livro minicursos (pdf)

Click here to load reader

Post on 14-Feb-2017

245 views

Category:

Documents

3 download

Embed Size (px)

TRANSCRIPT

  • XV Simpsio Brasileiro em Segurana daInformao e de Sistemas Computacionais

    Florianpolis SC, 9 a 12 de novembro de 2015

    MINICURSOSSociedade Brasileira de Computao SBC

    OrganizadoresEduardo Souto, UFAM

    Michelle Wangham, UNIVALIJoni da Silva Fraga, UFSC

    RealizaoUniversidade Federal de Santa Catarina UFSC

    Universidade do Vale do Itaja UNIVALI

    PromooSociedade Brasileira de Computao SBC

  • Copyright 2015 Sociedade Brasileira de ComputaoTodos os direitos reservados

    Capa: Luciana Soares FernandesEditorao: Carlos Maziero, UFPR

    Dados Internacionais de Catalogao na Publicao (CIP)

    S57 Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais (15. : 2015 : Florianpolis, SC)

    XV Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais : minicursos, 9 a 12 de novembro de 2015 / Sociedade Brasileira de Computao ; Organizadores, Eduardo Souto, Michelle Wangham, Joni da Silva Fraga. Porto Alegre, RS : Sociedade Brasileira de Computao, 2015.

    v, 183 p. il. ; 23 cm.

    ISBN: 978-85-7669-304-8

    1. Cincia da computao. 2. Informtica. 3. Segurana da informao. 4. Segurana de sistemas. I. Souto, Eduardo. II. Wangham, Michelle. III. Fraga, Joni da Silva. V. Ttulo. VI. Ttulo: Minicursos [do] XV Simpsio Brasileiro de Segurana da Informao e de Sistemas Computacionais.

    CDU 004(082)

    XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015

    ii

  • XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015

    Sociedade Brasileira de Computao SBC

    PresidnciaLisandro Zambenedetti Granville (UFRGS), PresidenteThais Vasconcelos Batista (UFRN), Vice-Presidente

    DiretoriasRenata de Matos Galante (UFRGS), Diretora AdministrativaCarlos Andr Guimares Ferraz (UFPE), Diretor de FinanasAntnio Jorge Gomes Abelm (UFPA), Diretor de Eventos e Comisses EspeciaisAvelino Francisco Zorzo (PUC-RS), Diretor de EducaoJos Viterbo Filho (UFF), Diretor de PublicaesClaudia Lage da Motta (UFRJ), Diretora de Planejamento e Programas EspeciaisMarcelo Duduchi Feitosa (CEETEPS), Diretor de Secretarias RegionaisEliana Silva de Almeida (UFAL), Diretora de Divulgao e Marketing

    Diretorias ExtraordinriasRoberto da Silva Bigonha (UFMG), Diretor de Relaes ProfissionaisRicardo de Oliveira Anido (UNICAMP), Diretor de Competies CientficasRaimundo Macdo (UFBA), Diretor de Cooperao com Sociedades CientficasSrgio Castelo Branco Soares (UFPE), Diretor de Articulao com Empresas

    ContatoAv. Bento Gonalves, 9500Setor 4 - Prdio 43.412 - Sala 219Bairro Agronomia91.509-900 Porto Alegre RS

    CNPJ: 29.532.264/0001-78http://www.sbrc.org.br

    iii

  • XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015

    Mensagem do Coordenador de MinicursosEste livro apresenta a seleo de Minicursos da 15a edio do Simpsio Brasileiro em Segurana da

    Informao e de Sistemas Computacionais (SBSeg), realizado em Florianpolis -SC, entre os dias 09 a 12de novembro de 2015. As sesses de minicursos do evento representam uma oportunidade para acadmicose profissionais se aprofundarem em temas relevantes e atuais da rea, e que normalmente no so cobertosem grades curriculares das universidades. A reconhecida qualidade dos textos produzidos pelos autores dosMinicursos tem elevado estes textos categoria de documentos de referncia para trabalhos acadmicos eformao complementar de estudantes, pesquisadores e profissionais.

    Em 2015, foram submetidas 10 propostas, das quais 4 foram selecionadas para publicao e apresenta-o, representando assim uma taxa de aceitao de 40%. O comit de avaliao dos minicursos foi compostopor 16 renomados pesquisadores, que desempenharam um excelente trabalho no processo de elaborao dospareceres para seleo das propostas. Esta edio rene, portanto, quatro captulos, produzidos pelos au-tores das propostas aceitas. No Captulo 1, os autores discutem a utilizao programtica de criptografiapor desenvolvedores de software com pouca ou nenhuma experincia em segurana da informao e cripto-grafia. O texto mostra aos programadores de software, por meio de exemplos reais e trechos de cdigo, osbons e maus usos da criptografia. O Captulo 2 discorre sobre o ambiente de aplicaes de Mobile CrowdSensing, focando principalmente nas questes relacionadas privacidade, segurana e a confiabilidade dasinformaes. No Captulo 3, os autores descrevem os aspectos que ajudam a tornar uma implementao decriptografia em software eficiente e segura. E, finalmente, o Captulo 4 apresenta as principais tcnicas etrabalhos relacionados deteco de spam.

