O Corpo de Conhecimento de Segurança Cibernética

19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 1
A segurança cibernética
Corpo do conhecimento
Versão.
1º de outubro
https://www.cybok.org/
EDITORES
Awais Rashid University of Bristol
Howard Chivers University of York
George Danezis University College de Londres
Emil Lupu Imperial College de Londres
Andrew Martin University of Oxford
GESTOR DE PROJETO
Yvonne Rigby University of Bristol
PRODUÇÃO
Joseph Hallett University of Bristol
Página 2 O Conhecimento em Segurança Cibernética
www.cybok.org
DIREITO AUTORAL
https://translate.googleusercontent.com/translate_f 1/684
© Crown Copyright, National Cyber Security Center. Esta informação está licenciada
sob a Open Government License v. . Para visualizar esta licença, visite:
https://www.nationalarchives.gov.uk/doc/open-government-licence/
Ao usar essas informações sob a Licença Open Government, você deve incluir o
seguinte atribuição: Versão do CyBOK. © Crown Copyright, The National Cyber Security Cen-
tre, licenciado pela Open Government License: https://www.nationalarchives.gov.uk/
doc / open-government-licence /.
O projeto CyBOK gostaria de entender como o CyBOK está sendo usado e sua aceitação.
O projeto gostaria que as organizações usassem, ou pretendessem usar, CyBOK para fins de
educação, treinamento, desenvolvimento de cursos, desenvolvimento profissional etc. para contatá-lo em con
tact@cybok.org para que o projeto saiba como eles estão usando o CyBOK.
KA | Outubro Página
Página 3
Prefácio
Temos o prazer de compartilhar a versão do CyBOK. contigo. A jornada para o CyBOK começou no
mês de fevereiro, quando iniciamos nossa Fase de Escopo (Fase I) . Isso envolveu uma série
de consultas à comunidade, tanto dentro do Reino Unido quanto internacionalmente, por meio de uma série de
diferentes atividades destinadas a obter contribuições de um público tão amplo quanto possível. As atividades
incluído:
• workshops comunitários com 6 participantes em todo o Reino Unido;
• respostas por meio de uma pesquisa online;
• declarações de posição;
• entrevistas aprofundadas com os principais especialistas internacionais em todas as especificações sócio-técnicas

trum de segurança cibernética; e
• 8 respostas a um exercício em papel como parte de um painel no Advances in Security

Workshop de educação no Simpósio de Segurança USENIX em Vancouver, Canadá.
Houve um equilíbrio de contribuições da academia e profissionais na maioria dessas

sultações.
Complementamos as consultas com a análise de uma série de documentos que normalmente

liste os principais tópicos relevantes para a segurança cibernética. Documentos de exemplo incluídos:
• Categorizações, como a taxonomia do ACM Computing Classi cation System (CCS);
• Certi cações, como Profissional de Segurança de Sistemas de Informação Certi cado (CISSP) e
o Instituto de Profissionais de Segurança da Informação (IISP) Skills Framework;
• Chamadas de artigos como IEEE Symposium on Security & Privacy e USENIX Sympo-
sium sobre privacidade e segurança utilizáveis;
eu

www.cybok.org
• Currículos existentes, como o currículo de ciência da computação da ACM e o trabalho do

Força Tarefa Conjunta sobre Educação em Cibersegurança;
• Padrões, como BS ISO-IEC e NIST IR 8; e
• Tabelas de conteúdo de vários livros didáticos.
Usamos uma variedade de técnicas de mineração de texto, como processamento de linguagem natural e áudio
agrupamento automático de texto para agrupar tópicos relevantes e identificar relacionamentos entre os tópicos. UMA
workshop de dois dias dos editores e pesquisadores envolvidos na definição do escopo sintetizou o
diversas análises para identificar as áreas de conhecimento (KAs) que compõem o escopo do CyBOK.
Eles foram publicados para feedback da comunidade. Embora nenhum dos KAs precisasse ser
removidos ou novos adicionados com base no feedback, os tópicos a serem cobertos em
cada KA foi refinado. Os KAs também foram categorizados em cinco categorias de nível superior. Versão
. do documento de escopo foi publicado no site do CyBOK em outubro e nos formulários
a base dos KAs na versão CyBOK. . Os detalhes do trabalho de definição do escopo são discutidos em
o seguinte artigo:
Awais Rashid, George Danezis, Howard Chivers, Emil Lupu, Andrew Martin, Makayla Lewis,
Claudia Peersman (8). Definição do escopo do conhecimento em segurança cibernética . Segurança IEEE
E Privacidade 6 (): 6- .
Na Fase II (iniciada no dia 1º de novembro), teve início a autoria dos KAs.

Para cada KA, elaboramos uma lista de especialistas reconhecidos internacionalmente no tema como candidatos
autores e painéis de revisores. Essas listas foram examinadas pelos professores do projeto CyBOK-
Conselho Consultivo Profissional e Conselho Consultivo Acadêmico. Seguindo suas sugestões e quaisquer atualizações,
convidamos um importante especialista internacional para criar o KA e um conjunto de especialistas-chave como membros
bers de um painel de revisão por pares para fornecer revisão e feedback sobre o KA, sob a gestão
de um dos editores do CyBOK.
Cada autor preparou uma proposta espantalho para revisão inicial e feedback pelo especialista em
painel de revisão. Isso foi seguido por um rascunho completo (homem de madeira ), que foi revisado pelo
painel, gerando feedback para os autores - e muitas vezes várias iterações de discussão e
atualizações. Depois que todos os comentários do painel de revisão foram atendidos, o autor preparou um
rascunho para revisão pública ( tinman ) . A revisão pública de cada KA permaneceu aberta por semanas. Tudo
comentários recebidos da revisão pública foram considerados e, quando apropriado, atualizações
foram feitos para o KA. Se um comentário não foi abordado, uma justificativa clara foi registrada para o
razão. Após essas atualizações, Versão. do KA foi lançado no site do CyBOK.
Estes formam coletivamente a versão CyBOK. .
Além da autoria dos KAs, o trabalho foi realizado pela equipe do projeto para identificar
caminhos de aprendizagem através do CyBOK. Isso envolveu a análise de uma série de estruturas curriculares
trabalhos, certificações profissionais e programas de graduação acadêmica para estudar sua cobertura
e foco em relação ao CyBOK. Uma primeira análise de quatro estruturas curriculares foi fornecida
no seguinte artigo:
Devido às limitações de tempo para a Fase II , o painel e as análises públicas para Web & Mobile Security e Authen-
ticação, autorização e responsabilidade foram conduzidas em paralelo.
| Outubro Página ii

www.cybok.org
Joseph Hallett, Robert Larson, Awais Rashid (8). Espelho, espelho, na parede: o quê
estamos ensinando-lhes todos? Caracterizando o Foco da Estrutura Curricular da Cibersegurança-
funciona . Proceedings of the Advances in Security Education Workshop, USENIX Security
Simpósio.
Outras análises estão disponíveis no site do CyBOK, juntamente com árvores de conhecimento derivadas
de cada KA para facilitar o mapeamento de qualquer estrutura curricular, programa de graduação ou profes-
certificação profissional no CyBOK. O site também contém muitos outros materiais
como webinars e podcasts - recursos que complementam o texto e o material de referência
rial abrangido pelos KAs.
Vários princípios-chave sustentaram o desenvolvimento do CyBOK:
Foco internacional. Embora o projeto seja financiado pelo Programa Nacional de Segurança Cibernética
no Reino Unido, é um esforço verdadeiramente internacional - envolvendo autores e revisores especialistas em torno
o mundo a desenvolver uma base coletiva para a disciplina de segurança cibernética.
Para a comunidade, pela comunidade. Os editores lideraram o esforço, mas o escopo, o

KAs, as revisões e atualizações são todas impulsionadas por contribuições da comunidade.
Transparência. Todos os resultados do trabalho do projeto são disponibilizados no site, incluindo

o escopo, o guia para autores, rascunho e versões de lançamento de KAs e as análises de
estruturas curriculares, programas universitários e certificações profissionais. A única
exceções a isso são os comentários individuais do trabalho de definição do escopo, painéis de especialistas
ou revisão pública que, devido a requisitos éticos, não pode ser tornada pública. O mesmo
vale para as universidades que voluntariamente contribuíram com seus programas para análise em
a garantia de que o programa ou universidade não seria tornado público.
Gratuito e abertamente acessível. CyBOK é um recurso da comunidade, disponível gratuitamente sob o Open
Licença governamental. Um princípio orientador fundamental e abrangente para a versão CyBOK. e
qualquer versão futura do CyBOK é que ele permanece um recurso aberto e disponível gratuitamente
para a comunidade, por exemplo, não será colocado atrás de uma parede paga ou de uma página de login.
Independência acadêmica. A equipe editorial teve total independência acadêmica e todos
as decisões editoriais cabem exclusivamente aos editores.
Fase II do CyBOK concluída com a versão CyBOK. no dia 1 de outubro. O projeto
entrou na Fase III , sob a orientação de um Comitê Diretivo de acadêmicos e
praticantes. Um foco importante na Fase III será o apoio a universidades em todo o Reino Unido
no mapeamento de seus programas de graduação em segurança cibernética na certificação de grau atualizada
programa do National Cyber Security Center (NCSC), que será baseado no CyBOK
Versão. . Isso fornecerá uma análise em grande escala do uso do CyBOK, tanto dentro de um certificado
estrutura de formação e em uma variedade de programas de nível universitário. Nós também iremos nos esforçar
para apoiar colegas em todo o mundo na utilização do CyBOK em seus programas, com orientação
ajuda da equipe, bem como ferramentas para apoiá-los na tarefa. O comitê de direção irá
também mantenha a versão do CyBOK. em revisão para identificar onde as atualizações podem ser necessárias e
siga um processo rigoroso, semelhante à Fase II , para tais atualizações.
Além disso, o CyBOK oferece uma gama de oportunidades na transformação da educação e do treinamento
programas. Pode fornecer uma base de conhecimento rigorosa para estudar, fortalecer e atualizar o
foco de vários programas de certificação profissional. Oportunidades também existem em termos de
fornecer uma base de descrições de cargos para que os empregadores possam articular e avaliar claramente o
| Outubro Página iii

www.cybok.org
conhecimento que eles esperam de recrutas de segurança cibernética em potencial. Além disso, dada a sua compreensão
de natureza abrangente, pode ser usado para avaliar a capacidade de segurança cibernética dentro de uma organização
ou mesmo em uma nação. De muitas maneiras, a jornada apenas começou. E estamos ansiosos para
trabalhando com colegas em todo o mundo em futuras atualizações e uso.
RECONHECIMENTOS.
Versão do CyBOK. não teria sido possível sem o apoio do National
Programa de segurança cibernética que forneceu o financiamento para o projeto. Somos gratos ao
vários colegas da comunidade de segurança cibernética que forneceram informações durante o
fase de escopo, autoria e revisava os KAs, ofereceu orientação por meio da participação em
nosso Conselho Consultivo Profissional e Conselho Consultivo Acadêmico ou, informalmente, durante
sentações e discussões em várias conferências e eventos. Também somos gratos ao nosso
gerente de projeto, Yvonne Rigby, por sua diligência, comprometimento e energia infinita em coordenação
nating o trabalho de um grande número de especialistas em todo o mundo. Também somos gratos ao
pesquisadores que trabalharam no projeto, mais notavelmente Joseph Hallett para pesquisas sobre currículos
estruturas lares e percursos de aprendizagem. Gostaríamos de agradecer aos nossos colegas do NCSC que
formulou a ideia e obteve financiamento para um projeto de conhecimento de segurança cibernética.
Agradecemos também a Fred Piper e Steven Furnell, que forneceram contribuições e comentários externos
revisores do NCSC. Os pesquisadores, autores, membros do painel de especialistas, Conselhos Profissionais
O Conselho Consultivo e o Conselho Consultivo Acadêmico estão listados abaixo. Por último, mas não menos importante, nossos agradecimentos a
a comunidade mais ampla de segurança cibernética de pesquisadores e profissionais para fornecer serviços essenciais e
contribuições construtivas para ajudar a moldar o escopo e os KAs para a versão CyBOK. .
Pesquisadores
Joseph Hallett Universidade de Bristol
Robert Larson Universidade de Bristol
Makayla Lewis Universidade de Lancaster
Claudia Peersman Universidade de Bristol
Benjamin Shreeve Universidade de Bristol
Autores, editores e revisores
Área de Conhecimento Autor editor Revisores
Gerenciamento de riscos & Pete Burnap Awais Rashid Chris johnson

Governança Ragnar Lofstedt
Enfermeira jason
Adam Shostack
Lei e Regulamentação Robert carolina Howard Chivers Tom Holt

Madeline Carr
Roderic Broadhurst
Fatores humanos M. Angela Sasse Awais Rashid Pam Briggs

Awais Rashid Lorrie Faith Cranor
Matthew Smith
Rick Wash
Mary Ellen Zurko
| Outubro Página iv

www.cybok.org
Capítulo Autor editor Revisores
Privacidade e direitos online Carmela Troncoso George Danezis Emiliano De Cristofaro

Awais Rashid Ian Goldberg
Theresa Stadler
Malware e ataque Wenke Lee Howard Chivers Alex Berry

Tecnologias Lorenzo Cavallaro
Mihai Christodorescu
Igor Muttik
Comportamento Adversarial Gianluca Stringhini Awais Rashid Tom Holt

Adam Joinson
Damon McCoy
Paul Taylor
Operações de segurança e Hervé Debar Howard Chivers Douglas Wiemer

Gestão de Incidentes Magnus Almgren
Marc Dacier
Sushil Jajodia
forense Vassil Roussev Howard Chivers Bruce Nikkel

Marc Kirby
Paul Birch
Zeno Geradts
Criptografia Nigel Smart George Danezis Dan Bogdanov

Kenny Patterson
Liqun Chen
Sistemas operacionais & Herbert Bos Andrew Martin Chris Dalton

Virtualização David Lie
Gernot Heiser
Mathias Payer
Sistemas distribuídos Neeraj Suri Emil Lupu Konstantin Beznosov

Segurança Marko Vukolić
Autenticação, Dieter Gollmann Emil Lupu Gail-Joon Ahn

Autorização e Michael Huth
Prestação de contas Raio Indrakshi
Segurança de software Frank Piessens Awais Rashid Eric Bodden

Rod Chapman
Michael Hicks
Jacques Klein
Andrei Sablefeld
Segurança da web e móvel Sascha Fahl Emil Lupu Alastair Beresford

Sven Bugiel
Hao Chen
Paul Freemantle
Marco Viera
| Outubro Página v

www.cybok.org
Capítulo Autor editor Revisores
Software Seguro Laurie Williams Andrew Martin Rod Chapman

Ciclo da vida Fabio Massacci
Gary McGraw
Nancy Mead
James Noble
Riccardo Scandariato
Segurança de rede Sanjah Jha Andrew Martin Gene Tsudik

Shishir Nagaraja
Segurança de Hardware Ingrid Verbauwhede Andrew Martin Srinivas Devadas

George Danezis Paul England
Elisabeth Oswald
Mark Ryan
Sistemas Ciber-Físicos Alvaro Cardenas Emil Lupu Henrik Sandberg

Segurança Marina Kroto l
Mauro Conti
Nils Ole Tippenhauer
Rakesh Bobba
Camada física & Srdjan Čapkun George Danezis Robert Piechocki

Telecomunicações Awais Rashid Kasper Rasmussen
Conselho Consultivo Profissional

Sir Edmund Burton Cadeira
Amanda Finch Chartered Institute of Information Security (CIISec)
Nick Coleman O Instituto de Engenharia e Tecnologia (IET)
Diana Burley The George Washington University
David King Legal e Geral
Claire Vishik Intel Corporation
Bill Mitchell BCS Academy of Computing
Andrew Rose NATS (anteriormente)
Conselho Consultivo Acadêmico

Bart Preneel KU Leuven, Bélgica
Mira Mezini Technische Universität Darmstadt, Alemanha
L. Jean Camp Indiana University Bloomington, EUA
Jill Slay La Trobe University, Melbourne, Austrália
Trent Jaeger Pennsylvania State University, EUA
| Outubro Página vi
www.cybok.org
Equipe do site
James Brown
Adrian Tucker
| Outubro Página vii

www.cybok.org
| Outubro Página viii
Página 11
Conteúdo
Introdução
. CyberSecurityDe nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. CyBOKKnowledgeAreas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Implantando o conhecimento do CyBOK para resolver problemas de segurança . . . . . . . . . . . . 6
. . Meios e objetivos da segurança cibernética . . . . . . . . . . . . . . . . . . 6
. . Falhas e incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Princípios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Princípios de Saltzer e Schroeder . . . . . . . . . . . . . . . . . . . . .
. . Princípios NISTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . LatentDesignConditions . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ThePrecautionaryPrinciple . . . . . . . . . . . . . . . . . . . . . . . .
. CrosscuttingThemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SecurityEconomics . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Métodos de verificaçãoeFormais . . . . . . . . . . . . . . . . . . . . .
. . SecurityArchitectureandLifecycle . . . . . . . . . . . . . . . . . . . .
I Aspectos humanos, organizacionais e regulatórios
Gestão de Risco e Governança

. Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Qual é o risco? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Por que a avaliação e o gerenciamento de riscos são importantes? . . . . . . . . . . . . . .
. O que é avaliação e gerenciamento de risco cibernético? . . . . . . . . . . . . . . . .
. Riskgovernance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . O que é governança de risco e por que é essencial? . . . . . . . . . . . . .
ix
www.cybok.org
. . O fator humano e a comunicação de risco . . . . . . . . . . . . . . . . 6

. . Cultura de segurança e conscientização . . . . . . . . . . . . . . . . . . . . . .
. . EnactingSecurityPolicy . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.6 Avaliação de risco e princípios de gestão . . . . . . . . . . . . . . . . . .
.6. Perspectivas de componentes vs. sistemas . . . . . . . . . . . . . . . . . .
.6. ElementsofRisk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Métodos de avaliação e gestão de riscos . . . . . . . . . . . . . .
.6. Avaliação e gestão de risco em sistemas ciber-físicos e op-
tecnologia eracional . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. SecurityMetrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Continuidade de negócios: resposta a incidentes e planejamento de recuperação . . . . . . . . .
.8 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lei e Regulamentação
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Princípios introdutórios de direito e pesquisa jurídica . . . . . . . . . . . . . . . . .
. . A natureza do direito e análise jurídica . . . . . . . . . . . . . . . . . . . .
. . Aplicação da legislação ao ciberespaço e às tecnologias da informação . . . . . . .
. . Distinguir direito penal e civil . . . . . . . . . . . . . . . . . . . .
. . . Criminallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Direito civil (não criminal) . . . . . . . . . . . . . . . . . . . . . .
. . . Um ato: dois tipos de responsabilidade e dois tribunais . . . . . . . . . . . 6
. . A natureza da evidência e da prova . . . . . . . . . . . . . . . . . . . . . 6
. . Uma abordagem mais holística da análise de risco legal . . . . . . . . . . . . . .
. Jurisdição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Jurisdição territorial . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Jurisdição prescritiva . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Jurisdição prescritiva sobre o conteúdo online . . . . . . . . . . 6
. . . Jurisdição prescritiva sobre crime de computador . . . . . . . . . 6
. . . Jurisdição prescritiva e proteção de dados (GDPR) . . . . . 6
. . Jurisdição de execução . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Apreensão e confisco de bens em geral . . . . . . . . . . . . . 6
. . . Apreensão e confisco de servidores, nomes de domínio e registros 6
. . . Localização territorial do direito de exigir o reembolso do banco
depósitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Reconhecimento estrangeiro e execução de sentenças civis . . . 6
. . . A prisão de pessoas físicas em território estadual . . . . . . . . . 6
. . .6 Extradição de pessoas físicas . . . . . . . . . . . . . . . . . . 6
. . . Filtragem de conteúdo tecnológico . . . . . . . . . . . . . . . . . 6
. . .8 Pedidos para pessoas no estado que dirigem a produção de dados sob
seu controle seja mantido em sistemas de TI nacionais ou estrangeiros 6
. . . Assistência jurídica internacional . . . . . . . . . . . . . . . . . . 66
. . O problema da soberania dos dados . . . . . . . . . . . . . . . . . . . . . . 6
. Leis de privacidade em geral e interceptação eletrônica . . . . . . . . . . . . . . . 68
. . Normas internacionais: fundamentos do direito internacional dos direitos humanos 68
. . Interceptação por estado . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Interceptação por pessoas que não sejam estados . . . . . . . . . . . . . . . .
. . Aplicação das leis de privacidade - penalidades por violação . . . . . . . . . .
. Proteção de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página x
www.cybok.org
. . Assunto e foco regulatório . . . . . . . . . . . . . . . . . . . .

. . . Titular dos dados, dados pessoais (e PII) . . . . . . . . . . . . . .
. . . Processando . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Controlador e processador . . . . . . . . . . . . . . . . . . . . .
. . Princípios corregulatórios . . . . . . . . . . . . . . . . . . . . . . . . .
. . Investigação e prevenção do crime e atividades semelhantes . . . . . . 6
. . Medidas de segurança apropriadas . . . . . . . . . . . . . . . . . . . . . . . 6
. . Avaliação e projeto de sistemas de processamento . . . . . . . . . . . . .
. .6 Transferência internacional de dados . . . . . . . . . . . . . . . . . . . . . . . . .
. .6. Determinações de adequação e Privacy Shield . . . . . . . . .
. .6. Transferências sujeitas a salvaguardas . . . . . . . . . . . . . . . . . 8
. .6. Transferências de acordo com assistência jurídica mútua internacional
tratado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. .6. Derrogações que permitem transferências . . . . . . . . . . . . . . . . . 8
. . Personaldatabreachnoti cation . . . . . . . . . . . . . . . . . . . . .
. .8 Execução e penalidades . . . . . . . . . . . . . . . . . . . . . . . . . 8
. ComputerCrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Crimes contra sistemas de informação . . . . . . . . . . . . . . . . . . . 8
. . . Acesso impróprio a um sistema . . . . . . . . . . . . . . . . . . 8
. . . Interferência imprópria nos dados . . . . . . . . . . . . . . . . . 8
. . . Interferência imprópria com sistemas . . . . . . . . . . . . . . 8
. . . Interceptação inadequada de comunicação . . . . . . . . . . . 8
. . . Produzindo ferramentas de hacking com intenções impróprias . . . . . . 8
. . Exceções de minimis para crimes contra sistemas de informação . . . . . 8
. . A aplicação e as penas para crimes contra sistemas de informação
tems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atividade de estado garantido . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atividades de pesquisa e desenvolvimento conduzidas por pessoas não governamentais 8
. .6 Autoajuda desfavorecida: bloqueios e hack-back de software . . . . . . . . . . 8
. .6. Bloqueios de software não divulgados . . . . . . . . . . . . . . . . . . . 86
. .6. Hack-back . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
.6 Contrato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
.6. Contratos online: tempo do contrato e recebimento da comunicação contratual
cátion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. Estimular padrões de segurança via contrato . . . . . . . . . . . . . . . 88
.6. . Supplychain . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
.6. . Sistemas fechados de negociação e pagamento . . . . . . . . . . . . . 88
.6. . Liberdade de contrato e suas limitações . . . . . . . . . . . . 8
.6. Garantias e sua exclusão . . . . . . . . . . . . . . . . . . . . . . . 8
.6. Limitações de responsabilidade e exclusões de responsabilidade . . . . . . . . . . . . .
.6. Quebra de contrato e remédios . . . . . . . . . . . . . . . . . . . . . . .
.6.6 Efeito do contrato em partes não contratantes . . . . . . . . . . . . . . .
.6. Contratos de conflito . . . . . . . . . . . . . . . . . . . . . . . . .
. Tort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Negligência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Dever de cuidado: até onde vai . . . . . . . . . . . . . .
. . . Violação de dever: medindo a razoabilidade . . . . . . . . . . 6
. . . A interpretação de 'falha' difere por lugar e muda ao longo
tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xi
www.cybok.org
. . Responsabilidade estrita por produtos defeituosos . . . . . . . . . . . . . . . . . . . . 8

. . Limitar o âmbito da responsabilidade: causalidade legal . . . . . . . . . . . . . .
. . Responsabilidade quântica . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Atribuindo, repartindo e reduzindo a responsabilidade civil . . . . . . . . . . . .
. . . Responsabilidade vicária . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Responsabilidade solidária . . . . . . . . . . . . . . . . . . . . .
. . . Af rmativedefences . . . . . . . . . . . . . . . . . . . . . . .
. .6 Con ictoflaw – delito . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8 Propriedade intelectual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Compreendendo a propriedade intelectual . . . . . . . . . . . . . . . . . . . .
.8. Catálogo de direitos de propriedade intelectual . . . . . . . . . . . . . . . . .
.8. . Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Patentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Marcas registradas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.8. . Segredos comerciais . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Aplicação - remédios . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Criminabilidade . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Civilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.8. Engenharia reversa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.8. . Contornar medidas de proteção tecnológica de direitos autorais
.8. . Testando um algoritmo criptográfico proprietário . . . . . . . . .
.8. Tratamento internacional e conflito de leis . . . . . . . . . . . . . . . .
. Intermediários da Internet - proteções contra procedimentos de responsabilidade e retirada . . .
. Desmaterialização de documentos e serviços de confiança eletrónica . . . . . . . . .
. . Admissão em prova de documentos eletrônicos . . . . . . . . . . . .
. . Requisitos de forma e a ameaça de inexigibilidade . . . . . . . .
. . Assinaturas eletrônicas e serviços de confiança de identidade . . . . . . . . . . . . .
. . Conflito de leis - assinaturas eletrônicas e serviços fiduciários . . . . . . . .
. Outras questões regulatórias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Regulamentações específicas da indústria e Diretiva NIS . . . . . . . . . . . . . . 6
. . Incentivar o aumento da segurança cibernética para produtos e serviços . . . .
. . Restrições à exportação de tecnologias de segurança . . . . . . . . . . . . .
. . Mattersclassi edassecretbyastate . . . . . . . . . . . . . . . . . . 8
. Publicinternationallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atribuir ação a um estado de acordo com o direito internacional . . . . . . . . . . .
. . Statecyberoperationsingeneral . . . . . . . . . . . . . . . . . . . . .
. . Espionagem cibernética em tempo de paz . . . . . . . . . . . . . . . . . . . . . . .
. . Investigação criminal transfronteiriça . . . . . . . . . . . . . . . . . . . .
. . Theelawofarmedcon ict . . . . . . . . . . . . . . . . . . . . . . . . . .
. Ética . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Obrigações devidas ao cliente . . . . . . . . . . . . . . . . . . . . . . . .
. . Códigos de conduta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Teste de vulnerabilidade e divulgação . . . . . . . . . . . . . . . . . . . .
. . . Testingforvulnerabilities . . . . . . . . . . . . . . . . . . . .
. . . Divulgação de vulnerabilidades . . . . . . . . . . . . . . . . . . .
. . . Facilitar e agir sobre divulgações de vulnerabilidade . . . . . . 6
. Conclusão: LegalRiskManagement . . . . . . . . . . . . . . . . . . . . . . .
Referência Cruzada de Tópicos VS Material de Referência . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xii

www.cybok.org
Fatores humanos
. Introdução: Compreendendo o comportamento humano em segurança . . . . . . . . . . . . 6
. Segurança utilizável - o básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Ajustando a tarefa ao ser humano . . . . . . . . . . . . . . . . . . . . . . . .
. . . Capacidades e limitações humanas gerais . . . . . . . . . .
. . . Objetivos e tarefas . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . InteractionContext . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Capacidades e limitações do dispositivo . . . . . . . . . . .
. HumanError . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Conscientização e educação sobre segurança cibernética . . . . . . . . . . . . . . . . . . . . . 6
. . Novas abordagens para apoiar a conscientização da segurança e mudança de comportamento 6
. . Modelos mentais de riscos e defesas cibernéticas . . . . . . . . . . . . . . . 6
. PositiveSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.6 StakeholderEngagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. Funcionários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. Desenvolvedores de software e segurança utilizável . . . . . . . . . . . . . . . . . 6
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
Privacidade e direitos online

. PrivacyasCon dentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Dentialidade DataCon . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
... Controle de acesso baseado em criptografia . . . . . . . . . . . . . .
... Controle de inferência baseado em ofuscação . . . . . . . . . . . . . . 8
. . MetadataCon dentiality . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. PrivacyasControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Suporte para configuração de configurações privadas . . . . . . . . . . . . . . . . 88
. . Suporte para negociação de política de privacidade . . . . . . . . . . . . . . . . . . . 88
. . Suporte para interpretabilidade da política de privacidade . . . . . . . . . . . . . . . . . 8
. PrivacyasTransparency . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Transparência baseada em feedback . . . . . . . . . . . . . . . . . . . . . . . 8
. . Transparência baseada em auditoria . . . . . . . . . . . . . . . . . . . . . . . . .
. Tecnologias de privacidade e valores democráticos . . . . . . . . . . . . . . . . . .
. . Tecnologias de privacidade como suporte para sistemas políticos democráticos . . .
. . Resistência à censura e liberdade de expressão . . . . . . . . . . . . . .
. PrivacyEngineering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6 Conclusões . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II Ataques e defesas
6 tecnologias de malware e ataque

6. Ataxonomia de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. Programas potencialmente indesejados (PUPs) . . . . . . . . . . . . . . . . . .
6. Atividades Maliciosas por Malware . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. TheUndergroundEco-System . . . . . . . . . . . . . . . . . . . . . . .
6. MalwareAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. AnalysisTechniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6.. . StaticAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6.. . Dynamicanalysis . . . . . . . . . . . . . . . . . . . . . . . . . 8
6.. . Fuzzing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xiii
www.cybok.org
6.. . Execução Simbólica . . . . . . . . . . . . . . . . . . . . . . . .

6.. . ConcolicExecution . . . . . . . . . . . . . . . . . . . . . . . .
6.. AnalysisEnvironments . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. . Requisitos de segurança e ambiente vivo . . . . . . . . . .
6.. . VirtualisedNetworkEnvironments . . . . . . . . . . . . . . .
6.. Técnicas de anti-análise e evasão . . . . . . . . . . . . . . . . . .
6.. . Evitando os métodos de análise . . . . . . . . . . . . . . . . . .
6.. . Identificando os ambientes de análise . . . . . . . . . . . . .
6. MalwareDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. Identificando a presença de malware . . . . . . . . . . . . . . . . . . .
6.. . FindingMalwareinaHaystack . . . . . . . . . . . . . . . . .
6.. Detecção de ataques de malware . . . . . . . . . . . . . . . . . . . . . . .
6.. . Monitoramento baseado em host e em rede . . . . . . . . . .
6.. . Análise de segurança baseada em aprendizado de máquina . . . . . . . . . .
6.. . Evasão, contramedidas e limitações . . . . . . . . . .
6. MalwareResponse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. Interrupção das operações de malware . . . . . . . . . . . . . . . . . . . . .
6.. . Evasão e Contra-medidas . . . . . . . . . . . . . . . . .
6.. Atribuição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. . Evasão e Contra-medidas . . . . . . . . . . . . . . . . .
Comportamento Adversarial
. ACaracterização de Adversários . . . . . . . . . . . . . . . . . . . . . . . . .
. TheElementsofaMaliciousOperation . . . . . . . . . . . . . . . . . . . . . .
. Modelos para compreender as operações maliciosas . . . . . . . . . . . . . . . . . . .
8 Operações de segurança e gerenciamento de incidentes

8. Conceitos fundamentais . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Fluxos de trabalho e vocabulário . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Princípios arquitetônicos . . . . . . . . . . . . . . . . . . . . . . . . . . .
8. Monitorar: fontes de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Networktraf c . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Networkaggregates: Net ow . . . . . . . . . . . . . . . . . . . . . . .
8.. Informações de infraestrutura de rede . . . . . . . . . . . . . . . . . . . .
8.. . Nomenclatura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. . Roteamento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Logs de aplicativos: logs e arquivos do servidor web . . . . . . . . . . . . . . . . 6
8.. . Webserverlogs . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. . Arquivos e documentos . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Systemandkernellogs . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8. .6 Syslog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8. Analisar: métodos de análise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Detecção mal utilizada . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Detecção de anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. . Modelos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
8.. . Especi cação versus aprendizagem . . . . . . . . . . . . . . . . . . 66
8.. . Casos de adesão . . . . . . . . . . . . . . . . . . . . . 6
8.. Combinação de mau uso e detecção de anomalias . . . . . . . . . . . . . . . . . 6
8.. Machinelearning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
8.. Teste e validação de sistemas de detecção de intrusão . . . . . . . . . . . 68
CONTEÚDO | Outubro Página xiv
www.cybok.org
8. .6 Thebase-ratefallacy . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Contribuição do SIEM para análise e detecção . . . . . . . . . . . . .
8. Plano: Informações de segurança e gerenciamento de eventos . . . . . . . . . . . . . . .
8.. Coleta de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Correlação de alerta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Operações de segurança e benchmarking . . . . . . . . . . . . . . . . . .
8. Executar: Mitigação e contramedidas . . . . . . . . . . . . . . . . . . . .
8.. IntrusionPreventionSystems . . . . . . . . . . . . . . . . . . . . . . .
8.. Negação de serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Plataformas e contramedidas SIEM . . . . . . . . . . . . . . . . . .
8.. SOAR: Avaliação de impacto e risco . . . . . . . . . . . . . . . . . . . . 8
8.. Sitereliabilityengineering . . . . . . . . . . . . . . . . . . . . . . . . .
8.6 Conhecimento: Inteligência e análises . . . . . . . . . . . . . . . . . . . . . . .
8,6. Gestão do conhecimento da cibersegurança . . . . . . . . . . . . . . . . . . 8
8,6. Honeypots e redes de telefone . . . . . . . . . . . . . . . . . . . . . . . . . 8
8,6. Inteligência de ameaças cibernéticas . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8,6. Consciência situacional . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8. Fatores humanos: Gerenciamento de incidentes . . . . . . . . . . . . . . . . . . . . . . 8
8.. Prepare: Planejamento de gerenciamento de incidentes . . . . . . . . . . . . . . . . . 8
8.. Identificador: Resposta ao incidente real . . . . . . . . . . . . . . . . . . . . . 8
8.. Acompanhamento: atividades pós-incidente . . . . . . . . . . . . . . . . . . . . . 8
8.8 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
forense 8
. De nições e modelos conceituais . . . . . . . . . . . . . . . . . . . . . . . .
. . Preocupações legais e o padrão de Daubert . . . . . . . . . . . . . . . .
. . De nições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ConceptualModels . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . CognitiveTaskModel . . . . . . . . . . . . . . . . . . . . . .
. . . Bottom-UpProcesses . . . . . . . . . . . . . . . . . . . . . . 6
. . . Top-DownProcesses . . . . . . . . . . . . . . . . . . . . . . .
. . . TheForagingLoop . . . . . . . . . . . . . . . . . . . . . . . .
. . . TheSense-MakingLoop . . . . . . . . . . . . . . . . . . . . . 8
. . .6 Extração de dados x análise x interpretação jurídica . . . . . 8
. . . ForensicProcess . . . . . . . . . . . . . . . . . . . . . . . . .
. OperatingSystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StorageForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . DataAbstractionLayers . . . . . . . . . . . . . . . . . . . . .
. . DataAcquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . FilesystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . BlockDeviceAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Recuperação de dados e escultura de conteúdo de arquivo . . . . . . . . . . . . . . . . . . . 6
. MainMemoryForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. ApplicationForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . CaseStudy: theWebBrowser . . . . . . . . . . . . . . . . . . . . . . .
. CloudForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . CloudBasics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Desafios Forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SaaSForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xv
www.cybok.org
.6 ArtifactAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Encontrando um objeto de dados conhecido: Hashing criptográfico . . . . . . . . . .
.6. Análise em nível de bloco . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. ApproximateMatching . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Artefatos nativos da nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
III Segurança de Sistemas
Criptografia
. Matemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. CryptographicSecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SyntaxofBasicSchemes . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Definições básicas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HardProblems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SetupAssumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Simulação e segurança de UC . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Construções teoricamente seguras da informação . . . . . . . . . . . . . . . . .
. . One-TimePad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SecretSharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. SymmetricPrimitives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . BlockCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StreamCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HashFunctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Merkle-DamgårdConstruction . . . . . . . . . . . . . . . . .
. . . SpongeConstructions . . . . . . . . . . . . . . . . . . . . . .
. . . RandomOracleModel . . . . . . . . . . . . . . . . . . . . . .
. Criptografia e autenticação simétricas . . . . . . . . . . . . . . . . . . . .
. . Modos de operação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . MessageAuthenticationCodes . . . . . . . . . . . . . . . . . . . . . . 6
. . Derivação de teclas e funções de saída extensíveis . . . . . . . . . . . . 6
. . Merkle-TreesandBlockchains . . . . . . . . . . . . . . . . . . . . . . .
.6 PublicKeyEncryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. KEM-DEMPhilosophy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. ConstructionsbasedonRSA . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. ConstructionsbasedonEllipticCurves . . . . . . . . . . . . . . . . . .
.6. Construções baseadas em rede . . . . . . . . . . . . . . . . . . . . . . . .
. PublicKeySignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . RSA-PSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . DSA, EC-DSA andSchnorrSignatures . . . . . . . . . . . . . . . . . . .
.8 Protocolos padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Protocolos de autenticação . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Protocolos baseados em criptografia . . . . . . . . . . . . . . . . . . .
.8. . MessageAuthentication-BasedProtocols . . . . . . . . . . .
.8. . Baseado em conhecimento zero . . . . . . . . . . . . . . . . . . . . . .
.8. Principais protocolos de acordo . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . KeyTransport . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Dif e – HellmanKeyAgreement . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xvi

www.cybok.org
.8. . Protocolo estação a estação . . . . . . . . . . . . . . . . . . . . 6

. Protocolos avançados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . ObliviousTransfer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . PrivateInformationRetrievalandORAM . . . . . . . . . . . . . . . . .
. . Conhecimento zero . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . Protocolos Σ . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SecureMulti-PartyComputation . . . . . . . . . . . . . . . . . . . . . .
. Criptografia / assinaturas de chave pública com propriedades especiais . . . . . . . . . . .
. . GroupSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . RingSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . BlindSignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Criptografia baseada em identidade . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Criptografia linearmente homomórfica . . . . . . . . . . . . . . . . . . . . .
. .6FullyHomorphicEncryption . . . . . . . . . . . . . . . . . . . . . .
. ImplementationAspects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Sistemas operacionais e virtualização

. Modelo de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. O papel dos sistemas operacionais e seu design na segurança . . . . . . . . . . . 6
. Princípios e modelos de segurança do sistema operacional . . . . . . . . . . . . . . . . 66
. . Princípios de segurança em sistemas operacionais . . . . . . . . . . . . . . . . . 6
. . Modelos de segurança em sistemas operacionais . . . . . . . . . . . . . . . . . . . 68
. Primitivos para isolamento e mediação . . . . . . . . . . . . . . . . . . . . . . . 6
. . Autenticação e identificação . . . . . . . . . . . . . . . . . . . . .
. . Controladores de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Capacidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Acesso físico e exclusão segura . . . . . . . . . . . . . . . . . . .
. . Proteção de memória e espaços de endereço . . . . . . . . . . . . . . . . .
. .6 Extensões de hardware modernas para proteção da memória . . . . . . . . . .
. . Anéis de proteção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .8 Um anel para governar todos eles. E outro. E outro. . . . . . . . . . . . 8
. . Dispositivos simples e a IoT . . . . . . . . . . . . . . . . . . . . . . . . 8
. OperatingSystemHardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Ocultação de informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Restrições de controle . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Particionamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Verificações de código e integridade de dados . . . . . . . . . . . . . . . . . . . . . . 86
. . Detecção de anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
.6 Sistemas operacionais, hipervisores - e as áreas relacionadas? . . . . . . . . . . 88
. EmbracingSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Segurança de Sistemas Distribuídos

. ClassesofDistributedSystemsandVulnerabilities . . . . . . . . . . . . . . .
. . ClassesofDistributedSystems . . . . . . . . . . . . . . . . . . . . . .
. . ClassesofVulnerabilities & Threats . . . . . . . . . . . . . . . . . . . . 6
. . . Controle de acesso / admissão e gerenciamento de ID . . . . . . . . .
. . . DataTransportation . . . . . . . . . . . . . . . . . . . . . . .
. . . Serviços de gestão e coordenação de recursos . . . . . . 8
. . . DataSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Sistemas Distribuídos: Modelos PP Descentralizados . . . . . . . . . . . . . . . . . 8
CONTEÚDO | Outubro Página xvii
www.cybok.org
. . Protocolos P não estruturados . . . . . . . . . . . . . . . . . . . . . . . .

. . Protocolos P StructuredP . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HybridP PProtocols . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HierarchicalP PProtocols . . . . . . . . . . . . . . . . . . . . . . . . .
. Sistemas Distribuídos: Atacando Sistemas PP . . . . . . . . . . . . . . . . . . .
. . AttackTypes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Resumo . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Ataques e suaMitigação . . . . . . . . . . . . . . . . . . . . . . . .
. Sistemas Distribuídos: Clustering de recursos coordenados . . . . . . . . . . . . . 6
. . SystemsCoordinationStyles . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Comunicação de grupo confiável e segura . . . . . . . . . . . . . . . 8
. . Propriedades de coordenação . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Esquema de coordenação e gerenciamento de replicação: a base por trás
AttackMitigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Sistemas Distribuídos: Classes de Coordenação e Capacidade de ataque . . . . . . . . . .
. . A classe de coordenação de recursos - visão da infraestrutura . . . . . . . .
. . A aula de coordenação de serviços - Visão de aplicativos . . . . . . . . . . 8
Autenticação, autorização e responsabilidade (AAA)

. Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. Conteúdo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Autorização . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . AccessControl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . CoreConcepts . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . SecurityPolicies . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Role-basedAccessControl . . . . . . . . . . . . . . . . . . .
. . . Attribute-basedAccessControl . . . . . . . . . . . . . . . . .
. . . Code-basedAccessControl . . . . . . . . . . . . . . . . . . .
. . .6 MobileSecurity . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . DigitalRightsManagement . . . . . . . . . . . . . . . . . . .
. . .8 UsageControl . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . EnforcingAccessControl . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . DelegaçãoeRevocação . . . . . . . . . . . . . . . . . . .
. . . ReferenceMonitor . . . . . . . . . . . . . . . . . . . . . . . .
. . . Tipos de monitores de referência . . . . . . . . . . . . . . . . . .
. . Teoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . SecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . EnforceablePolicies . . . . . . . . . . . . . . . . . . . . . . .
. . . AccessControlLogics . . . . . . . . . . . . . . . . . . . . . .
. AccessControlinDistributedSystems . . . . . . . . . . . . . . . . . . . . . .
. . CoreConcepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Políticas baseadas na origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Cross-siteScripting . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Cross-originResourceSharing . . . . . . . . . . . . . . . . .
. . FederatedAccessControl . . . . . . . . . . . . . . . . . . . . . . . . .
. . Criptografia e controle de acesso . . . . . . . . . . . . . . . . . . . . .
. . . Attribute-BasedEncryption . . . . . . . . . . . . . . . . . . . 8
. . . Key-centricAccessControl . . . . . . . . . . . . . . . . . . . 8
. Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
CONTEÚDO | Outubro Página xviii
www.cybok.org
. . IdentityManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . UserAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Biometria para autenticação . . . . . . . . . . . . . . . . . .
. . . AuthenticationTokens . . . . . . . . . . . . . . . . . . . . . .
. . . BehaviouralAuthentication . . . . . . . . . . . . . . . . . . .
. . . FA de autenticação de dois fatores . . . . . . . . . . . . . . . . .
. . Autenticação em Sistemas Distribuídos . . . . . . . . . . . . . . . . . .
. . . Needham-SchroederProtocol . . . . . . . . . . . . . . . . . .
. . . Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . OAuth –OpenIDConnect . . . . . . . . . . . . . . . . . . . 6
. . FacetsofAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . PatternsforEntityAuthentication . . . . . . . . . . . . . . . .
. . . CorrespondenceProperties . . . . . . . . . . . . . . . . . . . 8
. . . Autenticação como Associação Verificada . . . . . . . . . . . . .
. . . Autenticação para crédito ou para responsabilidade . . . . . . . . .
.6 Responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Aspectos técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. . AuditPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. . Preservando o Evidência . . . . . . . . . . . . . . . . . . . . .
.6. . Analisando as evidências . . . . . . . . . . . . . . . . . . . . . .
.6. . Avaliando a evidência . . . . . . . . . . . . . . . . . . . . .
.6. Privacidade e responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . .
.6. DistributedLogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Conceitos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IV Segurança da plataforma de software

Segurança de software
. Categorias de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . MemoryManagementVulnerabilities . . . . . . . . . . . . . . . . . . . 6
. . StructuredOutputGenerationVulnerabilities . . . . . . . . . . . . . . . 6
. . RaceConditionVulnerabilities . . . . . . . . . . . . . . . . . . . . . . . 6
. . APIVulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Vulnerabilidades do canal lateral . . . . . . . . . . . . . . . . . . . . . . . . 6
. .6 Discussão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. .6. Uma melhor conexão com os objetivos gerais de segurança precisa de mais
especificações complexas . . . . . . . . . . . . . . . . . . . . . . 6
. .6. As vulnerabilidades do canal lateral são diferentes . . . . . . . . . . . . 66
. .6. Vulnerabilidades como falhas . . . . . . . . . . . . . . . . . . . . . 66
. Prevenção de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . LanguageDesignandTypeSystems . . . . . . . . . . . . . . . . . . . 6
. . . Vulnerabilidades de gerenciamento de memória . . . . . . . . . . . . . . 68
. . . Vulnerabilidades de geração de saída estruturadas . . . . . . . . . . 68
. . . Vulnerabilidades de condição racial . . . . . . . . . . . . . . . . . . 6
. . . Outras vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . 6
. . APIDesign . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xix
www.cybok.org
. . CodingPractices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Detecção de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StaticDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Detecção heurística estática . . . . . . . . . . . . . . . . . . . .
. . . Verificação estática do som . . . . . . . . . . . . . . . . . . . . .
. . DynamicDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Gerando execuções relevantes . . . . . . . . . . . . . . . . .
. Mitigando a exploração de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . 6
. . RuntimeDetectionofAttacks . . . . . . . . . . . . . . . . . . . . . . . 6
. . AutomatedSoftwareDiversity . . . . . . . . . . . . . . . . . . . . . . .
. . LimitingPrivileges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SoftwareIntegrityChecking . . . . . . . . . . . . . . . . . . . . . . . . 8
Segurança da web e móvel 8

. Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Conceitos e abordagens fundamentais . . . . . . . . . . . . . . . . . . . . . 86
. . Appi cation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Webi cação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . UniformResourceLocators . . . . . . . . . . . . . . . . . . . 88
. . . HypertextTransferProtocol . . . . . . . . . . . . . . . . . . . 88
. . . HypertextMarkupLanguage . . . . . . . . . . . . . . . . . . 8
. . . CascadingStyleSheets . . . . . . . . . . . . . . . . . . . . .
. . . JavaScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .6 WebAssembly . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . WebViews . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ApplicationStores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Sandboxing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . ApplicationIsolation . . . . . . . . . . . . . . . . . . . . . . .
. . . ContentIsolation . . . . . . . . . . . . . . . . . . . . . . . . .
. . Controle de acesso baseado em diálogo de permissão . . . . . . . . . . . . . . . . .
. . . TheSecurityPrincipals . . . . . . . . . . . . . . . . . . . . . .
. . . TheReferenceMonitor . . . . . . . . . . . . . . . . . . . . . .
. . . TheSecurityPolicy . . . . . . . . . . . . . . . . . . . . . . . .
. . . DifferentPermissionApproaches . . . . . . . . . . . . . . . .
. .6 WebPKIeHTTPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . HTTPAuthentication . . . . . . . . . . . . . . . . . . . . . . . 8
. . . MobileDeviceAuthentication . . . . . . . . . . . . . . . . . .
. .8 Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Senhase alternativas . . . . . . . . . . . . . . . . . . . . . . . .
. . . PasswordPolicies . . . . . . . . . . . . . . . . . . . . . . . .
. . . PasswordStrengthMeters . . . . . . . . . . . . . . . . . . . .
. . . PasswordManagers . . . . . . . . . . . . . . . . . . . . . . .
. . . Multi-FactorAuthentication . . . . . . . . . . . . . . . . . . .
. . . WebAuthn . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . .6 OAuth . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . FrequentSoftwareUpdates . . . . . . . . . . . . . . . . . . . . . . . .
. Vulnerabilidades e atenuações do lado do cliente . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xx

www.cybok.org
. . Phishing e clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ClientSideStorage . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . ClientSideStorage no navegador . . . . . . . . . . . . . . . 6
. . . Armazenamento do lado do cliente em aplicativos móveis . . . . . . . . . . . 6
. . Ataques físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Smudgeattacks . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . ShoulderSur ng . . . . . . . . . . . . . . . . . . . . . . . . .
. ServerSideVulnerabilitiesandMitigations . . . . . . . . . . . . . . . . . . . .
. . InjectionVulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . SQL-Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . CommandInjections . . . . . . . . . . . . . . . . . . . . . . .
. . . UserUploadedFiles . . . . . . . . . . . . . . . . . . . . . . .
. . . LocalFileInclusion . . . . . . . . . . . . . . . . . . . . . . . .
. . . Cross-SiteScripting (XSS) . . . . . . . . . . . . . . . . . . . .
. . .6 Cross-SiteRequestForgery . . . . . . . . . . . . . . . . . . .
. . Erros de configuração do servidor e componentes vulneráveis . . . . . . . .
. . . Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . LoadBalancers . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Bancos de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 Ciclo de vida seguro do software

6. Motivação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6. Processos de ciclo de vida de software seguros e prescritivos . . . . . . . . . . . . . . . .
6.. SecureSoftwareLifecycleProcesses . . . . . . . . . . . . . . . . . . .
6.. . MicrosoftSecurityDevelopmentLifecycle (SDL) . . . . . . .
6.. . Pontos de contato . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6.. . SAFECode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6.. Comparando os modelos de ciclo de vida de software seguro . . . . . . . . . . . .
6. Adaptações do Ciclo de Vida do Software Seguro . . . . . . . . . . . . . . . . . .
6.. Desenvolvimento Ágil de Software e DevOps . . . . . . . . . . . . . . . . .
6.. Móvel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. CloudComputing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6.. InternetofThings (IoT) . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
6.. RoadVehicles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6. .6 ECommerce / PaymentCardIndustry . . . . . . . . . . . . . . . . . . .
6. Avaliação do ciclo de vida do software seguro . . . . . . . . . . . . . . . . . . . . .
6.. SAMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. BSIMM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.. TheCommonCriteria . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6. AdoptingaSecureSoftwareLifecycle . . . . . . . . . . . . . . . . . . . . . . .
Segurança de infraestrutura V
Segurança de rede
. Arquitetura da Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Protocolos de rede e vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xxi
www.cybok.org
. Segurança da camada de aplicativo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

. . PublicKeyInfrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . DNSSecurityExtensions . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HyperTextTransferProtocolSecure (HTTPS) . . . . . . . . . . . . . . 8
. . Segurança NetworkTimeProtocol (NTP) . . . . . . . . . . . . . . . . . . 8
. Segurança da camada de transporte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Aperto de mão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Derivação de chave . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Transferência de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Conexões UDP rápidas com a Internet (QUIC) . . . . . . . . . . . . . . . . . 6
. NetworkLayerSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . IPMasquerading . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Segurança IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . RoutingProtocolSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . 66
. . . Segurança do Border Gateway Protocol (BGP) . . . . . . . . . . . . 66
.6 LinkLayerSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.6. IEEE8. Autenticação baseada em XPort . . . . . . . . . . . . . . . . . . 6
.6. . ExtensibleAuthenticationProtocol (EAP) . . . . . . . . . . . 68
.6. AttackOnEthernetSwitch . . . . . . . . . . . . . . . . . . . . . . . . . 6
. WirelessLANSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . RobustSecurityNetwork (RSN) . . . . . . . . . . . . . . . . . . . . . .
.8 NetworkDefenceTools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. PacketFilters / Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. ApplicationGateway (AG) . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Circuit-levelGateway (CG) . . . . . . . . . . . . . . . . . . . . . . . . .
.8. IntrusionDetectionSystems (IDS) . . . . . . . . . . . . . . . . . . . . .
.8. AnIntrusionPreventionSystem (IPS) . . . . . . . . . . . . . . . . . . . 6
.8.6 Projeto da arquitetura da rede . . . . . . . . . . . . . . . . . . . . . . . .
. AdvancedNetworkSecurityTopics . . . . . . . . . . . . . . . . . . . . . . . .
. . SoftwareDe nedNetwork, virtualização . . . . . . . . . . . . . . . . .
. . Segurança da Internet das Coisas (IoT) . . . . . . . . . . . . . . . . . . . . . . 8
8 Segurança de Hardware 8
8. Ciclo de projeto de hardware e sua ligação com a segurança de hardware . . . . . . . . . . . . . 8
8.. Shortbackgroundonhardwaredesignprocess . . . . . . . . . . . 8
8.. Rootoftrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Modelo de ameaça . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Raiz de confiança, modelo de ameaça e camadas de abstração de design de hardware . . 8
8. Medir a segurança do hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. FIPS - . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Critérios comuns e EMVCo . . . . . . . . . . . . . . . . . . . . . . . 8
8.. SESIP: Padrão de avaliação de segurança para plataformas IoT . . . . . . . . . 88
8. SecurePlatforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. HSMHardwareSecurityModule . . . . . . . . . . . . . . . . . . . . . . 8
8.. SecureElementandSmartcard . . . . . . . . . . . . . . . . . . . . . . 8
8.. TrustedPlatformModule (TPM) . . . . . . . . . . . . . . . . . . . . . .
8. Suporte de hardware para segurança de software em nível de arquitetura . . . . . . . . . .
8.. TrustedExecutionEnvironment (TEE) . . . . . . . . . . . . . . . . . . .
8.. IBM 8Securecoprocessor . . . . . . . . . . . . . . . . . . . . . . .
CONTEÚDO | Outubro Página xxii
www.cybok.org
8.. ARMTrustzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Arquiteturas de módulo protegido e soluções de co-design de HWSW . . .
8.. Soluções leves e individuais . . . . . . . . . . . . . . . . . . .
8. Projeto de hardware para algoritmos criptográficos em nível RTL . . . . . . . . . . .
8.. Processo de design de RTL para ASIC ou FPGA . . . . . . . . . . . . . . . .
8.. Algoritmos criptográficos em nível RTL . . . . . . . . . . . . . . . . . . . 6
8.6 Ataques de canal lateral, ataques de falha e contramedidas . . . . . . . . . . . .
8,6. Ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8,6. Contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8. Blocos de construção geradores de entropia: números aleatórios, fisicamente impossíveis de clonar
funções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Randomnumbergeneration . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Funções fisicamente não clonáveis . . . . . . . . . . . . . . . . . . . . . . 6
8.8 Hardwaredesignprocess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Projeto e fabricação de circuitos integrados de silício . . . . . . . . . . . 6
8,8. Trojancircuits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Circuitleveltechniques . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. BoardLevelSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Segurança de sistemas ciber-físicos 6

. Sistemas Ciber-Físicos e seus Riscos de Segurança . . . . . . . . . . . . . . . . . 6 8
. . Características do CPS . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Proteções contra eventos naturais e acidentes . . . . . . . . . . . 6
. . SecurityandPrivacyConcerns . . . . . . . . . . . . . . . . . . . . . . . 6
. . . AttacksAgainstCPSs . . . . . . . . . . . . . . . . . . . . . . 6
. . . High-Pro le, Real-WorldAttacksAgainstCPSs . . . . . . . . 6
. CrosscuttingSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . PreventingAttacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . Detectando ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . MitigatingAttacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. CPSDomains . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . IndustrialControlSystems . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . ElectricPowerGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . SmartGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . Sistemas de Transporte e Veículos Autônomos . . . . . . . . . . . 6
. . . Veículos terrestres, aéreos e marítimos . . . . . . . . . . . . . . . . . . 6
. . Robótica e Manufatura Avançada . . . . . . . . . . . . . . . . . . 6
. . Dispositivos Médicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. .6 A Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. AspectospolíticosepolíticosdeSegurançaCPS . . . . . . . . . . . . . . . . . . . 6
. . Incentivos e regulamentação . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Cyber-Con ict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6
. . Práticas e Padrões da Indústria . . . . . . . . . . . . . . . . . . . . . 6 8
Segurança da camada física e telecomunicações 6

. Esquemas da camada física para confidencialidade, integridade e controle de acesso . . . 6
. . KeyEstablishmentbasedonChannelReciprocity . . . . . . . . . . . . 6
. . Abordagens suportadas por MIMO: Cegamento ortogonal, Forçamento zero . . . 6
CONTEÚDO | Outubro Página xxiii
www.cybok.org
. . SecrecyCapacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . FriendlyJamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Usando a camada física para proteger a integridade dos dados . . . . . . . . . . . . . . 6 6
. .6 Baixa probabilidade de interceptação e comunicação oculta . . . . . . . . 6 6
. Comunicação Resiliente a Jamming e Jamming . . . . . . . . . . . . . . . . 6
. . Técnicas de Espectro de Espalhamento Coordenado . . . . . . . . . . . . . . . . 6
. . Técnicas de Espectro de Espalhamento Descoordenado . . . . . . . . . . . . . . 6 8
. . Aniquilação de sinais e sombra . . . . . . . . . . . . . . . . . . 6
. Identificação da camada física . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . DeviceunderIdenti cation . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Sinais de identificação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . DeviceFingerprints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Ataques à identificação da camada física . . . . . . . . . . . . . . . . . 6
. Limite de distância e posicionamento seguro . . . . . . . . . . . . . . . . . . . . 6
. . DistanceBoundingProtocols . . . . . . . . . . . . . . . . . . . . . . . 6
. . Técnicas de medição de distância . . . . . . . . . . . . . . . . . . . . 6
. . Ataques da camada física na medição segura de distâncias . . . . . . . 6
. . SecurePositioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. CompromisingEmanationsandSensorSpoo ng . . . . . . . . . . . . . . . . 6 8
. . CompromisingEmanations . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . SensorCompromise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.6 Segurança da camada física de tecnologias de comunicação selecionadas . . . . . . . 66
.6. Comunicação de campo próximo (NFC) . . . . . . . . . . . . . . . . . . . . . . 66
.6. AirTraf cCommunicationNetworks . . . . . . . . . . . . . . . . . . . 66
.6. CellularNetworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. GNSSSegurançaeSpoo ngAttacks . . . . . . . . . . . . . . . . . . . 66
Apêndice VI 6
Bibliografia 6
Siglas
Glossário 8
CONTEÚDO | Outubro Página xxiv
Página 27
Capítulo
Introdução
Andrew Martin University of Oxford
Howard Chivers University of York
George Danezis University College de Londres
Steve Schneider University of Surrey
Emil Lupu Imperial College de Londres

www.cybok.org
A segurança cibernética está se tornando um elemento importante nos currículos de todos os níveis de ensino. Contudo,
o conhecimento básico sobre o qual o campo da segurança cibernética está sendo desenvolvido é frag-
e, como resultado, pode ser difícil para alunos e educadores mapear
caminhos de progressão pelo sujeito. Por comparação, disciplinas científicas maduras, como
matemática, física, química e biologia estabeleceram conhecimentos básicos e
caminhos de aprendizagem claros. Dentro da engenharia de software, o IEEE Software Engineering Body
of Knowledge [ ] codifica o conhecimento fundamental sobre o qual uma gama de programas educacionais
gramas podem ser construídos. Há uma série de esforços anteriores e atuais para estabelecer
estruturas de habilidades, áreas de tópicos principais e diretrizes curriculares para segurança cibernética. No entanto, um
não foi alcançado consenso sobre o que a comunidade diversificada de pesquisadores, educadores,
e os profissionais vêem como conhecimento básico estabelecido em segurança cibernética.
O Corpo de Conhecimento de Segurança Cibernética (CyBOK) visa codificar o fundamento e, de modo geral,
conhecimento reconhecido em segurança cibernética. Da mesma forma que SWEBOK , CyBOK significa
para ser um guia para o corpo de conhecimento; o conhecimento que codifica já existe em lit-
eratura, como livros, artigos de pesquisa acadêmica, relatórios técnicos, white papers e
padrões. Nosso foco é, portanto, mapear o conhecimento estabelecido e não replicá-lo totalmente
tudo o que já foi escrito sobre o assunto. Programas educacionais variando
do ensino médio e de graduação à pós-graduação e profissional continuado
programas de desenvolvimento podem ser desenvolvidos com base no CyBOK.
Esta introdução tem como objetivo colocar as áreas de conhecimento (KAs) do CyBOK em um co-
quadro geral inerente. Cada KA assume um acordo básico sobre o vocabulário geral,
objetivos e abordagens para a segurança cibernética, e aqui nós fornecemos o material comum que
sustenta todo o corpo de conhecimento. Começamos com uma visão geral da segurança cibernética como
um tópico, e algumas definições básicas, antes de introduzir as áreas de conhecimento. Os KAs e
seus agrupamentos em categorias são, é claro, não ortogonais e há uma série de
pendências entre os KAs que são referenciadas e também capturadas separadamente visualmente
no site do CyBOK (https://www.cybok.org) Em seguida, discutimos como o conhecimento nos KAs
pode ser implantado para compreender os meios e objetivos da segurança cibernética, mitigar contra
falhas e incidentes e gerenciar riscos.
Embora tenhamos necessariamente dividido o CyBOK em uma série de áreas de conhecimento distintas
(KAs), é claro que existem muitas inter-relações entre eles. Aqueles com profissional
responsabilidade por uma área normalmente deve ter pelo menos uma compreensão moderada da parte superior adjacente
ics; alguém responsável por arquitetar um sistema seguro deve compreender muitos. Existem
uma série de princípios unificadores e temas transversais - economia da segurança; verificação
e métodos formais; e arquitetura e ciclo de vida de segurança - que sustentam o desenvolvimento
de sistemas que satisfazem propriedades de segurança específicas. Concluímos a introdução por dis-
discutindo tais princípios e temas.
. DEFINIÇÃO DE SEGURANÇA CIBERNÉTICA

As áreas de conhecimento do CyBOK assumem um vocabulário comum e um entendimento básico de um
número de tópicos centrais para o campo. Embora este Corpo de Conhecimento seja descritivo de
conhecimento (em vez de buscar inovar ou restringir), é evidente que o uso de
terminologia compartilhada em um mapa conceitual estabelecido é crucial para o desenvolvimento da disciplina
pline como um todo. Visto que nosso principal objetivo é fornecer um guia para o Corpo de Conhecimento, nós iremos
fornecer referências a outras definições, em vez de apresentar a nossa.
Segurança cibernética tornou-se um termo abrangente, como ilustra nossa definição de trabalho:
KA Introdução | Outubro Página

www.cybok.org
De nição: segurança cibernética se refere à proteção de sistemas de informação (hardware,

software e infraestrutura associada), os dados sobre eles e os serviços que fornecem,
de acesso não autorizado, dano ou uso indevido. Isso inclui danos causados intencionalmente
pelo operador do sistema, ou acidentalmente, como resultado de não seguir a segurança
procedimentos.
Estratégia Nacional de Segurança Cibernética do Reino Unido [ ]
Esta é uma definição sucinta, mas expressa a amplitude da cobertura dentro do tópico. Vários
outras definições estão em uso, e um documento da ENISA [ ] examina várias delas.
A consideração dos comportamentos humanos é um elemento crucial de tal definição, mas discutivelmente
ainda falta uma menção ao impacto sobre eles da perda de informações ou redução da segurança,
ou de como as violações de segurança e privacidade afetam a confiança em sistemas conectados e infra-estrutura
turas. Além disso, a segurança deve ser equilibrada com outros riscos e requisitos - de um ser humano
Da perspectiva dos fatores, é necessário não interromper a tarefa principal.
Um grande contribuidor para a noção de segurança cibernética é a Segurança da Informação , amplamente considerada como
composto por três elementos principais:
De nição: Segurança da informação. Preservação da confidencialidade, integridade e disponibilidade
de informação.
Além disso, outras propriedades, como autenticidade, responsabilidade, não repúdio e

a confiabilidade também pode estar envolvida.
ISO de nição [6]
Para definições dos termos subsidiários, o leitor deve consultar o ISO de nições [6]
Durante o desenvolvimento da era digital, outros 'títulos' tiveram destaque, incluindo Com-
segurança de computador e segurança de rede ; noções relacionadas incluem garantia de informações e sistemas
tems Segurança - talvez no contexto da Engenharia de Sistemas ou Engenharia de Segurança .
Esses termos são facilmente confundidos e parece que muitas vezes um termo é usado quando outro é
significou.
Muitos desses termos foram sujeitos à crítica de que colocam uma confiança excessiva na técnica
controles de calibração e se concentram quase exclusivamente nas informações . Ampliando-os para se relacionar com o ciber-
sistemas físicos podem estar levando-os longe demais: na verdade, nossa definição de trabalho acima dos privilégios
a noção de informação (embora também mencionando serviços ) - enquanto que no caso de rede-
atuadores conectados, o desafio urgente é prevenir ações físicas indesejadas .
Além disso, em alguns relatos sobre o tema, o ciberespaço é melhor entendido como um 'lugar' no qual
negócios são conduzidos, comunicações humanas acontecem, arte é feita e apreciada, relação
navios são formados e desenvolvidos, e assim por diante. Neste lugar, crimes cibernéticos, terrorismo cibernético e
pode ocorrer guerra cibernética, com impactos 'reais' e 'virtuais'. Considerado como um todo, o CyBOK
delineia uma grande variedade de tópicos que parecem estar dentro do amplo escopo da segurança cibernética ,
mesmo que uma redução sucinta daquelas em uma definição curta permaneça indefinida. O escopo completo de
O CyBOK pode servir como uma definição estendida do tópico - conforme resumido a seguir.
www.cybok.org
Figura . : As áreas de conhecimento (KAs) no escopo do CyBOK
. ÁREAS DE CONHECIMENTO DO CYBOK

