Spelling suggestions: "subject:"segurança dda informação"" "subject:"segurança daa informação""
21 |
Um estudo de caso em avaliação de riscos de segurança da informação utilizando otimização por colônia de formigas e redes bayesianas / Case study in information security risk assesment using ant colony optimization and bayesian networksSilva, Elias Pereira 06 December 2016 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2016. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2017-03-23T15:45:42Z
No. of bitstreams: 1
2016_EliasPereiraSilva.pdf: 2262242 bytes, checksum: 1f04e3403f4282899c44a88258b37550 (MD5) / Approved for entry into archive by Ruthléa Nascimento(ruthleanascimento@bce.unb.br) on 2017-03-27T16:43:18Z (GMT) No. of bitstreams: 1
2016_EliasPereiraSilva.pdf: 2262242 bytes, checksum: 1f04e3403f4282899c44a88258b37550 (MD5) / Made available in DSpace on 2017-03-27T16:43:18Z (GMT). No. of bitstreams: 1
2016_EliasPereiraSilva.pdf: 2262242 bytes, checksum: 1f04e3403f4282899c44a88258b37550 (MD5) / O trabalho descrito nesta dissertação apresenta um estudo de caso de construção de uma Rede Bayesiana através da Otimização por Colônia de Formigas utilizando um banco de dados de treinamento formado pelos dados de controles de segurança de um sistema de informação da Polícia Federal e de especialistas em segurança da informação. Esta abordagem é baseada no Modelo de Análise de Risco de Segurança proposto por Feng et al. (2014), que foi ajustado para os requisitos das leis do governo brasileiro e sua principal vantagem é a possibilidade de análise do relacionamento entre as vulnerabilidades de diferentes ativos que compõem o mesmo sistema de informação. Este estudo de caso compreende a primeira fase do modelo SRAM (FENG et al, 2014), composta pelas etapas de coletar dados de controles de segurança aplicados a todos os componentes de um sistema de informação e implementar o algoritmo ACO para identificar a relação entre esses fatores de risco e obter uma medida global do risco por sistema. / The work described in this dissertation presents a case study of building a Bayesian Network via Ant Colony Optimization using a merged training database on security controls data from a Federal Police information system and information security experts. This approach is based on Security Risk Analysis Model proposed from Feng et al. (2014), and wich was adjusted for the brazilian government laws requirements and your main advantage are the possibility of relationship analysis between the vulnerabilities from different assets wich compound a same information system. This case study comprises the first phase from SRAM model (FENG et al, 2014), composed of the steps of collecting security controls data applied to all components of an information system and implementing the ACO algorithm to identify the relationship between these risk factors and obtain an overall measure of risk by system.
|
22 |
Uma implementação do protocolo OAuth 2 em Erlang para uma arquitetura orientada a serviçoRibeiro, Alysson de Sousa 17 July 2017 (has links)
Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2017. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2017-09-11T15:42:55Z
No. of bitstreams: 1
2017_AlyssondeSousaRibeiro.pdf: 1271389 bytes, checksum: 028f1e01f88580b2cbb9864a2c4e321e (MD5) / Approved for entry into archive by Raquel Viana (raquelviana@bce.unb.br) on 2017-10-03T16:16:19Z (GMT) No. of bitstreams: 1
2017_AlyssondeSousaRibeiro.pdf: 1271389 bytes, checksum: 028f1e01f88580b2cbb9864a2c4e321e (MD5) / Made available in DSpace on 2017-10-03T16:16:19Z (GMT). No. of bitstreams: 1
2017_AlyssondeSousaRibeiro.pdf: 1271389 bytes, checksum: 028f1e01f88580b2cbb9864a2c4e321e (MD5)
Previous issue date: 2017-10-03 / A utilização da Arquitetura Orientada a Serviço (SOA) oferece alguns benefícios, tais como: baixo acoplamento e interoperabilidade, sendo bastante utilizada para a integração de aplicações dentro de uma organização. Essa característica faz com que a arquitetura orientada a serviço seja utilizada na modernização de sistemas legados. No entanto, a sua implantação ainda merece alguns cuidados relacionados aos problemas de segurança. Este trabalho apresenta um mapeamento sistemático a cerca dos mecanismos de autenticação e autorização em SOA e levanta algumas questões de pesquisa, bem como alguns protocolos utilizados em SOA. Como resultado deste mapeamento foi identificado uma solução de autorização considerada adequada para a arquitetura utilizada pelo CPD para modernizar os seus sistemas legados. O protocolo OAuth 2.0 foi implementado no Enterprise Service Bus (ESB) que será utilizado para a modernização dos sistemas legados da UnB. Foram realizados testes de desempenho na solução permitindo verificar o aumento da latência introduzida pelo protocolo e a vazão média suportada. Foram realizadas ainda simulações de segurança com o objetivo de verificar o comportamento do protocolo implementado quando exposto a uma ataque de repetição. / The utilization of Service-Oriented Architecture (SOA) offers certain benefits, such as low coupling and interoperability. It widely used for the integration of applications within an organization. This characteristic makes it so service-oriented architecture is used in the modernization of legacy systems, being thoroughly discussed and used as an architecture solution for the modernization of the legacy systems of the IT Center (CPD) of University of Brasília (UnB). Nevertheless, its implementation still requires some care related to the security problems. This study presents a systematic mapping regarding the authentication and authorization mechanisms in SOA, and raises some research questions, as well as some of the protocols used in SOA. As a result of the mapping, an authorization solution considered adequate for the architecture used by the CPD to modernize its legacy systems was identified. The OAuth 2.0 protocol was implemented in the Enterprise Service Bus (ESB) that will be used for modernization of legacy systems of UnB. Performance tests were carried out in the solution allowing to check the increase in the latency introduced by the Protocol and the average flow supported. Simulations were carried out with the objective to verify the behavior of the Protocol implemented when exposed to a replay attack.
