgue o item a seguir, referente aos conceitos de criptografia.

Se, na referida situação, os analistas de TI do STJ tivessem usado SSL/TLS, Pedro não teria conseguido revelar o conteúdo das mensagens que André enviou à Maria.


Alternativas
Comentários

  • ERRADO SSL seria irrelevante para o ato cometido por pedro. Pois SSL somente protegeria a sessão de comunicaçao entre os servidores. Pedro teve acesso à msg original no servidor de destino e ele só conseguiu revelar por ter a chave privada (acessou a mensagem na camada de aplicação).  Se a questão tivesse mencionado que Pedro interceptou na rede a msg , então o SSL prejudicaria Pedro, pois mesmo com a chave privada de Maria em mãos, a msg estaria criptografada com a chave de sessão SSL

  • Sabemos que a utilização de SSL/TLS permite a criação de um canal seguro entre origem e destino. O canal seguro criado utiliza de criptografia para buscar impedir que as mensagens que porventura forem interceptadas possam ser reveladas.

    Mas vamos considerar dois cenários:

    O primeiro, estamos avaliando a criação do túnel. Vale lembrar que há um servidor intermediário. Logo, deve-se criar dois túneis, de André para o servidor e do servidor para Maria, pois, conforme texto inicial, essa comunicação não é direta entre André e Maria. Em termos de segurança, se for utilizado um algoritmo de chaves públicas fraco ou que já tenha seu algoritmo quebrado, o túnel SSL/TLS poderá ser facilmente quebrado. Assim, com as informações presentes no enunciado, não podemos garantir que a mensagem não poderia ser revelada. Devemos sempre lembrar que, para efeitos de segurança, em regra, esses conceitos não são absolutos ou completamente seguros pois sempre estarão sujeitos a falhas e vulnerabilidades.

    O segundo ponto a considerar é que possa ter havido uma vulnerabilidade no servidor intermediário que facilitou o acesso de Pedro às mensagens que lá estavam armazenadas. Ainda assim, por ter sido criptografada com a chave pública de Maria, Pedro necessitará quebrar a cifra para revelar a mensagem.

  • Esse tipo de ataque tbm é conhecido como SSL Strip, ou seja, interceptação da mensagem no próprio servidor.

  • Repare q, mesmo usando criptografia assimetrica, Pedro conseguiu acessar as mensagens de Maria(em tese, apenas ela poderia acessar, pois é a única(pelo menos deveria ser) detentora da chave privada).

    Pra Pedro conseguir ter acessado as mensagens de maria, nesse cenário, cabe só 1 hipotese:

    a) ele sabia essa chave de alguma forma (ela deu com a lingua nos dentes, ou deixou anotada na mesa - as duas coisas ocorrem muito no ambiente de trabalho; no primeiro caso, especialmente, pros fifis e desocupados(as) de plantão q adoram falar mal dos outros), ou entao tratava-se de uma senha muito fraca, tipo data de aniversario, data de namoro, lugar onde conheceu o boy ou a "bóia" e baboseiras do gênero!!!

    Além disso, como a msg é obtida no servidor, o Meliante teria q ter perfil de acesso ao servidor, ou entao ter comprometido o servidor(Perceba q o Meliante precisa ter acesso ao servidor, uma vez q a msg tá armazenada nele).

    É isso!!!

  • Hum... mas usar TLS não criaria uma camada extra de criptografia sobre a mensagem que já era criptografada? Eu entendi que Pedro teve acesso à chave privada original, mas nesse caso, ele teria também que passar por cima da criptografia do TLS

  • Quando um usuário se conecta em um site seguro ele transfere as informações criptografadas com o servidor impedindo um ataque de sniffing tradicional, quando realizamos o ataque de sslstrip primeiramente interceptamos o trafego do alvo através de técnicas man-in-the-middle, assim o atacante engana o alvo fazendo se passar por um Proxy e engana o servidor se passando pelo cliente, assim as informações são passadas para o atacante em texto puro