O CyBOK é dividido em dezenove áreas de conhecimento de nível superior (KAs), agrupados em cinco
categorias, conforme mostrado na Figura .. Claramente, outras categorizações possíveis desses KAs podem
ser igualmente válido e, em última análise, parte da estrutura é relativamente arbitrária. O CyBOK PREF-
ace descreve o processo pelo qual esses KAs foram identificados e escolhidos.
Nossas categorias não são inteiramente ortogonais. O objetivo é capturar o conhecimento relacionado
à segurança cibernética em si : a fim de dar sentido a parte desse conhecimento, auxiliar e
conhecimento prévio é necessário - seja no design de hardware e software, ou em
diversos outros campos, como o direito.
Página 31
Aspectos humanos, organizacionais e regulatórios

Gerenciamento de riscos & Sistemas de gerenciamento de segurança e controles de segurança organizacional, incluindo padrões,
Governança melhores práticas e abordagens para avaliação e mitigação de riscos.
Requisitos estatutários e regulamentares internacionais e nacionais, obrigações de conformidade e

ética de segurança, incluindo proteção de dados e desenvolvimento de doutrinas sobre guerra cibernética.
Segurança utilizável, fatores sociais e comportamentais que afetam a segurança, cultura de segurança e
Fatores humanos
conscientização, bem como o impacto dos controles de segurança no comportamento do usuário.
Técnicas para proteger informações pessoais, incluindo comunicações, aplicativos e

inferências de bancos de dados e processamento de dados. Também inclui outros sistemas de suporte
direitos online envolvendo censura e evasão, dissimulação, eleições eletrônicas e
privacidade em sistemas de pagamento e identidade.
Ataques e defesas
Malware e ataque Detalhes técnicos de exploits e sistemas maliciosos distribuídos, juntamente com os associados
Tecnologias abordagens de descoberta e análise.
As motivações, comportamentos e métodos usados por invasores, incluindo cadeias de suprimentos de malware,
Comportamentos Adversários
vetores de ataque e transferências de dinheiro.
Operações de segurança e A configuração, operação e manutenção de sistemas seguros, incluindo a detecção de

Gestão de Incidentes e resposta a incidentes de segurança e coleta e uso de inteligência contra ameaças.
A coleta, análise e relato de evidências digitais em apoio a incidentes ou crimes

forense
eventos.
Segurança de Sistemas
Principais primitivas de criptografia como praticadas atualmente e algoritmos emergentes, técnicas para
Criptografia
análise destes e dos protocolos que os utilizam.
Mecanismos de proteção de sistemas operacionais, implementação de abstração segura de hardware,

Sistemas operacionais &
e compartilhamento de recursos, incluindo isolamento em sistemas multiusuário, virtualização segura e
Segurança de virtualização
segurança em sistemas de banco de dados.
Mecanismos de segurança relacionados a sistemas distribuídos coordenados em larga escala, incluindo

Sistemas distribuídos
aspectos de consenso seguro, tempo, sistemas de eventos, sistemas ponto a ponto, nuvens, multilocatário
Segurança
centros de dados e livros-razão distribuídos.
Autenticação,
Todos os aspectos do gerenciamento de identidade e tecnologias de autenticação e arquiteturas e
Autorização, &
ferramentas para apoiar a autorização e responsabilidade em sistemas isolados e distribuídos.
Prestação de contas
Segurança de software e plataforma

Categorias conhecidas de erros de programação que resultam em bugs de segurança e técnicas para evitar
Segurança de software esses erros - tanto por meio da prática de codificação quanto do design aprimorado da linguagem - e ferramentas,
técnicas e métodos para detecção de tais erros em sistemas existentes.
Problemas relacionados a aplicativos e serviços da web distribuídos em dispositivos e estruturas,

Segurança da web e móvel
incluindo os diversos paradigmas de programação e modelos de proteção.
Software Seguro A aplicação de técnicas de engenharia de software de segurança em todos os sistemas

Ciclo da vida ciclo de vida do desenvolvimento, resultando em software que é seguro por padrão.
Segurança de infraestrutura
Aspectos de segurança de protocolos de rede e telecomunicações, incluindo a segurança de
Segurança de rede roteamento, elementos de segurança de rede e protocolos criptográficos específicos usados para rede
segurança.
Segurança no design, implementação e implantação de uso geral e especialista

Segurança de Hardware
hardware, incluindo tecnologias de computação confiáveis e fontes de aleatoriedade.
Desafios de segurança em sistemas ciberfísicos, como a Internet das Coisas e industriais
Sistemas
SegurançaCiber-Físicos sistemas de controle, modelos de invasores, projetos protegidos e de segurança de grande escala
infraestruturas.
Camada física &

Preocupações de segurança e limitações da camada física, incluindo aspectos de radiofrequência
Telecomunicações
codificações e técnicas de transmissão, radiação não intencional e interferência.
Segurança
Figura . : Breves descrições das áreas de conhecimento do CyBOK
www.cybok.org
. IMPLEMENTAÇÃO DO CONHECIMENTO DO CYBOK PARA O ENDEREÇO

PROBLEMAS DE SEGURANÇA
.. Meios e objetivos da segurança cibernética

Implícito nas definições acima está que a segurança cibernética envolve proteção contra um adversário
ou, possivelmente, contra algum outro processo físico ou aleatório. O último implica algum excesso
entre as noções de segurança e proteção , embora seja indiscutivelmente possível ter qualquer
sem o outro. No domínio da segurança, se a nossa modelagem levar em conta malícia, será necessário
englobam essencialmente acidentes e processos aleatórios. Portanto, fundamental para qualquer consideração
de segurança é a modelagem desses adversários: seus motivos para o ataque, as ameaças que eles
pose e os recursos que eles podem utilizar.
Ao considerar essas ameaças, a segurança cibernética é muitas vezes expressa em termos de instituir um número
ber de controles que afetam pessoas, processos e tecnologia. Alguns deles se concentrarão no
prevenção de maus resultados, enquanto outros são mais bem abordados por meio de detecção e
reação . A seleção desses controles é geralmente abordada por meio de um processo de Risk Man-
gestão (veja abaixo, e a Área de Conhecimento de Gestão de Risco e Governança (Capítulo ) )
- embora cada vez mais ênfase seja colocada em Fatores Humanos (ver o Conhecimento de Fatores Humanos -
Edge Area (Capítulo )) , observando a necessidade de alavancar os humanos como um pilar para melhorar o ciber
culturas de segurança, bem como apoiá-las na proteção de sua privacidade online (consulte a seção Privacidade
& On-line Direitos Área de Conhecimento (capítulo ) ).
Da mesma forma, a segurança requer uma análise das vulnerabilidades dentro do sistema em consideração:
um sistema (hipotético) sem vulnerabilidades seria imune a todas as ameaças; um altamente
sistema vulnerável colocado em circunstâncias totalmente benignas (sem ameaças) não teria segurança
incidentes, também.
O uso pretendido de controles de segurança dá origem a suas próprias dúvidas sobre se eles são
implantados de forma adequada, e se eles são eficazes: estes pertencem ao domínio da segurança
garantia de segurança , que possui processos e controles próprios. Isso envolverá risco residual
análise (veja abaixo, e a Área de Conhecimento de Gestão de Risco e Governança (Capítulo ) )
que inclui uma tentativa de medir e quantificar a presença de vulnerabilidades.
.. Falhas e Incidentes
Quando os adversários alcançam seu objetivo (total ou parcialmente) - quando os ataques são bem-sucedidos - a coleta
ção dos controles de segurança pode ter falhado. Alternativamente, podemos dizer que insuficiente
ou controles ineficazes estavam em vigor. Operacionalmente falando, uma ou mais falhas podem dar
originar um incidente de segurança. Normalmente, esses incidentes podem ser descritos em termos de danos a
que eles dão origem: de acordo com nossa definição de cibersegurança, isso normalmente equivale a
danos causados por roubo ou dano de informações, dispositivos, serviços ou redes. O ciber-físico
domínio (consulte a Área de Conhecimento de Segurança de Sistemas Cibernéticos Físicos (Capítulo )) dá origem
a muitos danos potenciais adicionais - danos aos humanos podem vir de informações ou
de ação física não intencional, ou de ambos.
Uma subdisciplina significativa da segurança operacional considera a detecção de falhas de segurança,

e reações a eles (remediação quando possível). O homem de operações de segurança e incidentes
área de conhecimento de gestão (Capítulo 8) aborda o contexto; o Malware & Attack Technol-
Área de Conhecimento ogy (Capítulo 6) lida com a análise de vetores de ataque enquanto a Forense
KA Introdução | Outubro Página 6

www.cybok.org
A área de conhecimento (capítulo) considera os detalhes técnicos e processos para pós-ataque
análise de forma robusta e confiável.
Um tema recorrente na análise de segurança é que não é suficiente para definir boas condições de segurança
trols apenas dentro de uma abstração ou quadro de referência particular: é necessário também
Considere o que pode acontecer se um adversário decidir ignorar essa abstração ou quadro.
Isso surge, por exemplo, em canais laterais de comunicação , onde um adversário pode inferir muito
de capturar emissões de radiofrequência de um cabo, digamos, sem a necessidade de tocar nesse cabo
ble fisicamente. Efeitos de escuta semelhantes foram observados contra criptografia im-
implantado em smartcards: análise simples do consumo de energia do processador
endereços, cada bit, por sua vez, pode ser suficiente para divulgar a chave criptográfica (ver Criptografia
raphy, áreas de conhecimento de Segurança de Hardware e Segurança de Software).
Esses problemas ocorrem em todos os níveis do projeto do sistema. No software, o ataque de injeção de SQL
surge (consulte as áreas de conhecimento de segurança de software e segurança da Web e móvel) porque uma string
de caracteres destinados a serem interpretados como uma entrada de banco de dados é forçada a se tornar um banco de dados
comando. Arquivos contendo segredos escritos por um aplicativo podem revelar esses segredos quando
lido por outro, ou por um depurador de propósito geral ou programa de despejo.
Teorias matemáticas de refino (e contratos de desenvolvimento de software) exploram o

relação de uma expressão 'abstrata' de um algoritmo e uma versão mais 'concreta' que
é implementado: mas as propriedades de segurança comprovadas de uma podem não ser verdadeiras para a outra (para
por exemplo, reduzir a incerteza pode aumentar o conteúdo da informação e levar ao vazamento de informações
informações como uma chave criptográfica), portanto, muito cuidado deve ser tomado na construção do
teorias. 'Teste de caixa preta' baseia-se na mesma noção e, uma vez que não é possível testar todos
entrada, pode facilmente perder a combinação particular de circunstâncias que - por acidente ou
design - destrói a segurança do programa.
A segurança operacional de um sistema pode ser baseada nos operadores que seguem um determinado
procedimento ou evitar circunstâncias perigosas particulares: existe uma suposição de que se
as pessoas são instruídas em um contexto profissional (não) a fazer algo, então elas (não) o farão. Esta
é comprovadamente falso (consulte a Área de Conhecimento de Fatores Humanos (Capítulo ) ).
Esses - e uma infinidade de outros - problemas de segurança surgem porque é necessário

pense (e projete sistemas) usando abstrações. Não só nenhum indivíduo pode compreender cada
detalhe da operação de um sistema de computação em rede (da física do dispositivo para cima),
mesmo se eles tivessem o conhecimento necessário, eles devem trabalhar em abstrações, a fim de fazer
progresso e evite ser sobrecarregado com detalhes. Mas, para a maioria dos controles de segurança,
a abstração não é mais do que uma ferramenta de pensamento: e assim o adversário é capaz de desconsiderá-la
inteiramente.
Uma vez que as abstrações são geralmente construídas em camadas (e os sistemas de computação são geralmente explicitamente
projetado dessa forma), às vezes é conhecido como o problema da 'camada abaixo' [ ] porque
o adversário costuma atacar a camada abaixo daquela em que a abstração que define o
o controle fica (veja, por exemplo, as ameaças e ataques discutidos nos Sistemas Operacionais
E Área de Conhecimento de Virtualização (Capítulo ) e Área de Conhecimento de Segurança de Hardware
(Capítulo 8)).

www.cybok.org
.. Risco
Não há limite, em princípio, para a quantidade de esforço ou dinheiro que pode ser gasto em
controles de segurança. A fim de equilibrá-los com os recursos disponíveis e os danos e
oportunidades que podem surgir de ameaças emergentes à segurança, uma abordagem abrangente e comum
abordagem à análise de segurança é um processo de Avaliação de Risco - e seleção de controles, um
processo de Gestão de Riscos. Estes são explorados em profundidade no Gerenciamento de Risco e Gover-
nance Knowledge Area (Capítulo ) .
Como acontece com qualquer processo de gestão de risco, um cálculo-chave se relaciona ao impacto esperado, seja
cálculo calculado a partir de alguma estimativa da probabilidade de eventos que podem levar ao impacto, e um
estimativa do impacto decorrente desses eventos. A probabilidade tem dois elementos: a presença
cia de vulnerabilidades (conhecidas ou desconhecidas - as últimas nem sempre são capazes de ser mitigadas
fechado) e a natureza da ameaça . A resposta da gestão à avaliação de risco pode
assumir muitas formas, incluindo controles adicionais para reduzir o impacto ou a probabilidade de uma ameaça,
aceitar o risco, ou transferi-lo / compartilhá-lo com terceiros (por exemplo, seguro), ou em alguns
casos que decidem não prosseguir porque todos esses resultados são inaceitáveis.
A gestão da segurança engloba todas as ações de gestão e segurança necessárias
para manter a segurança de um sistema durante sua vida útil. Importante neste contexto, mas fora
lado do escopo do CyBOK, são práticas de gestão da qualidade. Essas práticas são de longa duração
estabelecido na indústria, exigindo essencialmente que todo o trabalho siga processos documentados, e
que os processos fornecem métricas que são, por sua vez, revisadas e usadas para corrigir os processos
que não são adequados ao propósito ('não-conformidades').
A analogia entre gerenciamento de qualidade e segurança não é perfeita porque a ameaça

o ambiente não é estático; no entanto, a tendência é para padrões de gerenciamento de segurança como
como ISO/ IEC para incorporar processos de gestão de qualidade padrão que são então específicos
cialized para segurança. A especialização primária é o uso periódico da gestão de risco (ver
a Área de Conhecimento de Gestão de Riscos e Governança (Capítulo) ), que também deve atender
contagem das mudanças no ambiente de ameaças. É necessário complementar o homem de risco periódico
gestão com medidas contínuas da eficácia dos processos de segurança. Para a prova-
ple, patching e manutenção do sistema podem ser continuamente revisados por meio de varredura de vulnerabilidade
ning, registros relacionados a tentativas de acesso malsucedidas, bloqueios de usuário ou redefinições de senha podem fornecer
indicadores da usabilidade dos recursos de segurança.
As funções dentro de um sistema de gerenciamento de segurança podem ser agrupadas em Físicas, Pessoal,
Sistemas de Informação e Gerenciamento de Incidentes e são uma mistura de sistema de TI padrão
funções de gerenciamento e aquelas que são específicas para segurança cibernética.
A segurança física inclui a proteção física do sistema, incluindo controle de acesso, como-
gerenciamento de conjuntos e manuseio e proteção de mídias de armazenamento de dados. Esses aspectos são
fora do escopo do CyBOK.
A segurança de pessoal se preocupa com uma ampla gama de usabilidade de segurança e modelagem de comportamento,
incluindo educação e treinamento (ver Área de Conhecimento de Fatores Humanos (Capítulo) ). Isso também
inclui elementos formais de gestão de recursos humanos, como a seleção e verificação de
pessoal, termos e condições de uso aceitável para sistemas de TI (consulte a Lei e Regulamentação
Área de Conhecimento (Capítulo) ) e sanções disciplinares para violações de segurança.
A gestão do sistema de informação inclui gestão de acesso (ver Autenticação, Au-

Torização e Responsabilidade (AAA) Área de Conhecimento (Capítulo )) e registro do sistema (ver
a Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes (Capítulo 8)). A função de auditoria
www.cybok.org
ção é dividida em monitoramento de segurança (consulte Operações de Segurança e Gerenciamento de Incidentes

Área de Conhecimento (Capítulo 8)) e outras funções de TI, como revisão volumétrica para o sistema
provisionamento. A gestão do sistema de informação também envolve funções de TI padrão
como backup e recuperação, e o gerenciamento de relacionamentos com fornecedores.
Funções de gerenciamento de incidentes (consulte Operações de Segurança e Conhecimento de Gerenciamento de Incidentes

Área de borda (Capítulo 8)) são específicos para segurança cibernética e incluem monitoramento de segurança, incidentes
detecção e resposta.
. PRINCÍPIOS
O pensamento sólido e as boas práticas em segurança foram codi cados por vários autores. O
os princípios que eles descrevem tocam muitos KAs diferentes, e tomados em conjunto ajudam a desenvolver um holis-
abordagem tic para o design, desenvolvimento e implantação de sistemas seguros.
.. Princípios Saltzer e Schroeder

Os primeiros princípios de design coletados para controles de segurança de engenharia foram enumerados por
Saltzer e Schroeder em [8] Estes foram propostos no contexto de engenharia segura
sistemas operacionais multiusuário que oferecem suporte a propriedades de confidencialidade para uso no governo e
organizações militares. Essa motivação os influencia de algumas maneiras, no entanto, eles têm
também resistiu ao teste do tempo para ser aplicável ao projeto de controles de segurança muito mais
amplamente.
Os oito princípios que enumeram são os seguintes:
• Economia de mecanismo. O projeto dos controles de segurança deve permanecer tão simples quanto
possível, para garantir alta segurança. Projetos mais simples são mais fáceis de raciocinar formalmente
ou informalmente, para argumentar correção. Além disso, projetos mais simples têm implementações mais simples
ções que são mais fáceis de auditar ou verificar manualmente para alta garantia. Este princípio sob
reside a noção de Trusted Computing Base (TCB) - ou seja, a coleção de todo o software
e componentes de hardware nos quais um mecanismo ou política de segurança depende. Isso implica
que o TCB de um sistema deve permanecer pequeno para garantir que ele mantenha a segurança
propriedades esperadas.
• Padrões à prova de falhas. Os controles de segurança precisam definir e habilitar operações que podem posicionar
ser identificados como estando de acordo com uma política de segurança e rejeitar todas as outras. Dentro
em particular, Saltzer e Schroeder alertam contra mecanismos que determinam o acesso por
tentando identificar e rejeitar comportamento malicioso. Comportamento malicioso, uma vez que está sob
o controle do adversário e, portanto, se adaptará, é difícil de enumerar e identificar
tify exaustivamente. Como resultado, basear os controles na exclusão de violação detectada, em vez
do que a inclusão de um bom comportamento conhecido, está sujeita a erros. É notável que alguns modernos
controles de segurança violam este princípio, incluindo software antivírus baseado em assinatura e
detecção de intruso.
• Mediação completa. Todas as operações em todos os objetos em um sistema devem ser verificadas para
certifique-se de que estão de acordo com a política de segurança. Essas verificações normalmente
envolve a garantia de que o sujeito que iniciou a operação está autorizado a executá-la,
presumindo um mecanismo robusto de autenticação. No entanto, controles de segurança modernos
não pode basear verificações na identidade de tal sujeito, mas outras considerações, como
como detentora de uma 'capacidade'.

www.cybok.org
• Design aberto. A segurança do controle não deve depender do sigilo de como ele opera,
mas apenas em segredos ou senhas bem especi cados. Este princípio é a base da segurança cibernética
como um campo de estudo aberto: permite que estudiosos, engenheiros, auditores e reguladores examinem
ver como os controles de segurança operam para garantir sua correção, ou identificar falhas, sem
minando sua segurança. A abordagem oposta, muitas vezes chamada de 'segurança por obscuridade',
é frágil, pois restringe quem pode auditar um controle de segurança e é ineficaz contra
outras ameaças ou controles que podem sofrer engenharia reversa.
• Separação de privilégios. Controles de segurança que dependem de vários assuntos para autorizar um
operação, fornecem maior segurança do que aqueles que dependem de um único assunto. Este princípio
ple está incorporado em sistemas bancários tradicionais e leva adiante para a segurança cibernética
controles. No entanto, embora seja geralmente o caso de aumentar o número de autoridades
envolvido na autorização de uma operação aumenta a garantia em torno das propriedades de integridade,
geralmente também diminui a garantia em torno das propriedades de disponibilidade. O princípio também tem
limites, relativos à diluição excessiva da responsabilidade, levando a uma 'tragédia do sistema de segurança
mons 'em que nenhuma autoridade tem incentivos para investir em segurança assumindo os outros
vontade.
• Menor privilégio. Os assuntos e as operações que realizam em um sistema devem ser realizados
formado usando o menor número possível de privilégios. Por exemplo, se uma operação precisa apenas
ler algumas informações, também não deve ser concedido o privilégio de escrever ou deletar
Essa informação. A concessão do conjunto mínimo de privilégios garante que, se o assunto for
corrompido ou software incorreto, os danos que podem causar às propriedades de segurança do
sistema é diminuído. A definição de arquiteturas de segurança depende fortemente deste princípio, e
consiste em separar grandes sistemas em componentes, cada um com o mínimo de privilégios
possível - para garantir que compromissos parciais não afetem ou tenham um efeito mínimo
on, as propriedades gerais de segurança de um sistema inteiro.
• Mecanismo menos comum. É preferível minimizar o compartilhamento de recursos e sistemas

dez mecanismos entre as diferentes partes. Este princípio é fortemente influenciado pelo
contexto de engenharia de sistemas multiusuário seguros. Em tais sistemas, mecanismos comuns
nismos (como memória compartilhada, disco, CPU, etc.) são vetores para potenciais vazamentos de con -
informações dentárias de um usuário para o outro, bem como a potencial interferência de um
usuário nas operações de outro. Sua realização extrema vê sistemas que não devem
interferem uns com os outros sendo "lacrados". No entanto, o princípio tem limites quando se trata
ao uso de infraestruturas compartilhadas (como a Internet) ou recursos de computação compartilhados
(como sistemas operacionais multiusuário, que naturalmente compartilham CPUs e outros recursos).
• Aceitabilidade psicológica. O controle de segurança deve ser naturalmente utilizável para que os usuários
'rotineira e automaticamente' aplica a proteção. Saltzer e Schroeder, especificamente
afirmam que 'na medida em que a imagem mental do usuário de seus objetivos de proteção corresponde
os mecanismos que ele deve usar, os erros serão minimizados '. Este princípio é a base
para a Área de Conhecimento de Fatores Humanos (Capítulo ) .
Saltzer e Schroeder também fornecem dois princípios adicionais, mas alertam que eles são apenas imperativos
adequadamente aplicável aos controles de segurança cibernética:
• Fator de trabalho. Bons controles de segurança requerem mais recursos para contornar do que aqueles
disponível para o adversário. Em alguns casos, como o custo de força bruta de uma chave, o
fator de trabalho pode ser calculado e os designers podem ter certeza de que os adversários não podem
ser suficientemente dotado para experimentá-los todos. Para outros controles, no entanto, este fator de trabalho é
mais difícil de calcular com precisão. Por exemplo, é difícil estimar o custo de um corrupto

www.cybok.org
insider, ou o custo de encontrar um bug no software.
• Gravação de compromisso. Às vezes, é sugerido que registros ou logs confiáveis, que

permitir a detecção de um comprometimento, pode ser usado em vez de controles que evitam uma com-
promessa. A maioria dos sistemas registra eventos de segurança, e as operações de segurança dependem fortemente
esses logs confiáveis para detectar intrusões. Os méritos relativos - e custos - dos dois
as abordagens são altamente dependentes do contexto.
Esses princípios, por sua vez, baseiam-se em precedentes muito mais antigos, como os princípios de Kerckhoff
lating a sistemas criptográficos [ ]. Kerchoff destaca que os sistemas criptográficos devem ser
praticamente seguros, sem exigir o sigilo de como funcionam (design aberto). Ele também
destaca que as chaves devem ser curtas e fáceis de memorizar, o equipamento deve ser fácil de usar e
aplicável às telecomunicações - todos os quais se relacionam com a aceitabilidade psicológica de
os designs.
.. Princípios NIST
Princípios mais contemporâneos em design de sistemas são enumerados pelo NIST[, Apêndice F].
Eles incorporam e estendem os princípios de Saltzer e Schroeder. Eles são categorizados
em três famílias amplas relacionadas a: 'Arquitetura e Design de Segurança' (ou seja, organização,
estrutura e interfaces); 'Capacidade de segurança e comportamentos intrínsecos' (ou seja, qual a proteção
são sobre); e 'Segurança do Ciclo de Vida' (ou seja, aqueles relacionados ao processo e gerenciamento).
Como tal, esses princípios referem-se especificamente à arquitetura de segurança, controles específicos, também
como gestão de processos de engenharia.
Vários princípios do NIST são mapeados diretamente para aqueles de Saltzer e Schroeder, como Least
Mecanismo comum, acesso eficazmente mediado, compartilhamento minimizado, segurança minimizada
Elementos, complexidade reduzida, privilégio mínimo, padrões seguros e permissão de predicado,
e segurança aceitável.
Notavelmente, novos princípios lidam com o aumento da complexidade dos sistemas de computação modernos
e enfatizar o design modular limpo, ou seja, com abstração clara, modularidade e camadas,
Dependências parcialmente ordenadas, capacidade de evolução segura. Outros princípios reconhecem que nem todos
componentes em um sistema seguro podem operar no mesmo nível de garantia e exigir
aqueles que se beneficiam de uma estrutura de confiança hierárquica, na qual a falha de segurança de alguns
ponentes não põe em perigo todas as propriedades do sistema. O princípio da modificação inversa
O limite indica que os componentes mais críticos para a segurança também devem ser
o mais protegido contra modificação não autorizada ou adulteração. Proteção hierárquica
afirma que os componentes de segurança menos críticos não precisam ser protegidos dos mais críticos.
A estrutura do NIST também reconhece que os sistemas modernos estão interconectados e fornece
princípios de como protegê-los. Eles devem ser conectados em rede usando comunicação confiável
Canais. Eles devem desfrutar de Composição Distribuída Segura, o que significa que se dois sistemas
que impõem a mesma política são compostos, sua composição também deve, pelo menos, fazer cumprir
a mesma política. Finalmente, o princípio da confiabilidade autossuficiente afirma que um seguro
o sistema deve permanecer seguro mesmo se desconectado de outros componentes remotos.
Os princípios do NIST expandem quais tipos de mecanismos de segurança são aceitáveis para
sistemas mundiais. Em particular, os princípios de Segurança Econômica, Segurança de Desempenho, Hu -
A segurança fatorada e a segurança aceitável afirmam que os controles de segurança não devem ser
excessivamente caro, degradar o desempenho excessivamente, ou ser inutilizável ou de outra forma inaceitável para
Comercial. Este é um reconhecimento de que os controles de segurança suportam propriedades funcionais de sistemas
www.cybok.org
e não são um objetivo em si mesmos.
Além dos princípios, o NIST também descreve três estratégias principais de arquitetura de segurança. The Refer-
O conceito de monitoramento de segurança é um controle abstrato que é suficiente para garantir a segurança adequada
laços de um sistema. Defense in Depth descreve uma arquitetura de segurança composta por vários
controles sobrepostos. O isolamento é uma estratégia pela qual diferentes componentes são fisicamente ou
separados logicamente para minimizar a interferência ou vazamento de informações.
Ambos NIST, bem como Saltzer e Schroeder, destacam que os princípios fornecem apenas orientação,
e precisam ser aplicados com habilidade a problemas específicos disponíveis para projetar arquiteturas seguras
e controles. O desvio de um princípio não leva automaticamente a quaisquer problemas, mas
tais desvios precisam ser identificados para garantir que quaisquer problemas que possam surgir tenham sido
mitigado de forma adequada.
.. Condições latentes de design

À medida que mais e mais sistemas ciber-físicos são conectados a outros sistemas e à Internet,
a complexidade inerente emergente de tal conectividade em grande escala e a segurança crítica
natureza de alguns dos sistemas ciber-físicos significa que outros princípios também se tornam altamente
relevante. Um desses princípios é o das Condições de Design Latentes da pesquisa na área de segurança
domínio de sistemas críticos por James Reason [] . No contexto da segurança cibernética, design latente
condições surgem de decisões anteriores sobre um sistema (ou sistemas). Eles muitas vezes permanecem escondidos
(ou não considerado) e só vêm à tona quando certos eventos ou configurações se alinham - no
caso de vulnerabilidades de segurança de sistemas físicos cibernéticos sendo expostas à medida que se tornam con
conectado a outros sistemas ou à Internet. A razão se refere a isso como o modelo do queijo suíço
onde diferentes orifícios nas fatias se alinham. Essas questões são discutidas mais adiante no Human
Fatores área de conhecimento (capítulo). O ponto-chave a notar é que não podemos mais apenas con-
sider perda de informações como uma consequência potencial de violações de segurança cibernética - mas deve
também considere as implicações de segurança. Além disso, a segurança desde o projeto nem sempre é uma possibilidade
e, à medida que os sistemas legados se conectam a outros ambientes de rede, deve-se
considere as condições de design latentes (inseguras) que podem se manifestar e como mitigar
seu impacto.
.. O Princípio da Precaução
Como a economia participativa de dados leva a uma gama de produtos e serviços inovadores,
também estão crescendo as preocupações com a privacidade e o potencial uso indevido de dados, como tem sido alto
iluminadas por recentes casos de ingerência nos processos democráticos. Como tal, o Precaução
Princípio - refletindo sobre o potencial efeito prejudicial das escolhas de design antes de
inovações são colocadas em implantação em larga escala - também se torna relevante. Designers devem
considerar as implicações de segurança e privacidade de suas escolhas desde a concepção até
modelagem, implementação, manutenção, evolução e também descomissionamento de larga escala
sistemas conectados e infraestruturas das quais a sociedade depende cada vez mais. Função creep
à medida que o sistema evolui ao longo de sua vida e seu impacto na sociedade em geral também deve ser
considerado [ ] .

www.cybok.org
. TEMAS DE CROSSCUTTING
Uma série de tópicos e temas recorrem em vários KAs - implícita ou explicitamente - e
fornecer um contexto ou uni cação de ideias entre os KAs que atravessam a estrutura
escolhido para o CyBOK. Em uma decomposição diferente do CyBOK, eles podem ter sido KAs
por direito próprio. Essas são uma parte importante do corpo de conhecimento e, por isso, documentamos
aqui, o mais substancial deles.
.. Economia da Segurança
A economia da segurança da informação é uma síntese entre a ciência da computação e as ciências sociais. Isto
combina a teoria microeconômica e, em menor medida, a teoria dos jogos, com informações
curiosidade para obter uma compreensão aprofundada das compensações e incentivos desalinhados no
concepção e implementação de políticas e mecanismos técnicos de segurança informática [ ,]. Para
por exemplo, Van Eeten e Bauer estudaram os incentivos de participantes legítimos do mercado - como
como provedores de serviços de Internet (ISPs) e fornecedores de software - quando confrontados com malware
e como as ações impulsionadas por tais incentivos levam à segurança ideal ou subótima para
sistema interconectado mais amplo. A economia do atacante também está ganhando importância (por ex-
amplo, [ , 6, ]). A economia do invasor expõe análises de custo-benefício dos invasores a ex-
ploit vulnerabilidades na segurança do alvo da vítima, para posteriormente formular proteção
contramedidas para entidades cumpridoras da lei [ 8] Por último, há a economia do desvio de segurança
ridade [ ]. Esta subdisciplina da economia do atacante se concentra em entender como o crime cibernético
inals aplicam, ou seja, prática, segurança para defender seus sistemas e operações contra interrupções
da aplicação da lei (por exemplo, mecanismos de resiliência embutidos em botnets [ ] ou anti-forense
técnicas [ ] ).
A economia da segurança é, portanto, de alta relevância entre os vários ataques e contra-

medidas discutidas dentro dos diferentes KAs dentro do CyBOK. Ele também desempenha um papel fundamental em
suportando o custo da segurança para usuários legítimos do sistema e para os cibercriminosos -
a força dessa abordagem sociotécnica é o reconhecimento de que a segurança é muito
um problema muito humano, e as compensações entre custo e benefício são a chave para aumentar nossa
compreensão das decisões de defensores e atacantes para, respectivamente, proteger seus sistemas
ou otimizar ataques [] .
.. Métodos Formais e de Verificação

A fragilidade humana significa que problemas freqüentemente surgem no design do sistema ou codificação, e estes muitas vezes
dar origem a vulnerabilidades de segurança. A disciplina de Engenharia de Software gastou muito
esforço na tentativa de minimizar a introdução de tais falhas e auxiliar na sua detecção precoce
quando eles surgem.
Em sua forma mais básica, a verificação e validação de sistemas de software envolvem testes - para consistência
frequência, comportamento uniforme / previsto e conformidade com as especificações. Por sua natureza, tal
o teste nunca pode ser completo ou exaustivo em qualquer sistema realista, e será necessariamente
pobre em encontrar erros deliberados ou falhas de projeto sistêmicas. Abordagens para verificação e
modelagem procuram raciocinar sobre projetos e implementações, a fim de provar matemati-
naturalmente que eles têm as propriedades de segurança necessárias.
Métodos formais são abordagens para modelagem e verificação com base no uso de métodos formais
http://www.oecd.org/internet/ieconomy/ 6.pdf

www.cybok.org
linguagens, lógica e matemática para expressar especificações de sistema e software, e para

projetos de modelos de protocolos e sistemas. Para modelagem e verificação de segurança, o anúncio
modelo sário também é incorporado ao raciocínio, de modo que os projetos possam ser verificados com
respeitar seus requisitos de segurança no contexto de classes específicas de ameaça. Rigoroso
as provas estabelecem que nenhum ataque de uma determinada classe é possível, estabelecendo a segurança do
projetar contra tipos específicos de adversário. Existem duas abordagens principais para
modelagem: computacional e simbólica.
A abordagem de modelagem computacional [] está próxima do sistema real: é um método formal

ologia em um nível matemático mais fundamental, onde as mensagens são bitstrings, cripto-
as funções gráficas são definidas como funções em bitstrings, os participantes do sistema são geralmente
máquinas de Turing interativas e parâmetros de segurança fornecem métricas assintóticas para este método-
ologia: o comprimento das chaves, a complexidade dos algoritmos ou a medida das probabilidades variam com o
parâmetro de segurança. O adversário é considerado um tempo polinomial probabilístico de Turing
máquina. Definições precisas de funções criptográficas podem ser capturadas e analisadas dentro
o modelo. Os requisitos de segurança são expressos como propriedades no modelo, incluindo o anúncio
versário, e uma propriedade de segurança é geralmente considerada válida se a probabilidade de
not hold é insignificante no parâmetro de segurança.
A modelagem formal tem sido usada no campo da segurança por algumas décadas, em muitos
dos KAs classificados no CyBOK em Segurança de Sistemas, Segurança de Infraestrutura e Software
E Segurança da plataforma. Por exemplo, na área de controle de acesso, o modelo Bell-LaPadula []
fornece um modelo abstrato das regras que determinam se um assunto com uma certa segurança
a autorização deve ter um tipo particular de acesso a um objeto com uma determinada classe de segurança
cátion. O objetivo deste modelo é evitar a desclassificação de dados; trabalho posterior generalizado
trata-se de métodos para prevenir certos fluxos de informação. Outros modelos de controle de acesso têm
foi proposto para alcançar outras propriedades, como integridade (por exemplo, o modelo Biba [ ], ou o
Modelo Clark-Wilson [ ] ). Os métodos formais permitem que as principais propriedades de segurança sejam expressas
e comprovado no modelo formal. Propriedades de não interferência foram formalizadas [6] dentro
termos de execuções usando sistemas de transição e descrições de sistema com sistemas de transição
A semântica pode ser avaliada em relação a tais propriedades.
A abordagem de modelagem simbólica é mais abstrata do que a abordagem computacional, e

foi aplicado em uma variedade de meios para a modelagem e análise de protocolos de segurança -
sequências de interações entre agentes para atingir uma meta de segurança, como autenticação
ou troca de chave. Abordagens baseadas em lógica, como a lógica BAN [] fornecem uma linguagem para
expressar requisitos como confidencialidade e autenticação, fatos sobre o envio
e recebimento de mensagens de protocolo e regras de inferência para permitir raciocínio sobre
ness. Abordagens baseadas em linguagem, como Applied Pi (por exemplo, [8, , ]) fornecer idiomas
para descrever os protocolos explicitamente e construir um modelo de todas as execuções possíveis, incluindo
passos contraditórios, a fim de raciocinar sobre as garantias que o protocolo pode oferecer. Secu-
as propriedades de identidade são expressas em termos do que deve ser verdadeiro para cada execução no modelo,
por exemplo, se Bob acredita no final de uma execução de protocolo que ele compartilha uma chave de sessão com Alice, então
o adversário também não possui a chave de sessão.
Embora as bases das abordagens formais estejam maduras, o desafio tem sido fazer
eles são práticos. A aplicação de abordagens formais requer a gestão cuidadosa de
detalhes intrincados, que na prática requerem suporte de ferramenta para permitir a verificação mecanizada e
para verificar as provas. O suporte da ferramenta para a abordagem simbólica vem tanto de uso geral
métodos formais ferramentas aplicadas a problemas de segurança como Isabelle / HOL [ ], ou FDR [], ou
de ferramentas personalizadas especificamente para segurança, como Tamarin [] ou ProVerif []. Essas ferramentas
www.cybok.org
normalmente adota uma abordagem de prova de teorema ou então uma abordagem de verificação de modelo, onde
o espaço de estados é explorado exaustivamente.
A verificação usando as abordagens de modelagem computacional tem sido mais matemática em

natureza, por meio de ferramentas como CryptoVerif [ ] e EasyCrypt [ 6] agora foram desenvolvidos para
suporte a provas computacionais. As abordagens simbólicas e computacionais podem ser usadas para-
juntos: um ataque em um modelo simbólico normalmente dará origem a um ataque no sistema computacional
modelo, por isso é valioso realizar uma análise simbólica de um sistema primeiro, a fim de verificar se há
e projetar quaisquer ataques identificados. Uma vez que um modelo simbólico é verificado, então alguns
trabalho é necessário para estabelecer a segurança no modelo computacional. Isso pode ser carregado
diretamente, ou através da aplicação de técnicas gerais, como som computacional
ness [ ] que fornece condições para resultados simbólicos se aplicarem ao modelo computacional.
Essas ferramentas agora estão se tornando fortes o suficiente para verificar os protocolos implantados, como o TLS. ,
que foi verificado usando uma combinação de ambas as abordagens [ 8], mas eles ainda exigem
orientação especializada. O desenvolvimento posterior do suporte de ferramenta é uma área de pesquisa ativa.
.. Arquitetura de segurança e ciclo de vida

A palavra 'arquitetura' é usada em todos os níveis de detalhe de um sistema; aqui estamos preocupados
com o design de alto nível de um sistema de uma perspectiva de segurança, em particular como o pri-
os controles de segurança mary são motivados e posicionados dentro do sistema. Este, por sua vez, está vinculado
com uma compreensão do ciclo de vida dos sistemas , desde a concepção até o descomissionamento.
Dentro disso, o ciclo de vida do software seguro é crucial (o assunto do Secure Software Life-
Ciclo Área de Conhecimento).
A decisão de design fundamental é como um sistema é compartimentado - como usuários, dados,

e os serviços são organizados para garantir que as interações potenciais de maior risco sejam protegidas
pelos mecanismos de segurança mais simples e independentes (consulte a Seção .) Por exemplo,
uma rede pode ser dividida em compartimentos frontal / posterior por um roteador de rede ou
parede rebatível que não permite conexões internas da parte frontal para a parte traseira. Esse mecanismo é
mais simples e mais robusto do que aquele que usa controles de acesso para separar as duas funções
em uma rede compartilhada.
A primeira etapa é revisar a proposta de uso do sistema. Os processos de negócios a serem

apoiado deve identificar as interações entre os usuários, dados ou serviços no sistema.
Potenciais interações de alto risco entre usuários (consulte o Adversarial Behaviors Knowledge
A área (capítulo ) e os dados devem ser identificados com uma avaliação de risco de esboço (ver o
Área de Conhecimento de Gestão de Risco e Governança (Capítulo)), que também precisará levar
conta de requisitos externos, como conformidade (consulte o Conhecimento de Leis e Regulamentações
Área (Capítulo )) e obrigações contratuais. Se os usuários com necessidade legítima de acessar a
itens de dados ci c também representam um alto risco para esses itens, ou se qualquer usuário tiver autoridade irrestrita
para efetuar um resultado de segurança indesejado, o próprio processo de negócios deve ser revisado. Muitas vezes
tais casos requerem uma regra de 'duas pessoas', por exemplo, contra-autorização para pagamentos.
A próxima etapa é agrupar usuários e dados em categorias amplas usando o requisito de acesso à função
mentos, juntamente com a classificação formal de dados e liberação do usuário. Essas categorias são po-
compartimentos do sistema potencial, por exemplo, usuários da Internet e dados públicos, ou engenheiros e
dados de design. Os compartimentos devem garantir que as interações usuário-dados de maior risco cruzem
limites de compartimento, e que as interações comuns de dados do usuário não. Tal compartimento
geralmente são aplicados com controles de particionamento de rede (consulte a seção Segurança da Rede
Área de Conhecimento (Capítulo )). O projeto detalhado é então necessário dentro dos compartimentos, com

www.cybok.org
as primeiras etapas são focar em funções de usuário concretas, design de dados e controles de acesso (consulte
a Área de Conhecimento (Capítulo ) de Autenticação, Autorização e Responsabilidade (AAA ) , com
avaliações de risco mais detalhadas sendo conduzidas conforme o projeto amadurece.
Os sistemas se beneficiam de uma abordagem uniforme para a infraestrutura de segurança, por exemplo, o gerenciamento
mento de chaves e protocolos de rede (consulte a Área de Conhecimento de Segurança de Rede (Capítulo ) ),
gerenciamento e coordenação de recursos (ver o Conhecimento de Segurança de Sistemas Distribuídos
Área (Capítulo )), funções (consulte o Conhecimento de Autenticação, Autorização e Responsabilidade (AAA)
área de borda (Capítulo )) , acesso do usuário (consulte a Área de Conhecimento de Fatores Humanos (Capítulo)),
e detecção de intrusão (consulte a Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes
(Capítulo 8)). CyBOK fornece conhecimentos básicos importantes nessas áreas, mas nem isso
nem a avaliação de risco é suficiente para motivar a implementação detalhada da infraestrutura;
eles precisam ser complementados pelas boas práticas atuais. Em alguns setores, a prática recomendada é
obrigatória (por exemplo, Indústrias de cartão de pagamento). Em outros casos, pode estar disponível em aberto
fontes (por exemplo, OWASP) ou como resultado de benchmarking corporativo.
Ortogonais a essas preocupações estão uma série de tópicos que se relacionam com o contexto do sistema
desenvolvimento e operação. É cada vez mais claro que um código de conduta, conforme prescrito por
muitos organismos profissionais, oferece uma estrutura valiosa para designers de sistema e aqueles que
explorar fraquezas e vulnerabilidades em tais sistemas. Iniciativas em torno dos responsáveis
a investigação e a inovação ganham terreno. A descoberta de vulnerabilidades necessita
uma política de divulgação - e os parâmetros de divulgação responsável levaram muito
debate, juntamente com o papel deste em um processo de ações de segurança.
Essa ampla consideração da arquitetura e do ciclo de vida foi capturada dentro do não
opções de 'segurança desde o projeto' e 'seguro por padrão ' . O primeiro termo é frequentemente aplicado a
práticas detalhadas em engenharia de software, como verificação de entrada, para evitar estouros de buffer
e semelhantes (consulte a Área de Conhecimento do Ciclo de Vida do Software Seguro (Capítulo 6)). Mais gener-
aliado, consideração de segurança em todo o ciclo de vida, incluindo na configuração padrão
'fora da caixa' (embora não muito software seja entregue em caixas nos dias de hoje), comprovadamente
leva a menos insegurança nos sistemas implantados.
Convidamos os leitores a ler as descrições detalhadas capturadas nas áreas de conhecimento

que seguem e utilizam os métodos, ferramentas, técnicas e abordagens aqui discutidas
ao enfrentar os desafios da segurança cibernética no mundo digital cada vez mais conectado
que habitamos.
RECONHECIMENTOS.
Os autores agradecem a Erik van de Sandt pela permissão para usar o texto de sua tese de doutorado [ ] no
seção sobre Economia da Segurança.
https://www.owasp.org
Uma noção relacionada é 'privacidade desde o projeto' (consulte a Área de Conhecimento de Direitos Online e Privacidade (Capítulo ) ).
Página 43
I Humano, Organizacional
Aspectos regulatórios
Página 45
44
Capítulo
Gestão de Risco e
Governança
Pete Burnap Cardiff University

www.cybok.org
. INTRODUÇÃO
Esta área de conhecimento irá explicar os princípios fundamentais da avaliação de risco cibernético e
gestão e seu papel na governança de risco, expandindo estes para cobrir o conhecimento re-
necessário para obter uma compreensão prática do tópico e suas subáreas. Começamos discutindo
a relação entre o risco diário e por que isso é importante na interconexão de hoje
mundo digital. Explicamos por que, como humanos, precisamos de avaliação de risco e gerenciamento eficazes
princípios de mentação para apoiar a captura e comunicação de fatores que podem impactar nosso
valores. Em seguida, passamos a descrever diferentes perspectivas sobre a avaliação de risco cibernético - de
ativos individuais, às metas e objetivos de todo o sistema. Retiramos alguns dos principais riscos
métodos de avaliação e destacar seus principais usos e limitações, bem como fornecer pontos-
ers para informações mais detalhadas.
As métricas de segurança são um tópico contínuo de debate na avaliação de riscos e na gestão de

principal: quais recursos do sistema medir o risco, como medir o risco e por que medir o risco
em absoluto? Essas questões são enquadradas no contexto da literatura existente sobre este tópico. Este links
na governança de risco, o que explica por que uma governança eficaz é importante para manter
segurança e alguns dos fatores sociais e culturais que são essenciais para considerar ao desenvolver
estruturas de governança operacional. Quase todos os sistemas ainda incluem um elemento humano de controle,
que deve ser considerado desde o início. Finalmente, mesmo com risco bem definido e executado
planos de avaliação e gestão, ainda é possível que um risco se transforme em realidade. Em tal
casos, a resposta ao incidente é necessária. Discutimos a importância da resposta a incidentes e
sua ligação com o processo de governança de risco.
. O QUE É RISCO?
[, ,]
O risco está no centro da vida cotidiana. De uma criança tomando a decisão de pular de uma árvore para um
decisão de investimento do CEO de uma empresa multibilionária, todos nós tomamos decisões que
potencialmente nos impactar como indivíduos, e impactar nossas redes sociais mais amplas e ambientes
ings. Definir o risco é, portanto, uma questão altamente filosófica e controversa. Obras Seminais
por Slovic [] e Renn [] na percepção de risco captura as questões de amplo alcance que cercam
este debate, e fornece uma definição de trabalho que abstrai a questão para nos permitir
engajar-se com o tema do risco em um nível sociotécnico. A definição de trabalho de Renn de risco é a
possibilidade de que as ações ou eventos humanos levem a consequências que tenham um impacto sobre o que
valor humano . Isso fundamenta fundamentalmente o risco no valor humano, que se aplica tanto a
exemplos de crianças e CEOs . Também se aplica a contextos de segurança cibernética em um mundo onde as pessoas
e a tecnologia estão intrinsecamente ligadas. O fracasso de um em apoiar o sucesso do outro
pode levar a desastres sociais, econômicos e técnicos. A definição de trabalho do impacto sobre o valor
ues levanta uma outra questão de como definir o valor e capturar indicadores que podem ser
usado para medir e gerenciar o risco. Renn define três elementos abstratos básicos necessários
para isso: resultados que têm um impacto sobre o que os humanos valorizam, possibilidade de ocorrência (un-
certeza), e uma fórmula para combinar os dois elementos. Esses elementos estão no cerne da maioria
métodos de avaliação de risco . Esses métodos visam fornecer uma abordagem estruturada para capturar
as entidades de valor e a probabilidade de resultados indesejados afetando as entidades, enquanto
também tendo em mente que mesmo algo com probabilidade muito baixa pode ser realizado e pode
tem impacto significativo em um valor. Nós, portanto, usamos a definição de trabalho de Renn de risco para
discussão neste KA no contexto do risco cibernético.
KA Gestão de Riscos e Governança | Outubro Página
www.cybok.org
Um desafio importante com a avaliação e gestão de riscos é tornar as suposições explícitas e

encontrar o equilíbrio entre as percepções subjetivas de risco e as evidências objetivas. Avaliação de risco
mento é, portanto, um processo de comparação de observações e percepções do mundo que podem
ser justi cado por raciocínio lógico ou comparações com os resultados reais [ ]. Gerenciamento de risco ,
por outro lado, é o processo de desenvolvimento e avaliação de opções para lidar com os riscos em
uma forma que seja agradável para as pessoas cujos valores podem ser impactados, tendo em mente que concorda-
sobre como lidar com o risco pode envolver um espectro de (in) tolerância - desde a aceitação até
rejeição. A Governança de Risco é um conjunto abrangente de processos e princípios contínuos que
visa garantir a conscientização e educação sobre os riscos enfrentados quando determinadas ações ocorrem,
e incutir um senso de responsabilidade a todos os envolvidos em sua gestão. É sob-
fixa a tomada de decisão coletiva e abrange avaliação e gestão de risco,
incluindo a consideração dos contextos jurídicos, sociais, organizacionais e econômicos em que
o risco é avaliado [ ]. Esta área de conhecimento explora todos esses tópicos e fornece insights
em avaliação de risco, gestão e governança de uma perspectiva da ciência da segurança cibernética
acessível a indivíduos, PMEs e grandes organizações.
. POR QUE É AVALIAÇÃO E GESTÃO DE RISCO

IMPORTANTE?
[ ,, , ]
A avaliação de risco envolve três componentes principais []: (i ) identificação e, se possível, estimativa
mação de perigo; (ii) avaliação da exposição e / ou vulnerabilidade; e (iii) estimativa de risco,
combinando a probabilidade e a gravidade. A identificação relaciona-se com o estabelecimento de eventos
e resultados subsequentes, enquanto a estimativa está relacionada à força relativa do resultado
venha. A exposição está relacionada aos aspectos de um sistema aberto aos atores de ameaças (por exemplo, pessoas,
vícios, bancos de dados), enquanto a vulnerabilidade está relacionada aos atributos desses aspectos que poderiam ser
alvo (por exemplo, suscetibilidade a engano, falhas de hardware, exploits de software). Estimativa de risco
ção pode ser quantitativa (por exemplo, probabilística) ou qualitativa (por exemplo, baseada em cenário) e captura
o impacto esperado dos resultados. O conceito fundamental de avaliação de risco é usar
processos analíticos e estruturados para capturar informações, percepções e evidências relacionadas
o que está em jogo, o potencial para eventos desejáveis e indesejáveis, e uma medida do
resultados e impacto prováveis. Sem qualquer uma dessas informações, não temos base para
compreender nossa exposição a ameaças nem conceber um plano para gerenciá-las. Muitas vezes esquecido
parte do processo de avaliação de risco é a avaliação de preocupação . Isso decorre do risco público por
literatura de percepção, mas também é importante para a avaliação de riscos de segurança cibernética, conforme discutiremos
posteriormente no documento. Além dos aspectos mais evidentes e científicos do risco, preocupa-se com
avaliação inclui percepções mais amplas das partes interessadas de: perigos, repercussões dos efeitos de risco,
medo e pavor, controle pessoal ou institucional sobre a gestão de risco e confiança no risco
gerentes.
O processo de gestão de risco envolve a revisão das informações coletadas como parte do risco
(e preocupação) avaliações. Essas informações constituem a base das decisões que levam a três
resultados para cada risco percebido [] :
• Intolerável: o aspecto do sistema em risco precisa ser abandonado ou substituído, ou se

não for possível, as vulnerabilidades precisam ser reduzidas e a exposição limitada.
• Tolerável: os riscos foram reduzidos com métodos razoáveis e apropriados a um nível

tão baixo quanto razoavelmente possível (ALARP) [] ou tão baixo quanto razoavelmente permitido ( ALARA)

www.cybok.org
Uma gama de opções pode incluir mitigação, compartilhamento ou transferência de risco [] , seleção
dos quais dependerá do apetite dos gestores de risco (e da empresa em geral) por
correr riscos.
• Aceitável: a redução do risco não é necessária e pode prosseguir sem intervenção. Pelagem-
além disso, o risco também pode ser usado para buscar oportunidades (também conhecido como 'risco ascendente'),
assim, o resultado pode ser aceitar e abraçar o risco, em vez de reduzi-lo. Hillson
discute essa perspectiva em mais detalhes [] .
Decidir qual selecionar dependerá de uma série de fatores, por exemplo (como sugerido
em ISO : 8 [ 6]), incerteza tangível e intangível, consequências da realização do risco
(bom ou ruim), apetite pelo risco, capacidade organizacional para lidar com o risco, etc.
Além dessa estrutura de decisão, Renn define quatro tipos de risco que exigem riscos diferentes
planos de manejo [ ]. Esses incluem:
• Riscos de rotina: seguem um processo de tomada de decisão bastante normal para a gestão.
Estatísticas e dados relevantes são fornecidos, resultados desejáveis e limites de aceitabilidade
são de nidos, e as medidas de redução de risco são implementadas e aplicadas. Renn dá
exemplos de acidentes de carro e dispositivos de segurança.
• Riscos complexos: onde os riscos são menos claros, pode haver a necessidade de incluir um mais amplo
conjunto de evidências e considere uma abordagem comparativa, como uma análise de custo-benefício ou
relação custo-benefício. Dissidência científica, como efeitos do tratamento com drogas ou mudanças climáticas
são exemplos disso.
• Riscos incertos: onde existe falta de previsibilidade, fatores como reversibilidade, persistência
presença e onipresença tornam-se considerações úteis. Uma abordagem de precaução deve ser
tomadas com uma abordagem contínua e gerenciada para o desenvolvimento do sistema em que nega-
efeitos colaterais positivos podem ser contidos e revertidos. Resiliência a resultados incertos é
chave aqui.
• Riscos ambíguos: onde as partes interessadas mais amplas, como equipe operacional ou sociedade civil
ety, interpretar o risco de forma diferente (por exemplo, existem diferentes pontos de vista ou falta de acordo sobre
controles de gestão), a gestão de risco precisa abordar as causas para os diferentes
Visualizações. Renn usa o exemplo de alimentos geneticamente modificados onde o bem-estar se preocupa
conflito com as opções de sustentabilidade. Neste caso, a gestão de risco deve permitir par-
tomada de decisão decisória, com medidas discursivas visando reduzir a ambigüidade
a uma série de opções gerenciáveis que podem ser posteriormente avaliadas e avaliadas.
As opções de gestão, portanto, incluem uma abordagem de gestão baseada no risco (risco-benefício
análise ou opções comparativas), uma abordagem baseada na resiliência (onde é aceito que
o risco provavelmente permanecerá, mas precisa ser contido, por exemplo, usando ALARA/ Princípios ALARP ), ou um
abordagem baseada no discurso (incluindo comunicação de risco e resolução de conflito para lidar com
ambigüidades). Sem consideração efetiva da aceitabilidade do risco e uma adequada
plano de redução de risco, é provável que a resposta aos resultados adversos seja desorganizada,
ineficazes e provavelmente levam a uma maior disseminação de resultados indesejáveis.
A gestão de risco eficaz por meio de métodos de avaliação estruturados é particularmente importante
porque, embora nossa definição de trabalho de risco esteja fundamentada em consequências de interesse para
pessoas, nós (como sociedade) não somos muito bons em avaliar este risco. Artigo de Slovic sobre risco por
percepção destaca que as percepções relacionadas ao risco de medo (por exemplo, acidentes nucleares) são classificadas
maior risco por leigos, mas muito menor por especialistas de domínio que entendem as evidências
de acordo com as limitações e controles de segurança de tais sistemas. A classificação de risco do especialista tende a seguir
Página 49
O Conhecimento em Segurança Cibernética
www.cybok.org
resultados indesejáveis esperados ou registrados, como mortes, enquanto leigos são influenciados
mais por seu julgamento intuitivo (um acidente nuclear poderia afetar toda a minha família). Há,
portanto, uma incompatibilidade entre o risco percebido e o risco real. Como pessoas, tendemos a exagerar
relacionados ao medo, mas riscos raros (por exemplo, incidentes nucleares e ataques terroristas), mas minimizam os riscos
outros (por exemplo, crimes de rua e acidentes em casa) - embora o último mate muito mais
pessoas.
É também por isso que a avaliação de preocupação é importante no processo de gestão de risco junto com
avaliação de risco lateral. O livro de Schneier Beyond Fear [] observa que temos um senso natural
de segurança em nosso próprio ambiente e uma grande sensação de risco fora dele. Por exemplo,
sentimo-nos seguros ao descer uma rua ao lado de nossa casa, mas no limite ao chegar a uma nova cidade.
Como sociedade, raramente estudamos estatísticas ao tomar decisões; eles são baseados em percepções
de exposição a ameaças, nossa percepção de controle sobre as ameaças e seu possível impacto. Risco como-
avaliação nos ajuda a capturar aspectos quantitativos e qualitativos do mundo que nos permitem
colocar uma estimativa realista de quão certos podemos ter de que eventos adversos acontecerão, e
como eles afetarão o que mais valorizamos. Isso se aplica a nós pessoalmente como indivíduos, e
como grupos de pessoas com um objetivo comum - salvar o planeta, administrar uma empresa ou educar
crianças. Precisamos capturar nossos objetivos, entender o que pode levar ao fracasso em alcançar
e implantar processos para alinhar medidas realistas para reduzir os danos causados
nossos objetivos.
Quando bem feito, a avaliação e gestão de risco permite aos tomadores de decisão, que são re-
patrocinável, para garantir que o sistema opere para atingir os objetivos desejados, conforme definido por seu
partes interessadas. Também pode garantir que o sistema não seja manipulado (intencionalmente ou de outra forma) para
produzir resultados indesejados, bem como ter processos em vigor que minimizam o impacto
caso ocorram resultados indesejáveis. A avaliação e gestão de risco também se trata de pré-
envio de informações de forma transparente, compreensível e facilmente interpretada para diferentes
públicos, para que as partes interessadas responsáveis estejam cientes dos riscos, como estão sendo
idosos, quem é responsável por gerenciá-los, e estão de acordo sobre o que é aceitável
limite de exposição ao risco. Isso é absolutamente crucial para gerenciar riscos com sucesso porque, se o
os riscos não são apresentados claramente aos tomadores de decisão (sejam eles técnicos, sociais, econômicos ou
caso contrário), o impacto de não gerenciá-los será esquecido e o sistema permanecerá
expor. Da mesma forma, se o propósito da gestão de risco não for esclarecido para as pessoas em
o nível operacional, ao lado de suas próprias responsabilidades e responsabilização pelos impactos de risco,
eles não aceitarão o plano de gerenciamento de risco e o sistema permanecerá exposto. Mais
em geral, se as preocupações mais amplas das partes interessadas (por exemplo, a sociedade civil) não forem ouvidas ou se houver falta de
confiança no plano de gestão de risco, pode haver rejeição generalizada do planejado
sistema que está sendo proposto.
Tão importante quanto transmitir os riscos claramente às partes interessadas, é igualmente importante
frisar que os riscos nem sempre podem ser removidos. É provável que haja algum risco residual para o
coisas que valorizamos, então as discussões devem ser mantidas entre os tomadores de decisão e aqueles que são
envolvidos com as operações de um sistema. Em última análise, os tomadores de decisão, que serão mantidos para
responsável pela falha no gerenciamento de risco, irá determinar o nível de tolerância ao risco - se o risco é
aceitos, evitados, mitigados, compartilhados ou transferidos. No entanto, é possível que uma participação mais ampla
titulares, como aqueles envolvidos com as operações do sistema, podem ter visões diferentes sobre como
gerenciar riscos, uma vez que provavelmente têm valores diferentes que estão tentando proteger. Para alguns,
poupar dinheiro será a chave. Para outros, a reputação é o foco principal. Para pessoas que trabalham dentro
o sistema pode ser velocidade de processo ou facilidade de realização de tarefas diárias. O propósito de
avaliação e gestão de risco é comunicar esses valores e garantir que as decisões sejam
tomadas para minimizar os riscos de um conjunto acordado de valores, gerindo-os de forma adequada, enquanto
www.cybok.org
maximizando a "adesão" ao processo de gerenciamento de risco. No risco mais amplo de saúde e segurança
contexto, este conceito se relaciona com a noção de ALARP (tão baixo quanto razoavelmente praticável) [] -
ser capaz de demonstrar que esforços significativos e cálculos foram feitos para calcular
tarde o equilíbrio entre aceitação e mitigação de risco, em favor da proteção e segurança.
Mais uma vez, é importante destacar aqui que a avaliação da preocupação é uma parte importante do risco
avaliação para garantir a política de avaliação de risco (a abordagem acordada para avaliação de risco)
é informado pelos responsáveis e impactados pelo risco e pelos que são obrigados a agir
de forma a sustentar o plano de manejo no dia a dia. Crucialmente, deve-se reconhecer que
o impacto de eventos únicos muitas vezes pode se estender além de danos diretos e se espalhar muito mais em
redes de fornecimento. Como diz Slovic, os resultados de um evento agem como ondas de uma pedra caída
em uma lagoa, primeiro diretamente dentro da empresa ou sistema em que ocorreu, e depois em
subsistemas e empresas e componentes interdependentes [] .
Um dos principais motivadores para avaliação e gestão de risco é demonstrar conformidade

ance. Isso pode ser o resultado da necessidade de ter a aprovação de conformidade auditada de um órgão internacional
órgãos de normalização a fim de obter contratos comerciais; para cumprir com as normas legais ou regulamentares
demandas (por exemplo, na Europa a Rede e Sistemas de Informação (NIS) directivas [] mandatos
que os operadores de serviços essenciais (como infraestrutura nacional crítica) sigam um conjunto de
princípios orientados para metas [ 8]); ou para melhorar a comercialização de uma empresa por meio de
melhorias na confiança pública se a certificação for obtida. Isso às vezes pode levar a
avaliação de risco 'caixa de seleção' em que o resultado é menos focado no gerenciamento do risco, e
mais sobre como alcançar a conformidade. Isso pode resultar em uma falsa sensação de segurança e deixar o
organização exposta a riscos. Isso nos traz de volta à definição de risco de Renn. Esses
os exemplos se concentram no gerenciamento de risco de não cumprimento de várias posições políticas, e
como resultado, eles podem negligenciar o foco mais amplo no impacto sobre os valores mantidos por uma organização mais ampla.
partes interessadas internacionais, sociais ou econômicas. O contexto e escopo da gestão de risco deve
ter essa visão de resultados mais ampla, a fim de ser um exercício útil e valioso que melhora
preparação e resiliência para resultados adversos.
Com base nesses fatores, a avaliação e gestão de risco é certamente um processo, não um
produtos. É algo que, quando bem feito, tem potencial para melhorar significativamente o
resiliência de um sistema. Quando mal feito (ou nem um pouco), pode causar confusão, reputação
danos e sério impacto na funcionalidade do sistema. É um processo que às vezes é per-
considerada sem importância antes de ser necessária, mas crítica para a continuidade dos negócios em uma época de
crise. Ao longo do processo de avaliação de risco, devemos permanecer cientes de que a percepção de risco
varia significativamente com base em uma variedade de fatores e que, apesar das evidências objetivas,
não mudar. Para usar um exemplo de [ ], fornecendo evidências de que o risco anual de viver
próximo a uma usina nuclear é equivalente ao risco de andar uma milha a mais em um automóvel
móvel, não reduz necessariamente a percepção de risco, dadas as diferenças em torno
a percepção geral dos diferentes cenários. Intuitivamente, comunicação e respeito
pois as medidas qualitativas e quantitativas de avaliação de risco são essenciais para sua prática. Ambos
medidas exibem ambigüidade (por exemplo, [] ) e, muitas vezes, não temos dados de qualidade sobre o risco, portanto, as evidências
só vai até certo ponto. Sempre haverá a necessidade de um julgamento humano subjetivo para determinar
relevância e planos de gestão [] , que por si só vem com suas próprias limitações, como
falta de conhecimento especializado e viés cognitivo [] .

www.cybok.org
. O QUE É AVALIAÇÃO DE RISCO CIBERNÉTICO E

GESTÃO?
[]
As seções introdutórias tornaram o caso de avaliação e gerenciamento de risco mais

geralmente, mas o foco principal deste documento é enquadrar a avaliação de risco e gerenciar
em um contexto de segurança cibernética. A tecnologia digital está se tornando cada vez mais difundida e
sustenta quase todas as facetas de nossas vidas diárias. Com o crescimento da Internet das Coisas,
espera-se que os dispositivos conectados atinjam níveis de mais de bilhões em [ ]. Avançar,
tarefas baseadas em decisões humanas, como dirigir e tomar decisões, estão sendo substituídas por
tecnologias combinadas e as infraestruturas digitais das quais dependemos cada vez mais podem
ser interrompido indiscriminadamente como resultado de, por exemplo, ransomware [ ]. Risco de segurança cibernética
avaliação e gestão é, portanto, um caso especial fundamental que todos os que vivem
e trabalhar no domínio digital deve compreender e participar dele.
Há uma série de padrões globais que visam formalizar e fornecer uma estrutura comum
trabalho para avaliação e gerenciamento de risco cibernético e, nesta seção, estudaremos alguns
deles. Começaremos com definições de alto nível de algumas das principais posições sobre risco.
O Reino Unido ficou em primeiro lugar no 8º Índice Global de Cibersegurança (GCI) [ ], uma
revisão cientificamente fundamentada do compromisso e da situação da segurança cibernética em um nível global
nível de país por país. A revisão abrange cinco pilares: (i) jurídico, (ii) técnico, (iii) organizacional
internacional, (iv) capacitação e (v) cooperação - e, em seguida, agrega-os em uma
pontuação. Como a nação líder no GCI, a autoridade técnica para segurança cibernética, o UK National
Cyber Security Center (NCSC) publicou orientações sobre gestão de risco []. Mais importante,
o NCSC deixa claro que não existe um modelo único para avaliação e gestão de riscos. Dentro-
ação conduzindo avaliação e gestão de risco como um exercício de caixa de seleção produz uma falsa
sensação de segurança, o que aumenta potencialmente a vulnerabilidade das pessoas impactadas pelo risco
porque eles não estão devidamente preparados. A segurança cibernética é um domínio em rápida evolução
que devemos aceitar que não podemos estar totalmente cibernéticos. No entanto, podemos aumentar nosso
preparação. O Potomac Institute for Policy Studies fornece uma estrutura para estudar
prontidão cibernética, juntamente com um perfil específico de um país para uma série de nações (incluindo EUA, Índia,
África do Sul, França, Reino Unido) e um índice de prontidão cibernética associado [ 6]
. GOVERNANÇA DE RISCO
[, 8, , 6 , 6 , 6 , 6 , 6 , 6 , 66 , 6]
.. O que é governança de risco e por que é essencial?

