Aplicação de segurança eletrônica com java cards : o caso de um protocolo para registro online e sem anonimato em cartões criptograficamente inteligentes / Application of e-security with java cards : the case of an online and non anonymous register protocol for cryptographic smart card

Leocadio, Jose Maria

03 1900

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2009. / Submitted by Elna Araújo (elna@bce.unb.br) on 2010-05-13T20:58:32Z No. of bitstreams: 1 2009_JoseMariaLeocadio.pdf: 2894857 bytes, checksum: 7eadbb25a8ed4cbd922254a367f49018 (MD5) / Approved for entry into archive by Daniel Ribeiro(daniel@bce.unb.br) on 2010-05-17T18:19:12Z (GMT) No. of bitstreams: 1 2009_JoseMariaLeocadio.pdf: 2894857 bytes, checksum: 7eadbb25a8ed4cbd922254a367f49018 (MD5) / Made available in DSpace on 2010-05-17T18:19:12Z (GMT). No. of bitstreams: 1 2009_JoseMariaLeocadio.pdf: 2894857 bytes, checksum: 7eadbb25a8ed4cbd922254a367f49018 (MD5) Previous issue date: 2009-03 / Esta dissertação propõe e implementa um novo protocolo de registro para pagamento eletrônico online e sem anonimato o qual é uma variante do protocolo cSET. Diferentemente do cSET, este novo protocolo proposto não exige nenhum tipo de confiança na leitora de cartões inteligentes em uso, possibilitando uma maior abrangência de aplicações. _________________________________________________________________________________________ ABSTRACT / This dissertation describes a novel protocol for online electronic transaction based on smart cards and its implementation. This protocol is based on the cSET protocol but, differently from cSET, in this novel protocol no degree of trust is needed from the smart card reader, this increases the range of applicability.

Criptografia de dados (Computação)

Redes de computação - protocolos

Segurança de dados

Protocolos com segurança demonstrável baseados em primitivas criptográficas de chave pública

Dowsley, Rafael Baião

05 1900

Dissertação (mestrado)—Universidade de Brasília, Faculdade de Tecnologia, Departamento de Engenharia Elétrica, 2010. / Submitted by Jaqueline Ferreira de Souza (jaquefs.braz@gmail.com) on 2010-11-10T17:19:17Z No. of bitstreams: 1 2010_RafaelBaiaoDowsley.pdf: 442202 bytes, checksum: 16e2395b08bfac5a31e0bb39ecfbc30b (MD5) / Approved for entry into archive by Daniel Ribeiro(daniel@bce.unb.br) on 2010-11-30T00:59:46Z (GMT) No. of bitstreams: 1 2010_RafaelBaiaoDowsley.pdf: 442202 bytes, checksum: 16e2395b08bfac5a31e0bb39ecfbc30b (MD5) / Made available in DSpace on 2010-11-30T00:59:46Z (GMT). No. of bitstreams: 1 2010_RafaelBaiaoDowsley.pdf: 442202 bytes, checksum: 16e2395b08bfac5a31e0bb39ecfbc30b (MD5) / Nesse trabalho apresentamos um protocolo de Oblivious Transfer baseado nas hipóteses de McEliece. Também introduzimos um criptosistema de chave pública IND-CCA2 seguro (noção de segurança mais forte para criptosistemas de chave pública) baseado nas mesmas hipóteses. Devido ao fato de que fatorar números inteiros e calcular o logaritmo discreto são tarefas fáceis em computadores quânticos, vários outros protocolos de Oblivious Transfer e criptosistemas de chave pública se tornarão inseguros caso os computadores quânticos se tornem práticos. Os nossos protocolos são portanto alternativas no caso em que computadores quânticos se tornem práticos. Além disso também apresentamos uma versão modificada dos criptosistemas do tipo DDN que permite reduzir o tamanho do texto cifrado pela metade sem afetar os outros parâmetros. _________________________________________________________________________________ ABSTRACT / In this work we show that a protocol of Oblivious Transfer based on McEliece assumptions. We also introduce a public-key encryption scheme based on the same assumptions that is IND-CCA2 secure (the strongest notion of security for public-key encryption schemes). Due to the fact that factoring integers and calculating the discrete logarithm are easy tasks for quantum computers, several other protocols of Oblivious Transfer and public-key encryption schemes will become insecure if quantum computers become practical, so our protocols are therefore alternatives in this case. We also show a technique to reduce by half the ciphertexts’ size of DDN-like cryptosystems which does not affect the other parameters of the scheme.

