Metodologia para detecção de incoerências entre regras em filtros de pacotes / Methodology for incoherencies identification among packet filters rules

Favero, Andre Luis

January 2007

Embora firewall seja um assunto bastante discutido na área de segurança da informação, existem lacunas em termos de verificação de firewalls. Verificações de firewalls têm o intuito de garantir a correta implementação dos mecanismos de filtragem e podem ser realizadas em diferentes níveis: sintaxe das regras; conformidade com a política; e relacionamento entre as regras. Os aspectos referentes a erros de sintaxe das regras são geralmente tratados pela ferramenta de filtragem em uso. O segundo nível, no entanto, depende da existência de uma política formal e documentada, algo não encontrado na maioria das organizações, e de uma metodologia eficaz que, através da entrada da política de segurança e do conjunto de regras de firewall implementado, possa comparálas e apontar as discrepâncias lógicas entre a especificação (política) e a implementação (regras). O último, verificação dos relacionamentos entre regras, não requer qualquer documentação, uma vez que somente o conjunto de regras do firewall é necessário para a identificação de incoerências entre elas.Baseado nessas considerações, este trabalho objetivou o estudo e a definição de uma metodologia para a análise de relacionamentos entre regras, apontando erros e possíveis falhas de configuração. Três metodologias já existentes foram estudadas, analisadas e utilizadas como base inicial para uma nova metodologia que atingisse os requisitos descritos neste trabalho. Para garantir a efetividade da nova metodologia, uma ferramenta protótipo foi implementada e aplicada a três estudos de caso. / Although firewalls are a well discussed issue in the information security field, there are gaps in terms of firewall verification. Firewall verification is aimed at enforce the correct filtering mecanisms implementation and can be executed in three distinct levels: rules syntax, policy compliance and rules relationship. The aspects related to rule syntax errors are usually addressed by the filtering tool in use. However, the second level depends on the existance of a formalized and documented policy, something not usual in most organizations, and on an efficient metodology that, receiving the security policy and the firewall rules set as inputs, could compare them and point logical discrepancies between the specification (policy) and the implementation (rules set). The last level, rules relationship verification, doesn't require any previous documentation, indeed only the firewall rule set is required to conduct a process of rules incoherencies identification. Based on those considerations, this work aimed at studying and defining a methodology for analysis of rules relationships, pointing errors and possible misconfigurations. Three already existent methodologies were studied, analyzed and used as a initial foundation to a new methodology that achieve the requirements described in this work. To assure the effectivity of the new methodology, a prototype tool were implemented and applied to three case studies.

Redes : Comunicacao : Dados

Seguranca : Redes : Computadores

Filtros : Pacotes

Firewall

Packet filters

Incoherence in rules

Information security

Estudo sobre a extração de políticas de firewall e uma proposta de metodologia / A Study about firewall policy extraction and a proposal for a methodology

Horowitz, Eduardo

January 2007

Com o aumento das ameaças na Internet, firewalls tornaram-se mecanismos de defesa cada vez mais utilizados. No entanto, sua configuração é notadamente complexa, podendo resultar em erros. Vários estudos foram realizados com o intuito de resolver tais problemas, mas a grande maioria deles se concentrou em trabalhar diretamente no nível de configuração, o que possui limitações. O presente trabalho investiga maneiras de extrair políticas em mais alto nível a partir de regras de firewall em baixo nível, o que é mais intuitivo. A fim de extrair as políticas reais a partir de regras de firewall, o problema do descorrelacionamento é estudado e algoritmos anteriormente propostos para resolvê-lo são apresentados e discutidos. É apresentado, também, um tipo de grafo para a melhor visualização e análise de correlacionamento entre regras. Além disso, é pesquisado o agrupamento de regras descorrelacionadas, que tem o objetivo de elevar o nível das mesmas. São apresentados dois algoritmos para realizar o agrupamento, sendo um deles novo. A seguir, é proposta uma nova metodologia de extração de políticas de firewall. A primeira parte desta consiste na utilização de um novo tipo de descorrelacionamento, o descorrelacionamento hierárquico. Este é acompanhado por uma nova maneira de agrupar regras descorrelacionadas hierarquicamente, o agrupamento hierárquico. A segunda parte é uma nova modelagem de regras de firewall que fazem parte de blacklist ou whitelist, separando-as das demais regras na extração de políticas. Algumas maneiras de realizar esta separação também são discutidas. Por fim, são relatadas as conclusões e possibilidades de trabalhos futuros. / As the number of threats in the Internet grows, firewalls have become a very important defense mechanism. However, configuring a firewall is not an easy task and is prone to errors. Several investigations have been made towards solving these issue. However, most of them have focused on working directly at the configuration level and have a number of limitations. This work investigates methods to extract higher level policies from low level firewall rules. Aiming at extracting real policies from firewall rules, we analyse the firewall decorrelation problem and previously proposed algoritmhs to solve it. In addition, a new type of graph is presented aiming at better visualising and analysing rules’ correlation. We also investigate the merging of decorrelated rules, with the goal of defining more abstract rules. Two algorithms are then presented and a new methodology for the extraction of firewall policies is proposed. This methodology is twofold. The first part consists of the use a new type of decorrelation: the hierachical decorrelation, which is introduced along with a new way of hierarchically merging decorrelated rules. The second part is a new model for blacklist or whitelist firewall rules, separating them from the other rules in the policy extraction. We also present alternatives for accomplishing this separation. Finally, we conclpude and point out directions for future work.

