Uma proposta de categorização de vulnerabilidades em aplicações web e seleção de controles proativos / A proposal for categorization of vulnerabilities in web applications and selection of proative controls (Inglês)

Leite, Gleidson Sobreira

13 July 2018

Made available in DSpace on 2019-03-30T00:32:08Z (GMT). No. of bitstreams: 0 Previous issue date: 2018-07-13 / The evolution of the Internet has brought about a significant change in the evolution of software, resulting in an increasing presence of Information Systems in Web environments and, consequently, an increase in security vulnerabilities and threats. In this context, secure web application development has become a crucial component for information systems in the market. Exploring the main vulnerabilities in the coding of software for Web environments and the need for awareness and guidance for developers of information systems, this paper offers a proposal for the treatment of vulnerabilities in Web applications composed by the selection and mapping of categories of major vulnerabilities, risks and existing proactive controls to prevent or treat occurrences of exploitation of vulnerabilities by malicious agents. Keywords: Secure Coding, Information Security, Information Systems, Web Applications Vulnerabilities / O crescimento da Internet proporcionou uma mudança importante na evolução do software acarretando em uma presença cada vez maior de sistemas da informação em ambientes Web e, consequentemente, em um aumento de vulnerabilidades e ameaças à segurança. Nesse contexto, o desenvolvimento seguro de aplicações a serem acessadas através da internet tornou-se um componente crucial para os sistemas de software no mercado, sendo necessário explorar as principais vulnerabilidades existentes na codificação de softwares para ambientes Web, e conscientizar e direcionar os desenvolvedores de sistemas de informações. Este trabalho propõe disponibilizar uma proposta para tratamento de vulnerabilidades em aplicações Web baseada na seleção e mapeamento das categorias das principais vulnerabilidades, riscos e controles proativos existentes, para evitar ou tratar ocorrências de exploração das vulnerabilidades por agentes maliciosos. Palavras-chave: Codificação Segura, Segurança da informação, Sistemas de informação, Vulnerabilidades em aplicações Web

Segurança da informação

Codificação

Software

Os desafios estratégicos para a defesa e segurança cibernética: um estudo de caso na administração pública federal

