Upload
vannguyet
View
214
Download
0
Embed Size (px)
Citation preview
14/05/16
1
EspecializaçãoemCiber-Segurança
MiguelP.CorreiaMaiode2016
Introdução• AespecializaçãoémoFvadapelaimportânciaeconómicae
pelaprocuradeprofissionaisdestaáreadainformáFca
• AespecializaçãoprocuraconcreFzaraInforma)onAssuranceandSecurityKnowledgeAreadoACM/IEEEComputerScienceCurricula2013
• Inclui5cadeiras
14/05/16
2
Fun!
• Ciber-Crime• Ciber-Guerra• Ciber-Espionagem• Ciber-Terrorismo• Ciber-Exércitos• Ciber-Polícia
14/05/16
5
CSCurricula2013• “InCS2013,theInformaFonAssuranceandSecurityKAis
addedtotheBodyofKnowledgeinrecogniFonoftheworld’srelianceoninformaFontechnologyanditscriFcalroleincomputerscienceeducaFon”– ACM/IEEEComputerScienceCurricula2013,StrawmanDra^,pg76
(February2012)
Mercadodaciber-segurança• “GlobalCyberSecurityspending2011:$60billion”
– PWC,CyberSecurityM&Areview,Nov.2011
• “WithacumulaFvemarketvaluedat$65.5billion(2013–2018),theU.S.FederalCybersecuritymarketwillgrowsteadily–atabout6.2%CAGRoverthenextsixyears.”– U.S.FederalCybersecurityMarketForecast2013-2018,April2013
14/05/16
6
SegurançaemPortugal• GabineteNacionaldeSegurança(dependênciadoPM)• CentroNacionaldeCibersegurança• PolíciaJudiciária,UnidadedeTelecomunicaçõeseInformáFca• ProcuradoriaGeraldaRepública,GabineteCibercrime• ForçasArmadas• CERT.PT(ex.FCCN)• ANACOM• ComissãoNacionaldeProtecçãodeDados• PTSecurityLab• inúmerasempresas:Deloise,KPMG,Nokia,Level8,SysValue,
Integrity,Dognaedis,médias,pequenas…
MassacríFcanoDEI
• DocentesdoDEIqueinvesFgamnaárea:– PedroAdão– JanCederquist– RicardoChaves– MiguelCorreia– AnaMatos– MiguelPardal– NunoSantos– MiguelMiradaSilva– eváriosoutros,esquecidose/ouemmenorgrau
14/05/16
7
AESPECIALIZAÇÃOEMCIBER-SEGURANÇA
ObjecFvos• AespecializaçãotemporobjecFvodaraosalunosas
capacidadestécnicasnecessáriaspara• analisar,protegereadministrar• asegurançadesistemasinformáFcos• pessoais,empresariaisegovernamentais• peranteaameaçadeataquesinformáFcos.
14/05/16
8
Transversalidade• “TheInformaFonAssuranceandSecurityKAisuniqueamongthe
setofKA’spresentedheregiventhemannerinwhichthetopicsarepervasivethroughoutotherKnowledgeAreas.”– ACM/IEEECSCurricula2013,StrawmanDra^,pg76(Feb.2012)
• NoDEI/MEIC:– ASO–asprimeiraspreocupaçõesdesegurançasurgiramnofimdosanos
60associadasaossistemasoperaFvos,tendodepoisevoluídoparaasredesesistemasdistribuídos
– SI–asegurançaéfundamentalparaossistemasdeinformaçãocontemporâneos
– MTP–oso^warepodeserumafontedeinsegurançaimportantesenãoforadequadamentedesenvolvidoemanFdo
– ExistemaindaligaçõesmaisténuesàsáreasdeIAeCGM
Cadeiras• SegurançaInformáFcaemRedeseSistemas–SIRS
• SegurançaemSo^ware–SSof
• SistemasdeElevadaConfiabilidade–SEC
• CiberSegurançaForense–CSF• CriptografiaeProtocolosdeSegurança–CPS
SIRS
SSof SEC CSF
CPS
14/05/16
9
Statusdascadeiras• SegurançaInformáFcaemRedeseSistemas
– JáexisFanoMEIC
• SegurançaemSo^ware(MEIC)– JáexisFanoMEIC
• SistemasdeElevadaConfiabilidade– Nova
• CiberSegurançaForense– CadeiradoMETI
• CriptografiaeProtocolosdeSegurança– JáexisFanoMEICenoMMA;édadapeloDM
Ondefunciona
• NoTagus;algumascadeirasnosdois• Anopassado:– todasnosdoispolos– exceptoCSF(sótagus)
14/05/16
10
PROGRAMASDASCADEIRAS
SegurançaInformáFcaemRedeseSistemas
• Introdução• Vulnerabilidadesesegurançaem
redes• Firewallsesistemasdedetecção
deintrusões• Desenvolvimentodecódigo
seguro• CerFficação• Criptografiasimétrica,
assimétrica,funçõesderesumocriptográficas
• AutenFcaçãodemensagenseassinaturasdigitais
• Gestãoeprotocolosdedistribuiçãodechavessimétricas
• CerFficadosdigitaiseinfraestruturasdedistribuiçãodechavespúblicas
• AutenFcaçãoeprotocolosdeautenFcação
• Autorização• Segurançaemredessemfios• Redesprivadasvirtuaisecanais
seguros
• Maisinformação:hsps://fenix.ist.utl.pt/disciplinas/sirs4/2013-2014/1-semestre/
14/05/16
11
SegurançaemSo^ware• Panorâmicaeprotecção
– Desenvolvimentodeso^wareseguro;– Princípiosdeprojecto;– ProtecçãoemsistemasoperaFvos.