Seguranca : Computadores

Criptografia

Firewall

Network security

Firewalls

Firewall policies

Decorrelation

Policy extraction

Técnicas para o projeto de hardware criptográfico tolerante a falhas

Moratelli, Carlos Roberto

January 2007

Este trabalho tem como foco principal o estudo de um tipo específico de ataque a sistemas criptográficos. A implementação em hardware, de algoritmos criptográficos, apresenta uma série de vulnerabilidades, as quais, não foram previstas no projeto original de tais algoritmos. Os principais alvos destes tipos de ataque são dispositivos portáteis que implementam algoritmos criptográfico em hardware devido as limitações de seus processadores embarcados. Um exemplo deste tipo de dispositivo são os Smart Cards, os quais, são extensamente utilizados nos sistemas GSM de telefonia móvel e estão sendo adotados no ramo bancário. Tais dispositivos podem ser atacados de diferentes maneiras, por exemplo, analisando-se a energia consumida pelo dispositivo, o tempo gasto no processamento ou ainda explorando a suscetibilidade do hardware a ocorrência de falhas transientes. O objetivo de tais ataques é a extração de informações sigilosas armazenadas no cartão como, por exemplo, a chave criptográfica. Ataques por injeção maliciosa de falhas no hardware são comumente chamados de DFA (Differencial Fault Attack) ou simplesmente fault attack. O objetivo deste trabalho foi estudar como ataques por DFA ocorrem em diferentes algoritmos e propor soluções para impedir tais ataques. Os algoritmos criptográficos abordados foram o DES e o AES, por serem amplamente conhecidos e utilizados. São apresentadas diferentes soluções capazes de ajudar a impedir a execução de ataques por DFA. Tais soluções são baseadas em técnicas de tolerância a falhas, as quais, foram incorporadas à implementações em hardware dos algoritmos estudados. As soluções apresentadas são capazes de lidar com múltiplas falhas simultaneamente e, em muitos casos a ocorrência de falhas torna-se transparente ao usuário ou atacante. Isso confere um novo nível de segurança, na qual, o atacante é incapaz de ter certeza a respeito da eficácio de seu método de injeção de falhas. A validação foi realizada através de simulações de injeção de falhas simples e múltiplas. Os resultados mostram uma boa eficácia dos mecanismos propostos, desta forma, elevando o nível de segurança nos sistemas protegidos. Além disso, foram mantidos os compromissos com área e desempenho. / This work focuses on the study of a particular kind of attack against cryptographic systems. The hardware implementation of cryptographic algorithms present a number of vulnerabilities not taken into account in the original design of the algorithms. The main targets of such attacks are portable devices which include cryptographic hardware due to limitations in their embedded processors, like the Smart Cards, which are already largely used in GSM mobile phones and are beginning to spread in banking applications. These devices can be attacked in several ways, e.g., by analysing the power consummed by the device, the time it takes to perform an operation, or even by exploring the susceptibility of the hardware to the occurrence of transient faults. These attacks aim to extract sensitive information stored in the device, such as a cryptographic key. Attacks based on the malicious injection of hardware faults are commonly called Differential Fault Attacks (DFA), or simply fault attacks. The goal of the present work was to study how fault attacks are executed against different algorithms, and to propose solutions to avoid such attacks. The algorithms selected for this study were the DES and the AES, both well known and largely deployed. Different solutions to help avoid fault attacks are presented. The solutions are based on fault tolerance techniques, and were included in hardware implementations of the selected algorithms.The proposed solutions are capable to handle multiple simultaneous faults, and, in many cases, the faults are detected and corrected in a way that is transparent for the user and the attacker. This provides a new level of security, where the attacker is unable to verify the efficiency of the fault injection procedure. Validation was performed through single and multiple fault injection simulations. The results showed the efficiency of the proposed mechanisms, thus providing more security to the protected systems. A performance and area compromise was kept as well.