|
23 |
Transparência versus segurança da informação : uma análise dos fatores de risco expostos na comunicação entre o governo e a sociedadeRangel, Alcimar Sanches 07 August 2015 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Ciência da Informação, Programa de Pós-Graduação em Ciência da Informação, 2015. / Submitted by Patrícia Nunes da Silva (patricia@bce.unb.br) on 2015-11-23T17:48:45Z
No. of bitstreams: 1
2015_AlcimarSanchesRangel_Parcial.pdf: 3030757 bytes, checksum: 50459df9c41230fe49637993d2d87dea (MD5) / Approved for entry into archive by Guimaraes Jacqueline(jacqueline.guimaraes@bce.unb.br) on 2015-12-03T12:02:41Z (GMT) No. of bitstreams: 1
2015_AlcimarSanchesRangel_Parcial.pdf: 3030757 bytes, checksum: 50459df9c41230fe49637993d2d87dea (MD5) / Made available in DSpace on 2015-12-03T12:02:41Z (GMT). No. of bitstreams: 1
2015_AlcimarSanchesRangel_Parcial.pdf: 3030757 bytes, checksum: 50459df9c41230fe49637993d2d87dea (MD5) / Trata o presente trabalho de uma análise dos fatores de risco expostos na comunicação entre o governo e a sociedade, a partir da publicação dos dados de agentes públicos que atuam na segurança nacional e segurança pública federal. Tal análise está inserida na perspectiva interdisciplinar da ciência da informação, pois também aborda os campos de estudo da Computação e do Direito. Para tanto, desenvolveu-se uma pesquisa exploratória e qualitativa, por meio de investigação nos portais da internet que promovem a transparência pública, a fim de identificar os fatores de riscos que impactam a privacidade dos agentes públicos investigados, e consequentemente os riscos gerados à segurança nacional e à segurança pública federal decorrentes da exploração dessa informação. A coleta de dados é realizada junto a fontes documentais em diversos portais dos Poderes Executivo, Legislativo e Judiciário por meio de uma amostragem qualitativa de indivíduos vinculados a órgãos que promovem a segurança nacional e segurança pública no âmbito da Administração Pública Federal. Busca-se analisar e compilar os dados coletados dos indivíduos pertencentes às amostragens, constatar, verificar e avaliar os riscos de segurança da informação dos dados coletados e, por fim, validar o processo de análise e discussões a respeito da investigação com as respostas do questionário enviado aos membros do Comitê Gestor da Segurança da Informação. ___________________________________________________________________________ ABSTRACT / This study is an analysis of the risk factors set out in the communication between regarding government and society from the publication of data and information agents of the federal government working in national security and public security. It isinserted in the interdisciplinary perspective of information science, and also addresses the fields of study in Computing and Law. Therefore, it developed an exploratory and qualitative study through research in the internet portals that promote public transparency in order to identify the risk factors that impact the privacy of public officials investigated, as well as the risks posed to national security and public security. Data collection is performed by a documentary research in several internet portals of the executive, legislative and judiciary by means of a qualitative sampling of individuals in a population made up of agencies that promote national security and public safety within the Federal Public Administration. Seeks to analyze and discuss the data collected from individuals belonging to the sample, analyze and evaluate the information security risks of the data collected and ultimately validate the process of analysis and research discussions with the questionnaire responses sent to members of the Management Committee of Information Security.