ROEN, Marcelo Bastos

06 February 2017

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2018-03-16T19:32:19Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTACAO MARCELO_ROEN_MPROF_REDES_2014_VERSÃO_BIBLIOTECA _v3.pdf: 2211041 bytes, checksum: aee34b5460d2874e4152c2a7bdf753e5 (MD5) / Made available in DSpace on 2018-03-16T19:32:19Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTACAO MARCELO_ROEN_MPROF_REDES_2014_VERSÃO_BIBLIOTECA _v3.pdf: 2211041 bytes, checksum: aee34b5460d2874e4152c2a7bdf753e5 (MD5) Previous issue date: 2017-02-06 / O vertiginoso desenvolvimento a que foram alçadas as tecnologias da informação e comunicações nos últimos anos proporcionou a elas a capacidade de serem instantâneas, assim como dinamizou a troca de grandes volumes de dados, ampliando a velocidade, por meio de equipamentos cada vez menores, mais velozes, com maior capacidade e com um número maior de funcionalidades. Grande parte desses avanços se deve ao surgimento da rede mundial de computadores, que se convencionou chamar de Internet. Essa conexão global, com novas ferramentas e que, nem sempre é possível se saber onde as informações ficam armazenadas, trouxe benefícios e conquistas expressivos para diferentes setores da sociedade. Por outro lado, pari passu a isso, a Internet aumentou a vulnerabilidade, reduziu a privacidade e colocou em xeque a segurança individual, a partir dos chamados ataques cibernéticos, os quais são ações das mais diferentes configurações, que vão desde a transferência de um vírus, capaz de contaminar e comprometer o funcionamento de computadores pessoais ou até mesmo a invasão de rede de grandes corporações, no intuito de provocar prejuízos ou ter benefícios com fraudes cibernéticas; ou de governos, tendo a intenção de privilegiar-se de informações restritas ou, ainda, provocar danos políticos, apossando-se de dados confidenciais. Esses ataques têm se tornado cada vez mais frequentes, e mais graves, com o passar do tempo, fato que, aliado à grande dependência que se passou a ter da tecnologia, fez com que se despertasse o interesse pelo desenvolvimento de estratégias de prevenção contra esses ataques. A parte mais incipiente da estratégia abrange os softwares conhecidos como antivírus, que são “vacinas” desenvolvidas para combater os diferentes tipos de vírus que surgem todos os dias; em nível mais complexo, as corporações criam áreas especializadas na proteção do ambiente tecnológico contra invasões, tendo a responsabilidade de definir estratégias de defesa cibernética. Esse trabalho parte dessas primícias, com o objetivo de abordar a defesa e a segurança cibernética do ponto de vista dos desafios estratégicos enfrentados pelas corporações, focalizando a administração pública federal. No escopo geral, passa pelos conceitos envolvidos e esquadrinha o histórico da evolução das tecnologias pertinentes e, na abrangência mais especifica, trata do cenário brasileiro no âmbito da administração pública federal, ressalta os caminhos trilhados e os principais marcos que o governo brasileiro implantou nos últimos quinze anos. / The vertiginous development of information and communications technologies in recent years has given them the ability to be instantaneous, and also streamlined the exchanging of large volumes of data, increasing speed by means of smaller and faster equipment, with greater capacity and a greater number of functionalities. Most of these advances are due to the emergence of the worldwide computer network, which has become known as the Internet. This global connection, with new tools and that it is not always possible to know where information is stored, has brought significant benefits and achievements to different sectors of society. On the other hand, the Internet has increased vulnerability, reduced privacy and put individual security at risk, from the so-called cyber-attacks, which are actions of the most different configurations, ranging from the transfer of a virus, capable of contaminating and compromising the functioning of personal computers or even the invasion of a large corporation network, in order to cause damages or benefits with cyber fraud; or of government networks, with the intention of obtaining restricted information or even causing political damage by taking confidential data. These attacks have become more and more frequent and more serious, a fact that, with the great dependence on technology, has aroused interest in the development of strategies to prevent them. The most incipient part of the strategy comprises software’s known as antivirus, which are "vaccines" designed to combat the different types of viruses that appear every day; at a more complex level, corporations create specialized areas in the protection of the technological environment against invasions, with the responsibility of defining cyber defense strategies. The objective of this paper is to discuss on cyber security and defense from the point of view of the strategic challenges faced by corporations, focusing on the federal public administration. In the general scope, it goes through the concepts involved and examines the history of the evolution of pertinent technologies and, in the most specific coverage, deals with the Brazilian scenario within the scope of the federal public administration, highlights the developments and the main milestones that the Brazilian government has implemented in the last fifteen years.

Segurança da informação

Segurança cibernética

Diretrizes estratégicas de gestão de riscos de segurança da informação para instituições federais de ensino superior

SILVA, Joilson Dantas Siqueira

15 February 2017

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2018-03-16T19:39:08Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Dissertacao Joilson Dantas - Final.pdf: 2297078 bytes, checksum: c8131f83c7e2aa13abe47111c91df517 (MD5) / Made available in DSpace on 2018-03-16T19:39:08Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Dissertacao Joilson Dantas - Final.pdf: 2297078 bytes, checksum: c8131f83c7e2aa13abe47111c91df517 (MD5) Previous issue date: 2017-02-15 / Esta dissertação tem como objetivo identificar as principais diretrizes estratégicas de gestão de riscos de segurança da informação para instituições federais de ensino superior, baseadas nas normas ISO/IEC 27005:2011, ISO 31000:2009, no framework COBIT 5 for Risk e no material bibliográfico utilizado nesta dissertação, auxiliando estas instituições na potencialização do nível de gestão de riscos e consequentemente elevando seu nível de gestão de segurança da informação. Como metodologia da pesquisa utilizou-se a abordagem qualitativa e quantitativa, empregando procedimentos metodológicos com o uso da revisão sistemática da literatura. Foi realizada pesquisa de natureza exploratório-descritiva e utilizou-se como delineamento questionário survey. Com os dados obtidos através do survey foi possível realizar o diagnóstico das instituições federais de ensino superior no tocante a Gestão de Riscos e buscar diretrizes que pudessem ser aplicadas para elevar o nível de gestão de riscos destas instituições. A pesquisa revelou que apenas 2% das instituições pesquisadas utilizam uma política/diretriz de gestão de riscos de forma integral, demonstrando que as instituições federais de ensino superior estão em um patamar abaixo dos demais órgãos da Administração Pública Federal que obtiveram um percentual de 8% no ano de 2014, conforme Acórdão 3.117/14 do Tribunal de Contas da União. Notou-se através da pesquisa que o apoio da alta administração, definição de papéis e responsabilidades, comprometimento da direção, conscientização dos stakeholders a respeito da gestão de riscos e mapeamento dos riscos foram consideradas as diretrizes estratégicas mais importantes para obtenção da gestão de riscos para estas instituições. / This dissertation aims to identify the main strategic guidelines for the management of information security risks for Federal Institutions of Higher Education, based on the ISO/IEC 27005:2011, ISO 31000:2009, in COBIT 5 for Risk framework and in the bibliographic material used in this dissertation, helping these institutions to enhance the level of risk management and consequently raising their level of information security management. The research methodology used was the qualitative and quantitative approach, using methodological procedures with the use of the systematic review of the literature. Exploratory-descriptive research was carried out and the survey questionnaire was used as a delineation. With the obtained data through the survey, it was possible to make a diagnosis of the Federal Institutions of Higher Education regarding Risk Management and to seek guidelines that could be applied to raise the level of risk management of these institutions. The research revealed that only 2% of the institutions surveyed use a comprehensive risk management policy/guidelines, demonstrating that the Federal Institutions of Higher Education are at a level below the other Federal Public Administration agencies that obtained a percentage of 8% in the year 2014, according to Judgment 3.117/14 of the Brazilian Court of Audit. It was noted through the research that the high management support, definition of roles and responsibilities, management commitment, stakeholder awareness and risk mapping were considered the most important strategic guidelines for obtaining risk management for these institutions.