Eletrônica

Cartao inteligente

Seguranca : Sistemas

Criptografia

Smart cards

Hardware criptográfico

Fault attacks

Tolerância a falhas

Uma metodologia para computação com DNA / A DNA computing methodology

Isaia Filho, Eduardo

January 2004

A computação com DNA é um campo da Bioinformática que, através da manipulação de seqüências de DNA, busca a solução de problemas. Em 1994, o matemático Leonard Adleman, utilizando operações biológicas e manipulação de seqüências de DNA, solucionou uma instância de um problema intratável pela computação convencional, estabelecendo assim, o início da computação com DNA. Desde então, uma série de problemas combinatoriais vem sendo solucionada através deste modelo de programação. Este trabalho analisa a computação com DNA, com o objetivo de traçar algumas linhas básicas para quem deseja programar nesse ambiente. Para isso, são apresentadas algumas vantagens e desvantagens da computação com DNA e, também, alguns de seus métodos de programação encontrados na literatura. Dentre os métodos estudados, o método de filtragem parece ser o mais promissor e, por isso, uma metodologia de programação, através deste método, é estabelecida. Para ilustrar o método de Filtragem Seqüencial, são mostrados alguns exemplos de problemas solucionados a partir deste método. / DNA computing is a field of Bioinformatics that, through the manipulation of DNA sequences, looks for the solution of problems. In 1994 the mathematician Leonard Adleman, using biological operations and DNA sequences manipulation, solved an instance of a problem considered as intractable by the conventional computation, thus establishing the beginning of the DNA computing. Since then, a series of combinatorial problems were solved through this model of programming. This work studies the DNA computing, aiming to present some basic guide lines for those people interested in this field. Advantages and disadvantages of the DNA computing are contrasted and some methods of programming found in literature are presented. Amongst the studied methods, the filtering method appears to be the most promising and for this reason it was chosen to establish a programming methodology. To illustrate the sequential filtering method, some examples of problems solved by this method are shown.

Redes : Computadores

Seguranca : Redes : Computadores

Detecção : Intrusão

DNA computing

DNA programming methodologies

Filtering method

Service versioning and compatibility at feature level / Versionamento e compatibilidade de serviços em nível de feature

