Document 7441780
Download
Report
Transcript Document 7441780
Reflexão sobre Segurança e Web 2.0
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Apresentação
●
Conceito
●
Práticas Mundiais
●
Projecto Pegasus
●
Segurança?
●
Conclusão
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Apresentação
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
O que é o Cartão do Cidadão?
documento físico
identificação visual do cidadão
autenticação digital
assinatura electrónica
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
O que é o Cartão do Cidadão?
integra num só documento
●
●
●
●
●
Bilhete de Identidade
Segurança Social
Serviço Nacional de Saúde
Contribuinte
Eleitor
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Conceito
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Cartão do Cidadão
Frente
●
fotografia e os elementos de identificação civil
Verso
●
números de identificação dos diferentes organismos,
uma zona de leitura óptica (MRZ) e o chip
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Práticas Mundiais
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Paises com CC
Áustria
Itália
Bélgica
Hong Kong
Estónia
Malásia
Finlândia
Singapura
Suécia
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Áustria
Todos os certificados dos cartões da Áustria
cumprem a directiva comunitária sobre assinaturas
digitais 1999/93/EC, bem como o standard X509 v3
sobre certificados digitais e PKI.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Bélgica
Todos os certificados do cartão da Bélgica
cumprem a directiva comunitária sobre assinaturas
digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem
como o standard X509 v3 sobre certificados digitais
e PKI, e ainda o standard BS 7799 sobre
segurança e infra-estrutura.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Estónia
cumprem a directiva comunitária sobre assinaturas
digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem
como o standard X509 v3 sobre certificados digitais
e PKI.
Plataforma de código para assinatura electrónica
open source
http://www.legaltext.ee/en/andmebaas/ava.asp?tyy
p=SITE_ALL&ptyyp=I&m=000&query=Digital
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Projecto Pegasus
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Tarefas e Parceiros Pegasus
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Arquitectura Lógica
comunicação coerente e
coordenada entre as
restantes componentes
da prova de conceito,
interligando tecnologias
e aplicações distintas
por meio de standards
tecnológicos como XML
e web services.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Infra-estrutura de Chaves Públicas (PKI)
RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de
Certificados e Declaração de Pratica de Certificados.
RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de
Certificados e de Listas de Revogação de Certificados.
RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de
Certificados Qualificados.
RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP
ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que
emitam Certificados Qualificados.
ETSI TS 101 862: Perfis de Certificados Qualificados.
ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que
emitam Certificados de chaves publica.
ISO 17799: Guia para as boas práticas de segurança.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Mensagens suportadas pela Plataforma
Integradora
XML Definition Schema (XSD)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Características físicas do chip
244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM
RSA 1024, 2048 bits
DES, TDES, AES
CC EAL5+ (in progress)
OS ICitizen V2 64K
●
Java Card 2.2.1 (http://java.sun.com/products/javacard/)
●
Global Platform 2.1 (http://www.globalplatform.org/)
●
64K de memória para aplicações e dados
●
Multiple PIN Mangement
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Dados Contidos no Cartão
Pedido (Numero e Balcão)
BI
Nome do Cidadão
NIF
Naturalidade
SS
Nacionalidade
SNS
Data de Nascimento
Eleitor
Sexo
Certificado
Filiação Pai
Dados de Saúde
Filiação Mãe
Residência
Dados Biométricos (Fotografia e 2
Impressões Digitais)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações de Suporte
Plataforma de CRM, Contact Center: Siebel v7.8
Web server: IIS Server
DB Server: Microsoft SQL Server 2000
Ciclo de Vida: Microsoft .NET Framework 2.0,
Microsoft DirectX, WebServices (ASPX) SOAP /
WSDL / XML