|
24 |
Classical leakage-resilient circuits from quantum fault-tolerant computationLacerda, Felipe Gomes 30 July 2015 (has links)
Tese (doutorado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2015. / Submitted by Fernanda Percia França (fernandafranca@bce.unb.br) on 2015-12-03T18:53:40Z
No. of bitstreams: 1
2015_FelipeGomesLacerda.pdf: 601123 bytes, checksum: 14f5ac6d48a9354291bd06577410685e (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2016-02-26T22:02:05Z (GMT) No. of bitstreams: 1
2015_FelipeGomesLacerda.pdf: 601123 bytes, checksum: 14f5ac6d48a9354291bd06577410685e (MD5) / Made available in DSpace on 2016-02-26T22:02:05Z (GMT). No. of bitstreams: 1
2015_FelipeGomesLacerda.pdf: 601123 bytes, checksum: 14f5ac6d48a9354291bd06577410685e (MD5) / Implementações físicas de algoritmos criptográficos vazam informação, o que os torna vulneráveis aos chamados ataques de canal lateral. Atualmente, criptografia é utilizada em uma variedade crescente de cenários, e frequentemente a suposição de que a execução de criptossistemas é fisicamente isolada não é realista. A área de resistência a vazamentos propõe mitigar ataques de canal lateral projetando protocolos que são seguros mesmo se a informação vaza durante a execução. Neste trabalho, estudamos computação resistente a vazamento, que estuda o problema de executar computação universal segura na presença de vazamento. Computação quântica tolerante a falhas se preocupa com o problema de ruído em computadores quânticos. Uma vez que é extremamente difícil isolar sistemas quânticos de ruído, a área de tolerância a falhas propões esquemas para executar computações corretamente mesmo se há algum ruído. Existe uma conexão entre resistência a vazamento e tolerância a falhas. Neste trabalho, mostramos que vazamento em um circuito clássico é uma forma de ruído, quando o circuito é interpretado como um circuito quântico. Posteriormente, provamos que para um modelo de vazamento arbitrário, existe um modelo de ruído correspondente para o qual um circuito que é tolerante a falhas de acordo com um modelo de ruído também é resistente a vazamento de acordo com o modelo de vazamento dado. Também mostramos como utilizar construções para tolerância a falhas para implementar circuitos clássicos que são seguros em modelos de vazamento específicos. Isto é feito estabelecendo critérios para os quais circuitos quânticos podem ser convertidos em circuitos clássicos de certa forma que a propriedade de resistência a vazamentos é preservada. Usando estes critérios, convertemos uma implementação de computação quântica tolerante a falhas em um compilador resistente a vazamentos clássicos, isto é, um esquema que compila um circuito arbitrário em um circuito de mesma funcionalidade que é resistente a vazamentos. ______________________________________________________________________________________________ ABSTRACT / Physical implementations of cryptographic algorithms leak information, which makes them vulnerable to so-called side-channel attacks. Cryptography is now used in an ever-increasing variety of scenarios, and the assumption that the execution of cryptosystems is physically insulated is often not realistic. The field of leakage resilience proposes to mitigate side-channel attacks by designing protocols that are secure even if information leaks during execution. In this work, we study leakage-resilient computation, which concerns the problem of performing secure universal computation in the presence of leakage. Fault-tolerant quantum computation is concerned with the problem of noise in quantum computers. Since it is very hard to insulate quantum systems from noise, fault tolerance proposes schemes for performing computations correctly even if some noise is present. It turns out that there exists a connection between leakage resilience and fault tolerance. In this work, we show that leakage in a classical circuit is a form of noise, when the circuit is interpreted as quantum. We then prove that for an arbitrary leakage model, there exists a corresponding noise model in which a circuit that is fault-tolerant against the noise model is also resilient against the given leakage model. We also show how to use constructions for fault tolerance to implement classical circuits that are secure in specific leakage models. This is done by establishing criteria in which quantum circuits can be converted into classical circuits in such a way that the leakage resilience property is preserved. Using these criteria, we convert an implementation of universal fault-tolerant quantum computation into a classical leakageresilient compiler, i.e., a scheme that compiles an arbitrary circuit into a circuit of the same functionality that is leakage-resilient.
|
25 |
Estudo sobre hardware trojans e suas ameaças à Administração Pública FederalBruzzeguez, Gustavo Andrade 16 December 2017 (has links)
Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciência da Computação, 2017. / Submitted by Raquel Viana (raquelviana@bce.unb.br) on 2018-07-23T16:36:11Z
No. of bitstreams: 1
2017_GustavoAndradeBruzzeguez.pdf: 2394160 bytes, checksum: c28f3f1d732b548a557f1a9cc46f87d8 (MD5) / Approved for entry into archive by Raquel Viana (raquelviana@bce.unb.br) on 2018-07-24T19:35:27Z (GMT) No. of bitstreams: 1
2017_GustavoAndradeBruzzeguez.pdf: 2394160 bytes, checksum: c28f3f1d732b548a557f1a9cc46f87d8 (MD5) / Made available in DSpace on 2018-07-24T19:35:27Z (GMT). No. of bitstreams: 1
2017_GustavoAndradeBruzzeguez.pdf: 2394160 bytes, checksum: c28f3f1d732b548a557f1a9cc46f87d8 (MD5)