Yamashita, Marcelo Correa

January 2013

A evolução de serviços requer estratégicas para lidar adequadamente com a gerência de versões resultantes das alterações ocorridas durante o ciclo de vida do serviço. Normalmente, uma versão de serviço é exposta como um documento que descreve a funcionalidade do serviço, orientando desenvolvedores clientes sobre os detalhes de acesso ao serviço. No entanto, não existe um padrão para o tratamento de versões dos documentos que descrevem o serviço. Isso implica na dificuldade de identificação e localização de alterações, bem como na medição do seu impacto, especialmente em uma perspectiva mais granular. A compatibilidade aborda um estilo mais elegante de evolução de serviços, considerando os efeitos provenientes das alterações nas aplicações cliente. Ela define um conjunto de alterações permissivas, as quais não afetem a integração externa com o serviço. Entretanto, provedores não conseguem garantir que as alterações necessárias ao serviço estarão no conjunto de alterações compatíveis. Além disso, o conceito de compatibilidade é muitas vezes aplicado sobre a descrição do serviço como um todo, o que pode não ser representativo do uso real do serviço por uma aplicação cliente em particular. Assim, é de responsabilidade dos desenvolvedores clientes avaliar a extensão das alterações no serviço a fim de medir o impacto no seu cenário em particular. Esse processo pode ser difícil e propenso a erros sem o uso de mecanismos de identificação de mudanças. Este trabalho aborda a evolução do serviço de maneira mais granular, o que chamamos de nível de feature. Desse modo, nós propomos um modelo de controle de versões e um algoritmo de compatibilidade a nível de feature, que permite a identificação e qualificação do impacto das alterações, assim como a avaliação da compatibilidade das mudanças neste nível de feature. Este trabalho também apresenta um experimento com base em um serviço real, que explora o modelo de controle de versões para avaliar a extensão das mudanças implícitas e explícitas e sua avaliação de compatibilidade. / Service evolution requires sound strategies to appropriately manage versions resulting from changes during service lifecycle. Typically, a service version is exposed as a description document that describes the service functionality, guiding client developers on the details for accessing the service. However, there is no standard for handling the versioning of service descriptions, which implies on difficulties on identifying and tracing changes as well as measuring their impact, particularly in a finer grain perspective. Compatibility addresses the graceful evolution of services by considering the effects of changes on client applications. It defines a set of permissible change cases that do not disrupt the service external integration. However, providers cannot always guarantee that the necessary changes yield compatible service descriptions. Moreover, the concept of compatibility is often applied to the entire service description, which can not be representative of the actual use of the service by a particular client application. So, it is the client’s developers responsibility to assess the extent of the change and their impact in their particular usage scenario, which can be hard and error-prone without proper change identification mechanisms. This work addresses service evolution in a finer grain manner, which we refer to as feature level. Hence, we propose a versioning model and a compatibility algorithm at feature level, which allows the identification and qualification of changes impact points, their ripple effect, as well as the assessment of changes’ compatibility in this finer grain of features. This work also reports an experiment based on a real service, which explores the versioning model to assess the scope of implicit and explicit changes and their compatibility assessment.

Seguranca : Redes : Computadores

Redes : Computadores

Maquina virtual

Sistemas embarcados

Service versioning

Service compatibility

Service evolution management

Characterizing dissemination of illegal copies of content through BitTorrent networks

Schmidt, Adler Hoff

January 2013

Redes BitTorrent (BT) atualmente representam o método Par-a-Par (P2P) de compartilhamento de arquivos pela Internet mais utilizado. Relatórios de monitoramento recentes revelam que as cópias de conteúdo sendo compartilhadas são, em grande maioria, ilegais e que filmes são os tipos de mídia mais populares. Iniciativas de pesquisa que tentaram entender a dinâmica da produção e do compartilhamento de conteúdo em redes BT não conseguiram prover informações precisas acerca da disseminação de cópias ilegais. No presente trabalho realizamos um extenso estudo experimental para caracterizar o comportamento de produtores, publicadores, provedores e consumidores de arquivos violando direitos autorais. O estudo conduzido é baseado em dados coletados durante sete meses de monitoração de enxames compartilhando filmes por meio de uma das comunidades públicas mais populares de BT. Os dados foram obtidos via emprego de uma arquitetura de monitoração do \universo" BitTorrent, o que permitiu popular uma base com informações acerca de mais de 55.000 torrents, 1.000 rastreadores e 1,9 milhões de IPs. Nossa análise não somente mostra que um pequeno grupo de usuários ativos _e responsável pela maior parte do compartilhamento de cópias ilegais, como desvenda relacionamentos existentes entre esses atores e caracteriza os padrões de consumo respeitados pelos usuários interessados nesse tipo de conteúdo. / BitTorrent (BT) networks are nowadays the most employed method of Peerto- Peer (P2P) le sharing in the Internet. Recent monitoring reports reveal that content copies being shared are mostly illegal and movies are the most popular media type. Research e orts carried out to understand the dynamics of content production and sharing in BT networks have been unable to provide precise information regarding the dissemination of illegal copies. In this work we perform an extensive experimental study in order to characterize the behavior of producers, publishers, providers and consumers of copyright-infringing les. This study is based on seven months of traces obtained by monitoring swarms sharing movies via one of the most popular BT public communities. Traces were obtained with an extension of a BitTorrent \universe" observation architecture, which allowed the collection of a database with information about more than 55,000 torrents, 1,000 trackers and 1.9 million IPs. Our analysis not only shows that a small group of active users is responsible for the majority of disseminated illegal copies, as it unravels existing relationships among these actors and characterizes consuming patterns respected by users interested in this particular set of contents.