Criptografia de dados (Computação)

Redes de computação - protocolos

Segurança de dados

Uma metodologia para controle de acesso granular em sistemas de banco de dados relacionais open source

Marques, Maurício Guedes

18 March 2013

Submitted by Luiz Felipe Barbosa (luiz.fbabreu2@ufpe.br) on 2015-03-12T12:14:00Z No. of bitstreams: 2 Dissertaçao Mauricio Marques.PDF: 2961450 bytes, checksum: bc9cb815072f9dbed521dc430b8694cf (MD5) license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) / Approved for entry into archive by Daniella Sodre (daniella.sodre@ufpe.br) on 2015-03-13T12:51:42Z (GMT) No. of bitstreams: 2 Dissertaçao Mauricio Marques.PDF: 2961450 bytes, checksum: bc9cb815072f9dbed521dc430b8694cf (MD5) license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) / Made available in DSpace on 2015-03-13T12:51:42Z (GMT). No. of bitstreams: 2 Dissertaçao Mauricio Marques.PDF: 2961450 bytes, checksum: bc9cb815072f9dbed521dc430b8694cf (MD5) license_rdf: 1232 bytes, checksum: 66e71c371cc565284e70f40736c94386 (MD5) Previous issue date: 2013-03-18 / O controle e manutenção do acesso granular aos dados, ou seja, no nível de linha e coluna, sobretudo em organizações que dispõem de diversos sistemas de banco de dados distintos, é um problema em aberto, em que há poucos estudos de como resolver o problema a partir de um método ou solução única para o controle, de forma corporativa, da segurança no acesso aos dados das diversas bases disponíveis. As soluções presentes atualmente no mercado estão disponíveis apenas para sistemas de gerenciamento de banco de dados (SGBD) cujo licenciamento muitas vezes impede a utilização deste recurso. Além disso, tais soluções são proprietárias e só funcionam em um único SGBD. Muitas aplicações utilizam o conceito de visões (views) para prover o controle de acesso granular. No entanto, apesar de flexível, não é uma solução prática porque as lógicas das visões podem se tornar bastante complexas para garantir o controle de acesso, dificultando o gerenciamento e manutenção das mesmas. Além disso, é uma solução com baixa escalabilidade quando existe um número grande de usuários e perfis de acesso. Desta forma, grande parte das aplicações implementa o controle de acesso dentro do código da aplicação. Isso proporciona uma série de desvantagens e de falhas de segurança associadas. Este trabalho traz uma proposta de metodologia para controle de acesso granular em sistemas de banco de dados relacionais open source. Esta solução combina sistemas gerenciadores de banco de dados relacionais open source com a intervenção dos comandos SQL através do driver de acesso ao banco de dados. O driver customizado lê e aplica, implicitamente, políticas de segurança previamente armazenadas em um banco de dados embarcado, alterando o comando SQL e, consequentemente, o resultado apresentado ao usuário final. Um protótipo foi desenvolvido como prova de conceito e os experimentos foram baseados no SGBD MySQL usando o driver JDBC. Os resultados obtidos foram analisados como positivos visto que não houve perda de desempenho significativa na interceptação e reescrita do Comando SQL nos experimentos realizados. Para tanto, este trabalho aborda os principais conceitos de segurança da informação, segurança de banco de dados, modelos de autorização e os principais mecanismos de controle de acesso utilizados em sistemas de banco de dados relacionais como o DAC, MAC e RBAC. Além disso, foram abordados o conceito de controle de acesso granular aos dados bem como os principais mecanismos utilizados no mercado. Após isto, são analisados alguns estudos que apresentam alternativas para o problema do controle de acesso granular aos dados. Por fim, são apresentadas as conclusões e sugestões de trabalhos futuros dentro da área de estudo.

Banco de dados

Segurança de dados

Políticas de Segurança

Controle de Acesso

Modelo de capacidades e maturidade para defesa cibernética

Sylvio Andre Diogo Silva

13 December 2011

Uma implantação eficaz de defesa cibernética requer o desenvolvimento de esforços coordenados nas seguintes capacidades-chave: detecção de ataques, mecanismos de defesa, monitoramento de situação, comando e controle, aprimoramento de estratégias e táticas e desenvolvimento seguro de sistemas. A dissertação apresenta um modelo de capacidades para defesa cibernética. A partir das seis capacidades-chave, foi identificado um modelo com capacidades essenciais para a defesa cibernética. O modelo de capacidades desenvolvido é utilizado como base para a construção de um modelo de maturidade para defesa cibernética. O modelo de maturidade é essencial para apoiar um planejamento estratégico de ações de defesa cibernética, pois permite a identificação do estado corrente de uma organização quanto à defesa cibernética e orientação para a definição de ações a serem tomadas para melhoria desse estado corrente. Nesta dissertação apresentamos a motivação e conceituação para um modelo de capacidades para defesa cibernética. A partir do modelo de capacidades é elaborado um modelo de maturidade.