A avaliação de riscos e o desenvolvimento de princípios de mitigação para gerenciar os riscos provavelmente serão eficazes.
eficaz, onde uma política de governança coordenada e bem comunicada é implementada
o sistema sendo gerenciado. Millstone et al. [ ] propôs três modelos de governança:
• Tecnocrático: onde a política é diretamente informada pela ciência e pelas evidências do domínio
perícia.
• Decisional: onde a avaliação de risco e a política são desenvolvidas usando entradas além da ciência
ence sozinho. Por exemplo, incorporar motivadores sociais e econômicos.
www.cybok.org
• Transparente (inclusivo): onde o contexto para avaliação de risco é considerado de fora

definido com contribuições da ciência, política, economia e sociedade civil. Isso desenvolve um modelo
de 'pré-avaliação' - que inclui as opiniões das partes interessadas mais amplas - que molda o risco
avaliação e posterior política de gestão.
Nenhum está correto ou incorreto. Existe um equilíbrio preciso entre o conhecimento e as descobertas
de especialistas científicos e percepções do público leigo. Embora a abordagem tecnocrática possa
parece lógico para alguns proprietários de risco que trabalham com base no raciocínio usando evidências, é ab-
absolutamente crucial para uma governança de risco eficaz para incluir a visão mais ampla das partes interessadas. Rohrmann
e o trabalho de Renn sobre a percepção de risco destaca algumas das principais razões para isso [ 8] Eles identificam
quatro elementos que influenciam a percepção de risco:
• julgamento intuitivo associado a probabilidades e danos;
• fatores contextuais que cercam as características percebidas do risco (por exemplo, familiaridade)
e a situação de risco (por exemplo, controle pessoal);
• associações semânticas ligadas à fonte de risco, pessoas associadas ao risco, e

circunstâncias da situação de risco;
• confiança e credibilidade dos atores envolvidos no debate sobre riscos.
Esses fatores não são particularmente científicos, estruturados ou baseados em evidências, mas, conforme observado por
Fischoff et al. [ ], tais formas de definir probabilidades são contrariadas pela força de ser
Leve as pessoas sobre a probabilidade de um evento indesejável impactar seus próprios valores. Ulti-
da perspectiva da governança, quanto mais inclusiva e transparente for a política desenvolvida
opção, mais provável será o apoio e aceitação do grupo mais amplo de partes interessadas - incluindo
leigos, bem como pessoal operacional - para as políticas e princípios de gestão de risco.
Existem vários elementos que são essenciais para uma governança de risco bem-sucedida. Gosto muito do risco
processo de avaliação, não existe uma solução única para todos os empreendimentos. No entanto, um princípio importante
ple é garantir que a atividade de governança (veja abaixo) esteja intimamente ligada às atividades diárias
e tomada de decisão. O risco cibernético é tão importante quanto saúde e segurança, processos financeiros,
e recursos humanos. Essas atividades agora estão bem estabelecidas na tomada de decisões. Para ...
posição, ao contratar pessoal, o processo de RH está na vanguarda da atividade do recrutador. Quando
viajando para o exterior, os funcionários sempre consultarão as restrições e processos financeiros
para viajar. A segurança cibernética deve ser pensada da mesma maneira - um conjunto claro de processos
que reduzem o risco de danos aos indivíduos e às empresas. Todos os envolvidos no dia a dia
funcionamento do sistema em questão deve compreender que, para a segurança ser eficaz, deve
fazer parte da cultura operacional do dia a dia. A abordagem de governança de risco cibernético é a chave para isso
adoção cultural.
.. O fator humano e a comunicação de risco

Sasse e Flechais [6 ] identificou fatores humanos que podem afetar a governança de segurança, incluindo
ing pessoas: tendo problemas para usar as ferramentas de segurança corretamente; não entendendo a importância
de dados, software e sistemas para sua organização; não acreditar que os ativos estão em risco
(ou seja, que seriam atacados); ou não entender que seu comportamento coloca o sistema
em risco. Isso destaca que o risco não pode ser mitigado apenas com a tecnologia , e que a preocupação
avaliação é importante. Se a percepção de risco é tal que existe uma visão amplamente difundida de que as pessoas
ple não acredita que seus ativos serão atacados (conforme observado por [6 ]), apesar das estatísticas mostrando
violações de segurança cibernética estão aumentando ano a ano, então é provável que haja um problema com
a cultura de segurança cibernética na organização. Educar as pessoas dentro de uma organização é vital
KA Gestão de Riscos e Governança | Outubro Página 6

www.cybok.org
para garantir a adoção cultural dos princípios definidos no plano de gestão de risco e associados
política de governança de segurança associada. As pessoas geralmente seguem o caminho de menor resistência para
faça um trabalho ou busque o caminho de maior recompensa. Como observam Sasse e Flechais, as pessoas não conseguem
seguem o comportamento de segurança exigido por um dos dois motivos: () eles não conseguem se comportar
conforme necessário (um exemplo é que não é tecnicamente possível fazê-lo; outro é que
os procedimentos e políticas de segurança disponíveis para eles são grandes, difíceis de digerir ou pouco claros)
, () eles não querem se comportar da maneira exigida (um exemplo disso pode ser que eles achem
é mais fácil contornar a política proposta de baixo risco, mas demorada; outro sendo que
discordam da política proposta).
Weirich e Sasse estudaram a conformidade com as regras de senha como um exemplo de conformidade
com política de segurança [6 ] e descobriu que a falta de conformidade estava associada a pessoas que não
acreditando que eles estavam pessoalmente em risco e / ou que seriam responsabilizados por
falha em seguir as regras de segurança. Portanto, é necessário garantir um senso de responsabilidade e
processo de responsabilização, caso haja uma violação da política. Isso deve, é claro, ser cuidadoso
das implicações legais e éticas, bem como as questões culturais em torno da violação das regras, que
é um ato de equilíbrio. A comunicação de risco, portanto, desempenha um papel importante na governança [6 ]
[] incluindo aspectos, tais como:
• Educação: particularmente em torno da consciência de risco e tratamento diário dos riscos, incluindo
avaliação e gestão de riscos e preocupações;
• Treinamento e indução à mudança de comportamento: levando a consciência proporcionada pela educa-

ção e mudança de práticas e processos internos para aderir à política de segurança;
• Criação de confiança: tanto em torno da gestão de risco organizacional quanto no indivíduo-chave

als - desenvolver confiança ao longo do tempo e mantê-la por meio de um forte desempenho e
gerenciamento de riscos.
• Envolvimento: particularmente no processo de tomada de decisão de risco - dando às partes interessadas uma
oportunidade de participar na avaliação de riscos e preocupações e participar na resolução de conflitos
ção
Finalmente, liderar pelo exemplo é de suma importância no processo de comunicação de risco.

As pessoas provavelmente ficarão ressentidas se parecer que a alta administração não está cumprindo
as mesmas regras e princípios de gestão de risco. Envolvimento sênior visível em um importante
aspecto cultural da comunicação de risco.
.. Cultura de segurança e conscientização

Princípios de Dekker sobre cultura justa [6 ] têm como objetivo equilibrar a responsabilidade com o aprendizado no
contexto de segurança. Ele propõe a necessidade de mudar a maneira como pensamos sobre
contabilização para que seja compatível com o aprendizado e aprimoramento da postura de segurança
de uma organização. É importante que as pessoas se sintam capazes de relatar problemas e preocupações, par-
especialmente se eles pensam que podem ser os culpados. A responsabilidade deve estar intrinsecamente ligada a
ajudando a organização , sem a preocupação de ser estigmatizado e penalizado. Freqüentemente há
uma questão em que os responsáveis pela governança de segurança têm consciência limitada e
posição do que significa praticá-lo no mundo operacional. Nestes casos, há necessidade
ser uma consciência de que possivelmente não há certo ou errado claro, e que mal pensado
processos e práticas provavelmente estão por trás da violação de segurança, ao contrário de
comportamento humano malicioso. Se for esse o caso, eles precisam ser resolvidos e a pessoa
o culpado precisa se sentir apoiado por seus colegas e livre de ansiedade. Uma sugestão Dekker
www.cybok.org
faz é ter uma equipe independente para lidar com relatórios de violação de segurança para que as pessoas não
tem que passar por seu gerente de linha. Se as pessoas estiverem cientes dos caminhos e resultados
após as violações de segurança, isso reduzirá a ansiedade sobre o que acontecerá e, portanto, conduzirá
para uma cultura de segurança mais aberta.
Dado que a conscientização e a educação para a segurança são um fator tão importante para um governo eficaz
nance, Jaquith [6 ] vincula a conscientização da segurança com as métricas de segurança por meio de uma série de questões
ções que podem ser consideradas dicas úteis para melhorar a cultura de segurança:
• Os funcionários estão reconhecendo suas responsabilidades de segurança como usuários de informações

sistemas? (Métrica:% de novos funcionários concluindo o treinamento de conscientização de segurança).
• Os funcionários estão recebendo treinamento em intervalos consistentes com as políticas da empresa? (Métrica:
% dos funcionários existentes concluindo o treinamento de atualização por política).
• Os membros da equipe de segurança possuem habilidades e certi cações profissionais suficientes?

(Métrica:% pessoal de segurança com certi cações profissionais de segurança).
• Os membros da equipe de segurança estão adquirindo novas habilidades em taxas consistentes com a gestão
Objetivos? (Métricas: # habilidade de segurança dominada, média por funcionário e por segurança
membro da equipe, taxa de cumprimento de metas e workshops de treinamento de segurança externa
seminários em sala).
• Os esforços de conscientização e treinamento de segurança estão levando a resultados mensuráveis? (Métricas:

Por unidade de negócios ou escritório, correlação da força da senha com o tempo decorrido desde
aulas de treinamento; por unidade de negócios ou escritório, correlação da taxa de utilização não autorizada com o treinamento
latência).
As métricas podem ser uma forma rudimentar de capturar a aderência à política de segurança, mas quando vinculadas a questões
ções que estão relacionadas à avaliação de risco inicial, eles podem fornecer um objetivo e medidas
maneira segura de monitorar continuamente e relatar sobre a segurança de um sistema para a decisão
decisores, bem como os responsáveis pela sua governança de uma forma compreensível e significativa
maneira inteligente. No entanto, é importante notar a complexidade das métricas aqui com o uso do
termo 'reconhecendo' no primeiro ponto. Isso não significa necessariamente que a pessoa irá
reconheça suas responsabilidades apenas concluindo o treinamento de conscientização. Isso reforça
os pontos já feitos sobre a importância dos fatores humanos e da cultura de segurança, e
a seção a seguir sobre como decretar a política de segurança.
.. Promulgando Política de Segurança

Em geral, a governança de risco cibernético eficaz será sustentada por uma segurança clara e executável
política. Esta seção enfoca os elementos de avaliação e gestão de risco que são
relevantes para alcançar isso. Desde a fase inicial da avaliação de risco, deve haver um
foco claro no propósito e escopo do exercício de avaliação de risco. Durante esta fase, para
sistemas mais complexos ou segurança de todo o sistema, deve haver um foco na identificação do
objetivos e metas do sistema. Isso deve ser alcançado com links claros de objec-
para os processos que os sustentam. Os riscos devem ser articulados como declarações claras
que capturam as interdependências entre as vulnerabilidades, ameaças, probabilidades e
vem (por exemplo, causas e efeitos) que compõem o risco. As decisões de gestão de risco serão
tomadas para mitigar as ameaças identificadas para esses processos, e estes devem estar ligados ao
política de segurança, que irá articular claramente as ações necessárias e atividades tomadas (e por
quem), muitas vezes junto com um cronograma claro, para mitigar os riscos. Isso também deve incluir o que
espera-se que aconteça como consequência deste risco se tornar uma realidade.

www.cybok.org
Figura . : Estrutura de Governança de Risco do IRGC - retirado de [66]
A apresentação de informações de avaliação de risco neste contexto é importante. Frequentemente mapas de calor
e matrizes de risco são usadas para visualizar os riscos. No entanto, a pesquisa identificou limitações
no conceito de combinação de múltiplas medidas de risco (como probabilidade e impacto)
em uma única matriz e mapa de calor [68] A atenção deve, portanto, ser dada ao propósito
da visualização e da precisão das evidências que representa para o objetivo de desenvolver
decisões de política de segurança.
Fatores humanos (ver Fatores Humanos Área de Conhecimento (capítulo)) , e cultura de segurança
são fundamentais para a implementação da política de segurança. Conforme discutido, as pessoas não conseguem seguir
o comportamento de segurança exigido porque eles são incapazes de se comportar conforme exigido, ou eles o fazem
não quero se comportar da maneira exigida [6 ] Um conjunto de regras que determinam como o homem de risco à segurança
sistema deve operar quase certamente falhará, a menos que as ações necessárias sejam vistas como
ligada a uma governança organizacional mais ampla e, portanto, à política de segurança, da mesma forma
A política de RH e finanças exige. As pessoas devem estar habilitadas a operar de forma segura e não
ser objeto de uma cultura de culpa quando as coisas falham. É altamente provável que haja segurança
violações de dados, mas a maioria delas não será intencional. Portanto, a política de segurança
deve ser reflexivo e reativo às questões, respondendo à agenda da Cultura Justa e criando
uma política de responsabilidade pelo aprendizado e uso de erros para refinar a política de segurança e
processos de sustentação - não culpar e penalizar as pessoas.
A educação em segurança deve ser uma parte formal do desenvolvimento profissional contínuo de todos os funcionários
ment, com mensagens reforçadas sobre por que a segurança cibernética é importante para a organização,
e o papel e deveres do funcionário dentro disso. Princípios de comunicação de risco são um im-
aspecto importante do fator humano na educação para a segurança. Discutimos a necessidade de
narrativas credíveis e confiáveis e envolvimento das partes interessadas na gestão de risco
www.cybok.org
processar. Existem princípios adicionais a serem considerados, como a comunicação precoce e frequente
ção, adaptando a mensagem para o público, testando a mensagem e considerando a existência
percepções de risco que devem fazer parte do planejamento em torno da educação em segurança. Extensa dis-
discussão de tais princípios de comunicação de risco que são particularmente relevantes para mensagens
sobre o risco pode ser encontrado em [6 ]
Parte da avaliação final de risco e resultados de gestão deve ser uma lista de
riscos com proprietários associados que supervisionam as metas e ativos organizacionais
sustentando os processos em risco. Esses indivíduos devem estar intimamente ligados à revisão
atividade e deve ser claramente identificável como responsável pela gestão de risco
mento.
Figura . resume os principais elementos do processo de governança de risco, conforme discutido para
distante. Este modelo do Conselho Internacional de Governança de Risco (IRGC) [ 66], que é fortemente
inspirado no trabalho de Renn [ ], destaca que a comunicação de risco está no cerne do governo
processo de financiamento e baseia-se no enquadramento de problemas, avaliação de risco e preocupação, avaliação de risco,
e gestão de risco. O processo de governança é iterativo, sempre buscando a conscientização de
novos problemas e ameaças em evolução, e continuamente refletindo sobre as melhores práticas para gerenciar
novos riscos.
.6 AVALIAÇÃO DE RISCO E PRINCÍPIOS DE GESTÃO

[, , 6 , 66 , 6, ,, , , , ]
.6. Perspectivas de componentes vs. sistemas

A orientação do NCSC do Reino Unido [] divide a gestão de risco em componentes do homem de risco orientado
gerenciamento , que se concentra nos componentes técnicos e nas ameaças e vulnerabilidades que eles
rosto (também conhecido como de baixo para cima); e gestão de risco orientada ao sistema , que analisa o sistema
como um todo (também conhecido como top down). A principal diferença entre os dois é que
abordagens orientadas por componentes tendem a se concentrar no risco específico para um componente individual
(por exemplo, hardware, software, dados, equipe), enquanto as abordagens orientadas ao sistema se concentram mais no
objetivos de um sistema inteiro - exigindo a definição de um propósito de nível superior e subsequente
compreensão dos subsistemas e como as várias partes interagem.
O trabalho de Rasmussen [6 ] nos permite considerar uma hierarquia de abstração e mostrar como
as técnicas de avaliação de risco orientadas por sistemas e por componentes são complementares. Como
ilustrado na figura ., os objetivos e propósitos do sistema podem ser considerados no nível superior
nível. Notavelmente, isso inclui um foco nas dependências entre os sub-objetivos e também o que
o sistema não deve fazer (estados de falha predefinidos). Estes são importantes para projetar no sistema
e, se omitido, leva à necessidade de retroceder a segurança cibernética em um sistema que já foi
implantado. Os níveis mais baixos consideram os recursos e a funcionalidade necessários para alcançar o
objetivos abrangentes. Neste nível, avaliações de risco baseadas em componentes de artefatos do mundo real
(por exemplo, hardware, software, dados, equipe) considere como estes podem ser afetados por um ataque adverso
ções ou eventos.
Abordagens baseadas no sistema podem ajudar a entender melhor a complexidade entre os subcomponentes
e seus componentes. Isso pode incluir pessoas, tecnologia e processos organizacionais
para o qual as interações e dependências não são triviais. Tomando essa abordagem (que
pode talvez provar mais recursos intensivos do que as abordagens baseadas em componentes, devido à identificação
www.cybok.org
Figura . : Hierarquia de Jens Rasmussen
identificação de interdependências) só é necessária onde a complexidade realmente existe. Se interac-

ções e dependências são claras e o sistema é menos complexo (por exemplo, um sistema baseado em ce simples
Infraestrutura de TI), então uma abordagem baseada em componentes pode ser mais apropriada.
A orientação do NCSC fornece uma tabela de resumo (reproduzida aqui como Figura .) isso é útil
em orientar a seleção de métodos orientados por componentes ou por sistema com base no tipo de
problema de gerenciamento de risco que está sendo tratado. O principal diferencial é que o componente
visão é baseada em ativos individuais, onde a complexidade é bem compreendida e a função esperada
alidade é clara. A visão do sistema suporta uma análise de risco em situações de maior complexidade
antes que a função física seja acordada e implementada, e para apoiar as discussões por
partes interessadas sobre o que o sistema deve e não deve fazer. Essas discussões são cruciais em
encontrar o equilíbrio entre a falha no nível do componente e no nível do sistema e a melhor forma de administrar
envelhecer o risco. O risco do componente é provavelmente mais importante para os funcionários operacionais que
precisam que o componente esteja funcionando para que sua parte de um sistema maior funcione
(por exemplo, equipe, dados, dispositivos). O risco de nível de sistema é provavelmente mais importante para níveis mais altos
gerentes que têm interesse na direção estratégica do sistema. Para eles um
componente mais abaixo na cadeia de valor / fornecimento pode não ser percebido como importante, enquanto
para o funcionário operacional, é o risco número um. O desafio é trabalhar com ambos
perspectivas para desenvolver uma representação de risco e uma política de gestão de risco associada
promulgada por todas as partes.
.6. Elementos de Risco

Embora seja útil evitar a criação de uma definição universal de risco, para apoiar a inclusão de dife-
diferentes pontos de vista e perspectivas, é importante ter definições concordantes dos conceitos que
sustentar a avaliação e gestão de riscos. Isso garante uma linguagem comum em todo
o processo e evita falar com propósitos contrários. Existem quatro conceitos que são fundamentais para um
avaliação de risco na maioria dos modelos - vulnerabilidade, ameaça, probabilidade e impacto.
Uma vulnerabilidade é algo aberto a ataques ou uso indevido que pode levar a um resultado indesejável
venha. Se a vulnerabilidade fosse explorada, poderia causar um impacto em um processo ou
sistema. As vulnerabilidades podem ser diversas e incluir tecnologia (por exemplo, uma interface de software
vulneráveis a entradas inválidas), pessoas (por exemplo, uma empresa é vulnerável à falta de recursos humanos
fontes), legais (por exemplo, bancos de dados sendo vulneráveis e vinculados a grandes redes jurídicas se os dados forem errados
tratada e exposta) etc. Esta é uma lista não exaustiva, mas destaca que as vulnerabilidades são
www.cybok.org
Bom para
• Analisar os riscos enfrentados por componentes técnicos individuais.

• Desconstruindo sistemas menos complexos, com compreensão
Controlado por componentes
conexões entre as partes componentes.
métodos
• Trabalhar em níveis de abstração onde um sistema é físico
função já foi acordada entre as partes interessadas.
• Explorar violações de segurança que emergem do complexo

interação de muitas partes do seu sistema.
• Estabelecer requisitos de segurança do sistema antes de você
decidiu sobre o projeto físico exato do sistema.
Orientado pelo sistema
• Reunir as visões de várias partes interessadas sobre o que
métodos
sistema deve e não deve fazer (por exemplo, segurança, proteção, legal
Visualizações).
• Analisar violações de segurança que não podem ser rastreadas até
um único ponto de falha.
Figura . : Diretrizes para mapear tipos de problemas de gerenciamento de risco para componente ou sistema
métodos dirigidos
sócio técnico.
Uma ameaça é um indivíduo, evento ou ação que tem a capacidade de explorar uma vulnerabilidade.
As ameaças também são sociotécnicas e podem incluir hackers, funcionários insatisfeitos ou mal treinados.
ployees, software mal projetado, um processo operacional mal articulado ou compreendido
etc. Para dar um exemplo concreto que diferencia vulnerabilidades de ameaças - um software
interface tem uma vulnerabilidade em que a entrada maliciosa pode fazer com que o software se comporte em um
forma indesejável (por exemplo, deletar tabelas de um banco de dados no sistema), enquanto a ameaça é uma
ação ou evento que explora a vulnerabilidade (por exemplo, o hacker que introduz o
entrada no sistema).
Probabilidade representa uma medida que captura o grau de possibilidade de uma ameaça explorar um
vulnerabilidade e, portanto, produzir um resultado indesejável afetando os valores do núcleo
do sistema. Este pode ser um indicador qualitativo (por exemplo, baixo, médio, alto) ou quantitativo
valor (por exemplo, uma escala de - ou uma porcentagem).
O impacto é o resultado de uma ameaça que explora uma vulnerabilidade, o que tem um efeito negativo sobre o
sucesso dos objetivos para os quais estamos avaliando o risco. De uma visão sistêmica,
pode ser a falha em fabricar um novo produto no prazo, enquanto do ponto de vista de componente
pode ser a falha de um componente de produção de manufatura específico.
www.cybok.org
.6. Métodos de avaliação e gestão de risco

O objetivo de capturar esses quatro elementos de risco é para uso no diálogo que visa representar
reenvie a melhor forma de determinar a exposição de um sistema ao risco cibernético e como gerenciá-lo.
Há uma variedade de métodos, alguns dos quais foram estabelecidos como padrões internacionais
normas e diretrizes, que fornecem um meio estruturado para transformar vulnerabilidade, ameaça, como
responsabilidade e impacto em uma lista de classificação para poder priorizá-los e tratá-los. Enquanto
cada método tem sua própria abordagem particular para avaliação e gestão de risco, lá
são alguns recursos comuns a vários dos métodos mais amplamente usados que são úteis para
enquadramento de avaliação de risco e atividades de gestão, que podem ser mapeadas de volta para Renn's
trabalho seminal sobre governança de risco [ ], conforme discutido nas seções anteriores. O Risco Internacional
Conselho de Governança (IRGC) capturá-los em sua estrutura de governança de risco (desenvolvida por
um grupo de especialistas presidido por Renn), resumido na Figura ., que inclui quatro áreas principais
e componentes transversais. A pré-avaliação inclui o enquadramento do risco, identificação
de atores e partes interessadas relevantes e captura perspectivas sobre o risco. A avaliação inclui
a avaliação das causas e consequências do risco (incluindo a preocupação com o risco), desenvolvendo um
base de conhecimento de riscos e opções de mitigação (por exemplo, prevenção, compartilhamento, etc.). Characterisa-
ção envolve um processo de decisão, fazendo um julgamento sobre o significado e tolerância
dos riscos. Avaliação e caracterização constituem a base da implementação do Renn's
três componentes principais da avaliação de risco [ ]. Os processos de gestão incluem decidir sobre
o plano de gerenciamento de risco e como implementá-lo, incluindo a tolerância ao risco (aceitar, evitar
(ing, mitigando, compartilhando, transferindo). Entre todos os quatro está a comunicação, o engajamento
e definição de contexto através de um diálogo aberto e inclusivo.
As diretrizes do governo dos EUA NIST [] capturam a vulnerabilidade, ameaças, probabilidade e

elementos de impacto dentro da preparação (pré-avaliação), conduta (avaliação e caracterização),
comunicar (corte transversal), manter (gerenciamento) ciclo (consulte a Figura .) Um passo a passo
guia detalhado pode ser encontrado no documento completo, mas resumimos as ações aqui.
Preparar envolve identificar o propósito (por exemplo, estabelecer uma linha de base de risco ou identificar
vulnerabilidades, ameaças, probabilidade e impacto) e escopo (por exemplo, quais partes de um sistema / órgão
isação deve ser incluída na avaliação de risco ?; quais decisões os resultados estão informando?).
Também envolve a definição de suposições e restrições sobre elementos como os recursos necessários
e condições predisponentes que precisam informar a avaliação de risco. A avaliação ap-
proach e tolerâncias de risco também são de nidas nesta fase, juntamente com a identificação de fontes de
informações relacionadas a ameaças, vulnerabilidades e impacto.
Conduta é a fase em que ameaças, vulnerabilidades, probabilidade e impacto são identificados. Lá

há uma série de maneiras pelas quais isso pode ser conduzido, e isso vai variar dependendo da natureza
do sistema sob avaliação de risco e os resultados da fase de preparação . NIST tem um muito especial
ci c conjunto de tarefas a serem realizadas. Eles podem não ser relevantes para todos os sistemas, mas existem
algumas tarefas úteis que generalizam em várias perspectivas do sistema, incluindo identificar
ing: fontes de ameaças e capacidade, intenções e alvos do adversário; eventos de ameaça e relevância para
o sistema em questão; vulnerabilidades e condições predisponentes; probabilidade de que as ameaças
identificado irá explorar as vulnerabilidades; e os impactos e ativos afetados. Observe que o or-
derivação de ações na abordagem NIST coloca a identificação de ameaças antes das vulnerabilidades, que
pressupõe que todas as ameaças podem ser identificadas e mapeadas para vulnerabilidades. Vale muito a pena
iluminar que a avaliação de risco também deve ser eficaz em situações onde as ameaças são menos ob-
vivas ou ainda para ser mainstream (por exemplo, botnets IoT ) e, portanto, algumas organizações que são
particularmente arraigado na adoção digital, também pode querer considerar a realização de uma vulnerabilidade
avaliação de independência de forma independente ou antes da identificação de prováveis ameaças para evitar fazer

www.cybok.org
Figura . : NIST SP-8 - Processo de Avaliação de Risco
suposições sobre o que ou quem podem ser os atores da ameaça.
Comunicar é uma das fases mais importantes e muitas vezes esquecida. Regente
a avaliação de risco fornece os dados para ser capaz de informar ações que irão melhorar a segurança
ridade do sistema. No entanto, é crucial que isso seja comunicado usando um método apropriado.
Os conselhos executivos esperam e precisam que as informações sejam apresentadas de uma maneira diferente para op-
membros da equipe organizacional e a equipe organizacional em geral precisarão ser educados e orientados
de uma forma totalmente diferente. Os resultados e evidências da avaliação de risco devem ser comunicados
citado de uma forma acessível a cada parte interessada e de uma forma que possa envolvê-los
no planejamento e execução da gestão de riscos.
Manter é uma fase contínua que é essencial para atualizar continuamente a avaliação de risco em
à luz das mudanças no ambiente e na configuração do sistema. Mudança de posturas de segurança
regularmente em ambientes digitais. Por exemplo, Figura . mostra o volume das unidades IoT em
estagnou de a com um rápido aumento na adoção de 0,6 milhões em todo o negócio
setor de ness entre e 8. Com isso, é projetado para crescer mais.
milhão. Este tipo de integração rápida de dispositivos em sistemas corporativos de TI provavelmente mudará
a exposição ao risco e, portanto, o escopo precisaria ser refinado, uma nova avaliação de risco
ações realizadas e ações tomadas e comunicadas a todas as partes interessadas para garantir que
o novo risco é gerenciado. Este cenário indica que (i) a manutenção da avaliação de risco deve
ser pró - ativo e realizado muito mais regularmente do que em uma base anual, e (ii) conduta
avaliação de risco para fins de conformidade (possivelmente apenas uma vez por ano) deixará o or-
ganização aberta a novas ameaças tecnológicas, a menos que a fase de manutenção seja levada a sério
sly. Os fatores de risco devem ser identificados para monitoramento contínuo (por exemplo, mudanças na tecnologia

www.cybok.org
Figura . : Dispositivos IoT Use Figuras: Fonte: []
uso dentro do sistema), a frequência de monitoramento dos fatores de risco deve ser acordada, e
as revisões desencadeadas devem revisar e refinar o escopo, o propósito e as premissas do risco
avaliação - lembrando-se de comunicar os resultados cada vez que novos riscos são identificados.
O padrão internacional ISO/ IEC para gerenciamento de risco [] contém ac-

atividades para a orientação do NIST (ver Figura .6) Inclui uma fase de Estabelecer Contexto , que
tem como objetivo geral alcançar os resultados da fase de preparação do NIST e do IRGC Pré-
fase de avaliação . A fase de avaliação de risco é multicamadas, com identificação, estimativa
ção, etapas de avaliação . Isso se alinha com as fases de avaliação e caracterização do IRGC .
ISO também tem fases de Comunicação de Risco e Monitoramento e Revisão de Risco , que re-
tarde amplamente para os objetivos das fases de comunicação e manutenção do NIST , e do IRGC
cortar as fases de comunicação, contexto e engajamento. ISO/ IEC tem elementos adicionais
mentos que capturam explicitamente os processos de decisão de gestão de risco, mas não são prescritivos
sobre como implementá-los. A inclusão das fases de tratamento e aceitação vinculadas a
comunicação e revisão capturam alguns dos aspectos fundamentais da gestão,
a escolha do tratamento ou aceitação como parte do processo de avaliação. Este aspecto de
o ISO/ A abordagem IEC é análoga ao elemento de resposta ao risco do NIST-SP8 -
orientação sobre gestão de risco [ ], onde as opções de resposta ao risco incluem aceitação,
prevenção, mitigação ou compartilhamento / transferência. A mensagem para tirar desta comparação é
que, embora os métodos de avaliação de risco possam diferir na fase de avaliação de risco (dependendo
sobre o tipo de sistema que está sendo analisado e o escopo do estudo), a preparação, comunicação
nicação e fases de monitoramento contínuo são obrigatórios em ambas as
diretrizes, assim como as decisões importantes em torno da tolerância ao risco. ISO/ IEC é menos pré-
mais script do que o NIST, por isso oferece a opção de incluir uma gama de avaliação e gerenciamento
abordagens dentro do processo geral.
www.cybok.org
Figura .6: Processo ISO / IEC - retirado de [ 6]
Uma lista de estruturas de gerenciamento de risco cibernético baseadas em componentes comumente usados pode ser encontrada
em [] . A lista também inclui uma breve descrição, uma visão geral de como eles funcionam, quem deve
usá-lo e uma indicação de custo e pré-requisitos. Embora não desejando reproduzir o todo
lista aqui, fornecemos uma visão geral para fins de comparação.
• ISO/ IEC: 8 é um conjunto padrão internacional de diretrizes para risco de informação
gestão. Não prescreve uma técnica de avaliação de risco específica, mas tem
um foco orientado por componentes e exige que as vulnerabilidades, ameaças e impactos sejam especificados
ed.
• NIST SP8 - / são a avaliação / gestão de risco preferida do Governo dos EUA
métodos e são obrigatórios para agências governamentais dos EUA. Eles têm uma forte regulamentação
foco, que pode não ser relevante para outros países além dos EUA, mas eles têm uma clara
conjunto de etapas de orientação para apoiar todo o processo de avaliação e gestão de risco
desde o estabelecimento do contexto até a tolerância ao risco e controles eficazes, incluindo a determinação
probabilidade de impacto. Eles estão disponíveis gratuitamente e são consistentes com os padrões ISO
(que não são gratuitos, mas são de baixo custo).
• O Fórum de Segurança da Informação (ISF) produziu o método de gestão de risco IRAM-

ologia que usa uma série de fases para identificar, avaliar e tratar os riscos usando a vulnerabilidade
capacidade, ameaças e medidas de impacto. É fornecido a membros (pagos) da ISF e
requer experiência em gerenciamento de risco de informação para usá-lo de forma eficaz, o que pode vir
a um custo adicional.
www.cybok.org
• FAIR, inicialmente desenvolvido por Jones [ ] e posteriormente desenvolvido em colaboração com

o grupo aberto em OpenFAIR [ 8], propõe uma taxonomia de fatores de risco e um quadro
trabalho para combiná-los. A superfície de ameaça pode ser considerada muito ampla e há um
foco claro na frequência do evento de perda, capacidade de ameaça, força de controle e magnitude de perda
tude. Também divide os fatores de perda financeira em vários níveis e apóia um cenário
modelo para construir perfis de perda comparáveis.
• Octave Allegro é orientado para práticas de segurança e risco operacional ao invés de

tecnologia. A avaliação qualitativa dos riscos está vinculada aos objetivos organizacionais. Mundo real
os cenários são usados para identificar riscos por meio de análises de ameaças e impactos. Os riscos são
então priorizado e mitigação é planejada. A abordagem é projetada para o estilo de oficina
avaliação de risco e poderia ser realizada internamente, possivelmente resultando em um custo mais baixo
do que uma avaliação de risco conduzida por um consultor.
• STRIDE é uma abordagem de modelagem de ameaças orientada a falhas com foco em seis áreas principais: spoof-
manipulação (falsificação de identidade), adulteração (modificação não autorizada), repúdio (negação de ac-
ções), negação de serviço (desacelerando ou desativando um sistema) e elevação de privacidade
lege (ter controle não autorizado do sistema). A abordagem considera o alvo da ameaça
obtém (incluindo o que um invasor pode fazer), estratégia de mitigação e técnica de mitigação.
As ameaças podem ser consideradas para várias interações no mesmo alvo de ameaça no
sistema e pode incluir pessoas, processos e tecnologia. Shostack apresenta STRIDE como
parte de uma estrutura de quatro estágios em seu livro [ ] - modelar o sistema, nd ameaças, ad-
vestir ameaças, validar. A modelagem de ameaças, é claro, não pode garantir que todas as falhas
pode ser previsto, mas o processo iterativo suporta avaliação contínua de evolução
ameaças se o tempo e os recursos permitirem.
• Árvores de ataque [ ] formulam uma meta geral com base nos objetivos de um atacante (o
nó raiz), e desenvolver subnós relacionados a ações que levariam ao sucesso
comprometimento de componentes dentro de um sistema. Como STRIDE, árvores de ataque são necessárias
para ser iterativo, considerando continuamente a poda da árvore e a verificação de integridade.
Bibliotecas de ataque, como vulnerabilidades comuns e exposição (CVEs) e Open Web
Projeto de segurança do aplicativo (OWASP) pode ser usado para aumentar o conhecimento interno de
ameaças e ataques em evolução.
Usando e estendendo a análise desenvolvida em [8 ] e [], fornecemos uma tabela de comparação

abaixo para permitir a seleção com base nas diferenças organizacionais e técnicas para cada um dos
esses métodos (consulte a Tabela .) Embora os princípios básicos de risco sejam baseados em vulnerabilidade, ameaça
e o impacto existe em todos os métodos, existem atributos individuais (nos referimos como pontos fortes)
de cada método, bem como diferenças de recursos e relatórios, que podem torná-los um melhor
t para uma organização, dependendo do que as partes interessadas de risco exigem como evidência de exposição
certo.
www.cybok.org
Mesa . : Avaliação de risco e diferenças de métodos de gestão
Metodologia Equipe de Avaliação e Em formação Reunião

Custo e relatórios
ISO/ IEC Abrange pessoas, processos e tecnologia Visa incluir um intervalo Questionário, inter-
nology. Não prescritivo na avaliação de origens relevantes visualizações, revisão de documentos,
:8 método de gestão e gerenciamento na avaliação (cov- processar observação.
(ou seja, outros métodos nesta lista ering pessoas, processo Capas de documentação
pode ser usado para gerenciar riscos), mas e tecnologia) e aplicável todos os controles de segurança
cobre ameaças, vulnerabilidades e em vários tamanhos de
impactos. Destina-se a segmentar mais alto organização. Tipicamente
gerenciamento de nível e decisão conduzido externamente devido a
fabricantes. Foco claro nas pessoas - em Tamanhoe complexidade
ternal e externo em grandes organizações,
Força : Sócio-técnica o que tem um custo
além do custo
de comprar o documento
umaentação. Menor
organizações com menos
complexidade pode tb
siga os princípios
internamente.
NIST Focado no homem de risco técnico Inclui papéis e Questionário, inter-

SP8 - gerenciamento de sistemas de TI com um deve ser utilizável por visualizações, documento re-
/ abordagem prescritiva. Inclui organizações de tudo Visualizações. Relatórios de lista de verificação
ameaças, vulnerabilidades, probabilidade tamanhos (embora seja muito para operacional, man-
e impacto - junto com o controle Com foco nos EUA). Livre para agement e técnico
monitoramento e conformidade veri - Acesso. segurança
cátion. Pessoas não consideradas como
um ativo organizacional central.
Força : orientado para a tecnologia
ISF Avaliação ampla do impacto nos negócios - Disponível apenas para mem- Em formação obrigatório
ment, conduzido pelo praticante. Ameaça, vul- bers a custo e requer no impacto das perdas.
nerabilidade e impacto com base uma equipe com experiência em Relatórios de negócios
Força : orientada para o impacto nos negócios
avaliação de risco impacto, avaliação de ameaças
ment, vulnerabilidade
avaliação, segurança
avaliação de requisitos
e seleção de controle
FEIRA Baseado em taxonomia - eventos de perda, Bem definido método Em formação origens
capacidade de ameaça, força de controle poderia ser usado por um pequeno pode variar dependendo
e magnitude da perda. Cenário equipe interna. OpenFAIR quem segura o necessário
conduzido com muito bem de nido padrão disponível via em formação. Relatórios
medidas de impacto econômico. o Grupo Aberto na perda financeira magni-
As pessoas fazem parte do método, tudes
negócios internos e externos
atores de ameaças finais
Força : Impulsionada pelo impacto econômico

www.cybok.org
Metodologia Equipe de Avaliação e Em formação Reunião

Custo e relatórios
Oitava Abrange pessoas, tecnologia e Colaborativo avaliar- Workshops e perguntas
Allegro segurança física. Identifica o núcleo equipe de ment de dentro ionários. Linha de base
Equipe de TI. Métodos autodirigidos e em todos os negócios relatórios per l de prá-
destinado ao uso interno, incluindo incluindo gestão, serviços, perfil de ameaça e
gestão qualitativa e equipe e TI. Livre para vulnerabilidades
workshops de avaliação ligados a Acesso. Documentação
identificação da organização afirma que é direcionado a
objetivos e ativos relacionados. Fol- organizações com +
abaixado pela identificação de ameaça e funcionários
mitigação. Riscos qualitativos (por exemplo
reputação, produtividade) têm relações
pontuações de impacto ativo (baixo, médio,
alto multiplicado pelo risco categórico
pontuação) para apoiar a priorização
Força : Qualitativo meta-
foco orientado
STRIDE Ameaça avaliação método. Modelagem de pequenas ameaças Ameaça workshops.

Pode incluir pessoas, tecnologia equipe de dentro e Modelos gráficos de ameaças
e segurança física. Bem doc- em todos os negócios, incluindo e captura de tabelas
abordagem clara e esclarecida gestão e TI. STRIDE análise para
com base em ameaças, mitigação Livre para acessar elementos de sistemas e
(incluindo níveis de tolerância para interações.
risco), e mitigação, incluindo
quem assina o risco.
Força : orientado por ameaças
Ataque Avaliação de ameaça semelhante a Modelagem de pequeno ataque Trabalho de modelagem de ataque-
Arvores STRIDE, mas mais específico de ataque, equipe de dentro do lojas. Árvores de ataque e
concentrando-se nos principais detalhes do ataquenegócio com um técnico medidas quantitativas
métodos. foco cal. Acesso abertamente de probabilidade de ataque
Força : orientada para o ataque método sível com impacto associado.
Uma lista de métodos de gerenciamento de risco cibernético baseados em sistema comumente usados pode ser encontrada em
[] . Abaixo, fornecemos uma visão geral e identificamos os atributos que podem atuar como diferenciadores
com base no foco central de cada método. Todos eles se concentram no risco em nível de sistema e, como tal,
pode exigir um esforço significativo de recursos humanos, dependendo do tamanho da organização. O
principal objetivo desses métodos é capturar interações e aspectos interdependentes do
sistema e, portanto, requer amplo envolvimento com os proprietários do processo e buscando o 'direito'
pessoas com conhecimento de subsistemas.
• Modelo e processo teórico-sistêmico de acidentes (CARIMBO) é um conjunto de métodos

usado para modelagem de causalidade de acidentes e perigos, desenvolvido no MIT [8 ] Inicialmente
focado na segurança como um problema de controle dinâmico, incluindo causalidade direta e indireta,
também foi aplicado à segurança cibernética (por exemplo, STPA-Sec) e tem foco em
aspectos técnicos do risco. O método usa um loop de feedback com um controlador e um
processo controlado vinculado por meio de atuação e feedback. É baseado no pensamento sistêmico
e envolve: identificação da finalidade do sistema, perdas inaceitáveis, perigos e con
tensões; desenvolvimento de uma estrutura de controle hierárquico; identificação de controle inseguro
ações; e a análise de cenários causais que levam a essas ações de controle inseguras.
Isso pode ser complementado por uma linha do tempo ou sequência de eventos.
Força : causalidade - ajuda a identificar os riscos que emergem das interações do subsistema.

www.cybok.org
• O Open Group Architectural Framework (TOGAF) [8 ] é uma arquitetura corporativa

padrão que suporta abordagens baseadas em componentes e sistemas para gerenciar
risco. O conceito de empresa, neste contexto, abrange todas as atividades de negócios
laços e capacidades, informações e tecnologia que compõem toda a infraestrutura
e atividades de governança da empresa. Se isso se estende a parceiros, fornecedores e
clientes, bem como unidades de negócios internas, o modelo também pode abranger este
aspecto. A avaliação de risco no TOGAF é baseada em uma abordagem qualitativa combinando efeito
e rótulos de frequência para produzir uma avaliação de impacto geral. Avaliação de risco e
planilhas de mitigação são então mantidas como artefatos de governança [8 ]
Força : vinculada à representação arquitetônica estruturada da empresa.
• Modelagem de dependência . O Open Group também desenvolveu o Open Dependency Mod-

elling (O-DM) Estrutura para modelagem de risco orientada a objetivos em um método top-down [ 8]
Este método começa perguntando 'Qual é o objetivo geral do sistema ou empresa?'
(por exemplo, operações de manufatura contínuas) e, em seguida, faz uma outra pergunta: 'O que isso
objetivo depende para ser bem sucedido? ' (por exemplo, máquinas em funcionamento, equipe operacional, suporte
camada de materiais). O método então itera as questões até uma árvore de dependências
é criado. As metas são abstratas, portanto, não dependem de processos reais e permitem uma
Visão neccionista de uma empresa, seus fornecedores e clientes a serem desenvolvidos. Recente
trabalho desenvolveu ferramentas para apoiar a captura de dependências em um conjunto de workshop-
estabelecer e aplicar probabilidades quantitativas aos objetivos, sustentando a análise bayesiana e
modelagem de falha em cascata [8 ]
Força : captura de interdependências entre objetivos abstratos que estão acima e são
ligados aos processos de negócios reais.
• SABSA [86] é outra abordagem baseada em arquitetura. Inclui quatro fases. O primeiro
fase identifica o risco associado ao alcance dos objetivos para que os planos de mitigação possam
ser identi cado. A saída, então, alimenta a fase de design que determina a segurança
processos de gestão e como eles serão usados. A terceira fase implementa, de-
estratagemas e testa os processos de gestão pelas equipes de operações. A fase final
relaciona-se à gestão e medição, que coleta informações de segurança e re-
portas para as partes interessadas da governança. O método é decretado decompondo busi-
processos de ness em diferentes camadas arquitetônicas, a partir de recursos de alto nível (contexto
e conceito) até os aspectos lógicos e físicos, componentes de tecnologia e atividades
ities. O risco é abordado em todas as camadas em uma abordagem de cima para baixo para gerenciar o risco por meio
atividades em todas as camadas, e filtrando os requisitos de segurança de cima para baixo para entrar
Certifique-se de que o risco cibernético seja considerado em toda Cortar todas as camadas é o foco em como
conjuntos (o que), motivação (por que), processo (como), pessoas (quem), local (onde) e hora
(quando).
Força : Abordagem em camadas estruturada em matriz ligada ao modelo de negócios (pode sentar-se dentro
TOGAF)
www.cybok.org
.6. Avaliação e gestão de riscos em sistemas ciber-físicos e

tecnologia operacional
Começamos com uma nota sobre segurança versus proteção. Enquanto a segurança de TI tradicional (por exemplo, mesa corporativa
principais computadores, dispositivos e servidores) geralmente podem assumir uma perspectiva de avaliação de risco para
com o objetivo de minimizar o acesso (confidencialidade), modificação (integridade) e tempo de inatividade (disponibilidade
capacidade) dentro de componentes e sistemas, o mundo dos sistemas ciber-físicos e operacionais
Tecnologia (OT) normalmente tem um foco maior na segurança . Esses componentes e sistemas,
também conhecido como Sistemas de Controle Industrial (ICSs) sustentam a infraestrutura nacional crítica
(CNI), como fornecimento de energia, transporte e tratamento de água. Eles também sustentam
sistemas de manufatura plex onde os processos são muito pesados, monótonos ou perigosos
para o envolvimento humano. Como resultado, os riscos de OT envolverão mais frequentemente uma condição de segurança ou confiabilidade
texto devido à natureza da falha que afeta a segurança e os meios de subsistência do trabalhador e do público em geral
por ter um impacto direto no mundo físico. Este é talvez um caso primordial para o uso de
métodos baseados em sistemas em vez de baseados em componentes, já que os primeiros suportam a abstração
dos componentes aos objetivos de alto nível (por exemplo, evitar a morte, cumprir a regulamentação).
Ter essa visão pode criar uma ponte entre a perspectiva de segurança e proteção e apoiar a discussão sobre
como melhor mitigar o risco com objetivos compartilhados no nível do sistema em mente.
Os esforços para monitorar e controlar continuamente OT remotamente levaram ao aumento da convergência

de OT com TI, vinculando o negócio (e seus riscos associados) aos seus sistemas críticos de segurança.
Tecnologia como Controle de Supervisão e Aquisição de Dados (SCADA) fornece capacidade
monitorar e controlar continuamente o OT, mas deve ser adequadamente projetado para evitar riscos de TI
impactando OT. Na Europa, a Rede e os Sistemas de Informação (NIS) directivas [] mandatos
que as operadoras de serviços essenciais (como CNI) seguem um conjunto de princípios orientados para metas
[ 8 ], com foco em resultados amplamente baseados em avaliação de risco, defesa cibernética, detecção
e minimizar o impacto. Os sistemas críticos de segurança têm um histórico de impactos globais significativos
quando ocorre falha nos sistemas de controle (por exemplo, Chernobyl, Fukushima), e a adição de
a conectividade com este ambiente tem o potencial de aumentar ainda mais a superfície de ameaça,
trilhar os elementos de risco adicionais da política global e invasores com muitos recursos (por exemplo,
Stuxnet, BlackEnergy). Adições recentes a este debate incluem a aceitação e adoção de
Dispositivos IoT , incluindo, por exemplo, ferramentas inteligentes em fábricas. Estes são um
exemplo mais recente de uma interface para sistemas críticos de segurança que poderia oferecer uma janela
para que os invasores violem a segurança dos sistemas. A segurança da IoT está em sua infância e a abordagem para
a gestão de riscos ainda não foi completamente compreendida. A segurança cibernética do ciber-físico
sistemas, incluindo vulnerabilidades, ataques e contramedidas está além do escopo deste
KA e é discutido em detalhes na Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Cap-
ter ) .
.6. Métricas de Segurança

As métricas de segurança são uma área de contenção de longa data dentro da comunidade de risco, pois há
debate sobre o valor de medir a segurança. Muitas vezes é difícil quantificar - com confiança
- quão segura é ou poderia ser uma organização. Representações qualitativas, como baixo, médio,
alto ou vermelho, âmbar, verde são normalmente usados na ausência de dados quantitativos confiáveis, mas
muitas vezes há uma preocupação de que tais valores são subjetivos e significam coisas diferentes para diferentes
partes interessadas. As perguntas abertas incluem: quais recursos de um sistema devem ser medidos
risco ?, como medir o risco? e por que medir o risco? Algumas métricas podem estar relacionadas a
níveis de risco, alguns para o desempenho do sistema e outros relacionados à prestação de serviço ou confiabilidade.
Jaquith fornece algumas dicas úteis sobre o que constitui boas e más métricas para ajudar
www.cybok.org
selecione as medidas apropriadas [6 ]
Boas métricas devem ser:
• Medido de forma consistente, sem critérios subjetivos.
• Barato para colher, de preferência de forma automatizada.
• Expresso como um número cardinal ou porcentagem, não com rótulos qualitativos como "alto",
"médio" e "baixo".
• Expresso usando pelo menos uma unidade de medida, como "defeitos", "horas" ou "dólares".
• Contextualmente específico e relevante o suficiente para os tomadores de decisão para que eles possam agir.
Se a resposta a uma métrica é um encolher de ombros e "e daí?", Não vale a pena
reunião. [6 ]
Métricas ruins:
• São medidos de forma inconsistente, geralmente porque se baseiam em julgamentos subjetivos que
variam de pessoa para pessoa.
• Não pode ser obtido a baixo custo, como é típico de pesquisas de mão-de-obra intensiva e distribuição única
lençóis.
• Não expresse resultados com números cardinais e unidades de medida. Em vez disso, eles confiam
em classificações qualitativas de alta / média / baixa, semáforos e notas de letras. [6 ]
Discussões mais extensas de opções para selecionar métricas, juntamente com estudos de caso podem ser
encontrado no livro de Jaquith [6 ]
O trabalho de Herrmann [ ] fornece uma visão mais pragmática baseada na conformidade regulatória,
resiliência e retorno do investimento. Existem exemplos de métricas que podem fornecer utilidade
em domínios como saúde, privacidade e segurança nacional. A perspectiva das métricas
está fundamentado no entendimento de que não podemos estar completamente seguros, portanto, medir ac-
segurança real contra a segurança necessária é sem dúvida uma abordagem defensável, e as métricas
descritos são adaptados para medir a eficácia do gerenciamento de vulnerabilidade. Es-
sentialmente, é possível quantificar se o plano de gestão de risco e os controles associados
são adequados com base nas ameaças identificadas e as métricas fornecem evidências de que
esses controles são apropriados? Além disso, os controles colocados em prática podem adicionar mais
valor na economia que eles produzem do que o custo de sua implementação? Este ponto é particular
amplamente pertinente na era atual da tecnologia de Inteligência Arti cial sendo amplamente comercializada
a nível internacional para proteger a infraestrutura digital. Com um preço alto, há uma questão
marca de referência sobre uma compreensão baseada em evidências do real valor agregado de tal segurança
mecanismos e a relação custo-eficácia de tais soluções à luz de economias potenciais.
Jones e Ashenden [8 ] adotar uma abordagem orientada ao ator para as métricas de segurança, fornecendo uma
gama de cenários onde as ameaças são classificadas com base em uma combinação qualitativa e quantitativa
método. Por exemplo, as ameaças ao estado-nação são baseadas em métricas como população,
acy e fatores culturais; grupos terroristas em especialização técnica, nível de educação e seu
história de atividade; e os grupos de pressão são classificados de acordo com a distribuição de membros, número de ac-
tivistas e financiamento. A estrutura fornece uma perspectiva sobre como capturar medidas
que baseiam as métricas de ameaças em informações que podem apoiar discursivas, baseadas em inteligência e
avaliação de risco com base cultural. No entanto, a abordagem de "pensar como um invasor" ou
relatou que o perfil do adversário falhou, mesmo em nível de estado-nação (com muito investimento
mentação e inteligência). Em um artigo com o presidente Obama sobre as complicações e falhas
www.cybok.org
de gestão de risco no estado da Líbia, ele observa que as equipes analíticas dos EUA
estimou o per l do atacante (particularmente aspectos socioculturais), o que levou ao fracasso no risco
gestão [88] Assumir o conhecimento do adversário pode ser muito arriscado, mas as métricas para
per l possíveis ameaças e ataques (embora aceitando explicitamente nossas limitações de conhecimento)
pode ser usado como parte de uma abordagem de modelagem de ameaças, como STRIDE [ ] ou Attack Trees [].
Shostack (autor de [ ]) discute as limitações do perfil do invasor em uma postagem de blog [ 8]
Embora as métricas quantitativas enquadradas desta forma pareçam preferíveis às métricas qualitativas, não é
sempre um processo trivial para coletar dados medidos de forma consistente, seja manualmente ou automatizada.
Isso nos traz de volta ao ponto em torno da comunicação e concordância de linguagem comum em
a fase de avaliação de risco. Embora as métricas possam ser limitadas em sua acessibilidade e consistentes
coleção, concordando com os limites superior e inferior, ou o significado específico de rótulos qualitativos também
fornece um grau de valor para medir a segurança de um sistema por meio de links bem de nidos
entre as ameaças e sua relação com as vulnerabilidades e o impacto.
. CONTINUIDADE DE NEGÓCIOS: RESPOSTA A INCIDENTES E

PLANEJAMENTO DE RECUPERAÇÃO
[ ,]
Em última análise, apesar de todos os esforços de indivíduos ou conselhos de administração de uma empresa que
compreenderam e administraram o risco que enfrentam, é provável que, em algum momento, a segurança cibernética
as defesas serão violadas. Uma parte essencial da avaliação de risco, gestão e governança
O processo de gestão inclui a consideração e o planejamento do processo de gerenciamento de incidentes
e responder rapidamente a ataques cibernéticos. O objetivo é entender o impacto no sistema
e minimizá-lo, desenvolver e implementar um plano de remediação e usar esse entendimento para
melhorar as defesas para melhor proteger contra a exploração bem-sucedida de vulnerabilidades no futuro
(Loop de feedback). Esta ainda é uma área nascente de maturidade em segurança cibernética. Organizações tipicamente
prefere manter as informações sobre violações de segurança cibernética anônimas para evitar a reputação
danos e encobrir lapsos de segurança. No entanto, é provável que outras organizações, incluindo
concorrentes irão sucumbir ao mesmo destino no futuro, e poderiam se beneficiar de anteriores
conhecimento do incidente ocorrido. Em uma escala ampla, isso é algo que precisa ser
abordada, especialmente devido ao lado ofensivo da segurança cibernética irá comunicar e colaborar
orate para compartilhar inteligência sobre oportunidades e vulnerabilidades para explorar sistemas. Cer-
Algumas indústrias, como os setores financeiro e farmacêutico, têm acordos para compartilhamento
tal inteligência, mas ainda não se tornou comum para todos os tipos de organizações. Grande
consórcios públicos como a Cyber Defense Alliance Limited (CDA), Compartilhamento de informações cibernéticas
Parceria (CISP), e o Open Web Application Security Project (OWASP) estão todos visando
apoiar a comunidade compartilhando e fornecendo acesso a informações sobre as ameaças mais recentes
à segurança cibernética. Para obter informações mais detalhadas sobre o gerenciamento de incidentes, consulte a seção Segurança
Área de Conhecimento de Gestão de Operações e Incidentes (Capítulo 8)
ISO/ IEC -: 6 [] é uma norma internacional que define os princípios para o homem de incidentes
agement. Ele expande o ISO acima mencionado/ Modelo IEC e inclui etapas para
resposta a incidentes, incluindo:
• Planejar e preparar: incluindo a definição de uma política de gerenciamento de incidentes e estabelecimento

lishing uma equipe para lidar com incidentes.
• Detecção e relatórios: observação, monitoramento, detecção e relatórios de incidentes de segurança
www.cybok.org
dentes.
• Avaliação e decisão: determinar a presença (ou não) e associados
gravidade do incidente e tomada de medidas decisivas para lidar com ele.
• Resposta: isso pode incluir análise forense, patching do sistema, ou contenção e re-
mediação do incidente.
• Aprendizagem: uma parte fundamental da gestão de incidentes é a aprendizagem - fazer melhorias para o
defesas do sistema para reduzir a probabilidade de violações futuras.
O NCSC também fornece dez etapas para ajudar a orientar o processo de gerenciamento de incidentes [] que,
falando em termos gerais, relacionar as fases de Planejar, Detectar, Avaliar, Responder e Aprender da ISO/ IEC
. Em resumo, as etapas incluem:
• Estabelecer capacidade de resposta a incidentes: incluindo financiamento e recursos, tanto internamente

ou externamente para gerenciar incidentes. Isso deve incluir relatórios de incidentes e gerenciamento
qualquer expectativa regulamentar.
• Treinamento: garantindo que a experiência necessária esteja disponível para gerenciar incidentes (por exemplo, foren-
resposta sic e compreensão das expectativas de relatórios).
• Funções: atribuir funções a indivíduos para lidar com incidentes e capacitá-los para responder
a incidentes de acordo com um plano de ação claro - e certifique-se de que essa pessoa seja bem conhecida
para pessoas que provavelmente identificarão um incidente.
• Recuperação: principalmente para dados e aplicativos críticos, certifique-se de que o backup seja físico
separados do sistema - e testar a capacidade de restaurar a partir do backup.
• Teste: execute cenários para testar os planos de recuperação; estes devem ser refinados com base
na restauração prática e oportuna em diferentes cenários de ataque.
• Relatório: garantir que as informações sejam compartilhadas com o pessoal apropriado internamente para
melhorar a gestão de riscos e controles de segurança, além de externamente para garantir
requisitos ulatórios sejam atendidos.
• Coletar evidências: a resposta forense pode ser crucial após um incidente - a preservação
indicação de evidências pode ser crítica para processos judiciais ou, no mínimo, compreensão
os eventos que levaram à violação.
• Desenvolver: anote as ações tomadas como parte da resposta ao incidente. O que funcionou
e o que não fez? Onde o processo pode ser melhorado? Bem como as defesas, o re-
O plano de ação também pode se beneficiar do refinamento. A segurança é um problema em constante evolução e
requer reflexão contínua. Políticas de segurança, treinamento e comunicação podem ajudar
reduzir o impacto de violações futuras.
• Conscientização: continue a lembrar os funcionários de suas responsabilidades e responsabilidades

em relação à segurança cibernética - lembre-os de como relatar incidentes e o que procurar
sair para. Vigilância é fundamental, quer envolva relatar um comportamento suspeito ou um comportamento conhecido
erro pessoal que levou a uma violação.
• Relatório: o crime cibernético deve ser relatado às agências de segurança pública relevantes.
Como palavra final sobre continuidade de negócios, destacamos a importância das cadeias de suprimentos. Incidente
abordagens de gestão juntamente com métodos de avaliação de risco em nível de sistema são projetados
para permitir a captura de riscos relacionados às interações e aspectos interdependentes do sistema
tem, que, é claro, pode e deve incluir cadeias de abastecimento, mas só o fará se a devida atenção

www.cybok.org
é dado este aspecto do risco. Risco de segurança cibernética de cadeias de abastecimento, embora incipiente como um tópico
no que diz respeito à avaliação de risco e governança [ ] [ ], é uma questão importante.
0,8 CONCLUSÃO
Explicamos os conceitos fundamentais de risco, usando uma definição de trabalho da posição
possibilidade de que as ações ou eventos humanos podem levar a consequências que têm um impacto sobre o que
os seres humanos valorizam e colocam isso no contexto da gestão e governança de risco cibernético. Nós-
fundações acadêmicas que foram amplamente adotadas na prática internacional, temos
explicou as ligações entre a pré-avaliação e definição de contexto, avaliação de risco e preocupação-
mentação, caracterização e avaliação, gestão e governança. A governança de risco é
o conjunto abrangente de processos e princípios em andamento que sustentam as decisões coletivas
fazer e englobar avaliação e gestão de risco, incluindo consideração
dos contextos jurídico, social, organizacional e econômico em que o risco é avaliado. Nós temos
definiu algumas das principais terminologias usadas como parte dos processos estruturados que capturam
informações, percepções e evidências relacionadas ao que está em jogo, o potencial de desejável
e eventos indesejáveis, e medidas de resultados prováveis e impacto - sejam eles
itativo ou quantitativo.
Um aspecto importante do risco é a percepção humana e a tolerância ao risco e nós os enquadramos em

a literatura existente para argumentar sua significância na governança de risco alinhada com vários tipos
de risco - rotineiro, complexo, incerto e ambíguo. Nós nos baseamos particularmente em fatores
que influenciam a percepção de risco e discutem como estes se relacionam com os fatores humanos de
segurança cibernética no contexto da cultura de segurança. Treinamento, mudança de comportamento, criação de
confiança e confiança, e o envolvimento das partes interessadas no processo de governança de risco foram
destacados como fatores de sucesso cruciais. Isso é baseado em literatura bem estabelecida que as pessoas
a intuição e o preconceito da pessoa muitas vezes superam as evidências sobre a probabilidade de risco se eles acreditarem no
a gestão do risco não é confiável, não se aplica a eles ou está além do seu controle.
Precisamos que as pessoas aceitem a governança de risco, em vez de impô-la a eles. De acordo,
introduzimos o conceito de equilibrar responsabilidade com aprendizagem, propondo que as falhas
no processo de governança de risco deve levar a feedback e melhoria onde os indivíduos
als que podem ter violado as políticas de gestão de risco devem se sentir capazes de trazer isso para o
atenção dos gestores de risco sem medo de estigmatização.
Diferenciamos o gerenciamento de risco em nível de sistema que analisa o risco de um sistema

como um todo e considera as interdependências entre os subsistemas; e nível de componente
gestão de risco que se concentra no risco de elementos individuais. Uma série de
métodos de gestão de risco a partir das perspectivas de sistemas e componentes foram analisados
com os principais pontos fortes de cada destaque e alguns insights sobre como os métodos funcionam,
os recursos (humanos e econômicos) necessários, e coleta de informações / requisitos de relatórios-
mentos. Embora os princípios básicos de risco - baseados em vulnerabilidade, ameaça e impacto -
existem em todos os métodos, existem atributos individuais (referidos como pontos fortes) de cada
método que pode torná-los melhores para uma organização, dependendo do que o risco está em jogo
os titulares exigem como evidência de exposição. Refletimos brevemente sobre o contexto de segurança em risco
avaliação de tecnologia operacional, que também incluiu o crescimento da IoT e a necessidade
considerar diretivas adicionais para riscos críticos de infraestrutura nacional.
Medir a segurança e as limitações das métricas foram discutidas no contexto de possibilidades

opções possíveis de métricas de segurança, bem como visões divergentes da comunidade sobre os benefícios
e limitações do risco metrificado. Por fim, vinculamos a resposta e recuperação a incidentes, que
www.cybok.org
deve fornecer um ciclo de feedback para o planejamento de gestão de risco dentro do programa de governança de risco
cess. Mesmo com os melhores planos, é provável que ocorra uma violação das defesas de segurança cibernética
em algum momento e, além dos aspectos culturais de aprendizagem e melhorias da equipe,
destacamos uma série de etapas principais de padrões internacionais que devem ser
considerados como parte do processo de governança.
A governança de risco é um processo cíclico e iterativo, e não algo que pode ser executado
uma vez. Os aspectos transversais da comunicação, envolvimento das partes interessadas e contexto
vinculam os processos de avaliação e gestão de riscos e são essenciais para a avaliação contínua
ção e revisão das práticas de governança de risco. Os incidentes, quando ocorrem, devem informar o risco
política de gestão para melhorar a segurança cibernética no futuro - e devemos aceitar que iremos
provavelmente nunca estará completamente seguro. Em consonância com isso, os fatores humanos e a cultura de segurança devem
responder à necessidade em constante mudança de gerenciar o risco cibernético, permitindo e incutindo
desenvolvimento profissional por meio da educação e da cultura justa, onde as lições podem ser aprendidas
e métodos de governança melhorados.
www.cybok.org
REFERÊNCIA CRUZADA DE TÓPICOS VS MATERIAL DE REFERÊNCIA
Seção Cita
. O que é risco? [, , ]
. Por que a avaliação e o gerenciamento de riscos são importantes? [, , , ]
. O que é avaliação e gerenciamento de risco cibernético? []
. Governança de risco
. . O que é governança de risco e por que é essencial? [, 8 , ]
. . O fator humano e a comunicação de risco [ 6 , 6 , 6]
. . Cultura de segurança e conscientização [ 6 , 6 , 6]
. . Promulgando Política de Segurança [6 , 66 , 6]
.6 Avaliação de risco e princípios de gestão
.6. Perspectivas de componentes vs. sistemas [, 6]
.6. Elementos de Risco
.6. Métodos de avaliação e gestão de risco [66, ,, , , ]
.6. Avaliação e gestão de riscos em sistemas ciber-físicos e
[]
tecnologia operacional
.6. Métricas de Segurança [ 6, ]
. Continuidade de negócios: resposta a incidentes e planejamento de recuperação [, ]
www.cybok.org
Página 75
Capítulo
Robert Carolina Royal Holloway,
Universidade de londres

www.cybok.org
AVISO E ISENÇÃO DE RESPONSABILIDADE: Esta área de conhecimento não constitui o

prestação de aconselhamento jurídico ou serviços jurídicos e não deve ser invocado
assim sendo. O trabalho é apresentado como um auxílio educacional para segurança cibernética
praticantes. As opiniões expressas são exclusivamente do autor. Esta
trabalho não representa política social ou opinião do NCSC, o governo
governo do Reino Unido, qualquer estado, qualquer pessoaestá envolvido em seu
produção ou revisão, ou qualquer de seus funcionários, empregadores, financiadores ou outros
pessoas afiliadas a qualquer um deles.
INTRODUÇÃO
O
queobjetivo
merecemdesta área de conhecimento
consideração é fornecer
ao realizar várias um instantâneo
atividades no campodos tópicos legais
da segurança e regulatórios
cibernética, tais
como: gerenciamento de segurança, avaliação de risco, teste de segurança, investigação forense, pesquisa,
desenvolvimento de produtos e serviços e operações cibernéticas (defensivas e ofensivas). A esperança
é fornecer uma estrutura que mostra ao profissional de segurança cibernética a categoria mais comum
gias de risco legal e regulatório que se aplicam a essas atividades, e para destacar (onde pos-
possível) algumas fontes de autoridade legal e bolsa de estudos.
A natureza e amplitude do assunto abordado torna esta área de conhecimento, e o

fontes citadas, um mero ponto de partida ao invés de um ponto final. Sem dúvida, alguns favorecidos, até
significativo, fontes de autoridade e erudição foram negligenciadas.
Presume-se que o leitor não possua qualquer qualificação formal ou treinamento em direito. O
o público é ainda considerado multinacional. Para tornar o material praticamente acessível
para um corpo tão diverso de especialistas no domínio da segurança cibernética, os assuntos são apresentados em um nível
que seria considerado introdutório para aqueles que já são bem educados em direito ou
políticas públicas.
As regras da matemática e das ciências físicas são imutáveis e idênticas em torno

o mundo. Leis e regulamentos, não. A base da legislação e regulamentação mundial
sistemas tem sido por muitos séculos baseado no princípio da soberania territorial . Vários
esforços internacionais para harmonizar as diferenças nas leis e regulamentos têm encontrado
graus de sucesso. Na prática, isso significa que as leis e regulamentos diferem - às vezes
significativamente - de estado para estado. Essas diferenças não são apagadas simplesmente porque as pessoas
agir por meio da instrumentalidade do ciberespaço [] .
Esta área de conhecimento, no entanto, se dirige a um público multinacional de profissionais que irão
ser chamados a conduzir suas atividades de acordo com as leis e regulamentos impostos por diferentes
Estados - tanto o estado de origem em que praticam, quanto o estado estrangeiros com o qual eles fazem
contato. Respeitando a realidade de que os detalhes legais variam em cada estado, esta área de conhecimento irá
tentar identificar algumas normas amplamente compartilhadas entre os vários sistemas de direito interno e
regulamentação, e alguns aspectos do direito internacional público, que podem (ou deveriam) in uenciar o
trabalho do profissional de segurança.
Na busca por normas generalizáveis que mantenham utilidade para o praticante, esse conhecimento
área concentra-se principalmente em direito substantivo. A lei substantiva se concentra nas obrigações, re-
patrocínios e comportamentos de pessoas. Os exemplos incluem crime de computador, contrato, ato ilícito,
proteção de dados, etc.
As regras processuais são, em sua maioria, excluídas da cobertura. As regras processuais tendem a se concentrar no homem
envelhecer o processo de resolução de disputas ou especificar métodos de comunicação com um estado
Lei e regulamentação KA | Outubro Página

www.cybok.org
autoridade. Os exemplos incluem procedimento civil, procedimento criminal e regras de evidência. Al-
embora sejam importantes para a administração da justiça, são frequentemente de natureza paroquial
e vinculado a peculiaridades da prática local. Profissionais de segurança cibernética que precisam se tornar
familiarizado com os detalhes dessas regras (por exemplo, investigadores forenses, policiais,
testemunhas especializadas e outros que coletam ou apresentam evidências aos tribunais), invariavelmente, exigem
orientação especializada ou treinamento de profissionais jurídicos locais relevantes que entendem o
regras judiciais de um determinado tribunal.
Como acontece com muitos esforços de taxonomia legal, a diferença entre substância e procedimento
é impreciso na fronteira. O teste para inclusão nesta área de conhecimento tem menos a ver com
adivinhando a fronteira entre a substância e o procedimento, e surge, em vez disso, do desejo
para fazer declarações normativas que permanecem úteis para profissionais em um contexto multinacional.
Seção . inicia a área de conhecimento com uma introdução aos princípios de direito e
pesquisa, contrastando o estudo da lei e da ciência e explicando o papel da evidência e
prova. Seção . em seguida, explora vários aspectos da jurisdição em um ambiente online.
Seções . e . discutir os princípios gerais da lei de privacidade (incluindo a interceptação de

comunicações) e o regime regulamentar mais detalhado da lei de proteção de dados. Seção .
apresenta um esboço das leis de crimes informáticos e, mais especificamente dos crimes contra a informação
sistemas de cação.
Seções .6 e . fornecer uma introdução aos princípios do contrato e direito civil de interesse
para os praticantes. A seção .8 fornece uma introdução geral a tópicos relevantes na área intelectual
propriedade, enquanto Seção . fornece uma visão geral das leis que reduzem a responsabilidade de interconexão
mediários.
Seções . e . abordar alguns tópicos especializados, com uma exploração de direitos e re-
patrocínios em sistemas de serviços de confiança e um breve levantamento de outros tópicos de interesse, como
como restrições à exportação de produtos de criptografia. Seções . , ., e ., conclua o
área de conhecimento com uma pesquisa de direito internacional público, ética e uma lista de verificação de risco legal
gestão.
O autor desta área de conhecimento é treinado no direito consuetudinário (quase onipresente em an-
territórios glófonos) e experiente na prática jurídica comercial internacional conduzida
em Londres. Exemplos de normas jurídicas são, portanto, extraídos do direito consuetudinário (conforme interpretado
por estado diferentes), vários estatutos anglófonos e decisões de casos, direito da União Europeia,
e direito internacional público. 6 O autor agradece a con rmação de correspondência ponderada,
qualificando ainda mais, ou desafiando o status normativo das questões apresentadas.
Por fim, uma nota sobre terminologia e apresentação. 'Alice' e 'Bob' e termos semelhantes são usados
em um esforço para apresentar ideias de uma forma que seja familiar aos profissionais de segurança. Lá
é uma diferença significativa em como esses termos são usados. Na maior parte da segurança técnica
literatura 'Alice' e 'Bob' referem-se a dispositivos tecnológicos. Nesta área de conhecimento, no entanto,
'Alice' e 'Bob' referem-se a pessoas. Excepcionalmente para CyBOK (mas em comum com a pesquisa jurídica
e bolsa de estudos) esta área de conhecimento faz amplo uso de notas. As notas são usadas para um
variedade de finalidades, incluindo o fornecimento de exemplos específicos, mais explicações sobre os problemas e
argumento adicional em apoio ou contra uma dada proposição. Em algumas circunstâncias
notas têm sido usadas para sugerir potenciais desenvolvimentos jurídicos futuros, assuntos dignos de
estudo mais aprofundado ou para fornecer outros comentários. 8
www.cybok.org
CONTENTE
. PRINCÍPIOS DE LEI E LEGAL INTRODUTÓRIOS

