Você está na página 1de 1

7

Campinas, 11 a 24 de abril de 2016

Estudo propõe técnicas para a


segurança de dados em nuvens Foto: Antonio Scarpinetti

Pesquisador da FEEC Vitor Moia explica que diante dos inúme-


ros problemas de segurança a serem solucio-
nados, ateve-se à criptografia para um estudo
define requisitos mais detalhado. “Levantamos e classificamos
vários provedores de serviços de nuvem que
para que sistema Vitor Hugo Galhardo Moia, autor
da dissertação: “O uso da criptografia
também oferecem a criptografia entre suas
soluções. Com base nesse estudo, definimos
em nomes e outros atributos do arquivo requisitos de segurança que um provedor
de armazenamento cria uma camada a mais de proteção” deve apresentar para tornar o serviço o mais
confiável possível. Avaliamos 17 provedores
seja simples, de serviços de nuvens e aplicações com esta
finalidade e, no final, concluímos que eles

seguro e confiável
não são tão seguros como anunciam; ne-
nhum deles cumpriu com todos os requisitos
que definimos, havendo ainda muito espaço
para melhorias.”
LUIZ SUGIMOTO
sugimoto@reitoria.unicamp.br
SOLUÇÃO SIMPLES DE USAR
m estudo sobre segurança e Identificadas as lacunas neste contexto, o
privacidade no armazenamen- autor da pesquisa propôs uma solução para
to de dados em nuvens desta- dar uma camada de proteção aos arquivos
ca um conjunto de problemas armazenados em nuvens. “Depois de compa-
e preocupações neste sentido rar os sistemas existentes e de chegar a um
e sugere técnicas para amenizá-los, além de conjunto de requisitos essenciais para a pri-
avaliar custos e benefícios destas técnicas e vacidade e segurança, apresentamos, como
de suas possíveis combinações para oferecer prova de conceito, uma aplicação baseada
melhor proteção ao usuário. Em sua disserta- nesses mesmos requisitos. Esta solução que
ção de mestrado, Vitor Hugo Galhardo Moia chamamos de CPG (Cloud Privacy Guard),
fez um levantamento de soluções comerciais serve justamente para criptografar os dados
e acadêmicas para o armazenamento de dados dos usuários antes do envio para a nuvem. É
em nuvens, definiu requisitos considerados uma versão ainda em desenvolvimento, mas
essenciais para um sistema seguro, confiá- que já permite realizar vários testes.”
vel e simples de utilizar, e ainda desenvolveu De acordo com Moia, o maior desafio foi
uma aplicação que chamou de CPG (Cloud chegar a uma aplicação simples de ser utiliza-
Privacy Guard). A pesquisa foi orientada pelo da, requisitando o menor esforço possível do
professor Marco Aurélio Amaral Henriques e usuário. “Um dos problemas identificados
apresentada na Faculdade de Engenharia Elé- em relação à criptografia é a carga extra de
trica e de Computação (FEEC). trabalho exigida do usuário, com uma série
Vitor Moia observa que a computação em de procedimentos complexos e enfadonhos
nuvens já é uma tecnologia conhecida e con- até para profissionais da área. Com o CPG, o
solidada, que pode trazer várias vantagens usuário simplesmente arrasta o arquivo para
para os usuários. “Dentre outras facilidades, dentro de uma pasta e o próprio aplicativo vai
os provedores de serviços de nuvens (CSP – criptografar e migrar os dados para a pasta
Cloud Service Providers) disponibilizam um padrão da nuvem.”
espaço em seus servidores para que sejam
Vitor Moia considera que sua dissertação
depositados arquivos pessoais, por exemplo.
não são tão seguros assim, pois não atendem Mais uma preocupação diz respeito à no- traz informações bastante úteis para o uso da
As vantagens são diversas, como o backup,
a requisitos essenciais.” meação e atributos dos arquivos, que geral- tecnologia de armazenamento de dados em
pois provedores mantêm servidores espalha-
dos pelo mundo: armazenado um arquivo na mente recebem nomes sugestivos demais, nuvens, como o levantamento e comparação
como “extrato bancário”, por exemplo, di- dos principais provedores que estão no mer-
nuvem, cópias são disparadas para todos os
pontos, livrando o cliente da preocupação de
RECURSO DA CRIPTOGRAFIA recionando os atacantes para dados do seu cado, a fim de ajudar o usuário a diferenciá-
fazer backups para guardar seus dados em A dissertação traz um estudo sobre as interesse. “O uso da criptografia em nomes e -los e escolher aquele que melhor atende às
locais seguros. É preciso atentar, entretanto, principais preocupações dos usuários quanto outros atributos do arquivo cria uma camada suas necessidades; o estudo sobre técnicas,
para o fato de que provedores gratuitos não a sua privacidade, assim como técnicas para a mais de proteção. Outros usuários querem chamando a atenção para outros problemas
garantem que dados não serão perdidos.” amenizá-las. “Quem quer sigilo dos dados manter segredo de sua localização em relação associados a este serviço e não apenas quan-
pode recorrer à criptografia, codificando-os de ao provedor e, para isso, também existem so- to ao sigilo; e ainda os custos e benefícios
O autor da dissertação ressalta também a forma que apenas quem detenha um segredo para cada técnica, quando aplicadas indivi-
luções. Uma última preocupação é quanto à
vantagem financeira, já que o usuário pode (chave) consiga acessá-los. Outra técnica de dualmente ou combinadas. “É possível obter
posse dos dados, ou seja, impedir que o pro-
contar com recursos computacionais poten- proteção é a fragmentação dos dados, dividin- maior proteção em diversos aspectos a um
vedor consiga, através das informações arma-
tes sem os custos associados a infraestrutura do-se um arquivo em muitos fragmentos que zenadas, chegar à identidade real do usuário; custo bem menor do que se imagina. Elabo-
e manutenção locais, pagando apenas pelo
são armazenados em nuvens diferentes, impe- como solução, podemos recorrer a serviços ramos vários requisitos, mas cada usuário
tempo e espaço que consome (modelo pay-as-
dindo assim que terceiros, incluindo os prove- de identificação auxiliares, como os utiliza- tem sua necessidade e talvez não precise de
-you-go). “Contudo, talvez a maior vantagem
dores, tenham acesso à íntegra do conteúdo.” dos em sistemas de identidades federadas.” um provedor que atenda a todos eles.”
seja a possibilidade de acessar seu arquivo de
qualquer local e em qualquer momento, bas-