Modelo de capacidade e maturidade

Segurança de dados

Mecanismos de defesa

Comando e controle

Cibernética

Defesa

Engenharia de software

Uma abordagem de segurança adequada às ações de inteligência no ciberespaço

Caetano Spuldaro Neto

15 September 2011

O pós-Guerra Fria, a globalização econômica e a popularização da Internet inseriram a prática de inteligência no rol de prioridades de governos e empresas. O ciberespaço tornou-se ao mesmo tempo facilitador e destino obrigatório na busca de inteligência. A postura clássica de inteligência perde eficácia no ciberespaço, e uma nova postura de segurança, adequada a este contexto, se faz necessária. Partindo da definição de componentes de segurança da informação dada por Marco Cepik (2003) buscar-se-á evidenciar que a postura que apresenta resultados tangíveis, deve ser pautada na aplicação do conceito de contrainteligência. Serão avaliados e classificados, sob esta categorização, os controles de segurança apresentados i) pelo padrão NIST (National Institute of Standards and Technology) SP-800-53 (rev3) e ii) pelo instituto SANS. Assim será possível concluir que os controles de segurança do tipo contrainteligência ainda são menosprezados no meio de segurança da informação. A análise do modus-operandi dos atancantes e a aplicação de uma prática de contrainteligência neste contexto, ilustrada através de um estudo de caso, permitirão concluir que controles deste tipo têm seu espaço na arquitetura de segurança da informação das organizações e podem trazer benefícios, principalmente quando os ativos da informação endereçados são equipamentos e a interferência humana é baixa. Para o caso de ataques que têm em sua concepção um forte direcionamento social, os controles de contrainteligência mostraram-se de aplicabilidade nula. Também será possível observar que estes controles não são a solução final para os problemas de segurança da informação. Estes devem ser parte da arquitetura de segurança da informação das organizações e devem estar integrados aos outros tipos de controles, onde, explorando-se o potencial de complementaridade, pode-se chegar a resultados interessantes. A última conclusão mostrará que diversas organizações não aplicam as tecnologias de segurança de forma adequada. Sem uma correta política de segurança da informação, sem a definição de processos e responsáveis, sem o adequado treinamento e capacitação de todos os funcionários da organização, o número registrado de incidentes de ciberespionagem continuará crescendo. Organizações neste nível precisam estabelecer as condições mínimas de segurança da informação antes de dedicar esforços para técnicas de contrainteligência. Neste sentido, uma abordagem inicial para uma ciberdoutrina será apresentada, complementada por uma política de governança de dados. Para as organizações que possuem uma infraestrutura de segurança avançada, os controles de segurança do tipo contrainteligência mostram-se adequados para utilização, trazendo benefícios diretos como: a redução do vazamento de informações relevantes; a oportunidade de rápida identificação das ações indesejadas, com potencial para identificação dos invasores; a redução de falsos-positivos; a redução do esforço de determinação de ataques pela menor geração de registros a serem processados; o aprendizado do modus-operandi dos atacantes; e a perda de interesse dos atacantes no alvo.

Segurança de dados

Controle de acesso

Redes de comunicação

Transmissão de dados

Computação

Estudo da interface entre as análises de MSG-3 e Safety Assessment a partir de um mesmo requisito de manutenção