Redes : Computadores

Seguranca : Redes : Computadores

Redes P2P

P2P networks

BitTorrent networks

Data sharing

Illegal movie copies

Roubos e furtos no sistema de transporte coletivo por ônibus de Porto Alegre

Clok, Alice Rebollo

January 2002

Este trabalho apresenta uma síntese de informação sobre diversos conceitos relacionados com a violência no transporte público, especificamente no sistema de transporte coletivo por ônibus - STCO. Inclue-se um levantamento de estratégias para melhorar a segurança do usuário contra a violência. Estas estratégias foram selecionadas em função da viabilidade de implementação ao STCO da área de estudo da pesquisa, no caso, a zona urbana de Porto Alegre – Brasil. O estudo de caso consistiu em uma pesquisa de opinião sobre a avaliação das medidas propostas por parte dos usuários e as empresas do STCO - empresas operadoras e órgão gestor –. O ranking das prioridades para ambos os grupos e suas estratificações foi realizado através da utilização da Análise Hierárquica de Processos - AHP. Os resultados indicam que existem diferenças significativas nas prioridades dadas as diferentes medidas contra a violência quando comparados ambos os grupos -usuários e empresas.

Transportes : Seguranca

Transportes urbanos : Porto Alegre (RS)

Trabalho e adoecimento no município de Toledo, Paraná / Worke and injuried in Toledo municipality, Paraná

Mumbach, Simone Teresa Heck

21 July 2017

Submitted by Marilene Donadel (marilene.donadel@unioeste.br) on 2017-11-01T19:08:54Z No. of bitstreams: 1 Simone_T_H_Mumbach_2017.pdf: 1803015 bytes, checksum: c46a092d968d581d84c3d4998b459d1c (MD5) / Made available in DSpace on 2017-11-01T19:08:54Z (GMT). No. of bitstreams: 1 Simone_T_H_Mumbach_2017.pdf: 1803015 bytes, checksum: c46a092d968d581d84c3d4998b459d1c (MD5) Previous issue date: 2017-07-21 / The present dissertation aims to understand who are the workers injuried in meat refrigeration work in Toledo, Paraná, what is their labor trajectory, how was constituted the relationship between the production process and the emergence of injuried or work acidents and how its aggravation occurred, in order to think about how the sick workes experience and life the “being sick”. In this sense, we reported the transformations generated in their daily life and how their social relations were affected. Finally, we problematized how the process occurs when possible, of reinsertion of this worker, affected by pain and suffering, caused by degrading processes of meat production, in the productive process. The research comes to life from semistructured interviews contucted with 14 workers injuried in prodution processes of FRIG, showing the deep “marks” that the processes of meat production left in their bodies and in their minds. / A presente dissertação tem como objetivo compreender quem são os trabalhadores adoecidos no trabalho frigorífico de Toledo, Paraná, qual a sua trajetória laboral, como se constituiu a relação entre o processo de produção e o surgimento de doenças ou acidentes de trabalho e como ocorreu seu agravamento, no intuito de pensarmos como os trabalhadores adoecidos experimentam e vivenciam o “estar doente”. Neste sentido, relatamos as transformações ocasionadas em seu cotidiano e como suas relações sociais foram afetadas. Por fim, problematizamos como ocorre o processo, quando possível, de reinserção no processo produtivo deste trabalhador abalado pela dor e sofrimento ocasionados pelos processos degradantes de produção de carne. A pesquisa ganha vida a partir de entrevistas semiestruturadas realizadas com 14 trabalhadores adoecidos nos processos de produção do FRIG, explicitando as “marcas” profundas que o processo de produção de carnes deixou em seus corpos e em suas mentes.