Segurança da informação

Gestão de riscos

Fatores críticos de sucesso para o aprimoramento da maturidade da gestão da segurança da informação das instituições federais de ensino superior

CORDEIRO, Evandro Souza de Paula

15 February 2017

Submitted by Rafael Santana (rafael.silvasantana@ufpe.br) on 2018-03-22T18:10:52Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Evandro - Dissertacao MPROFGTI - Versão Final - Alterações Biblioteca Central.pdf: 3250439 bytes, checksum: b5312c800f405deca90edb6e4befb598 (MD5) / Made available in DSpace on 2018-03-22T18:10:52Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) Evandro - Dissertacao MPROFGTI - Versão Final - Alterações Biblioteca Central.pdf: 3250439 bytes, checksum: b5312c800f405deca90edb6e4befb598 (MD5) Previous issue date: 2017-02-15 / O Índice de Governança da TI de 2014 (iGovTI2014), realizado pelo Tribunal de Contas da União, através da Secretaria de Fiscalização de TI, apresentou o quadro crítico da Gestão Corporativa de Segurança da Informação em que se encontram os órgãos da Administração Pública Federal. Considerando esse quadro crítico, este trabalho teve como objetivo identificar os fatores críticos de sucesso responsáveis pelo aprimoramento da maturidade da gestão da segurança da informação das Instituições Federais de Ensino Superior. A metodologia aplicada baseou-se nas abordagens quantitativa e qualitativa, utilizando procedimentos bibliográficos, através de uma revisão sistemática da literatura, e a técnica de estudo de campo com a aplicação de dois questionários: (1) baseado no Information Security Program Assesment Tool da EDUCAUSE, buscou diagnosticar a maturidade da gestão da segurança da informação das instituições pesquisadas e identificar as melhores avaliadas. O diagnóstico da maturidade foi organizado em duas etapas: Maturidade Geral da Gestão da Segurança da Informação e Maturidade por Domínio; (2) baseado nos fatores críticos de sucesso encontrados na revisão sistemática, buscou identificar o grau de importância dos fatores para o aprimoramento da maturidade de gestão da segurança da informação das instituições pesquisadas. Cada fator encontrado foi explicado com detalhes, dando maior ênfase àqueles com maior grau de importância. Como resultado, foram identificados 12 fatores considerados críticos para o aprimoramento da maturidade da gestão da segurança da informação das instituições federais de ensino superior, dentre eles destacaram-se os fatores Treinamento e Conscientização, Gestão de Riscos, Cultura de Segurança da Informação e Apoio da Alta Gestão. / The IT Governance Index of 2014 (iGovTI2014), carried out by the Federal Audit Court through the IT Supervisory Secretariat, presented the critical situation of the Corporate Information Security Management in which the Federal Public Administration agencies are located. Considering this critical framework, this work aimed to identify the critical success factors responsible for improving the maturity of the information security management of the Federal Institutions of Higher Education. The applied methodology was based on the quantitative and qualitative approaches, using bibliographic procedures, through a systematic review of the literature, and the technique of field study with the application of two questionnaires: (1) based on EDUCAUSE's Information Security Program Assessment Tool, sought to diagnose the information security management maturity of the institutions surveyed and identify the best evaluated ones. The diagnosis of maturity was organized in two stages: General Maturity of Information Security Management and Maturity by Domain; (2) based on the critical success factors found in the systematic review, sought to identify the degree of importance of the factors to improve maturity. Each factor was explained in detail, giving greater emphasis to those with greater degree of importance. As a result, 12 critical factors were identified for improving the maturity of the information security management of the federal institutions of higher education, among them stood out the factors Training and Awareness, Risk Management, Information Security Culture and High Management Support.