Previous issue date: 2018-07-23 / Nos últimos anos, pesquisadores vêm demonstrando a possibilidade de implementação de códigos maliciosos em circuitos integrados durante a fabricação destes dispositivos. A ameaça, que ficou conhecida como hardware trojan, vem atraindo a atenção dos governos e da indústria, dado que potencialmente envolve questões de espionagem e guerra cibernética. Diversos estudos vem sendo desenvolvidos na comunidade acadêmica mundial, em particular nos últimos 5 anos, conforme se constatou no levantamento bibliográfico com uso do enfoque meta-analítico. Não obstante, no Brasil, pouco se tem falado sobre o tema. Recentemente, o Gabinete de Segurança Institucional da Presidência da República publicou a Estratégia de Segurança da Informação e Comunicações e de Segurança Cibernética da Administração Pública Federal 2015-2018, o que demonstra a vontade do Estado brasileiro em equacionar os problemas afetos à área cibernética, por meio do planejamento e da coordenação de esforços dos órgãos públicos, em parceria com a sociedade. Trabalhando a partir dos Objetivos Estratégicos declarados nessa Estratégia, e utilizando-se de conceitos do Balanced Scorecard e da metodologia 5W2H, o trabalho propôs desdobramentos, no nível tático, de tais Objetivos, de forma que a Estratégia possa também abordar as questões associadas à ameaça do hardware Trojan. Não obstante os avanços notados na área cibernética, observa-se que o país encontra-se vulnerável à ameaça do hardware Trojan, seja pela incapacidade de detecção da ameaça, seja pela ausência de ações governamentais focando especificamente o problema. / In recent years, researchers have been demonstrating the possibility of malicious code being introduced into integrated circuits during the fabrication of these devices. The threat, which has become known as hardware Trojan, has attracted the attention of governments and industry as it potentially involves espionage and cyber warfare issues. Several studies have been developed in the world academic community, in particular in the last 5 years, as was verified in the bibliographical survey using the meta-analytic approach. Nevertheless, in Brazil, little has been said about the subject. Recently, the Office of Institutional Security of the brazilian Presidency of the Republic has published the Strategy for Information Security and Cybersecurity of the Federal Public Administration 2015-2018, which demonstrates the Brazilian State’s willingness to address the problems to the cybernetic area, through the planning and coordination of efforts of public agencies, in partnership with society. Working from the Strategic Objectives stated in this Strategy, and using concepts from the Balanced Scorecard and the 5W2H methodology, the work proposed a tactical level development of these Objectives, so that the Strategy could also address issues associated with the hardware Trojan threat. Despite the notable advances in the area of cybernetics, it’s noted that the country is vulnerable to the threat of hardware Trojan, either by the inability to detect the threat or by the absence of government actions specifically focusing on the problem.
|
26 |
Preocupação com a privacidade na internet: uma pesquisa exploratória no cenário brasileiroSilva, Vergilio Ricardo Britto da January 2015 (has links)
Made available in DSpace on 2015-05-22T12:36:13Z (GMT). No. of bitstreams: 1
000468737-Texto+Completo-0.pdf: 2789479 bytes, checksum: 90f67a0129a7e15d97e465666335f2a9 (MD5)
Previous issue date: 2015 / The Internet Privacy Concern - IPC is a study area that is receiving more attention nowadays due to the extensive amount of personal information being transferred through the Internet. The constant scandals of privacy invasion and espionage involving heads of state have brought more evidence for this discussion. This research addresses the topic Information Security, focusing on Internet Privacy Concern. The growth of Information and Communication Technologies usage has generated challenges for fundamental rights, namely: the right to privacy, freedom of expression and freedom of association. The large amount of personal information that is daily published on the Internet endanger those rights. Ensuring privacy on the Internet does not depend on exclusively protection technologies, but mainly of user awareness about the importance of understanding the risks they are exposing themselves and knowing the consequences of these risks. The aim of this research was to identify the degree of concern about the privacy among Internet users in Brazil, related to Data Collection, Secondary Use, Errors, Improper access, Control over The Information, Awareness, Trust and Risk, and to identify which piece of information users notice as more sensitive in relation to privacy. This research is based on theoretical studies on Privacy on the Internet, Privacy Concern and User Behavior, showing the evolution of Concern construct wi th the Privacy and indicate how users deal with their privacy. The data collection instrument employed in this study originated in the study of Smith et al. (1996), and has been improved by several studies up to the final version of Hong and Thong (2013). A descriptive exploratory survey was conducted aiming to identify opinions that are being manifested in the target population of this study, which are Internet users in Brazil that according to the IBGE survey (2013), totaled 77,7 million users. Data were collected in the five regions of the country, summing up 1,104 completed questionnaires. The results indicate a high degree of concern for the privacy of Internet users in Brazil, mainly in the South and South-East regions, which showed the highest concernment indexes. Among the information identified as sensitive are, in order of greatest concern, passwords, credit card number, checking account number and agency, bank balance, spending on credit card and overdraft limit. Among the less sensitive informa tion is sexual orientation, addictions, school where they have studied, date of birth and school grades. / A preocupação com a privacidade na Internet (Internet Privacy Concern - IPC) é uma área de estudo que está recebendo maior atenção recentemente devido à enorme quantidade de informações pessoais que trafegam na Internet. Os constantes escândalos de invasão de privacidade e espionagem envolvendo Chefes de Estado trouxeram maior evidência para o assunto. Esta pesquisa aborda o tema Segurança da Informação, com foco na Preocupação com a Privacidade na Internet. O crescimento do uso de Tecnologias da Informação e Comunicação tem gerado desafios para os direitos fundamentais dos cidadãos, quais sejam: o direito à privacidade, à liberdade de expressão e a liberdade de associação. O grande volume de informações pessoais que são publicadas na Internet diariamente colocam em risco tais direitos. Garantir a privacidade na Internet não depende exclusivamente de tecnologias de proteção, mas principalmente da conscientização dos usuários quanto à importância de entender os riscos a que estão se expondo e conhecer as consequências destes riscos. O objetivo desta pesquisa foi identificar o grau de preocupação com a privacidade dos usuários de Internet do Brasil, relacionado com a Coleta de Dados, Uso Secundário, Erros, Acesso Indevido, Controle sobre as Informações, Consciência, Confiança e Risco, bem como identificar quais as informações os usuários percebem como mais sensíveis quanto à privacidade.A presente pesquisa está embasada teoricamente em estudos sobre Privacidade na Internet, Preocupação com a Privacidade e Comportamento do Usuário, que mostram o a evolução do construto Preocupação com a Privacidade, bem como indicam como os usuários lidam com sua privacidade. O instrumento de coleta de dados utilizado nesta pesquisa teve origem no estudo de Smith et al. (1996), sendo aprimorando por diversos estudos, até a versão final de Hong e Thong (2013). Foi realizada uma pesquisa de natureza exploratória descritiva com o objetivo de identificar opiniões que estão manifestas na população objeto deste estudo, que são os usuários de Internet no Brasil que, segundo pesquisa do IBGE (2013), totalizavam 77,7 milhões de usuários. Foram coletados dados nas cinco regiões do país, totalizando 1. 