46
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Reflexão sobre Segurança e Web 2.0

Adrianoafonso | [email protected] | | setembro 2006 Reflexão sobre Segurança e Web 2.0

Embed Size (px)

Citation preview

Page 1: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Reflexão sobre Segurança e Web 2.0

Page 2: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Apresentação● Conceito● Práticas Mundiais● Projecto Pegasus● Segurança?● Conclusão

Page 3: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Apresentação

Page 4: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● O que é o Cartão do Cidadão? documento físico identificação visual do cidadão autenticação digital assinatura electrónica

Page 5: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● O que é o Cartão do Cidadão? integra num só documento

● Bilhete de Identidade● Segurança Social● Serviço Nacional de Saúde● Contribuinte● Eleitor

Page 6: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Conceito

Page 7: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Cartão do Cidadão Frente

● fotografia e os elementos de identificação civil Verso

● números de identificação dos diferentes organismos, uma zona de leitura óptica (MRZ) e o chip

Page 8: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Page 9: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Práticas Mundiais

Page 10: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Paises com CC Áustria Bélgica Estónia Finlândia Suécia

Itália Hong Kong Malásia Singapura

Page 11: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Page 12: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Page 13: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Áustria Todos os certificados dos cartões da Áustria

cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, bem como o standard X509 v3 sobre certificados digitais e PKI.

Page 14: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Bélgica Todos os certificados do cartão da Bélgica

cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI, e ainda o standard BS 7799 sobre segurança e infra-estrutura.

Page 15: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Estónia cumprem a directiva comunitária sobre assinaturas

digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI.

Plataforma de código para assinatura electrónica open source

http://www.legaltext.ee/en/andmebaas/ava.asp?tyyp=SITE_ALL&ptyyp=I&m=000&query=Digital

Page 16: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Projecto Pegasus

Page 17: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Tarefas e Parceiros Pegasus

Page 18: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Page 19: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Arquitectura Lógica

comunicação coerente e coordenada entre as restantes componentes da prova de conceito,interligando tecnologias e aplicações distintas por meio de standards tecnológicos como XMLe web services.

Page 20: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Infra-estrutura de Chaves Públicas (PKI) RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de

Certificados e Declaração de Pratica de Certificados.

RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados e de Listas de Revogação de Certificados.

RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados Qualificados.

RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP

ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que emitam Certificados Qualificados.

ETSI TS 101 862: Perfis de Certificados Qualificados.

ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que emitam Certificados de chaves publica.

ISO 17799: Guia para as boas práticas de segurança.

Page 21: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Mensagens suportadas pela Plataforma Integradora XML Definition Schema (XSD)

Page 22: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Características físicas do chip 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM

RSA 1024, 2048 bits

DES, TDES, AES

CC EAL5+ (in progress)

OS ICitizen V2 64K● Java Card 2.2.1 (http://java.sun.com/products/javacard/)● Global Platform 2.1 (http://www.globalplatform.org/)● 64K de memória para aplicações e dados● Multiple PIN Mangement

Page 23: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Dados Contidos no Cartão Pedido (Numero e Balcão)

Nome do Cidadão

Naturalidade

Nacionalidade

Data de Nascimento

Sexo

Filiação Pai

Filiação Mãe

Residência

BI

NIF

SS

SNS

Eleitor

Certificado

Dados de Saúde

Dados Biométricos (Fotografia e 2 Impressões Digitais)

Page 24: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações de Suporte Plataforma de CRM, Contact Center: Siebel v7.8 Web server: IIS Server DB Server: Microsoft SQL Server 2000 Ciclo de Vida: Microsoft .NET Framework 2.0,

Microsoft DirectX, WebServices (ASPX) SOAP / WSDL / XML

Page 25: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações – Plataforma de Iteroperabilidade ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server 2004

Page 26: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações – Plataforma de Iteroperabilidade (Integração e Federação) Windows Server 2003 R2 Microsoft Biztalk Server 2004 Microsoft SQL Server 2000