Juan Machado Sanchez

14 November 2012

As companhias aéreas para se manterem competitivas no mercado necessitam de uma alta disponibilidade de suas aeronaves ligada a um baixo custo operacional. Para tanto, é essencial que se tenha um bom plano de manutenção de modo que se minimize o investimento em peças de reposição, bem como horas de trabalho de funcionários, tempo de interrupções e o downtime da aeronave. O plano de manutenção de uma aeronave esta contemplado no MRBR ("Maintenance Review Board Report"), que apresenta os requisitos manutenção criados por grupos e comitês, compostos por especialistas da área, para analisar e criar propostas de tarefas de manutenção programadas, através da análise MSG-3. Em paralelo ao processo MRB ("Maintenance Review Board") que faz uso da análise MSG-3, corre o processo de certificação, que através da análise de safety assessment verifica se a aeronave atende todos os requisitos de segurança, identificando as condições de falha da aeronave. No caso de alguma falha dormente, que em combinação com outros eventos leve a essa condição catastrófica ou hazardous, esta é levada a discussão em um comitê (CMCC -"Certification Maintenance Coordination Committee") para averiguar a necessidade de criação do CMR ou a utilização de uma tarefa definida no programa de manutenção para cobrir esta necessidade de inspeção. Este trabalho analisa e discute tarefas de manutenção que foram originadas seguindo, o processo de análise de segurança (Safety Analysis), e o processo de MRB, que faz uso da metodologia MSG-3. O objetivo é estudar sua origem e os passos que levaram à sua criação (para os dois processos), identificando similaridades e pontos de divergência no foco, caminho utilizado e profundidade da análise, visando servir de subsídio para futuras decisões do CMCC.

Manutenção de aeronaves

Análise de falhas

Avaliação de riscos

Redução de custos

Planejamento estratégico

Segurança de dados

Engenharia aeronáutica

Segurança para web services com criptografia heterogênea baseada em Proxy

Souza, Samuel Camargo de

January 2010

Made available in DSpace on 2013-08-07T18:42:30Z (GMT). No. of bitstreams: 1 000424471-Texto+Completo-0.pdf: 3818721 bytes, checksum: d6fbd6820f37d0e5f23b429ebe486f73 (MD5) Previous issue date: 2010 / Currently, many different services are available through the Internet and there is a growing demand for these applications. Considering that the Internet is not secure, the confidentiality of such information is a factor of increasing importance. To overcome this problem, many security techniques have emerged and each company has adopted the policies in a different way, but with a tendency to adopt the model of Service-Oriented Architectures. Sometimes different services with different security policies need to be grouped to work together, which makes it difficult to create an application that follows this pattern. A new approach is needed to facilitate the coexistence of these techniques in a productive manner. Based on these requirements, this paper presents a model aimed at the automatic processing of security features to services ordered in Service Oriented Architectures, this model serves as an intermediate system able to “translate” the safety techniques for a particular format. Based on this model, it is presented a prototype able to automatically handle different asymmetric encryption algorithms, including RSA, DSA and ECDSA. This study is to demonstrate the effectiveness of the model through a case study, presenting a situation that can be adopted by real applications. / Atualmente, diversos serviços são disponibilizados pela Internet e há uma crescente demanda por estas aplicações. Considerando que a Internet não é uma rede segura, a confidencialidade de informações que circulam na rede é um fator de importância cada vez maior. Visando solucionar este problema, várias técnicas de segurança surgiram e cada empresa as adotou em suas políticas de uma forma diferente. Porém com a tendência de adoção do modelo de Arquiteturas Orientadas a Serviços, diferentes serviços com diferentes políticas de segurança necessitaram ser agrupados para que pudessem trabalhar em conjunto, o que acabou dificultando a criação de uma aplicação que segue um determinado padrão. Uma nova abordagem se faz necessária para facilitar a coexistência destas técnicas de segurança de uma forma produtiva. Assim, este trabalho apresenta um modelo voltado ao tratamento automático de características de segurança para serviços ordenados em Arquiteturas Orientadas a Serviço. Este modelo atua como um sistema intermediário capaz de “traduzir” as técnicas de segurança para um formato determinado. Com base neste modelo é apresentado um protótipo capaz de tratar automaticamente diferentes algoritmos de criptografia assimétrica, entre eles RSA, DSA e ECDSA. O objetivo do trabalho é testar a efetividade do modelo por meio de um estudo de caso, apresentando uma situação que este pode ser adotado por aplicações reais.

INFORMÁTICA

SEGURANÇA DE REDES DE COMPUTADORES

SEGURANÇA DE DADOS

WEB SITES - MEDIDAS DE SEGURANÇA

SERVIDOR PROXY

Sistema de back Up

Thompson, Ronaldo Peixoto

12 1900

Submitted by Algacilda Conceição (algacilda@sibi.ufrj.br) on 2018-03-15T18:44:48Z No. of bitstreams: 1 132124.pdf: 3575506 bytes, checksum: 2b6e56d83915f6d71ae06b752a3c8e00 (MD5) / Made available in DSpace on 2018-03-15T18:44:48Z (GMT). No. of bitstreams: 1 132124.pdf: 3575506 bytes, checksum: 2b6e56d83915f6d71ae06b752a3c8e00 (MD5) Previous issue date: 1972-12 / Procura-se neste trabalho caracterizar um sistema de Back Up através de exemplos, definições e conceitos. Em seguida é proposto um sistema que será parcialmente implementado. Foi usado um minicomputador Mitra 15 com 8k palavras de 16 bits. Este sistema poderá ser usado em qualquer outro computador, desde que sejam feitas as adaptações necessárias. / The aim of this work is to characterize a Back Up system though examples, definitions and concepts. We propose a Back Up system that will be partially implemented. We use a minicomputer Mitra 15 wth 8k words of 16 bits. This system may be used in any other computer with the necessary adaptions.