PESQUISA
Profissionais e pesquisadores de segurança cibernética vêm de uma gama incrivelmente ampla de educadores
fundos tradicionais. Experiência no ensino de assuntos legais e regulatórios para segurança cibernética pós-
estudantes de pós-graduação e fornecer aconselhamento jurídico a profissionais de segurança cibernética sugere que
muito do conteúdo desta área de conhecimento será novo para aqueles cuja educação é baseada na ciência.
ciência, tecnologia, engenharia, matemática, muitas ciências sociais e muitas das
ities. Estas observações introdutórias são oferecidas como uma ajuda para aqueles que estão se aproximando
o sujeito sem experiência significativa.
.. A natureza da lei e análise jurídica

Embora se presuma que o leitor tenha algum grau de familiaridade com o processo legal
criação e aplicação da lei, uma revisão de algumas das fontes mais comuns de lei deve
ajuda a orientar quem não está familiarizado com pesquisas e análises jurídicas.
A lei deve ser analisada com lógica rigorosa. Ao contrário das disciplinas científicas, como física ou
matemática, no entanto, o estudo do direito não é conceituado como um esforço para descobrir im-
princípios mutáveis de nosso mundo. A lei está ligada aos valores sociais e políticos, humanos
desejo e fragilidade humana [ 6]
A sociedade influencia o desenvolvimento e a interpretação da lei, assim como a lei influencia o início
haviour dos membros da sociedade. As sociedades evoluem e os valores mudam. Mudanças na lei e em
métodos de interpretação da lei tendem a seguir. Isso cria uma série de desafios para
bolsa de estudos, à medida que o tema em estudo continua a mudar. Talvez como resultado o estudo
do direito é frequentemente apresentado na forma de dialética histórica: examinando a evolução do direito e
sua interpretação ao longo do tempo, geralmente por meio de estudos de caso. Este método fornece os mais importantes
contexto, auxilia na interpretação da lei como ela existe, e muitas vezes sugere a direção do futuro
desenvolvimentos.
O estudo do direito busca compartilhar pelo menos uma característica com as ciências: a habilidade
para prever resultados. Enquanto ciências como a química predizem o resultado de eventos como o
introdução de sódio sólido na água líquida, o estudo da lei tenta prever o resultado
de disputas submetidas a um tribunal legal com perito adequado. Embora o estudo da lei nunca possa
prever os resultados da disputa com% de certeza, no estados com sistemas jurídicos bem desenvolvidos
e juízes bem qualificados, é possível alcançar um grau de previsibilidade do resultado
isso é suficientemente alto para manter a confiança no sistema como um todo.
Os estudos jurídicos costumam começar com uma revisão mecanicista dos processos de governança que cercam
a adopção e aplicação da lei. As leis são feitas (autoridade legislativa), as leis são inter-
preted (autoridade judicial), e as leis são aplicadas (autoridade executiva). Compreendendo a diferença
estruturas de governança corporativa adotadas pelo estados para gerenciar esses três processos requer um
exame do direito constitucional comparado que está além do escopo deste conhecimento
área.
A maioria das pesquisas e análises jurídicas procedem com base em argumentos de autoridade, elaborados
a partir de uma análise de textos históricos que incorporam expressões do direito. Seguem alguns observadores
vações sobre diferentes fontes de autoridade legal e como elas variam em diferentes contextos. Não
www.cybok.org
organismo de normas existe para harmonizar a definição de termos jurídicos da arte à medida que são usados por dife-
estado diferentes. A confusão sobre a terminologia jurídica é, portanto, lugar-comum em uma multinacional
contexto.
Legislação primária. Tanto na jurisdição de common law quanto na de civil laws, legislação primária (typ-
icamente, um estatuto, como um Ato do Parlamento no Reino Unido ou um Ato do Congresso nos EUA) é o
a personificação mais facilmente compreendida da "lei". Na jurisdição de direito civils legislação primária
normalmente assume a forma de adoção ou alteração de um código jurídico abrangente. Um estatuto (um
lei promulgada por uma legislatura) deve ser distinguida de um projeto de lei (um projeto de lei que pode
ou não pode ser adoptado como diploma) 6 que normalmente não tem força de lei.
Legislação secundária. Às vezes, um certo grau de autoridade legislativa é delegado por um sênior
órgão legislativo (como o Parlamento do Reino Unido ou o Congresso dos EUA) a alguma outra agência do
estado (como o Ministro das Relações Exteriores do Reino Unido ou o Departamento de Comércio dos EUA). Delegação
muitas vezes é feita por razões de especialização técnica, ou a necessidade de revisões periódicas frequentes de
regras adotadas. As leis promulgadas por tais agências subordinadas são geralmente denominadas sec-
legislação secundária. O termo 'regulação' às vezes é usado coloquialmente para se referir a
legislação distinta da legislação primária.
Legislação da União Europeia. Uma 'Diretiva' da União Europeia (antiga European Economic
Comunidade) é um tipo específico de legislação primária dirigida ao Estado- Membros do
União. Cada Estado- Membro deve examinar os termos da Diretiva e, em seguida,
implementar estes termos dentro de sua própria legislação nacional dentro de um prazo específico. Diretivas
normalmente não têm 'efeito direto' na lei dos estados membros , com algumas exceções. Por con
trast, um 'Regulamento' da União Europeia constitui uma lei vinculativa imediatamente aplicável em todos
estado membros. 8
Decisões judiciais. Na jurisdição de common laws, as decisões publicadas dos tribunais nacionais
que interpretam a lei tendem a constituir autoridade interpretativa significativa e vinculativa de
dependendo da antiguidade e jurisdição do tribunal. Decisões dos tribunais de estrangeiros
Estados podem constituir autoridade persuasiva ou, de fato, sua interpretação da lei pode ser
totalmente ignorado. Na jurisdição de direito civils, as decisões dos juízes são geralmente concedidas
autoridade menos interpretativa do que decisões semelhantes em uma jurisdição de direito consuetudinário.
Códigos. Na pesquisa jurídica, 'código' pode se referir a qualquer coleção sistematizada de legislação primária,
legislação secundária, leis modelo ou simplesmente um conjunto de regras publicadas por empresas públicas ou privadas
organizações.
Reformulações da lei. Uma reformulação da lei é uma obra cuidadosamente construída, normalmente
realizado por um comitê de especialistas jurídicos ao longo de vários anos, que procura explicar,
esclarecer e codificar a legislação existente. Embora as reformulações não sejam normalmente consideradas uma fonte
de autoridade obrigatória, como expressões cuidadosamente consideradas de opinião de especialistas, muitas vezes são
extremamente influente.
Tratados. Tratados são instrumentos de acordo entre estadoss. Em algum estados,
os termos legais de um tratado são automaticamente colocados em operação por um estado contratantede
direito interno, uma vez que o estado tenha aderido integralmente ao tratado. Em outros, a lei nacional não é
alterado, a menos e até que o legislador nacional aja para alterar a legislação nacional de acordo com
dançar com os requisitos do tratado. (O direito internacional público é discutido na seção ..)
Artigos acadêmicos. Dentro da jurisdição de common laws, artigos acadêmicos escritos por acadêmicos jurídicos
Os demics podem constituir um tipo de autoridade persuasiva, embora fraca. Os juízes normalmente adotam o
argumentos de estudiosos do direito apenas na medida em que o trabalho do acadêmico convence um jurista a
www.cybok.org
adotar seu ponto de vista. Em muitos sistemas de direito civil, em contraste, artigos acadêmicos por líderes acadêmicos jurídicos
os demônios podem receber deferência significativa por tribunais que são chamados a interpretar
a lei.
.. Aplicação da lei ao ciberespaço e às tecnologias da informação

O nascimento do ciberespaço causou muita ansiedade em relação à aplicação das leis
e regulamentos para este novo domínio.
Emergiram duas escolas de pensamento predominantes. A primeira escola postulou que o ciberespaço é tão
radicalmente diferente de tudo na experiência humana, que as velhas leis eram inadequadas e
deve ser amplamente inaplicável a ações realizadas usando este novo domínio. Legisladores e
os juízes foram encorajados por esta escola a reexaminar todas as doutrinas novamente e a abandonar
grande quantidade de precedentes ao considerar disputas. Os proponentes radicais desta visão foram
na medida em que nega a autoridade do estado soberanos para fazer cumprir as leis e regulamentos da
texto de atividades relacionadas à Internet [] .
A segunda escola afirmava, em vez disso, que a Internet é, como tantas ferramentas desenvolvidas em humanos
história, apenas um instrumento da ação humana. Como tal, as leis podem - e talvez devam
- continuar a ser aplicado a pessoas que usam o ciberespaço na maioria dos aspectos, da mesma forma que o fizeram
antes de existir [ 8, , ] Membros desta segunda escola descreveram uma ' falácia do ciberespaço '
- a falsa crença de que o ciberespaço era uma jurisdição legal de alguma forma separada e distinta
do espaço real [ ]
Por enquanto, a segunda escola prevaleceu quase que universalmente com as autoridades estaduais
[, , , ] O praticante é confrontado com a realidade de que as leis existentes, alguns cen-
turmas antigas e algumas emendadas ou nascidas de novo a cada ano, são aplicadas por estados, seus legisladores,
juízes, polícia e forças de defesa para o ciberespaçoatividade relacionada, seja ou não o ciberespaço
foi expressamente contemplado por essas mesmas leis. 6
Deve-se ter cuidado ao tentar mapear as regras legais nas atividades. Enquanto os advogados e
estudiosos do direito dividem a lei em categorias simples, operações da vida real e cibernéticas nem sempre
t ordenadamente dentro de uma única categoria. Por exemplo, uma única ação de processamento de dados que não
violar direitos autorais e não for difamatório ainda pode constituir uma violação da proteção de dados
direitos. Qualquer ação deve ser avaliada por referência a quaisquer leis ou regulamentos
risco presente. O problema de obrigações conflitantes que podem surgir como resultado de multiestado
regulamento é introduzido na Seção ..
Os profissionais fazem cada vez mais perguntas sobre a aplicação da lei ao conhecimento artificial
ligência. As leis são geralmente formuladas para influenciar e responder aos comportamentos das pessoas ,
ou para tratar da disposição ou uso de propriedade. (Isso pode ser visto na discussão de en-
forcement jurisdição na Seção . ..) Instâncias de inteligência artificial não são atualmente
de nidos como pessoas sob a lei. Portanto, uma IA, como tal, não pode ser culpada de um crime, en-
entrar em um contrato, possuir propriedade ou ser responsável por um delito. Se um objeto controlado por uma IA causar
dano, normalmente se espera que a lei olhe além da IA para as pessoas que criaram
ou fez uso dele e a responsabilidade de tais pessoas seria avaliada usando
padrões legais. Este assunto é explorado brevemente na Seção . ., que toca em circun-
situações em que as pessoas podem se tornar estritamente responsáveis por ações relacionadas à IA que causam a morte
ou ferimentos pessoais. 8

www.cybok.org
.. Distinguir direito penal e civil

. . . Lei criminal
A lei criminal é o corpo da lei que proíbe comportamentos geralmente abominados pela sociedade. Crimi-
a lei final é normalmente aplicada por uma agência do estado. Os exemplos incluem proibições contra
fraude bancária e hacking de computador. Dependendo da sociedade em questão, os objetivos de
o direito penal é geralmente descrito como uma combinação de:
• dissuasão (buscando dissuadir o mau comportamento, tanto para os membros da sociedade em geral como
um criminoso especificamente);
• incapacitação (limitando a capacidade do criminoso de prejudicar ainda mais a sociedade);
• retribuição (fazendo com que um criminoso sofra algum tipo de perda em resposta ao crime);
• restituição (fazendo com que um criminoso indenize uma vítima ou alguma pessoa relacionada);
• reabilitação (buscando mudar o comportamento de longo prazo de um criminoso).
Termos como 'culpado' e 'inocente' são normalmente reservados como descrições de veredictos (out-
vem) em um caso criminal. Esses termos não devem ser usados quando se referem aos resultados de
ações civis.
As punições disponíveis no direito penal incluem sentenças de prisão privativas de liberdade, nes criminais
mal remetido ao estado, apreensão e confisco de produtos criminais, e nanceiros ou outros
restituição remetida às vítimas.
Freqüentemente, não é necessário que um acusado tenha entendido que suas ações foram
de nido como criminoso, embora estaduals normalmente deve provar que o acusado pretendia tomar
essas ações. Alguns crimes são definidos de uma forma que a culpa só é atribuída se o estado puder
provar que o acusado estava ciente de que estava fazendo algo 'errado'. Um acusado,
portanto, pode não ser capaz de escapar da responsabilidade criminal sugerindo, ou mesmo provando, que um
ato foi realizado com boas intenções ou de outra forma 'no interesse público'.
. . . Direito civil (não criminal)
O direito civil é a área do direito que regula as relações privadas entre as pessoas.
Os exemplos incluem as leis de contrato e negligência. Uma pessoa ferida como resultado de violação
de direito civil pode normalmente mover uma ação legal contra a parte responsável.
Os recursos disponíveis sob a lei civil (dependendo das circunstâncias) podem incluir alguns
binação de:
• uma ordem para que a parte responsável pague indenização à parte lesada;
• uma ordem para encerrar alguma relação jurídica entre as partes;
• uma ordem para a parte responsável interromper a atividade prejudicial; ou
• uma ordem para que a parte responsável tome algum tipo de ato afirmativo (por exemplo, transferência de propriedade
posse de propriedade).
Os princípios do direito civil são frequentemente elaborados em um esforço para corrigir externalidades negativas de
comportamento em uma economia moderna. Isso torna o direito civil especialmente interessante em segurança cibernética,
já que a falta de segurança no desenvolvimento de produtos e serviços de TIC é um aspecto negativo, infelizmente recorrente
externalidade que muitas vezes fica aquém do comportamento criminoso [ ] Os legisladores esperam que as pessoas

www.cybok.org
que tomam conhecimento de que certos tipos de tomada de risco acarretam uma responsabilidade associada pelo resultado
o dano irá alterar seu comportamento para melhor.
. . . Um ato: dois tipos de responsabilidade e dois tribunais
Um único ato ou série de atos conectados pode criar responsabilidade simultaneamente sob ambos os crimes
direito inal e civil. Considere o ato de Alice fazer acesso não autorizado ao computador de Bob.
Suas ações, por sua vez, causam a falha da LAN de Bob e da infraestrutura relacionada. Hack único de Alice
a farra resulta em dois tipos de responsabilidade. O estado pode processar Alice pelo crime relevante (ou seja,
acesso não autorizado, consulte a Seção .) e Bob pode mover uma ação civil legal (ou seja, negligência,
veja a seção . .) contra Alice.
Os dois tipos de ação legal seriam normalmente contestados em dois tribunais separados, e
sujeito a dois padrões diferentes de prova (consulte a Seção .) O propósito do criminoso
caso é proteger os interesses da sociedade como um todo, enquanto o objetivo do caso civil é
compensar Bob.
.. A natureza da evidência e da prova

O conceito de 'prova'na lei é diferente do termo, uma vez que é usado no campo da matemática
ou lógica. Isso pode criar confusão nas discussões sobre tópicos de segurança cibernética e legislação.
Na lei, para 'provar'algo significa simplesmente usar evidências permissíveis em um esforço para demonstrar
demonstrar a verdade dos eventos contestados a um fato e a um determinado grau de certeza . Por-
evidências missíveis podem assumir uma variedade de formas. Sujeito às regras de diferentes sistemas jurídicos,
as evidências podem incluir depoimentos de testemunhas diretas, registros de negócios, correspondência, vigilância
registros de lance, gravações de conversas telefônicas interceptadas, logs de servidor, etc.
Como uma generalização grosseira, a análise jurídica de uma disputa consiste em dois elementos. Um 'nder de fato'
(um juiz, júri, regulador, etc.) deve primeiro considerar versões concorrentes de eventos e estabelecer uma
narrativa factual ou 'descoberta'. Esta narrativa factual é então submetida à análise sob relevante
lei.
A pessoa que traz uma ação legal é dito para carregar o fardo de prova em relação ao
elementos que definem seu direito de ação. Isso também é conhecido como provar que a parte reivindicadora
caso prima facie . O acusado, então, carrega o ônus de provar defesas afirmativas que
pode servir para reduzir ou eliminar sua responsabilidade.
O padrão aplicável de prova, ou seja, o grau de certeza que deve ser alcançado
pelo fato de chegar a uma conclusão sobre uma determinada questão contestada, depende da questão sob
consideração. Uma amostra não exaustiva de diferentes padrões de prova usados em várias
contextos é apresentado na Tabela ..
Lei e regulamentação KA | Outubro Página 6
www.cybok.org
.. Uma abordagem mais holística para a análise de risco legal

Aqueles que abordam o estudo do direito pela primeira vez, muitas vezes são vítimas de ver apenas um
aspecto da lei: 'as regras'. Mais especificamente, a estrutura elementar de uma dada lei
que define o ônus probatório a ser enfrentado por uma pessoa que busca provar a culpa ou
responsabilidade de uma segunda pessoa. Isso ignora outros fatores que devem ser levados em consideração quando
analisando o risco legal.
Considere uma circunstância em que Alice tem algum direito de ação contra Bob. (Alice poderia
ser um estado que está considerando processar Bob por um crime ou Alice pode ser uma pessoa que está considerando
um processo civil contra Bob por quebra de contrato ou ato ilícito.) Alice pode entrar com uma ação legal
contra Bob, ou talvez não. Se Alice entrar com uma ação legal contra Bob, ela pode ganhar o
ação ou ela pode perder. Bob deve levar diferentes fatores em consideração ao analisar
o risco relevante de Alice tomar medidas legais.
Pode ajudar na compreensão considerar uma função:
R = f (P, D, Q, X)
no qual:
R = o custo ponderado pelo risco para Bob que Alice vai começar e ganhar este
ação legal ;
P = capacidade relativa de Alice (usando evidências admissíveis) para provar sua prima fa-
cie caso contra Bob (ajustado pela capacidade de Bob de refutar tais evidências);
D = capacidade relativa de Bob (usando evidências admissíveis) para provar qualquer afirmação
defesa ativa que pode reduzir ou eliminar a responsabilidade de Bob (ajustada por
Capacidade de Alice de refutar tais evidências);
Q = o custo total para Bob (exceto os custos de transação) se Alice buscar e
ganha a ação legal dela; e
X = uma variedade de fatores adicionais, como a disposição e capacidade de Alice para
iniciar ação legal, A vontade e capacidade de defesa de Bob, o de Alice
capacidade de garantir a jurisdição de execução sobre Bob ou seus ativos, além de
custos de transação, como custos de investigação, custas judiciais e tribunal
custos.
O objetivo da função acima é meramente destacar que a análise de risco legal envolve mais
do que a consideração das 'regras'. 6 Assim, as discussões de direito substantivo neste conhecimento
área (por exemplo, proteção de dados, direito penal, contrato, ato ilícito) começa com algum exame do
quadro usado para provar a responsabilidade (P). A discussão também toca em algumas defesas afirmativas
(D) bem como penalidades e remédios relevantes (Q). A área de conhecimento dá signi cativos,
separada, consideração ao problema de jurisdição (que se enquadra em X). Na avaliação
cada um desses fatores, deve-se também considerar o valor probatório das evidências disponíveis como
bem como o padrão relevante de prova a ser cumprido em cada elemento (ver Seção .)
Algumas áreas de risco, como riscos relacionados aos custos de transação, incluindo mecanismos que
pode mudar alguns custos de transação do vencedor para o perdedor (que também caem dentro de X), são altamente
individualizado e orientado para o processo e além do escopo desta área de conhecimento.
As questões apresentadas aqui sustentam significativamente as observações sobre o manejo de risco legal
agement na seção ..
www.cybok.org
Padrão de Grau de Certeza Re- Contexto de exemplo

prova requerido
Além de uma rea- Extremamente alto. Quase Estados são mais frequentemente necessários para atender a isso, ou um semelhante
dúvida razoável. incontroverso. Nenhum outro padrão, em provar os elementos de um crime para um fato
razoável explicação nder para manter uma pessoa acusada culpada. Este padrão superior
existe para dar sentido a dard é fortemente influenciado por noções de direitos humanos
a evidência. lei porque a vida e a liberdade individuais estão em jogo.
Claro e Certeza razoavelmente alta. Este padrão de prova é usado na lei dos EUA, por exemplo,
convincente Muito mais que simplesmente quando um tribunal é solicitado a invalidar um anteriormente concedido
evidências. 'provável'. patente. O ónus da prova colocado sobre a pessoa
buscando invalidar a patente é definido alto porque este
privaria um titular de direitos de propriedade anteriormente
concedida pelo escritório de patentes.
Esta frase também é usada para descrever o padrão

para ser atendido por prisioneiros que desafiam a validade de
sua condenação criminal nos tribunais federais dos EUA usando
uma petição de habeas corpus muito depois das rotas normais de
recurso foram esgotados. Nesta circunstância, o
padrão mais alto é necessário como meio de preservar
a integridade do processo de justiça criminal original
(incluindo os recursos originais), sem encerrar
todas as possibilidades de revisão pós-condenação.
Preponderância Mais provável do que não. As formulações mais comuns do padrão de

de evidências. prova necessária para prevalecer em um processo civil.
Maior que %.
Equilíbrio de
probabilidades. Quando pesado no
escalas de justiça, o
a evidência de um lado é
pelo menos um peso-pena
maior do que o outro.
Causa provável. A evidência sugere O padrão exigido nos EUA para persuadir um juiz
que o alvo de um investimento oficial para emitir um mandado de busca ou prisão. Esta
investigação comprometeu um padrão serve para filtrar trivial ou não fundamentado
crime, embora evidências pedidos para invadir a privacidade ou deter um suspeito.
ainda não é conclusivo.
Sus razoável O padrão normalmente exigido nos EUA para justificar um

picion. policial, parando temporariamente e questionando um
pessoa. Este padrão inferior é frequentemente justificado na política
motivos para minimizar ameaças à segurança da polícia
de cers.
Esta frase também foi sugerida pelo United

Alto Comissariado das Nações Unidas para os Direitos Humanos no
direito à privacidade na era digital como um limite para
justificando a vigilância eletrônica do estado [6]
Mesa . : Exemplos de padrões de prova
www.cybok.org
. JURISDIÇÃO
[, , 8, , , ]
O ciberespaço permite que pessoas localizadas em diferentes estadoss para se comunicarem uns com os outros em
uma moda sem precedentes na história. Contatos e relações internacionais antes incomuns
navios tornaram-se comuns. Aqueles que enfrentam uma ameaça potencial de aplicação por um
pessoa em um estado estrangeiro deve considerar algumas questões de limite antes do
o risco pode ser analisado: jurisdição e conflito de leis.
Jurisdição descreve o escopo da autoridade estadual e os mecanismos usados por um estado para garantir
sert poder. O direito internacional privado, ou conflito de direito, examina como determinar quais
a (s) lei (s) nacional (is) estadual (is) serão aplicadas para resolver certos aspectos de uma determinada disputa. Este sec-
ção da área de conhecimento discute jurisdição. O conflito de leis é tratado separadamente em
contexto de títulos substantivos individuais de direito.
Muitos dos princípios relativos à jurisdição e conflito de leis não são novos. O que tem
mudados são o maior número de pessoas que se beneficiam da consideração desses princípios
agora que as pessoas estão enfrentando responsabilidades jurídicas transfronteiriças a taxas aumentadas.
.. Jurisdição territorial
O termo 'jurisdição'é frequentemente usado de uma maneira bastante informal para se referir a um estado, ou qualquer po-
subdivisão litical de um estado, que tem autoridade para fazer ou fazer cumprir leis ou regulamentos. 8
Nesse sentido, o termo é quase sinônimo de território desse estado ou de sua sub-política
divisão. O objetivo desta seção, no entanto, é se concentrar camente mais específico sobre o territorial
extensão de um estadopoder de - sua jurisdição territorial.
Ao analisar os riscos legais de atividades multiestaduais conduzidas por meio do ciberespaço, pode ser
útil considerar três aspectos diferentes da jurisdição: jurisdição prescritiva, jurídico
jurisdição, e jurisdição de execução.
A jurisdição prescritiva descreve o escopo da autoridade reivindicada por um estado para regular o
atividades de pessoas ou tomar posse de bens. Os legisladores normalmente adotam leis para
o objetivo de proteger os residentes de seu estado de origem e pode declarar seu desejo de
regular as ações de residentes estrangeiros, na medida em que tais ações sejam prejudiciais
para o estado natal-residentes.
A jurisdição jurídica descreve a autoridade de um tribunal para decidir um caso ou controvérsia. O
as regras de tal jurisdição variam amplamente de tribunal para tribunal. Em casos civis, os tribunais geralmente
exigir um grau mínimo de contato entre o território residencial do tribunal e o
propriedade ou pessoa contra a qual é movida uma ação legal . Esse contato mínimo pode envolver
exemplos óbvios, como a presença de uma filial. Pode ser extremamente mínimo,
na verdade, baseando-se em pouco mais do que correspondência solicitando negócios de um residente de
o território do tribunal. No contexto de processos criminais, os tribunais normalmente exigem o
presença física de um acusado antes do início do processo. Algum estados permitir tribunais
para fazer exceções a esta regra e estão preparados para conduzir um julgamento criminal à revelia se o
réu não pode ser encontrado dentro da jurisdição territorial do tribunal.
A jurisdição de execução descreve a autoridade de um estado para fazer cumprir a lei. Isso às vezes
descrito como poder de polícia, poder de prender e deter, autoridade para usar a força contra pessoas,
etc. Em questões civis, isso pode descrever outros métodos usados para projetar força sobre pessoas ou
propriedade residente em um território, como apreensão de instalações e equipamentos, despejo de inquilinos de
www.cybok.org
propriedade, penhora de salários, apreensão de fundos em depósito em um banco, etc. Na prática, impor
ment jurisdição é limitada pela capacidade do Estado e seus agentes a projetar poder sobre o
objetos de aplicação.
.. Jurisdição prescritiva
Há muito tempo é lugar-comum para o estados exercer um grau de jurisprudência prescritiva e jurídica
dicção sobre pessoas
frequentemente nãoéresidentes
adotado que pessoasquenão
solicitam relações
residentes comerciais
que solicitam com residentes.
remotamente Uma em
ou entram teoria
relações de negócios
as relações com os residentes valem-se dos benefícios do mercado interno e, daí,
portanto, tornar-se receptivos às regras desse mercado. Este princípio é muito anterior à Internet.
Mais controversos são os casos em que uma pessoa não residente não está solicitando negócios de
um residente do estado , mas pode estar agindo de uma forma que de alguma forma prejudica o estado
moradores. Alguns dos exemplos mais conhecidos surgem nas leis da concorrência (também conhecidas como leis antitruste).
Esses casos seguem um padrão familiar. Um cartel de pessoas que produzem mercadorias (por exemplo,
bananas, alumínio, polpa de madeira, diamantes) fora do estado's território, convocar uma reunião
isso também ocorre fora do estado's território. Nesta reunião, os membros do cartel conspiram
para x os preços de atacado de uma determinada mercadoria. Este tipo de conspiração offshore de fixação de preços,
que não seria permitido se ocorresse dentro do estado's território, eventualmente resulta em
também nos preços praticados dentro do estado . A única comunicação entre o ato proibido
(preço xing) e o estado é o preço da in ação no mercado externo (exportador), que em
por sua vez, causa a inflação dos preços de mercado interno (importação).
No início do século XX, a noção de aplicação de um estadolei de concorrência doméstica

a tal atividade no exterior foi considerada totalmente inadequada [ ] O crescimento da interna-
O comércio internacional na economia moderna, entretanto, fez com que os tribunais reconsiderassem essa posição. nós
os tribunais decidiram estender a jurisdição prescritiva à atividade de fixação de preços estrangeira
foi justi cado devido ao dano consequente ao mercado interno e ao mercado interno soberano
est na proteção do funcionamento desse mercado [ ] Um substancialmente semelhante (se não idêntico)
doutrina foi anunciada em 88 pelo Tribunal de Justiça Europeu ao aplicar
lei da concorrência [ , ] Embora essas jurisdiçõestodas as teorias foram criticadas, eles
agora são exercitados rotineiramente.
Os Estados também reivindicam jurisdição prescritiva sobre algumas ações tomadas por seus próprios nacionais
enquanto estiver presente em um estado estrangeiro, mesmo que nenhum 'efeito' expresso seja reivindicado dentro do território de
o estado de origem. Os exemplos incluem leis que proíbem o suborno de funcionários estrangeiros [ 6] e leis
contra o turismo sexual infantil [ , 8] Os estados também podem reivindicar jurisdição prescritiva sobre violentos
atos cometidos contra um estadopróprios nacionais de fora do estado's território por qualquer pessoa ,
especialmente em casos de terrorismo.
As instâncias onde mais de um estado reivindica jurisdição sobre um único ato ou ocorrência são
não incomum. Reivindicações de jurisdição prescritiva tendem a se basear em noções de proteção
de acordo com os interesses de um estado e de seus residentes. Algumas das regras de jurisdição foram
adotado com o objetivo de reduzir os casos em que as pessoas possam enfrentar conflitos irreconciliáveis
entre os mandatos de dois estadoss. Embora tais conflitos irreconciliáveis sejam menos complicados
mais do que alguns possam acreditar, eles ainda surgem de vez em quando. Nos casos em que uma pessoa
enfrenta um conflito irreconciliável de mandatos impostos por dois estadoss, a pessoa é necessária
para fazer escolhas difíceis. Para as empresas, essas escolhas muitas vezes envolvem mudanças nos negócios
processos, estrutura ou governança para evitar ou limitar o potencial para tais conflitos.

www.cybok.org
. . . Jurisdição prescritiva sobre o conteúdo online
Numerosas decisões de tribunais em todo o mundo confirmaram a vontade do estados para

reivindicar jurisdição prescritiva sobre as ações de origem de conteúdo criminoso ou ilícito
de fora do estado's território, é transferido pela Internet e exibido no
Estado's território. Exemplos de leis que foram aplicadas nesta base incluem direitos autorais,
difamação, serviços de jogos / jogos de azar e estado- proibições de assuntos específicos, como
como a proibição de exibir ou oferecer para venda memorabilia nazista na França
[, , 8, ]
Esses exercícios de jurisdição não se baseiam necessariamente nos efeitos mais atenuados dos
trine 'utilizado no direito da concorrência. Os tribunais parecem dispostos a interpretar a lei doméstica de uma forma
que afirma a jurisdição prescritiva, e, em seguida, para afirmar sua própria jurisdição jurídica sobre
a base de que o conteúdo é visível para pessoas dentro do estado, independentemente da localização de
o servidor de origem. Desta forma, o ato ofensivo (por exemplo, copiar, publicar
transmissão, transmissão, exibição, oferta para venda) ocorre dentro do estado que afirma
jurisdição.
. . . Jurisdição prescritiva sobre crime de computador
Os estados que adotam leis de crimes de informática freqüentemente legislam para incluir atos transfronteiriços. Como resultado,
é comum que um estado com tais leis em seus livros exerça jurisdição prescritiva
sobre pessoas - não importa onde estejam localizadas - que realizam ações direcionadas ao computador
equipamento localizado dentro do estado. Da mesma forma, as pessoas que agem fisicamente localizadas dentro de
o estadodo território são frequentemente capturados no âmbito da lei penal ao conduzir
operações ofensivas contra computadores residentes em estado estrangeiros [ , , , , ]
O direito internacional público reconhece tais exercícios de jurisdição prescritiva como uma função
de soberania territorial ([ ] na R. -, R.).
Quando um hacker que está fisicamente presente em um estado direciona uma atividade ofensiva para um computador
em outro estado, esse hacker pode violar as leis criminais de ambos os estadoss. Se o hack relevante-
atividade física não constitui um crime no primeiro estado por qualquer motivo, ela ainda pode
constituem um crime sob a lei do segundo estado onde o computador de destino está localizado
[ , ]
. . . Jurisdição prescritiva e proteção de dados (GDPR)
O GDPR trouxe uma mudança significativa na jurisdição prescritiva territorial do Euro-

lei de proteção de dados pean [ ]
GDPR, em comum com a legislação anterior, aplica-se primeiro a qualquer 'processamento de

dados sonais no contexto das atividades de um estabelecimento de um controlador ou processador
na União, independentemente de o tratamento ter lugar ou não na União »(art. ()).
O termo 'estabelecimento de um controlador', conforme usado na legislação de proteção de dados da UE em geral, é extraou-
extraordinariamente amplo quando comparado com outros princípios jurídicos comumente compreendidos. Criando ou
manter um estabelecimento no território da UE significa apenas a capacidade de dirigir negócios
assuntos ou atividades sociais. Esta definição não é restringida pelas sutilezas usuais de empresas
ou direito tributário internacional. Uma holding nos Estados Unidos, por exemplo, pode ser considerada como tendo um
estabelecimento de processamento de dados pessoais na UE através das atividades de não processamento de seus
subsidiária integral [ ] Assim, pessoa jurídicas que não têm 'estabelecimento permanente'
ou 'presença tributável' na UE para fins de análise de responsabilidade fiscal direta pode, no entanto

www.cybok.org
ser considerada como realizando processamento de dados no contexto de um "estabelecimento" na UE

para fins de análise da responsabilidade do GDPR .
O GDPR agora também declara jurisdição prescritiva sobre as atividades de processamento de dados pessoais
de qualquer pessoa, em qualquer lugar do mundo, relacionado à oferta de bens ou serviços aos titulares dos dados
na UE (art. () (a)). Acredita-se que a jurisdição prescritiva se estenda apenas às circunstâncias
quando o fornecedor oferece voluntariamente tais bens ou serviços a titulares de dados na UE.
Por fim, o GDPR se aplica a qualquer pessoa que monitore o comportamento dos titulares dos dados localizados em
na UE, na medida em que este comportamento monitorizado «ocorre» na UE (artigo () (b)). Esta
título de jurisdição parece ter sido motivado principalmente pelo surgimento de
vícios que monitoram e analisam uma variedade de comportamentos humanos, incluindo ações realizadas
por pessoas que usam navegadores da web, ou padrões de movimento físico exibidos por pessoas no
terreno, como o comportamento de compra.
Pessoas localizadas fora da UE, mas que estão sujeitas à jurisdição prescritiva
do GDPR porque eles oferecem bens ou serviços para, ou monitoram o comportamento de pessoas residentes
na UE, são frequentemente obrigados a nomear um representante na UE (artigo; considerando 8).
Interpretando o escopo do GDPRé territorial jurisdicional pode ser dif culto, especialmente dada a
rápido surgimento de novas formas de serviços online. O Conselho Europeu de Proteção de Dados é
deverá nalisar orientação formal no devido tempo [ ]
.. Jurisdição de execução
Embora seja relativamente fácil imaginar um estado exercendo ampla jurisdição prescritiva e jurídica
ção sobre as atividades e controvérsias, questões de culto mais dif surgir com respeito a enforce-
jurisdição de ment: como um estado praticamente aplica suas regras.
Como uma proposição geral, um estado não tem o direito de exercer o direito internacional público
jurisdição de execução dentro do território de outro estado ([ ] na R.).
Esta seção considera alguns dos mecanismos de aplicação mais comuns usados pelo estados
em um contexto de segurança cibernética. Fazer cumprir a lei tende a ativar três mecanismos diferentes
do poder do Estado : poder sobre as pessoas ( em jurisdição pessoal), poder sobre a propriedade ( em rem
jurisdição), e solicitações ou demandas de assistência internacional.
. . . Apreensão e confisco de bens em geral
É comum afirmar a jurisdição real sobre a propriedade ou outros direitos legais que são
presente dentro de um estado's território e propícios a esse estadopoderes de polícia de. O estado pode
confiscar tais bens em um esforço para obrigar o comparecimento em processos judiciais, ou eventualmente
vender a propriedade para cumprir as obrigações financeiras de uma pessoa ausente. Exemplos de objetos
apreendidos para este fim incluem bens imóveis, tais como edifícios de escritórios ou fábricas,
bens móveis, como instalações e equipamentos, caminhões, embarcações marítimas ou mercadorias
em trânsito e intangíveis, como direitos de propriedade intelectual ou direitos de retirar fundos em
depósito em um banco.
www.cybok.org
. . . Apreensão e perda de servidores, nomes de domínio e registros
Quando um servidor localizado em um estado é usado para realizar atividades que constituem um crime naquele
Estado, capturar o servidor como um mecanismo de aplicação pode ser considerado. Movendo-se
além do servidor, no entanto, as autoridades policiais dos EUA também usaram a jurisdição real
para apreensão e perda de nomes de domínio onde o registro de domínio TLD é mantido em
os EUA. Ações por violação de direitos de marca registrada usaram poderes reais semelhantes para fazer
apreensão e confisco do nome principal. Esta é uma ferramenta de fiscalização potencialmente interessante nos EUA,
especialmente como registros de TLDs administrados e mantidos dentro do território dos Estados Unidos
incluem '.com', '.org' e '.net' [ , 6]
Poderes reais semelhantes foram afirmados por vários estadoss para regular a administração de
o registro de ccTLD associado ao seu estado, ou para transferir à força a administração e
operação do ccTLD para um administrador estadual diferente [ ]
. . . Localização territorial do direito de exigir o reembolso de depósitos bancários
Esforços para fazer cumprir as leis que congelam ou de outra forma restringem o acesso do depositante aos fundos depositados
levantaram questões difíceis sobre o escopo territorial da autoridade de fiscalização do estado . Como-
definir ordens de congelamento direcionadas ao estado inimigos ou seus cidadãos não são incomuns, especialmente em
tempos de conflito internacional.
Um caso que destacou os limites desse poder surgiu a partir do despacho 86 emitido pelos Estados Unidos
ordenando o congelamento de bens detidos pelo estado da Líbia. Esta ordem do Reagan administra
tratamento era incomum. Além de obrigar o congelamento de dinheiro em depósito nos Estados Unidos
Estados, também ordenou que qualquer pessoa dos EUA que mantivesse controle efetivo sobre qualquer conta bancária
em qualquer lugar do mundo para congelar o dinheiro depositado em qualquer uma dessas contas bancárias globais.
O Libyan Arab Foreign Bank (um estadobanco líbio de propriedade) entrou com uma ação legal contra bancos dos EUA
nos tribunais da Inglaterra exigindo o reembolso de depósitos (denominados em dólares americanos)
realizada nas filiais de Londres. O julgamento do tribunal inglês resultante é uma leitura interessante,
como o tribunal discutiu longamente o extenso papel dos sistemas de transferência eletrônica de fundos em
bancário internacional naquela época. Tendo olhado para a questão, no entanto, o desmaterializado
Em última análise, a natureza das transferências de fundos quase não teve impacto no desfecho do caso. O
tribunal considerou que o dinheiro depositado na sucursal de um banco em Londres constitui um direito legal
para o depositante exigir o pagamento desse dinheiro na Inglaterra [ 8, ].6
Em outras palavras, uma conta bancária pode ser conceituada como estando situada dentro do território de
o estado em que se localiza a agência para a qual o depósito é feito. Esta análise continua
para aplicar se o relacionamento for realizado inteiramente por meio de interações online, e até mesmo
se o depositante permanecer offshore e nunca comparecer pessoalmente à agência.
www.cybok.org
. . . Reconhecimento estrangeiro e execução de sentenças civis
Uma sentença civil emitida pelo tribunal de um estado pode, em certas circunstâncias, ser en-
forçado pelos tribunais de um segundo estado amigável. Isso normalmente é alcançado quando o prevalecente
parte transmite a sentença aos tribunais do segundo estado onde a parte adversa
bens, requerendo a execução da sentença contra esses bens. Reconhecimento estrangeiro
e a execução de sentenças civis é muitas vezes concedida sob o princípio da cortesia : uma doutrina
que pode ser expresso neste contexto como, 'Faremos cumprir suas decisões civis porque, como
um estado amigável, prevemos que você fará cumprir a nossa. '
A disposição de um tribunal estrangeiro de fazer cumprir tais sentenças civis não é universal. Pedidos de
a execução civil às vezes é rejeitada por razões políticas. No entanto, este continua a ser um
mecanismo relativamente comum no contexto de julgamentos por danos financeiros decorrentes de
muitos contratos e disputas ilícitas.
. . . A prisão de pessoas físicas em território estadual
Normalmente, é fácil para os policiais prenderem pessoas presentes em seu estadode

território. Quando um suspeito de crime está fora do estado's território, de cials às vezes são capazes
para prender esse suspeito quando subsequentemente aparecer no estado - seja ou não um
destino pretendido. Os policiais normalmente podem prender o acusado em seu
chegada em território estadual . 8
As autoridades estaduais podem normalmente exercer o poder de apreensão em qualquer navio de mar dentro do
Estadoé territoriais águas, assim como os navios registados sob a ag da prendendo estado
quando em águas internacionais. Cenários adicionais de fiscalização marítima são possíveis [ ]
. . .6 Extradição de pessoas físicas
Se um criminoso acusado não estiver presente no estado, um método tradicional de obtenção de

tody é solicitar a extradição de outro estado [ , ] A extradição é normalmente governada
por tratados bilaterais de extradição, e normalmente só é permitida quando o alegado ato criminoso
constitui crime em ambos os estadoss (o requisito da dupla incriminação).
Se dois estadoss que são partes contratantes da Convenção de Budapeste (consulte a Seção .) a Principal-
ter um tratado de extradição bilateral entre eles, a Convenção obriga-os a incorporar
dentro de seus procedimentos de extradição, os crimes de informática exigidos pela Convenção. O
Convenção pode (opcionalmente) também servir como uma base jurídica independente para extradição entre
dois estados contratantess que não mantêm um tratado de extradição bilateral [ ] no artigo.
A extradição tem uma história conturbada em segurança cibernética. Pedidos de extradição para acusado de cyber
os criminosos podem ser negados por outro estado por uma série de razões: falta de extradição
tratado entre os dois estadoss, falta de dupla criminalidade, preocupações de políticas públicas sobre a gravidade
de punição a ser imposta pelo estado requerente, e preocupações com a saúde ou bem-estar
do arguido, são todos os motivos invocados para a recusa de concessão da extradição de
pessoas acusadas de crimes cibernéticos [ ]
www.cybok.org
. . . Filtragem de conteúdo tecnológico
A intervenção tecnológica pode ser adotada como uma expressão prática do poder do Estado - seja
por um estado que ordena diretamente tal intervenção, ou por outras pessoas que adotam uma inter-
prevenção para evitar ou limitar a responsabilidade.
Filtragem de conteúdo é apenas um tipo de intervenção tecnológica que pode ser usada para reforçar
lei ou para reduzir o risco de atividades adversas de aplicação da lei. Esta abordagem é geralmente dentro
o conceito explorado por Lawrence Lessig e expresso com a frase, 'código é lei' [ 8]
Um estado de execução pode direcionar uma ordem de execução a uma pessoa exigindo que eles filtrem
conteúdo no ponto de origem, se o conteúdo está hospedado em um estado ou fora do estado
servidor [ ] Tal ordem traz consigo a ameaça implícita ou explícita de que a falha em implementar
a ordem pode resultar no uso de outros mecanismos de aplicação mais agressivos direcionados
para pessoas ou propriedades no estado.
Se um out-of-state pessoa que origina ou anfitriões ofender conteúdo online a partir do estado fora
a infraestrutura falha ou se recusa a filtrá-la, o estado de aplicação pode olhar para outra tecnologia
métodos de aplicação baseados. Um estado pode emitir uma ordem para ISPs dentro do estado para bloquear os
declarar recebimento de conteúdo ofensivo [ ] Embora tais mecanismos técnicos estejam longe de
perfeitos (como é o caso com qualquer tecnologia de fiscalização de fronteiras), eles podem ser suficientemente
eficaz para cumprir o propósito do estado de aplicação.
Os esforços de filtragem também são iniciados na ausência de atividade específica de fiscalização do estado . Por-
filhos criam e impõem seus próprios filtros no ponto de origem para limitar as transferências de conteúdo para o estados
onde o conteúdo filtrado pode resultar em responsabilidade. Os esforços de filtragem podem ser realizados em colaboração
entre atores do setor público e privado.
. . .8 Ordens para pessoas no estado que dirigem a produção de dados sob seu controle se
realizada em sistemas de TI nacionais ou estrangeiros
Os estados também podem solicitar o estado- pessoas residentes para produzir dados sob seu controle, independentemente
da localização territorial do armazenamento de dados.
Tais ordens são especialmente comuns de acordo com as regras processuais que regem a divulgação
(também conhecido como descoberta) de evidências potenciais pelas partes em uma disputa. Aqueles que os encontram-
ser parte de uma disputa que está sujeita à jurisdição de um tribunal estrangeiro deve rapidamente
familiarizar-se com as regras de divulgação obrigatória desse tribunal. Tribunais normalmente não sentem
restringido pela localização de possíveis evidências - apenas que as partes na disputa dis-
feche-o conforme exigido de acordo com as regras do tribunal do fórum.
Mais controversos são os casos em que um estado, muitas vezes no contexto de uma investigação criminal
ou operação de coleta de inteligência, exige a produção de dados sob o controle de um
Estado- pessoa residente que não é alvo de investigação (criminal) ou parte do jurídico (civil)
açao. Os críticos afirmam que tais demandas são inadequadas e o estado deve ser limitado a
envio de solicitações de assistência jurídica internacional (ver Seção ...) Apoiadores discutem
que tais demandas representam um exercício legítimo de jurisdição de execução do estado contra
pessoas presentes dentro do território estadual.
Um dos primeiros exemplos envolveu um programa anteriormente secreto no qual os Estados Unidos exigiam
acesso legal aos registros de transações bancárias mantidos pela SWIFT. Os pedidos para produzir dados
foram dirigidos ao SWIFT residente nos EUA do ces. O não cumprimento das exigências dos EUA pode
resultaram em processos criminais de residentes nos EUA de acordo com as leis dos EUA. Cumprindo com

www.cybok.org
essas demandas, no entanto, muito provavelmente constituíram uma violação da lei de proteção de dados de
Bélgica (RÁPIDOsede da empresa), entre outros. Notícias do programa vazaram e
criou uma disputa diplomática entre os EUA e a Bélgica (entre outros). Este diplomático
questão foi finalmente resolvida por meio de negociação e acordo sobre o escopo de
futuras operações de investigação [ ]
Outro exemplo conhecido envolveu um pedido feito por uma agência desconhecida do governo dos Estados Unidos
ernment sob a Lei de Comunicações Armazenadas. O governo pediu ao tribunal dos EUA para emitir
um pedido para a Microsoft Corporation nos EUA exigindo a produção do conteúdo de
uma conta de e-mail mantida pela Microsoft em nome de um cliente não identificado que não era
residente nos EUA. O tribunal dos EUA emitiu a ordem para a Microsoft nos EUA, embora o e-mail
A própria conta era mantida em um servidor em um data center em Dublin, na Irlanda. Equipe residente nos EUA
da Microsoft tinha a capacidade tecnológica de acessar o conteúdo do servidor Dublin, e o
ato de produzir os dados solicitados teria sido tecnologicamente trivial. Microsoft perguntou
o tribunal para anular (invalidar) este mandado, geralmente com base no fato de que a lei aplicável dos EUA
não autorizou um pedido deste tipo em relação aos dados armazenados offshore.
Depois de várias escaramuças no tribunal distrital, o Tribunal de Apelações dos Estados Unidos (nd Circuit)
ally anulou a ordem contra a Microsoft na base extremamente restrita de que o Stored Com-
a lei de comunicações (adotada em 86) não reivindicou expressa e inequivocamente a prescrição
jurisdição sobre os dados armazenados em equipamentos localizados fora do território dos Estados Unidos [ ,
, ] Esta decisão foi apelada para a Suprema Corte dos EUA, onde foi totalmente informada
e argumentou. Após argumentação, mas antes do julgamento, o Congresso dos EUA em 8 adotou o
CLOUD Act. Esta legislação alterou a Lei de Comunicações Armazenadas para trazer os dados armazenados
em servidores estrangeiros expressamente na jurisdição prescritiva dessa lei, e o governo dos EUA
ernment imediatamente solicitou um mandado de substituição de acordo com a lei revisada. O Supremo
Tribunal, então, indeferiu o recurso pendente sem emitir um julgamento substantivo, como o novo
a lei resolveu qualquer disputa sobre o escopo da jurisdição prescritiva reivindicada pelos EUA
Congresso [ 6]
. . . Assistência jurídica internacional
Estados podem fazer pedidos de assistência de pessoas fora de seu território para reunir
provas em apoio à investigação criminal. Tradicionalmente, essas solicitações são feitas de acordo com
a um tratado de assistência jurídica mútua e são transmitidos pelas autoridades de um primeiro estado ao
autoridade designada de um segundo estado para consideração e possível ação. Tais pedidos
também pode ser feito na ausência de um tratado, embora o segundo estado mantenha a discrição
sobre como escolher responder na ausência de obrigações legais internacionais.
A Convenção de Budapeste (ver Seção ..) impõe uma série de requisitos sobre
estado de tratos fornecer assistência jurídica mútua na investigação de crimes cibernéticos [ ]
A Convenção também estabelece uma série de requisitos relativos à preservação de eventos eletrônicos
identidade, incluindo metadados.
Estado formalPara- estaduais pedidos de assistência jurídica mútua ganharam uma reputação de ser
pesadamente burocrático e lento [ ] Embora existam muitos exemplos de sucesso entre
cooperação nacional na investigação de crimes cibernéticos, observou-se que 'o uso de
mecanismos formais de cooperação ocorrem em uma escala de tempo de meses, ao invés de dias '[ ]
Existem algumas opções disponíveis para reunir evidências transfronteiriças que não envolvem a busca
permissão do estado em que as evidências residem. A Convenção de Budapeste oferece dois
métodos adicionais. As autoridades de um determinado Estado da Convenção A podem reunir evidências de

www.cybok.org
publicamente disponíveis (fontes abertas) de dados armazenados em um determinado Estado da Convenção B, sem
aviso ou autorização do Estado B [ ] no Artigo a.
Também se diz que o Estado A da Convenção está autorizado a usar um computador no território do Estado A
para acessar dados de uma fonte fechada no Estado da Convenção B se o Estado A 'obtiver o
e consentimento voluntário da pessoa que tem autoridade legal para divulgar os dados '[ ]
no Artigo b. Uma Nota de Orientação formal para a Convenção cita o exemplo de um criminoso
suspeito detido no Estado A que dá consentimento às autoridades do Estado A para acessar seu e-mail
ou documentos armazenados em um servidor no estado B [ 8]
O Artigo b foi amplamente discutido pela Convenção do Conselho da Europa sobre o Cibercrime
Comitê (T-CY). Um subgrupo ad hoc deste Comitê estabeleceu uma ampla discussão
de questões que surgem e exemplos específicos em que o uso desta autoridade pode ser considerado
[ ] O próprio Comitê passou a publicar Nota de Orientação que esclarece a autoridade
concedida pelo Artigo b [ 8]
Os profissionais devem observar que os poderes do Artigo são permissivos, não proibitivos. Se estado A
é incapaz de demonstrar que uma atividade de coleta de evidências proposta está em conformidade com o Artigo
b isso significa apenas que a atividade não está expressamente autorizada pela Convenção de Budapeste.
O artigo da Convenção não proibiria a atividade proposta, embora alguns outros
características do direito internacional público podem. Veja a seção . ..
Os críticos argumentam que o Artigo b constitui uma intrusão indesejável na soberania do Estado . Esta
foi citado por algum estados como uma razão para se recusar a assinar a Convenção de Budapeste ([ ]
na p. , fn. )
Outro método de investigação transfronteiriça na ausência de consentimento do segundo estado é

descrito na Seção . . 0,8.
.. O problema da soberania dos dados

A frase 'soberania de dados' às vezes é usada para lutar contra as várias jurisdiçõesal
demandas descritas acima. O custo tecnológico extremamente baixo de armazenamento e recuperação
dados fora do território de um estado, levanta preocupações sobre o número de estadosé que pode
procuram obrigar alguma forma de intervenção com respeito a tais dados.
Os serviços em nuvem fornecem apenas "uma sensação de independência de localização", em vez da localização real
independência [ ] A localização da infraestrutura de um provedor de serviços e a localização de
pessoas que mantêm controle efetivo sobre essa infraestrutura são importantes para
em que estados podem ser capazes de afirmar a jurisdição de execução exigindo algum tipo
de intervenção com relação a tais dados [ ]
Os usuários de serviços em nuvem estão cada vez mais cientes de que localizar uma instalação de armazenamento de dados
em qualquer estado aumenta esse estadooportunidade de exercer jurisdição de execução sobre
tais instalações. Os profissionais também devem considerar as oportunidades de aplicação da jurisdição antes de
enviado a um estado quando as pessoas dentro de seu território têm capacidade técnica ou organizacional para
acessar ou interferir de outra forma com os dados mantidos na infraestrutura fisicamente fora desse estado.
(Veja a discussão na Seção . .8.) O risco de aplicação pode surgir da geolocalização de
equipamento de armazenamento de dados, ou a localização geográfica de pessoas capazes de acessar tais dados. 6
Algum estados responderam à jurisdição potencialtodos os conflitos exigindo armazenamento local

e processamento (localização) para alguns tipos de dados. Na verdade, de acordo com suas leis de proteção de dados
a União Europeia há muito impõe um requisito de localização do EEE (na forma de uma regra
www.cybok.org
proibindo a exportação) de dados pessoais, embora na prática existam vários mecanismos

disponível para permitir as exportações do EEE (ver Seção .6) Outro estadoestá fora do EEE
impuseram requisitos de localização por uma série de razões [ , , , 6, ]
Algum estados dentro do EEE impuseram regras de localização de dados de estado único para certos
tipos de dados sensíveis, proibindo as exportações até mesmo para outros estados- membross do EEE. Possivelmente
em resposta a esta tendência de localização de estado único , a União Europeia adotou um regulamento
em 8 que proíbe as restrições legais dos estados membros à livre circulação de pessoas não pessoais
dados dentro da União. (Ou seja, o regulamento não proíbe o estado membros de adotar
requisitos de localização de dados para dados pessoais.) Este regulamento também inclui vários
cepções para o estado membros que desejam impor requisitos de localização por razões de
importante política pública [ 8]
. LEIS DE PRIVACIDADE EM GERAL E ELETRÔNICO

INTERCEPTAÇÃO
O conceito de 'privacidade' é amplamente citado e desafiador de articular. Esta seção ad-
veste a privacidade no sentido descrito no artigo seminal do século XIX, 'The Right
para privacidade '[ ] Neste contexto, a privacidade foi descrita simplesmente como o direito de uma pessoa 8
estar livre da intromissão de outros em assuntos pessoais ou o 'direito de ser deixado em paz'.
No trabalho de um profissional de segurança cibernética, a questão da privacidade surge com mais frequência na
texto de vigilância eletrônica e atividade investigatória relacionada, que é o foco deste
seção. Pode-se esperar que esta área do direito continue a evoluir rapidamente em resposta a novos
casos de uso habilitados por serviços de processamento de dados em nuvem.
A lei de proteção de dados é tratada na Seção . e crimes contra sistemas de informação são
considerado na Seção .. A maioria dessas áreas do direito tem origem ou está relacionada à privacidade
conceitos.
.. Normas internacionais: fundamentos dos direitos humanos internacionais

lei
A privacidade é amplamente reconhecida internacionalmente como um direito humano, embora não seja um direito absoluto.
O direito à privacidade é condicional - sujeito a limitações e exceções.
A 8 Declaração Universal dos Direitos Humanos afirma no Art que, 'Ninguém deve ser sub-
sujeito a interferência arbitrária em sua privacidade, família, casa ou correspondência ... '[ ] Livre-
dom da interferência com a privacidade se estende apenas a interferência "arbitrária", que claramente
molda a legitimidade da interferência "não arbitrária". Expressões semelhantes, com qual- semelhante
cações, podem ser encontradas no Artigo 8 da Convenção Europeia dos Direitos Humanos e novamente
no artigo da Carta dos Direitos Fundamentais da União Europeia [ ]6
No contexto mais restrito de limitação da autoridade governamental, a Quarta Emenda do

A Constituição dos EUA adotada em estados, 'O direito das pessoas de estarem seguras em suas pessoas,
casas, papéis e pertences, contra buscas e apreensões irracionais, não devem ser violados
não serão emitidos mandados [autorizando a busca ou apreensão], mas com causa provável. . . '
[ ] Mais uma vez, este direito é limitado para proteger apenas contra ações "irracionais".
A aplicação desses princípios aos dados intangíveis evoluiu significativamente durante os anos vinte.
século et. Em 8, por exemplo, a Suprema Corte dos EUA interpretou a Quarta Emenda
www.cybok.org
estritamente como proteger as pessoas apenas de intrusão física em suas propriedades [ ] Quatro
décadas depois, depois que a comunicação eletrônica se tornou uma característica onipresente do dia a dia
vida, o Tribunal alterou a sua posição e re-interpretado a Quarta Emenda para proteger per-
filhos da intrusão injustificada nas comunicações eletrônicas. O 6 Tribunal observou
que leis como a Quarta Emenda têm como objetivo 'proteger as pessoas, não os lugares' [ ]O
direito à privacidade expresso na Convenção Europeia dos Direitos Humanos há muito tempo
se candidatou a comunicações eletrônicas [ ] No início do século XXI, parece
ter se tornado uma norma internacional amplamente aceita de que os direitos de privacidade (sejam eles
interpretado) se aplicam a expressões intangíveis de informação, bem como ao espaço físico [ 6]
Embora os princípios descritos acima sejam amplamente aceitos na comunidade internacional, o

interpretação e implementação destes princípios permanece sujeita a divergências significativas
gence. Algumas leis estendem o direito geral de privacidade a quase todas as situações, enquanto outras
concentre-se apenas em limitar o poder do Estado de se intrometer nos assuntos privados. 6
Uma determinada pessoaa expectativa de privacidade da empresa pode variar de acordo com a natureza de sua relação
navio com a parte que pretende se intrometer. Por exemplo, tendem a haver poucas restrições im-
colocado por qualquer estadoas leis em relação à intrusão de um pai nos assuntos de seu menor
crianças. Em contraste, estados variam significativamente ao considerar quando é apropriado para
empregadores se intrometam nos assuntos de seus empregados. Neste último contexto, a ONU publicou
li abordagens recomendadas para a aplicação dos direitos humanos em um ambiente de negócios
[ ]
As expectativas de privacidade também podem variar significativamente entre as diferentes sociedades. Uma intrusão
visto por uma sociedade como relativamente inócuo e esperado pode ser visto por outra
sociedade como uma violação dos direitos humanos.
Como as pessoas dependem de serviços em nuvem para gerenciar aspectos cada vez mais íntimos de suas vidas,
as expectativas de privacidade sobre a variedade de dados processados usando esses sistemas continuarão
para evoluir. 6 Os legisladores, prestadores de serviços e organizações da sociedade civil procuram regularmente
para explicar ou ajustar as expectativas de privacidade por meio de educação e defesa.
Um aspecto adicional da privacidade está relacionado aos limites impostos ao grau de intrusão permitida
sion. Em casos de estado- interceptação legal garantida, por exemplo, os mandados podem ser restritos
desenhado para limitar a interceptação a lugares nomeados, equipamentos específicos, pessoas especificadas, ou spec-
catei categorias de pessoas.
As leis de privacidade costumam tratar os metadados de maneira diferente dos dados de conteúdo, geralmente com base no
ory que as pessoas têm uma expectativa menor de privacidade nos metadados [8] 6 Esta distinção é
cada vez mais criticado, e os legisladores e tribunais estão sob pressão para reconsiderar o
natureza dos metadados fornecidos:
• a qualidade privada de algumas informações divulgadas por metadados modernos, como URLs, 6
• o incrível crescimento no volume e tipos de metadados disponíveis na era do ubiq-

comunicações de dados móveis pessoais uitous; 6 e
• o volume crescente de informações privadas que podem ser inferidas de meta-

dados usando técnicas modernas de análise e visualização de tráfego. 66
www.cybok.org
.. Interceptação por um estado

