XV Simpsio Brasileiro em Segurana daInformao e de Sistemas Computacionais
Florianpolis SC, 9 a 12 de novembro de 2015
MINICURSOSSociedade Brasileira de Computao SBC
OrganizadoresEduardo Souto, UFAM
Michelle Wangham, UNIVALIJoni da Silva Fraga, UFSC
RealizaoUniversidade Federal de Santa Catarina UFSC
Universidade do Vale do Itaja UNIVALI
PromooSociedade Brasileira de Computao SBC
Copyright 2015 Sociedade Brasileira de ComputaoTodos os direitos reservados
Capa: Luciana Soares FernandesEditorao: Carlos Maziero, UFPR
Dados Internacionais de Catalogao na Publicao (CIP)
S57 Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais (15. : 2015 : Florianpolis, SC)
XV Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais : minicursos, 9 a 12 de novembro de 2015 / Sociedade Brasileira de Computao ; Organizadores, Eduardo Souto, Michelle Wangham, Joni da Silva Fraga. Porto Alegre, RS : Sociedade Brasileira de Computao, 2015.
v, 183 p. il. ; 23 cm.
ISBN: 978-85-7669-304-8
1. Cincia da computao. 2. Informtica. 3. Segurana da informao. 4. Segurana de sistemas. I. Souto, Eduardo. II. Wangham, Michelle. III. Fraga, Joni da Silva. V. Ttulo. VI. Ttulo: Minicursos [do] XV Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais.
CDU 004(082)
XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015
ii
XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015
Sociedade Brasileira de Computao SBC
PresidnciaLisandro Zambenedetti Granville (UFRGS), PresidenteThais Vasconcelos Batista (UFRN), Vice-Presidente
DiretoriasRenata de Matos Galante (UFRGS), Diretora AdministrativaCarlos Andr Guimares Ferraz (UFPE), Diretor de FinanasAntnio Jorge Gomes Abelm (UFPA), Diretor de Eventos e Comisses EspeciaisAvelino Francisco Zorzo (PUC-RS), Diretor de EducaoJos Viterbo Filho (UFF), Diretor de PublicaesClaudia Lage da Motta (UFRJ), Diretora de Planejamento e Programas EspeciaisMarcelo Duduchi Feitosa (CEETEPS), Diretor de Secretarias RegionaisEliana Silva de Almeida (UFAL), Diretora de Divulgao e Marketing
Diretorias ExtraordinriasRoberto da Silva Bigonha (UFMG), Diretor de Relaes ProfissionaisRicardo de Oliveira Anido (UNICAMP), Diretor de Competies CientficasRaimundo Macdo (UFBA), Diretor de Cooperao com Sociedades CientficasSrgio Castelo Branco Soares (UFPE), Diretor de Articulao com Empresas
ContatoAv. Bento Gonalves, 9500Setor 4 - Prdio 43.412 - Sala 219Bairro Agronomia91.509-900 Porto Alegre RS
CNPJ: 29.532.264/0001-78http://www.sbrc.org.br
iii
XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015
Mensagem do Coordenador de MinicursosEste livro apresenta a seleo de Minicursos da 15a edio do Simpsio Brasileiro em Segurana da
Informao e de Sistemas Computacionais (SBSeg), realizado em Florianpolis -SC, entre os dias 09 a 12de novembro de 2015. As sesses de minicursos do evento representam uma oportunidade para acadmicose profissionais se aprofundarem em temas relevantes e atuais da rea, e que normalmente no so cobertosem grades curriculares das universidades. A reconhecida qualidade dos textos produzidos pelos autores dosMinicursos tem elevado estes textos categoria de documentos de referncia para trabalhos acadmicos eformao complementar de estudantes, pesquisadores e profissionais.
Em 2015, foram submetidas 10 propostas, das quais 4 foram selecionadas para publicao e apresenta-o, representando assim uma taxa de aceitao de 40%. O comit de avaliao dos minicursos foi compostopor 16 renomados pesquisadores, que desempenharam um excelente trabalho no processo de elaborao dospareceres para seleo das propostas. Esta edio rene, portanto, quatro captulos, produzidos pelos au-tores das propostas aceitas. No Captulo 1, os autores discutem a utilizao programtica de criptografiapor desenvolvedores de software com pouca ou nenhuma experincia em segurana da informao e cripto-grafia. O texto mostra aos programadores de software, por meio de exemplos reais e trechos de cdigo, osbons e maus usos da criptografia. O Captulo 2 discorre sobre o ambiente de aplicaes de Mobile CrowdSensing, focando principalmente nas questes relacionadas privacidade, segurana e a confiabilidade dasinformaes. No Captulo 3, os autores descrevem os aspectos que ajudam a tornar uma implementao decriptografia em software eficiente e segura. E, finalmente, o Captulo 4 apresenta as principais tcnicas etrabalhos relacionados deteco de spam.