    Como Coordenador de Minicursos, gostaria de agradecer a todos envolvidos na produo deste livro.Primeiramente aos coordenadores gerais do SBSEG 2015, Michelle Wangham (UNIVALI) e Joni Fraga(UFSC), pelo convite para a coordenao de minicursos, alm de todo o suporte necessrio para a realizaodo evento. Agradeo tambm a todos os membros do comit de avaliao por terem aceitado o meu convitee dedicado grande esforo para produzir as revises de alta qualidade para todos os trabalhos submetidos.Por fim, um agradecimento especial a todos os autores que prestigiaram a iniciativa de realizao dosminicursos do SBSEG, submetendo propostas que refletem os resultados das suas pesquisas, estudos eprojetos acadmicos.

    Eduardo Souto (Universidade Federal do Amazonas)Coordenador de Minicursos do SBSEG 2015

    iv

  • XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015

    Comit de Avaliao de MinicursosAlberto Schaeffer-Filho, UFRGSAldri dos Santos, UFPRAndr Santos. UECEAntonio Rocha, UFFCarlos Westphall, UFSCClio Vinicius Neves de Albuquerque, UFFEduardo Feitosa, UFAMEduardo Souto, UFAMJoaquim Celestino Jnior, UECEJulio Hernandez, UNICAMPLau Cheuk Lung, UFSCMichelle Wangham, UNIVALIPaulo Andr da Silva Gonalves, UFPERaul Ceretta Nunes UFSMRicardo Dahab, UNICAMPRossana Andrade, UFC

    v

  • Sumrio

    Mensagens dos organizadores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . iv

    Comits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v

    1 Introduo Criptografia para Programadores: Evitando Maus Usos.Alexandre Braga e Ricardo Dahab . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

    2 Segurana em Mobile Crowd Sensing.Jolisson Joaquim de V. Laurido e Eduardo Luzeiro Feitosa . . . . . . . . . . . . . . . . . 51

    3 Implementao Eficiente e Segura de Algoritmos Criptogrficos.Armando Faz Hernndez, Roberto Cabral, Diego F. Aranha, Julio Lpez . . . . . . . . . . 93

    4 Abordagens para Deteco de Spam de E-mail.Cleber K. Olivo, Altair O. Santin e Luiz Eduardo S. Oliveira . . . . . . . . . . . . . . . . 141

  • Captulo

    1

    Introduo Criptografia para Programadores:

    Evitando Maus Usos da Criptografia em

    Sistemas de Software

    Alexandre Braga e Ricardo Dahab

    Abstract

    Studies have shown that vulnerabilities in cryptographic software are generally caused

    by implementation defects and mismanagement of cryptographic parameters. In

    addition, we see the recurring presence of several cryptographic bad practices in

    various software and mobile applications in particular. Possibly, these vulnerabilities

    were included unintentionally by inexperienced programmers without expert support.

    Along this vein, this short course addresses the programmatic use of cryptography by

    software developers with little or no experience in information security and

    cryptography. The material is introductory and aims to show software developers,

    through real examples and code snippets, the good and bad uses of cryptography and

    thus facilitate further improvements in future studies.

    Resumo

    Estudos tm revelado que vulnerabilidades em softwares criptogrficos so causadas

    em geral por defeitos de implementao e pela m gesto de parmetros criptogrficos.

    Alm disso, percebe-se a presena recorrente de diversas prticas ruins de criptografia

    em softwares diversos e aplicativos mveis em particular. Possivelmente, estas

    vulnerabilidades foram includas sem inteno por programadores inexperientes e sem

    apoio de especialistas. Desta forma, este minicurso aborda a utilizao programtica

    de criptografia por desenvolvedores de software com pouca ou nenhuma experincia

    em segurana da informao e criptografia. O material introdutrio e tem o objetivo

    de mostrar aos programadores de software, por meio de exemplos reais e trechos de

    cdigo, os bons e maus usos da criptografia e, assim, facilitar o aprofundamento em

    estudos futuros.

    XV Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais SBSeg 2015

    Livro-texto de Minicursos 1 c2015 SBC Soc. Bras. de Computao

  • 1.1. Introduo

    Atualmente, a proliferao de smartphones e tablets e o advento da computao em

    nuvem esto mudando a forma como o software desenvolvido e distribudo. Se por um

    lado h uma pulverizao do esforo de construo de aplicativos, por outro surge, em

    escala sem precedentes, uma grande quantidade de aplicativos mveis disponveis para

    aquisio em qualquer lugar e prontos para uso a qualquer momento.

    Neste universo de aplicativos mveis sempre conectados, o uso de funes de

    segurana baseadas em tcnicas criptogrficas cada vez maior. Observa-se que a

    utilizao de criptografia tem aumentado muito, seja em termos do volume de dados

    criptografados (por exemplo, os smartphones mais modernos possuem sistemas de

    arquivos cifrados como uma opo padro), seja em relao quantidade de aplicativos

    com servios criptogrficos includos em seu funcionament