Segurança da informação

Maturidade

A influência da Engenharia Social no fator humano das organizações

HENRIQUES, Francisco de Assis Fialho

06 March 2017

Submitted by Pedro Barros (pedro.silvabarros@ufpe.br) on 2018-08-01T20:10:01Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Francisco de Assis Fialho Henriques.pdf: 2775727 bytes, checksum: dd07f0cc62e62f75b3aa1634589370b1 (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-08-02T20:11:09Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Francisco de Assis Fialho Henriques.pdf: 2775727 bytes, checksum: dd07f0cc62e62f75b3aa1634589370b1 (MD5) / Made available in DSpace on 2018-08-02T20:11:09Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Francisco de Assis Fialho Henriques.pdf: 2775727 bytes, checksum: dd07f0cc62e62f75b3aa1634589370b1 (MD5) Previous issue date: 2017-03-06 / A informação tornou-se um recurso essencial na sociedade contemporânea. As organizações estão investindo cada vez mais em tecnologia e equipamentos para fortalecer sua segurança e estão esquecendo as pessoas, o fator humano está ficando para trás. Com o crescimento das redes de computadores e o surgimento da tecnologia da informação, os ataques de Engenharia Social têm sido uma ameaça atual aos sistemas de informação em ambientes organizacionais. A fim de criar ações de contenção contra essa ameaça, é necessário entender o comportamento dos atacantes, ou seja, quais são as principais ações tomadas para alcançar os objetivos desejados. Não há nenhuma correção que você pode adquirir e aplicar às pessoas para ser livre destas formas de ataque. A solução para combater esse problema é o conhecimento. As pessoas devem entender como lidar com as formas de ataque e o que fazer para minimizar essa questão nas organizações. O presente estudo avaliou, através da aplicação de um questionário, o conhecimento dos entrevistados sobre Engenharia Social, à medida que percebem sua influência nas organizações e como estas abordam a questão da Segurança da Informação. O objetivo deste estudo é apresentar como as técnicas de Engenharia Social são aplicadas nas organizações respondendes e quanto estão preparados para enfrentar esta ameaça, sugerindo uma visão mais humana da Segurança da Informação. / Information has become an essential resource in contemporary society. Organizations are increasingly investing in technology and equipment to strengthen their security and are forgetting people, the human factor is falling behind. With the growth of computer networks and the Emergence of information technology, Social Engineering attacks have been a current threat to information systems in organizational environments. In order to create containment actions against this threat, it is necessary to understand the behavior of the attackers, i.e. what are the main actions taken to achieve the desired objectives.There is no correction that you can acquire and apply to people to be free from these forms of attack. The solution to combat this problem is knowledge. People should understand how to deal with the forms of attack and what to do to minimize this question in organizations. The present study evaluated, through the application of a survey, the knowledge of the interviewees about Social Engineering, as they perceive its influence in the organizations and how they address the issue of Information Security. The aim of this study is to present how the Social Engineering techniques are applied in responding organizations and how much they are prepared to face this threat suggesting a more human vision of Information Security.