104 questionários completos. Os resultados indicam um alto grau de preocupação com a privacidade dos usuários de Internet do Brasil, principalmente nas regiões Sul e Sudeste, que apresentaram os maiores índices de preocupação. Entre as informações apontadas como mais sensíveis estão, em ordem de maior preocupação, senhas, número de cartão de crédito, número de conta corrente e agência, saldo bancário, gastos com cartão de crédito e limite de cheque especial. Entre as informações menos sensíveis estão orientação sexual, vícios, escola onde estudou ou estuda, data de nascimento e notas escolares.
|
27 |
A memória humana no uso de senhasSilva, Denise Ranghetti Pilar da January 2007 (has links)
Made available in DSpace on 2013-08-07T19:09:32Z (GMT). No. of bitstreams: 1
000397319-Texto+Completo-0.pdf: 566307 bytes, checksum: 0835442fcfc95cad0688f096a46263c6 (MD5)
Previous issue date: 2007 / How many passwords and PINs do you have to remember just to manage your affairs on the Internet? In fact, many deficiencies of password authentication systems arise in consequence of regular working conditions of human memory. If one needed not to remember passwords, they could be very secure indeed. Traditionally, Information Security approaches to the password problems seem to have focused on the technological aspects. Besides, the user has been considered the weakest link in the security chain, indicating that the human factors end up jeopardizing the security that the technology is supposed to enhance. Hence, it is necessary to better understand the human factors involved in authentication, so that these factors can be accommodated into both new and existing systems. Therefore, this dissertation reports two empirical studies. The first study describes a survey conducted in order to identify the main factors that hinder password recall. For this study, 263 male and female participants were interviewed. Participants’ ages ranged between 18 and 93, and education level ranged from grade school to graduate degree. The results indicated that, regardless of age or educational level, the number of password uses (in average 5. 38 passwords per user) is the factor that influences memory performance the most. Thus, better-educated users, for owning more passwords, were more prone to password forgetting and mix-ups. Contrary to the expectations, the effect of cognitive decline (due to the aging process) on password memory was not observed. In sum, the necessity of memorizing strong passwords, by ignoring the natural working conditions of human memory, generates revenge effects: habits that jeopardize the very reason for using passwords. In the second study, we intended to explore ideas based on Cognitive Psychology aiming at enhancing memory performance in password usage.By means of two experiments, the study investigated the effect of elaborative rehearsal and of cue support as an aid to password recall, with the goal of encouraging the generation of strong and memorable passwords. Experiment 1 evaluated the effect of elaborative rehearsal and of cue support on password composition, length, and security potential, as compared to a control group. Password recall was tested in two occasions, 5 minutes after password generation and after a week interval. The results from Experiment 1 indicate that people tend to observe only the requirements that are somehow enforced, in spite of the instructions. With Experiment 2, we sought to evaluate the memory performance after a longer delay, that is, five weeks after password generation. Group effects (experimental vs. control) on password recall were not observed. However, a possible confound was identified, the spacing effect, caused by the 5 minute login which, according to memory studies, favors the encoding process. In both experiments, recall levels were higher than expected. In addition, the errors from the unsuccessful login attempts were carefully analyzed and categorized. The observed error types suggest that, oftentimes, the users do remember the gist of the password, but forget the details of the format in which the password was coded. This work concludes with considerations about the main findings described in the two studies, as well as their potential implications. Moreover, in an attempt to bridge the gap between the world of technology and the world of its human users, whose interaction has often been overlooked, we point out suggestions for future investigations and limitations of the reported studies. / Quantas senhas você precisa lembrar apenas para gerenciar suas informações na Internet? Isso sem falar nas contas bancárias, ou naquelas referentes à vida profissional. De fato, muitas das deficiências dos sistemas de autenticação por senhas se originam das condições de funcionamento da memória humana. Se não fosse necessário lembrar de senhas, elas poderiam, com certeza, ser muito seguras. A abordagem da Segurança da Informação ao enfrentar os problemas relacionados ao uso de senhas parece se concentrar nos aspectos tecnológicos. Da mesma forma, o usuário tem sido considerado o elo mais fraco na cadeia de segurança, indicando que os fatores humanos acabam comprometendo a segurança que a tecnologia pretende aumentar. Por isso, verificou-se a necessidade de melhor compreender os fatores humanos e buscar alternativas de incluí-los em sistemas de autenticação por senhas. Dessa forma, a presente tese relata dois estudos empíricos. O primeiro estudo descreve um levantamento realizado com o objetivo de identificar os principais fatores que comprometem a recordação de senhas. Neste estudo foram entrevistados 263 participantes de ambos