A intromissão do Estado em comunicação electrónico para fins de aplicação da lei ou estado se-
A segurança é freqüentemente tratada sob regimes jurídicos especializados que são altamente heterogêneos. Há
amplo acordo em direito internacional público datado de meados do século XIX que cada
estado tem o direito de interceptar ou interromper comunicações eletrônicas em circunstâncias apropriadas
posturas [ ] Esses princípios continuam a se aplicar ao ciberespaço [ , 6]
À medida que as comunicações eletrônicas (especialmente telefones) se tornaram comuns e interceptadas,

métodos de cação tornaram-se mais econômicos nos anos 6 e s, surgiu uma tendência para mudar
interceptar o estado da atividade de comunicação fora da prática informal ou habitual
em uma base mais claramente regulamentada [ , 6] Embora os processos de governança legal e
padrões adotados para autorizar a interceptação do estado evoluíram significativamente, estes pro-
processos e padrões diferem significativamente de estado para estado. Algum estados requerem um ex anterior
aminação de cada pedido de interceptação estatal por um oficial judicial independente; algum del-
egate esta autoridade de tomada de decisão amplamente com supervisão limitada; e outros adotam mecanismos
anismos que caem em qualquer lugar entre esses extremos.
Embora ainda não pareça haver qualquer harmonização internacional óbvia de

padrões e procedimentos legais relativos à interceptação legal, há exemplos de recomendação
prática corrigida para o estados que desejam colocar seus procedimentos legais em um sistema robusto e pré-
fundação ditável [ 6 ]
Por outro lado, alguns padrões técnicos para facilitar o acesso legal (como o ETSI LI se-
ries) desenvolveram-se com sucesso numa base multilateral [ 6 , 6] Esses padrões técnicos
dardos possibilitam que desenvolvedores de produtos e serviços projetem tecnologias de acesso legal
obedece a um padrão multinacional comum, enquanto deixa a tomada de decisões substantivas sobre
a sua utilização nas mãos das autoridades nacionais. 6
Os profissionais que trabalham em um ambiente policial ou de segurança do estado devem se familiarizar com
as regras que se aplicam à sua atividade de interceptação. Algumas organizações estaduais empregam grandes
equipes de advogados dedicados exclusivamente a avaliar a legalidade de várias atividades de coleta de informações
e atividades de investigação.
Aqueles que trabalham para provedores de serviços de comunicação também devem se familiarizar com o dever
gações impostas a eles pelas leis aplicáveis para auxiliar na atividade de interceptação do estado . Isso pode
ser especialmente desafiador para provedores de serviços de comunicação multinacionais, pois eles não são
mal sujeito à jurisdição prescritiva de cada estado onde o seu serviço é prestado. 68
Os provedores de serviços muitas vezes localizam a responsabilidade pela conformidade com a interceptação legal por meio de
autoridades nacionais em cada estado onde prestam serviços.
Os regulamentos estaduais relativos à interceptação legal tendem a impor uma combinação de obrigações
sobre os provedores de serviços de comunicações públicas, tais como:
• aquisição e manutenção de instalações projetadas para facilitar a interceptação legal dentro do

domínio do provedor de serviços (esta obrigação pode ser imposta no âmbito das telecomunicações
regulamentação como condição para o licenciamento de telecomunicações, principalmente para aquelas que
operar infraestrutura física no estado, como operadoras PSTN );
• fornecer assistência técnica em resposta a solicitações legais de interceptação; e
• manter o sigilo do conteúdo dos pedidos de interceptação lícitos, especialmente o

identidade dos alvos de investigação.
www.cybok.org
Algum estados impor obrigações legais adicionais para manter o sigilo sobre a existência, na-
tura, ou frequência, de solicitações de interceptação legais, o local ou operação de interceptação
instalações, etc. Prestadores de serviços de comunicação que desejam relatar publicamente sobre a natureza
e a frequência das solicitações de interceptação de estado (também conhecidas como relatórios de transparência) deve ter o cuidado de
conduzir este relatório em conformidade com a legislação aplicável. 6
Como as tecnologias criptográficas fáceis de usar se tornaram onipresentes, e grandes volumes de

tráfego de mensagens são transmitidos como texto cifrado, estados conduzindo uma atividade de acesso legal face
dificuldade crescente de obter acesso a mensagens de texto simples [ 6 ] Estados tentaram
recuperar texto simples usando uma variedade de mecanismos legais criativos, incluindo garantias para o
busca física e apreensão de dispositivos de ponto final e solicitações de assistência técnica de
fabricantes de dispositivos ou analistas terceirizados. Esses procedimentos são de eficácia variável
e continua sujeito a muito debate [ 6 ] Esforços para obrigar um usuário final a descriptografar o texto cifrado
ou a divulgação de senhas ou chaves relevantes também enfrentam uma variedade de desafios legais [ 6 , 66]
Algum estados adotaram leis que tratam especificamente da divulgação forçada de texto simples
ou chaves que permitem a decifração.
O surgimento de provedores de serviços de comunicação virtual (ou seja, aqueles que fornecem serviços de comunicação
serviços de comunicação via infraestrutura de terceiros - ou provedores de serviços 'over the top') criaram
desafios enfrentados para ambos os estadosse prestadores de serviços. Esses provedores de serviço permanecem sub-
jeto à jurisdição do estados em que seu serviço é fornecido, como estados mostram um claro
interesse soberano em serviços prestados a pessoas em seu território. Estados têm, como-
sempre, adotou abordagens diferentes ao escolher como e quando exercer jurisdição sobre
esses provedores. Ações de fiscalização por estados contra tais pessoas incluíram pedidos
para facilitar eminterceptação legal de território correndo o risco de uma variedade de sanções, incluindo:
impedindo o provedor de serviços de estabelecer relações comerciais com residentes no estado,
ou pedido de estado de terceiros- prestadores de serviços residentes para bloquear ou filtrar tais serviços no
Camada PSTN ou IP, tornando-o inacessível para (muitos ou a maioria) dos residentes no estado. Alterar
nas práticas de aplicação são prováveis à medida que este assunto continua a se desenvolver.
.. Interceptação por pessoas que não sejam estados

As leis relativas à atividade de interceptação por atores não estatais também são altamente heterogêneas.
Pessoas que fornecem serviços públicos de telecomunicações são frequentemente especificamente restritas
de interceptar comunicações que trafegam em suas próprias redes de serviço público [ , 6]
Isso pode ser enquadrado legalmente como uma restrição imposta apenas aos fornecedores desses serviços públicos
vícios, ou uma restrição mais geral que limita a capacidade de qualquer pessoa de interceptar comunicações
em redes públicas.
Em muitos casos, os esforços para interceptar comunicações durante o trânsito em uma rede de terceiros
também constituem um crime sob as leis anti-intrusão de computador. Esta foi uma motivação significativa
fator na adoção dessas leis (ver Seção .)
A interceptação de comunicações por uma pessoa durante o curso da transmissão em seu

própria rede não pública, como interceptação em um roteador, ponte ou servidor IMAP operado por
essa pessoa em sua própria LAN para outros fins que não o fornecimento de comunicações públicas
serviço, apresenta outros desafios à análise. Este tipo de atividade de interceptação não
normalmente esperam entrar em conflito com a legislação tradicional de crimes de informática, como a pessoa relevante
normalmente está autorizado a acessar o computador relevante (consulte a Seção .) Pode, como-
sempre, ser regulamentado geralmente dentro do mesmo quadro jurídico usado para reger a interceptação
de comunicações, embora a interceptação por um proprietário / controlador em seu próprio sistema seja of-

www.cybok.org
dez tratados de forma mais liberal [ 6 ] Finalmente, a atividade de interceptação interna também pode ser limitada por
os termos dos estatutos gerais de privacidade ou leis de proteção de dados (consulte a Seção .)
.. Aplicação das leis de privacidade - penalidades por violação

Fazer cumprir o direito legal de privacidade traz uma série de desafios. De uma evidência por-
spective, uma pessoa cujos direitos de privacidade foram violados pode nunca saber que uma violação
ocorreu. Algumas regras legais servem, entre outras coisas, para corrigir esse desequilíbrio de conhecimento.
ance. Isso inclui requisitos de notificação de violação que revelam divulgações inadequadas
de dados pessoais para a pessoa afetada (ver Seção ..), regras de procedimento criminal que re-
exigir a divulgação de provas do Ministério Público ao acusado que, por sua vez, revela intrusivas
técnicas de investigação e regras de processo civil que exigem divulgações semelhantes na área civil
ação legals (por exemplo, disputas trabalhistas).
Recursos disponíveis para pessoas cujos direitos de privacidade foram violados podem incluir a habilidade
a capacidade de intentar uma ação ilícita contra o infrator, reivindicando uma compensação monetária (ver Seção
. .) Essas medidas judiciais individuais são uma característica regular das leis de proteção de dados, bem como
várias leis de privacidade dos EUA. Os tribunais criminais dos EUA também empregam uma regra de exclusão que proíbe
a introdução de evidências coletadas em violação dos direitos constitucionais de privacidade dos EUA de
o acusado [ 68]
Finalmente, algumas violações de privacidade - especialmente interceptação injustificada de comunicações

durante o curso da transmissão em uma rede pública ou invasões não autorizadas de dados
em repouso - são de nidos como e podem ser processados como crimes [ 6 ]
. PROTEÇÃO DE DADOS
[ , 8, , ]
Lei de proteção de dados desenvolvida com base na lei geral de privacidade. Esta generalização
pode ser um pouco enganador, no entanto, como a lei de proteção de dados evoluiu para abordar uma série de
questões relacionadas que surgem de técnicas modernas de processamento de dados que podem não ser tradicionalmente
foram de nidos como 'privacidade'.
A proteção de dados é de grande interesse para os profissionais de segurança cibernética, pois inclui vários
nossas obrigações relacionadas à segurança de dados. Esta seção se concentrará principalmente em problemas recorrentes
em um contexto relacionado à segurança. A lei de proteção de dados não é, no entanto, um sistema generalizado de registro
ulações que abordam todos os aspectos da segurança cibernética. O foco permanece em princípios específicos
adoptada para apoiar os direitos individuais num contexto de processamento de dados.
A lei de proteção de dados desenvolveu-se principalmente a partir de iniciativas legislativas europeias. europeu
O direito sindical tem tido uma influência tremenda em todo o mundo por meio de vários mecanismos,
incluindo estadoestá buscando 'determinações de adequação' da União Europeia, que permitem
exportações de dados pessoais e requisitos de contrato de direito privado impostos a res-
identificadores de processadores de]dados
Este impacto
[ internacional continua a crescer à medida que a UE agora ex-
reclama de forma premente jurisdição prescritiva sobre a atividade de processamento de dados pessoais em qualquer lugar em
o mundo que se relaciona com os titulares dos dados presentes na UE (ver discussão na Seção ...)
As leis fundamentais que definem as obrigações de proteção de dados na UE são o Regulamento 6/6
- GDPR (regulamento em toda a UE aplicável à maioria das pessoas) e Diretiva 6/68 (obrigações
a ser imposto pelo estado membros no direito interno, no contexto de investigação ou ação penal
ção do crime pelo estado) [ , ] Esta seção trata principalmente das obrigações impostas
www.cybok.org
por GDPR. Profissionais envolvidos por um estado em conduta relacionada à investigação ou processo
do crime deve estar ciente das obrigações modificadas que se aplicam a essa atividade descrita por
Diretiva 6/68 conforme transposta para a legislação do Estado- Membro [ , ]
.. Assunto e foco regulatório

O objetivo primordial da legislação de proteção de dados da UE é proteger os interesses dos titulares dos dados
(GDPR no artigo; Considerando,,,, 8, et al.). 6 A lei de proteção de dados faz isso por meio de registro
ulating atos de controladores e processadores quando processamento de dados que incorpora pessoal
dados . Qualquer atividade de processamento ativa a aplicação da lei de proteção de dados. Cada um de
esses termos são considerados nesta seção.
. . . Titular dos dados, dados pessoais (e PII)
Na lei de proteção de dados, os termos 'dados pessoais' e 'titular dos dados' são definidos simultaneamente:
dados pessoais significa qualquer informação relativa a uma pessoa natural identificada ou identificável
filho ('titular dos dados'); uma pessoa natural identificável é aquela que pode ser identificada, diretamente ou
indiretamente, em particular por referência a um identificador, como um nome, um número de identificação
ber, dados de localização, um identificador online ou um ou mais fatores específicos para o físico,
identidade fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural
(GDPR, Arte ( ))
Só pessoa naturals, não pessoa jurídicas, são titulares dos dados. O GDPR não se aplica a pessoal
dados de pessoa natural falecidas, embora estado membros podem adotar individualmente tais
se eles desejarem (GDPR no considerando).
Como a definição de titular dos dados se estende a pessoas que são identi cadas ou identificáveis ,
dados podem incorporar dados pessoais, mesmo quando os dados não incluem nenhuma identificação de informação óbvia
identificação de um titular de dados. É suficiente que um titular dos dados seja capaz de ser identificado, por
qualquer pessoa, por meio da análise dos dados ou da aplicação de informações adicionais conhecidas por qualquer pessoa
filho - mesmo que esta informação adicional seja desconhecida e inacessível para a pessoa que controla
ou processamento de dados. Dados pseudonimizados permanecem dados pessoais (GDPR no considerando 6).
O Tribunal de Justiça da União Europeia considerou que um registo de servidor com o número de endereço IP
bers incorpora dados pessoais, uma vez que continua a ser possível para terceiros (telecomunicações
prestadores de serviços) para combinar números de IP estáticos ou dinâmicos às instalações individuais do cliente
e de lá para uma pessoa viva. Isso fez com que algumas entradas de log do servidor 'estivessem relacionadas a' um sub-arquivo de dados
ject [ 6] O fato de o titular dos logs do servidor não ter acesso ao número IP
os dados de alocação ou identificação do cliente eram irrelevantes.
Como a desanonimização e técnicas de análise semelhantes aumentam a capacidade de identificar pessoas vivas
pessoas a partir de dados sem identificadores pessoais óbvios, torna-se cada vez mais difícil
para manter conjuntos de dados que são realmente desprovidos de dados pessoais [ , 8]
O termo 'dados pessoais' é frequentemente confundido na prática com 'informações de identificação pessoal'
(PII) Essa confusão surge devido à onipresença do termo ' PII'na segurança cibernética também
como variação significativa em sua definição.
As definições e discussões detalhadas sobre PII são encontradas na Seção. da ISO / IEC:,
e Seção. de NIST SP-8 - [ , 8] Embora seja discutível se o ISO e
www.cybok.org
As definições NIST de PII são contíguas à definição legal de dados pessoais, ambas as tecnologias
os padrões técnicos concluem claramente que os dados que não contêm identificadores pessoais óbvios podem
no entanto, constituem PII.
Para complicar ainda mais as coisas, a frase 'informações pessoalmente identificáveis' é usada em um va-
riedade dos estatutos e regulamentos federais dos EUA, seja sem definição estatutária ou com definição
nições especificamente dirigidas a casos de uso individuais [ 8 ] 8 Neste contexto específico, alguns
Os tribunais dos EUA interpretaram esta frase de forma restrita para incluir apenas identificadores pessoais óbvios.
Assim, alguns tribunais dos EUA sustentaram que dados como códigos MAC e números IP não caem
dentro do significado de 'informações de identificação pessoal', conforme essa frase é usada em alguns Estados Unidos
estatutos [ 8 , 8 , 8] Conforme explicado acima, esses mesmos identificadores muitas vezes constituem 'per-
dados pessoais », tal como o termo é definido no direito europeu.
Independentemente de como se define PII, A lei europeia de proteção de dados contém uma clara e ampla
definição de 'dados pessoais'. É esta definição de dados pessoais, não PII, isso desencadeia o
aplicação da legislação europeia em matéria de protecção de dados. 8
. . . Em processamento
Na lei de proteção de dados, o processamento de prazos é definido como:
qualquer operação ou conjunto de operações realizadas em dados pessoais ou em conjuntos de

dados pessoais, sejam ou não por meios automatizados, tais como coleta, registro, organização
ção, estruturação, armazenamento, adaptação ou alteração, recuperação, consulta, uso, divulgação
por transmissão, disseminação ou disponibilização, alinhamento ou combinação,
restrição, apagamento ou destruição (GDPR, Arte ( ))
O processamento, portanto, incorpora quase qualquer ação que se possa imaginar em relação a
dados pessoais.
. . . Controlador e processador
Na lei de proteção de dados, o termo controlador é definido como:
a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto
com outros, determina as finalidades e meios de tratamento de dados pessoais;
onde as finalidades e meios de tal processamento são determinados pela União ou Mem-
lei estadual, o controlador ou os critérios específicos para sua nomeação podem ser fornecidos para
pela legislação da União ou dos Estados-Membros (GDPR, Arte ( ))
Na lei de proteção de dados, o processador de termos é definido como:
uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa pessoal
dados em nome do controlador (GDPR, Art (8))
Essas definições deixam clara a relação entre o controlador e o processador. Um controlador

decide; um processador é executado. Na história da lei de proteção de dados, muitos formuladores de políticas
originalmente acreditava que a maneira mais eficaz de proteger os direitos individuais era enfocar a regulamentação
ção sobre pessoas que operaram e mantiveram equipamentos de informática - processadores. O foco
estava na máquina. À medida que a revolução do PC mudou nossa relação social com os computadores,
www.cybok.org
no entanto, os formuladores de políticas começaram a perceber que o foco deve ser voltado para as pessoas em um
posição para comandar e controlar como as máquinas eram usadas - controladores.
Entre essas duas pessoas, a Diretiva / 6 tendia a representar o maior ônus regulamentar
den em controladores. Os processadores foram informados de que sua obrigação consistia principalmente em seguir
seguintes instruções fornecidas pelos controladores. Existem muitos motivos válidos para colocar o primário
responsabilidade de conformidade em controladores de dados, especialmente porque eles são mais frequentemente capazes
para comunicar e gerenciar relacionamentos com os titulares de dados relevantes.
Esta distinção regulatória começou a quebrar conforme os serviços em nuvem se tornaram onipresentes -
especialmente SaaS. Um provedor de SaaS típico pode gastar uma enorme quantidade de tempo e esforço
projetar seu sistema e interfaces de usuário e, em seguida, apresentar as características operacionais
desse sistema para os clientes-controladores em um acordo de nível de serviço em um 'pegar ou largar'
base. Por uma questão técnica, o provedor de SaaS pode estar interessado em demonstrar que eles são
agindo apenas na capacidade de um processador e que seus clientes estão agindo como controladores -
transferindo o fardo de avaliar a conformidade para controladores individuais. Nas revisões de dados
lei de proteção incorporada no GDPR, os formuladores de políticas responderam geralmente aumentando o
responsabilidade regulatória dos processadores. A responsabilidade pela conformidade no GDPR agora é mais
igualmente compartilhado por controladores e processadores, embora suas responsabilidades dependam de seus
respectiva área de competência.
.. Princípios regulatórios fundamentais

A lei de proteção de dados é construída sobre uma base de princípios regulatórios que regem o processamento de
dados pessoais descritos no Artigo GDPR , sendo:
• legalidade, justiça e transparência;
• limitação de propósito;
• minimização de dados;
• precisão;
• limitação de armazenamento;
• integridade e confidencialidade.
Esses princípios básicos são bem ensaiados e há muitos comentários publicados e

diretrizes disponíveis em formulários acessíveis aos profissionais para auxiliar na compreensão [ , ,8,
86]
Os praticantes devem estar especialmente alertas para a presença de certos tipos de pessoas sensíveis
dados em qualquer sistema com o qual estejam envolvidos. Esses dados incluem, 'revelação de dados pessoais-
ter origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou sindicatos
adesão, e o processamento de dados genéticos, dados biométricos com o propósito de unicamente
identificando uma pessoa natural, dados relativos à saúde ou dados relativos a uma pessoa físicade
vida sexual ou orientação sexual '(GDPR, Arte ). Dados pessoais confidenciais acionam uma série de
proteções tradicionais e níveis geralmente aumentados de escrutínio regulatório, como o uso impróprio de
esses dados freqüentemente apresentam um risco desproporcional aos interesses do titular dos dados.
O tópico do 'consentimento' na lei de proteção de dados merece um breve comentário, pois continua a ser um assunto
de alguma confusão. Como uma questão de limite, o consentimento do titular dos dados nem sempre é necessário quando
processamento de dados pessoais. Pode haver vários motivos legais para o processamento de pessoal
outros dados além do consentimento, dependendo do contexto. Se o consentimento do titular dos dados for necessário, no entanto,
www.cybok.org
a lei de proteção de dados estabelece um nível muito alto de que isso deve ser 'dado livremente, específico, informado e
indicação inequívoca dos desejos do titular dos dados pelos quais ele ou ela, por uma declaração ou
por uma ação afirmativa clara, assina acordo para o tratamento de dados pessoais relativos
para ele ou ela '(GDPR, Arte ( )). Uma série de condições que se aplicam ao consentimento são estabelecidas em
GDPR, Art (e Art 8 relativo ao consentimento das crianças). 8
.. Investigação e prevenção de crimes e atividades semelhantes

Os profissionais contratados por um estado se beneficiam de certas reduções nas obrigações de proteção de dados
ao processar dados pessoais relacionados com investigação criminal e ação penal. Esses
obrigações reduzidas são descritas em geral na Diretiva 6/68 e, em seguida, transpostas para
lei do estado membro .
Profissionais que realizam atividades com objetivos semelhantes, mas não estão engajados por um estado, permanecer
sujeito ao GDPR. Nesse contexto, no entanto, o GDPR deixa claro que finalidades como fraude
a prevenção constitui um interesse legítimo dos controladores de dados (GDPR no considerando). GDPR
também fornece estado membros com a opção de adotar em suas leis nacionais dados reduzidos
obrigações de proteção para atores não estatais ao realizar atividades destinadas a prevenir,
investigar, detectar ou processar crimes, etc. (GDPR, Arte ; [ 8] em s. & Sched).
.. Medidas de segurança apropriadas

A lei de proteção de dados impõe uma obrigação aos controladores e processadores de 'implementar um aplicativo
medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado para
o risco 'associado ao processamento de dados pessoais (GDPR, Arte ( )). Este princípio de segurança
é uma característica de longa data da lei de proteção de dados.
A obrigação abrange claramente as medidas técnicas, bem como a gestão humana

monitoramento e supervisão (ou seja, 'medidas organizacionais'). Conformidade requer que ambos compo
nents são apropriados. A conformidade requer uma consideração do estado da arte e um
avaliação dos custos das várias medidas em comparação com os riscos apresentados. Avaliando
esta obrigação de tomar medidas de segurança adequadas pode, portanto, ser auxiliada por analogia
com a lei de negligência, que apresenta várias estruturas usadas para avaliar 'razoável'
cuidado (consulte a discussão na Seção ...)
O GDPR expandiu significativamente a discussão sobre medidas de segurança para fornecer exemplos
de medidas que podem ajudar na criação de segurança adequada. Isso inclui muitas práticas anteriores
serviços que se desenvolveram organicamente, como pseudonimização e criptografia de dados pessoais,
garantindo confidencialidade contínua, integridade, disponibilidade e resiliência dos sistemas, e robusto
planos de recuperação de incidentes. Para ser claro, o GDPR não exige expressamente a criptografia de todos os
dados sonais. Ele simplesmente destaca a criptografia como uma medida técnica que pode ser adotada para
aumentar a segurança. Conforme os métodos de criptografia ou outras tecnologias de segurança se tornam padrão-
e os custos caem, no entanto, torna-se cada vez mais difícil justificar por que tais tecnologias
não são adotados.
Os métodos organizacionais usados para proteger a segurança dos dados pessoais podem incluir contrato
obrigações com os parceiros da cadeia de abastecimento e outros. (Veja também as discussões nas Seções
. .6. e .6.)
Embora a certificação de segurança ou a conformidade com códigos de práticas de segurança possam ajudar a
provar a adequação das medidas de segurança, essas certi cações não são dispositivos de
conformidade com a lei (GDPR, Arte ( )).

www.cybok.org
.. Avaliação e design de sistemas de processamento

Às vezes, a maneira mais eficaz de evitar violações da lei de proteção de dados é projetar
um sistema que minimiza a capacidade das pessoas de tomarem ações inadequadas. GDPR, portanto,
adotou a obrigação de implementar estratégias de proteção de dados desde a concepção e por padrão.
Tal como acontece com o princípio geral de segurança, esta obrigação se estende tanto a tecnologia quanto a
medidas de ganização e é avaliada com base no equilíbrio de risco. Esta obrigação surge no
fase de planejamento, antes do início do processamento, pois os controladores são obrigados a considerar esta
questão 'no momento de determinar os meios de processamento' (GDPR, Arte ).
Se uma nova atividade de processamento de dados pessoais apresentar risco significativo de danos aos titulares dos dados,
especialmente no contexto de desenvolvimento ou migração para sistemas que processam grandes volumes
de dados, o controlador é obrigado a realizar uma avaliação do impacto da proteção de dados (GDPR ,
Art, Recital, et al.). Se a avaliação revelar riscos signi cativos, o controlador é mais
obrigada a consultar a autoridade supervisora relevante sobre o processamento proposto
atividade (GDPR, Art 6).
. .6 Transferência internacional de dados

A lei europeia de proteção de dados impõe uma proibição geral sobre a transferência de dados pessoais
a qualquer estado fora do Espaço Econômico Europeu ou a qualquer órgão governamental internacional
isação (GDPR, Arte ). Essas transferências permanecem comuns, no entanto, quando ativadas por um
mecanismo de conformidade de exportação apropriado.
. .6. Determinações de adequação e Privacy Shield
As transferências de dados pessoais podem ser feitas para territórios de acordo com uma decisão de adequação
sion: uma constatação pela Comissão Europeia de que o território receptor (ou IGO) estabeleceu
lidos proteções legais adequadas em relação aos dados pessoais (GDPR, Arte ). O processo de
a obtenção de uma decisão de adequação é instigada a pedido do estado receptor proposto
e muitas vezes requer anos de avaliação técnica e negociação diplomática [ ]
As determinações de adequação se enquadram em duas categorias: decisões que as leis de um território receptor
são geralmente adequados para proteger os dados pessoais e as decisões que um território receptor
as leis são adequadas desde que sejam atendidas condições especiais. Decisões relativas ao Canadá
e os Estados Unidos se enquadram na segunda categoria. No caso do Canadá, adequação
só é garantido com relação a transferências para o setor comercial com fins lucrativos, conforme o respectivo
As leis canadenses não se aplicam ao processamento por governos ou instituições de caridade.
A determinação de adequação dos EUA tem uma história difícil. Os EUA não têm nada como a geração da UE
proteções legais generalizadas relativas ao processamento de dados pessoais. Para permitir transferências de dados,
os EUA e a UE negociaram acordos específicos para apoiar um achado de adequação. Esta
acordo permite que a maioria das empresas dos EUA, se desejarem, optem por um sistema regulatório que pro
vides adequação. Este sistema de regulação é então executada por agências dos EUA estado contra
optaram por empresas dos EUA. O sistema original, Safe Harbor, foi invalidado pelo sistema europeu
Tribunal de Justiça em outubro no caso Schrems [ 88] Foi rapidamente substituído pelo
Regime EU-US Privacy Shield em 6, que opera de forma semelhante ao Safe Harbor com
proteções aprimoradas para titulares de dados.

www.cybok.org
. .6. Transferências sujeitas a salvaguardas
As transferências também são permitidas quando as salvaguardas adequadas são colocadas em prática (GDPR, Art 6).
As salvaguardas mais comuns normalmente encontradas são regras corporativas vinculativas, e ap-
cláusulas comprovadas de proteção de dados em contratos entre exportadores e importadores.
Regras corporativas vinculativas são procedimentos de governança normalmente adotados por empresas multinacionais
em um esforço para demonstrar às autoridades de proteção de dados que cumprirão
princípios de proteção de dados (GDPR, Arte ). Para ser eficaz em conformidade com a transferência de dados, como
as regras devem ser aprovadas pelas autoridades públicas competentes. Isso pode levar anos para ser negociado. Enquanto
tais regras foram originalmente desenvolvidas como uma ferramenta para permitir o compartilhamento de dados pessoais entre os
membros de uma empresa multinacional controladora de dados que opera dentro e fora
o EEE, eles foram mais recentemente adotados por provedores de serviços em nuvem não residentes como um
ferramenta de conformidade para facilitar os negócios de clientes no EEE. Os praticantes podem ser chamados
encarregados de auxiliar na elaboração ou negociação de regras corporativas vinculantes, uma vez que têm um signi cativo
impacto nos serviços de TI, arquiteturas de segurança e procedimentos de governança.
As cláusulas contratuais aprovadas são simplesmente obrigações contratuais entre um importador e exportador de dados
portadores que servem para proteger os interesses dos titulares dos dados. Eles podem ser cláusulas padrão
aprovado para uso pela Comissão, ou cláusulas especiais submetidas às autoridades competentes
para aprovação prévia (GDPR, Artigo 6 () (c) - (d) e 6 () (a)). Embora a Comissão tenha aprovado
as cláusulas são padronizadas, para serem eficazes, as partes do contrato em questão são obrigadas a
incorporar uma quantidade significativa de detalhes operacionais sobre a natureza dos dados pessoais
a ser transferido, as finalidades do processamento de dados a ser realizado, etc.
. .6. Transferências de acordo com o tratado internacional de assistência jurídica mútua
As transferências de dados pessoais que são proibidas pelo GDPR podem ser feitas em circunstâncias
posturas, como pedidos de assistência por uma agência policial de um estado estrangeiro de acordo com o
termos de um tratado de assistência jurídica mútua (GDPR, Art 8). (Consulte também a Seção ..) Tal
as transferências são tratadas especificamente na Diretiva 6/68, GDPR, Arte - .
. .6. Derrogações que permitem transferências
Na ausência de qualquer outro mecanismo que permita uma transferência, as exportações do EEE ainda são
permitido em certas circunstâncias limitadas, como:
• o titular dos dados fornece consentimento expresso e conhecimento para a transferência;
• a transferência é necessária para a celebração de um contrato com o titular dos dados, ou um contrato
tratado com um terceiro adotado no interesse do titular dos dados;
• a transferência atende a um importante interesse público;
• a transferência está relacionada com a busca ou defesa de uma ação judicial; ou
• a transferência é necessária para proteger a vida ou o bem-estar do titular dos dados, que é físico
incapaz de consentir.
Essas derrogações (GDPR, Arte) devem ser interpretados de forma restrita, e o conceito europeu
O Conselho de Proteção de Dados emitiu orientações sobre a interpretação e aplicação destes
medidas [ 8 ]
www.cybok.org
.. Notificação de violação de dados pessoais

Começaram a surgir leis que obrigam a noti cação de violações de dados pessoais aos titulares dos dados 8
tanto na UE quanto nos EUA por volta da virada do século XXI [ , ] Em um padrão que
é curiosamente o reverso do desenvolvimento das leis de proteção de dados em geral, noti cação da UE
requisitos surgiram primeiro em áreas de assunto estreitamente definidas, enquanto os EUA afirmams (começando
com a Califórnia) impôs um dever mais geral de notificar as pessoas afetadas sobre os dados pessoais
violações. 8
O GDPR marcou o surgimento na Europa de um dever geral colocado sobre os processadores e

trollers de dados pessoais para fazer certas notificações após uma 'violação de dados pessoais',
que é definido como 'uma violação de segurança que leva à destruição acidental ou ilegal,
perda, alteração, divulgação não autorizada ou acesso a dados pessoais transmitidos, armazenados
ou processado de outra forma '(GDPR, Arte ( )). Assim, eventos tão diversos como dados pessoais ex l-
tração, a modificação não autorizada de dados pessoais e ransomware podem constituir
violações de dados pessoais.
Um processador é primeiro obrigado a notificar as circunstâncias de uma violação ao controlador relevante

'Sem demora injustificada'. O controlador é então obrigado a notificar o autor de supervisão relevante
violação da violação 'sem atrasos indevidos e, quando viável, o mais tardar horas após ter
tornar-se ciente disso '(GDPR, Arte ( )-( )). O conteúdo do edital está definido no Art ().
Há uma exceção limitada ao dever do controlador de notificar uma autoridade supervisora se o
violação 'é improvável que resulte em risco para os direitos e liberdades da pessoa físicas '. Se
ou não notificado à autoridade supervisora, o controlador é obrigado a documentar todos esses
os eventos de violação e esses registros estão sujeitos à revisão periódica pela autoridade supervisora.
Se tal violação for provável que resulte em um alto risco para os direitos e liberdades da pessoa físicas ',
então o controlador é obrigado a comunicar as circunstâncias da violação ao rel-
assuntos de dados evantes sem atrasos indevidos (GDPR, Arte ( )-( )). Comunicação com os dados
assuntos podem ser evitados se o controlador implementou métodos que limitam os danos que
pode ser causado por tal violação, como criptografar dados que foram então extraídos como ci-
phertext. Embora esse texto cifrado permaneça como dado pessoal para fins legais, o estado criptografado
dos dados reduz o dano potencial ao sujeito dos dados em algum grau (dependendo do
tipo de criptografia, etc.) Esta capacidade de evitar a comunicação com os titulares dos dados quando o dano é
improvável é um recurso útil do GDPR. Muitas leis de notificação do estado dos EUA originalmente exigiam não
identificação dos titulares dos dados, independentemente dos riscos relevantes apresentados pela violação. 8 Supervisão
autoridades retêm o direito de obrigar a comunicação aos titulares dos dados sobre a violação se
eles discordam da avaliação de risco do controlador.
Vários estados ao redor do mundo continuam a adotar leis de divulgação de violação obrigatória, cada
com suas próprias características únicas [ ]

www.cybok.org
. 0,8 Aplicação e penalidades

Violações flagrantes da lei de proteção de dados podem ser processadas como crimes contra o estado membro
lei domestica. Ações relevantes podem ser processadas simultaneamente como crimes contra informações
sistemas de informação (consulte a Seção .) [ ]
As leis de proteção de dados também permitem que os titulares dos dados apresentem ações judiciais por violação de dados.
direitos de proteção. Essas reivindicações implicam o risco de responsabilidade indireta por atos ilícitos do funcionário,
especialmente se um grande grupo de titulares de dados puder apresentar uma reclamação como um grupo ou classe. (Ver
a discussão do caso Morrisons na Seção . . .)
As autoridades de aplicação da lei também têm poderes para enviar avisos de aplicação,
mudanças no comportamento de processamento para alcançar a conformidade com a lei (GDPR, Art 8.) Em
casos particularmente flagrantes, as autoridades públicas podem enviar um aviso proibindo grandes categorias
górias da atividade de processamento. A violação de tal aviso de execução é uma causa independente
para uma ação de fiscalização mais severa.
Talvez a maior mudança no risco legal apresentada pela legislação de proteção de dados da UE nos últimos anos
décadas tem sido o aumento constante e acelerado no tamanho das penalidades avaliadas por
autoridades públicas. (Adotando a terminologia da Seção .., isso aumentou dramaticamente
o termo Q ao longo do tempo.)
Historicamente, nes civis ou administrativos impostos por autoridades públicas por violação de dados
lei de proteção foram percebidos em algum estado membros como relativamente menores. A disparidade em
abordagem entre os estados membross à lei de proteção de dados foi um fator motivador para a adoção
da diretiva original, que tendeu a aumentar os direitos de proteção de dados na maioria
estado membros. Seguindo a Diretiva, nes cada vez maiores começaram a surgir à medida que
as autoridades estaduais começaram a aumentar a pressão de fiscalização. Na época em que o GDPR foi adotado
em 6, nes administrativos na região de €, não eram incomuns para signi cativos
violações da lei.
Uma das características mais discutidas do GDPR diz respeito à autoridade concedida para impor grandes
nes administrativos (GDPR, Art 8). Violações de alguns dos procedimentos mais operacionais ou operacionais
requisitos do GDPR, incluindo o requisito de adotar medidas de segurança adequadas,
pode incorrer em despesas administrativas de até €,, ou% do valor anual mundial de uma empresa
ampla rotatividade, o que for maior. Violações de princípios mais fundamentais do GDPR, tal
como desrespeito aos direitos dos titulares dos dados, processamento de dados pessoais sem
autoridade, ou a exportação de dados em violação da lei, pode incorrer em taxas administrativas de até
€,, ou% do faturamento anual mundial de uma empresa, o que for maior. Au-
as autoridades são instruídas a calcular nes em um nível para torná-los 'eficazes, proporcionais e
dissuasivo 'em circunstâncias individuais. O GDPR lista uma série de fatores atenuantes e agressivos
fatores variáveis a serem considerados ao definir esses nes que valem um estudo mais aprofundado (GDPR ,
Art 8 ()).
O surgimento no GDPR do potencial para 'oito figuras' e 'nove figuras', juntamente com
o aumento do escopo da jurisdição territorial, promoveu instantaneamente a lei de proteção de dados para o
categoria de risco significativo a ser avaliado e gerenciado em níveis de liderança sênior - a
posição que esta lei raramente ocupava antes dessas mudanças. Algumas pessoas que fornecem
serviços de informação online de fora da UE (que presumivelmente temem que seus negócios
modelos não são compatíveis com conformidade com o GDPR ) respondeu retirando-se do Euro-
mercado global usando mecanismos de filtragem geográfica (consulte a Seção ...) Outro offshore
prestadores de serviços abraçaram a mudança e trabalharam para cumprir as regras (presumir
que valorizam o contacto permanente com o mercado europeu).
www.cybok.org
Em julho, o Information Commissioner's Office do Reino Unido emitiu dois no-

notícias de sua intenção de emitir grandes nes sob o GDPR: uma proposta de GB £ 8. milhão
para a British Airways 8 e um ne proposto de GB £. milhões para Marriott International, Inc. 86
No momento da escrita, ambas as empresas expressaram a intenção de contestar os nes.
. CRIME VIRTUAL
[ , , ]
O termo 'cibercrime' é frequentemente usado para identificar três categorias diferentes de atividade criminosa:
crimes em que a infraestrutura do ciberespaço é apenas uma instrumentalidade de alguma outra tradição
crime internacional (por exemplo, fraude financeira), distribuição de conteúdo criminoso (por exemplo, pornografia e ódio
discurso) e crimes dirigidos contra a própria infraestrutura do ciberespaço (por exemplo, intrusão ilegal
em um sistema de computador).
Esta seção é dirigida exclusivamente à última categoria, crimes informáticos ou crimes contra
sistemas de informação. Estes tendem a ser motivo de preocupação, pois são do interesse de quem trabalha
para as autoridades de aplicação do estado , bem como aqueles que gerenciam o risco de segurança cibernética, pesquise
tecnologias de segurança cibernética e desenvolver produtos e serviços de segurança cibernética.
Embora alguns profissionais sejam contratados pelo estados na investigação e processo de

crimes em que o ciberespaço é uma instrumentalidade do crime, é difícil extrair generalizações
declarações confiáveis sobre os crimes que permanecem úteis em um contexto multinacional. Crimes
com base no conteúdo da mensagem são especialmente problemáticos, já que dependem amplamente de divergências
opinião de diferentes sociedades sobre o que constitui conteúdo "ilegítimo" digno de crime
acusação final. 8 (Uma área em que parece haver um consenso internacional crescente para
criminalizar o conteúdo da mensagem diz respeito a materiais de exploração infantil [ , , ] Mesmo com
este assunto, onde princípios normativos de alto nível podem ser rapidamente acordados, tentando
traduzir esses princípios em padrões legais amplamente aceitos continua sendo um desafio [ ].)
.. Crimes contra sistemas de informação

Nos 8 se s, muitos afirmams enfrentou o problema de que um conjunto emergente de anti-
os comportamentos sociais relacionados à infraestrutura do ciberespaço não foram claramente identificados como crimes. 88
O Parlamento do Reino Unido respondeu adotando a Lei de Uso Indevido de Computadores, que definiu um
série de infrações criminais relacionadas a computadores. Esta lei foi posteriormente alterada de
tempo ao tempo [ ]
Em 8, o Congresso dos EUA aprovou a Lei de Fraude e Abuso de Computador, que também foi
regularmente alterado [ 6, ] 8 Muitos estados dos EUA também adotaram seus próprios estatutos
para processar crimes de informática. A paisagem dos EUA é especialmente complexa, como uma variedade de
eral e agências de aplicação da lei estaduais têm jurisdição de assunto variável sobre
crimes de computador ][
Leis semelhantes foram adotadas por muitos, mas não todos, estadoss em todo o mundo. O Conselho
da Convenção da Europa sobre Crime Cibernético (também conhecida como Convenção de Budapeste) é um tratado multilateral
que teve um impacto significativo na harmonização das leis e regras de crimes de informática
assistência internacional do estado [ ] A Convenção foi aberta para assinatura em, e como
de julho foi ratificado por um estado membros do Conselho da Europa e não
Estado europeus incluindo Canadá, Japão e Estados Unidos [ 8]
www.cybok.org
Em, a União Europeia adotou a Diretiva /. Isso exige que o estado membros
modificar suas leis criminais para lidar com crimes informáticos comumente reconhecidos que o Di
Rectiva descreve como crimes 'contra os sistemas de informação' [ ]
Esta seção introdutória sobre crimes contra os sistemas de informação é influenciada pelo imposto
onomia adotada pela Convenção de Budapeste e posteriormente refletida na Diretiva /. Al-
embora esses dois instrumentos jurídicos internacionais sejam citados repetidamente, os profissionais devem
tenha em mente que eles são instrumentos de direito internacional público e crimes relevantes são
de nido por, e processado de acordo com a legislação nacional de cada estados.
. . . Acesso impróprio a um sistema
Leis impróprias de acesso ao sistema criminalizam o ato de acessar um sistema de computador (no todo
ou em parte) sem o direito de fazê-lo, conhecido coloquialmente como hacking. (Convenção de Budapeste
no art. ; Diretiva / art.) The Computer Misuse Act do Reino Unido em s. , por exemplo,
define como criminosa a ação de uma pessoa que faz com que um computador execute um ato com
a intenção de proteger o acesso não autorizado a qualquer programa ou dados [ ] Assim, o mero ato de
inserir uma senha em um sistema sem autorização em um esforço para acessar esse sistema
constitui um crime ao abrigo da lei do Reino Unido, quer o acesso seja ou não conseguido com sucesso.
Persiste algum debate sobre como distinguir ações legítimas de ilícitas nos casos
onde uma pessoa autorizada excede o escopo da permissão concedida a eles.
Os críticos argumentam que uma interpretação excessivamente ampla de termos legais como 'acesso não autorizado'
pode produzir processo criminal com base apenas na violação de uma política de uso aceitável ou web-
termos e condições do site. Isso pode servir para redefinir como crime o que de outra forma poderia ser
uma quebra civil de reivindicação de contrato [ ] A questão permanece aberta à discussão em algumas circunstâncias
posturas [ , , , ]
. . . Interferência imprópria com dados
A interferência inadequada do sistema com as leis de dados criminaliza o ato de exclusão inadequada,
danificar, deteriorar, alterar ou suprimir 'dados. (Convenção de Budapeste no Art.; Di
retetiva / no Art.) Estas leis podem ser usadas para processar ações como liberação ou
instalação de malware, incluindo ransomware.
. . . Interferência imprópria com sistemas
As primeiras leis de crimes de computador tendiam a se concentrar no ato de intrusão em um sistema de computador, ou
modificar indevidamente o conteúdo desses sistemas. Com o surgimento de DoS e DDoS
ataques, algumas dessas primeiras leis criminais foram consideradas inadequadas para lidar com este novo
comportamento ameaçador.
Essas leis agora incluem mais comumente uma proibição contra atos que causam um material
degradação do desempenho de um sistema de informação. (Convenção de Budapeste no Art.;
Diretiva / no art; Ato de uso indevido de computador em s. , conforme alterado em - 8.)
www.cybok.org
. . . Interceptação imprópria de comunicação
Muitas vezes, como corolário de vários direitos de privacidade, muitos sistemas jurídicos definem o ato de
interceptar totalmente as comunicações eletrônicas como um crime. (Convenção de Budapeste no Art.; Di
retetiva / no Art. 6.) As regras e penalidades tendem a ser mais restritivas no contexto
de interceptar comunicações durante o curso de sua transmissão em redes públicas.
Este assunto é discutido na Seção ..
. . . Produzindo ferramentas de hacking com intenções impróprias
Muitos estadoss também definem como crimes a produção ou distribuição de ferramentas com a intenção
que são usados para facilitar outros crimes contra os sistemas de informação. (Budapeste Conven-
ção no art. 6; Diretiva /, Art; Lei de Uso Indevido de Computador, s. A.) Essas leis podem
criar desafios para aqueles que produzem ou distribuem ferramentas de teste de segurança, conforme discutido em
Seção . ..
.. Exceções de minimis para crimes contra sistemas de informação

Algumas leis podem limitar a definição de crime informático a atos que sejam de alguma forma significativos.
Diretiva /, por exemplo, apenas obriga esse estado membroé criminalizar atos contra
sistemas 'que não são menores' (Art -). O conceito de um ato 'menor' contra um sistema é dis-
citado no considerando da diretiva, o que sugere que o estados podem definir isso por referência
à insigni cância relativa de qualquer risco criado ou dano causado pelo ato praticado [ ]
Este tipo de exceção de minimis à definição de crime informático está longe de ser universal.
Membro da UE estados permanecem livres para criminalizar tais atos de minimis . No momento em que este artigo foi escrito, o
A legislação do Reino Unido não contém essa exceção de minimis .
A própria ideia de uma exceção de minimis para crimes contra sistemas de informação levanta uma
impedindo o debate sobre a natureza do dano que esses tipos de leis procuram reparar. Não é
sempre claro como avaliar o dano ou risco relativo causado por qualquer ato dado contra
sistemas de formação. Para alguns atos criminosos, como intrusão remota em uma fábrica de produtos químicos
sistema de controle industrial o risco apresentado ou dano causado é evidente, pois o ataque é
concentrado contra um alvo único e volátil. Em outros, como controlar as ações de
um botnet multinacional que compreende dezenas de milhares de máquinas subornadas, o risco criado
ou os danos causados podem ser amplamente difundidos entre os bots e mais difíceis de quantificar.
.. A aplicação e as penas para crimes contra a informação

sistemas
Os estados normalmente têm absoluta discrição para decidir se investigam ou não o alegado
crimes. Tendo investigado, declares normalmente têm absoluta discrição quanto à decisão
para processar uma questão criminal. Algum estados estabeleceram orientações para explicar como este dis-
crição é exercida [ ]
As penalidades por cometer um crime contra os sistemas de informação variam amplamente. Em casos criminais
as penas privativas de liberdade são frequentemente delimitadas por lei por um máximo e, ocasionalmente, por um mínimo,
duração do mandato. Dentro desses limites impostos pela política, os juízes geralmente recebem um amplo grau de
discrição para decidir uma frase apropriada.
De acordo com a Lei de Uso Indevido de Computadores do Reino Unido, por exemplo, uma sentença de prisão para o crime de im-
o acesso adequado ao sistema é normalmente limitado a um máximo de dois anos, enquanto o crime de
www.cybok.org
interferir nos dados ou integridade do sistema é normalmente limitado a um máximo de cinco anos. Prós-
história de acusação e sentença sugere que sentenças reais emitidas sob a lei do Reino Unido
A ilação para esses crimes raramente, ou nunca, é tão grave. Em contraste, nos EUA, tanto federal quanto
as leis estaduais têm consistentemente previsto sentenças máximas de custódia mais longas de anos
ou mais para intrusão ilegal ou interferência ilegal nos dados. 6
A questão da punição adequada para crimes contra os sistemas de informação continua a ser o
objeto de revisão e debate. O surgimento da Internet das Coisas provavelmente aumenta
o risco que esses crimes podem representar para a vida e propriedade. Diretiva da UE /, para exame-
ple, requer que o estado membros prevêem a possibilidade de penas privativas de liberdade mais longas
quando os ataques são direcionados contra a infraestrutura nacional crítica ou quando eles realmente causam
danos significativos (Art (b) - (c)). O Reino Unido alterou sua Lei de Uso Indevido de Computadores em (s. ZA)
para aumentar a sentença de custódia máxima disponível se os criminosos forem provadosn ter cre-
risco signi cativo ou causou danos graves. Essa pessoa agora pode estar sujeita a
uma pena máxima de prisão de anos. Nos casos em que o ato criminoso causa (ou cre-
riscos signi cativos de) sérios danos ao bem-estar humano ou à segurança nacional, o máximo
A pena privativa de liberdade ao abrigo da lei do Reino Unido aumenta para prisão perpétua (v. ZA ()).
Continuam as discussões sobre as punições adequadas para crimes contra os sistemas de informação.
Este debate é complicado por dificuldades em compreender ou quantificar o grau de risco
ou o grau de dano causado por esses atos criminosos. (Veja a discussão na Seção ..)
.. Atividade de estado garantido

Quando ações relacionadas à investigação de crime ou em defesa da segurança do Estado são realizadas
com autorização do estado , como um mandado, a pessoa que usa a técnica garantida é muitas vezes
expressamente isento desse estadoresponsabilidade criminal da por intrusão em sistemas de informação
na medida em que a intrusão esteja em conformidade com a atividade expressamente justificada.
Um exemplo pode ser encontrado no Investigatory Powers Act 6 do Reino Unido, que afirma que
atividades conduzidas com autoridade legal nos termos dessa lei são 'legais para todas as outras
fins '[ 6 ] em ss.6 () - (), 8 (), (), 6 (), (8). Em outras palavras, ações em conformidade
ança com um mandado emitido de acordo com a 6 legislação não constituirá um crime contra
sistemas de informação sob a Lei de Uso Indevido de Computadores etc. 8
Atos patrocinados pelo Estado de investigação remota na infraestrutura do ciberespaço localizada em for-
estado estranhos são considerados na Seção . ..
.. Atividades de pesquisa e desenvolvimento conduzidas por empresas não estatais por

filhos
Aqueles que pesquisam questões de segurança cibernética e desenvolvem produtos e serviços de segurança
lado do domínio do estado- a atividade patrocinada pode enfrentar dificuldades se suas atividades planejadas
constituem crime contra os sistemas de informação. Exemplos que podem levar a dificuldades em
incluir:
• análise remota não convidada de métodos de segurança empregados em servidores de terceiros ou

infra-estruturas de certificados de curadoria;
• análise remota sem convite de equipamento WiFi de terceiros;
• análise não convidada de infraestrutura LAN de terceiros ;
www.cybok.org
• teste de estresse convidado de ambientes WAN ao vivo , na medida em que isso degrada por-
execução da infraestrutura operada por terceiros que desconhecem os testes
plano;
• analisar malware e testar métodos anti-malware;
• analisar os componentes e o desempenho do botnet;
• produzir ou distribuir ferramentas de teste de segurança; e
• várias técnicas secretas de coleta de informações.
Com relação às ferramentas de teste especificamente, a lei tende a criminalizar a produção ou distribuição
ação somente quando o estado puder provar a intenção de facilitar outras violações da lei. Esta
ato criminoso pode ter menos a ver com as características operacionais da ferramenta de teste do que
a intenção subjetiva da pessoa que o está produzindo ou distribuindo.
Em algum estados, os pesquisadores podem ser capazes de demonstrar a falta de responsabilidade criminal por
estes atos sob algum tipo de exceção de minimis , se houver uma disponível (veja a discussão
na seção . .)
Alguns podem descansar na crença de que pesquisadores 'legítimos' serão salvos de responsabilidade criminal
como resultado da discrição do estado de se abster de investigar ou processar criminoso de mimimis
atos, intervenção judicial ou do júri para que os acusados não sejam culpados, ou se forem considerados culpados, por meio de
a imposição de apenas uma punição simbólica. Esta situação é bastante insatisfatória para a prática
responsáveis que tentam avaliar a potencial responsabilidade criminal decorrente de um caso contrário cuidadosamente
esforço de pesquisa ou desenvolvimento gerenciado por risco.
Mesmo se os profissionais encontrarem exceções apropriadas nas leis relevantes sobre crimes contra
sistemas de informação, eles também devem ter o cuidado de considerar se suas ações iriam contra
stitute crimes sob outras leis, como privacidade generalizada ou leis de proteção de dados.
. .6 Autoajuda desfavorecida: bloqueios de software e hack-back

'Autoajuda' refere-se à prática de tentar fazer cumprir os direitos legais sem recorrer ao Estado
autoridade. Um exemplo citado rotineiramente é a retomada de propriedade móvel por um segurado
credor de um tomador em inadimplência no pagamento das obrigações. (Por exemplo, retomar a posse de um
automóvel.)
A política pública geralmente suspeita de mecanismos de autoajuda, pois envolvem ac-

tores que exercem poderes normalmente considerados de competência exclusiva do estado. Leis
que permitem tais ações, muitas vezes impõem várias condições que limitam o ator. No contexto
de segurança cibernética, os profissionais ocasionalmente projetaram ou adotaram métodos que podem
ser classificado como autoajuda.
Essas ações vêm com o risco de potencialmente violar a lei criminal. Pessoas perseguindo estes
as estratégias também devem estar cientes de possíveis responsabilidades ilícitas (consulte a Seção .)

www.cybok.org
. .6. Bloqueios de software não divulgados
Várias tecnologias servem para limitar o uso de software. Implementando um sistema que claramente
divulga a um usuário que a operação requer a entrada prévia de uma chave de ativação única é normalmente
não contencioso e é ativamente encorajado por certos aspectos da lei de direitos autorais (consulte a Seção
.8. .) Da mesma forma, os provedores de SaaS geralmente não enfrentam sanções ao suspender o acesso
a um cliente que encerra a relação de serviço ou deixa de pagar suas taxas de serviço.
Os problemas surgem quando um fornecedor (por qualquer motivo, incluindo o não pagamento da licença prometida
taxas de censura ou manutenção) instala um mecanismo de bloqueio em um produto de software após o fato
sem acordo do cliente. Também são problemáticos os casos em que o software é vendido como um produto
uct contém um dispositivo de bloqueio de tempo não revelado que mais tarde suspende a funcionalidade (no caso
de falta de pagamento ou de outra forma). Esses tipos de intervenções não divulgadas ou post-facto têm
uma história de ser processado como crime contra os sistemas de informação e de outra forma crítica
identificado como sendo contra a política pública, independentemente de o fornecedor em questão ter ou não um legítimo
direito de ação contra o usuário final pelo não pagamento das taxas de licença [ , ]
. .6. Hack-back
Hack-back é um termo usado para descrever alguma forma de contra-ataque lançado contra cy-
infra-estrutura berspace da qual um ataque parece ter se originado. Esta estratégia é
frequentemente considerado no contexto de um ataque que parece se originar de um estado estrangeiro ,
e a cooperação do Estado estrangeiro é considerada improvável ou extemporânea. Ações de hacker
pode consistir em um ataque DoS, esforços para invadir e desabilitar a infraestrutura de origem
tura, etc.
A atividade de hacker, por sua vez, se enquadra diretamente na definição de crimes contra a informação.
sistemas de cação [ ] Tal ação pode ser processada como um crime pelo estado onde o
pessoa que está realizando o hack-back está localizada, o estadoonde as máquinas costumavam conduzir
os hack-back estão localizados, ou o estado em que o alvo do hack-back está localizado. Além disso
ao risco de processo criminal, um hack-back (se suficientemente agressivo) poderia servir como o
base ao abrigo do direito internacional para o estado do alvo de hack-back para tomar contra-
medidas contra a pessoa que realiza o hack-back ou contra outra infraestrutura utilizada
para conduzir a operação de hack-back - mesmo que o hack-back em si não seja diretamente atribuível
para o estado hospedeiro (consulte a Seção .)
Muitos têm debatido a adoção de exceções na lei especificamente para permitir hack-back por não-estatais
atores [ , 6, , 8] Esses tipos de exceções propostas ainda não foram favorecidas
com os legisladores.
.6 CONTRATO
[ , 8]
O termo 'contrato' descreve uma relação jurídica (nocionalmente) volitiva entre dois ou mais
pessoas. Uma definição extremamente ampla de contrato é simplesmente 'uma promessa de que a lei
fazer cumprir '[ ]
Infelizmente, a palavra 'contrato' é frequentemente usada coloquialmente para descrever uma comunicação que
incorpora e expressa promessas contratuais (por exemplo, um pedaço de papel, e-mail ou fax). Esta
confusão deve ser evitada. Um contrato é uma relação jurídica, não um pedaço de papel. Em alguns

www.cybok.org
circunstâncias, a lei aplicável pode, excepcionalmente, impor a exigência de que algum contrato
obrigações devem ser incorporadas em uma forma específica (consulte a Seção .)
Esta seção discutirá alguns tópicos de contrato de interesse recorrente para a prática de segurança cibernética
cionadores.
.6. Contratos online: tempo de contrato e recebimento de com- contratual

comunicação
A definição de 'contrato' acima imediatamente levanta uma questão de acompanhamento: como alguém distingue
adivinhou uma promessa legalmente executável de outros tipos de comunicação? Embora diferente
sistemas jurídicos têm abordagens variadas para definir um contrato, os elementos exigidos por lei
podem ser classificados em duas categorias: suficiência de comunicação e indícios de aplicação
habilidade.
Por exemplo, sob a lei da Inglaterra, um contrato geralmente existe apenas quando as partes têm
comunicou uma oferta e uma aceitação (constituindo coletivamente a suficiência de comunicação
nicação), apoiado por consideração e uma intenção de criar relações jurídicas (coletivamente
constituindo indícios de executoriedade).
A suficiência da comunicação do contrato é um problema recorrente ao projetar e implementar

sistemas de transação online. Compreender o momento preciso em que um contrato entra em
existência, o chamado gatilho contratual, é importante na gestão de risco do projeto de
sistemas de transação de linha [ , 8] Antes da existência de um contrato, as partes em geral
permaneça livre para ir embora. Após o contrato, no entanto, as partes são legalmente obrigadas por promessas
feito.
Os designers de sistema devem considerar quatro momentos sucessivos na comunicação do contrato

processar:
. o momento em que Alice transmite sua oferta para Bob;
. a hora em que Bob recebe a oferta de Alice;
. o momento em que Bob transmite sua aceitação a Alice;
. o momento em que Alice recebe a aceitação de Bob.
A maioria dos sistemas de common law, por padrão, colocaria o tempo de formação do contrato para
transações de linha na última dessas quatro vezes - o momento em que Alice recebe Bob's
aceitação.
Os praticantes são encorajados a não limitar esses quatro momentos distintos no tempo, mesmo quando eles
parecem ser instantâneos. Os projetistas do sistema devem considerar o impacto de uma perda ou
transmissão interrompida e, consequentemente, o projeto técnico deve ser cuidadosamente mapeado em
processo de negócio relevante. 6
Uma questão perene no design de sistemas online diz respeito ao momento preciso em
pelo que pode ser dito que Alice ou Bob 'recebeu' uma comunicação. A União Europeia
tentou resolver isso no Artigo da Diretiva de Comércio Eletrônico [ ] Esta
exige a adoção de uma regra de que 'ordens' e 'confirmações' de ordens são geralmente
considerados recebidos no momento em que se tornam acessíveis à parte receptora
(por exemplo, quando a aceitação é recebida no log do servidor de comércio online de Alice ou no IMAP de Bob
le). 8 Essa regra pode ser alterada por acordo contratual nos sistemas de comércio do BB.

www.cybok.org
As diferenças na abordagem são dignas de investigação, dependendo do valor relativo de trans-

ações apoiadas e qual estado(s) a (s) lei (s) do contrato podem ser aplicáveis (consulte a Seção .6.)
.6. Estimular padrões de segurança por meio de contrato

Os contratos podem servir como um mecanismo para encorajar a implementação de padrões de segurança.
Isso pode surgir em uma ampla variedade de relações contratuais.
.6. . Cadeia de mantimentos
Uma técnica comum de contrato é incorporar termos em um acordo de aquisição que

tentativa de exigir alguma forma de conformidade por um parceiro da cadeia de abastecimento com
padrões de segurança: sejam padrões publicados, como ISO ou padrões sui generis
adotado pelas partes contratantes. Embora esses termos do contrato possam levar muitos
formas jurídicas (por exemplo, garantia, representação, compromisso, condição, mandato para produzir provas
dência de certificação de terceiros, direitos de acesso e auditoria, etc.), o princípio geral é que
estes termos do contrato tornaram-se um mecanismo comum que é usado na tentativa de
influenciar o comportamento de segurança dos parceiros da cadeia de suprimentos.
O valor dessas cláusulas na gestão do comportamento da cadeia de abastecimento, no entanto, vale a pena
exame. Considere o custo de risco ponderado para uma parte contratante de violação dos termos de
tal cláusula (introduzida na Seção .. como R). Em uma ação judicial por quebra de contrato, o
A parte executora normalmente permanece responsável por provar que a violação causou
danos, bem como a quantidade de danos financeiros sofridos pela parte executora como resultado de
a violação (consulte a Seção .6.) No caso de falha da parte infratora em cumprir com um
obrigação de manter uma certificação de segurança de terceiros, por exemplo, pode ser difícil ou
impossível para a parte executora provar que qualquer dano financeiro advém de tal violação
(reduzindo assim efetivamente o termo Q a zero).
Um valor às vezes esquecido dessas cláusulas contratuais surge bem antes do acordo
é feito. O processo de inserção e negociação dessas cláusulas pode funcionar como uma
técnica de diligência. Uma parte da negociação obtém informações sobre o vencimento e as operações
capacidade internacional do parceiro proposto da cadeia de suprimentos durante as negociações.
.6. . Sistemas fechados de negociação e pagamento
Muitas plataformas de pagamento ou negociação eletrônica de alto valor ou alto volume requer pessoas
para celebrar contratos de participação antes de usar a plataforma. Esses sistemas podem ser gen-
Geralmente referidos como sistemas 'fechados': eles constituem um clube que deve ser associado contratualmente
para permitir que os membros negociem uns com os outros. Esses contratos de associação normalmente adotam
regras abrangentes relativas às formas de comunicação, equipamentos conectados e o
timing para a nalidade das transações. Eles também normalmente especificam a adoção de certos
padrões de identidade, protocolos de autenticação, etc. O contrato de adesão é, portanto, um direito privado
mecanismo que é usado para impor certos padrões de segurança entre os membros. (Ver
também Seção . ..)
A violação dos termos do contrato de adesão pode colocar em risco o assunto do

acordo em si - a nalidade das negociações ou a capacidade de cobrar o pagamento. Por exemplo, um
comerciante que recebe o pagamento por meio de cartão de pagamento que não está em conformidade com a autenticação
procedimentos exigidos por seu contrato de adquirente comercial podem enfrentar uma perda de pagamento por um
transação, mesmo que tenha entregue mercadorias (caras) nas mãos de uma pessoa que

www.cybok.org
cometeu fraude com cartão. Diante de consequências nanceiras tão drásticas, a contratação
as partes podem trabalhar excepcionalmente arduamente para cumprir os padrões de autenticação obrigatórios.
Talvez o exemplo mais conhecido de um padrão difundido implementado usando con

trato é o PCI DSS adotado pela indústria de cartões de pagamento. Falha em cumprir com este padrão
coloca em risco a capacidade de uma parte de receber o pagamento. Embora haja algum debate sobre o grau
para o qual este padrão foi eficaz, é difícil negar que teve algum impacto sobre
elevando o padrão de práticas de segurança empregadas por muitos comerciantes ao manusear cartões
dados de transações - especialmente aqueles que anteriormente pareciam abordar o assunto com um
atitude arrogante.
.6. . Liberdade de contrato e suas limitações
Ao considerar o uso de um contrato como meio de regular o comportamento de segurança, deve-se

considere que a lei pode interferir ou de outra forma limitar a exeqüibilidade de alguns
Termos do contrato.
Ao considerar os padrões PCI DSS , por exemplo, o US Fair and Accurate Credit Transac-
ação de [ ] na seção ordena regras de truncamento específicas relativas ao pagamento
números de cartão exibidos em recibos impressos fornecidos no ponto de venda. Assim, os comerciantes
sujeito à lei dos EUA deve considerar estes requisitos de lei pública, bem como PCI DSS, e aqueles
que desejam modificar os padrões PCI DSS devem fazê-lo de uma maneira que simpatize com
os requisitos externos impostos a esses comerciantes pela legislação dos EUA. (Algum estados tomaram
a etapa adicional de adoção dos termos do PCI DSS em suas leis.)
No caso de serviços de transferência de fundos, o direito público também estabelece uma estrutura para equilibrar o
direitos e responsabilidades dos provedores e usuários de serviços de pagamento que incluem
erar a adequação dos mecanismos de autenticação. Exemplos podem ser encontrados em artigos e
() da Segunda Diretiva de Serviços de Pagamento da UE (PSD), conforme implementado nas leis de
estado membros [ ], e Artigo A § do Código Comercial Uniforme, conforme implementado
nas leis dos estados dos EUA [ ]
As limitações à liberdade das partes de se desviarem das normas de direito público em contrato são mais
discutido nas Seções .6. e .6..
.6. Garantias e sua exclusão