Segurança da informação

Engenharia social

Uma metodologia para avaliar a maturidade das configurações de segurança em ambientes de data center: uma estrutura sistemática com multiperspectiva

LIMA, Milton Vinicius Morais de

20 July 2017

Submitted by Fernanda Rodrigues de Lima (fernanda.rlima@ufpe.br) on 2018-08-17T22:32:27Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-08-24T21:13:35Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) / Made available in DSpace on 2018-08-24T21:13:35Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Milton Morais.pdf: 3216757 bytes, checksum: 47787beff638944e02c93d4e5b58d430 (MD5) Previous issue date: 2017-07-20 / CAPES / As ameaças à segurança da informação podem ter um grande impacto nas finanças e na reputação da empresa. As metodologias tradicionais para avaliar a maturidade dos data centers investigam os parâmetros de segurança para determinar a conformidade dos data centers e as normas internacionais de segurança. Este trabalho propõe dois procedimentos de avaliação para capturar outras perspectivas de segurança em ambientes de data centers: (1) análise ponderada – pondera os controles de segurança, simultaneamente presentes em um número maior de normas; (2) análise contextual - é sensível ao nível de importância que a organização atribui a cada controle de segurança. Através da metodologia proposta, os engenheiros de segurança podem identificar problemas de segurança, caracterizar a maturidade da segurança e sugerir novas políticas para melhorar as configurações de segurança dos data centers. Este trabalho também inclui um estudo de caso para avaliar os benefícios da metodologia em cenários do mundo real. Os resultados demonstraram que a metodologia proposta avalia os elementos de segurança mais relevantes para a empresa, onde as abordagens tradicionais consideram todos os aspectos de segurança como igualmente importantes. / Threats to information security can have great impact on business finances and company’s reputation. Traditional methodologies for evaluating the maturity of data centers investigate security parameters to determine the compliance of data centers and international security norms. This work proposes two innovative evaluation procedures to capture other security perspectives on data center environments: (1) weighted analysis - it weights higher security controls simultaneously present in a higher number of norms; (2) contextual analysis – it is sensitive to the importance level that the organization assigns to each security control. Through the proposed methodology, security engineers can identify security issues, characterize the security maturity, and suggest new policies improve security configurations of data centers. This work also includes a case study to evaluate the benefits of the methodology in real-world scenarios. Results demonstrated that the proposed methodology evaluates higher the security elements more relevant for the company, where as traditional approaches consider all security aspects to be equally important.

Segurança da informação

Métricas de segurança

Detecção da utilização do mecanismo de Canvas Fingerprinting

STELLO JUNIOR, Edgar José

25 April 2017

Submitted by Pedro Barros (pedro.silvabarros@ufpe.br) on 2018-09-14T21:47:07Z No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Edgar José Stello Junior.pdf: 5209414 bytes, checksum: 90e4ceb8fa4aeaac570f9af91addab87 (MD5) / Approved for entry into archive by Alice Araujo (alice.caraujo@ufpe.br) on 2018-09-18T15:57:44Z (GMT) No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Edgar José Stello Junior.pdf: 5209414 bytes, checksum: 90e4ceb8fa4aeaac570f9af91addab87 (MD5) / Made available in DSpace on 2018-09-18T15:57:44Z (GMT). No. of bitstreams: 2 license_rdf: 811 bytes, checksum: e39d27027a6cc9cb039ad269a5db8e34 (MD5) DISSERTAÇÃO Edgar José Stello Junior.pdf: 5209414 bytes, checksum: 90e4ceb8fa4aeaac570f9af91addab87 (MD5) Previous issue date: 2017-04-25 / Vários sites coletam informações sobre os usuários/dispositivos, quando são acessados ou mesmo durante a navegação, muitas vezes sem o seu consentimento. Dentre as várias técnicas existentes, a que está em foco no trabalho utiliza o método de Canvas Fingerprinting para gerar uma identificação única do usuário/dispositivo, através da coleta de algumas informações e fazendo alguns processamentos disponibilizados através da linguagem HTML5. Desta forma, o usuário/dispositivo pode ser identificado nos próximos acessos e até mesmo informações sobre ele podem ser recuperadas se já foram coletadas anteriormente. Com isso, a pesquisa foi desenvolvida com o intuito de abordar uma forma de identificar e avisar ao usuário, que acessa um determinado site, se o mesmo está fazendo sua identificação utilizando o método de Canvas Fingerprinting. Nesta busca, o estudo identificou a existência da extensão para Firefox denominada Canvas Blocker que identifica e bloqueia a utilização do mecanismo de Canvas do HTML5. Devido à existência desta extensão, o trabalho a modificou para detectar a utilização específica do mecanismo de Canvas Fingerprinting e alertar o usuário sobre essa utilização. Para isso, foi utilizada uma metodologia de detectar Canvas Fingerprinting já presente na literatura e agregado a isso algumas sugestões para reduzir os falsos negativos e os falsos positivos encontrados durante os experimentos. Então, o algoritmo proposto foi aplicado em um conjunto de sites determinado, alguns dados foram coletados dessas visitas, posteriormente estes dados foram analisados e, por fim, apresentadas medições que comprovaram a eficiência da solução apresentada. / Several sites collect information about users/devices, when they are accessed or even while browsing, often without consent. Among the several techniques, one that is in focus in this work uses the Canvas Fingerprinting method to generate a unique identification of the user/device, through the collection of some information and making some processing available through the HTML5 language. In this way, the user/device can be identified in the next accesses and even information about him/it can be recovered if previously collected. Thereby, the research was developed with the intention of approaching a way to identify and warn the user, who accesses a certain site, if the site is making his identification using the method of Canvas Fingerprinting. In this search, the study identified the existence of a Firefox extension called Canvas Blocker that identifies and blocks the use of the HTML5 Canvas mechanism. Because of the existence of this extension, the work modified it to detect the specific use of Canvas Fingerprinting mechanism and to alert the user about this use. For this, a methodology already present in the literature was used to detect Canvas Fingerprinting and added some suggestions to reduce the false negatives and the false positives found during the experiments. Then, the proposed algorithm was applied in a given set of sites, some data were collected from these visits, later these data were analyzed and, finally, measurements were presented that proved the efficiency of the presented solution.