os sexos, com idades entre 18 e 93 anos, e com escolaridade variando de baixa a superior. Os dados indicaram que, independente da idade e da escolaridade, o número de usos de senhas (em média 5,38 senhas por usuário) é o fator que mais influencia o desempenho da memória para senhas. Assim, usuários com escolaridade mais alta, por possuírem várias senhas, mostraram uma maior tendência ao à confusão no uso de senhas. Ao contrário das expectativas, não foi observado efeito do declínio cognitivo (devido ao envelhecimento) na memória para senhas. Em suma, a necessidade de memorizar senhas seguras, por ignorar as condições naturais de funcionamento da memória humana, gera efeitos de vingança: hábitos que comprometem a própria razão pela qual as senhas são usadas.Com o segundo estudo buscou-se explorar idéias baseadas na Psicologia Cognitiva visando a melhorar o desempenho da memória no uso de senhas. Através de dois experimentos investigou-se o efeito da repetição elaborativa e do uso de pista como auxílio à recordação de senhas, visando a promover a geração de senhas fortes e recordáveis. O Experimento 1 avaliou o efeito da repetição elaborativa e do auxílio de pista na composição, tamanho e potencial de segurança das senhas geradas, comparadas com um grupo controle. A recordação das senhas foi testada em dois momentos, após 5 minutos e uma semana depois. Os resultados do experimento 1 indicaram que as pessoas tendem a observar somente os requisitos obrigatórios, apesar da instrução. O Experimento 2, buscou avaliar o desempenho da memória após um intervalo maior de tempo decorrido, ou seja, cinco semanas depois da geração da senha. Não foi observado efeito de grupo (experimentais vs. controle) na recordação da senha. Entretanto, foi identificada uma possível variável confundidora, o efeito de espaçamento causado pelo login depois de um intervalo de 5 minutos, o que de acordo com os estudos de memória favorece a codificação. Em ambos os experimentos os níveis de recordação foram altos. Ainda, os erros cometidos em tentativas de login mal-sucedidas foram criteriosamente examinados e categorizados. Os tipos de erros observados sugerem que muitas vezes os usuários lembram da essência da senha, mas esquecem de detalhes do formato no qual a senha foi criada. A presente tese conclui considerando alguns dos principais achados relatados nos estudos e suas possíveis implicações. Além disso, visando reduzir a distância entre o mundo da tecnologia e de seus usuários humanos, cuja interação tem sido freqüentemente negligenciada, são apontadas sugestões para futuras investigações, bem como limitações dos trabalhos realizados.
|
28 |
Instrumento de avaliação de maturidade em processos de segurança da informação: estudo de caso em instituições hospitalaresJanssen, Luis Antonio January 2008 (has links)
Made available in DSpace on 2013-08-07T18:41:09Z (GMT). No. of bitstreams: 1
000400421-Texto+Completo-0.pdf: 1065079 bytes, checksum: dd8801bee42184ef426924e797a5dd6b (MD5)
Previous issue date: 2008 / Changes in the international business market has taken organizations to be worried about the value and responsibilities regarding the use of information, which has been recognized as an asset of increasing importance. Information is currently available at all sectors and organizational levels, taking an important role for the decision making process for operational and strategic business activities. This scenario also occurs at hospitals, where it can be related to the human life and all the social and ethical aspects that this could involve. This work has the objective of proposing an instrument for the maturity evaluation of Information Security processes for hospitals. The instrument development was carried out based on a literature review on issues as Information Security, including existing models and processes evaluation methods, with special attention in the context of hospitals and health care institutions. For the instrument analysis were applied pre-tests with information security specialists. It has been followed by an exploratory research of qualitative nature with case studies interviewing professionals of 3 hospitals. The interviews were carried out based on a semi-structured questionnaire and the content analysis of the results have considered the instrument applicability, logical structure, questions clarity and adherence to its objectives. Conclusion taken from this work lead to the approval of the instrument regarding its application for evaluating the maturity of information security processes of hospitals and the current gap considering the best practices present in the literature reviewed. / As mudanças no cenário internacional têm levado as organizações a preocuparem-se com o valor e responsabilidades em relação ao uso das informações, as quais têm reconhecido seu papel como um ativo de importância crescente. As informações estão cada vez mais disponíveis a todos os segmentos de negócios, com um papel importante no suporte à tomada de decisões em níveis operacionais e estratégicos. Este cenário também ocorre em instituições hospitalares, onde pode estar relacionada com a vida humana e todos os aspectos sociais e éticos que isto pode envolver. Este trabalho tem por objetivo propor um instrumento de avaliação da maturidade dos processos de Segurança da Informação para instituições hospitalares. Para a elaboração do instrumento foi realizada uma revisão da literatura procurando relacionar assuntos relativos a Segurança da Informação, incluindo modelos existentes e formas de avaliação de processos no contexto de instituições hospitalares. Para análise do instrumento proposto foram aplicados pré-testes com especialistas em segurança da informação. A seguir foi elaborado um estudo exploratório de natureza qualitativa com estudos de caso aplicados a profissionais de 3 instituições hospitalares. Este estudo foi elaborado com questionário semi-estruturado para posterior análise do conteúdo das entrevistas com as opiniões sobre a aplicabilidade do instrumento, estrutura lógica, clareza das questões e aderência aos objetivos propostos. Ao final, foram feitas as análises e inferências dos resultados obtidos com as percepções dos entrevistados. Como conclusão do trabalho cabe destacar a aprovação do instrumento em relação a sua utilidade para avaliar a maturidade de processos de segurança da informação em instituições hospitalares e a atual carência em relação as melhores práticas preconizadas pela literatura.
