Análise dos procedimentos de backup dos institutos federais

RODRIGUES, Wilson Flávio

13 June 2017

Submitted by Pedro Barros (pedro.silvabarros@ufpe.br) on 2018-08-13T21:38:31Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Wilson Flávio Rodrigues.pdf: 6847870 bytes, checksum: 4c8678131370129d8d984f327803304f (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-08-16T18:21:35Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Wilson Flávio Rodrigues.pdf: 6847870 bytes, checksum: 4c8678131370129d8d984f327803304f (MD5) / Made available in DSpace on 2018-08-16T18:21:35Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Wilson Flávio Rodrigues.pdf: 6847870 bytes, checksum: 4c8678131370129d8d984f327803304f (MD5) Previous issue date: 2017-06-13 / A motivação para esta pesquisa surgiu justamente da observação do grande volume de informações que as instituições de ensino armazenam e manipulam a cada dia. Para evitar que as atividades desempenhadas nessas instituições sejam seriamente comprometidas, se faz necessário prover meios que possam garantir que as informações continuarão disponíveis independentemente do que venha a ocorrer. Nesse contexto, este trabalho visa mapear na rede dos Institutos Federais os aspectos referentes à segurança da informação com o foco nas ferramentas usadas para fazer as cópias de segurança (backup), possibilitando identificar deficiências ou falhas no processo de backup e restauração das informações. Por meio das informações coletadas com o questionário respondido pelos Institutos Federais, observou-se que 65,9% dos respondentes não realizam a documentação dos Backups e 65,2% não documentam os testes de restauração. Desta forma, este trabalho propõe o desenvolvimento de um sistema protótipo a fim de melhorar o processo de documentação do backup, além de permitir verificar por meio de um questionário acessível pelo sistema protótipo, saber em que nível o backup se enquadra (ruim, regular, bom ou ótimo) de acordo com as recomendações da norma ISO 27002, possibilitando, assim, melhorar o processo do backup, adequando às boas práticas recomendadas pela norma. O sistema protótipo obteve uma boa aceitação conforme avaliações feitas pelos usuários dos Institutos Federais de Santa Catarina, os quais participaram dos testes e avaliação do protótipo por meio do questionário de satisfação, mostrando-se viável sua utilização no âmbito dos Institutos Federais. / The motivation for this research came precisely from observing the great amount of information that educational institutions store and manipulate every day. In order to avoid that the activities carried out by such institutions be seriously compromised, it is necessary to provide means to ensure that information may continue available no matter what happens. In this context, this work aims at mapping the aspects of information security in the Federal Institutes' network with a focus on the tools used to perform backups, making it possible to identify deficiencies or failures in the process of information backup and restoration. Through the information collected with the questionnaire answered by the Federal Institutes, it was observed that 65.9% of the respondents do not perform the documentation of the backups and 65.2% do not document the restoration tests. In this way, we propose the development of a prototype system in order to improve the backup documentation process, in addition to verifying through a questionnaire accessible by the prototype system, to which extent backup fits in (Bad, Regular, Good or Optimal) in accordance with the recommendations of the ISO 27002 standard, thus making it possible to improve the backup process, adapting such a process to the best practices recommended by the standards. The prototype system obtained a good acceptance according to the evaluations made by the users of the Federal Institutes of Santa Catarina, in which they participated in the tests and evaluation of the prototype through the questionnaire of satisfaction, highlighting its adequacy to the Federal Institutes.