A segurança num provedor


tando um dispositivo com acesso a internet.
O armazenamento em nuvem é interessante
também para empresas, que às vezes com-
partilham uma mesma base de dados, como
cadastro de clientes ou de produtos, que os
funcionários podem acessar e atualizar.” Requisito Preocupação
Enumeradas as vantagens, Moia retoma
o foco de seu estudo, sobre os riscos trazi- Segurança das chaves Gerenciamento correto das chaves criptográficas. São considerados fatores como o tempo de vida de uma chave
dos pelo armazenamento em nuvens quan- criptográficas e sua guarda correta.
to a segurança e privacidade, a começar pelo
fato de o serviço ser terceirizado. “Quando Deduplicação Garantir que técnicas de economia de espaço, usadas por provedores para evitar duplicação de dados que possam
uma pessoa armazena seus dados na nuvem, segura comprometer a privacidade dos usuários.
acaba entregando o controle do arquivo ao
provedor que, intencionadamente ou não, Alto nível Buscar modos de implementação de criptografia em serviços de nuvem, que possam trazer mais segurança e
pode acessá-lo de maneira inadequada. Exis- de sigilo menos riscos à privacidade do usuário.
tem vários CSPs ditos gratuitos, mas sempre
existe um preço, que não fica explícito para o Trust no one Oferecer mais garantias de que o usuário seja o único capaz de acessar seus dados, através do uso exclusivo
usuário. O provedor pode, por exemplo, uti- (Não confie em ninguém) de uma chave criptográfica (senha) não compartilhada com o provedor da nuvem.
lizar as informações em benefício próprio ou
vendê-las a empresas de marketing. Mesmo Sigilo dos atributos Proteger os atributos de um arquivo (nome, datas de criação e última modificação, tamanho, etc.) contra acesso
serviços que garantem proteção aos dados, dos arquivos não autorizado por terceiros.
Open Source Manter em domínio público o código fonte da aplicação de proteção a fim de evitar vulnerabilidades ou “portas
(Código fonte aberto) dos fundos” que possam comprometer a segurança e privacidade dos usuários.
Publicação
Autenticidade Permitir que usuários possam verificar a autenticidade de uma aplicação, isto é, que ela foi realmente gerada pelo
do software seu desenvolvedor, a fim de evitar que atacantes possam alterá-la sem serem detectados.
Dissertação: “A Study about the Secu-
rity and Privacy on Cloud Data Storage” Autenticação Aumentar a segurança do processo de autenticação, utilizando dois ou mais fatores para este fim. Ex. de fatores
Multi-fator de autenticação: algo que o usuário saiba (senha), algo que ele possua (smartphone ou cartão com chip) e algo
Autor: Vitor Hugo Galhardo Moia
que ele seja (características biométricas como digitais, íris, etc.).
Orientador: Marco Aurélio Amaral
Henriques Usabilidade Reduzir a complexidade do software criptográfico a fim de facilitar sua utilização, exigindo um menor esforço
Unidade: Faculdade de Engenharia sem o comprometimento da segurança.
Elétrica e de Computação (FEEC)
Fonte: Divulgação

Você também pode gostar