|
29 |
Cifração e autenticação utilizando funções fisicamente não clonáveis (PUFs)Resende, Amanda Cristina Davi 28 November 2014 (has links)
Dissertação (mestrado)—Universidade de Brasília, Instituto de Ciências Exatas, Departamento de Ciências da Computação, 2014. / Submitted by Ana Cristina Barbosa da Silva (annabds@hotmail.com) on 2015-02-19T17:57:43Z
No. of bitstreams: 1
2014_AmandaCristinaDaviResende.pdf: 2370592 bytes, checksum: 9b837a03869b7e0569f36a00ec4108fb (MD5) / Approved for entry into archive by Raquel Viana(raquelviana@bce.unb.br) on 2015-02-27T21:09:17Z (GMT) No. of bitstreams: 1
2014_AmandaCristinaDaviResende.pdf: 2370592 bytes, checksum: 9b837a03869b7e0569f36a00ec4108fb (MD5) / Made available in DSpace on 2015-02-27T21:09:17Z (GMT). No. of bitstreams: 1
2014_AmandaCristinaDaviResende.pdf: 2370592 bytes, checksum: 9b837a03869b7e0569f36a00ec4108fb (MD5) / Este trabalho apresenta aplicações baseadas em uma recente primitiva intitulada Funções Fisicamente não Clonáveis (PUFs), e como elas podem ser utilizadas para estabelecer serviços de segurança. No trabalho, PUFs são empregadas para construir uma cifra de blocos e um autenticador, onde a primeira é construída a partir de uma cifra Luby-Rackoff com 4 rodadas envolvendo PUFs e funções de hash universal. A cifra aprimora o estado da arte de cifração baseada em PUFs tanto em segurança quanto no tamanho do criptograma resultante. Já no segundo, é construído um Código de Autenticação de Mensagem (MAC) pela combinação de um MAC clássico de tamanho fixo com uma função de hash universal. Em ambos os casos, análises de segurança são fornecidas considerando noções padronizadas na literatura. Como as PUFs codificam chaves criptográficas implícitas, as técnicas apresentadas podem ser empregadas em esquemas de cifração autenticada de discos rígidos ou dispositivos móveis, com incremento de segurança por resistência ao vazamento de bits da chave. Além da proposta de construção de uma cifra e um autenticador, é proposto um protocolo de autenticação para aplicações bancárias combinando PUFs com protocolos para acordo autenticado de chave baseado em senha (PAKE). O protocolo resultante fornece autenticação mútua entre cliente e servidor e estabelecimento de uma chave de sessão entre as partes autenticadas, importantes características que não foram encontradas simultaneamente na literatura de autenticação baseada em PUFs. A combinação aprimora o estado da arte, garantindo que a chave de sessão estará disponível apenas para detentores legítimos da PUF, reduzindo a possibilidade de vazamento de segredos armazenados explicitamente. O protocolo suporta autenticação multi-fator e fornece proteção contra ataque de dicionário offline sobre a senha de autenticação. Além disso, ele satisfaz noções usuais de segurança quando a saída da PUF é imprevisível, e permite o cliente notificar o servidor em caso de emergência. ____________________________________________________________________________________ ABSTRACT / This work presents applications based on a recent primitive called Physically Unclonable Functions (PUFs), and how they can be used to establish security properties. In this work, PUFs are employed to construct a block cipher and authenticator, where the first is constructed from a Luby-Rackoff cipher with 4 rounds involving PUFs and universal hash functions. The cipher improves the state of the art of PUF-based encryption in two aspects: security and size of the resulting ciphertext. The second, a Message Authentication Code (MAC) is built by the combination of a classic fixed-size MAC with a universal hash function. In both cases, security analysis are provided considering standard notions in the literature. Since the PUFs implicitly encode cryptographic keys, the techniques presented can be used in authenticated encryption schemes of hard drives or mobile devices, increasing resistance against leakage of key bits. Besides the proposed construction of a cipher and an authenticator, we propose an authentication protocol for banking applications combining PUFs with protocols for Password-based Authenticated Key Exchange (PAKE). The resulting protocol provides mutual authentication between client and server and establishes a session key between the authenticated parties, important features that were not found simultaneously in the literature of PUF-based authentication. This combination improves the state of the art, ensuring that the session key is only available to legitimate holders of the PUF, reducing the possibility of leaking secrets stored explicitly. The protocol supports multiple authentication factors and provides protection against offine dictionary attacks on the password authentication. Moreover, it satisfies the usual security notions when the PUF output is unpredictable, and allows the client to notify the server in case of emergency.