Banco de dados

Segurança de dados

O Cripto-Sistema Rijndael

BARROS, Sergio Augusto Prazin de

January 2003

Made available in DSpace on 2014-06-12T17:40:05Z (GMT). No. of bitstreams: 2 arquivo7003_1.pdf: 1416346 bytes, checksum: 468f0d3be0f696b3a85cf8ca164f5d04 (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2003 / Com a evolução da velocidade dos processadores modernos, usar cifras de bloco de comprimento 56 bits para a chave, como no Padrão de Cifragem de Dados (Data Encryption Standard DES), tornou-se menos seguro. Pensando neste sentido, foi feito um concurso, iniciado em 1998, pelo Instituto Nacional de Padrões e Tecnologia (National Institute of Standards and Technology NIST) do governo dos EUA para escolher um novo algoritmo criptográfico para substituir o antigo padrão. Em outubro de 2000 foi divulgado o resultado, o Rijndael tornou-se o Padrão Avançado de Cifragem (Advanced Encryption Standard AES). O AES é uma cifra de bloco iterativa cujo comprimento da chave é variável: 128, 192 ou 256 bits, operando sobre um bloco de 128 bits. Sua estrutura é baseada em transformações que utilizam a álgebra de corpos finitos, mais especificamente GF(256). Suas rodadas são seqüências de transformações provedoras dos requisitos básicos para uma cifra segura do ponto de vista criptográfico: confusão e difusão. Suas implementações nas mais diversas plataformas são velozes e ocupam pouca memória. Pode ser considerada uma cifra segura contra ataques de criptoanálise pois não existe nenhum ataque conhecido cujo desempenho seja melhor do que a busca exaustiva da chave. Esta dissertação é o resultado de um trabalho de pesquisa minucioso que revela de forma clara, mas sem excesso de rigores matemáticos, os detalhes do funcionamento, implementação, segurança e uso do Rijndael, servindo como instrumento para interessados na área de criptografia. Ele apresenta também uma implementação prática e didática da cifra, além da proposta e análise de uma função hash baseada no algoritmo

Criptografia

AES

Segurança de Dados

Criptoanálise

Criptoanálise diferencial

Corrêa de Oliveira, Raimundo

January 2003

Made available in DSpace on 2014-06-12T17:40:37Z (GMT). No. of bitstreams: 2 arquivo7039_1.pdf: 1009362 bytes, checksum: 625b48f5d5a3de823ef461b914c02a80 (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2003 / Desde a criação do padrão de cifragem de dados DES (Data Encryption Standard) em 1978, cifras iterativas de chave secreta baseadas em redes de Feistel têm sido construídas, visando a aumentar a segurança das informações armazenadas e transmitidas em ambientes de comunicações inseguros. Tais cifras, além de apresentarem, em geral, um alto nível de resistência a ataques criptoanalíticos, permitem implementações eficientes em diferentes plataformas, sendo portanto uma alternativa muito atraente para a proteção de grandes massas de dados. Uma das técnicas mais eficientes para criptoanalisar esse tipo de cifra é a chamada Criptoanálise Diferencial, introduzida em 1990 por Biham e Shamir. Este trabalho tem como objetivo apresentar um estudo da técnica de Criptoanálise Diferencial, bem como demonstrar uma aplicação da mesma na criptoanálise do criptosistema de chave secreta Blowfish, introduzido por Schneier em 1994. Inicialmente o trabalho aborda os principais aspectos matemáticos relacionados com a criptografia de chave secreta e, em seguida, apresenta uma introdução à área de Segurança de Dados, discorrendo sobre aspectos importantes da mesma, tais como criptografia de chave secreta e de chave pública. Além disso, são também descritos os cripto-sistemas de chave secreta DES, RC5, IDEA e Blowfish. A técnica da Criptoanálise Diferencial é então considerada em detalhes, onde são examinados os conceitos mais importantes da mesma, tais como as noções de pares diferenciais e características, entre outros. Uma aplicação da técnica é então apresentada, na avaliação do grau de segurança da cifra de bloco Blowfish

