Reflexão sobre Segurança e Web 2.0
-
Upload
idona-leach -
Category
Documents
-
view
13 -
download
0
description
Transcript of Reflexão sobre Segurança e Web 2.0
![Page 1: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/1.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Reflexão sobre Segurança e Web 2.0
![Page 2: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/2.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Apresentação● Conceito● Práticas Mundiais● Projecto Pegasus● Segurança?● Conclusão
![Page 4: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/4.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● O que é o Cartão do Cidadão? documento físico identificação visual do cidadão autenticação digital assinatura electrónica
![Page 5: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/5.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● O que é o Cartão do Cidadão? integra num só documento
● Bilhete de Identidade● Segurança Social● Serviço Nacional de Saúde● Contribuinte● Eleitor
![Page 7: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/7.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Cartão do Cidadão Frente
● fotografia e os elementos de identificação civil Verso
● números de identificação dos diferentes organismos, uma zona de leitura óptica (MRZ) e o chip
![Page 8: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/8.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
![Page 10: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/10.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Paises com CC Áustria Bélgica Estónia Finlândia Suécia
Itália Hong Kong Malásia Singapura
![Page 11: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/11.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
![Page 12: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/12.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
![Page 13: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/13.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Áustria Todos os certificados dos cartões da Áustria
cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, bem como o standard X509 v3 sobre certificados digitais e PKI.
![Page 14: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/14.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Bélgica Todos os certificados do cartão da Bélgica
cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI, e ainda o standard BS 7799 sobre segurança e infra-estrutura.
![Page 15: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/15.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Estónia cumprem a directiva comunitária sobre assinaturas
digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI.
Plataforma de código para assinatura electrónica open source
http://www.legaltext.ee/en/andmebaas/ava.asp?tyyp=SITE_ALL&ptyyp=I&m=000&query=Digital
![Page 17: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/17.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Tarefas e Parceiros Pegasus
![Page 18: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/18.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
![Page 19: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/19.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Arquitectura Lógica
comunicação coerente e coordenada entre as restantes componentes da prova de conceito,interligando tecnologias e aplicações distintas por meio de standards tecnológicos como XMLe web services.
![Page 20: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/20.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Infra-estrutura de Chaves Públicas (PKI) RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de
Certificados e Declaração de Pratica de Certificados.
RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados e de Listas de Revogação de Certificados.
RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados Qualificados.
RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP
ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que emitam Certificados Qualificados.
ETSI TS 101 862: Perfis de Certificados Qualificados.
ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que emitam Certificados de chaves publica.
ISO 17799: Guia para as boas práticas de segurança.
![Page 21: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/21.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Mensagens suportadas pela Plataforma Integradora XML Definition Schema (XSD)
![Page 22: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/22.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Características físicas do chip 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM
RSA 1024, 2048 bits
DES, TDES, AES
CC EAL5+ (in progress)
OS ICitizen V2 64K● Java Card 2.2.1 (http://java.sun.com/products/javacard/)● Global Platform 2.1 (http://www.globalplatform.org/)● 64K de memória para aplicações e dados● Multiple PIN Mangement
![Page 23: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/23.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Dados Contidos no Cartão Pedido (Numero e Balcão)
Nome do Cidadão
Naturalidade
Nacionalidade
Data de Nascimento
Sexo
Filiação Pai
Filiação Mãe
Residência
BI
NIF
SS
SNS
Eleitor
Certificado
Dados de Saúde
Dados Biométricos (Fotografia e 2 Impressões Digitais)
![Page 24: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/24.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Suporte Plataforma de CRM, Contact Center: Siebel v7.8 Web server: IIS Server DB Server: Microsoft SQL Server 2000 Ciclo de Vida: Microsoft .NET Framework 2.0,
Microsoft DirectX, WebServices (ASPX) SOAP / WSDL / XML
![Page 25: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/25.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server 2004
![Page 26: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/26.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade (Integração e Federação) Windows Server 2003 R2 Microsoft Biztalk Server 2004 Microsoft SQL Server 2000
![Page 27: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/27.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade (Autenticação) Windows Server 2003 R2 incluindo
● Active Directory● Active Directory Federation Services
![Page 28: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/28.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor
(v5.01) Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
![Page 29: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/29.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor
(v5.01) Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
Testes em ambientes open source e Macintosh esquecidos por completo
![Page 30: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/30.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Servidor (Portal do Cidadão) ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET 1.1 migrado para Microsoft .NET
Framework 2.0
![Page 31: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/31.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - Backoffice da Conservatoria ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server (2004?)
![Page 32: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/32.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Identificação Civil OutSystems: Hub Server – 3.2 JBoss: JBoss-4.0.3SP1 Java: j2sdk-1_4_2_06 Oracle: 9.0.2 WebServices Axis (Apache & JBoss)
![Page 33: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/33.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Segurança Social J2EE – Java 2 Enterprise Edition / Sun Application
Server Apache Axis – Apache Extensible Interaction
System Oracle 9i Enterprise DBMS
![Page 34: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/34.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Finanças Framework MVC (Model-View-Controller) Struts JDK1.4 WebLogic 8.1 EJB 2.0 J2EE 1.3
![Page 35: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/35.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Receita Electrónica DB: Oracle 9i Tecnologia: Oracle Developer Forms 10g e
Oracle Developer Reports 10g Servidor: Windows Server 2003
![Page 39: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/39.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança – Postos de Trabalho Microsoft Windows XP Professional (com SP2) Microsoft DirectX 9.x Adobe Acrobat Reader 6.0 (ou superior) Microsoft .NET Framework Runtime 2.0 Siemens Pegasus Enrollment System 1.0 Drivers da Estação de recolha de dados
biométricos
![Page 41: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/41.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Web 2.0 A experiencia da internet aproxima-se dos
utilizadores● http://www.portaldocidadao.pt/
Os utilizadores aproximam-se dos serviços● Certidões, Licenças, Registos e Afins● Criação de Empresa Online● Renovação do Cartão Jovem Euro<26
O que significa a Web 2.0 para os serviços públicos?
![Page 42: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/42.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas É “privado”? A privacidade esta assegurada com
este sistema?● O meu conceito de privacidade não esta a ser
devassado?● Estarão os meus dados pessoais mais importantes
protegidos?● Uma estrutura assente em tecnologias Microsoft e não
open source, será a melhor política?
![Page 43: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/43.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas É apresentado como sendo seguro, e é Seguro?
● Clonagem do Cartão● Fhishing dos Sistemas de Autenticação
Com uma infraestrutura assente muitas vezes na parte de servidor e na de cliente em tecnologias Microsoft, estará este sistema vulneravel a virus e a ataques?
● Essa situação esta a ser prevista?
![Page 44: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/44.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas Será esta uma plataforma fiável face ao número de
utilizadores?
![Page 45: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/45.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança One time password pela INCM (no CRM) autenticação forte do cartão, existem basicamente
3 soluções/tecnologias possíveis:● EMV-CAP● standard OATH (http://www.openauthentication.org/)● solução desenhada à medida para o CC, mas que
implicaria leitores especialmente customizados para o efeito.
![Page 46: Reflexão sobre Segurança e Web 2.0](https://reader036.fdocumentos.com/reader036/viewer/2022070400/5681353a550346895d9c9f50/html5/thumbnails/46.jpg)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Refrexão Preposição de um grupo de trabalho voluntario a
estudar as questões de segurança, e a denunciar falhas
Um Wiki como plataforma de trabalho Experiencias no estrangeiro sobre Watchdogs
privados de segurança bases de dados e de documentos
A minha experiencia no WTH