1 / 46

Reflexão sobre Segurança e Web 2.0

Reflexão sobre Segurança e Web 2.0. Apresentação Conceito Práticas Mundiais Projecto Pegasus Segurança? Conclusão. Apresentação. O que é o Cartão do Cidadão? documento físico identificação visual do cidadão autenticação digital assinatura electrónica. O que é o Cartão do Cidadão?

idona-leach
Download Presentation

Reflexão sobre Segurança e Web 2.0

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Reflexão sobre Segurança e Web 2.0 adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  2. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Apresentação • Conceito • Práticas Mundiais • Projecto Pegasus • Segurança? • Conclusão

  3. Apresentação adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  4. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • O que é o Cartão do Cidadão? • documento físico • identificação visual do cidadão • autenticação digital • assinatura electrónica

  5. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • O que é o Cartão do Cidadão? • integra num só documento • Bilhete de Identidade • Segurança Social • Serviço Nacional de Saúde • Contribuinte • Eleitor

  6. Conceito adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  7. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Cartão do Cidadão • Frente • fotografia e os elementos de identificação civil • Verso • números de identificação dos diferentes organismos, uma zona de leitura óptica (MRZ) e o chip

  8. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  9. Práticas Mundiais adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  10. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Paises com CC • Áustria • Bélgica • Estónia • Finlândia • Suécia • Itália • Hong Kong • Malásia • Singapura

  11. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  12. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  13. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Áustria • Todos os certificados dos cartões da Áustria cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, bem como o standard X509 v3 sobre certificados digitais e PKI.

  14. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Bélgica • Todos os certificados do cartão da Bélgica cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI, e ainda o standard BS 7799 sobre segurança e infra-estrutura.

  15. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Estónia • cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI. • Plataforma de código para assinatura electrónica open source • http://www.legaltext.ee/en/andmebaas/ava.asp?tyyp=SITE_ALL&ptyyp=I&m=000&query=Digital

  16. Projecto Pegasus adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  17. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Tarefas e Parceiros Pegasus

  18. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  19. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Arquitectura Lógica comunicação coerente e coordenada entre as restantes componentes da prova de conceito, interligando tecnologias e aplicações distintas por meio de standards tecnológicos como XML e web services.

  20. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Infra-estrutura de Chaves Públicas (PKI) • RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de Certificados e Declaração de Pratica de Certificados. • RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados e de Listas de Revogação de Certificados. • RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados Qualificados. • RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP • ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que emitam Certificados Qualificados. • ETSI TS 101 862: Perfis de Certificados Qualificados. • ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que emitam Certificados de chaves publica. • ISO 17799: Guia para as boas práticas de segurança.

  21. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Mensagens suportadas pela Plataforma Integradora • XML Definition Schema (XSD)

  22. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Características físicas do chip • 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM • RSA 1024, 2048 bits • DES, TDES, AES • CC EAL5+ (in progress) • OS ICitizen V2 64K • Java Card 2.2.1 (http://java.sun.com/products/javacard/) • Global Platform 2.1 (http://www.globalplatform.org/) • 64K de memória para aplicações e dados • Multiple PIN Mangement

  23. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Dados Contidos no Cartão • Pedido (Numero e Balcão) • Nome do Cidadão • Naturalidade • Nacionalidade • Data de Nascimento • Sexo • Filiação Pai • Filiação Mãe • Residência • BI • NIF • SS • SNS • Eleitor • Certificado • Dados de Saúde • Dados Biométricos (Fotografia e 2 Impressões Digitais)

  24. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações de Suporte • Plataforma de CRM, Contact Center: Siebel v7.8 • Web server: IIS Server • DB Server: Microsoft SQL Server 2000 • Ciclo de Vida: Microsoft .NET Framework 2.0, Microsoft DirectX, WebServices (ASPX) SOAP / WSDL / XML

  25. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações – Plataforma de Iteroperabilidade • ASP.NET 2.0.50272 • IIS v6.0.3790 • Microsoft .NET Framework 2.0 • Microsoft Biztalk Server 2004

  26. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações – Plataforma de Iteroperabilidade (Integração e Federação) • Windows Server 2003 R2 • Microsoft Biztalk Server 2004 • Microsoft SQL Server 2000