Critpoanálise Diferencial

Blowfish

Segurança de Dados

Motion compensated permutation-based video encryption

SILVA, Caio César Sabino

25 August 2015

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2018-02-21T17:49:09Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) dissertacao-caio-cesar.pdf: 1833894 bytes, checksum: 738a1e0a2b6bcf2f5c13dca42eaee10c (MD5) / Made available in DSpace on 2018-02-21T17:49:09Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) dissertacao-caio-cesar.pdf: 1833894 bytes, checksum: 738a1e0a2b6bcf2f5c13dca42eaee10c (MD5) Previous issue date: 2015-08-25 / In the context of multimedia applications security, digital video encryption techniques have been developed to assure the confidentiality of information contained in such media type. Compression and encryption used to be considered as opposite in terms of exploring the data’s entropy, however in the last decades there was an increase of data volume operated by video encryption applications which demanded improvements on data compressibility in video encryption. In this sense, many techniques have been developed as entropy coding providing both encryption and compression simultaneously. An existing cryptographic scheme, introduced by Socek et al., is based on permutation transformations and applies encryption prior to the compression stage. The encryption applied by this technique may not be as safe as a conventional encryption technique, but its security is still considered acceptable for most video applications. It can improve the original data’s spatial correlation in case the consecutive frames are similar, making it possibly even more compressible than the original video. However the original cryptographic scheme was designed to explore only the spatial correlation inside every frame, but codecs can also explore non-trivial temporal correlation. Also the improvements on the data’s spatial correlation coming from the permutation transformations are highly based on the natural temporal correlation in the video. Hence its performance is extremely associated to the amount of motion in the video. The work developed in this dissertation aims to extend this cryptographic scheme, including motion compensation concepts to the permutation based transformations used in the video encryption technique to improve its performance and make it more resilient to high motion videos. / No contexto de segurança de aplicações multimídia, técnicas de encriptação de vídeo têm sido desenvolvidas com o intuito de assegurar a confidencialidade das informações contidas em tal tipo de mídia. Compressão e encriptação costumavam ser consideradas áreas opostas em termos de exploração de entropia de dados, entretanto nas últimas décadas houve um aumento significante no volume de dados operado por aplicações de encriptação de vídeo, o que exigiu melhoras na compressão de vídeos encriptados. Neste sentido, diversas técnicas têm sido desenvolvidas como codificação de entropia provendo encriptação e compressão simultaneamente. Um esquema criptográfico existente, introduzido por Socek et al., é baseado em transformações de permutação e aplica encriptação anteriormente à fase de compressão. A encriptação aplicada por essa técnica pode ser considerada não tão segura quanto um esquema criptográfico convencional, mas ainda aceitável pela maioria das aplicações de vídeo. A mesma é capaz de melhorar a correlação espacial do vídeo original, caso os quadros consecutivos sejam suficientemente similares, tornando-o possivelmente mais compressível que o vídeo original. Entretanto, o esquema criptográfico original foi designado para explorar apenas correlação espacial de cada quadro, e codificadores podem explorar também correlação temporal não trivial. Além disso, as melhoras na correção espacial advindas das transformações de permutação são altamente baseadas na correlação temporal natural do vídeo. Portanto, a performance do esquema é extremamente associada à quantidade de movimento no vídeo. O trabalho desenvolvido nesta dissertação tem como objetivo estender esse esquema criptográfico, incluindo conceitos de compensação de movimento nas transformações baseadas em permutação usadas na encriptação de vídeo para melhorar sua performance, tornando o esquema mais resiliente a vídeos com muito movimento.