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações – Plataforma de Iteroperabilidade
ASP.NET 2.0.50272
IIS v6.0.3790
Microsoft .NET Framework 2.0
Microsoft Biztalk Server 2004
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações – Plataforma de Iteroperabilidade
(Integração e Federação)
Windows Server 2003 R2
Microsoft Biztalk Server 2004
Microsoft SQL Server 2000
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações – Plataforma de Iteroperabilidade
(Autenticação)
Windows Server 2003 R2 incluindo
●
●
Active Directory
Active Directory Federation Services
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações de Cliente (teste)
Middleware Axalto Smart Card Activity Monitor
(v5.01)
Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações de Cliente (teste)
Middleware Axalto Smart Card Activity Monitor
(v5.01)
Microsoft Windows XP SP2 e o browser Internet
Explorer (v6.0)
Testes em ambientes open source e Macintosh
esquecidos por completo
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações de Servidor (Portal do Cidadão)
ASP.NET 2.0.50272
IIS v6.0.3790
Microsoft .NET 1.1 migrado para Microsoft .NET
Framework 2.0
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações - Backoffice da Conservatoria
ASP.NET 2.0.50272
IIS v6.0.3790
Microsoft .NET Framework 2.0
Microsoft Biztalk Server (2004?)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações - SI Identificação Civil
OutSystems: Hub Server – 3.2
JBoss: JBoss-4.0.3SP1
Java: j2sdk-1_4_2_06
Oracle: 9.0.2
WebServices Axis (Apache & JBoss)
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações - SI Segurança Social
J2EE – Java 2 Enterprise Edition / Sun
Application Server
Apache Axis – Apache Extensible Interaction
System
Oracle 9i Enterprise DBMS
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações - SI Finanças
Framework MVC (Model-View-Controller) Struts
JDK1.4
WebLogic 8.1
EJB 2.0
J2EE 1.3
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Aplicações – Receita Electrónica
DB: Oracle 9i
Tecnologia: Oracle Developer Forms 10g e
Oracle Developer Reports 10g
Servidor: Windows Server 2003
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Segurança
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Segurança – Postos de Trabalho
Microsoft Windows XP Professional (com SP2)
Microsoft DirectX 9.x
Adobe Acrobat Reader 6.0 (ou superior)
Microsoft .NET Framework Runtime 2.0
Siemens Pegasus Enrollment System 1.0
Drivers da Estação de recolha de dados
biométricos
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
Conclusões
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Web 2.0
A experiencia da internet aproxima-se dos
utilizadores
●
Os utilizadores aproximam-se dos serviços
●
●
●
http://www.portaldocidadao.pt/
Certidões, Licenças, Registos e Afins
Criação de Empresa Online
Renovação do Cartão Jovem Euro<26
O que significa a Web 2.0 para os serviços
públicos?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Perguntas
É “privado”? A privacidade esta assegurada
com este sistema?
●
●
●
O meu conceito de privacidade não esta a ser
devassado?
Estarão os meus dados pessoais mais importantes
protegidos?
Uma estrutura assente em tecnologias Microsoft e
não open source, será a melhor política?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Perguntas
É apresentado como sendo seguro, e é Seguro?
●
●
Clonagem do Cartão
Fhishing dos Sistemas de Autenticação
Com uma infraestrutura assente muitas vezes
na parte de servidor e na de cliente em
tecnologias Microsoft, estará este sistema
vulneravel a virus e a ataques?
●
Essa situação esta a ser prevista?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Perguntas
Será esta uma plataforma fiável face ao número
de utilizadores?
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Segurança
One time password pela INCM (no CRM)
autenticação forte do cartão, existem
basicamente 3 soluções/tecnologias possíveis:
●
●
●
EMV-CAP
standard OATH (http://www.openauthentication.org/)
solução desenhada à medida para o CC, mas que
implicaria leitores especialmente customizados para
o efeito.
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006
●
Refrexão
Preposição de um grupo de trabalho voluntario
a estudar as questões de segurança, e a
denunciar falhas
Um Wiki como plataforma de trabalho
Experiencias no estrangeiro sobre Watchdogs
privados de segurança bases de dados e de
documentos
A minha experiencia no WTH
adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006