  27. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações – Plataforma de Iteroperabilidade (Autenticação) • Windows Server 2003 R2 incluindo • Active Directory • Active Directory Federation Services

  28. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações de Cliente (teste) • Middleware Axalto Smart Card Activity Monitor (v5.01) • Microsoft Windows XP SP2 e o browser Internet Explorer (v6.0)

  29. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações de Cliente (teste) • Middleware Axalto Smart Card Activity Monitor (v5.01) • Microsoft Windows XP SP2 e o browser Internet Explorer (v6.0) Testes em ambientes open source e Macintosh esquecidos por completo

  30. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações de Servidor (Portal do Cidadão) • ASP.NET 2.0.50272 • IIS v6.0.3790 • Microsoft .NET 1.1 migrado para Microsoft .NET Framework 2.0

  31. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações - Backoffice da Conservatoria • ASP.NET 2.0.50272 • IIS v6.0.3790 • Microsoft .NET Framework 2.0 • Microsoft Biztalk Server (2004?)

  32. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações - SI Identificação Civil • OutSystems: Hub Server – 3.2 • JBoss: JBoss-4.0.3SP1 • Java: j2sdk-1_4_2_06 • Oracle: 9.0.2 • WebServices Axis (Apache & JBoss)

  33. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações - SI Segurança Social • J2EE – Java 2 Enterprise Edition / Sun Application Server • Apache Axis – Apache Extensible Interaction System • Oracle 9i Enterprise DBMS

  34. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações - SI Finanças • Framework MVC (Model-View-Controller) Struts • JDK1.4 • WebLogic 8.1 • EJB 2.0 • J2EE 1.3

  35. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Aplicações – Receita Electrónica • DB: Oracle 9i • Tecnologia: Oracle Developer Forms 10g e Oracle Developer Reports 10g • Servidor: Windows Server 2003

  36. Segurança adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  37. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Segurança

  38. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Segurança

  39. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Segurança – Postos de Trabalho • Microsoft Windows XP Professional (com SP2) • Microsoft DirectX 9.x • Adobe Acrobat Reader 6.0 (ou superior) • Microsoft .NET Framework Runtime 2.0 • Siemens Pegasus Enrollment System 1.0 • Drivers da Estação de recolha de dados biométricos

  40. Conclusões adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006

  41. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Web 2.0 • A experiencia da internet aproxima-se dos utilizadores • http://www.portaldocidadao.pt/ • Os utilizadores aproximam-se dos serviços • Certidões, Licenças, Registos e Afins • Criação de Empresa Online • Renovação do Cartão Jovem Euro<26 • O que significa a Web 2.0 para os serviços públicos?

  42. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Perguntas • É “privado”? A privacidade esta assegurada com este sistema? • O meu conceito de privacidade não esta a ser devassado? • Estarão os meus dados pessoais mais importantes protegidos? • Uma estrutura assente em tecnologias Microsoft e não open source, será a melhor política?

  43. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Perguntas • É apresentado como sendo seguro, e é Seguro? • Clonagem do Cartão • Fhishing dos Sistemas de Autenticação • Com uma infraestrutura assente muitas vezes na parte de servidor e na de cliente em tecnologias Microsoft, estará este sistema vulneravel a virus e a ataques? • Essa situação esta a ser prevista?

  44. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Perguntas • Será esta uma plataforma fiável face ao número de utilizadores?

  45. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Segurança • One time password pela INCM (no CRM) • autenticação forte do cartão, existem basicamente 3 soluções/tecnologias possíveis: • EMV-CAP • standard OATH (http://www.openauthentication.org/) • solução desenhada à medida para o CC, mas que implicaria leitores especialmente customizados para o efeito.

  46. adrianoafonso | mail@adrianoafonso.net | www.adrianoafonso.net | setembro 2006 • Refrexão • Preposição de um grupo de trabalho voluntario a estudar as questões de segurança, e a denunciar falhas • Um Wiki como plataforma de trabalho • Experiencias no estrangeiro sobre Watchdogs privados de segurança bases de dados e de documentos • A minha experiencia no WTH

More Related