Ciência da computação

Segurança de dados multimídia

Detecção e tratamento de intrusões em plataformas baseadas no XEN

Antonioli, Rafael

January 2008

Made available in DSpace on 2013-08-07T18:42:43Z (GMT). No. of bitstreams: 1 000405530-Texto+Completo-0.pdf: 742921 bytes, checksum: b1927b9057dda61a48f23f2861185fd5 (MD5) Previous issue date: 2008 / Servers virtualization is a technology which became a solution to several demands of today’s computational systems: machines idles cycles, high energy consumption, physical space occupation issues and the difficult to management different operating systems in a same computational environment. Among the existing virtualization platforms, Xen appears as an interesting choice presenting the best performance in comparison with the remaining alternatives. Virtualized systems very often require security and one way to provide safe virtualized systems is through the use of intrusion detection systems which are able to monitor the network data traffic. This work presents an approach to detect intrusion in Xen virtual machines, introducing a tool to monitor and block malicious or unwanted access to the system. The tool was named XenGuardian and it works using direct communication between the virtual machine (DomU) and the host machine (Dom0) to indicate when a suspicious action is detected. If unauthorized access attempts are identified, the host machine deal with the situation blocking the user responsible for the attack. In order to validate XenGuardian efficiency, exploits were used to perform attacks against the intrusion detection system. Performance measures were obtained through the use of the NetPerf benchmark. / A virtualização de servidores aparece como uma solução para várias demandas atuais dos sistemas computacionais: taxa de ociosidade das máquinas, alto consumo de energia, ocupação de espaço físico e dificuldade para gerenciamento de muitos sistemas operacionais em um mesmo datacenter. Entre as alternativas de virtualização disponíveis, o monitor de máquina virtual Xen é uma das opções mais consolidadas e que possui melhor desempenho dentre as demais alternativas existentes. Para proporcionar sistemas virtualizados seguros, um aliado eficaz são os sistemas detectores de intrusão que trabalham realizando monitoração no tráfego da rede. Este trabalho apresenta uma abordagem para detecção de intrusão em máquinas virtuais baseadas no monitor de máquina virtual Xen, introduzindo uma ferramenta para detectar e bloquear intrusos que estiverem tentando obter acesso indevido ao sistema. A ferramenta elaborada recebeu o nome de XenGuardian e trabalha realizando comunicação entre as máquinas virtuais (domU) com a máquina hóspede (dom0). Na ocorrência de tentativas de acesso não autorizadas, a máquina hóspede realiza o tratamento da ocorrência bloqueando o usuário. Para validar a solução, exploits foram utilizados, desferindo ataques contra sistemas de detecção de intrusos e auferindo medições de desempenho através do benchmark NetPerf.

INFORMÁTICA

SEGURANÇA DE DADOS

Estratégia para especificação e geração de casos de teste a partir de modelos UML