O termo 'garantia' descreve uma promessa contratual relativa à qualidade ou status legal
de entregas, a adequação das informações fornecidas por uma parte, o status de um signatário,
etc.
As leis contratuais de cada estados normalmente implicam certas garantias mínimas em

tratados sobre a qualidade dos bens e serviços fornecidos. Os tipos de guerra de qualidade
As garantias mais comumente impostas incluem:
• Qualidade objetiva dos bens. O vendedor do produto promete que as mercadorias entregues serão
ser objetivamente satisfatório para um comprador normal, dadas todas as circunstâncias do
transação.
• Qualidade subjetiva dos produtos. O vendedor do produto promete que as mercadorias entregues serão
ser suficiente para atender ao propósito subjetivo de um comprador individual, seja ou não
os produtos foram originalmente fabricados para o fim a que se destinam. Para esta garantia
para aplicar, o comprador é normalmente obrigado a divulgar o propósito específico do comprador

www.cybok.org
com antecedência para o fornecedor. Como resultado, este termo raramente é discutido no contexto de
dard sistemas de comércio online, que muitas vezes não permitem a comunicação não estruturada
entre o vendedor e o comprador em relação aos casos de uso pretendidos.
• Qualidade objetiva dos serviços. O prestador de serviços promete que exercerá os devidos cuidados
no processo de entrega do serviço.
Após consideração, uma distinção significativa emerge entre a qualidade dos bens e serviços
garantias de vícios. A conformidade com as garantias dos produtos é avaliada examinando os produtos
fornecido. Uma garantia de que os produtos serão objetivamente satisfatórios é violada se os produtos forem
pobre - sem levar em conta o cuidado tomado pelo fornecedor na fabricação, fornecimento ou inspeção
bens de consumo. Por outro lado, uma garantia de que um provedor de serviços tomará os devidos cuidados é avaliada por
examinar as ações, quali cações e metodologia do prestador de serviço. É possível para um
prestador de serviços para cumprir uma garantia de devido cuidado e ainda produzir um produto que é
comprovadamente pobre ou impreciso. (A base desta distinção entre produto e serviço
está se tornando cada vez mais difícil à medida que as pessoas confiam mais nos serviços em nuvem como um
substituto para produtos. (Consulte também a discussão na Seção ..)
Embora várias leis impliquem essas garantias padrão em contratos como uma coisa natural,
é comum - quase universal - para fornecedores de informações e comunicações
tecnologias e serviços para tentar excluir estes termos por acordo expresso. Esforços
para excluir essas proteções de garantia de linha de base são vistos com suspeita sob o contrato
leis de vários estadoss. Como uma proposição geral, é mais difícil e muitas vezes impossível
para excluir essas proteções de linha de base de contratos de formulário padrão com o consumidors. No
No contexto dos contratos do BB, no entanto, as regras que permitem essas exclusões tendem a ser mais liberais.
Os fornecedores de tecnologia da informação e comunicação normalmente excluem esses dados de referência

garantias oferecidas e substituí-las por garantias expressas estritamente elaboradas em relação ao
qualidade dos resultados. A utilidade relativa dessas garantias expressas fornecidas pelos fornecedores de ICT
dors é questionado com alguma regularidade, especialmente no que se refere a softwares
ware ou hardware. Permanece uma questão em aberto até que ponto esses padrões de garantia
encorajar ou desencorajar os comportamentos do desenvolvedor ao abordar os aspectos relacionados à segurança das TIC
produtos e serviços [ ]
.6. Limitações de responsabilidade e exclusões de responsabilidade

As partes dos contratos costumam usar o contrato para impor limitações e exclusões de responsabilidades
que decorrem da relação contratual. Uma exclusão de responsabilidade refere-se a um contrato
termo que visa evitar a responsabilidade nanceira por categorias inteiras de perdas nanceiras decorrentes
como resultado de violação de contrato, como perda consequencial, perda de lucro, perda de negócios
oportunidade, valor do tempo de gerenciamento desperdiçado, etc. Uma limitação de responsabilidade, por outro lado,
visa limitar o passivo nanceiro global por referência a um montante fixo ou fórmula nanceira.
A possibilidade de impor e fazer cumprir as limitações contratuais e exclusões de responsabilidade

cria um poderoso incentivo para os fornecedores redigirem e introduzirem termos expressos em seus contratos
relações tratuais com clientes. O contrato se torna uma ferramenta de redução de risco. Como resultado,
essas exclusões e limitações são onipresentes nos contratos de bens e serviços de TIC.
Tal como acontece com a exclusão dos termos de garantia implícitos, as limitações e exclusões de responsabilidade são
visto com suspeita na maioria dos sistemas de direito contratual. Mais uma vez, limitações e ex-
clusões de responsabilidade são mais fortemente desfavorecidas ao contratar com o consumidors. Regras
permitir essas exclusões e limitações tende a ser mais liberal nos arranjos do BB.

www.cybok.org
Existe uma grande variação entre as jurisdiçõess sobre a executoriedade de

essas limitações e exclusões. Como uma proposição geral, jurisdição de direito civildesfavor
essas limitações e exclusões mais do que jurisdição de direito comums. Requisitos de formulário
(consulte a Seção .) são comuns, e muitos mecanismos legais limitam a aplicabilidade de tais
termos.
Permanece uma questão em aberto até que ponto a exequibilidade relativa dessas
limitações e exclusões encorajam ou desencorajam os comportamentos do desenvolvedor ao abordar
aspectos relacionados à segurança de produtos e serviços de TIC [ ]
.6. Quebra de contrato e remédios

Ao considerar as obrigações impostas por contrato, também é importante considerar o
consequências jurídicas da violação de um contrato. (Consulte a seção ..) Uma 'violação' do contrato é
simplesmente uma falha em cumprir a promessa incorporada no contrato. As violações existem em um espectro de
gravidade. Uma violação individual de contrato pode ser considerada de minimis , moderadamente grave,
muito significativo, etc. A gravidade da violação pode e muitas vezes resulta em diferentes soluções
para a parte lesada.
Em caso de violação de contrato, vários recursos fornecidos pelos tribunais para não violação
as partes normalmente se enquadram nas seguintes categorias: 6
• Danos. Ordene que a parte infratora pague danos monetários ao não infrator
parte que são suficientes para restaurar a expectativa nanceira líquida de que a parte prejudicada
pode provar foi previsivelmente perdido como resultado da violação. Este é o rem mais comum
edy disponível. Uma parte não violadora muitas vezes é obrigada a tomar medidas para mitigar
danos e a falha em mitigar podem servir para reduzir uma sentença de indenização em conformidade.
• Recisão. Declarar que o contrato está encerrado e desculpar a parte não violadora
de desempenho posterior. Este é um remédio mais extremo, normalmente reservado para casos
em que a violação é muito grave. Alternativamente, os termos do contrato podem especificar
legislar para remediar a recisão em circunstâncias definidas.
• Desempenho específico. Ordene que a parte infratora cumpra sua promessa (não monetária).
Isso também é considerado um remédio extremo. Este remédio é frequentemente reservado para situações
quando a parte infratora pode tomar uma ação relativamente simples que é altamente significativa
para a parte não violadora (por exemplo, cumprir uma promessa de entregar uma fonte já escrita
código ou para executar uma cessão de propriedade de direitos autorais que subsistam em uma entrega
capaz).
• Soluções contratuais obrigatórias. O próprio contrato pode especificar as soluções disponíveis,

como créditos de serviço ou danos liquidados. Os tribunais costumam tratar esses remédios com
suspeita. A lei relativa à exequibilidade de recursos privados é complexa e varia
significativamente de jurisdição para jurisdição.
Os remédios descritos acima são normalmente de natureza cumulativa. Assim, uma parte pode tanto
solicitar a recisão e reclamar por danos como resultado de uma violação.
www.cybok.org
.6.6 Efeito do contrato em partes não contratantes

Uma limitação potencial da utilidade dos contratos é que a aplicação pode ser limitada ao
apenas as partes contratantes.
No contexto da busca de uma solução por violação, a regra da privacidade do contrato (geralmente encontrada
nos sistemas de direito consuetudinário) normalmente restringe a execução do contrato apenas ao contato
partidos. Se Alice e Bob celebram um contrato e Alice quebra, sob a doutrina da privacidade
Normalmente, Bob é a única pessoa que pode tomar medidas legais contra Alice por quebra de contrato.
Charlie, por não ser parte, normalmente não pode tomar medidas contra Alice por quebra de contrato, mesmo
se Charlie foi prejudicado como resultado da violação. Charlie pode, no entanto, ser capaz de levar
ação contra Alice sob a lei de responsabilidade civil, conforme discutido na Seção .. Em cadeias de suprimentos complexas,
Bob pode ser capaz de atribuir o benefício dos direitos do contrato (como garantias) a Charlie.
(Mesmo em sistemas de direito consuetudinário, existem circunstâncias em que as partes podem conferir expressamente
direitos contratuais nas mãos de terceiros.)
Se Alice for uma fornecedora de serviços e deseja limitar sua responsabilidade potencial às pessoas que dependem
sobre os resultados desses serviços, uma limitação contratual de responsabilidade pode não ser eficaz
contra uma pessoa não contratante como Charlie, que depende de seus serviços, mas não é privada
de contrato com Alice. Esta incapacidade de limitar a responsabilidade a partes não contratantes é recorrente
consideração no desenvolvimento de serviços de confiança, em que terceiros que contam com a confiança
os certificados podem não ter relação contratual direta com o emissor do certificado. (Veja o dis-
discussão na Seção ..)
.6. Conflito de lei - contratos

Decidindo qual estadoA lei será aplicada a vários aspectos de uma disputa contratual é normalmente
da competência do tribunal que decide o litígio. As regras usadas para decidir isso
questão pode e varia de estado para estado. Dentro da União Europeia, essas regras têm
foi harmonizado para a maioria dos tipos de contrato - mais recentemente através do mecanismo do
Regulamento 'Roma I' [ ] Os estados individuais dos EUA, por outro lado, permanecem livres para adotar seus próprios
regras individuais usadas para decidir qual lei deve ser aplicada a aspectos de disputas contratuais.
Mesmo com essas variações, alguns princípios úteis e generalizáveis podem ser identificados.
Escolha expressa pelas partes. É amplamente aceito que as pessoas que celebram um contrato
deve ter algum grau de liberdade para escolher a lei que será usada para interpretá-la. (Roma
I, Art [ ].) Várias justificativas de política estão disponíveis, muitas vezes baseadas em noções de liberdade
do contrato. Se as partes forem livres para especificar os termos de sua relação contratual, isso ar-
gument sugere que as mesmas partes devem ser livres para incorporar no acordo
qualquer coisa que ajude a interpretar os termos que foram acordados - incluindo o substantivo
sistema de direito contratual usado para interpretar o acordo.
Ausência de escolha expressa da lei pelas partes. Quando as partes se conectam a estados diferentess
não fazem uma escolha expressa da lei em seu contrato, o tribunal se depara com o dilema
de decidir qual lei aplicar a vários aspectos da disputa contratual. Na Europa
União, as regras que determinam a lei aplicável na ausência de escolha encontram-se em Roma I, art.
. De particular interesse para aqueles que lidam com sistemas de contratação online, são os seguintes
regras padrão na ausência de uma escolha clara pelas partes:
• Um contrato de venda de bens ou fornecimento de serviços será regido pela lei do

local onde o vendedor ou prestador de serviços tem a sua residência habitual. Art (a) - (b).
www.cybok.org
• O contrato de venda de bens em leilão será regido pela legislação do país

local do leilão, se tal local puder ser determinado. Art (g).
• Um contrato celebrado dentro de um sistema multilateral que reúne ou facilita

a reunião de vários interesses de compra e venda de terceiros em informações financeiras
instrumentos de acordo com regras não discricionárias e regidos por uma única lei,
serão regidos por essa lei. Art (h).
Assim, vemos na lei europeia uma preferência de política básica para aplicar por padrão a lei onde
o vendedor ou criador de mercado é residente, sobre a lei onde os compradores ou licitantes podem ser
residente.
Contratos com consumidors. Quando uma das partes de um contrato transfronteiriço é um consumidor ,
as regras são geralmente modificadas para fornecer proteção adicional para o consumidor. Em dis-
putes em um tribunal de foro da União Europeia, por exemplo, se o fornecedor internacional de produtos
ou serviços exerçam sua atividade comercial no lugar do consumidorresidência de, ou 'di-
retira tais atividades para aquele país ou para vários países, incluindo aquele país ', então o
as seguintes regras especiais geralmente se aplicam:
• Se não houver escolha expressa de lei no contrato, a lei aplicável será a lei de
o consumidorresidência habitual de. Art 6 ().
• Se alguma outra lei foi expressamente escolhida, essa escolha de lei não pode privar o
consumidor de proteções legais exigidas pela lei do consumidorresidência de. Arte
6 ().
Embora os exemplos específicos acima sejam extraídos da legislação europeia, eles representam
princípios que ocorrem regularmente em outro estados que enfrentam questões de conflito de leis no consumidor
disputas contratuais.
. TORT
Um ato ilícito é qualquer dano civil que não seja uma violação de contrato. Ao contrário da responsabilidade contratual, responsabilidade civil
não é necessariamente baseada em uma relação volitiva entre a pessoa que comete
um delito (um 'causador do delito') e a pessoa prejudicada por essa ação ilícita (uma 'vítima').
Esta seção abordará algumas das doutrinas de responsabilidade civil mais comuns que devem ser consideradas
por profissionais de segurança cibernética. Dois atos ilícitos substantivos de interesse (negligência e produto
responsabilidade) será examinada com algum detalhe, juntamente com uma série de doutrinas de responsabilidade civil mais gerais
tais como causalidade e repartição de responsabilidades. Direitos de ação concedidos às vítimas sob
outros regimes de matéria jurídica (por exemplo, proteção de dados, difamação, propriedade intelectual,
etc) também são caracterizados como atos ilícitos e conceitos gerais de delito (consulte as Seções . ,
. . , . . & . .6) frequentemente se aplicam a eles também.
www.cybok.org
.. Negligência
A maioria dos sistemas jurídicos reconhece a ideia de que as pessoas na sociedade têm um certo dever para com os outros
na condução de suas atividades. Se uma pessoa falha em cumprir este dever, e a falha causa
dano à vítima, a vítima geralmente tem o direito de intentar uma ação judicial contra o causador do delito
para compensação financeira.
. . . Dever de cuidado: até onde isso se estende
Os sistemas jurídicos reconhecem implicitamente que uma pessoa nem sempre é responsável por todos
do tempo. Algumas limitações no escopo da responsabilidade são normais. As cortes da Inglaterra,
por exemplo, disse que uma pessoa (Alice) tem o dever de cuidar de outra (Bob) em respeito
de uma determinada atividade se três condições forem atendidas:
. Alice e Bob estão de alguma forma próximos um do outro no tempo e no espaço;
. é razoavelmente previsível para Alice que sua ação (ou omissão) pode causar danos a
pessoas em uma posição semelhante a Bob; e
. com relação à ação (ou inação) de Alice, no geral, parece justo e razoável
que pessoas como Alice sejam responsáveis perante pessoas em uma posição semelhante a Bob.
Embora esta regra tripla não seja apresentada como uma norma multinacional, ela ilustra o
proposição geral de que o âmbito da responsabilidade civil devido a terceiros como resultado da negligência
gence é limitado. 8
'Previsibilidade' de dano é usada rotineiramente como um mecanismo para limitar o escopo da responsabilidade em
lei de negligência. A previsibilidade é normalmente medida por referência a se um ob-
uma pessoa jectivamente razoável teria previsto o dano. Um tortfeasor não está isento de lia-
bilidade devido à falta de imaginação, falta de planejamento ou um esforço afirmativo para evitar considerar
vítimas potenciais.
Isso levanta uma série de questões relacionadas sobre possíveis deveres de cuidado no contexto de
segurança cibernética, alguns dos quais são apresentados na Tabela .. O objetivo da Tabela . é meramente
considerar alguns dos tipos de relacionamento que podem criar um dever de cuidado sob
lei.
As leis de negligência são tremendamente flexíveis. Como dano causado por falha de segurança cibernética seja-
vem cada vez mais previsível, parece provável que os tribunais interpretem cada vez mais o
conceito de dever de cuidado para abranger várias obrigações relacionadas à segurança cibernética devidas a
um grupo mais amplo de vítimas [ 6]
O conceito de 'dever de cuidado' normalmente não depende da existência de qualquer empresa ou

relação contratual entre o agressor e a vítima. Como uma não segurança comumente entendida
Por exemplo, os motoristas de automóveis têm o dever de cuidar de outros motoristas, dos ciclistas, de
pedestres e outras pessoas que usem estradas e caminhos. Pode-se, portanto,
considere até que ponto aqueles que fornecem software em uma base não comercial, como
software de segurança de código aberto, pode ser considerado o dever de cuidar das pessoas que
previsivelmente, confiar em tal software.
www.cybok.org
Quando esta Realiza esta atividade Considere se o potencial causador do delito tem o dever de
potencial de uma forma irracional cuidar dessas vítimas em potencial:
tortfeasor: maneiras:
Varejo mer- Mantendo secu- Titulares de cartão;

canto. ridade do cartão de pagamento
detalhes fornecidos por Bancos comerciais;
clientes no ponto de
venda. Bancos emissores de cartão. [ ]
Serviço de email Gerenciando a segurança Assinantes do serviço;

fornecedor. de servidores de e-mail e
serviços relacionados; Correspondentes de e-mail de terceiros dos assinantes;
Fazer decisões Pessoas nomeadas na correspondência de e-mail.

sobre os tipos de se-
curidade a ser adotada.
Negócios en- Gerenciando o cyber Membros de sua própria equipe; [6]

surpresa. segurança da empresa
TI ou OT; Suas contrapartes e parceiros da cadeia de suprimentos;
Fazer decisões Terceiros não relacionados que sofrem danos quando mal-intencionados
sobre os tipos de se- atores comprometem as medidas de segurança da empresa e
curidade a ser adotada. usar a TI da empresa para lançar ataques progressivos;
Terceiros não relacionados que sofrem danos ao compro-

OT mised causa ferimentos pessoais ou danos materiais.
Desenvolvedor de Implementando Stan- Comerciantes que adotam o software de servidor da web para online
rede servidor dard criptográfico comércio;
Programas. proto de comunicação
cols. Provedores de SaaS que adotam o software de servidor web para
a prestação de serviços diversos a clientes;
Clientes enviando detalhes do cartão de pagamento;
Clientes empresariais que enviam negócios confidenciais

dados para um provedor SaaS que adotou o software de servidor;
Empresas de negócios que adotam o servidor em seus

Infraestrutura de TI ou OT.
Serviço de confiança Registrando a identidade Clientes que adquirem certificados;

fornecedor. tidade de estar ligado a um
certificado; Terceiros que confiam nesses certificados;
Emissão de certificados; Terceiros que operam equipamentos que (sem

conhecimento) confia nesses certificados.
Mantendo a confiança
a infraestrutura.
Navegador da web Selecione% s confiança de raiz Pessoa naturals que usam o navegador da web.
desenvolvedor. certificados para instalação
em sua teia
navegador.
Mesa . : Ilustração de possíveis relações de dever de cuidado

www.cybok.org
. . . Violação de dever: medindo razoabilidade
Se uma pessoa (Alice) tem o dever de cuidar de outra pessoa (Bob) na conduta de um determinado
atividade, surge a questão de se Alice violou ou não (falhou em cumprir) seu dever de
Prumo. A formulação desses dois elementos juntos - 'violação de um dever de cuidado' - é normalmente
sinônimo de 'negligência'.
Um padrão típico usado para avaliar a conduta é examinar se Alice agiu ou não em um
forma objetivamente razoável. Na lei clássica da negligência, pessoas como Alice não são obrigadas a
um padrão de perfeição. A responsabilidade é baseada na falha. Ao avaliar a falta, os tribunais costumam fazer
uso de recursos retóricos, como a "pessoa razoável" objetivamente situada de forma semelhante.
Como uma estrutura para medir a conduta, o padrão de pessoa razoável provou observação
habilmente resiliente e flexível ao longo do tempo. Os profissionais de segurança cibernética geralmente convergem com opiniões
sobre se uma determinada ação relacionada à segurança cibernética (ou inação) foi objetivamente razoável ou
irracional. Mudanças na tecnologia, desenvolvimento de novos métodos etc. podem servir para
revisar opiniões sobre a definição do que constitui conduta de segurança 'razoável'.
Há uma tentação de considerar 'conduta razoável' com esforços para definir os chamados 'melhores
prática'. Avanços rápidos na tecnologia da informação (por exemplo, a queda do custo de processamento de ca-
capacidade) rotineiramente alteram o panorama da segurança cibernética. Mudanças perturbadoras no meio ambiente
(por exemplo, a mudança para a nuvem, o surgimento de big data, o nascimento da Internet das Coisas)
pode desestabilizar rapidamente a sabedoria recebida.
O altamente respeitado Juiz Learned Hand dos EUA alertou sobre isso em duas decisões famosas de
meados do século XX. Respondendo a um operador de um navio de carga oceânico que
argumentou que a falta de um rádio em funcionamento na embarcação não constituía conduta "irracional",
O juiz Hand observou no caso TJ Hooper em que 'a prática comum não é a mesma
como prática razoável '[ , 8] Embora o operador da embarcação estivesse em conformidade com
prática da indústria dos Estados Unidos, o juiz Hand expressou claramente a ideia de que as mudanças na tecnologia
A geografia e o ambiente circundante devem estimular o reexame de métodos e atividades.
Quinze anos depois, no caso Carroll Towing , o juiz Hand anunciou uma definição de
conduta razoável que pode ser útil para avaliar se o momento chegou ou não
adotar um determinado método de operação. Ele raciocinou que quando o fardo (custo) de tomar
uma determinada precaução é menor que: () a probabilidade de perda na ausência dessa precaução,
multiplicado por () o valor da perda a ser evitada, então a ação 'razoável' é adotar
aquela precaução [ 8 , , ] Sua decisão estabelece um tipo de teste de custo-benefício, embora em
neste caso, o custo (o 'fardo' da precaução potencial) que seria incorrido por Alice (o
pessoa que tem o dever de cuidar) é comparada a um benefício (ou seja, reduzindo o risco ponderado
custo de uma perda potencial) desfrutado por Bob (a pessoa ou conjunto de pessoas em situação semelhante a
a quem esse dever de cuidado é devido).
A doutrina da 'negligência per se ' às vezes é adotada pelos tribunais para avaliar a conduta. Usando
esta doutrina, a vítima argumenta que a conduta do culpado deve ser considerada irracional
capaz porque essa conduta violou uma lei pública ou norma técnica amplamente adotada. Se Al-
gelo faz acesso não autorizado ao computador de Bob (um crime, conforme discutido na Seção .) e
causar danos a esse computador ou outras partes da infraestrutura de Bob, como resultado, Bob poderia
alegar que Alice é negligente, por si só . Esta doutrina já foi defendida junto com
reivindicações de negligência padrão em ações legais decorrentes de incidentes relacionados à segurança cibernética [ ]
Esta doutrina pode se tornar cada vez mais útil para as vítimas como resultado do aumento dos padrões
ção e regulamentação no campo da segurança cibernética. O mero ato de definir e adotar
padrões de segurança podem, portanto, influenciar os tribunais à medida que eles buscam quadros técnicos de referência

www.cybok.org
para avaliar a 'razoabilidade' da conduta.
Outra doutrina que pode ser útil na análise de falhas de segurança cibernética é a da ' res ipsa
loquitur '(isto é,' a coisa fala por si mesma '). Usando esta doutrina, uma vítima que poderia de outra forma
têm dificuldade em provar a natureza precisa da ação que causou o dano, afirma que a maioria
inferência apropriada a ser extraída das circunstâncias circundantes é que o acusado
tortfeasor assume a responsabilidade. Esta doutrina tende a ser usada contra pessoas que são
supostamente para manter o controle sobre processos arriscados ou perigosos que, de outra forma, causariam danos.
Um exemplo típico pode incluir uma ação legal contra um cirurgião após um instrumento cirúrgico
é descoberto no corpo de um paciente pós-operatório, ou um animal selvagem escapa de um zoológico.
Independentemente da capacidade da vítima de provar um lapso de cautela, a inferência mais adequada
ser tirado das circunstâncias é uma falta de cuidado devido. (Portanto, a coisa fala por si.)
No campo da segurança cibernética, pode-se imaginar um caso em que essa doutrina é aplicada em um
ação legal contra uma pessoa que cria uma nova forma de malware para fins de pesquisa, apenas
perder a contenção. 6
Doutrinas semelhantes à negligência per se e res ipsa loquitur podem ser definidas em alguns
sistemas como regras relativas à razoabilidade da conduta, ou podem ser de nidos como regras de
evidências - aliviar a vítima de parte ou de todo o ônus de provar uma conduta irracional, ou
transferindo o ônus para o alegado autor do delito de provar uma conduta razoável. (Veja a discussão
de evidências na Seção . ..)
Embora não sejam normalmente considerados sob a rubrica da lei de negligência, outras leis
que influenciam a prática de segurança cibernética de ne a conduta "razoável" dentro de sua esfera de
competência. Um exemplo é encontrado na lei de transferência de fundos expressa no Artigo A § (c)
do Código Comercial Uniforme, conforme adotado pelos estados dos EUA [ ]
. . . A interpretação de 'falha' difere por lugar e muda ao longo do tempo
Embora a estrutura apresentada acima para definir 'falha' seja geralmente bem recebida pelo departamento jurídico
sistemas na maioria das economias desenvolvidas, isso não deve ser confundido com um acordo sobre como
interpretar ou aplicar esses padrões.
A interpretação do comportamento de 'dever de cuidado' e 'razoável' pode variar significativamente de

estado para estado. Isso não deve ser surpreendente, já que ambos os conceitos são construções sociais ancoradas
por opiniões sobre risco e responsabilidade que prevalecem em uma determinada sociedade em um determinado momento.
A interpretação de 'dever de cuidado' (com algumas exceções) se expandiu principalmente no passado

século à medida que a natureza cada vez mais complicada e interconectada da vida moderna cria
mais oportunidade para as ações de uma pessoa prejudicarem outras. Da mesma forma, a interpretação
de 'razoável' geralmente mudou na direção de exigir mais cuidado, não menos. Esses
as interpretações podem mudar dentro da vida profissional de um profissional, especialmente
como o dano causado por falha de segurança cibernética se torna cada vez mais previsível, melhor
permaneceu, e mais fácil de provar com novas ferramentas forenses.
Da mesma forma, os praticantes são advertidos de que atos potencialmente ilícitos cometidos em um estado
pode ser avaliada pela interpretação dos padrões de cuidado adotados por outro, mais de-
mandando, estado. (Veja a discussão na Seção .6.)

www.cybok.org
.. Responsabilidade estrita por produtos defeituosos

Na segunda metade do século XX, vários estadoss com industrial desenvolvido
economias adotaram regras de responsabilidade objetiva para produtos defeituosos. Este regime de responsabilidade pro
concede o direito de ação para aqueles que sofrem ferimentos pessoais, morte ou danos materiais, causados
por um produto com defeito. Um produto é geralmente considerado defeituoso quando não fornece
a segurança que uma pessoa razoável esperaria nas circunstâncias. Dependendo
a lei específica em questão, a responsabilidade objetiva normalmente incide sobre as pessoas que produzem, importam
ou vender produtos defeituosos ou produtos componentes. A responsabilidade pode ser atribuída a um causador de delitos que
não tem relação pré-existente com a vítima.
Neste tipo de responsabilidade, o foco da análise se afasta de qualquer noção de 'falha' por parte do
tortfeasor e passa, em vez disso, para um exame do produto alegadamente defeituoso. Responsabilidade
é geralmente avaliada sem levar em conta o grau de razoabilidade usado na produção,
examinar ou selecionar produtos para venda. Este tipo de responsabilidade objetiva é encontrado em todo o
leis dos estados dos EUA e está incorporado nas leis domésticas dos estados membros da UE como
exigido pela Diretiva 8 / [ , ]
A maioria das autoridades acredita que o software, como tal, não se enquadra nas várias definições de
'produto' aplicável de acordo com tais leis. 8 Mesmo assim, sob a lei de responsabilidade do produto existente
um defeito em um componente de software pode ser a fonte de um defeito em um produto no qual
está instalado. A responsabilidade desse tipo decorrente de falhas de segurança cibernética provavelmente aumentará
como dispositivos de controle físico estão cada vez mais conectados a serviços de dados remotos, apresentando
mais riscos relacionados à segurança cibernética à vida e à integridade física.
Um ciberespaço- produto conectado (por exemplo, um veículo autônomo, um sistema de controle industrial
tem, um marca-passo, um veículo com capacidade y-by-wire, um termômetro doméstico operado remotamente
stat) que não fornece a segurança adequada, é defeituoso se a segurança está comprometida
por meio de falhas em sistemas elétricos, mecânicos, de software ou de segurança. Assim, produto estrito
responsabilidade pode ser implicada em casos de lesões pessoais ou danos materiais se a segurança
do dispositivo conectado é comprometido por meio de erros na tomada de decisões operacionais (por exemplo,
um veículo autônomo opta por desviar para o tráfego em sentido contrário após interpretar mal a estrada
marcações) ou erros na segurança cibernética (por exemplo, uma autenticação incorreta ou implementada incorretamente
esquema permite que um hacker remoto comande o mesmo veículo para desviar para o tráfego que se aproxima.
c, para abrir as comportas em uma barragem, ou para alterar a configuração de um termostato doméstico para um risco de vida
temperatura).
Em sua avaliação abrangente da lei europeia de responsabilidade do produto, a Comissão Europeia

sion referia-se extensivamente ao papel crescente do software e de outros chamados 'produtos digitais
ucts 'no comércio moderno [ ] A Comissão questionou abertamente até que ponto
produtos digitais (por exemplo, software como produto, SaaS , PaaS , IaaS, serviços de dados, etc.) devem ser
redefinidos como 'produtos' sob a lei de responsabilidade do produto e, portanto, sujeitos à análise de responsabilidade estrita
sis quando os defeitos causam morte, lesões pessoais ou danos materiais [ ] Esta é uma área de
lei que pode mudar significativamente no futuro a médio prazo.

www.cybok.org
.. Limitando o escopo da responsabilidade: causalidade legal

O objetivo principal da lei de responsabilidade civil é compensar as vítimas pelos danos sofridos. Uma vítima pode
normalmente só moverá uma ação legal contra um causador de delito se a vítima puder provar que o
a ação ilícita foi a causa de um dano juridicamente reconhecível sofrido pela vítima. Simplificando,
as pessoas podem agir de forma negligente sem responsabilidade civil - se seu comportamento não causar danos.
A causalidade é um dos conceitos mais difíceis de definir na lei. Autoridades diferentes tomam
pontos de vista diferentes sobre quando é apropriado responsabilizar um promotor de delitos quando ele é reivindicado
que a ação ilícita A produziu dano B. A vítima muitas vezes é obrigada a provar a causa-
na verdade, como um primeiro passo. Este conceito também é expresso como "mas para" causalidade, porque pode
ser testado usando a declaração lógica: 'Mas para a ação ilícita A, o dano B não teria
ocorreu. ' A responsabilidade às vezes pode ser eliminada, mostrando que um determinado dano teria
ocorreu independentemente de um ato ilícito [ , 6]
A causalidade de fato, entretanto, muitas vezes não é suficiente por si mesma para provar a responsabilidade. Surgem dificuldades
ao analisar cadeias de causalidade mais complexas onde a ação tortuosa A causa resultado
X 1 , que por sua vez causa o resultado X 2 , ..., que por sua vez causa o resultado X n , que por sua vez causa
prejudicar B. À medida que a ligação entre A e B se torna cada vez mais atenuada, os formuladores de políticas e
os juízes lutam para definir os limites da responsabilidade da pessoa que comete o ato ilícito.
Dificuldades semelhantes surgem quando a 'última causa' em uma combinação de atos negligentes causa danos
que é significativamente desproporcional ao último ato negligente individual, como resultado de mais
graves lapsos de julgamento por parte de atores anteriores. As abordagens adotadas para resolver este problema incluem
limitar a responsabilidade do causador do delito a danos que sejam razoavelmente previsíveis [ ]
A definição mais restrita de causalidade exigida pela lei de responsabilidade civil pode ser referida usando termos como
como 'causalidade legal' ou 'causação próxima'.
Provar que um dano específico foi causado por um incidente de segurança cibernética específico pode ser ex-
tremendamente desafiador. Para dar um exemplo comum, uma pessoa física cujos dados de identificação
foi comprometido pode achar difícil ou impossível provar que os dados perdidos em um determinado
evento de violação de dados são a fonte dos dados usados posteriormente por agentes mal-intencionados para transportar
fraude por meio de falsificação de identidade. As leis de notificação de violação de dados ajudam a corrigir o desequilíbrio
evidência disponível para as vítimas nestes casos, mas mesmo assim, a vítima deve provar uma
ligação causal de uma violação específica ao evento de fraude. Uma exceção notável é a perda nanceira em
curado após uma violação de dados de cartão de pagamento, como a causa de perdas de fraude subsequentes
pode ser facilmente inferido de um evento contemporâneo de violação de dados. Esses casos criam outros
desafios conforme discutido na Seção . ..
.. Quantum de responsabilidade
A consideração do impacto da lei de responsabilidade civil na atividade relacionada à segurança cibernética é incompleta com
considerando quantum de responsabilidade. (Consulte a seção ..) Estado diferentes têm diferentes ap-
trata de definir o que constitui dano legalmente reconhecível para fins de responsabilidade civil. UMA
a vítima normalmente é obrigada a provar o valor nanceiro do dano causado por um ato ilícito.
Em casos que envolvem ferimentos pessoais, o valor do dano é frequentemente calculado por referência a
medidas de fácil compreensão como: perda de salário sofrida pela vítima devido à sua incapacidade
para o trabalho, os custos incorridos pela vítima para tratamento médico, reabilitação ou cuidados de enfermagem,
custos de instalação de instalações de acomodação para uma vítima permanentemente ferida, etc. Alguns
estados também permitem compensação por danos em casos de ferimentos pessoais que são mais difíceis de
quantificar, como dor e sofrimento, angústia emocional, etc.

www.cybok.org
Um problema recorrente em casos de negligência é se a vítima pode ou não se recuperar por isso.
chamado de perda econômica pura. Há uma divergência na lei sobre esta questão. Um caso principal
na Inglaterra, a perda econômica causada por uma referência de crédito mal considerada.
fornecido por um banco ao seu cliente. Embora a perda (a subsequente incapacidade do cliente de
cobrar uma dívida comercial de seu cliente insolvente) era de natureza puramente econômica, o inglês
tribunal decidiu que deveria ser recuperável porque o banco professou habilidade especial (nanceira
consciência), e a vítima confiou na declaração de admiração em seu detrimento [ 8]
Um número crescente de casos foi movido com base em segurança cibernética negligente que
reivindicar perdas além de ferimentos pessoais ou danos à propriedade. Alguns tribunais já exibiram
manifestou a disposição de conceder indenizações sob a lei de negligência às vítimas cujas perdas
são de natureza puramente econômica [ 6] Outras ações judiciais (resolvidas pelas partes antes do julgamento)
envolveram reivindicações substanciais por perdas econômicas baseadas em negligência na segurança cibernética.
Provar dano legalmente reconhecível pode ser desafiador para algumas vítimas que poderiam de outra forma
deseja tomar medidas legais com base em falhas de segurança cibernética. Um exemplo diz respeito à perda
de privacidade. Há muitos argumentos sobre como quantificar (financeiramente) o dano causado por
violação de privacidade, a menos que a vítima tenha algum interesse comercial ou econômico que seja diretamente
prejudicado como resultado.
Outro exemplo comum diz respeito à perda de confidencialidade da autenticação nanceira

métodos como detalhes de cartão de pagamento. Os titulares do cartão teriam dificuldade em provar danos a
na medida em que cobranças fraudulentas são reembolsadas pelo banco emissor. Claro, a emissão
o banco poderá, então, demonstrar prejuízo financeiro como resultado do reembolso dessas verbas,
mais uma parte pro rata dos custos incorridos na emissão de cartões de substituição antes do planejado.
Em resposta a esses tipos de dificuldades em provar danos, alguns afirmams adotaram especí c
leis que fornecem uma lista de danos que podem ser reivindicados sem a necessidade de quantificar
ferir. Um exemplo é encontrado na Lei de Privacidade de Informações Biométricas do Estado de Illinois, que
prevê que qualquer parte prejudicada por uma violação do ato pode tomar medidas legais e recuperar
US $, por violação (por negligência) ou US $, por violação (por violação intencional)
violações) dos mandatos da lei. 6 Da mesma forma, a lei de direitos autorais dos EUA permite que alguns proprietários de direitos
para recuperar danos mínimos usando uma tarifa legal.
Alguma jurisdiçãos, notadamente os estados membros dos Estados Unidos, estão preparados para conceder 'puni
danos passivos '(conhecidos em alguma jurisdiçãocomo 'danos exemplares') em alguns casos de delito.
Esses prêmios têm como objetivo punir e deter o mau comportamento. Esses prêmios podem ser dispensados
proporcional em comparação com a sentença arbitral pelo dano sofrido pela vítima. Exame-
os casos em que um tribunal pode conceder indenizações punitivas mais comumente incluem casos em que o
tortfeasor demonstra um padrão de mau comportamento repetido, ou o tortfeasor fez
decisões operacionais relevantes com indiferença grosseira à vida humana ou sofrimento humano.

www.cybok.org
.. Atribuindo, repartindo e reduzindo a responsabilidade civil

Esta seção discute algumas doutrinas jurídicas diversas que são importantes a serem consideradas
ao tentar avaliar os riscos de responsabilidade civil.
. . . Responsabilidade indireta
Existem circunstâncias em que a responsabilidade de um causador de delito pode ser atribuída a um segundo
filho. A situação comumente encontrada na segurança cibernética é a responsabilidade pelo ato ilícito de
um empregado atribuído ao seu empregador. Este tipo de responsabilidade indireta se aplica quando o ato ilícito
compromete-se no decurso de uma relação de trabalho.
A responsabilidade indireta é uma responsabilidade objetiva. Uma vez que a vítima provaé que o funcionário cometeu um ato ilícito
que causou danos relevantes e então provars que o delito foi cometido dentro do curso
de emprego, o empregador torna-se estritamente responsável pelo delito subjacente. Pedidos do
empregador sobre tomar precauções razoáveis, exigir treinamento razoável, devida diligência
na contratação ou no desvio do funcionário dos padrões de emprego, geralmente são ineficazes
contra reclamações de responsabilidade indireta.
O Tribunal de Apelação da Inglaterra em 8 afirmou uma reivindicação de responsabilidade vicária apresentada em um dado
ação de delito de proteção. Em Wm Morrison Supermarkets PLC vs Various Requerentes , os dados con
troller Morrison foi processado por vários titulares de dados após um funcionário de auditoria interna descontente
publicou dados salariais de funcionários em violação da lei de proteção de dados. Esses-
tratamento de cura de dados de salário caiu dentro do campo de operação com o qual o funcionário foi
confiada e, portanto, o delito foi cometido pelo funcionário no âmbito do em-
relação de emprego, levando assim a responsabilidade vicária [ ] No momento da escrita, esta decisão
está pendente de recurso no Supremo Tribunal do Reino Unido. 8
O único método confiável para evitar a responsabilidade indireta é encorajar o comportamento dos funcionários que
limita ou evita atividades tortuosas. Isso é digno de consideração por aqueles que desenvolvem e
aplicar políticas de uso aceitáveis, padrões de segurança de pessoal, políticas de emprego, etc.
. . . Responsabilidade solidária
Nos casos em que mais de um causador de delito pode ser considerado como tendo causado danos a uma única vítima,
a responsabilidade civil muitas vezes impõe responsabilidade solidária. A doutrina é simples: qualquer responsabilidade conjunta
O culpado de responsabilidade civil pode ser obrigado a pagar% dos danos atribuídos à vítima. Apesar
o autor do delito que satisfaça a reivindicação financeira da vítima pode ter o direito de buscar indenização
(também conhecido como 'contribuição') de outros promotores, isso se torna problemático quando o
tortfeasors não têm recursos nanceiros ou são residentes em estado estrangeiroé onde não há
método eficaz de fazer cumprir esses direitos.
Os profissionais podem querer considerar o impacto desta regra ao trabalhar com a cadeia de abastecimento
parceiros ou joint ventures que são pequenos, não têm muito capital ou são residentes em um país estrangeiro
estado onde a execução de decisões domésticas pode ser problemática.

www.cybok.org
. . . Defesas afirmativas
Os agressores às vezes podem tirar vantagem de certas defesas afirmativas ao delito

reivindicações. Um causador de delitos que é capaz de provar os elementos relevantes dessas defesas pode reduzir,
ou, às vezes, elimina sua responsabilidade.
No contexto de negligência, uma categoria comum de defesas inclui 'negligência contributiva

gência 'ou' falha comparativa 'da vítima. Nesse tipo de defesa, o causador do crime tenta
provar que a própria negligência da vítima contribuiu para o seu dano. Dependendo de qual estadode
lei de responsabilidade civil é aplicável à reclamação, uma defesa bem-sucedida pode reduzir ou eliminar a responsabilidade para
a vítima.
Outra categoria de defesa que pode ser útil em vários contextos de segurança cibernética inclui
'assunção de risco' ou 'consentimento'. Nesse tipo de defesa, o causador do ato ilícito evita a responsabilidade por prover
que a vítima estava ciente ou consentiu conscientemente com os riscos que acabaram por causar
o dano. Este tipo de defesa pode ser especialmente útil para quem fornece segurança cibernética
serviços que podem causar danos à infraestrutura do cliente, como teste de penetração. Praticantes
muitas vezes elaboram documentos de compromisso comercial com o objetivo de tentar satisfazer um dos
essas defesas no caso de algo dar errado durante o noivado.
No que diz respeito à responsabilidade estrita do produto, muitos afirmams oferecem uma defesa chamada de 'estado da arte'.
Onde essa defesa for permitida, uma parte pode evitar a responsabilidade objetiva, provando que um produto, al-
embora defeituoso, foi produzido em uma época em que o estado da arte tecnológico não
permitiram a descoberta do defeito. É discutível como esta defesa pode se aplicar a produtos
produtos com defeito como resultado de erros de segurança cibernética. De maior signi cância, talvez,
é a defesa afirmativa contra a responsabilidade objetiva por um produto defeituoso disponível se o
a parte defensora pode provar que o defeito está presente devido ao cumprimento de leis ou regulamentos
em relação ao design do produto.
. .6 Conflito de lei - delitos

Decidindo qual estadoA lei de se aplica a vários aspectos de uma disputa por ato ilícito é normalmente investida
dentro da jurisdição jurídica do foro tribunal que decide o litígio. As regras que são usadas
decidir esta questão pode variar e varia de estado para estado. Dentro da União Europeia, estes
as regras foram harmonizadas para a maioria dos atos ilícitos através do mecanismo do Regulamento "Roma II"
[ ] Os estados individuais dos EUA, por outro lado, permanecem livres para adotar sua própria escolha individual de
princípios da lei ao decidir qual lei deve ser aplicada a aspectos de litígios de responsabilidade civil. Até
com essas variações, alguns princípios úteis e generalizáveis podem ser identificados.
Em termos gerais, os tribunais que examinam reivindicações de responsabilidade civil entre pessoas em diferentes estadostende
adotar um dos dois métodos mais frequentemente usados para decidir qual lei aplicar: aplicar a lei
do local onde se originou o ato ilícito ou aplica-se a lei do local onde ocorreu a lesão
foi sofrido. Historicamente, pode ter sido difícil encontrar casos em que esses dois eventos
ocorreram em diferentes estados. O comércio moderno, no entanto, produziu uma série de casos
onde os dois eventos podem ser amplamente separados por espaço e tempo.
Em disputas ouvidas em tribunais em toda a União Europeia, a lei aplicável em uma ação civil
(com algumas exceções) é a lei do local onde o dano foi sofrido. (Roma II, Arte
().) Nos casos de responsabilidade do produto, as regras são um pouco mais complexas e a legislação aplicável
pode ser o local de residência habitual do lesado, o local onde o produto estava
adquiridos, ou o local onde ocorreu o dano. (Roma II, Art.)
As regras acima fornecem um indicador razoável do risco de ocorrência de falhas de segurança cibernética.
www.cybok.org
anel devido a ações realizadas no Estado A, e, posteriormente, causando danos a pessoas no Estado
B, poderia facilmente se tornar passível de análise de responsabilidade sob a lei de responsabilidade civil do Estado B. Assim
profissionais (e seus empregadores) podem ser considerados para um padrão mais elevado de atendimento imposto por um
Estado estrangeiro onde são encontradas vítimas de cibersegurança negligente ou produtos IoT defeituosos.
(Veja, por exemplo, a discussão sobre responsabilidade na Seção ..)
0,8 PROPRIEDADE INTELECTUAL

[ , 8]
A complexidade da lei de propriedade intelectual levou um jurista dos Estados Unidos do século XIX a com-
mento de que este assunto está mais próximo da 'metafísica do direito'. Metafísica ou não, intel-
A propriedade intelectual pode servir para restringir ou encorajar ações de profissionais de segurança cibernética.
Esta seção resumirá alguns pontos onde os dois campos se cruzam.
.8. Compreendendo a propriedade intelectual

Direitos de propriedade intelectual são direitos negativos - eles transmitem o direito de exigir que outros
as pessoas cessam uma atividade proibida. A natureza da atividade a ser proibida é definida em
a lei que estabelece esse direito. A posse de propriedade intelectual normalmente confere o direito de
ação contra terceiros que transgridam um ou mais atos proibidos pela propriedade em questão
direito.
Os direitos de propriedade intelectual não dão ao proprietário o direito afirmativo de tomar qualquer ação
imaginável com o assunto. Uma determinada ação (por exemplo, combinar seu próprio código com outro
de terceiros, práticas abusivas de licenciamento de propriedade intelectual) podem infringir direitos intelectuais de terceiros
direitos de propriedade ou responsabilidade decorrente do direito da concorrência, entre outros.
Direitos de propriedade intelectual registrados (por exemplo, patentes e marcas registradas) são concedidos
em um estado-por estado, seguindo a aplicação a uma agência estadual apropriada , muitas vezes segue-
exame por estado dos oficiais. Direitos de propriedade intelectual não registrados (por exemplo, direitos autorais)
geralmente surgem sem qualquer necessidade de intervenção por parte dos funcionários estaduais .
O termo 'domínio público' freqüentemente causa confusão. No campo da lei de propriedade intelectual, 'pub-
domínio lic 'refere-se a uma obra na qual não subsiste nenhum direito de propriedade intelectual atual. Por contraste,
a frase 'domínio público' também é usada coloquialmente para indicar uma falta (ou perda) de confidencialidade.
ity. Para distinguir estes dois, se um trabalho escrito original confidencial for posteriormente publicado
o conteúdo torna-se conhecido publicamente. A confidencialidade foi perdida. Este trabalho, no entanto, pode
ainda serão protegidos por direitos autorais, a menos que esses direitos sejam expressamente renunciados. Em contraste, se
uma pessoa que escreve software, então declara que está colocando o código 'no público, faça-
main 'esta declaração é freqüentemente tratada como uma renúncia irrecuperável dos direitos autorais. O termo
deve ser usado com cuidado.
www.cybok.org
.8. Catálogo de direitos de propriedade intelectual

Esta seção irá descrever alguns dos direitos de propriedade intelectual mais prováveis de serem encontrados
administrado por profissionais de segurança cibernética. Direitos de propriedade intelectual adicionais que podem ser de
interesse para os profissionais, mas que não são abordados nesta seção, incluem proteções para
topografias de semicondutores, o direito sui generis da UE de impedir a extração ou reutilização
do conteúdo de um banco de dados e direitos de design registrados e não registrados.
Em muitas circunstâncias, os direitos do contrato (especialmente acordos de licenciamento) complementam a inteligência

direitos de propriedade intelectual e podem ser tratados informalmente como um tipo de propriedade intelectual. Para
tornar as coisas mais confusas, as pessoas nos negócios costumam usar a frase 'propriedade intelectual
erty 'de uma forma expansiva e coloquial para se referir a qualquer produto de trabalho ou processo que é o
resultado do esforço intelectual - quer incorpore ou não legalmente reconhecido e exequível
direito de propriedade intelectual. Esta seção trata apenas dos direitos legais, como tais.
.8. . direito autoral
direito autoral é um direito não registrado que surge na criação de um suf -

trabalho suficientemente original. O assunto dos direitos autorais inclui obras literárias, que para esta finalidade
inclui código de software (código-fonte e código executável). Isso torna os direitos autorais especialmente
importante para os desenvolvedores e usuários de produtos de segurança incorporados em software.
O escopo dos direitos autorais é geralmente considerado limitado à expressão de uma ideia, em vez
do que a própria ideia. Assim, os direitos autorais no código do software normalmente protegem apenas o código como
escrito e não a funcionalidade do produto de software resultante. Proteção de funcionalidade
geralmente é a província dos direitos de patente.
O prazo dos direitos autorais é, pelos padrões das TIC, extremamente longo. Obras literárias são normalmente pro
proteção vitalícia do autor e mais anos após sua morte. Embora o termo de copyright
a proteção concedida ao software de computador pode ser menor do que isso, ela permanece suficientemente longa
que a expiração do prazo de copyright é improvável de se aplicar a qualquer software relevante encontrado
administrado por um profissional de segurança durante sua vida.
A violação de direitos autorais normalmente consiste em atos como cópia, transmissão, exibição
ou traduzindo uma parte signi cativa da obra protegida. Provar que um trabalho viola o
os direitos autorais incorporados em uma segunda obra exigem prova de cópia. A cópia pode ser inferida de
pontos de semelhança suficientes entre as duas obras - não há necessidade de provar o conhecimento
de cópia pelo acusado. Uma infinidade de técnicas forenses foram desenvolvidas ao longo do
curso de décadas para avaliar a violação do código-fonte do software.
A responsabilidade por violação de direitos autorais às vezes pode ser evitada por meio de vários 'uso justo' ou
limitações do 'tratamento justo'. Estes são definidos de forma diferente de estado para estado.
O escopo da proteção de direitos autorais foi expandido na virada do século XX para

englobam o direito de tomar medidas legais contra pessoas que interferem com a tecnologia
medidas usadas para proteger obras com direitos autorais [ ] no art. 6 O objetivo era fornecer
direitos legais adicionais de ação contra aqueles que burlam tecnologias como o digital
sistemas de gerenciamento de direitos (veja a discussão na Seção .8..) [ ]
www.cybok.org
.8. . Patentes
Uma patente é um direito de propriedade intelectual registrado, concedido em um estado-por estado base seguir-
aplicação e exame. As patentes destinam-se a proteger uma invenção que é nova e
que também inclui uma característica distintiva adicional diversamente descrita por estados
como um 'passo inventivo', um personagem 'não óbvio' ou algo semelhante. Esta etapa inventiva re-
quirement é um dispositivo de política usado para limitar a proteção de patentes para invenções que são significativas
de alguma forma, ao invés de trivial. 8 novas invenções que seriam óbvias para um
normalmente é negada a proteção de patente a pessoas versadas na técnica relevante.
Os estados definem expressamente um assunto adicional que não pode ser reivindicado como uma patente
invenção. Exclusões comuns de interesse especial para profissionais de segurança são software, como
tal , e uma ideia ou fórmula matemática, como tal . Invenções que incorporam estes, como-
sempre, pode ser matéria patenteável em circunstâncias apropriadas.
O sistema de patentes dos EUA mudou sua abordagem para patentes de software nas últimas décadas
e está cada vez mais receptivo a eles. Mesmo estados que rejeitam teoricamente o conceito de soft-
As patentes de software concedem regularmente patentes sobre invenções incorporadas ao software. Em outro
Por outras palavras, as patentes de software (em termos grosseiros) são uma característica regular do domínio das TIC.
Invenções relacionadas à segurança cibernética que parecem ser puramente matemáticas ou de algoritmo
rítmico (por exemplo, métodos criptográficos) pode ser objeto de proteção de patente conforme incorporado
em vários dispositivos - incluindo dispositivos habilitados por software. Aspectos de historicamente signi cativos
as invenções de criptografia foram protegidas por patentes, incluindo DES, Dif e-Helman, e
RSA [ ] Embora as patentes dessas inovadoras invenções criptográficas tenham agora
expirou, o campo da inovação em segurança cibernética permanece inundado com patentes e patentes pendentes
formulários [ , , ]
O preço de uma patente é pago de duas formas: dinheiro e divulgação pública. Os aplicativos são
caro para processar e caro para manter. O processo de navegação internacional
aplicação e exame são suficientemente complexos que a assistência especializada (cara) é
sempre aconselhável e muitas vezes fundamental para o sucesso. Além de aplicação e exame
taxas pagas ao estados, aqueles que recebem uma patente são obrigados a pagar taxas periódicas para
manter a patente ao longo de sua vida.
Além do custo monetário, a divulgação pública é uma característica central do sistema de patentes. O
o pedido de patente deve divulgar como a invenção funciona de uma maneira que possibilite um
praticante técnico qualificado para replicá-lo. O pedido e a patente concedida, juntos
com a correspondência de exame, normalmente é publicado para permitir estudos futuros.
O prazo de uma patente é normalmente anos a partir da data do pedido. Patentes são tipicamente
submetido a um processo de exame que pode levar anos para ser concluído. Quando uma patente é
concedido, o titular do direito normalmente tem o direito de tomar medidas legais retroativamente para
infrações ocorridas após o pedido, mas antes da concessão, mesmo que a infração
mento ocorreu antes da publicação do pedido. A validade de uma patente pode ser
questionado após a concessão e este é um método comum de defesa contra violações legais
açaos.
A violação de uma patente normalmente consiste em atos como fabricação, distribuição, violação
portar, exportar ou vender um produto ou serviço que incorpore a invenção reivindicada. Prov-
violação envolve uma comparação forense do dispositivo ou serviço acusado com o
invenção conforme reivindicado na patente concedida. Não há necessidade de um titular de direito provar que
a invenção foi copiada da patente ou de qualquer produto. Muitas pessoas que infringem

www.cybok.org
Patentes relacionadas a TIC o fazem inicialmente sem qualquer conhecimento de produtos de terceiros ou patentes
direitos.
.8. . Marcas Registradas
As marcas registradas geralmente são registradasdireitos de propriedade intelectual, concedidos em um estado-por estado
base após a aplicação.
Uma marca registrada é um símbolo ou sinal usado para distinguir os negócios ou produtos de uma pessoa de
de outro. As marcas registradas mais comuns consistem em palavras ou figuras. 6 marcas registradas
são concedidos dentro de categorias de uso NED, o que significa que é possível para dois diferentes per-
filhos tenham direitos exclusivos de uso do mesmo símbolo em diferentes ramos de negócios.
O objetivo das marcas registradas é reduzir a possibilidade de confusão para aqueles que adquirem
bens ou serviços, e para proteger o investimento na reputação da empresa fornecedora
esses bens ou serviços.
As marcas registradas normalmente são registradas por um período de anos, embora esses registros possam
ser renovado indefinidamente.
A violação de uma marca registrada normalmente consiste na exibição de uma marca idêntica ou
marca fusivelmente semelhante em combinação com produtos ou serviços que se enquadram na marca registrada
âmbito de exclusividade. 8 Provar a infração envolve comparar o sinal acusado com o
marca registrada e avaliando se os dois são idênticos ou confusamente semelhantes.
Não há nenhum requisito para provar que a parte acusada tem conhecimento real do registro
marca registrada protegida.
A infração de marca registrada pode ocorrer por meio do uso de um nome de domínio idêntico ou confuso.
muito semelhante a uma marca registrada. Isso cria tensões bem conhecidas, pois os nomes de domínio são (por
de nição) globalmente exclusivas, enquanto as marcas registradas não são. Para provar que o uso de um nome de domínio
constitui violação de uma marca registrada, os proprietários dos direitos normalmente devem provar que
o nome de domínio é idêntico ou confusamente semelhante à marca, e que o nome de domínio
é utilizado no fornecimento de bens ou serviços dentro do escopo de uso exclusivo definido no
registro de marca comercial.
As marcas de certificação são um tipo de marca comercial que é usada para demonstrar conformidade com
um determinado padrão. 6 Essas marcas são registradas por um organismo de normalização, que então concede li-
cências de uso da marca sujeitas à conformidade com a norma pertinente. Qualquer pessoa que
fornece bens ou serviços relevantes com a marca que não está em conformidade com os
padrão arrisca ação legal por violação de marca.
Uma marca coletiva é uma marca registrada que é usada para identificar os membros de uma associação, como
como uma sociedade profissional. Tendo registrado a marca coletiva relevante, a sociedade pode levar
ação contra aqueles que o usam sem autorização, e revogar a autorização daqueles
cuja filiação cessou.

www.cybok.org
.8. . Segredos comerciais
Os segredos comerciais eram tradicionalmente protegidos pela lei geral de responsabilidade civil, dando às pessoas que
tentado a manter seus segredos o direito de tomar medidas legais contra aqueles que inadequadamente
imediatamente obtido, usado ou divulgado esses segredos. Conforme o século XX avançava, uma tendência
surgiu para aumentar a proteção legal de segredos comerciais. A posição de cada estado dos EUA
foi significativamente harmonizado desde os anos 8, e o governo federal dos EUA adotou
a Lei de Espionagem Econômica 6 como uma lei nacional de segredos comerciais para impedir o roubo de segredos comerciais
[6, ] A União Europeia harmonizou significativamente a sua abordagem aos segredos comerciais com
efeito de 8 [ 8]
O assunto de um segredo comercial é geralmente considerado como uma informação secreta, é

valioso porque é secreto e permanece secreto devido aos esforços razoáveis do segredo
guardador. O assunto pode incluir informações tão diversas quanto uma lista de ingredientes, um método de
fabricação, uma lista de clientes, um algoritmo ou detalhes de uma invenção patenteável antes da patente
aplicação e publicação. Exemplos de segredos comerciais atuais em TIC incluem os detalhes ner
do algoritmo PageRank do Google e vários algoritmos criptográficos proprietários.
Manter a confidencialidade é um elemento central da proteção de um segredo comercial. Segredos comerciais podem
ser protegido indefinidamente, desde que o sigilo seja mantido. 6 Infelizmente, a perda de comércio
cretas por meio de atos de espionagem cibernética industrial é considerada generalizada e deveria ser
uma fonte de grande preocupação para os profissionais de segurança cibernética [ ] Perda de confidencialidade de
assunto patenteável pode ser especialmente prejudicial, como a publicação de detalhes inventivos por
um terceiro antes do pedido de patente normalmente destrói a patenteabilidade (como a invenção então
deixa de ser 'novo').
Os proprietários de direitos de segredos comerciais podem normalmente tomar medidas legais contra pessoas que se aplicam indevidamente
apropriar seus segredos. Em algumas circunstâncias, os proprietários de um segredo comercial também pode tomar legal
ação contra terceiros que recebem um segredo comercial de um apropriador indevido (ver dis-
cussão na Seção .8. .)
.8. Aplicação - remédios

A consideração do impacto da lei de propriedade intelectual é incompleta sem também considerar
remédios disponíveis para um litigante bem-sucedido. (Consulte a seção ..)
.8. . Responsabilidade Criminal
Em certas circunstâncias flagrantes, violação de propriedade intelectual - especialmente cópia

direito e marca registrada - pode ser processado como um crime. Esses processos geralmente exigem
prova de que a parte infratora estava ciente da violação e muitas vezes são baseadas em um padrão
tern ou prática de infringir esses direitos, em massa .
Aqueles que violam as proibições legais contra tecnologias anti-evasão para fins comerciais
vantagem ou ganho financeiro, enfrenta uma sentença máxima de acordo com a lei de direitos autorais dos EUA de anos para
uma primeira ofensa e anos para uma segunda ofensa. 6 De acordo com a lei de direitos autorais britânica, uma pessoa que
fabrica, importa, distribui, etc., um dispositivo destinado a contornar essas proteções
enfrenta uma sentença máxima de anos. 6
Algum estados classificar a apropriação indébita de um segredo comercial como crime. Os EUA
adotou uma lei criminal nacional de segredos comerciais em 6 [ ] Essas leis podem servir de base
(não necessariamente o único) para o processo criminal de atividade de espionagem industrial.
Algum estados não definam a apropriação indébita de segredos comerciais como crime. 6

www.cybok.org
.8. . Responsabilidade civil
Um detentor de direitos é normalmente capaz de intentar uma ação legal contra uma pessoa por violação de inteligência
propriedade intelectual. Remédios para infração normalmente incluem danos monetários, que podem
ser calculado por referência a um chamado royalty razoável, uma tarifa legal ou uma demanda
que o infrator contabilize quaisquer lucros - uma exigência de pagar ao detentor dos direitos o
benefício econômico obtido com a infração.
Os recursos civis também podem incluir ordens para apreender, e talvez destruir, produtos que infringem
direito de propriedade intelectual. Esses pedidos são especialmente úteis ao interditar remessas
de produtos falsificados que incorporam violações de marca registrada ou direitos autorais.
Com relação a segredos comerciais, pessoas nos EUA que sofreram apropriação indébita de uma transação
segredo tradicionalmente instaurado uma ação legal de acordo com a legislação pertinente de seu estado individual. Dentro
6, o governo nacional dos EUA adotou a 'Lei de Defesa dos Segredos Comerciais 6' que altera
a Lei de Espionagem Econômica para autorizar direitos privados de ação sob a lei federal para o
apropriação indébita de segredos comerciais [ ]
Um remédio civil comum para a violação de propriedade intelectual é uma ordem judicial dirigida
à parte infratora relevante para cessar qualquer atividade infratora em andamento. No contexto da patente
aplicação, isso pode ser especialmente devastador, pois uma empresa se encontra incapaz de con
continuar a fabricar ou vender um produto infrator. No contexto de aplicação indevida de segredo comercial
preço, isso pode incluir uma ordem para cessar a fabricação de produtos que empregam o comércio
segredo ou uma ordem que proíba a publicação do segredo comercial. (Imagine como estes seriam
aumente o valor Q descrito na Seção . ..)
Em um contexto online, esses pedidos podem exigir que os fornecedores de conteúdo ou hosts de servidor tomem
para baixo conteúdo que infrinja direitos autorais ou uma marca registrada. As partes que impõem patentes têm
buscou ordens para forçar um provedor de serviços a interromper a operação de prestação de serviços infratores
ered através de um ambiente online [ ]
.8. Engenharia reversa

Engenharia reversa, 'o processo de extração de know-how ou conhecimento de um ser humano

artefato ', tem sido geralmente reconhecida como uma prática aceita, embora tratada de forma diferente
dentro de várias categorias de leis de propriedade intelectual [ , ] A engenharia reversa tem seu
toricamente visto como o lado positivo da apropriação indébita de segredos comerciais. Enquanto lei de segredo comercial
proíbe a apropriação indébita de um segredo comercial (por exemplo, espionagem industrial, suborno etc.), o
estudo científico de um dispositivo vendido e comprado em uma venda pública em um esforço para aprender seus segredos
geralmente é visto como um 'jogo justo'. Se um segredo comercial for bem-sucedido na engenharia reversa
desta forma e publicada, deixa de ser um segredo comercial.
Desde a virada do século XXI, no entanto, o tratamento legal da engenharia reversa

parece ter mudado após a adoção de leis que proíbem a interferência com anticirros.
tecnologias de convenção, geralmente tornando essas atividades mais difíceis [ , ]
A maioria das dificuldades surge no contexto de produtos de software de engenharia reversa. Software li-
censos muitas vezes contêm restrições onerosas, incluindo algumas limitações na engenharia reversa
geralmente e / ou compilação reversa especificamente. A legislação europeia geralmente proíbe qualquer restrição
sobre a capacidade de um usuário de software autorizado de observar e estudar o funcionamento deste
software, e também concede a esses usuários o direito limitado de reverter a compilação especificamente para o
objetivo de obter informações de interoperabilidade [ 6]

www.cybok.org
Pamela Samuelson produziu um resumo comparativo útil desta terra confusa.

escapo [ ]
.8. . Contornar medidas de proteção tecnológica de direitos autorais
Seguindo a expansão da lei de direitos autorais para proibir a evasão de programas tecnológicos
medidas de proteção, aqueles que desejam interferir nessas medidas o fazem por sua conta e risco. O
a implementação dessas leis fornece algumas exceções à responsabilidade por pesquisas em
circunstâncias, embora as circunstâncias precisas variem. Cada exceção confiada deve
ser examinado com cuidado.
A lei de direitos autorais britânica, por exemplo, inclui uma isenção específica de responsabilidade por contornar
medidas de proteção em obras de direitos autorais que não sejam um programa de computador , para pessoas que conduzem
investigação em criptografia, 'a menos que assim o faça, ou na emissão de informações derivadas de
essa pesquisa, ele prejudica os direitos do detentor dos direitos autorais '(CPDA s. 6ZA ()).
Em outras palavras, um desses pesquisadores pode enfrentar o perigo da lei se publicar
detalhes que possibilitaram a terceiros contornar as medidas de proteção. Não há
tal exceção geral na lei britânica para pesquisa de criptografia envolvendo a evasão
de medidas em programas de computador (CPDA s. 6).
.8. . Testando um algoritmo criptográfico proprietário
Os pesquisadores de segurança que desejam testar a força de um sistema criptográfico normalmente exigem
acesso ao algoritmo relevante. Isso surge naturalmente do Princípio de Kerckhoffs e é
bem conhecido dos criptógrafos. Uma pessoa que deseja testar os recursos de segurança de um
algoritmo encontra dificuldades práticas quando o fabricante do produto emprega um
algoritmo proprietário protegido por segredo comercial e não deseja divulgá-lo para teste.
No caso Megamos Crypto (Volkswagen v Garcia) , o produto criptográfico sob ex-

aminação (um chip processador de propósito especial usado em imobilizadores de motores de automóveis e
chaves) foi fabricado sob licença pelo desenvolvedor do algoritmo. Os testadores (acadêmicos
pesquisadores) não fizeram engenharia reversa neste produto, o que poderia ter sido realizado
usando uma técnica cara de fatiamento de cavacos. Em vez disso, eles escolheram recuperar o algoritmo por re-
software de terceiros da verse engineering (programador Tango) que implementou o Megamos
algoritmo [ 8]
Os pesquisadores pretendiam publicar os resultados de suas análises, que teriam revelado

o algoritmo. As partes que tinham interesse no status de segredo comercial do algoritmo trouxeram
ação legal nos tribunais ingleses para suspender a publicação. O Supremo Tribunal Inglês foi confrontado
com um pedido para proibir a publicação da pesquisa enquanto se aguarda um julgamento completo sobre o mérito. O
tribunal pareceu aceitar que se os pesquisadores tivessem recuperado o algoritmo do produto
se usando a técnica de fatiamento de chips, não haveria caso para responder. Mas o tribunal achou
que havia a possibilidade de que o software do programador Tango de terceiros existisse
apenas como resultado de apropriação indébita de segredo comercial, e que os pesquisadores deveriam ter sido
ciente disso. O tribunal emitiu uma liminar proibindo a publicação [ , ]
O caso foi resolvido antes do início do julgamento, e os pesquisadores finalmente publicaram um
versão de seu artigo tendo redigido um componente do algoritmo [ ]

www.cybok.org
.8. Tratamento internacional e conflito de leis

A existência de direitos de propriedade intelectual e avaliação da primeira propriedade são normalmente
medido por referência ao local onde esses direitos passam a existir [ ]
Após a criação em um estado, a existência de direitos autorais é geralmente reconhecida na maioria dos estadoss
em todo o mundo pela operação de vários tratados de direitos autorais [ ] Se um autor escreve algum
software enquanto residente no Estado A, as leis de direitos autorais do Estado A são normalmente vistas como
fonte de autoridade para identificar a existência e propriedade inicial desse copyright, enquanto
tratados obrigam a maioria dos outros estadoss para fazer cumprir os direitos autorais em seus territórios (sujeito a
limitações ou exclusões concedidas por esses estadoss).
Concessões de direitos de propriedade intelectual registrados (por exemplo, patentes e marcas registradas) são
feito em um estadopor estado. Quando marcas comerciais idênticas ou confusamente semelhantes são registradas
tratado em um estado diferentes para diferentes proprietários, os direitos de cada proprietário são igualmente válidos dentro
seu respectivo território registrado. Isso pode causar confusão quando o proprietário de uma marca registrada em um
estado faz uma acusação de violação contra o proprietário de um segundo, quase idêntico,
marca registrada em outro estado [ ]
A infração e as defesas contra a infração são normalmente avaliadas por referência à lei de
o local onde a propriedade intelectual é infringida [ ] Em casos de direitos autorais, os tribunais
mostram uma vontade persistente de aplicar as regras (e limitações) impostas por seus
leis de direitos autorais com relação a trabalhos que são distribuídos ou exibidos no estado através da Internet
[, ] Os tribunais também estão dispostos a fazer valer patentes domésticas contra instancias domésticas.
ções de invenções reivindicadas entregues como parte de uma oferta de serviço global [ ]
. INTERMEDIÁRIOS DA INTERNET - PROTETORES DE