Ciência da computação

Segurança da informação

Modelo de governança da segurança da informação no escopo da governança computacional

Menezes da Cunha, Renato

31 January 2008

Made available in DSpace on 2014-06-12T17:38:05Z (GMT). No. of bitstreams: 2 arquivo3977_1.pdf: 1075660 bytes, checksum: 394941f099030ae0b746e18d49825002 (MD5) license.txt: 1748 bytes, checksum: 8a4605be74aa9ea9d79846c1fba20a33 (MD5) Previous issue date: 2008 / A dependência do negócio aos sistemas de informação e o surgimento de novas tecnologias fizeram as empresas despertarem para a necessidade de segurança, buscando melhores práticas na implementação de diretrizes sobre gestão da segurança da informação e simultaneamente obter indicadores dos benefícios de se manter uma infraestrutura segura, uma vez que se tornaram vulneráveis a um número maior de ameaças. Dessa forma, obter a informação, reduzir os riscos a níveis aceitáveis e proteger o patrimônio informacional disponível nos seus aspectos de disponibilidade, integridade e confidencialidade, alinhando os objetivos de segurança aos objetivos estratégicos da organização tornou se imperativo no processo gerencial. Esse cenário levou ao desenvolvimento de modelos que apresentem as melhores práticas para se obter a Governança da Tecnologia da Informação e Comunicação, bem como garantir que os ativos informacionais sejam mantidos de forma segura e confiável. O modelo proposto neste trabalho permite à alta administração da organização a incorporação da segurança da informação como parte do seu processo de governança computacional. A partir da utilização deste modelo, pretende-se que o conhecimento sobre os riscos relacionados à informação seja apresentado de forma objetiva no momento da definição do planejamento estratégico da organização. Este trabalho apresenta um modelo que alinha os objetivos estratégicos da segurança da informação aos objetivos da organização utilizando modelos de governança de TIC e melhores práticas para a segurança da informação