Peralta, Karine de Pinho

January 2009

Made available in DSpace on 2013-08-07T18:42:50Z (GMT). No. of bitstreams: 1 000410387-Texto+Completo-0.pdf: 1737512 bytes, checksum: be615bfd6c76a20642c89fd02bd4c48e (MD5) Previous issue date: 2009 / Due to the evolution of computer systems and the services provided by the Internet, software engineers are concerned about the security of the softwares they develop. The traffic of confidential data through the Internet is increasing, making essential the security evaluation of the systems before deploying them to the final users. However, a short period of time is dedicated to evaluate this characteristic during the test phase, resulting in an unsafe software. It is not trivial to evaluate the security level of an application. This aspect must be considered since the design phase, when the model is still being elaborated. The problem is the lack of security information available, either in the models, which have limitations to represent this aspect, or in the documents, tools and checklists, which do not explain clearly how to conduct the security tests. In this context, a new approach is becoming popular, known as model-based testing. The goal of this technique is to generate test cases by extracting specific information from a model, accordingly to the aspects that must be tested. Several works propose models to represent various aspects, such as functional or performance issues, but only a few of them are related to describing security characteristics. Therefore, this work presents a set of UML stereotypes to specify some behaviors that may compromise software security, as well as an algorithm that analyzes the model and generates test cases. The use of the stereotypes allows the software engineer to annotate parts of the model that may contain vulnerabilities, and the test cases indicates to the tester the steps that must be performed to verify the occurrence of the vulnerabilities on the final software. This work has two main goals: to assist developers during the implementation process, emphasizing the functionalities that must be developed carefully; and, to allow the test case generation based on the security information provided by the model. / Com a expansão dos sistemas computacionais e com a popularização dos serviços providos pela Internet, é crescente a preocupação dos engenheiros de software com a segurança dos sistemas que desenvolvem. O volume de informações confidenciais que trafega pela Internet é cada vez maior, tornando essencial a avaliação de segurança destes sistemas antes de entregá-los a seus usuários. Entretanto, o tempo que dedicam em seus projetos à realização de testes para avaliar este aspecto é pequeno, fazendo com que softwares inseguros sejam liberados no mercado. Verificar o nível de segurança de um software não é trivial. É preciso considerar este aspecto desde a fase de projeto do sistema, quando o modelo ainda está sendo elaborado. Uma limitação é a deficiência existente na área de segurança, seja em relação aos modelos, que provêem poucas estruturas para representar este aspecto, ou à pouca quantidade de ferramentas, documentos e checklists explicando como conduzir a execução de testes de segurança. Neste contexto, vem se tornando popular uma técnica conhecida como teste baseado em modelos. Nesta, os testes a serem realizados são definidos automaticamente a partir do modelo da aplicação, de acordo com os aspectos desejados. Diversos trabalhos propõem modelos para especificar os mais variados requisitos, como funcionais e de desempenho, mas poucos se dedicam a definir uma forma de descrever aspectos de segurança. Sendo assim, este trabalho propõe alguns estereótipos UML para especificar situações que podem comprometer a segurança de um software, além de um algoritmo que analisa estes e gera, automaticamente, casos de teste a partir do modelo. Desta forma, é possível assinalar, através da inserção de estereótipos no modelo, partes do sistema que podem conter vulnerabilidades, e, posteriormente, executar os casos gerados para verificar a ocorrência destas no software final. A elaboração deste trabalho tem dois objetivos principais: auxiliar durante a fase de implementação do software, prevendo situações que possam comprometer sua segurança e orientando os desenvolvedores, e permitir a geração automatizada de casos de teste de segurança a partir das informações inseridas.

INFORMÁTICA

SEGURANÇA DE DADOS

ENGENHARIA DE SOFTWARE

UML (INFORMATICA)

Utilização de esteganografia para ampliar confidencialidade em sistemas RFID

Mezzari, Rafael

January 2012

Made available in DSpace on 2013-08-07T18:43:08Z (GMT). No. of bitstreams: 1 000442973-Texto+Completo-0.pdf: 15796918 bytes, checksum: 89fb243e0307019646a41b309c3f76ae (MD5) Previous issue date: 2012 / Steganography can be defined as the science that studies ways to hide a message within a communication, hiding its existence. Currently, information security and data security are topics widely discussed and highly relevant to information technology. Issues such as confidentiality and authenticity of a message, as weii as privacy of communication are factors that bring concern for the increasingly growing number of users of systems who exchange many messages, whether for personal or commercial purposes. At the same time, RFID systems are becoming more and more widespread, and that raises the challenge to implement security in RFID systems. One common way to secure the information available on the RFID tags is to use cryptography methods. But visibly encrypted information arouses suspicions and curiosity. Due to this fact, it is desired to increase the confidentiality of the information that belong to a RFID system without attracting unwanted attention, using steganography techniques to this end. At the same time, it is necessary to advance the research in methods that increase security while at the same time avoiding incompatibilities related to the industry standards. In order to achieve this, the present work describes a study regarding the use of steganography techniques in order to increase the confidentiality of the information stored in a RFID system without attracting unwanted attention and without changing the standard machine state. / Esteganografia pode ser descrita como a ciência que estuda as formas de ocultar uma mensagem dentro de uma comunicação, escondendo sua existência. Atualmente, a segurança da informação e de dados é um tema amplamente discutido e de grande relevância para a tecnologia da informação. Questões como a confidencialidade e autenticidade de uma mensagem, assim como a privacidade de uma comunicação, são fatores que trazem preocupação para o cada vez crescente número de usuários de sistemas que trocam muitas mensagens, sejam pessoais ou comerciais. Ao mesmo tempo, sistemas RFID estão se tornando cada vez mais comuns, e isso gera o desafio de implementar segurança em tais sistemas RFID. Uma forma comum de tornar seguras as informações contidas nas etiquetas (tags) RFID é o uso de métodos de criptografia. Porém, informações visivelmente criptografadas atraem suspeitas e curiosidade. Desta forma, torna-se pertinente aumentar a confidencialidade das informações contidas em sistemas RFID sem atrair atenção indesejada, utilizando-se de técnicas de esteganografia para tal fim. Da mesma forma, faz-se necessário avançar a pesquisa em métodos que ampliem a segurança de sistemas sem haver alteração da máquina de estados padrão de sistemas RFID, visando evitar gastos e incompatibilidades em relação aos padrões usados no mercado. Assim, este trabalho tem como objetivo efetuar um estudo da utilização de técnicas de esteganografia para ampliar a confiabilidade de informações contidas em sistemas RFID sem atrair atenção indesejada e sem alterar a máquina de estados padrão.