|
30 |
Análise do comportamento informacional na gestão da segurança cibernética da Administração Pública FederalVianna, Eduardo Wallier 22 January 2015 (has links)
Dissertação (mestrado)—Universidade de Brasília, Faculdade de Ciência da Informação, Programa de Pós-Graduação em Ciência da Informação, 2015. / Submitted by Albânia Cézar de Melo (albania@bce.unb.br) on 2015-03-27T13:16:50Z
No. of bitstreams: 1
2015_EduardoWallierVianna.pdf: 14412656 bytes, checksum: 81b347e43b19d06c8b7de702efac2c7f (MD5) / Approved for entry into archive by Patrícia Nunes da Silva(patricia@bce.unb.br) on 2015-03-27T17:03:05Z (GMT) No. of bitstreams: 1
2015_EduardoWallierVianna.pdf: 14412656 bytes, checksum: 81b347e43b19d06c8b7de702efac2c7f (MD5) / Made available in DSpace on 2015-03-27T17:03:06Z (GMT). No. of bitstreams: 1
2015_EduardoWallierVianna.pdf: 14412656 bytes, checksum: 81b347e43b19d06c8b7de702efac2c7f (MD5) / Este estudo analisa as necessidades informacionais dos profissionais que atuam na gestão da segurança do espaço cibernético, no âmbito da Administração Pública Federal (APF). A pesquisa
considera que a Ciência da Informação (CI) envolve o estudo da informação, sua interação com as Tecnologias de Informação e Comunicações (TIC) e o relacionamento referente à segurança da informação. Ressalta, inclusive, que a segurança cibernética ou do espaço cibernético
encontra-se inserida no contexto mais amplo e multifacetado da segurança da informação. A pesquisa identifica as fontes, os canais e os usos da informação, buscando mapear o comportamento informacional de um grupo representante de agentes públicos, quando envolvidos
na segurança cibernética na APF. Possui, como contexto de análise, os concludentes e alunos do Curso de Especialização em Gestão da Segurança da Informação e Comunicações (CEGSIC), realizado pela Universidade de Brasília, por demanda do Gabinete de Segurança Institucional da Presidência da República (GSIPR). A análise é realizada de forma mista sequencial em duas fases. Na primeira, ocorre a realização de um levantamento amplo para generalizar os resultados por meio da aplicação de um questionário. Na segunda fase, após a análise dos dados quantitativos levantados (fontes e canais de informação mais relevantes, acessíveis e confiáveis; e usos da informação mais frequentes e pertinentes), são realizadas
entrevistas, a fim de se obter uma visão detalhada das peculiaridades do comportamento informacional. Foi identificado que as necessidades de informação estão relacionadas primariamente com a perspectiva de atuação em nível estratégico (coordenação, planejamento e gestão de alto nível). Os resultados indicaram um equilíbrio na relevância entre a utilização de
fontes internas e externas à organização, independentemente de serem pessoais ou não. Além disso, o uso da informação aponta atividades centradas na aprendizagem individual para o
aprimoramento da segurança organizacional. Mais à frente, espera-se que os resultados obtidos com a presente pesquisa contribuam para a melhoria dos níveis de segurança cibernética nas organizações. / This study analyze the informational necessities of the professionals witch act on the management of the security of the cyber space, on the framework of Federal Public Administration (FPA). The research finds that the Science Information (CI) involves the study of information,
its interaction with the Information and Communications Technologies (ICT) and the
relationship related to information security. Points out, that even cyber security or cyber space is inserted in the broadest and multifaceted context of security information. The research identifies the sources, channels and the uses of information, seeking to map the information behavior of a representative group of officials, when involved in cyber security in the FPA. It has, as context analysis, the graduated and students of the Course of Specialization in Management
of Security Information and Communications (CEGSIC), conducted by the University
of Brasilia, on demand of the Cabinet of Institutional Security of the Presidency of Republic (GSIPR). The analysis is performed in sequentially mixed form in two phases. In the first, occurs the execution of a broad survey to generalize the results through the application of a
questionnaire. In the second phase, after the analysis of the quantitative data collected (most relevant information channels and sources, affordable and reliable, and uses of the information
more frequent and relevant), interviews are conducted in order to obtain a detailed view of the peculiarities of informational behavioral. It was identified that the information
needs are related primarily to the perspective of action at the strategic level (coordination, planning and high level management). The results indicated equilibrium in the relevance between
the use of sources internal and external to the organization, regardless of being personal or not. In addition, the use of information points to activities focused on individual learning for the improvement of organizational security. Further ahead, it is expected that the results of
this research contribute to the improvement of cyber security levels in organizations.
|
Page generated in 0.0811 seconds