Segurança da Informação

Governança de TIC

Riscos

Auditoria de segurança da informação em sistemas e aplicações

Cruz, Carlos Magno Bispo Rosal da

03 August 2017

Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2017. / Submitted by Raquel Almeida (raquel.df13@gmail.com) on 2017-11-22T15:58:18Z No. of bitstreams: 1 2017_CarlosMagnoBispoRosaldaCruz.pdf: 2712022 bytes, checksum: 62410f66acf7ca7ca05f309090a3d97f (MD5) / Approved for entry into archive by Raquel Viana (raquelviana@bce.unb.br) on 2017-11-23T17:51:30Z (GMT) No. of bitstreams: 1 2017_CarlosMagnoBispoRosaldaCruz.pdf: 2712022 bytes, checksum: 62410f66acf7ca7ca05f309090a3d97f (MD5) / Made available in DSpace on 2017-11-23T17:51:30Z (GMT). No. of bitstreams: 1 2017_CarlosMagnoBispoRosaldaCruz.pdf: 2712022 bytes, checksum: 62410f66acf7ca7ca05f309090a3d97f (MD5) Previous issue date: 2017-11-23 / Os serviços de tecnologia da informação estão cada vez mais presentes nas rotinas diárias de pessoas e instituições, mas com a disponibilidade destes serviços surgem também susceptibilidades a ataques cibernéticos, que podem causar danos e indisponibilidade de sistemas e serviços de tecnologia da informação, prejudicando instituições publicas, organizações e seus usuários. A fim de contribuir de modo proativo com a segurança da informação e segurança cibernética, algumas estrategias podem ser utilizadas, com este intuito, propomos neste trabalho o uso da auditoria de segurança da informação em sistemas e aplicações web, usando o processo de Analise de Vulnerabilidade para identificar, enumerar e classificar vulnerabilidades e seus graus de criticalidade e o Teste de Penetração (Penetration Testing, Pentest) para testar a segurança de um sistema, gerando evidências sobre potenciais riscos e consequências provenientes da exploração de uma vulnerabilidades, que poderiam acontecer em casos reais de ataques cibernéticos. A metodologia proposta foi aplicada como estudo de caso, no data center de um órgão publico. Os experimentos foram realizados em sistemas em produção e os resultados obtidos foram apresentados aos gestores responsáveis para possibilitar a mitigação das vulnerabilidades detectadas. / Information technology services are increasingly present in the daily routines of people and institutions, but their availability make them susceptible to cyber attacks, which can cause damage and unavailability of information technology systems and services, harming public institutions, organizations and their users. In order to contribute proactively to information security and cyber security, some strategies can be used. For this purpose, we propose in this study the use of security audit in systems and web applications, using the Vulnerability Assessment process to identify, enumerate and classify vulnerabilities and their criticality degrees and Penetration Testing to test and measure the security of a system, generating evidence about the potential risks and consequences of exploiting vulnerabilities that could occur in real-life cyber attacks. The methodology was applied as a case study in systems under production, the experiments were carried out in real systems and applications and the obtained results were presented to the responsible managers to enable the mitigation of detected vulnerabilities.

Segurança da informação

Ataques cibernéticos

Auditoria

O uso do processo de e-Discovery como forma de aprimoramento da segurança da informação / e-Discovery as a mean to improve information security

Nogueira, Michel Gomes

07 December 2016

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2017-02-16T12:12:59Z No. of bitstreams: 1 2016_MichelGomesNogueira.pdf: 1841523 bytes, checksum: d939a2b21132fc8f2e97bc9139be10a1 (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2017-03-22T22:24:54Z (GMT) No. of bitstreams: 1 2016_MichelGomesNogueira.pdf: 1841523 bytes, checksum: d939a2b21132fc8f2e97bc9139be10a1 (MD5) / Made available in DSpace on 2017-03-22T22:24:54Z (GMT). No. of bitstreams: 1 2016_MichelGomesNogueira.pdf: 1841523 bytes, checksum: d939a2b21132fc8f2e97bc9139be10a1 (MD5) / O trabalho descrito nesta dissertação trata do uso do processo de e-Discovery para verificar as descobertas eletrônicas encontradas que podem evidenciar uma provável falha de segurança da informação, possivelmente gerando prejuízos financeiros, econômicos e à imagem da organização. A proposta deste trabalho é uma adaptação do processo de e-Discovery para a identificação, preservação, processamento, análise e produção de informações armazenadas eletronicamente, e que sirvam de proposta para aprimoramento de Sistema de Gestão de Segurança da Informação, bem como na sustentabilidade da Governança da Tecnologia da Informação – TI. A análise dos controles de Segurança da Informação, por meio da perspectiva do e-Discovery, pode contribuir com a identificação prévia de vulnerabilidades e com a capacidade da organização em coletar e preservar evidências relacionadas a um eventual processo de litígio de forma eficiente e com menores custos. / The work described in this thesis deals with the use of the electronic discovery process for early identification of information security failure that can possibly generate financial/economic losses and / or damage to the organization's image. The proposed model involves the identification, preservation, processing, analysis and production of electronically stored information as a tool for improvement of the organization´s Information and Communications Security System, as well as the sustainability of Governance of Information Technology – IT. The analysis of the security controls through the perspective of the e-discovery can help early identification of vulnerabilities, improving the organization’s ability to preserve and collect potentially relevant evidence in an efficient, cost-effective and defensible manner.

E-discovery

Segurança da informação

Informação digital