INFORMÁTICA

RFID

SEGURANÇA DE DADOS

SISTEMAS AUTOMÁTICOS DE IDENTIFICAÇÃO

Uma arquitetura de segurança para sistemas embarcados virtualizados

Vasconcelos, Matheus Duarte

January 2017

Made available in DSpace on 2018-06-15T12:04:33Z (GMT). No. of bitstreams: 1 000488776-Texto+Completo-0.pdf: 1962973 bytes, checksum: 77c055e16913a3e7b366d18bb3c59fa3 (MD5) Previous issue date: 2017 / Historically embedded systems (ES) were designed to perform a single task throughout their lifetime. However, this view has changed with the new paradigm of computing called the Internet of Things or IoT. An example of environment where IoT can be applied are smart cities by creating products such as smart poles. Thus, smart poles can be responsible not only for city lighting, but also for the control of security cameras, in addition to temperature and noise sensors. In this scenario, the virtualization technique in ES appears to contribute to the development of IoT devices since it allows a better use of the available resources in the ES besides contributing to the increase of the security. ES security has been neglected and IoT oriented ES have attracted malicious attacks as they play a central role in the operation of essential services for individuals and enterprises. Therefore, the objective of this work is to identify a set of security mechanisms that use cryptography techniques that, combined with the virtualization technique, can establish a security architecture for IoT oriented virtualized ES (VES). Thus, establishing a minimum level of confidence between the users and the SEV. Two security mechanisms have been implemented in prplHypervisor: integrity checking and introspection of guest system hypercalls. The results show that for a guest system with a size of 256kB the integrity check mechanism imposed a 150.33ms initialization delay time while the introspection engine imposed 10.57ms of initialization delay. 2,029 lines of code have been added to the prplHypervisor to perform the integrity check and 120 lines of code to implement the introspection engine. The final size of the prplHypervisor has 32kB which represents a 53% increase over the original code. However, growth does not prevent the use of security mechanisms since the storage capacity available on the platform is 2MB. / Historicamente os sistemas embarcados (SE) eram desenvolvidos para realizar uma única tarefa em toda a sua vida. Entretanto, esta visão mudou com o novo paradigma da computação chamado Internet das Coisas ou IoT. Um ambiente onde a IoT pode ser aplicada são as cidades inteligentes por meio da criação de produtos como, por exemplo, os postes inteligentes. Assim, os postes inteligentes podem ser responsáveis não só pela iluminação da cidade, mas encarregados também pelo controle de câmeras de segurança, além de sensores de temperatura e ruído. Neste cenário, a técnica de virtualização em SE surge para contribuir no desenvolvimento de dispositivos IoT, pois permite uma melhor utilização dos recursos disponíveis nos SE além de auxiliar para o aumento da segurança. A segurança dos SE tem sido negligenciada e os SE voltados para IoT têm atraído ataques maliciosos, visto que, desempenham um papel central no funcionamento de serviços essenciais para as pessoas e empresas. O objetivo deste trabalho é identificar um conjunto de mecanismos de segurança que utilizam técnicas de criptografia que, combinados com a técnica de virtualização, possam estabelecer uma arquitetura de segurança para os SE virtualizados (SEV) voltados para IoT. Assim, estabelecendo um nível de confiança mínimo entre os usuários e os SEV.Além disso, foram implementados dois mecanismos de segurança no prplHypervisor: a verificação de integridade e a introspecção das hypercalls do sistema convidado. Os resultados mostram que para um sistema convidado com tamanho de 256kB o mecanismo de verificação de integridade impôs um tempo de atraso na inicialização de 150,33ms enquanto o mecanismo de introspecção impôs 10,57ms de atraso na inicialização. Foram adicionados 2.029 linhas de código ao prplHypervisor para realizar a verificação de integridade e 120 linhas de código para implementar o mecanismo de introspecção. O tamanho final do prplHypervisor possui 32kB o que representa um aumento de 53% em relação ao código original. Todavia, o crescimento não inviabiliza o uso dos mecanismos de segurança, dado que, a capacidade de armazenamento disponível na plataforma utilizada é de 2MB.