Como Coordenador de Minicursos, gostaria de agradecer a todos envolvidos na produo deste livro.Primeiramente aos coordenadores gerais do SBSEG 2015, Michelle Wangham (UNIVALI) e Joni Fraga(UFSC), pelo convite para a coordenao de minicursos, alm de todo o suporte necessrio para a realizaodo evento. Agradeo tambm a todos os membros do comit de avaliao por terem aceitado o meu convitee dedicado grande esforo para produzir as revises de alta qualidade para todos os trabalhos submetidos.Por fim, um agradecimento especial a todos os autores que prestigiaram a iniciativa de realizao dosminicursos do SBSEG, submetendo propostas que refletem os resultados das suas pesquisas, estudos eprojetos acadmicos.
Eduardo Souto (Universidade Federal do Amazonas)Coordenador de Minicursos do SBSEG 2015
iv
XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015
Comit de Avaliao de MinicursosAlberto Schaeffer-Filho, UFRGSAldri dos Santos, UFPRAndr Santos. UECEAntonio Rocha, UFFCarlos Westphall, UFSCClio Vinicius Neves de Albuquerque, UFFEduardo Feitosa, UFAMEduardo Souto, UFAMJoaquim Celestino Jnior, UECEJulio Hernandez, UNICAMPLau Cheuk Lung, UFSCMichelle Wangham, UNIVALIPaulo Andr da Silva Gonalves, UFPERaul Ceretta Nunes UFSMRicardo Dahab, UNICAMPRossana Andrade, UFC
v
Sumrio
Mensagens dos organizadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv
Comits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
1 Introduo Criptografia para Programadores: Evitando Maus Usos.Alexandre Braga e Ricardo Dahab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Segurana em Mobile Crowd Sensing.Jolisson Joaquim de V. Laurido e Eduardo Luzeiro Feitosa . . . . . . . . . . . . . . . . . 51
3 Implementao Eficiente e Segura de Algoritmos Criptogrficos.Armando Faz Hernndez, Roberto Cabral, Diego F. Aranha, Julio Lpez . . . . . . . . . . 93
4 Abordagens para Deteco de Spam de E-mail.Cleber K. Olivo, Altair O. Santin e Luiz Eduardo S. Oliveira . . . . . . . . . . . . . . . . 141
Captulo
1
Introduo Criptografia para Programadores:
Evitando Maus Usos da Criptografia em
Sistemas de Software
Alexandre Braga e Ricardo Dahab
Abstract
Studies have shown that vulnerabilities in cryptographic software are generally caused
by implementation defects and mismanagement of cryptographic parameters. In
addition, we see the recurring presence of several cryptographic bad practices in
various software and mobile applications in particular. Possibly, these vulnerabilities
were included unintentionally by inexperienced programmers without expert support.
Along this vein, this short course addresses the programmatic use of cryptography by
software developers with little or no experience in information security and
cryptography. The material is introductory and aims to show software developers,
through real examples and code snippets, the good and bad uses of cryptography and
thus facilitate further improvements in future studies.
Resumo
Estudos tm revelado que vulnerabilidades em softwares criptogrficos so causadas
em geral por defeitos de implementao e pela m gesto de parmetros criptogrficos.
Alm disso, percebe-se a presena recorrente de diversas prticas ruins de criptografia
em softwares diversos e aplicativos mveis em particular. Possivelmente, estas
vulnerabilidades foram includas sem inteno por programadores inexperientes e sem
apoio de especialistas. Desta forma, este minicurso aborda a utilizao programtica
de criptografia por desenvolvedores de software com pouca ou nenhuma experincia
em segurana da informao e criptografia. O material introdutrio e tem o objetivo
de mostrar aos programadores de software, por meio de exemplos reais e trechos de
cdigo, os bons e maus usos da criptografia e, assim, facilitar o aprofundamento em
estudos futuros.
XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015
Livro-texto de Minicursos 1 c2015 SBC Soc. Bras. de Computao
1.1. Introduo
Atualmente, a proliferao de smartphones e tablets e o advento da computao em
nuvem esto mudando a forma como o software desenvolvido e distribudo. Se por um
lado h uma pulverizao do esforo de construo de aplicativos, por outro surge, em
escala sem precedentes, uma grande quantidade de aplicativos mveis disponveis para
aquisio em qualquer lugar e prontos para uso a qualquer momento.
Neste universo de aplicativos mveis sempre conectados, o uso de funes de
segurana baseadas em tcnicas criptogrficas cada vez maior. Observa-se que a
utilizao de criptografia tem aumentado muito, seja em termos do volume de dados
criptografados (por exemplo, os smartphones mais modernos possuem sistemas de
arquivos cifrados como uma opo padro), seja em relao quantidade de aplicativos
com servios criptogrficos includos em seu funcionament