Segurança de dados

Engenharia de software

O controle penal das movimentações financeiras: o dever de informar versus o direito à privacidade

Cappellari, Álisson dos Santos

January 2012

Made available in DSpace on 2013-08-07T18:44:05Z (GMT). No. of bitstreams: 1 000438483-Texto+Completo-0.pdf: 11122491 bytes, checksum: 7f1bb095c263ea9a1226bc73bbdcf247 (MD5) Previous issue date: 2012 / This dissertation, master’s degree in Criminal Science, concentration area Penal System and Criminal Violence, research line Legal and Criminal Contemporary Systems rules basically about the legal-criminal implications brought with the legal obligation attributed to financial actors in providing information to government and the question of balance between privacy and public interest in a context of complexity. This paper aims to try to define to what extent, compared to the current scenario of relations occurring within the financial and tax systems domestically and internationally, is reasonable, from the standpoint of criminal law, also assign to financial agents, criminal liability for non-delivery, or by providing misleading, information to state regulatory bodies, regardless of legal authorization, even where it is legitimate to affront the right to privacy against the public interest in the serach of the “real truth”. / Esta dissertação versa sobre as implicações jurídico-penais decorrentes da prestação de informações pelos agentes financeiros às autoridades públicas – fora dos casos em que se apresente autorização judicial – e a questão da ponderação entre privacidade e interesse pela informação em um contexto de complexidade. O presente trabalho visa tentar definir até que ponto, ante o cenário atual das relações ocorrentes no âmbito dos sistemas tributário e financeiro nacional e internacional, é razoável, do ponto de vista do Direito Penal, ainda atribuir aos agentes financeiros responsabilidade criminal pelo não fornecimento – ou pelo fornecimento equivocado – de informações a entes reguladores estatais, independentemente de autorização judicial, e até onde é legítima a afronta ao direito à privacidade ante o chamado interesse público na busca da ‘verdade real’.

DIREITO PENAL

SISTEMA FINANCEIRO NACIONAL

SIGILO BANCÁRIO

DIREITOS FUNDAMENTAIS

SEGURANÇA DE DADOS

ORDEM ECONÔMICA

O direito fundamental à proteção de dados pessoais: as transformações da privacidade na sociedade de vigilância e a decorrente necessidade de regulação

Rodriguez, Daniel Piñeiro

January 2010

Made available in DSpace on 2013-08-07T18:48:29Z (GMT). No. of bitstreams: 1 000427045-Texto+Parcial-0.pdf: 72382 bytes, checksum: 3399cd97663dd29d2af48b2aa2ba33b3 (MD5) Previous issue date: 2010 / O presente trabalho tem por objetivo analisar, em um primeiro momento, as transformações que a instauração de uma sociedade de vigilância acarretam às dimensões culturais e delimitações dogmáticas do direito à privacidade, o que, já na segunda metade do século XX, dá ensejo ao surgimento de um novo direito à proteção de dados pessoais. A partir de uma virada qualitativa, discute-se, em especial no contexto europeu, o seu desenvolvimento histórico e legislativo, tomando em conta, fundamentalmente, as recentes diretivas da União Européia, a jurisprudência internacional atinente ao tema e a decorrente abordagem constitucional que lhe é dada a partir da Carta Europeia de Direitos Fundamentais. A partir desta análise, passa-se à investigação dos principais modelos regulatórios possíveis e descritos pela literatura científica, no intuito de, ao final, identificar quais as lacunas mais relevantes que a instituição do Habeas Data, ao lado de outras disposições setoriais, ocasiona à tutela dos dados pessoais no cenário brasileiro.

DIREITO CONSTITUCIONAL

DIREITOS FUNDAMENTAIS

DIREITO À PRIVACIDADE

SEGURANÇA DE DADOS

HABEAS DATA

PROTEÇÃO (DIREITO)