SISTEMAS EMBARCADOS (COMPUTADORES)

SEGURANÇA DE DADOS

INTERNET

INFORMÁTICA

Um modelo faseado de gestão da segurança da informação / A phased information security management model

Fróio, Leandro Ramalho

12 1900

Dissertação (mestrado)—Universidade de Brasília, Departamento de Engenharia Elétrica, 2008. / Submitted by Danyelle Mayara Silva (danielemaiara@gmail.com) on 2009-09-21T19:47:16Z No. of bitstreams: 1 2008_LeandroRamalhoFroio.pdf: 1914917 bytes, checksum: 1672a66397a608876e623878ab34f3d8 (MD5) / Approved for entry into archive by Gomes Neide(nagomes2005@gmail.com) on 2011-02-01T11:16:11Z (GMT) No. of bitstreams: 1 2008_LeandroRamalhoFroio.pdf: 1914917 bytes, checksum: 1672a66397a608876e623878ab34f3d8 (MD5) / Made available in DSpace on 2011-02-01T11:16:11Z (GMT). No. of bitstreams: 1 2008_LeandroRamalhoFroio.pdf: 1914917 bytes, checksum: 1672a66397a608876e623878ab34f3d8 (MD5) Previous issue date: 2008-12 / As práticas de Segurança da Informação não são recentes, no entanto, diversos fatores contribuíram para a necessidade de métodos capazes de planejar, coordenar, integrar e controlar tais práticas, visando alinhá-las aos objetivos do negócio da organização. Observamos que as práticas de Segurança da Informação tendem a evoluir de atividades pontuais e descoordenadas para uma posição sistemática e estratégica dentro das organizações, exigindo o uso e desenvolvimento de metodologias capazes de lidar com diferentes questões, que não somente aquelas relacionadas à tecnologia. Diante destes desafios surgem os modelos de Gestão da Segurança da Informação (GSI), que visam sistematizar e organizar a aplicação das práticas de Segurança da Informação para que os negócios das organizações estejam seguros e seus objetivos sejam alcançados com sucesso. Os Modelos de Gestão da Segurança da Informação foram os objetos de estudo deste trabalho, no qual identificamos as suas diferenças e deficiências que comprometeriam o sucesso da GSI nas organizações. Além disso, apresentaremos um Modelo Faseado de Gestão da Segurança da Informação capaz de endereçar, de maneira mais ampla, as questões de Segurança da Informação. ____________________________________________________________________________ ABSTRACT / The Information Security Practices are not recent, however, many factors has contributed to the need of methodologies capable to plan, coordinate, integrate and control those practices, which aim to align them with the business’s objectives of the companies. We notice that those Information Security Practices has being migrating from isolated and uncoordinated practices to a systematic and strategic position inside the companies, demanding the use and the development of methodologies capable to handle with different questions, not only those related to technology. These challenges motivate the development of Information Security Management Models, which aim to systematic and organize the application of the information security practices to assurance that the companies’ business will be safe, and their objectives will be successful achieved. The Information Security Management Models were the object of study of this work, at which we identified the main differences and deficiencies that compromises the success of the ISM in the companies. We will present a Phased Information Security Management Model capable to address the questions related to information security.