Page 27: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações – Plataforma de Iteroperabilidade (Autenticação) Windows Server 2003 R2 incluindo

● Active Directory● Active Directory Federation Services

Page 28: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor

(v5.01) Microsoft Windows XP SP2 e o browser Internet

Explorer (v6.0)

Page 29: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor

(v5.01) Microsoft Windows XP SP2 e o browser Internet

Explorer (v6.0)

Testes em ambientes open source e Macintosh esquecidos por completo

Page 30: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações de Servidor (Portal do Cidadão) ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET 1.1 migrado para Microsoft .NET

Framework 2.0

Page 31: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações - Backoffice da Conservatoria ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server (2004?)

Page 32: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações - SI Identificação Civil OutSystems: Hub Server – 3.2 JBoss: JBoss-4.0.3SP1 Java: j2sdk-1_4_2_06 Oracle: 9.0.2 WebServices Axis (Apache & JBoss)

Page 33: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações - SI Segurança Social J2EE – Java 2 Enterprise Edition / Sun Application

Server Apache Axis – Apache Extensible Interaction

System Oracle 9i Enterprise DBMS

Page 34: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações - SI Finanças Framework MVC (Model-View-Controller) Struts JDK1.4 WebLogic 8.1 EJB 2.0 J2EE 1.3

Page 35: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Aplicações – Receita Electrónica DB: Oracle 9i Tecnologia: Oracle Developer Forms 10g e

Oracle Developer Reports 10g Servidor: Windows Server 2003

Page 36: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Segurança

Page 37: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Segurança

Page 38: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Segurança

Page 39: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Segurança – Postos de Trabalho Microsoft Windows XP Professional (com SP2) Microsoft DirectX 9.x Adobe Acrobat Reader 6.0 (ou superior) Microsoft .NET Framework Runtime 2.0 Siemens Pegasus Enrollment System 1.0 Drivers da Estação de recolha de dados

biométricos

Page 40: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

Conclusões

Page 41: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Web 2.0 A experiencia da internet aproxima-se dos

utilizadores● http://www.portaldocidadao.pt/

Os utilizadores aproximam-se dos serviços● Certidões, Licenças, Registos e Afins● Criação de Empresa Online● Renovação do Cartão Jovem Euro<26

O que significa a Web 2.0 para os serviços públicos?

Page 42: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Perguntas É “privado”? A privacidade esta assegurada com

este sistema?● O meu conceito de privacidade não esta a ser

devassado?● Estarão os meus dados pessoais mais importantes

protegidos?● Uma estrutura assente em tecnologias Microsoft e não

open source, será a melhor política?

Page 43: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Perguntas É apresentado como sendo seguro, e é Seguro?

● Clonagem do Cartão● Fhishing dos Sistemas de Autenticação

Com uma infraestrutura assente muitas vezes na parte de servidor e na de cliente em tecnologias Microsoft, estará este sistema vulneravel a virus e a ataques?

● Essa situação esta a ser prevista?

Page 44: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Perguntas Será esta uma plataforma fiável face ao número de

utilizadores?

Page 45: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Segurança One time password pela INCM (no CRM) autenticação forte do cartão, existem basicamente

3 soluções/tecnologias possíveis:● EMV-CAP● standard OATH (http://www.openauthentication.org/)● solução desenhada à medida para o CC, mas que

implicaria leitores especialmente customizados para o efeito.

Page 46: Adrianoafonso | mail@adrianoafonso.net |  | setembro 2006 Reflexão sobre Segurança e Web 2.0

adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006

● Refrexão Preposição de um grupo de trabalho voluntario a

estudar as questões de segurança, e a denunciar falhas

Um Wiki como plataforma de trabalho Experiencias no estrangeiro sobre Watchdogs

privados de segurança bases de dados e de documentos

A minha experiencia no WTH