RESPONSABILIDADE E PROCEDIMENTOS DE REMOÇÃO
[ , 8]
Durante os anos, os legisladores em todo o mundo adotaram exceções especiais para proteger cer-
isentar os provedores de serviços de comunicação da responsabilidade por conteúdo online em circunstâncias
posturas. As mudanças foram feitas em resposta aos primeiros casos que mantiveram essa comunicação
prestadores de serviços responsáveis sob as interpretações então existentes das leis de responsabilidade de conteúdo, incluindo
direitos autorais e difamação. Esses escudos podem ser estruturados como defesas afirmativas, o que significa
que o uso do escudo depende da capacidade do acusado de provar que tem o direito
a ser tratada sob a exceção pertinente.
Na União Europeia, essas exceções à responsabilidade eram geralmente exigidas pelos Artigos -
da Diretiva de Comércio Eletrônico. Estes fornecem blindagem de responsabilidade generalizada em relação a 'mera
conduit ',' hosting 'e' caching 'serviços [ ] . 6 Estes princípios são transpostos para
lei estadual da maneira usual.
Na lei dos EUA, várias proteções de responsabilidade decorrente de direitos autorais, difamação, etc., foram
adoptada assunto a assunto. 66
O escopo mais amplo de isenção de responsabilidade é normalmente concedido àqueles cujo serviço
consiste em atuar como um mero canal de dados. 6 Essas operadoras são frequentemente isentas de
responsabilidade sem exceção, embora possam ser ordenados a filtrar o tráfego como parte de um tribunal
plano de execução ordenado [ ]

www.cybok.org
Aqueles que fornecem um serviço que consiste em nada mais do que hospedar dados são muitas vezes ex-
esvaziado de responsabilidade relacionada ao conteúdo, a menos e até que eles tenham motivos para saber que seu
infraestrutura está hospedando conteúdo ilícito. 68 Neste ponto, eles geralmente têm a obrigação de tomar
para baixo conteúdo ofensivo 'rapidamente'. Confusão sobre como implementar esta obrigação
resultou em mudanças em algumas leis que agora especificam em detalhes como os avisos de retirada devem ser
enviado para organizações de hospedagem, e como as organizações de hospedagem são obrigadas a responder a estes
avisos. 6
O tópico de proteger os intermediários de serviços da responsabilidade tem controvérsia. Política

os fabricantes reexaminam essas disposições de exceção de responsabilidade de tempos em tempos [ , , 6, ]
Em 8, o Congresso dos EUA alterou o principal escudo de responsabilidade de conteúdo dos EUA para que ele não mais pro
protege qualquer pessoa em casos decorrentes de alegações de promoção da prostituição ou ação imprudente
desrespeito ao tráfico sexual.
. DEMATERIALIZAÇÃO DE DOCUMENTOS E
SERVIÇOS DE CONFIANÇA ELETRÔNICA
À medida que a era do comércio eletrônico se desenvolveu, aumentaram as preocupações sobre como transpor a metodologia tradicional
ods para garantir a autenticidade e integridade das informações (por exemplo, assinaturas, selos e indeléveis
tinta) em um formato que possa ser usado em ambientes totalmente eletrônicos e online. Tecnologia de segurança
especialistas em tecnologia responderam com uma série de novas tecnologias (muitas vezes baseadas em PKI) pretendido
para tratar dessas questões.
Isso, por sua vez, gerou uma série de questões legais que potencialmente interferem com a utilidade
de tais tecnologias. Estes se dividem amplamente em três categorias. O primeiro relaciona-se com o admis-
viabilidade dos documentos eletrônicos como prova em processos judiciais. A segunda categoria são
leis que ameaçam a exequibilidade legal das comunicações feitas em formato eletrônico. O terceiro
categoria refere-se à incerteza sobre os direitos e responsabilidades no fornecimento e uso de
serviços de confiança de identificação.
.. Admissão como prova de documentos eletrônicos

A admissibilidade de dados eletrônicos como prova em processos judiciais, uma vez que o assunto
de muita suspeita por parte dos tribunais, agora se tornou comum. Formuladores de políticas e juízes
tornaram-se cada vez mais confiantes à medida que os profissionais desenvolveram técnicas forenses para
garantir a autenticidade e integridade desses dados. Ocasionalmente, as regras locais exigem
procedimentos para a admissão de provas eletrônicas. Enquanto as disputas forenses sobre o peso para
ser de acordo com esta evidência persistir, isso não é conceitualmente diferente dos argumentos que
pode surgir sobre qualquer outro tipo de evidência registrada.

www.cybok.org
.. Requisitos de forma e a ameaça de inexigibilidade

Um requisito de forma é qualquer obrigação imposta pela lei aplicável que uma determinada comunicação
a aplicação será executória se e somente se assumir a forma prescrita. O não cumprimento de um
o requisito de forma aplicável cria o risco de que o assunto da comunicação
se tornará inaplicável no todo ou em parte.
Diferentes estados adotaram diferentes requisitos de forma ao longo dos séculos em

resposta a qualquer questão de política era ascendente na época. Como resultado, esses requisitos
são notavelmente diversos e podem surgir em uma ampla variedade de circunstâncias.
Exemplos de requisitos de forma adotados por vários estados incluem regras exigindo que,
a fim de ser executável:
• certos avisos legais devem ser entregues 'por escrito';
• certos tipos de compromisso devem ser por escrito e 'assinados' por (ou 'executados sob a
mão de ', etc.) a parte contra a qual a execução é solicitada;
• certas submissões a uma agência estadual devem ser feitas por meio de um formulário específico;
• certas cláusulas contratuais ou avisos que buscam restringir a responsabilidade devem ser apresentados em
uma moda proeminente (por exemplo, tudo em letras maiúsculas, negrito ou itálico, etc) para a festa
contra quem eles devem ser aplicados;
• certas cláusulas contratuais que visam restringir a responsabilidade devem ser rubricadas pela parte
contra quem eles devem ser aplicados;
• o último testamento e o testamento devem ser entregues por escrito e assinados pelo testador no
presença de um número prescrito de testemunhas, que também deve assinar o documento; e
• um documento de transferência de título para certos tipos de propriedade deve ser assinado na presença
de um oficial de justiça estadual, que deve, então, afixar um selo oficial ao documento.
Os exemplos acima destinam-se apenas a familiarizar o praticante com alguns dos mais
tipos comuns de requisitos adotados em diferentes leis por diferentes estadoss. Algum estados
e algumas leis impõem relativamente poucos requisitos, enquanto outras adotam agressivamente uma variedade
de tais requisitos.
Os sistemas eletrônicos de negociação foram desenvolvidos já nos 6s (consulte a Seção .6.) gerenciou
para contornar muitos desses problemas. Os requisitos de forma foram superados usando um quadro
contrato de trabalho. Os participantes firmam acordos por escrito (com assinaturas de tinta úmida no papel
ou seguindo qualquer outro requisito de forma que possa ser imposto a esses contratos), que
constituem a base das relações contratuais entre os participantes.
Plataformas de negociação mais recentes construídas em padrões abertos, muitas vezes direcionadas a empresas e con-
verãos, obteve ganhos iniciais ao negociar no assunto (por exemplo, a venda de livros e outros pequenos
bens de consumo ), onde os contratos poderiam ser concluídos e os pagamentos liquidados, com poucos ou nenhum
desafios baseados em requisitos de forma.
Há um amplo consenso internacional de que deve ser possível criar e conduzir

relações comerciais em um ambiente online. Em 6, as Nações Unidas encorajam formalmente
envelheceu todos os estados para permitir relacionamentos comerciais online [ 8] Muitos estados ao redor do mundo
adotou contemporaneamente uma variedade de leis e regulamentos projetados para permitir que
conduta de linha de vários tipos de transações, relações comerciais, relatórios administrativos,

www.cybok.org
ações judiciais, etc. Muitos foram adotados no contexto específico de habilitação de assinaturas digitais
e serviços de confiança, conforme discutido na Seção . ..
A aplicabilidade legal das comunicações relacionadas a outros assuntos, especialmente tópicos

tais como a alienação dos bens de um falecido e a transferência do título de propriedade imóvel
erty, têm sido mais lentos na transição para as plataformas eletrônicas. Estes costumam reter signi cativos
requisitos de forma que tornam a implementação eletrônica de comunicações relevantes
impraticável a menos e até que os estados decidam alterar suas leis.
.. Assinaturas eletrônicas e serviços de confiança de identidade

O surgimento do comércio eletrônico moderno foi contemporâneo ao surgimento da identidade
serviços de confiança, especificamente aqueles que emitem certificados digitais que vinculam a identidade de um
pessoa com uma determinada chave pública em uma PKI.
Conforme os padrões de engenharia para esses serviços de confiança de identidade começaram a surgir, dois
perguntas surgidas para consideração por qualquer pessoa que desejasse fornecer ou fazer uso destes
Serviços:
• até que ponto uma 'assinatura' digital produzida usando tal sistema seria ac-
equivalência legal com fio com uma assinatura com tinta úmida no papel; e
• a natureza dos direitos e responsabilidades de várias pessoas envolvidas na manutenção

e uso desses sistemas.
A questão da equivalência legal para assinaturas é apenas um subconjunto do mais geral

problema de requisitos de forma discutido na Seção . .. Na medida em que várias leis
impor a exigência de 'assinar' uma comunicação, muitos estados adotaram leis para fornecer
equivalência legal para assinaturas eletrônicas na maioria, mas não em todas as circunstâncias.
A questão dos direitos e responsabilidades das pessoas envolvidas em acordos de serviços de confiança
é significativamente mais complexo [ ]
Considere primeiro as responsabilidades potenciais de um emissor de certificado em uma operação padrão de três cantos
modelo internacional.A lei da negligência (consulte a Seção ..) cria imediatamente uma série de
desafios para quem atua como emissor de certi cados, entre eles: qual a natureza
do dever devido a um terceiro com base em um certificado; quais são os padrões apropriados de
cuidado neste novo modelo operacional; e que dano é previsível quando ocorrem erros? Específico
cenários de responsabilidade variam de um desastre em todo o sistema causado pelo comprometimento não detectado
de um certificado raiz ou aw técnico no mecanismo de autenticação, para o ocasional (al-
embora recorrentes e talvez inevitáveis) casos de emissão indevida de um certificado após
a identificação incorreta de um signatário.
Considere também as responsabilidades potenciais de um signatário ou um terceiro que depende de um certificado -

cate. O debate político inicial focou significativamente no grau em que as assinaturas devem ser
vinculativa para o signatário relevante - especialmente quando essa pessoa pode ter perdido o controle do
dispositivo de criação de assinatura. Este é um problema surpreendentemente antigo na lei, comumente encontrado no
contexto de máquinas de assinatura de cheques, carimbos de assinatura e semelhantes, adotados por empresas,
instituições financeiras, profissionais médicos, etc. Grande parte do debate político sobre este assunto
parece agora estar concentrado nas leis de assunto que regem casos de uso específicos,
tais como aqueles adotados para regular os serviços de pagamento eletrônico [ , ]
A falta de certeza sobre esses problemas fez com que os emissores de certificados procurassem métodos para
limitar ou racionalizar sua responsabilidade. Uma estratégia comum para limitar a responsabilidade, entrando
www.cybok.org
em contratos que incluem cláusulas de limitação, enfrenta um problema significativo. Formando uma con
trato entre o emissor e a pessoa confiável normalmente requer a comunicação da oferta
e aceitação entre essas pessoas (ver Seção .6) A maioria dos sistemas foi projetada para
permitem confiança sem a intervenção constante de apresentar a um usuário novos termos e
condições cada vez que uma parte confiável encontra um novo fornecedor de certificado. Da mesma forma, certi -
emissores de dados podem desejar alertar as partes confiantes sobre o escopo do assunto apropriado
para os quais os certificados podem ser usados.
A comunidade de desenvolvimento de tecnologia tentou resolver essas preocupações incorporando

nos campos de dados específicos dos certificados projetados para comunicar limites de confiança e escopo
de limites de uso. Essa estratégia enfrentou um conjunto diferente de desafios jurídicos. Na prática, o certi -
cates tendem a ser enterrados em segmentos raramente acessados da interface do usuário. Além disso, um vasto
número de usuários finais cujas máquinas podem depender desses certificados provavelmente falharão
compreender os dados neles apresentados, visto que os dados dos certificados tendem a ser apresentados em um
moda altamente técnica. Nessas circunstâncias, surgiram dúvidas significativas sobre o
capacidade de criar uma limitação exequível de responsabilidade entre o emissor do certificado e o
contando com terceiros. 6
Estadose especialistas jurídicos intervieram com uma variedade de recomendações e, em seguida, leis, em-
tentador abordar essas questões [ 6 , 6 , 6 , 6] Essas leis, muitas vezes identificadas com o
termo 'assinatura digital' ou 'assinatura eletrônica' em seus títulos, normalmente adotado alguns
nação das seguintes intervenções políticas:
• obrigar a aceitação de assinaturas eletrônicas como prova legal;
• exigir a equivalência legal de assinaturas eletrônicas que atendam a determinados requisitos mínimos
características técnicas para garantir a autenticação e integridade da mensagem;
• instruir os juízes de que as assinaturas eletrônicas (mesmo aquelas que fornecem pouca ou nenhuma tecnologia
garantia técnica de autenticação ou integridade) não pode ser recusada equivalência legal meramente
porque eles assumem uma forma eletrônica, mas deixando em aberto a possibilidade de negar o equivalente
influência por outros motivos;
• impor a um emissor de certificado o dever de cuidado devido a terceiros que confiam no certificado -
cates;
• inverter o ônus da prova por operação negligente de uma empresa emissora de certificado,
de modo que um terceiro lesado não seja mais obrigado a provar negligência, mas sim o
o emissor do certificado é obrigado a provar a operação não negligente;
• estabelecimento de estruturas de regulamentação para encorajar técnicas e não técnicas superiores

padrões de cuidado na operação de uma empresa de emissão de certificados;
• fornecer aos emissores de certificados a capacidade de limitar sua responsabilidade nanceira, apresentando
a limitação no próprio certificado, quer o terceiro de confiança realmente veja
esta limitação; e
• fornecer aos emissores de certificados a capacidade de excluir a responsabilidade por determinado assunto
apresentando a exclusão no próprio certificado, seja o terceiro ou não
analisa esta exclusão.
Existe algum grau de variação entre os estadoss sobre como eles escolheram abordar esses
questões. Nem todos os estadoss adotaram todas essas intervenções. Muitas dessas intervenções
estão sujeitos a uma variedade de condições ou limitações adicionais. Um tema recorrente diz respeito
www.cybok.org
a relutância dos legisladores em reduzir os direitos de outra forma garantidos pela proteção ao consumidor
leis.
Embora algumas dessas leis sejam de natureza geral, outras são mais restritas para abordar
assunto específico. Em alguns casos, a lei delega autoridade a um órgão regulador para
adotar legislação secundária específica e / ou normas técnicas em uma base específica temática.
Qualquer profissional que espera desenvolver uma plataforma em uma área onde os requisitos de forma são
lugar-comum deve pesquisar e revisar as leis e regulamentos aplicáveis para reduzir o cumprimento
risco de habilidade.
Embora muito debate e discussão tenham se concentrado em emissores de certificados, signatários e terceiros
partes que contam com certificados, outro ator neste domínio é mais frequentemente esquecido: o
pessoa que seleciona quais emissores de certificado devem ser confiáveis por padrão. Este 'certificado
a função de seleção do emissor é rotineiramente realizada, por exemplo, por produtores de rede de consumo
navegadores. Isso talvez seja inevitável, já que a grande maioria dos usuários finais não teria razão
método final de discriminar entre emissores de certificados de boa e de má qualidade. Esta
levanta a questão de definir qual dever de cuidado esses seletores de emissor de certificado podem ter
para os usuários finais. 8
.. Conflito de leis - assinaturas eletrônicas e serviços fiduciários

A natureza das assinaturas eletrônicas e serviços de confiança invariavelmente implica conflitos de lei
quando as partes relevantes estão em estados diferentes. Considere um emissor de certificado localizado no Estado A, a
signatário localizado no Estado B que adquire um certificado e o usa para criar assinaturas digitais,
e um terceiro contando com o certificado localizado no Estado C.
Avaliar a equivalência legal da assinatura pode se tornar complicado, dependendo de

cuja lei impõe um requisito relevante de forma que exige uma 'assinatura'. No caso de
documentos que pretendem transferir a titularidade de bens imóveis, a questão da equivalência jurídica
quase certamente será respondida por referência à lei do estado onde o imóvel
a propriedade está localizada independentemente da localização do emissor do certificado, signatário ou terceiro
partidário. (Ou seja, este poderia ser um quarto Estado D.) O estado em que a propriedade imóvel
está localizado é, em quase todas as circunstâncias, o único que pode afirmar com credibilidade a aplicação
jurisdição sobre uma disputa de título, pois é o único soberano que poderia confiscar a propriedade. Dentro
questões de um contrato simples entre um signatário não consumidor e um terceiro não consumidor
parte, os tribunais europeus devem estar dispostos a encontrar a validade formal do contrato se ele cumprir
os requisitos de validade aplicados pela lei do estado escolhido pelas partes para reger o
contrato, a lei do Estado B, a lei do Estado C, ou possivelmente a lei do habitual
residência se diferente de qualquer um destes (Roma I, Art) [ ] Onde consumidors estão envolvidos,
os tribunais europeus só considerariam esse contrato transfronteiriço válido se fosse considerado válido
sob a lei do consumidorresidência habitual de.
Determinar a lei aplicável em relação às limitações de responsabilidade é igualmente complexo. Vigarista-

sider, por exemplo, a capacidade de um emissor de certificado de confiar em uma limitação de responsabilidade concedida
sob a lei de serviços fiduciários ou de assinatura digital do Estado A. Se o terceiro no Estado C trouxer
uma ação de negligência contra o emissor do certificado, a lei de responsabilidade civil aplicável pode muito bem ser a lei
do Estado C (consulte a Seção .6) A lei do Estado C pode não reconhecer a limitação de responsabilidade
de outra forma concedida pela lei do Estado A, especialmente nos casos em que pessoas lesadas estão agindo como
consumidors. Em outras palavras, o valor de qualquer exclusão de responsabilidade ou limite concedido por tais leis
torna-se questionável quando os relacionamentos cruzam fronteiras.
www.cybok.org
. OUTRAS QUESTÕES REGULATÓRIAS

Esta seção abordará brevemente outros tópicos regulatórios diversos que um cyber se-
pode-se esperar que o praticante de curadoria encontre.
.. Regulamentações específicas da indústria e Diretiva NIS

Uma ampla variedade de reguladores de um único setor adotou a segurança cibernética dentro do quadro
trabalho de seu papel mais amplo regulando as indústrias sujeitas [ 6 ] Muitos reguladores de serviços financeiros,
por exemplo, em seu papel de reguladores do risco operacional em serviços financeiros, sempre
tinha algum grau de jurisdição do assunto sobre as operações de segurança cibernética. Detalhes de
o gerenciamento de riscos de segurança cibernética ganhou destaque no registro de serviços financeiros
ulação e pode-se esperar que continue a ter destaque [ 6 ]
Da mesma forma, dentro de profissões que têm deveres de confidencialidade legalmente exigidos para clientes ou
cujos clientes desfrutam de privilégios legalmente exigidos que proíbem a divulgação de clientes-profissionais
comunicações (por exemplo, advogados e médicos) reguladores profissionais tornaram-se cada vez mais
atento aos problemas de segurança cibernética.
Muitos desses vários regulamentos incluem obrigações de relatar ou divulgar violações de segurança.
Tais requisitos de divulgação operam além de quaisquer obrigações impostas pela proteção de dados
legislação nacional (consulte a Seção .) Isso cria um cenário potencialmente confuso ao considerar
obrigações de divulgação [ 66]
Como estados começaram a se concentrar mais fortemente nos riscos de segurança cibernética, os reguladores existentes
foram incentivados a incluir a segurança cibernética em suas estruturas de supervisão e regulamentação
especialmente no contexto de infraestrutura nacional crítica.
Na União Europeia, isso foi acelerado pela adoção da diretiva da UE sobre

trabalho e sistemas de informação (Diretiva NIS) [ 6 ] O artigo da diretiva exige que
outros estados para garantir que os 'operadores de serviços essenciais':
• 'tomar medidas técnicas e organizacionais adequadas e proporcionais para gerenciar

os riscos que representam para a segurança da rede e dos sistemas de informação que usam em
suas operações ';
• 'tomar medidas adequadas para prevenir e minimizar o impacto dos incidentes que afetam
a segurança da rede e dos sistemas de informação utilizados para o fornecimento de tais
serviços essenciais, a fim de assegurar a continuidade desses serviços »; e
• 'notificar, sem demora indevida, a autoridade competente ou o CSIRT de incidentes que tenham um
impacto signi cativo na continuidade dos serviços essenciais que prestam ».
A implementação do Reino Unido transfere a responsabilidade pela supervisão regulatória para competidores relevantes
autoridades regulatórias - instruindo os reguladores da indústria existentes a adotar e fazer cumprir a segurança cibernética
obrigações estabelecidas na diretiva [ 68]
Os esforços para usar a regulamentação para aumentar a segurança cibernética na sociedade continuam a ter muitas
formulários. O debate continua sobre quais modelos de regulamentação são mais eficazes [6 ]

www.cybok.org
.. Incentivo ao aumento da segurança cibernética para produtos e serviços

A emergente Internet das Coisas e o crescimento que a acompanha de serviços baseados em nuvem criam
aumentaram os riscos de violações de segurança cibernética para o consumidorse empresa entrar-
prises. Os formuladores de políticas começaram a adotar estruturas legais para a certificação de conformidade
de produtos e serviços com vários padrões de segurança cibernética.
Na União Europeia, espera-se que a atividade de certificação opere no âmbito de

a Lei de Segurança Cibernética da UE [ ] (Veja também a discussão sobre marcas de certificação usadas pelo público
e organismos de normalização privados na Seção .8. ..)
Padrões de segurança relevantes podem surgir de uma variedade de fontes [ , ]
.. Restrições na exportação de tecnologias de segurança

Estados há muito impõem restrições à exportação de bens destinados ao uso em armas
conflito. Essas leis cresceram significativamente durante a Guerra Fria, enquanto o bloco ocidental afirmaé procurado
restringir o fluxo de tecnologias de defesa ao bloco oriental. Estas limitações de exportação
regimes também se aplicam a bens de 'uso duplo': produtos sensíveis que têm usos legítimos em ambos
paz e guerra. Embora uma variedade surpreendentemente ampla de produtos (e serviços) de uso duplo tenham
foram pegos nos termos de tais restrições, aqueles que são pegos porque
corpo, certas funções criptográficas têm sido especialmente controversas no campo do cyber
segurança.
Antes dos s, os EUA (e outros estadoss) regulamentou a exportação de criptografia forte

produtos com um pincel extremamente largo. As proibições de exportação foram enquadradas em tais expansivas
linguagem que quase qualquer exportação exigia licença prévia do governo. No início do
s, a implementação de criptografia forte em software para computação de propósito geral
ers, o crescente corpo de trabalho de pesquisa não governamental em criptografia, a disponibilidade
da Internet como meio de distribuir know-how e código-fonte, e a crescente presença
certeza de implementações criptográficas baseadas em padrões confiáveis em apoio ao ciberespaço
infraestrutura, colidiu com essas mesmas restrições à exportação.
Nos EUA, uma série de ações judiciaiss sob a lei de liberdade de expressão dos EUA (ou seja, a Primeira Emenda à
Constituição dos EUA) foram trazidos questionando a validade das regulamentações de exportação aplicadas à criptografia
software gráfico. O argumento apresentado procede, em essência, da seguinte forma: código-fonte
é expressivo, o conteúdo expressivo é fala protegida, portanto, o código-fonte é fala, o
as regulamentações de exportação são, portanto, uma restrição governamental prévia à expressão, como uma restrição prévia
os regulamentos devem ser adaptados de forma extremamente restrita para lidar com um perigo claro, mas os regulamentos
na verdade, as decisões são muito amplas e, portanto, não atendem ao critério constitucional. Os EUA
os tribunais lutaram com o conceito de se o código-fonte era protegido por 'discurso'. Eventualmente,
em Junger v Daley (), o Tribunal de Apelações dos EUA para o 6º Circuito considerou que o código-fonte
foi o discurso e considerou as regulamentações de exportação dos EUA inconstitucionalmente amplas [ ] 8 não
dúvida em resposta a este e outros desafios legais semelhantes em outros circuitos dos EUA, combinados com
forte lobby da indústria de TIC, o governo dos EUA emitiu regulamentos de exportação revisados para
criam restrições significativamente mais limitadas às exportações criptográficas [ ]
Muitos estadoss, incluindo os EUA, continuam a manter restrições à exportação para certos tipos de uso duplo
produtos, incluindo algumas implementações de tecnologia criptográfica. Qualquer pessoa envolvida em
a produção desses produtos deve revisar as leis aplicáveis com cuidado, pois as violações podem
ser processado como crime.

www.cybok.org
.. Assuntos classificados como secretos por um estado

Profissionais que são empregados ou contratados pelo estados estão rotineiramente sujeitos às leis que o homem
sigilo da data de certas informações classificadas como secretas por aqueles estadoss. Mais comumente, este
surge em um ambiente onde a divulgação de segredos relevantes pode prejudicar a defesa de
o estado, a integridade de uma investigação policial, a segurança ou eficácia das pessoas que conduzem
atividade de espionagem patrocinada pelo estado , etc.
Essas leis às vezes podem ser usadas para intervir e classificar como secretas a pesquisa e
trabalho de desenvolvimento de terceiros. Os praticantes também podem estar sob a alçada destes
leis quando funcionários de segurança do estado optam por divulgar certas informações classificadas relacionadas
às ameaças cibernéticas.
Essas leis tendem a autorizar penalidades criminais extremamente severas para aqueles que as violam.
. LEI PÚBLICA INTERNACIONAL

[ ]
O direito internacional público 8 é o corpo da lei que regula as relações entre e

estado entre adolescentess, que para este fim inclui organizações governamentais internacionaiss mas
exclui estado constituintes de um estado federal. Fontes de direito internacional público incluem
tratados, normas e costumes internacionais amplamente aceitos e decisões de
tribunais.
Apenas estados são considerados como tendo 'legitimidade' para fazer cumprir as reivindicações decorrentes do âmbito público internacional
lei. Pessoas não estatais normalmente são incapazes de tomar medidas legais contra o estados por violação
do direito internacional público. Uma pessoa não estatal pode ter o direito de tomar medidas legais contra
seu estado de origem por não cumprimento das obrigações impostas ao estado pelo público em
direito internacional, embora estaduals normalmente devem, de forma afirmativa, conceder esses direitos a entidades não estatais
pessoas [ ].8
Da mesma forma, o direito internacional normalmente procura regular o comportamento do Estados em vez de
as ações de seus residentes ou nacionais. 8 Operações cibernéticas realizadas por um não estatal
pessoa no Estado A contra pessoas ou infraestrutura no Estado B normalmente não constituem um
violação do direito internacional, a menos que a ação possa ser atribuída ao Estado A ou a algum outro
Estado C (consulte a Seção ..) Esta ação de uma pessoa não estatal poderia, no entanto, servir como um
justi cação legal sob o direito internacional para que o Estado B tome alguma forma de proporção
contramedida contra tais pessoas ou equipamentos no Estado A como um ato de legítima defesa
([ ] na R., cmt. )
Tornou-se amplamente aceito que os princípios do direito internacional público devem ser aplicados a
ações tomadas com relação ao ciberespaço [ , , , ] Dito isto, estadoVarredura
e divergem em suas opiniões sobre como esses princípios devem ser interpretados no contexto
de tipos específicos de operação cibernética. No momento em que este artigo foi escrito, o mais abrangente e mais
fonte publicada amplamente aceita de análise sobre a aplicação do direito internacional ao ciberespaço
operações é a reformulação do direito internacional encontrada no Manual de Tallinn. [ ]8

www.cybok.org
.. Atribuição de ação a um estado de acordo com o direito internacional

Atribuição é o processo de determinar se um estado é legalmente responsável segundo
lei para uma determinada ação. Uma série de doutrinas de direito internacional são usadas para definir quando um estado
é responsável por um determinado ato ([ ] na R. -). 8
Uma determinada ação pode ser legalmente atribuída a um estado se, por exemplo:
• a ação é realizada por um agente ou oficial do estado (como um funcionário ativo em serviço
membro do estadomilitares ou policiais); ou
• a ação é realizada por uma pessoa não estatal (como um provedor de serviços de tecnologia)
sob a direcção, ou com o encorajamento activo, do estado de funcionários.
Em circunstâncias extremas, se a atividade ilícita é regularmente iniciada por atores não-estatais de cy-
infra-estrutura dentro do território de um estado, e esse estado permanece intencionalmente cego para isso
atividade ou de outra forma deixar de exercer a devida diligência na tentativa de identificar e
restringir a atividade ilícita, então pode ser possível atribuir a atividade ilícita a esse estado.
Esta teoria não é sem controvérsia ([ ] em R.6-; R., cmt. ) [ 6]
.. Estado de operações cibernéticas em geral

O direito internacional público baseia-se no princípio da soberania territorial . 86 Um estado é dito
ser soberano dentro de seu próprio território, e também tem o direito de realizar atividades fora do
seu território é compatível com o direito internacional.
O direito internacional geralmente proíbe um estado de violar a soberania de outro ([ ]

na R.). Estados têm, no entanto, o direito de tomar as contra-medidas adequadas em resposta a uma
segundo estado que violou as obrigações que deve ao abrigo do direito internacional para com o primeiro
([ ] na R. - 6). Contramedidas são ações que normalmente violariam
lei que é dirigida contra o segundo estado em um esforço para encorajá-lo a cumprir com seu
obrigações ao abrigo do direito internacional.
As contramedidas devem ser proporcionais à violação reclamada do direito internacional por

o segundo estado. As contramedidas em resposta a uma operação cibernética ilegal podem consistir em
respostas cibernéticas ou não cibernéticas. Assim, contramedidas em resposta a uma operação cibernética que
violado o direito internacional poderia legitimamente consistir nas chamadas respostas 'cinéticas', ciber
respostas operacionais ou sanções econômicas [ ] Isso levanta um desafio recorrente quando
tentar entender como avaliar a 'proporcionalidade' relevante de não-cibernética contra-
medidas para uma operação cibernética que viole o direito internacional [ 8]
Uma operação cibernética de um estado dirigida contra outro estado é normalmente contrária ao prin-
princípios do direito internacional se interferir nos assuntos do segundo estado ([ ] na R.66).
Uma operação ciberofensiva, como uma operação DDoS, por exemplo, constituiria inter
ferência se usada para coagir o segundo estado de uma maneira projetada para influenciar os resultados em,
ou conduta em relação a, um assunto reservado ao estado alvo ([ ] na R.66, cmt.8 &).
Os resultados em questão não precisam ser de natureza física e podem incluir políticas domésticas
resultados ([ ] na R.66, cmt. )
Uma operação cibernética de um estado dirigida contra outro estado é normalmente contrária aos princípios
plausíveis do direito internacional se constituir um uso de força ou ameaça do mesmo ([ ] na R.68-).
Um estado que é vítima de um 'ataque armado' tem o direito de tomar contra-medidas proporcionais
certezas, incluindo o uso da força ([ ] na R.). Ações que constituem um ataque armado são

www.cybok.org
um subconjunto de atos que constituem 'uso da força' ([ ] em R., cmt.6). Encontrando a linha divisória
entre eles é um desafio e geralmente é medido por referência à escala e efeitos
do ato reclamado. No contexto da discussão da operação Stuxnet, por exemplo, o
Tallinn Manual. especialistas concordaram que se o Stuxnet fosse atribuído a um estado ,
instituir o uso da força; mas eles foram divididos sobre se a escala e os efeitos da operação
foram suficientes para constituir um 'ataque armado' ([ ] na R., cmt. )
Por causa da incerteza sobre quando a escala e os efeitos de uma operação cibernética são suf -
suficientemente severo para constituir um ataque armado, foi sugerido que algum estadodepilar
adotou uma estratégia usando essa incerteza para conduzir operações cibernéticas em uma 'zona cinzenta'
onde entre a paz e o conflito armado [ 8]
.. Espionagem cibernética em tempo de paz

A espionagem cibernética, por si só , durante tempos de paz não é geralmente considerada uma violação de
lei internacional ([ ] na R.) [ ,6, ]8
Vigilância cibernética e atividades de coleta de evidências conduzidas dentro do território de

um estado contra pessoas ou equipamentos em outro estado , portanto, não necessariamente con
constituir uma violação do direito internacional. Os métodos de espionagem, no entanto, podem facilmente violar o
lei criminal nacional do segundo estado (por exemplo, obtenção de acesso não autorizado a computadores
ers). Além disso, métodos que apoiam a espionagem, danificando equipamentos dentro do território
do segundo estado constituiria uma violação desse estadosoberania de e (se suficientemente
prejudicial) pode equivaler ao uso da força. 88
Um exemplo específico deste princípio se aplica aos esforços do estado para explorar a comunicação submarina
cabos para interceptar comunicações. Se um estado capta cabos secretamente
águas internacionais sem interromper significativamente sua funcionalidade, isso muito provavelmente
não constitui uma violação do direito internacional. Se um estado colocar a torneira dentro do território
águas de um segundo estado, no entanto, a operação constitui uma violação do segundo estadode
soberania ([ ] na R., cmt. )
.. Investigação criminal transfronteiriça

Ações de um Estado que constituem o exercício do poder de polícia no território de outro
(não relacionado) 8 estado normalmente constitui uma violação desse estadosob a soberania interna
direito internacional. Isso é fácil de ver nos casos em que os poderes da polícia envolvem o uso da força pessoalmente,
como fazer buscas em instalações físicas, ou prender ou interrogar um suspeito localizado no
segundo estado.
Atos de vigilância conduzidos de dentro do território de um estado que não envolvem

contato físico por aquele estadoagentes de com o território de outro estado são mais complexos para
analisar. Embora as ações de vigilância remota estaduais por si só não constituam violações
do direito internacional (ver Seção .), estabelecer métodos de coleta de evidências (como disfarçadamente
assumindo o comando remoto de um controlador de botnet ou outro equipamento localizado no território de
outro estado) pode constituir uma violação do outro estadoSoberania internacional
lei ([ ] na R., cmt. 8) e também pode constituir a prática de um crime sob o outro
Estadodireito interno.
No entanto, está bem documentado que a vigilância cibernética remota e a coleta de evidências
as atividades são conduzidas pelas agências de aplicação da lei de vários estadoss de vez para
Página 147
www.cybok.org
tempo com a autorização expressa ou implícita do estado investigador, e dirigido contra

infra-estrutura cibernética localizado em outro, sem seu consentimento, estado [ ]
.. A lei do conflito armado

Após o início do conflito armado, a conduta da atividade dentro do contexto daquele
conflito é dito ser regido pela 'lei de conflito armado' (também conhecido como a 'lei
de guerra 'e' direito internacional humanitário '.) Operações cibernéticas estaduais conduzidas como parte de
um conflito armado é avaliado por referência à lei do conflito armado. O Manual de Tallinn
. aborda este tópico com alguns detalhes ([ ] na Parte IV, R.8 -).
Este campo é objeto de amplo estudo e debate por parte da liderança militar de muitos
Estados, que investem tempo e esforços significativos produzindo orientação jurídica para seus militares
comandantes sobre aquele estadointerpretação e implementação da lei. Algum
destes são publicados e disponíveis para revisão pública [ 8 , 8 , 8] Manual do US DOD
aborda especificamente as operações cibernéticas [ 8 ]
O significado preciso de 'conflito armado' está sujeito a algumas divergências, embora seja amplamente
entendeu que o conflito armado pode (e muitas vezes existe) na ausência de qualquer decisão formal
laração da guerra ([ ] em R.8, cmt. ) Durante o curso do conflito armado, alguns
obrigações legais (por exemplo, a Convenção de Chicago sobre aviação civil) são suspensas ou
erely alterado como entre o estado beligeranteestá envolvido em hostilidades.
Os princípios-chave que sustentam a lei de conflito armado incluem:
• Necessidade militar : um estado pode usar a força necessária para derrotar um inimigo
de forma rápida e eficiente, desde que tal força não viole outros princípios do
lei do conflito armado.
• Humanidade : um estado não pode causar sofrimento, lesão ou destruição que não seja necessário para
cumprir um propósito militar legítimo.
• Distinção (também conhecida como Discriminação) : um estado deve se esforçar para distinguir os militares
e objetos de pessoas e objetos civis. Isso impõe uma obrigação a um bel-
estado ligerente para distinguir seus próprios militares e objetos de civis
e objetos, bem como trabalhar para distinguir militares do estado inimigo e pessoas civis
e objetos.
• Proporcionalidade : um estado não pode agir de maneira irracional ou excessiva.
Uma questão recorrente de discussão entre os especialistas diz respeito ao que é necessário para tratar um cyber
operação, por si só, como um 'ataque' ao abrigo da lei do conflito armado. O Manual de Tallinn.
refere-se a tal operação como um 'ataque cibernético', que o grupo de especialistas define como um ciberataque
operação 'que se espera razoavelmente causar ferimentos ou morte a pessoas ou danos ou danos
construção de objetos '([ ] na R.). A caracterização de uma operação cibernética como uma ciberoperação
ataque sob o direito internacional é crítico, já que a lei de conflito armado limita como o estadoassustador
esses ataques.
Estado beligerantes devem evitar direcionar seus ataques (o que incluiria ataques cibernéticos)
contra pessoas ou objetos civis ([ ] na R., &). Exceções surgem com relação a
civis que participam de conflitos armados ([ ] na R. 6,).
Embora os princípios do direito do conflito armado não estejam significativamente em disputa, como
interpretar e aplicá-los no contexto de operações cibernéticas específicas levanta uma série de

www.cybok.org
perguntas atuais. Por exemplo, muitos especialistas jurídicos consideram que o princípio de não
alvejar ataques cibernéticos contra objetos civis se aplica apenas a objetos tangíveis e que
dados tangíveis, como tais, não se enquadram na definição legal de 'objeto' [ 8 ] Este foi o
vista da maior parte do Manual de Tallinn. grupo de especialistas, embora uma minoria desse grupo
sentiram que intangíveis, como dados, deveriam contar como 'objetos' se o efeito de danificar ou alterar
tais dados foram suficientemente signi cativos ([ ] em R., cmt.6). Existe um acordo mais amplo,
no entanto, que uma operação que visa e altera os dados, o que por sua vez causa ferimentos às pessoas
ou danos à propriedade, aumenta ao nível de ataque cibernético ([ ] em R., cmt.6).
Outra dificuldade na aplicação diz respeito à mistura de infra-estruturas cibernéticas militares e civis
estrutura. De acordo com a lei de conflito armado, se um objeto for usado tanto para fins militares como não
fins militares torna-se um objetivo militar ([ ] na R.). Isso leva à possibilidade
que componentes significativos da infraestrutura cibernética pública, incluindo rede de dados de uso duplo
infraestrutura de serviços de nuvem e integração, poderia ser caracterizada como um alvo legítimo de ciber
ataque em tempo de conflito armado (sujeito a outras limitações legais, como a necessidade de respeitar
os princípios de humanidade e proporcionalidade) ([ ] na R., cmt. -). Alguns discutiram
que tais resultados apontam para a necessidade de reconsiderar como o direito internacional público deve operar
erate neste contexto [ 8 ]
. ÉTICA
Os profissionais de segurança cibernética muitas vezes se veem operando em posições de confiança, onde
conhecimento e habilidades sociais potencialmente lhes dão poder assimétrico para influenciar ou interromper o
assuntos de seus clientes ou outros membros do público. Aqueles que agem fora de um determinado
relacionamento com o cliente, como desenvolvedores de produtos e pesquisadores acadêmicos, exercem especial
habilidades de maneira que possam causar danos a uma ampla variedade de terceiros. Praticante ativo-
muitas vezes ocorrem a portas fechadas, longe do brilho do escrutínio público. Isto é um
mistura volátil. Normas éticas podem ajudar a coibir comportamentos que abusam de posições de confiança
ou de outra forma representem risco significativo para o público.
As primeiras orientações éticas de segurança cibernética se concentraram significativamente na gestão de riscos legais, como
responsabilidade decorrente de leis de propriedade intelectual, proteção de dados e privacidade [ 8 ] Apesar
os profissionais devem permanecer cientes das leis que se aplicam às suas ações, em conformidade com o
a lei, por si só, pode ser insuficiente para orientar um praticante para a ação ética.
Como uma prática geralmente realizada na ausência de regulamentação profissional formal do estado
ção, é difícil identificar normas generalizáveis que se espera que se apliquem às atividades
realizadas por profissionais de segurança. Esta seção levantará alguns dos problemas recorrentes
e fontes potenciais de orientação.
.. Obrigações devidas a um cliente

Uma revisão de algumas obrigações normalmente devidas por profissionais regulamentados aos clientes pode ser
útil à medida que as sociedades (e vários corpos profissionais nascentes) continuam a desenvolver abordagens
às obrigações que devem ser devidas pelos profissionais de segurança cibernética a seus clientes.
No mínimo, pode-se identificar vários deveres de cuidado que surgem sob contrato ou direito civil
para realizar serviços e outras atividades que envolvam risco de uma forma razoável e com
perícia apropriada. Os designers de produtos também devem várias obrigações legais nos termos do
regras normais de responsabilidade civil.

www.cybok.org
Normalmente, espera-se que os profissionais regulamentados ajam no melhor interesse de seus clientes, para
evitar conflitos de interesse e manter a confidencialidade dos assuntos do cliente. Enquanto afirma
adotar ativamente esses tipos de obrigação por contrato muitas vezes não é controverso, é difícil
pode surgir quando um profissional de segurança e um cliente discordam sobre o curso mais apropriado
de ação em circunstâncias específicas.
Podem surgir desafios com relação à divulgação não obrigatória de evidências a terceiros interessados
partidos. Se um praticante descobre evidências de atos errados e não há superveniência
obrigação legal de relatar essa evidência, o médico e o cliente podem discordar sobre
a divulgação de tais provas a terceiros interessados, como autoridades policiais relevantes,
CERTs ou vítimas de atos ilícitos.
Esses casos podem ser difíceis de navegar. Nos casos de evidências de crimes econômicos dirigidos
contra o cliente (por exemplo, pequeno furto), o cliente pode ver a divulgação pública como mais prejudicial
do que lidar com o assunto apenas em uma base disciplinar interna. Nos casos em que um funcionário
é considerada como tendo prejudicado um terceiro por meio de ações ilícitas, como negligência, divulgação
transferir esta evidência para a vítima pode prejudicar financeiramente a empresa do cliente
por meio de responsabilidade indireta.
Outros casos difíceis surgem quando os interesses do médico e do cliente não estão alinhados.
Alguns sistemas de ética profissional, por exemplo, permitem que um profissional regulamentado divulgue
algumas partes das informações confidenciais de um cliente como parte de uma atividade legítima de cobrança de contas
(por exemplo, entrando com uma ação legal por quebra de contrato relacionada à entrega de confidencial
Serviços). Essas divulgações devem normalmente ser limitadas às informações que são necessárias para
processar a cobrança e pode vir com obrigações de buscar ordens de proteção adequadas do
tribunais.
Ações por um profissional que interferem com o funcionamento adequado da infra-estrutura de seu cliente
tura em um esforço para exercer influência indevida sobre o cliente são desagradáveis na melhor das hipóteses, e podem
cruzar a linha da conduta criminosa na pior das hipóteses. Uma ameaça expressa ou implícita de tal ação parece
não melhor.
Resta saber se as relações cliente-praticante de segurança cibernética se tornarão o

objeto de regulamentação formal do estado ou licenciamento oportuno.
.. Códigos de conduta
Vários organismos profissionais publicaram códigos de conduta e diretrizes éticas para cy-
profissionais de segurança. Muitos deles se referem a princípios éticos de alto nível, sem o mais
orientação detalhada que é necessária para auxiliar os profissionais com a interpretação dos princípios
ples.
Exemplos de dois códigos de conduta mais recentes e cuidadosamente considerados são apresentados abaixo
por consideração. Um é enquadrado como um código de aplicabilidade geral e o outro é construído em torno de um
processo de negócios definido.
A Association for Computing Machinery pode traçar sua história até meados do século XX
e mantém uma associação global de mais de, [ 8 ] O Código de Ética ACM
e a Conduta Profissional foi amplamente revisada em 8 para levar em consideração o impacto de
conectividade de dados [ 86] O Código ACM revisado fornece vários pontos de orientação relevantes
para o campo da segurança cibernética. O ACM também fornece materiais complementares para auxiliar na
compreensão e aplicação do Código [ 8 ]
www.cybok.org
O Código ACM demonstra claramente as dificuldades de equilibrar os imperativos éticos. Em seu

advertência para evitar danos (Seção.), afirma que há uma 'obrigação adicional de relatar
quaisquer sinais de riscos ao sistema que possam resultar em danos '. Enquanto o Código aborda a possibilidade
de 'denúncia' como uma técnica de relatório em circunstâncias apropriadas, também adverte
que 'relatórios caprichosos ou mal orientados de riscos podem ser prejudiciais. Antes de relatar riscos,
um profissional de computação deve avaliar cuidadosamente os aspectos relevantes da situação ”.
Em contraste, o CREST foi estabelecido no Reino Unido no início do século XXI originalmente como um
órgão de filiação para rms que fornecem serviços de teste de penetração. 6 No momento em que escrevo,
tem mais de 8 rms membros credenciados [ 88] O teste de penetração é um serviço
que deve ser uma preocupação significativa para o público: assimetria de informação significa que os clientes são
geralmente incapaz de distinguir boas práticas de más, os serviços são fornecidos confidencialmente
longe do escrutínio público, e os erros do médico podem causar danos desproporcionais aos clientes
ou terceiros. O Código de Conduta CREST para Indivíduos Qualificados CREST fornece orientações
ance em vários tópicos relevantes para a entrega desses serviços, incluindo metodologia de serviço,
práticas comerciais éticas e obrigações devidas aos clientes [ 8 ] O Código CREST também pro
vides um mecanismo de reclamação do cliente e a organização reserva-se o direito de expulsar
adesão aqueles que não cumprem o Código CREST. Na medida em que os clientes exigem
que os fornecedores de serviços relevantes mantenham a adesão ao CREST, esses mandatos podem lentamente
migrar o CREST de uma associação puramente voluntária para um regulador de fato de
aqueles que fornecem esses serviços.
Pelos padrões históricos, a segurança cibernética apresenta um conjunto relativamente novo de métodos e
processos que são, na melhor das hipóteses, mal compreendidos pelo público. Códigos generalizados como o ACM
Os códigos são úteis, pois orientam uma comunidade de pessoas com conhecimentos técnicos relevantes
que podem trabalhar em campos tão diversos quanto pesquisa e desenvolvimento ou gerenciamento de segurança.
Códigos específicos de serviço, como o Código CREST, são úteis, pois se concentram claramente em
serviços de risco. Códigos de conduta, sem dúvida, continuarão a se desenvolver como o impacto do cyber
a atividade do profissional de segurança no público torna-se mais bem compreendida.
.. Teste de vulnerabilidade e divulgação

O processo de busca, localização, divulgação e ação em resposta a vulnerabilidades de segurança
bilidades causam problemas éticos (e legais) recorrentes [ , ]
. . . Teste de vulnerabilidades
Os profissionais que testam vulnerabilidades de segurança devem considerar cuidadosamente a natureza de suas
Atividades. O mero ato de estudar e analisar objetos, como produtos de hardware tangíveis
software, software licenciado residente localmente ou primitivas criptográficas publicadas e comunicações
protocolos catiónicos, é normalmente incontroverso. É difícil traçar uma linha de causalidade a partir de
o mero ato de análise para dano público.
Os profissionais devem ter cuidado, no entanto, para considerar a fonte do objeto de segurança sob
estudar. Pode haver uma distinção, por exemplo, entre a engenharia reversa de um chip de silício
para descobrir a funcionalidade de um esquema criptográfico de segredos comerciais e engenharia reversa
software de terceiros de proveniência suspeita que incorpora a mesma metodologia secreta.
Embora o primeiro possa ser geralmente permitido, o segundo pode constituir uma violação de
direitos de segredo comercial e resultam em responsabilidade ou restrições sobre a limitação da capacidade de publicar resultados
[ , ] (veja a discussão na Seção .8. e Nota )
Quando o teste de vulnerabilidade é conduzido remotamente, os métodos de teste podem aumentar
www.cybok.org
questões. Os praticantes devem primeiro permanecer cientes de que esforços não autorizados para obter acesso a
um sistema de computador é freqüentemente definido como um crime (consulte a Seção .) Conforme declarado no Código ACM
Seção .8, 'Um sistema acessível ao público não é base suficiente para implicar
autorização '[ 86] Se os praticantes estiverem testando em resposta a um programa de 'recompensa por bug', eles
deve revisar cuidadosamente os termos do programa para garantir que eles não excedam o
âmbito da atividade de teste autorizada.
Os profissionais também devem considerar o impacto potencial de seus métodos de teste no estado
bilidade de infraestruturas públicas ou privadas, incluindo aquelas que também são alvo de teste
como sistemas intermediários e de terceiros.
. . . Divulgação de vulnerabilidades
Aqueles que encontram vulnerabilidades de segurança enfrentam a escolha do que fazer com seu novo conhecimento
borda. Existem opções em um espectro de não fazer nenhuma divulgação, a publicar cada detalhe im-
mediatamente para o mundo em geral. Entre esses dois extremos encontra-se uma série de possibilidades.
Aqueles que não fazem nenhuma divulgação optam por fazê-lo por motivos diferentes. Alguns desejam fazer
nenhuma divulgação em um esforço para evitar problemas complicados de ética e responsabilidade potencial. Isto
é difícil conciliar esta posição com o princípio ético expresso no Código ACM
Seção .8 'para relatar quaisquer sinais de riscos do sistema que possam resultar em danos' [ 86]
Alguns que atuam em apoio às agências de segurança do Estado podem desejar manter o sigilo de
uma vulnerabilidade depois de decidir que os riscos e benefícios da divulgação superam os riscos e
benefícios de manter o sigilo [ , , , ] . 8 A ética desse equilíbrio de 'ações'
processo é um tópico de debate contínuo [ , 6]
Localizadores que optam por fazer uma divulgação pública total imediata das vulnerabilidades, sem
qualquer aviso prévio a qualquer pessoa afetada pode fazê-lo por uma variedade de razões. Alguns sugerem
que este é o único método certo de encorajar esforços de correção por parte dos desenvolvedores. Algum
não desejam investir no demorado processo de encenar a divulgação pública e privada
medidas descritas abaixo. Alguns temem que o envolvimento com os desenvolvedores resulte em uma intervenção legal
proibição de divulgação. É difícil conciliar esses argumentos com a orientação
do Código ACM para minimizar os danos.
Muitos profissionais seguem um princípio conhecido como 'divulgação responsável'. A ideia é dis-
fechar primeiro em uma base confidencial a uma pessoa ou grupo de pessoas que podem ser capazes de remediar
diate ou mitigue o impacto da vulnerabilidade. Depois de decorrido um período de tempo, o nder
pode então prosseguir para um segundo estágio de divulgação pública. A divulgação pública de segundo estágio é
muitas vezes justificado pelo médico na teoria de que a publicação permitirá que outros profissionais
estudar e evitar vulnerabilidades semelhantes e / ou incentivar fornecedores de produtos e serviços a
remediar a vulnerabilidade.
No momento em que este artigo foi escrito, parecia não haver princípios geralmente aceitos sobre a conduta adequada
de divulgação responsável. Os pontos de divergência incluem:
• como gerenciar a divulgação privada quando a vulnerabilidade faz parte de um amplamente adotado
padrão industrial;
• como gerenciar a divulgação privada quando a vulnerabilidade é encontrada em um produto que

forma um componente ou subcomponente em produtos downstream;
• definir o período de tempo apropriado entre as divulgações públicas e privadas;
www.cybok.org
• definir quais circunstâncias, se houver, impõem um prazo indeterminado para divulgação pública
certo; e
• definir como responder se os fornecedores ou compradores relevantes de produtos comprometidos

discordar do nder sobre a sensatez ou o momento da divulgação pública.
A divulgação pública de vulnerabilidades também pode criar responsabilidade ilícita para um provedor de divulgação,
especialmente se o processo ou sequência de divulgações for mal gerenciado ou a vulnerabilidade for
descrito incorretamente.
Profissionais que buscam justificar a publicação com base no fato de que geralmente está dentro da rubrica
de 'divulgação responsável' pode receber uma recepção fraca das autoridades estaduais [ , ]
Vários esforços para obter benefícios financeiros com a divulgação de uma vulnerabilidade também geram debate.
Aceitar uma recompensa nanceira de um fornecedor de acordo com um programa publicado de 'recompensa por bug'
parece agora ser amplamente aceito, especialmente porque o fornecedor controla os termos do
gramme [ ] Outras táticas mais controversas para monetizar descobertas incluem:
• solicitar uma 'recompensa por bug' nanceira de um fornecedor como condição de divulgação quando o
o fornecedor não tem um programa de recompensa por bug existente;
• vender o conhecimento da vulnerabilidade para um corretor terceirizado, que então revende as informações
mação; e
• envolver-se em atividades de comércio de mercado (por exemplo, venda a descoberto de ações negociadas publicamente de um vendedor)
em um esforço para lucrar com o conhecimento prévio de que uma vulnerabilidade em breve
seja publicado [ 8]
Profissionais que encontram vulnerabilidades durante o curso de seu trabalho como pesquisadores de segurança
devem ainda considerar até que ponto eles podem ser responsáveis perante seu empregador ou financiador
por quaisquer benefícios nanceiros obtidos.
. . . Facilitar e agir em divulgações de vulnerabilidade
Os fornecedores de produtos e serviços devem considerar como podem facilitar e, em seguida, agir sobre
divulgações vulne- em uma maneira que minimize prejudicar a clientes e terceiros pessoas.
Os princípios-chave para facilitar o manuseio adequado do fornecedor quanto às divulgações de vulnerabilidade incluem:
lishing métodos aceitáveis para nders divulgar vulnerabilidades para o fornecedor, trabalhando dili-
suavemente para verificar a vulnerabilidade assim que ela for divulgada, desenvolvendo remediação ou mitigação
estratégias, disseminando xes, trabalhando com parceiros da cadeia de suprimentos e fornecendo feedback
para nders.
Uma estrutura para desenvolver políticas e processos de fornecedores específicos pode ser encontrada em ISO / IEC
(o processo de recebimento e tratamento de informações sobre vulnerabilidades) e ISO / IEC
(o processo de verificação e correção de vulnerabilidades) [ , ] Agências estaduais
também publicaram orientações variadas sobre este tópico, que são revisadas de tempos em tempos [ ,
]
www.cybok.org
. CONCLUSÃO: GESTÃO DE RISCO LEGAL

Seção . . apresentou uma maneira de um determinado Bob pensar sobre o risco de uma ação legal de
uma determinada Alice. Havia muitos pontos implícitos nessa introdução, no entanto, incluindo o de Bob
consciência de: Alice, seu direito de ação, bem como detalhes de substantivos e procedimentos aplicáveis
lei dural. Por si só, a função apresentada é mais útil após o fato - depois que Bob recebe
uma ameaça
agement antesdedo
ação legal de Alice. O objetivo desta seção é considerar o homem de risco legal
fato.
Qualquer pessoa que busca entender o risco legal geralmente começa com um déficit de informações. Simplesmente aprenda
sobre as muitas leis e regulamentos que podem ou devem influenciar o funcionamento de um único
empresa pode ser proibitivamente demorada e cara.
Este problema se multiplica de acordo com o número de jurisdiçõess com os quais uma pessoa pode estar
lidar - um desafio significativo se o ciberespaço realmente permitir o contato com todas as jurisdições
no mundo. Na era moderna de mais de duzentos estados soberanosé reconhecido sob
direito internacional público, além de centenas de estadoss que são membros de uma estrutura federal ou semelhante
tura, além de incontáveis dezenas (ou centenas) de milhares de jurisdições municipais adicionaiss com
vários graus de autoridade legislativa e de aplicação da lei, apenas descobrindo o conteúdo
de leis e regulamentos aplicáveis e a avaliação dos riscos de execução podem ser uma tarefa monumental
tarefa. Obrigações de direito privado impostas por contrato e (potencialmente voluntárias) de autorregulação
sistemas complicam ainda mais as coisas. Em um campo onde contatos e relacionamentos multinacionais
são comuns, as considerações sobre os limites efetivos do poder do Estado também são apropriadas.
A seguir estão alguns assuntos a serem considerados ao construir uma gestão de risco legal
estrutura.
Identifique as áreas de assunto de maior risco. A natureza das actividades desenvolvidas por um per-
filho ajuda a identificar quais leis e regulamentos serão mais significativos para essa pessoa.
Por exemplo, bancos, provedores de infraestrutura de telecomunicações e provedores de serviços médicos
e os serviços jurídicos estão sempre cientes de sua necessidade de buscar e manter a licença adequada
censos às suas atividades. Os provedores de serviços de jogos (jogos de azar) também estão muito atentos a
a ampla variação de leis que se aplicam especificamente às suas operações. E todas as empresas são
extremamente ciente da necessidade de compreender as obrigações fiscais, de cobrança e de pagamento.
Considere o impacto na vida humana. Uma análise estrita de custo-benefício pode ser útil ao fazer
decisões operacionais, mas torna-se problemático onde questões de vida humana e segurança são
preocupado. Leis e regulamentos adotados para proteger a vida humana e compensar o pessoal
lesão deve receber um respeito especial. Um desrespeito flagrante de tais regras levanta signi cativa
preocupações morais e éticas e também podem resultar em medidas excepcionais ou punitivas quando
essas regras são aplicadas.
Conduza a devida diligência alinhada com os riscos identificados. Ninguém instrui um advogado para 'ir e
e todas as leis do mundo que podem ser aplicadas a qualquer coisa que eu fizer. ' Uma devida diligência típica
estratégia envolve primeiro identificar e investigar as leis que poderiam destruir ou levar à falência um
empreendimento. Outras leis e regulamentos podem se tornar cada vez mais signi cativos como uma empresa
cresce ou muda de personagem. As leis estrangeiras tornam-se cada vez mais significativas à medida que a empresa
faz contato crescente com a nova jurisdiçãos.
Considere os limites práticos da jurisdição de execução territorial . Na era da comunicação online
merce, algumas empresas ficam paralisadas de medo sobre as potenciais obrigações legais
para centenas de estadoss cujos residentes podem obter acesso ao conteúdo do site. Aqueles que permanecem

www.cybok.org
paralisado pode sair do negócio. A maioria dos outros tenta adotar abordagens pragmáticas que
inclua esforços de boa fé para filtrar conteúdo ou de outra forma bloquear o acesso a residentes do estados
que caracterizam os produtos ou serviços de alguém como ilícitos.
Considere o custo relativo de violação de uma obrigação legal (não criminal). Cometer um crime é
diferente de deixar de cumprir uma obrigação civil. Há momentos em que o custo de responder
uma ação legal civil é menor do que o custo de conformidade. Mais comumente, isso ocorre na con
texto de um contrato comercial cujo desempenho se tornou antieconômico, ou uma regulamentação civil
exigência com uma penalidade nanceira fixa. Em circunstâncias apropriadas, uma pessoa pode rea-
concluir com segurança que repudiar sua obrigação civil (e aceitar o risco de uma ação legal
por danos monetários) é menos caro do que cumprir a obrigação correspondente.
Considere os riscos para a reputação pessoal, segurança e liberdade de cada um. Prática de segurança cibernética
usuários são às vezes confrontados com situações em que são tentados, ou instruídos, a
violar o direito penal. Aqueles que enfrentam esta circunstância devem lembrar que eles podem per-
sofrer fisicamente as consequências de suas ações, independentemente de qualquer incentivo que tenha sido
fornecido por um empregador ou cliente.
Considere a probabilidade de aplicação. Há momentos em que pessoas que têm direitos legais
opte por não aplicá-los. Por exemplo, o risco de ação legal de um indivíduo natural
pessoa que sofreu uma perda de minimis como resultado de um delito comercial menor pode ser diminuída-
incrivelmente pequeno. Se os direitos de milhares ou milhões dessas pessoas puderem ser reunidos
em uma ação coletiva, entretanto, o risco aumenta significativamente.
Considere os desafios de coletar, preservar e apresentar evidências. Esforços para fazer cumprir
direitos legais e esforços para se defender contra reivindicações, todos dependem da capacidade de provar, ou para refutar
os esforços de um adversário para provar, os fatos subjacentes em disputa. Considere quais problemas irão voltar
exigir a prova quando uma parte adversa busca fazer cumprir um direito legal, e como se pode cobrar e
preservar as evidências para um padrão forense apropriado em antecipação à necessidade de defender
contra este esforço. Os profissionais também são aconselhados a explorar os parâmetros de qualquer aplicativo
documento de cabo ou política de retenção de dados, que envolve a rotina e regularmente agendada
destruição ou exclusão de documentos. Enquanto a destruição de rotina de documentos de acordo com
dança com uma política de governança cuidadosamente definida é geralmente permitida, esses procedimentos
normalmente deve ser suspenso na medida em que os documentos possam ser relevantes para qualquer ação legal
ção iniciada ou ameaçada. Qualquer tentativa de destruir evidências que possam
ser relevante para tal ação legal muitas vezes constitui uma violação da lei e pode resultar em
consequências graves.
Considere a responsabilidade indireta. A única maneira certa de reduzir a responsabilidade vicária é influenciar
comportamento do funcionário para reduzir o número de atos que são ilícitos ou violam a aplicação
regulamentos de cabos. Documentos de governança interna destinados a reduzir a responsabilidade perante terceiros
deve, portanto, ser escrito com o objetivo de in uenciar esse comportamento.
Considere a localização de atividades de risco em uma pessoa jurídica de responsabilidade limitada separadas. Advogados rotineiramente
aconselhar clientes empresariais em relação à criação e estruturação de pessoa jurídica separadas
em um esforço para conter passivos dentro de pools definidos de capital de investimento. Isto é um complexo
assunto que requer navegação cuidadosa.
Considere os riscos externos ao sistema jurídico, por si só. Em algumas circunstâncias, o ótimo
maior risco decorrente de uma ação legal ou uma ameaça de ação legal não tem quase nada a ver com
leis ou regulamentos, como tal. Considere, por exemplo, o impacto de uma possível ação legal sobre
a reputação de uma organização ou o impacto de uma descoberta adversa na manutenção de
licenças estaduais relevantes para conduzir negócios.

www.cybok.org
Considere as mudanças na lei ou na política de aplicação que possam surgir. Sociedades e política
os fabricantes geralmente estão se tornando mais conscientes do impacto da segurança cibernética. Como está ciente-
ness aumenta, estadose seus agentes podem aumentar as atividades de fiscalização, reexaminar como-
sugestões sobre a política existente e intervir rapidamente com leis emendadas ou novas.