Trabalho

Adoecimento

Relação de produção

Work

Injuried

Prodution relationshio

[en] DEVELOPMENT OF A PROBABILISTC SECURITY FUNCTION FOR PREVENTIVE CONTROL / [pt] DETERMINAÇÃO DE UMA FUNÇÃO SEGURANÇA PROBABILÍSTICA OBJETIVANDO CONTROLE PREVENTIVO

PEDRO PAULO BRANDAO BRAMONT

07 May 2007

[pt] Em um sistema de Energia elétrica o operador necessita monitorar continuamente a segurança do sistema e, se preciso, tomar decisões no sentido de evitar que o mesmo permaneça ou entre em um estado inseguro. O objetivo principal deste trabalho é desenvolver um procedimento - função segurança probabilística - que auxilie o operador nesta tarefa. Para o cálculo desta função segurança são feitas simulações utilizando técnicas recentes, como o algoritmo de fluxo de potência desacoplado rápido, equivalente de Ward Estendido, além de Modelos de Markov para representar falhas de operação dos principais componentes do sistema. De posse desta função segurança calculada o operador pode determinar ações de controle preventivo que ajudem a evitar a ocorrência de falhas na segurança do sistema. / [en] The operator of an Electric Energy System has to continously monitor the system security and, if needed, he has to take measures so as to avoid that the system comes to or stays in na unsecure state. The main objective of this work has been to develop a procedure - a probabilistic security function - so that it helps the operator in his task. For that purpose a set of simulations has been made using recent available techniques such as the fast decoupled load flow algorithm, Extended Ward equivalent and Markov Models so as to represent failures of operation of the main system components. With this security function the operator is able to determine preventive control measures so as to avoid the occurrence of breaches in the system security.

[pt] FUNCAO SEGURANCA PROBABILISTICA

[en] PROBABILISTIC SECURITY FUNCTION

[pt] CONTROLE PREVENTIVO

[en] PREVENTIVE CONTROL

[en] BEATING SWORDS INTO SWORDS: THE UN AND MILITARY REFORM IN TIMOR-LESTE / [pt] CONVERTENDO ESPADAS EM ESPADAS: A ONU E A REFORMA DAS FORÇAS ARMADAS DO TIMOR-LESTE

PEDRO TARRISSE DA FONTOURA

13 April 2009

[pt] Durante a Guerra Fria, as relações civil-militares eram uma questão essencialmente interna; a cooperação militar se concentrava na capacitação. Com a ascensão da agenda de reforma do setor de segurança (SSR), a ONU e doadores internacionais procuram conformar as relações civil-militares de países que emergem do conflito. O tema é herdeiro do impacto do declínio da Guerra Fria sobre a integração européia, a agenda de desenvolvimento e as operações de paz da ONU. A agenda é contestada por ONGs e o Movimento Não-Alinhado, preocupados com o desvio de recursos do desenvolvimento e o aumento do arbítrio do Conselho de Segurança. No caso do Timor, a administração transitória de 1999 considerou que não lhe cabia papel no apoio às forças armadas. Após a crise de 2006 - em que exército e polícia se envolveram em extrema politização, violações de direitos humanos e deserções em série - a nova operação de paz recebeu mandato explícito para apoiar a reavaliação do setor de segurança. O estudo analisa como a postura da ONU no terreno acompanhou a evolução da agenda de SSR na sede. / [en] During the Cold War, civil-military relations where essentially an internal matter; military cooperation focused on capacities. With the rise of the security sector reform (SSR) agenda, the UN and the donor community seek to actively shape the civil-military relations of countries emerging from conflict. The theme is heir to the impact of the Cold War`s decline on European integration, the development agenda, and UN peacekeeping operations. The agenda is contested by NGOs and the Non-Aligned Movement, concerned with the reduction of resources for development and increasing authority of the Security Council. In the case of Timor, the transitory administration of 1999 considered it had no role in support of the armed forces. After the 2006 crisis - in which army and police were involved in extreme politicization, human rights violations and serial desertion - the new peacekeeping operation was given an explicit mandate to support the review of the security sector. The study analyzes how the UN`s position in the field followed the evolution of the SSR agenda at headquarters.

[pt] OPERACOES DE PAZ

[en] PEACE OPERATIONS

[pt] RELACAO CIVIL-MILITAR

[pt] REFORMA DO SETOR DE SEGURANCA