Upload
internet
View
109
Download
0
Embed Size (px)
Citation preview
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Reflexão sobre Segurança e Web 2.0
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Apresentação● Conceito● Práticas Mundiais● Projecto Pegasus● Segurança?● Conclusão
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Apresentação
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● O que é o Cartão do Cidadão? documento físico identificação visual do cidadão autenticação digital assinatura electrónica
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● O que é o Cartão do Cidadão? integra num só documento
● Bilhete de Identidade● Segurança Social● Serviço Nacional de Saúde● Contribuinte● Eleitor
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Conceito
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Cartão do Cidadão Frente
● fotografia e os elementos de identificação civil Verso
● números de identificação dos diferentes organismos, uma zona de leitura óptica (MRZ) e o chip
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Práticas Mundiais
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Paises com CC Áustria Bélgica Estónia Finlândia Suécia
Itália Hong Kong Malásia Singapura
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Áustria Todos os certificados dos cartões da Áustria
cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, bem como o standard X509 v3 sobre certificados digitais e PKI.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Bélgica Todos os certificados do cartão da Bélgica
cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI, e ainda o standard BS 7799 sobre segurança e infra-estrutura.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Estónia cumprem a directiva comunitária sobre assinaturas
digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI.
Plataforma de código para assinatura electrónica open source
http://www.legaltext.ee/en/andmebaas/ava.asp?tyyp=SITE_ALL&ptyyp=I&m=000&query=Digital
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Projecto Pegasus
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Tarefas e Parceiros Pegasus
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Arquitectura Lógica
comunicação coerente e coordenada entre as restantes componentes da prova de conceito,interligando tecnologias e aplicações distintas por meio de standards tecnológicos como XMLe web services.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Infra-estrutura de Chaves Públicas (PKI) RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de
Certificados e Declaração de Pratica de Certificados.
RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados e de Listas de Revogação de Certificados.
RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados Qualificados.
RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP
ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que emitam Certificados Qualificados.
ETSI TS 101 862: Perfis de Certificados Qualificados.
ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que emitam Certificados de chaves publica.
ISO 17799: Guia para as boas práticas de segurança.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Mensagens suportadas pela Plataforma Integradora XML Definition Schema (XSD)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Características físicas do chip 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM
RSA 1024, 2048 bits
DES, TDES, AES
CC EAL5+ (in progress)
OS ICitizen V2 64K● Java Card 2.2.1 (http://java.sun.com/products/javacard/)● Global Platform 2.1 (http://www.globalplatform.org/)● 64K de memória para aplicações e dados● Multiple PIN Mangement
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Dados Contidos no Cartão Pedido (Numero e Balcão)
Nome do Cidadão
Naturalidade
Nacionalidade
Data de Nascimento
Sexo
Filiação Pai
Filiação Mãe
Residência
BI
NIF
SS
SNS
Eleitor
Certificado
Dados de Saúde
Dados Biométricos (Fotografia e 2 Impressões Digitais)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Suporte Plataforma de CRM, Contact Center: Siebel v7.8 Web server: IIS Server DB Server: Microsoft SQL Server 2000 Ciclo de Vida: Microsoft .NET Framework 2.0,
Microsoft DirectX, WebServices (ASPX) SOAP / WSDL / XML
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server 2004
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade (Integração e Federação) Windows Server 2003 R2 Microsoft Biztalk Server 2004 Microsoft SQL Server 2000
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Plataforma de Iteroperabilidade (Autenticação) Windows Server 2003 R2 incluindo
● Active Directory● Active Directory Federation Services
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor
(v5.01) Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor
(v5.01) Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
Testes em ambientes open source e Macintosh esquecidos por completo
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações de Servidor (Portal do Cidadão) ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET 1.1 migrado para Microsoft .NET
Framework 2.0
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - Backoffice da Conservatoria ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server (2004?)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Identificação Civil OutSystems: Hub Server – 3.2 JBoss: JBoss-4.0.3SP1 Java: j2sdk-1_4_2_06 Oracle: 9.0.2 WebServices Axis (Apache & JBoss)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Segurança Social J2EE – Java 2 Enterprise Edition / Sun Application
Server Apache Axis – Apache Extensible Interaction
System Oracle 9i Enterprise DBMS
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações - SI Finanças Framework MVC (Model-View-Controller) Struts JDK1.4 WebLogic 8.1 EJB 2.0 J2EE 1.3
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Aplicações – Receita Electrónica DB: Oracle 9i Tecnologia: Oracle Developer Forms 10g e
Oracle Developer Reports 10g Servidor: Windows Server 2003
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança – Postos de Trabalho Microsoft Windows XP Professional (com SP2) Microsoft DirectX 9.x Adobe Acrobat Reader 6.0 (ou superior) Microsoft .NET Framework Runtime 2.0 Siemens Pegasus Enrollment System 1.0 Drivers da Estação de recolha de dados
biométricos
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Conclusões
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Web 2.0 A experiencia da internet aproxima-se dos
utilizadores● http://www.portaldocidadao.pt/
Os utilizadores aproximam-se dos serviços● Certidões, Licenças, Registos e Afins● Criação de Empresa Online● Renovação do Cartão Jovem Euro<26
O que significa a Web 2.0 para os serviços públicos?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas É “privado”? A privacidade esta assegurada com
este sistema?● O meu conceito de privacidade não esta a ser
devassado?● Estarão os meus dados pessoais mais importantes
protegidos?● Uma estrutura assente em tecnologias Microsoft e não
open source, será a melhor política?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas É apresentado como sendo seguro, e é Seguro?
● Clonagem do Cartão● Fhishing dos Sistemas de Autenticação
Com uma infraestrutura assente muitas vezes na parte de servidor e na de cliente em tecnologias Microsoft, estará este sistema vulneravel a virus e a ataques?
● Essa situação esta a ser prevista?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Perguntas Será esta uma plataforma fiável face ao número de
utilizadores?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Segurança One time password pela INCM (no CRM) autenticação forte do cartão, existem basicamente
3 soluções/tecnologias possíveis:● EMV-CAP● standard OATH (http://www.openauthentication.org/)● solução desenhada à medida para o CC, mas que
implicaria leitores especialmente customizados para o efeito.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
● Refrexão Preposição de um grupo de trabalho voluntario a
estudar as questões de segurança, e a denunciar falhas
Um Wiki como plataforma de trabalho Experiencias no estrangeiro sobre Watchdogs
privados de segurança bases de dados e de documentos
A minha experiencia no WTH