• VulnerabilidadesemSo^ware– Bufferoverflows;– Corridas;– AplicaçõesWebebasesdedados– Cópiaemodificaçãodeso^ware;
• Técnicasdesegurançadeso^ware– Auditoriadeso^ware;– Testedeso^ware;– Análisedeprogramas;– Validaçãoecodificação.
• Controlodoambientedeexecução– Protecçãodinâmica;– Virtualizaçãoesegurança;– TrustedcompuFng;
• Segurançabaseadaemlinguagem– Análisedefluxosdeinformação.– SistemasdeFposparaasegurança;– Desenvolvimentodecódigodebaixo
nívelseguro;– CompilaçãocerFficada;– Códigoportadordeprova;
• Casodeestudo:segurançaemJava– Sandboxingeinspecçãodapilha;– FalhasdesegurançaemJava;– Princípiosdeprogramaçãoseguraem
Java• Maisinformação:
hsps://fenix.ist.utl.pt/disciplinas/ssof2/2013-2014/1-semestre/
SistemasdeElevadaConfiabilidade• Dependabilityfundamentals
– Taxonomy(fault,error,failure)– Reliability,availability,
maintainability,safety,security– FaultassumpFonandcoverage– Space,Time,andValue
redundancy.Coding.TripleModularRedundancy
– Errorprocessing.Backwardandforwardrecovery.
– FailuredetecFonandsystemdiagnosis.Watchdogs
• SecureHardware– Securitydevices– Smartcards– TrustedPla~ormModule– Biometricsystems
• Securingthesystem– Physicalsecurity– PhysicalprotecFonofsystems– Intrusiontolerance
• ByzanFnefaulttolerance– ByzanFneLeaderElecFon– ByzanFneBroadcast– ByzanFneMemory– ByzanFneConsensus– ByzanFneReplicatedState
Machines• HumanFactors
– Humanfactorsinsecurity– Socialengineering
14/05/16
12
CiberSegurançaForense• Fundamentosdaanáliseforense• Metodologia• Tiposdedados• Análiseforensederedes• Análisededadosdarede• AnálisedossistemasdegestãoacFvos• Análiseforensedesistemas• AnálisedesistemasWindows• AnálisedesistemasLinux• Análisedesistemasmóveis• Aspectoslegais(US,Europa)• Maisinformação:hsps://fenix.ist.utl.pt/disciplinas/csf/2013-2014/1-semestre/
CriptografiaeProtocolosdeSegurança(DM)
• MoFvação– conceitosbásicoseproblemascentraisdacriptografia.
• Sistemascriptográficosdechaveprivada– Cifrassequenciais.Contributodateoriadainformação.Formasdeataque:dividirpara
conquistarecorrelaçãorápida.Cifrasporblocos.Exemplos�picos:DESeAES.Segurançaperfeitaecomputacional.
• Sistemascriptográficosdechavepública– SistemaRSA.Algoritmosdefactorizaçãoeprimalidade.AnálisecriptográficaquânFca.
CoordenadasprojecFvas.CurvaselípFcas.InteirosdeGauss.AlgoritmodeEuclidesparapolinómios.TeoremadeHilbert.BasesdeGröbner.SistemascriptográficoselípFcosehiperelípFcos.
• Protocolosdechavepública– EsquemadeassinaturaElGamaleDSS.Algoritmosdeassinaturadigitalbaseadosem
curvaselítpFcas.Assinaturascegas.Funçõesdedispersão.EsquemasdedistribuiçãodechavesdeDiffie-Hellman.DistribuiçãoquânFcadechaves.ProtocoloestaçãoparaestaçãoeMTI.CódigosdeautenFcação.EsquemadeparFlhadesegredosdeShamir.Sistemasdeprovacomconhecimentonulo.EsquemasdeSchnorreFiat-Shamir.Computaçãoseguraeaplicações.
• Maisinformação:hsps://fenix.ist.utl.pt/disciplinas/cps-2/2012-2013/1-semestre
14/05/16
13
ExemplosdeDissertações1. Recuperaçãodeintrusõesparasegurançaemcomputaçãoemnuvem
2. SegurançacontravulnerabilidadesdeautenFcaçãoemcomputaçãoemnuvem
3. DiagnósFcoAutomáFcodeEventosdeSegurançaemInfraestruturasComplexasusandoLogs
4. Ciber-SegurançaAvançadaparaDisposiFvosAndroid
5. Ciber-SegurançaContraBloqueiodePublicidade
6. IdenFficaçãodeUFlizadoresdeAplicaçõesWebemDiferentesDisposiFvos
7. DescobertadeVulnerabilidadesIndependentedaLinguagem
8. HadoopMapReduceToleranteaIntrusõesusandováriasClouds
9. PlataformaparaSegurançaeConfiabilidadedeSistemasCiber-FísicosLigadosàInternet
10. ComparaçãodeTráfegoIPparaFiabilidadeeCiber-Segurança
11. DescobertaautomáFcadevulnerabilidadesemaplicaçõeswebusandofuzzing