Tecnologia da informação

Ciência da computação

Segurança de dados

Técnica de criptografia com dados geodésicos

Cano, Carlos Henrique da Costa

January 2008

Made available in DSpace on 2013-08-07T18:53:16Z (GMT). No. of bitstreams: 1 000402409-Texto+Completo-0.pdf: 542349 bytes, checksum: cef9c90e5ad6eb4a7f650d872b28d02f (MD5) Previous issue date: 2008 / The main objective on this thesis is to show the creation and implementation of a solution composed by navigational, positional components acting together with cryptography modules and software. This implementation will use the Global Positioning System (GPS), that in its beginning was used mainly for military objectives, this system provide geographic, cartographic and geodesic information as: latitude, longitude, velocity, time and height. Some encryption algorithms mode as asymmetric and symmetric were studied, also the GPS system and its variables to better describe this work. In this proposal was used the AES (Rijndael) encryption for its security and desempenho certi ed by the NIST department. To validate this work a GPS receiver was used to make eld tests to check the precision and accuracy of the receiver and this proposal. The obtained results show that this proposal that uses geodesic coordinates and cryptography and cartography coordinates too are e cient in this cryptographic system proposed. As in this proposal the data transmitted has more security because they only can be decoded in the right coordinates or geodesic variables, that the transmitter set up. Overall this work creates a new way to encrypt and send information, that is simple, e ective and can use the GPS system or another, and several kind of cryptographic systems. Indeed the message only can be decoded in the right coordinates or geodesic variables. This open a new way to communicate with new products and solutions. Creating by this new possibilities for business, security and society. / O objetivo principal desta dissertação é mostrar a criação e a implementação de uma solução composta por componentes de navegação e posicionamento atuando em conjunto com módulos de criptografia e softwares adicionais. Esta extensão será através da utilização do sistema Global Positioning System (GPS), que é um sistema desenvolvido inicialmente para uso militar ao qual prove informações cartográficas fundamentais como: coordenadas geográficas, velocidade, altura, hora. Foram estudados algorítimos de criptografia simétricos e assimétricos e além disso foi realizada uma descrição detalhada do sistema GPS que fundamentou o presente trabalho. Neste trabalho foi escolhido o padrão AES, ao qual é de domínio público, sem royalties e foi escolhido num processo publico e rigoroso pelo NIST como padrão para criptografia. Para validação do presente trabalho utilizou-se um equipamento real de GPS, com o qual foram realizados testes de campo. Nestes testes foi determinada a precisão efetiva destes equipamentos bem como a validação da proposta em funcionamento de campo. Os resultados obtidos demonstraram que a técnica de utilização de coordenadas geodésicas globais de GPS bem como as coordenadas cartográficas comuns são e cientes no processo de criptografia proposto. Criando desta forma um novo modelo de criptografia. Deste modo, este trabalho apresenta como grande inovação a possibilidade de estabelecer uma nova forma de criptografia. E ao mesmo tempo simples, dado que utiliza o sistema GPS já popularizado e no entanto extremamente e ciente pois a mensagem somente é acessível quando o destinatário estiver em um determinado local cujo conhecimento pode ser usualmente restrito. Sendo assim, a partir deste trabalho, abre-se uma nova forma de realizar a codi cação de mensagens de cunho sigiloso, com um ampla gama de novas possibilidades.

CRIPTOGRAFIA (COMPUTAÇÃO)

SEGURANÇA DE DADOS

GPS

TECNOLOGIA

COMUNICAÇÃO