www.cybok.org
]
]
] E ] dados
[ ]
[ [ [
.
você ohl eu [
C K
] ] sobre
E 8 ] lei
[ Bossler, [
Manual [
y Diretrizes
Charlesworth
]
Allinn Alden
OurivesT Rowland,
E [ Murra C Holt,
Seigfried-Spellar
CloughManual
proteção
GDPR
. Jurisdição X X X X X X
. Proteção de dados X X X X
. Crime virtual X X X
.6 Contrato X X
.8 Propriedade intelectual X X
. Intermediários de internet X X
. Lei pública internacional X
NOTAS
O processo civil rege questões relacionadas ao processo em procedimentos legais não criminais, como a forma de
alegações apresentadas ao tribunal (incluindo o tamanho e a forma do papel em que foram escritas), tempo permitido
para súplicas e respostas defensivas, métodos de notificação às partes, expansão ou redução do número
das partes em um processo judicial, o escopo da divulgação obrigatória de evidências potenciais, ordens de gestão de casos,
métodos de apelação de decisões adversas, etc. Exemplos dessas regras podem ser encontrados na [Inglaterra e País de Gales]
Regras de Processo Civil, Título 8 do Código dos Estados Unidos e as Regras Federais de Processo Civil [dos EUA].
O procedimento criminal rege as questões relacionadas ao processo em procedimentos criminais. Porque processo criminal
põe em risco a liberdade individual do acusado, essas regras são fortemente influenciadas pela legislação de direitos humanos,
podem ser significativamente diferentes do processo civil e, portanto, são frequentemente mantidos separadamente do processo civil
as regras. Exemplos dessas regras incluem a Lei de Procedimento Criminal e Investigações 6 do [Reino Unido], o Federal [EUA]
Regras de Processo Penal, etc.
As regras de prova regem a apresentação e o exame da prova perante um tribunal. Isso pode incluir
questões como a proibição de algumas categorias de evidências de boatos, apresentação do chamado 'computador
provas ', introdução e exame de depoimentos de especialistas, exame admissível e interrogatório
técnicas, etc.
Os profissionais de segurança cibernética não estão sozinhos nesse aspecto. Advogados altamente experientes exigem rotineiramente
ance do 'advogado local', que são contratados especificamente para garantir o cumprimento dessas regras ao tentar
para gerenciar disputas multiestaduais.
Veja a nota
6 Provas anedóticas recolhidas pelo autor ao longo de muitos anos de legal comercial internacional com foco em TIC
prática, no entanto, sugere fortemente que muitas das normas expressas nesta área de conhecimento também são refletidas
nos sistemas de direito civil (ver Nota ) . Não há nenhuma alegação de que as normas apresentadas aqui seriam necessariamente encontradas
em outros sistemas de direito interno, como aqueles baseados na doutrina religiosa ou no direito consuetudinário sui generis .
Os praticantes podem querer pensar neles como 'Alice real' e 'Bob real' como distintos de 'Dispositivo
Alice 'e' Device Bob '.
8 Os leitores ignoram as notas por sua conta e risco.
Enquanto juristas e juristas tendem a concordar com o processo de emenda legislativa à lei, a ideia
que a evolução dos valores sociais pode levar a mudanças na interpretação da lei não alterada não é universalmente
aceitaram. Dependendo do sistema de direito em questão, alguns juristas e juristas consideram que
KA NOTES | Outubro Página

www.cybok.org
algumas leis representam valores imutáveis (talvez até universais) e rejeitam qualquer outra noção como inadequada
ou herético. Essa discordância também expõe uma tensão recorrente na definição e manutenção da divisão das pernas.
islativo da autoridade judicial. Para o profissional de segurança, este debate pode ser simplificado da seguinte forma: por qualquer
mecanismo, a lei muda ao longo do tempo.
A natureza e os desafios dos estudos jurídicos foram bem resumidos por David Feldman, QC [ ]
O ritmo de mudança em várias leis depende de quão profundamente enraizadas elas estão nos valores sociais. Certo
princípios fundamentais relativos à administração da justiça (por exemplo, o direito de notificação e o direito de apresentar
um caso a um tribunal), são tão lentos para mudar que parecem, no espaço de uma única geração, ser
imutável. Outros tipos de legislação (por exemplo, legislação tributária) são emendados continuamente.
Na verdade, a utilidade relativa de um sistema de direito sem dúvida depende dessa característica de previsibilidade de
resultado. Uma visão contrária, até mesmo niilista, do direito e da análise jurídica é encontrada na escola acadêmica de crítica
estudos Jurídicos. Um exemplo bom e acessível é a bolsa de Girardeau Spann [ ]
Os sistemas de direito consuetudinário são derivados da legislação da Inglaterra. Estes são os fundamentos dos sistemas jurídicos
no estados que tinham estreitas conexões históricas com a Grã-Bretanha, incluindo Inglaterra, País de Gales, Irlanda, Austrália,
Nova Zelândia, Cingapura, a maioria das províncias constituintes do Canadá, a maior parte do estado constituintes do
Estados Unidos, etc. Como resultado, este sistema de lei é quase onipresente nos territórios anglófonos.
Os sistemas de direito civil são derivados de uma mistura de leis germânicas, napoleônicas e / ou nórdicas. Estes são
a base dos sistemas jurídicos em toda a Europa (com exceção de algumas jurisdições de common lawareia
no estados que tinham estreitas conexões históricas com a Europa continental. Estes incluem estado europeué tal
como França, Alemanha, Itália, Suécia e Rússia, e um estado não europeus como Argentina, Brasil, México e
Japão. (No caso do Japão, o estado de Meiji do final do século XX selecionou o direito civil da Alemanha como o principal
base para seu programa de modernização legal [ ].)
Veja a discussão sobre 'código' no texto que acompanha a Nota
6 Na experiência do autor, confundir um 'projeto de lei' (não uma lei) com um 'estatuto' (lei) não é uma ocorrência incomum
entre os profissionais de segurança cibernética que não estão acostumados com a pesquisa jurídica. Isso é especialmente fácil para o
descuidados que tropeçam na montanha anual de projetos de lei apresentados por membros do Congresso dos EUA que
nunca se tornou lei.
Como uma exceção limitada e restrita, alguns afirmams adotar a prática de examinar a história legislativa (como o
série de projetos de lei conforme foram emendados no processo de debate para se tornarem lei) como um meio de ajudar a
interpretar a lei como finalmente adotada.
8O status da legislação da União Europeia no Reino Unido após o Brexit é complexo. O Reino Unido adotou
legislação que geralmente continuará dentro do corpo da legislação interna do Reino Unido, aquelas leis pré-Brexit da UE que são mais
relevantes para a segurança cibernética (por exemplo, regulamentação de proteção de dados), a menos e até que o Parlamento do Reino Unido decida divergir
princípios jurídicos da UE.
No contexto de um sistema de estado federals, ' estado estrangeiro'pode incluir outro estado membro da federação
ção Assim, os tribunais do Estado de Nova York considerariam as interpretações da lei emitida pelos tribunais do Estado de
Califórnia como as decisões de um estado estrangeiro. Como tal, eles não constituiriam autoridade vinculativa em Nova York
Tribunais estaduais, embora possam ter valor como fonte de autoridade persuasiva. Esta discussão não deve
ser confundido com o assunto da execução de sentenças estrangeiras (ver Seção .)
Por exemplo, o Código dos Estados Unidos (USC) (uma coleção de atos díspares do Congresso dos EUA
organizado em forma de código por editores que revisam o código conforme legislação adicional é adotada ou alterada),
e o Bürgerliches Gesetzbuch (BGB) (o código abrangente do direito civil alemão adotado em massa no
início do século th e alterado de tempos em tempos).
Por exemplo, o Code of Federal Regulations (CFR) (uma forma codificada de legislação secundária dos EUA).
Por exemplo, o Código Comercial Uniforme (UCC) (um conjunto de leis modelo produzido como um projeto conjunto de
a Uniform Law Commission e o American Law Institute, que por sua vez foi adotado com alguns
variações pela maioria dos estados constituintess dos Estados Unidos e, portanto, tornou-se extremamente influente).
Esta última categoria às vezes pode sugerir o desenvolvimento futuro do direito, como estados podem decidir mandatar
conformidade com códigos que começaram a vida como regras sugeridas. Da mesma forma, os tribunais podem usar códigos consultivos como uma forma
de interpretar responsabilidades, como a exigência de agir 'razoavelmente' na avaliação da responsabilidade por negligência.

www.cybok.org
Por exemplo, o Manual de Tallinn (uma reformulação do direito internacional público aplicável a operações cibernéticas)
e a Reafirmação (Terceiro) de Delitos: Responsabilidade de Produtos [ , ]
Isso pode ser simplificado com a observação: 'Não existe um' lugar 'como o ciberespaço'.
6 Alguns argumentos criativos contra esse resultado incluem a tentativa de caracterizar o ciberespaço como 'território '
que existe separadamente do estado soberanos, tentando assim descrever um conjunto universal e harmonizado de
princípios legais que devem ser aplicáveis a todos os usos do ciberespaço globalmente e, em alguns casos, rejeitando o auto
autoridade do estado soberanos para intervir no ciberespaço-Atividades relacionadas. O melhor deles é interessante
experimentos em filosofia jurídica [ 6]
Os méritos relativos de definir uma inteligência artificial como uma pessoa para fins legais foram considerados
por acadêmicos jurídicos de vez em quando [ , 8]
8 Uma variedade de outras doutrinas jurídicas pode criar responsabilidade para pessoas como resultado de ações dirigidas por um
inteligência artificial [ ]
Vários crimes de fraude financeira são frequentemente definidos desta forma, por exemplo, exigindo prova de que o acusado
tinha uma intenção específica de enganar ( cientista ). Muitos dos crimes de computador discutidos na Seção . . não deve
requer tal prova.
A intenção criminosa (ou sua falta) deve ser distinguida das circunstâncias em que a lei expressamente prevê
uma defesa como 'interesse público', 'necessidade pública' ou 'autodefesa'.
'Direito civil' neste contexto, significando direito não criminal, não deve ser confundido com o termo 'direito civil' como um
meios de classificar os sistemas de direito, como os encontrados no estados da Europa continental. Veja a nota .
Princípios da lei de direitos humanos projetados para garantir um julgamento justo para Alice muitas vezes forçam pessoas como Bob a
adiar sua ação civil até que o processo criminal pertinente seja concluído. A diferença nos padrões de prova ,
é inteiramente possível que Alice seja considerada 'inocente' do alegado crime e ainda seja considerada responsável pelo alegado
delito
A lei do Reino Unido proíbe expressamente a introdução do conteúdo de tais comunicações interceptadas
cações como prova em processos judiciais.
Esta definição de 'prova'está em nítido contraste com uma' prova matemática '. No campo da matemática, para
'provar' algo significa estabelecer a inegabilidade como uma necessidade lógica - estabelecer a verdade de uma proposição
além de qualquer disputa. (Por exemplo, a prova do teorema de Pitágoras.) Em contraste, a prova de um evento do mundo real
em um tribunal nunca resulta em certeza absoluta. Um investigador de fato em um processo legal deve chegar a uma conclusão
em menos do que certeza total. Um jornalista de tecnologia resumiu isso de forma eloquente quando declarou: 'O propósito
da lei não é alcançar a verdade filosófica ou matemática, mas tomar uma realidade confusa e alcançar o viável
resultados com os quais a sociedade pode conviver ]'[
Uma 'defesa afirmativa' é contrastada com outros tipos de defesa onde a parte busca um direito de ação
continua a ter o ônus da prova. Por exemplo, em um processo criminal por homicídio segundo a lei inglesa, se
'auto-defesa' as reivindicações acusados continua a ser da responsabilidade do estado para provar além de qualquer dúvida razoável
que o acusado NÃO tem direito à defesa. Em contraste, uma alegação de 'insanidade' é uma defesa afirmativa
ao abrigo do direito penal inglês. O ônus de provar a insanidade recai sobre o acusado, embora o padrão da prova
exigido é apenas o 'equilíbrio de probabilidades' [ ]
6 Existem muitas críticas possíveis a esta abordagem para explicar a análise de risco legal, incluindo o foco em
'custo' como um determinante do risco. Fatores além dos meros financeiros são considerados na Seção ..
Embora os tribunais usem a mesma frase para descrever os dois padrões de prova, eles permanecem livres para definir
diferentemente no contexto da interpretação de duas leis diferentes adotadas para dois propósitos diferentes.
8 Este termo também pode ser usado para descrever o assunto e a autoridade territorial de uma pessoa jurídicas criado por
tratado entre estados, como uma organização governamental internacionals (por exemplo, o ITU) e propósito especial
organizações municipais multiestaduais (por exemplo, The Port Authority of New York e New Jersey, e o Washington
[DC] Autoridade de Trânsito da Área Metropolitana).
Em contraste, ' jurisdição do assunto'refere-se ao escopo do assunto que pode ser abordado
por uma determinada entidade. Por exemplo, um único estado pode escolher dividir seu sistema judicial em duas partes: uma que
trata apenas de reclamações criminais e uma que trata apenas de questões civis. Embora a jurisdição territorial
de ambos os tribunais podem ser idênticos, a jurisdição do assunto é claramente diferente. Da mesma forma, o escopo de

www.cybok.org
autoridade delegada a agências regulatórias individuais, ministros de estado, etc., constituem um tipo de assunto
jurisdição dessa agência.
Uma boa introdução aos princípios da jurisdição jurídica para processos civis encontra-se na reformulação Bruxelas I
Regulamento, que apresenta as regras normalmente aplicáveis às matérias civis nos tribunais localizados no âmbito europeu
União [ ]
Para tomar um exemplo ccional reconhecidamente excêntrico do Velho Oeste, no filme Silverado Sheriff Langston
(retratado por John Cleese) interrompe sua perseguição de suspeitos de crimes pelo deserto após um
atirador abre fogo em seu pelotão. Ele justifica sua ação explicando ironicamente a seus companheiros: 'Hoje minha jurisdição
termina aqui '[ ] O dilema do xerife Langston ilustra a relação entre o poder do estado e a fiscalização
jurisdição. Exemplos não-funcionais que exploram os limites territoriais do poder de aplicação do estado são prontamente
disponíveis, embora controversos e, em alguns casos, objeto de disputas jurídicas diplomáticas e internacionais.
Veja vários estatutos dos EUA que criminalizam atos de homicídio contra cidadãos norte-americanos enquanto no exterior codi cados em 8
USC §.
As razões pelas quais essa atividade pode não ser ilegal sob a lei do primeiro estado incluem, mais obviamente, onde
o primeiro estado não adotou nenhuma lei para criminalizar a atividade de hacking denunciada. Alternativamente, o primeiro
Estado pode criminalizar a atividade em circunstâncias normais, mas oficialmente garante a operação cibernética de acordo com
à autoridade interna legal do primeiro estado. Neste segundo cenário, a pessoa que realiza a operação
normalmente seria imune a processo criminal no primeiro estado, mas sujeito a processo criminal em
o segundo. Esta discussão concentra-se exclusivamente na responsabilidade da pessoa não estatal relevante que realiza a ação cibernética
Operação. A responsabilidade do estados uns aos outros para tais operações é tratado no direito internacional público (ver
Seção .)
Os assuntos de espionagem e coleta remota de evidências são discutidos nas Seções . . & . .
A disputa sobre o controle legal dos servidores-raiz do DNS, e sua resolução informal, embora dramática, é re-
contado por Goldsmith e Wu e criticado por Froomkin, entre outros [, ]
6 Um banco nesta situação enfrenta o problema prático de dois estados concorrentesestá fazendo demandas conflitantes:
um ordenando o pagamento e um segundo proibindo o pagamento. Levando a análise um passo adiante, imagine o que
poderia acontecer se (em um esforço para evitar ações de aplicação adversas pelos Estados Unidos) a filial de Londres
de um banco dos EUA recusou-se a cumprir a sentença de um tribunal inglês. Este banco pode comprometer sua capacidade
para conduzir atividades bancárias regulamentadas em Londres. Presumivelmente, o depositante também pode pedir aos tribunais ingleses
assistência à execução exigindo a apreensão e confisco de fundos detidos por tais bancos americanos inadimplentes
em depósito em outros bancos no Reino Unido. O depositante também pode tomar a decisão e solicitar a execução
por estado de terceiros onde o banco dos EUA também mantinha fundos em depósito. Esses são os tipos de análise que surgem
quando uma pessoa não estatal considera o risco de mandatos estaduais potencialmente conflitantes .
No contexto do sistema federal dos EUA, cada estado- membro dos EUA normalmente é obrigado a fazer cumprir a lei civil
julgamentos emitidos por tribunais de outro estado membros sob o mandato constitucional de dar 'plena fé e
crédito 'para atos de outro estado dos EUAs. (Constituição dos EUA, Art IV, Sec.) Uma regra semelhante se aplica na União Europeia por
aplicação do Capítulo III do (reformulação) Regulamento Bruxelas I [ ].
8 Para evitar um ponto de confusão ocasional, se um suspeito estiver viajando do Estado A para o Estado C e eles estiverem
em trânsito no Estado B, a polícia do Estado B normalmente consegue prender esse suspeito ao chegar ao Estado B.
continua a ser verdadeiro mesmo que o suspeito não solicite a entrada no Estado B. Os suspeitos de crimes podem ser, e têm
sido, preso nas áreas de trânsito internacional dos aeroportos.
A frase de Lessig 'código é lei' tem sido objeto de ampla discussão entre os tecnólogos e
advogados [ ] Lessig destaca a estreita inter-relação entre os controles tecnológicos (código de computador) e
controles de governança humana (código legal). Ambos são mecanismos que podem servir para limitar a forma como os sistemas são usados.
Cada mecanismo tem uma utilidade diferente. E, em última análise, cada mecanismo pode influenciar o outro. No entanto, o
frase foi interpretada por alguns como significando que 'quem quer que escreva o código do computador está essencialmente fazendo o
lei'. A história de como as leis são aplicadas em relação às atividades relacionadas à Internet sugere fortemente que este
interpretação é (na melhor das hipóteses) terrivelmente enganosa e (na pior) não compreende a direção da causalidade entre
computador e código legal.
Embora os tecnólogos certamente tenham desfrutado da vantagem do pioneiro na escolha do design do arquivo subjacente
proteção da Internet e aplicativos relacionados, legisladores - e as sociedades para as quais eles atuam como representantes
- responderam fortemente com suas próprias opiniões sobre como os sistemas deveriam funcionar. Como um autor disse ironicamente
observado, a opinião da sociedade parece ter mudado 'de "Código é Lei" para "Lei é Lei"' [ 6 ] Em outras palavras, um

www.cybok.org
não deve presumir que as pessoas que escrevem o código (de computador) são as mesmas que criam o código
normas a serem aplicadas.
O papel significativo desempenhado por vários operadores de plataforma na filtragem de conteúdo em um estado-speci c ba-
sis e fornecer ferramentas de geo-filtragem semelhantes aos seus clientes fornecedores de conteúdo é frequentemente esquecido na política
debate.
Um exemplo de filtragem colaborativa é encontrado no trabalho da Internet Watch Foundation. Entre outros
coisas, a IWF mantém um banco de dados de URLs de sites conhecidos por hospedar imagens de abuso sexual infantil. Este banco de dados
é usado por vários provedores de serviço para restringir o acesso a esses sites [ 6]
A opinião do juiz Lynch, concordando, é especialmente interessante, pois ele escreveu para destacar muitos dos mais
aspectos políticos perturbadores e contra-intuitivos que resultariam do julgamento e 'para enfatizar a necessidade
para ação do Congresso para revisar um estatuto muito desatualizado '.
Embora o caso da Microsoft tenha sido encerrado antes do julgamento, a extensa coleção de resumos levou a
a Suprema Corte dos EUA por uma variedade de terceiros interessados constitui um tesouro de análise e defesa
cácia neste tópico. Ainda é possível que uma futura disputa seja levada aos tribunais dos EUA para desafiar o
autoridade do Congresso dos EUA, nos termos da Constituição dos EUA, para estender a jurisdição dessa forma. Enquanto
o resultado de qualquer desafio futuro é discutível, parece improvável que tenha sucesso.
O significado preciso de 'consentimento legal e voluntário' no Artigo b da Convenção de Budapeste tem

suscitou muita discussão. Uma área de preocupação recorrente é a aceitação por parte de algum estados de apelo criminal
técnicas de negociação como meio de obter o consentimento de suspeitos de crimes [ , ] 'Consentimento' é um desafio
assunto desafiador na lei, geralmente [ 8] Veja também a Seção . ..
Embora as pessoas mais frequentemente discutam a questão da soberania dos dados no contexto da divulgação forçada de
dados, outras intervenções do estado também podem ser possíveis, como alteração ou exclusão obrigatória de dados, ou obrigatória
interrupção do serviço.
6 Métodos usados em um esforço para mitigar este risco usando tecnologia criptográfica, fragmentação de banco de dados ou repli-
cação sobre servidores em vários estadoss, etc. estão fora do escopo desta área de conhecimento.
O regulamento, é claro, não interfere com quaisquer regras de localização de dados impostas por razões de estado
segurança, uma vez que esta área está fora da jurisdição regulamentar da União Europeia.
8A discussão na seção se concentra principalmente nos direitos de privacidade da pessoa físicas. Estados pode e
aplique estes direitos ou direitos semelhantes à pessoa jurídicas, embora os direitos de privacidade da pessoa jurídicas pode ser menor que
aqueles atribuídos a pessoas naturaiss em algumas circunstâncias.
Para compreender o contexto jurídico dos instrumentos internacionais citados, consulte a discussão introdutória de
direito internacional público na Seção ..
6A natureza condicional do direito expresso no artigo é explicada em um relatório anexo [ , ]
6 No sistema jurídico dos EUA, por exemplo, a Quarta Emenda da Constituição dos EUA fornece um conjunto de direitos
que limitam apenas as ações do estado , enquanto a Constituição da Califórnia concede um direito geral de privacidade eficaz contra
ações estatais e não estatais. Tanto os EUA quanto seu estado constituintes promulgaram um grande número de leis
que regulam as intrusões sob várias condições. A paisagem é complicada.
6 Exemplos possibilitados pela economia emergente de aplicativos móveis incluem o processamento de dados relativos a
contatos pessoais, calendário e informações de agendamento, dados bancários e credenciais de autenticação, pessoais
notas e comunicações, histórico de navegação e compras, dados de relacionamento íntimo e uma variedade de informações sobre saúde
dados relacionados de freqüência cardíaca e padrões de exercício para dados de menstruação. Cada novo conjunto de dados apresenta uma pergunta
sobre a expectativa 'normal' de privacidade ao usar esses serviços, e o escopo permissível de intrusão por
estatal e nãopessoas do estado.
6 No caso referenciado de Smith v Maryland, a Suprema Corte dos EUA decidiu naquela divulgação forçada
a certeza dos registros de discagem do cliente não constituiu uma 'pesquisa' para os fins da Quarta Alteração para os EUA
Constituição, uma vez que o cliente não tinha expectativa de privacidade na lista de números discados [ 8]
6 Compare as informações que podem ser inferidas depois de descobrir que um alvo de investigação navegou
a uma string de URL, como 'web.example.com/politicalpartyname/how-to-renew-my-membership.htm' com o dis-
covery que a mesma pessoa discou um número de telefone como '- - -'. Neste exemplo, o URL meta-
www.cybok.org
os dados levam a uma forte inferência do conteúdo da comunicação e a provável capacidade de reconstruir os acessados
conteúdo precisamente.
6A Suprema Corte dos Estados Unidos, por exemplo, decidiu em 8 que um cliente de telefone celular tem uma expectativa razoável
ção de privacidade nos dados de localização e, portanto, o estado- a divulgação obrigatória destes dados constitui uma 'pesquisa'
para fins da Quarta Alteração [ ] Na Europa, os dados de localização do cliente foram expressamente protegidos sob
leis de privacidade e proteção de dados por algum tempo.
66 Considere, por exemplo, a capacidade de várias técnicas de desanonimização que podem ser aplicadas a meta-
dados, bem como o crescimento relatado da análise de metadados no campo da inteligência de sinais.
6 Existem, é claro, riscos associados à implementação dessas instalações e exemplos de como

eles foram abusados em violação da lei aplicável. As medidas anti-abuso podem e devem ser baseadas em ambos
controles tecnológicos e organizacionais.
68 A complexidade que um provedor de serviços multinacionais enfrenta em cumprir as obrigações legais de interceptação é
bem ilustrado no relatório de transparência publicado da Vodafone, que inclui um longo resumo dos
leis que enfrentam em 8 estados [ ]
6 Em um esforço para navegar pelas potenciais restrições ao relato de novos tipos de interceptação, alguns provedores de serviços
adotou a prática de publicar os chamados 'Warrant Canaries' - uma declaração publicada em uma base recorrente
que nenhum mandado de interceptação de um determinado tipo foi recebido. A teoria por trás dessa prática era que um
a falha subsequente em republicar a declaração Canário permitiria ao público inferir (sem a comunicação
fornecedor de cátions declarando expressamente) esse estado- a interceptação garantida havia começado. Esta prática parece
caíram em desgraça, provavelmente com a ajuda do status legal, às vezes discutível, da prática, além de
intervenções legais do estado nacional que tornaram esta estratégia mais difícil ou impossível de realizar dentro dos termos
da lei aplicável. Veja, por exemplo, USC § 8 (a) [ ]
Nos Estados Unidos, alguns tribunais sustentaram que os esforços para obrigar a divulgação de senhas geram escrutínio sob
direito dos direitos humanos, uma vez que obriga um suspeito a testemunhar contra si mesmo, enquanto a apresentação obrigatória de
uma impressão digital para desbloquear um dispositivo não aciona esta mesma objeção legal [ 6 ] Esta é uma área onde
os padrões permanecem obscuros e o tópico está maduro para mais disputa e desenvolvimento [ 66]
Um exemplo é s. da Lei de Regulamentação de Poderes de Investigação (Reino Unido).
Os profissionais devem ter o cuidado de distinguir entre atividades, como o desenvolvimento de uma comunicação
protocolo, escrevendo software que implementa um protocolo, fornecendo tal software ao público e fornecendo
um serviço que implementa um protocolo. Um teste rápido que pode ajudar a esclarecer uma pessoaO status de é perguntar isso
pergunta: 'O serviço de comunicações relevante continuaria a operar se os processos administrados por este
pessoa deixou de funcionar? ' Assim, uma pessoa que fornece serviços IMAP , serviços SMTP ou uma distribuição de chaves
serviço para suportar criptografia ponta a ponta para um aplicativo de comunicação é mais provável de ser classificado como uma comunicação
fornecedor de serviços de comunicações ao abrigo da legislação relevante do que uma pessoa que apenas escreve software que implementa
um protocolo. Os detalhes das leis aplicáveis divergem significativamente e devem ser investigados em um estadopor estado.
Por exemplo, Brady v Maryland [ ] Isso é menos provável de ocorrer na medida em que a lei de um estado (tal
como o Reino Unido) proíbe o uso de comunicações interceptadas como evidência em ação legals [ 6] em s. 6
A regra de exclusão dos EUA tem sido calorosamente debatida por mais de meio século.
Atividades realizadas por estados em defesa da segurança do estado geralmente ficam fora da jurisdição prescritiva
da UE. Estado membroOs s podem escolher individualmente aplicar princípios semelhantes no contexto de segurança do estado [8 ],
Papel .
6 Os profissionais não devem perder de vista esse propósito regulatório. Ao avaliar os riscos de vários processos
atividades e disposições de segurança no contexto do cumprimento da lei de proteção de dados, o risco a ser avaliado
é normalmente o risco de danos aos titulares dos dados - seres humanos vivos. Riscos enfrentados pela empresa de processamento (em
incluindo riscos de não conformidade com a legislação de proteção de dados) devem ser avaliados separadamente. Uma observação semelhante
pode ser encontrado no contexto do caso Carroll Towing discutido na Seção . . . e nota .
A tentativa de delinear 'pseudônimos' de dados 'anônimos' é um assunto de discussão significativa

[ ] Embora os detalhes dos métodos de desanonimização estejam além do escopo desta área de conhecimento, os exemplos parecem
prontamente disponível [ 6]
8 Por exemplo, o termo 'informações de identificação pessoal' é definido para os fins da lei de falências dos Estados Unidos
no USC § (A) e definido de forma diferente para os fins de uma lei federal que proíbe a divulgação de
www.cybok.org
históricos de locação de vídeo em 8 USC § (a) ().
Este é um resultado natural da abordagem dos Estados Unidos a este assunto, que consiste em adotar leis sui generis estreitamente elaboradas.
que se concentram especificamente em casos de uso individuais. As decisões citadas são tiradas de exemplos dos tribunais dos Estados Unidos
interpretando uma lei de 88 originalmente adotada para restringir a divulgação de registros de locação de vídeo conforme eles eram mantidos em
os 8 s. Os tribunais foram chamados a interpretar este estatuto de envelhecimento no contexto do serviço de streaming online
registros em. Os profissionais podem estar interessados em observar que, como os tribunais dos Estados Unidos têm a responsabilidade de
interpretar a vontade do Congresso dos EUA ao resolver esses casos, eles parecem desconhecer (ou talvez desinteressados
in) as de nições técnicas de PII oferecidas pelas publicações ISO e NIST [ , 8]
8 Na prática, pode haver uma forte tentação e pressão correspondente de supor que a ausência
de identificadores pessoais óbvios em um conjunto de dados significa que nenhum dado pessoal está presente. Uma abordagem melhor é
reconhecer que a lei de proteção de dados tende a medir as obrigações em proporção aos riscos apresentados por
qualquer atividade de processamento. Conjuntos de dados contendo dados pessoais sem identificadores pessoais óbvios podem
portanto, apresentam um risco menor quando processados, tornando a conformidade menos onerosa nesses casos.
8 Consentimento é talvez um dos termos menos bem compreendidos e calorosamente debatidos na lei de proteção de dados. Dentro
além de muitas fontes de orientação publicadas por autoridades públicas sobre este assunto, os profissionais que desejam
explorar este conceito em profundidade pode se inspirar fora do corpo da lei de proteção de dados [ 8]
8 As notificações discutidas nesta seção são distintas de requisitos separados, se houver, para compartilhar
informações sobre violação de segurança com reguladores específicos da indústria ou autoridades de coordenação de segurança (consulte
Seção . .)
8 por, 6 estados dos EUAs adotaram legislação exigindo alguma forma de notificação de violação de dados pessoais
às pessoas afetadas [ ]
8 Obrigações obrigatórias de comunicar violações de dados pessoais aos titulares dos dados, independentemente do risco de
danos foram criticados por uma série de motivos, incluindo: os titulares dos dados ficam sobrecarregados de comunicação
cações e são incapazes de distinguir o grau de risco apresentado por qualquer violação individual, comunicando a um
grande conjunto de titulares de dados consome muitos recursos, e a comunicação com os titulares de dados pode interferir
com a capacidade das autoridades policiais de investigar a violação.
8A OIC do Reino Unido explicou o ne proposto em sua Declaração de 8 de julho: 'O ne proposto refere-se a um
incidente cibernético notificado à OIC pela British Airways em 8 de setembro. Esse incidente envolveu em parte o tráfego de usuários
para o site da British Airways sendo desviado para um site fraudulento. Através deste site falso, detalhes do cliente
foram colhidos pelos atacantes. Dados pessoais de aproximadamente, clientes foram comprometidos em
este incidente, que se acredita ter começado em 8 de junho. A investigação da OIC descobriu que uma variedade de
informações foram comprometidas por acordos de segurança insuficientes na empresa, incluindo login, cartão de pagamento,
e detalhes de reserva de viagens, bem como informações de nome e endereço. '
86 A OIC do Reino Unido explicou o ne proposto em sua Declaração de julho: 'O ne proposto refere-se a um
incidente cibernético que foi notificado à OIC por Marriott em 8 de novembro. Vários dados pessoais contidos
em aproximadamente milhões de registros de convidados em todo o mundo foram expostos pelo incidente, dos quais cerca de milhões
relacionado a residentes de países do Espaço Econômico Europeu (EEE) Sete milhões eram parentes de residentes no Reino Unido.
Acredita-se que a vulnerabilidade começou quando os sistemas do grupo de hotéis Starwood foram comprometidos em
. Posteriormente, a Marriott adquiriu a Starwood em 6, mas a exposição das informações do cliente não foi
descoberto até 8. A investigação da OIC concluiu que a Marriott falhou em realizar a devida diligência suficiente
quando comprou a Starwood e também deveria ter feito mais para proteger seus sistemas. '
8 Como observa Ian Walden, 'classificar determinado assunto como criminalmente ilegal pode ser altamente contencioso
assunto, levantando questões de nicionais complexas, questões de causalidade e questões de direitos humanos, especificamente
direitos à privacidade, liberdade de expressão, reunião e associação '[ ] no para. .
88 O problema é apresentado no caso bem conhecido de R v Gold e Schifreen [ 8] Os acusados foram presos
no Reino Unido em 8, depois de obterem uma senha de sistema para um sistema de e-mail antigo e usá-la para acessar um
conta de e-mail atribuída a um membro da Família Real Britânica. Embora o acusado tenha sido originalmente condenado
após o julgamento em 86 por violar a Lei de Falsificação e Falsificação 8, a Câmara dos Lordes (na época, o
tribunal de último recurso do Reino Unido) anulou a condenação em 88, afirmando que a ação reclamada não era uma
violação do 8º estatuto.
8 Bruce Sterling fornece uma história interessante das primeiras investigações de crimes informáticos e esforços de acusação
na década de 8 pelas autoridades dos EUA, e descreve de forma colorida como às vezes eles erraram o alvo pretendido
KA NOTES | Outubro Página 6
www.cybok.org
[ ] Clifford Stoll também descreve os desafios contemporâneos que encontrou como cidadão em-
tentado a investigar invasão de computador, reclamando que muitas vezes não conseguia encontrar agentes policiais
capaz de ajudá-lo [ ]
Um catálogo de estatutos de crimes informáticos estaduais dos EUA é mantido pela Conferência Nacional de Legislação Estadual
laturas [ ] Uma pesquisa muito útil e freqüentemente citada das leis estaduais dos EUA foi compilada por Susan Brenner [ ]
Tanto a Convenção de Budapeste quanto a Diretiva / estado permitidoum certo grau de flexibilidade nos detalhes
de suas leis domésticas, e muitos estados contratantess declararam reservas contra certas disposições de
a Convenção de Budapeste.
De maneira confusa, o verbo 'hackear' também é usado para descrever pesquisa e desenvolvimento de TIC não criminais, muitas vezes informais,
atividades de planejamento que são agradavelmente inteligentes ou que demonstram uma característica previamente desconhecida de um objeto.
Esta conotação positiva do termo agora se estende além do domínio do desenvolvimento de TIC, como pode ser encontrado em
frases emergentes como 'hack da vida' e 'hackathon'.
O papel da discrição do promotor é uma possível explicação para a falta de uma exceção de minimis no
definição de crimes informáticos. Veja a discussão nas Seções . . e . ..
Isso foi discutido depois que o 'experimento de botnet' do programa de televisão Click foi transmitido na BBC
em março, em que os produtores do programa adquiriram e comandaram as ações de tal botnet,
embora com uma intenção declaradamente benigna [ , , , 6]
Em alguns casos raros, é concedido a pessoas não estatais o direito de iniciar um processo criminal quando o estado
oficiais optaram por não fazê-lo.
6 Tribunais Federais dos EUA empreendem uma abordagem algorítmica no cálculo de sentenças criminais recomendadas para fins
conforme as Diretrizes de condenação federal dos EUA [ ] De acordo com essas diretrizes, crimes contra sistemas de informação
são classificados como crimes 'econômicos' e as sentenças podem ser significativamente reforçadas com base no valor do dano
causado pela atividade criminosa [ ] (Os detalhes do cálculo são apresentados em [ ] em § B. , tomando nota de
as várias regras interpretativas aplicáveis às violações de 8 USC §, et seq .) Embora os juízes federais sejam
obrigados a levar este cálculo em consideração ao proferir a sentença, eles podem se desviar da sentença
diretrizes sujeitas a quaisquer limites que possam ser ordenados pelo Congresso no estatuto criminal substantivo.
Isso se torna mais óbvio quando se considera os esforços de intrusão contra sistemas de controle industrial, como
aqueles que operam comportas de barragens, redes nacionais de energia elétrica, siderúrgicas e fundições, automóveis, petróleo
petroleiros, oleodutos e instalações de geração de energia nuclear.
8 Historicamente, o Computer Misuse Act não contemplou a ideia de estado- intrusão garantida em
sistemas de informação. Esta exceção expressa à responsabilidade criminal nos termos da Lei apareceu pela primeira vez no Regulamento
da Lei de Poderes de Investigação, antecessora da Lei de Poderes de Investigação 6.
Tal prova provavelmente consistiria em pedir ao pesquisador que extraísse inferências razoáveis do
circunstâncias que cercam qualquer ato de produção ou distribuição.
Alguns argumentaram que a condução de atividades 'legítimas' de pesquisa de segurança deve ser protegida contra criminosos
(e talvez civil) se as condições apropriadas forem atendidas [ 8, ] Argumentos semelhantes foram apresentados
na causa do jornalismo relacionado à segurança. Esses argumentos de política ainda não encontraram apoio esmagador
de vários legisladores estaduais , embora o debate não esteja bem avançado.
Tem sido sugerido que as pessoas que se envolvem em atividades de pesquisa e desenvolvimento de segurança que podem
caso contrário, constitui uma violação de minimis das leis de crimes informáticos pode entrar em acordo formal ou informal-
com a aplicação da lei ou funcionários de segurança do estado para receber uma garantia de não processo. Riscos para
o praticante inclui potencial mal-entendido com os funcionários do estado , potencial incapacidade de fazer cumprir o
acordo de acusação ou risco legal colateral, como responsabilidade civil [ 6] Riscos para um estado que busca esta estratégia
incluem a possibilidade de que tal acordo possa ser usado para atribuir responsabilidade ao estado sob
direito internacional para as ações de tais pesquisadores ou desenvolvedores (ver Seção .)
Em alguns sistemas de direito contratual, no entanto, um provedor de serviços pode ser obrigado a fornecer aos clientes
tempo para pagar ou avisos especiais antes que os serviços possam ser suspensos. Suspensão de serviços em circunstâncias que
causaria uma ameaça à vida humana e ao bem-estar (por exemplo, serviços de energia fornecidos em um clima extremamente frio) são
frequentemente regulados separadamente e podem ser suspensos apenas de acordo com regras estritas.
O livro de casos de Orin Kerr nos EUA contém uma coleção útil de citações e argumentos sobre este tópico ([ ] no
CH. G).
www.cybok.org
Os indícios de executoriedade estão geralmente além do escopo deste trabalho. É difícil descrever em geral
normas jurídicas multinacionais viáveis sobre isso, e esse tópico é de menor preocupação para os profissionais de segurança cibernética.
O termo 'oferta' deve ser considerado com cuidado e diferenciado de formas menos significativas de comunicação
como um «convite à apresentação de propostas» ou um «convite à apresentação de propostas». Embora alguns sistemas de comércio eletrônico sejam contratuais
oferece a uma ampla gama de clientes em potencial, o design mais comum é o fornecedor publicar o convite
ções a serem tratadas - essencialmente, pedir aos clientes que façam uma oferta ao fazer um pedido. Isso geralmente muda quem
tem controle sobre o tempo de criação do contrato de volta às mãos do fornecedor online - um risco frequentemente útil
dispositivo de gerenciamento.
6 Profissionais qualificados em ciência da computação podem desejar inspirar-se no problema dos dois generais.
Neste contexto, 'pedido' refere-se a uma comunicação de um cliente potencial a um fornecedor em busca de um contrato. Dentro
prática, um pedido geralmente constitui uma oferta ou uma aceitação, dependendo dos termos e condições
aplicável à plataforma online relevante. No campo do comércio online da Colúmbia Britânica, tornou-se uma prática comum
para que um pedido seja definido como uma oferta contratual - capaz de ser aceita ou rejeitada pelo fornecedor online.
8A regra incorporada no Artigo é um resultado bastante discreto de um debate europeu no s concernente

se deve harmonizar o momento do acionamento contratual no comércio online. Legisladores, enfrentando uma grande variedade
de regras contratuais que fogem ao escopo desta área de conhecimento, acabaram optando por não harmonizar esse aspecto
da lei. A versão resultante do artigo limita-se a esta questão de definir o tempo de recebimento de
pedidos e reconhecimentos.
Por exemplo, sistemas de transações financeiras, como SWIFT, sistemas de reserva de companhias aéreas, como Amadeus,
Galileo, etc.
Codificado em USC § 68 c (g).
Esta área de conhecimento não buscará diferenciar entre uma garantia contratual e uma condição contratual
ção Embora criem direitos diferentes nas mãos de uma parte que sofre uma violação, o tópico está além do escopo
desta área de conhecimento.
De acordo com a lei inglesa, isso é normalmente denominado como a condição de "qualidade satisfatória" e era anteriormente conhecido
como a condição de 'qualidade comercializável'. De acordo com a lei da maioria dos estados dos EUA, é denominado a garantia de 'mer-
cantabilidade '. Os sistemas de direito civil adotam um conceito semelhante.
Na lei da Inglaterra e na maioria dos estados dos Estados Unidos, isso é denominado "adequação para o propósito". Mais uma vez, na Inglaterra, este é
considerada uma condição contratual e, nos estados dos EUA, geralmente é uma garantia.
Exemplos de linguagem típica encontrados em contratos de fornecimento de software incluem, 'O fornecedor garante que
o software estará em conformidade com a Documentação por um período de 6 dias após a entrega. '
Estes não são termos legais da arte, mas apenas usados para ilustrar o grau variável de gravidade da violação.
6 Os nomes dos remédios foram extraídos da prática do direito consuetudinário. Outros sistemas jurídicos podem empregar diferentes
termos e / ou conceder soluções alternativas.
Aqueles que lidam regularmente com contratos de aquisição podem encontrar este conceito expresso em cláusulas que
especificar o direito de rescindir um contrato após 'violação material', 'violação material que causa significativa
dano ',' uma série de violações menores que criam coletivamente danos materiais ', etc. A definição do gatilho é
limitado apenas pela imaginação do redator, embora alguns sistemas jurídicos imponham limites à eficácia
dessas cláusulas.
8O principal caso sobre esta questão na Inglaterra no início do século XX dizia respeito ao dever de uma pessoa
que engarrafa bebidas devidas àquelas pessoas que eventualmente as bebem. O advento da economia moderna
criou cadeias de abastecimento em que o produtor e o consumidor não tinham relação comercial direta, onde os produtos
mude de mãos várias vezes antes de ser consumido. Aplicando uma versão anterior da regra descrita acima,
o tribunal inglês (agindo na sua qualidade de formulador de políticas de common law) declarou que a bebida engarrafada era
em si, o elo próximo entre o produtor e o consumidor, e que um produtor de tal bebida poderia prontamente
prever os danos causados pela adulteração do conteúdo da garrafa.
Um exemplo bem conhecido, beirando os quadrinhos, pode ser encontrado no caso 8 Palsgraf [ ] (Veja também discus-
sion of causation in Section . ..)
Esta última categoria é mencionada por causa da prática ocasionalmente encontrada em que uma pessoa tenta
para evitar responsabilidades evitando propositadamente o conhecimento do risco. É improvável que esta estratégia derrote uma reivindicação de neg-
KA NOTES | Outubro Página 8

www.cybok.org
ligência e pode até exacerbar a responsabilidade na jurisdiçãos que concedem danos punitivos. (Veja a discussão em
Seção . ..)
No caso 8 Dittman citado , a Suprema Corte da Pensilvânia anunciou que a lei comum da Pensilvânia
a sylvania impõe aos empregadores o dever de zelo por salvaguardar o armazenamento eletrónico dos dados dos funcionários. Entre-
tribunal de apelação no estado de Illinois chegou à conclusão oposta ao interpretar o
direito consuetudinário de Illinois [ ] Nos EUA, a lei de negligência pode desempenhar um papel cada vez maior na definição de responsabilidades
para salvaguardar os dados pessoais.
Veja a discussão na Seção . ..
O juiz Hand surpreendeu os profissionais do direito da época ao expressar esse conceito usando uma fórmula matemática
mula, afirmando que se B <PL então a não adoção de determinada precaução constitui negligência, onde B é
a carga (custo) do método, P é a probabilidade de perda na ausência do método, e L é a quantidade
de perda a ser evitada. Esses dois casos e uma fórmula foram objeto de extensos comentários e debates
e análise por gerações de advogados e estudantes de direito dos EUA e continua sendo uma estrutura útil para discutir o risco
e responsabilidade [ 8 , ] Os profissionais podem querer considerar como as mudanças no ambiente de segurança cibernética
ao longo do tempo (incluindo os custos decrescentes de algumas tecnologias defensivas (B), bem como as probabilidades de mudança de
danos a terceiros (P) e a quantidade de perdas que eles podem sofrer (L) como resultado de mudanças no ambiente
ambiente de trabalho, como a migração para diferentes infraestruturas, agregações cada vez maiores de 'big data', etc.) podem
responsabilidade de influência. A velocidade com que essas variáveis mudam pode ajudar a planejar a frequência de reavaliação
decisões de rejeitar as precauções propostas. A precaução 'impraticável' de ontem pode se tornar a 'obrigação' de amanhã
tem 'solução.
Uma observação semelhante no contexto da regulamentação da proteção de dados pode ser encontrada na Seção . ..
No caso referido, a alegação de negligência per se foi baseada em uma alegação de que a Target não tinha
cumprir a lei de Minnesota sobre o armazenamento adequado de detalhes de cartão de crédito [ ] (Veja também a discussão
deste caso na Seção . .)
6O worm Morris pode ser um dos primeiros exemplos desse tipo de incidente [ ]
Esta seção é dirigida principalmente a 'defeitos de design' e não discute 'defeitos de fabricação', em
quais produtos individuais de uma execução de produção se desviam de suas especificações devido à intermitência esporádica
erros no processo de fabricação.
8 Mesmo que um produtor de software não seja passível de uma ação judicial fundada em uma teoria de responsabilidade objetiva, ele ainda pode
enfrentar uma reclamação fundada em uma teoria da negligência. Uma vítima que está entrando com uma ação legal contra um produtor de software com base
em uma teoria de negligência seria necessário provar uma conduta irracional por parte do produtor de software.
Os automóveis que dirigem sozinhos, em particular, geraram uma discussão significativa como advogados e
os legisladores consideram as regras de responsabilidade atuais e as alterações potenciais a essas regras para permitir que
tecnologia antecipada [ , , ]
Essas cadeias de causalidade atenuadas são um meme familiar nas histórias de ficção científica sobre viagens no tempo. UMA
não-ficção, mas divertida exploração de cadeias altamente atenuadas de causalidade da história científica é encontrada
no trabalho do jornalista James Burke em várias iterações de seu programa de televisão da BBC, 'Connections'.
Consulte também a discussão sobre previsibilidade na Seção . . ..
Esses casos de 'declaração falsa negligente' são observados de perto por profissionais e outros prestadores de serviços em
o negócio de fornecimento de serviços relacionados a informações críticas, como contadores públicos. Este tipo de negligência
a teoria da gênese também é de interesse especial para os prestadores de serviços de confiança, uma vez que potencialmente define sua responsabilidade para com
terceiros que confiam na exatidão dos certificados emitidos. (Consulte a seção .)
No caso Dittman citado , a Suprema Corte da Pensilvânia, atuando em seu papel de intérprete do comum
lei da Pensilvânia, realizada em 8 de novembro, que os empregadores têm o dever de cuidar de seus funcionários para manter
segurança cibernética razoável para proteger os dados do funcionário contra perda [ 6] Em qualquer incidente semelhante na UE, um delito
a ação poderia ser concebida facilmente sob uma teoria de violação dos direitos de proteção de dados.
Um exemplo óbvio são as várias ações legaiss trazidos por instituições nanceiras contra seguir a Meta
seu conhecido incidente de perda de dados do cartão. Os bancos demandantes em pelo menos uma das ações com base em sua reivindicação
várias teorias jurídicas, incluindo negligência e negligência per se [ ] Acordos deste processo legal e outros
trazido por instituições nanceiras contra a Meta ultrapassou US $ milhões [ , 6]

www.cybok.org
Compare as perdas facilmente quantificáveis resultantes da violação de privacidade, como a perda de receita de um
sive acordo para publicar as fotos do casamento da vítima em um jornal específico, resultando em perda de salário
de demissão da vítima do emprego, etc., com danos mais difíceis de quantificar, como o constrangimento da vítima
ment ou vergonha.
6 Esta disposição está codificada na lei de Illinois em ILCS /.
O auditor interno foi preso e acusado de violação criminal da lei de proteção de dados, crime de informática,
e fraude. Ele foi condenado e sentenciado a oito anos de prisão.
8A Suprema Corte do Reino Unido autorizou a apelação em abril. A audição foi

programado para tarde, o que sugere o potencial para uma decisão em algum momento em.
Compare a aplicação potencial da defesa de última geração no contexto da ciência dos materiais onde (para
por causa do argumento) no momento da produção não havia nenhum teste científico conhecido para o defeito descoberto posteriormente
no material, com o contexto de um defeito de produto induzido por software devido a um dia zero previamente desconhecido
explorar. Pode-se dizer que o primeiro era desconhecido, enquanto o último era simplesmente desconhecido. Isto
é discutível quando um determinado exploit pode ser verdadeiramente classificado como tendo sido 'indetectável'. Este tópico merece
um estudo mais aprofundado
] [
Foi sugerido anedoticamente que alguma regulamentação de sistemas críticos de segurança pode levar a fraquezas
na segurança cibernética desse sistema, limitando ou encerrando a possibilidade de adotar a segurança de última geração
medidas. Um caso específico relacionado ao autor diz respeito a uma exigência regulatória de que certas questões críticas de segurança
os sistemas de controle devem ser exaustivamente testados examinando todos os estados possíveis do dispositivo de controle antes do uso.
Alguns métodos defensivos de segurança cibernética, especialmente aqueles que adotam inteligência artificial ou aprendizado de máquina,
são por natureza impossíveis de testar até a exaustão dessa maneira. Este tópico merece um estudo mais aprofundado.
Um exemplo favorito dos professores de direito envolve o caso hipotético do vagão ferroviário mal carregado.
O vagão pode ter sido sobrecarregado indevidamente no Estado A, mas só produz lesões depois que o trem começa a
descer uma ladeira íngreme muitas horas depois no estado B.
Isso é atribuído ao juiz da Suprema Corte dos Estados Unidos, Joseph Story, que aparentemente usou a frase mais do que
uma vez [ 8] Uma sombra mais escura foi lançada sobre a prática da lei de propriedade intelectual por Lord Esher, MR, quando
em 8 ele observou, 'é melhor um homem ter sua patente infringida, ou nada acontecer com ele neste mundo,
a menos de perder toda a sua família por in uenza, do que ter uma disputa sobre uma patente. Sua patente é engolida, e
ele está arruinado. De quem é a culpa? Realmente não é culpa da lei: é culpa do modo de conduzir o
lei em um caso de patente '[ ] Poucas coisas mudaram no século que se passou [ ]
Os direitos morais decorrentes dos direitos de um autor ( droit d'auteur ) raramente apresentam desafios para a segurança
praticantes e está além do escopo deste trabalho.
Na lei dos Estados Unidos, o copyright passa a existir automaticamente, mas deve ser registrado antes de com-
início de qualquer processo de infração nos Estados Unidos.
As limitações aos direitos autorais do Reino Unido estão codificadas no Capítulo da Lei de Projetos e Patentes 88, ss. 8,
et seq. A exceção de uso justo dos EUA e outras limitações são codificadas em USC §, et seq.
6 A implementação desta proteção tem sido inconsistente e controversa [ , ] Está codificado

na lei de direitos autorais dos EUA em USC §, et seq., e na lei de direitos autorais do Reino Unido na Parte VII dos Projetos de direitos autorais e
Patentes Act 88 em ss. 6, e segs.
A União Europeia está em processo de adoção da Patente Unitária, um direito de patente única aplicável
em grande parte, mas ainda não em todo, o território da UE. O status e o uso deste novo direito de patente continua
para evoluir.
8 Os inventores não devem confundir este conceito da lei de patentes com várias definições científicas ou acadêmicas
de significativo ou trivial. Uma etapa cientificamente trivial ainda pode ser 'inventiva' na lei de patentes [ ]
A frase 'como tal' deve servir como um aviso de que brechas estão prestes a aparecer, como que por mágica. Eles são.
Enquanto cópias de patentes e pedidos publicados de muitos estadoss agora são fáceis de encontrar online, correspon-
contato com os examinadores de patentes e o histórico de processos são frequentemente mais difíceis de obter e podem exigir
assistência de um advogado. Uma vez obtido, no entanto, isso pode ser muito esclarecedor para qualquer pessoa que
deseja desafiar post-facto a validade de uma patente concedida.

www.cybok.org
Um subconjunto muito limitado de pedidos de patentes para invenções está sujeito a uma classificação de sigilo de estado e
são publicados apenas em um registro de invenções secretas.
Qualquer pessoa que inova no campo das TIC enfrenta uma série de desafios relacionados. O ritmo da inovação em TIC é tão
rápido, a mistura de idéias inovadoras paralelas tão comuns, o número de pedidos de patentes levou
tão grande, e a arte anterior catalogando inovações em TIC tão desordenada, que é difícil produzir qualquer inovação
Produto de TIC que não infrinja alguma patente existente de terceiros ou aplicativo publicado ou não publicado. UMA
A estratégia típica adotada por grandes desenvolvedores de TIC é entregar um grande número de pedidos de patentes por conta própria
invenções, entrar no mercado o mais rápido possível com novos produtos e, em seguida, esperar para receber sugestões de
violação de patente de terceiros na esperança de eventualmente se defender contra algumas dessas ameaças ou
negociar um acordo de licença cruzada aceitável.
No sistema de patentes dos Estados Unidos, a conscientização da parte infratora dos direitos de patente desencadeia uma 'treble dam- especial
regra das idades: danos monetários atribuídos ao titular dos direitos são multiplicados por três, com efeito a partir da data de
a consciência do infrator. É por isso que os detentores de direitos normalmente iniciam um processo de aplicação de patentes nos Estados Unidos enviando
cópias de suas patentes juntamente com uma carta de apresentação 'queremos informá-lo' que não acusa expressamente
o destinatário da infração. Isso, combinado com os fatores estabelecidos na Nota , é por isso que muitos inovadores de TIC
evite assiduamente pesquisar patentes e pedidos de patentes de terceiros.
Algum estados de ne direitos de marca 'não registrada' que são semelhantes em caráter ao delito de direito inglês de
passando.
Uma marca comercial comunitária é uma marca comercial única que se estende por todo o território da UE.
6 Na prática moderna de marcas registradas, o sinal relevante pode consistir em sons ou cheiros. Provavelmente uma marca registrada de som
estar familiarizado com os profissionais da segurança cibernética é o carrilhão musical 'Intel Inside' (EUA, Reino Unido 6).
A marca registrada no Reino Unido foi registrada continuamente no Reino Unido de 8 6 até hoje.
8 Os tribunais estão divididos quanto à questão de saber se metatags, normalmente não visíveis para os usuários finais, podem constituir
uma violação de marcas registradas. Mesmo quando as metatags não podem ser usadas para provar a violação, elas
pode servir como evidência útil para outros fins, como demonstrar o conhecimento ou consciência da tag
autor em ações ilícitas relacionadas, como falência.
Por outro lado, em ações baseadas em teorias de transferência ou direitos de marcas não registradas, a reclamação
A parte responsável geralmente é obrigada a provar que a parte acusada tem conhecimento da marca não registrada e é
aproveitando propositalmente a reputação associada a essa marca.
6 Um exemplo que deve ser familiar para os profissionais é o registro do logotipo Wi-Fi (US 6, UK)
administrado pela Wi-Fi Alliance.
6 Um exemplo comumente citado de um segredo comercial de longa data é a fórmula da Coca-Cola, que continua sendo a
assunto de muita especulação.
6
USC § (a).
6 Lei de Projetos e Patentes de Direitos Autorais 88, s. 6ZB.
6A Diretiva da União Europeia não impõe a criminalização da apropriação indébita de segredos comerciais [8]
6 Observe que a Diretiva de comércio eletrônico não se aplica à lei de proteção de dados [ ] no Art (b).
66 Por exemplo, USC § (proteção contra violação de direitos autorais), USC § (proteção contra responsabilidade
aqueles que bloqueiam ou selecionam material ofensivo, embora não seja aplicável como uma proteção contra responsabilidades decorrentes de
obscenidade, propriedade intelectual ou leis de privacidade.) A seção em particular está sob crescente escrutínio
pelos tribunais dos EUA à medida que mais ações legais foram tomadas contra os provedores de serviços de mídia social.
6 Embora essas definições legais não estejam especificamente ligadas às definições técnicas, este conceito é de aproximadamente
imaturamente equivalente a fornecer serviços que consistem em nada mais do que transportar e rotear o tráfego no
camadas físicas, de link de dados e / ou de rede do conjunto de protocolos TCP / IP. Uma boa definição do conceito é encontrada
no artigo da Diretiva de comércio eletrônico [ ]
68 Ver Artigo da Diretiva de Comércio Eletrônico [ ]
6O procedimento mais conhecido codi cado na lei é provavelmente encontrado na lei de direitos autorais dos EUA em USC § (c).

www.cybok.org
A 'Lei de Permitir que Estados e Vítimas Combatam o Tráfico de Sexo Online' é o resultado do FOSTA-SESTA
projetos de lei propostos no Congresso. O estreitamento da blindagem de responsabilidade é codi cado em USC § (e) (). Uma ação legal
desafiar esta lei como uma violação dos princípios de liberdade de expressão dos EUA foi lançado logo após sua aprovação
e permanece pendente no momento da redação [ , ]
A capacidade de admitir (apresentar) provas a um tribunal é uma questão de limite regida pelas regras de prova
usado por esse tribunal. A admissibilidade pergunta simplesmente se tais evidências serão consideradas. Se admitido em
evidência, um pesquisador de fato deve então avaliar o valor relativo ou 'peso' dessa evidência. Mason resume o
Posição da lei inglesa sobre documentos eletrônicos em [ ]
O contrato-quadro, por sua vez, se referiria a uma série de regras de comércio eletrônico (muitas vezes chamadas de 'a regra
livro ') que especificava como as comunicações eletrônicas se relacionavam com as obrigações legais. Esses sistemas 'EDI' eram
desenvolvido em um momento em que as restrições de largura de banda de telecomunicações significavam que as instruções de negociação eram típicas
transmitidos em payloads extremamente pequenos, usando mensagens altamente estruturadas baseadas em texto (por exemplo, ascii). A regra
livro foi usado para traduzir entre mensagens estruturadas e comunicação legalmente significativa, e servido
como a especificação do software usado para acessar o sistema.
Ao subscrever o risco de muitas dessas transações, o impacto positivo da indústria de cartões de pagamento para o
o crescimento e o sucesso dessas plataformas não devem ser subestimados.
O modelo de 'três cantos' para este fim compreende apenas três pessoas: o emissor do certificado que ambos
identifica o signatário e emite o certificado, o signatário cuja identidade está vinculada ao certificado e
o terceiro que confia no certificado para identificar o signatário. À medida que cada uma dessas funções se divide
entre mais pessoas, analisar as relações e responsabilidades torna-se mais complexo.
Veja, por exemplo, X..
6 Essas dúvidas surgem de uma variedade de doutrinas jurídicas. Por exemplo, pode haver falha na formação de um contrato
com uma parte confiável devido à não comunicação dos termos do contrato. Os tribunais podem se recusar a fazer cumprir
limitações de responsabilidade apresentadas em certificados ou em outro lugar devido a questões de política pública, como a razoabilidade
da limitação. Observe que essas preocupações são mais facilmente tratadas na chamada emissão de 'dois cantos'
modelo, em que um signatário autocertifica sua identidade e atua como seu próprio emissor de certificado. Na esquina
modelo não existe 'terceiro' e o signatário pode ter um relacionamento direto com a parte confiável mais facilmente
possibilitando a imposição de limites de responsabilidade.
O trabalho de Stephen Mason, em particular, inclui um extenso catálogo internacional dessas leis [ 6 ]
8 Uma análise semelhante pode ser aplicada em circunstâncias em que as empresas ordenam que seus funcionários adotem e
instale certificados de confiança emitidos pela empresa especificamente para oferecer suporte à inspeção SSL / TLS. Tais empresas
deve considerar os vários tipos de responsabilidade que podem surgir como resultado.
Estados também podem aplicar embargos na maioria ou em todo o comércio com um estado específicos como parte de um programa mais geral
grama de sanções.
8O status preciso do software como discurso para os fins da lei de liberdade de expressão dos EUA permanece um tanto obscuro.
Embora os tribunais federais dos EUA pareçam dispostos a classificar o código-fonte como expressão protegível, eles também parecem aceitar
sua funcionalidade inerente em consideração ao avaliar os direitos de liberdade de expressão. Isso, por sua vez, sugere que o governo
intervenção para restringir atos de distribuição de código-fonte são mais facilmente justificados do que restrições ao clássico não
discurso funcional [ , 6, ]
8O termo 'direito internacional público' é frequentemente referido mais simplesmente como 'direito internacional'. Em contraste, o campo
de 'direito internacional privado' descreve o processo de determinação de quais leis estaduais nacionais serão aplicadas
a vários aspectos de litígios de direito privado, como atos ilícitos e contratos. Aspectos do privado internacional
direito, ou conflitos de direito, são considerados nestas áreas de conhecimento no contexto do direito substantivo individual
assuntos.
8 No caso Halford referenciado , a parte reclamante argumentou com sucesso que o Reino Unido tinha
falhou em fornecer a ela os direitos de privacidade exigidos pela Convenção Europeia dos Direitos Humanos no que diz respeito
interceptação de comunicações por autoridades estaduais [ ] Este caso precipitou a adoção pelo Reino Unido de
legislação abrangente que regulamenta a interceptação de comunicações.
8 Uma exceção notável envolve a acusação de acordo com os princípios do direito penal internacional, como
crimes contra a humanidade.

www.cybok.org
8O processo de criação do Manual de Tallinn não foi isento de controvérsias, e mesmo as conclusões ex-
pressionados nas 'Regras' (que representam consenso unânime entre o grande grupo de especialistas) não são universalmente
concordou [ , 8] O próprio Manual de Tallinn fornece comentários extensos que destacam as circunstâncias
posições onde alguns afirmams discordam da visão unânime do grupo de especialistas e de outras questões em que o
o próprio grupo de especialistas não alcançou consenso. Portanto, não é surpreendente que o Manual de Tallinn. não
representam a política oficial dos patrocinadores do projeto (OTAN e seu estado membros) ou os vários adicionais ou
organizações cujos especialistas participaram de sua criação e revisão. No entanto, a evidência anedótica sugere
que os especialistas que aconselham todas essas pessoas mantenham uma cópia do Manual de Tallinn à mão e consultem o
trabalhar rotineiramente.
8O termo 'atribuição' é freqüentemente usado em mais de um sentido. Os praticantes devem ter o cuidado de distinguir
as doutrinas jurídicas utilizadas para analisar a atribuição do processo de coleta e apresentação de provas pretendidas
para provar a atribuição. Esta seção discute apenas o primeiro. Este último é mais apropriadamente abordado no campo
de ciência forense.
86 O princípio do territoriale o exercício do poder estatal são explorados no contexto da jurisdição em

Seção .
8 A espionagem durante um conflito armado é tratada separadamente ao abrigo da lei do conflito armado. Veja, por exemplo,
([ ] em R.8.)
88 Veja, por exemplo, a discussão em Tallinn. de 'pastorear' as comunicações de estado alvo para menos seguras
infraestrutura interferindo em uma infraestrutura mais segura ([ ] na R., cmt. )
8O qualificador de estado 'não relacionado' serve para distinguir as circunstâncias em que mais de um estado soberano
mantém jurisdição simultânea sobre um único território, conforme encontrado no estado federals.
O termo 'lei da guerra' é significativamente anterior ao termo 'lei do conflito armado', mas agora é usado com menos frequência
especialmente porque o conflito armado freqüentemente ocorre na ausência de qualquer declaração formal de guerra. 'Internacional
direito humanitário '(DIH) é um termo mais recente [ 8 ] na p.8, fn. . A adoção e uso de 'DIH' para descrever este
campo não é sem controvérsia [ ]
Embora isso deva ser óbvio, o conceito de 'ataque cibernético' usado para discutir as obrigações sob
a lei internacional é significativamente mais restrita do que o termo 'ataque', que é amplamente definido para a maioria dos outros fins
em segurança cibernética. Os profissionais de segurança cibernética tendem a usar o termo 'ataque' para descrever qualquer esforço para obter
acesso autorizado a um sistema, recursos ou informações, ou qualquer atividade maliciosa destinada a coletar, interromper,
negar, degradar ou destruir recursos do sistema de informação [ 6 ]
No caso de operações cibernéticas ofensivas realizadas sob a direção de um estado, conformidade com 'todos os aplicativos
leis "podem de fato ser impossíveis, pois as ações tomadas na direção de um estado patrocinador podem constituir
crimes ao abrigo da legislação nacional do estado alvo. Da mesma forma, em algumas circunstâncias, um praticante pode com-
claro que o cumprimento de uma obrigação legal é, por si só, eticamente desafiador [ 6 ] Esta seção não tenta
para resolver esses problemas.
Os profissionais devem estar cientes de que, se forem empregados ou contratados por uma empresa profissional regulamentada (por exemplo,
uma firma de contabilidade legal, médica ou pública), o médico pode ser obrigado pela lei aplicável a estar em conformidade com
as regras da profissão regulamentada relevante - especialmente em questões como confidencialidade do cliente ou legal do cliente
privilégio de proibir a divulgação de informações confidenciais. Esses profissionais devem se familiarizar com o
obrigações impostas pelos regulamentos que se aplicam a essa empresa.
Esta discussão não aborda as circunstâncias em que a lei aplicável exige a divulgação deste evento
dência a terceiros identificados, como os requisitos de divulgação de violação de dados impostos pelo GDPR. Em tal
casos, um profissional deve ter o cuidado de seguir o conselho apropriado sobre sua obrigação de relato legal individual
gações distintas das obrigações impostas ao seu cliente, e instar seu cliente a investigar o
próprias potenciais obrigações legais de apresentação de relatórios.
Muitos dos primeiros exemplos incluem mandatos para 'cumprir' a lei, enquanto outros exigem que um profissional
deve 'estar ciente' da lei. Alguns incluem o conceito de evitar danos aos outros sem discutir o
sutilezas desta proibição. Alguns falam de uma obrigação afirmativa geral de proteger a 'sociedade', sem identificação
identificar a natureza da obrigação na prática, identificando a sociedade relevante nos casos em que duas sociedades são
em conflito, ou discutir o possível conflito entre proteger a sociedade em geral e um cliente individualmente.
Alguns falam de obrigações de proteger a 'infraestrutura', sem esclarecer de quem é a infraestrutura a ser protegida:
público, privado, de primeira parte, de terceiros, nacional ou estrangeiro. Muitos desses códigos falham inteiramente em discutir
obrigações devidas a um cliente e como gerir potenciais conflitos.

www.cybok.org
6 O CREST adicionou posteriormente serviços adicionais ao seu processo de certificação.
Veja também as extensas discussões de Orin Kerr sobre 'autorização' no contexto dos estatutos de crimes de informática dos Estados Unidos
[ , ]
8 Alguns riscos de divulgação podem incluir a impraticabilidade de corrigir ou corrigir a vulnerabilidade. O ben-
Os efeitos do sigilo podem incluir a capacidade de uma agência de segurança do estado de explorar a vulnerabilidade fornecida.
Esta é uma ameaça especial para os pesquisadores envolvidos em pesquisas de segurança acadêmica que enfrentam presenças acadêmicas normais
certifique-se de publicar os resultados da pesquisa [ 8]
Embora revelar uma vulnerabilidade única em um único serviço online para uma única empresa afetada seja simples, revelar
uma vulnerabilidade em uma cadeia de suprimentos complexa apresenta problemas especiais. Divulgando primeiro para produtores a jusante
de bens ou serviços acabados concentra a divulgação naqueles que parecem ter o maior risco de segurança
falha de segurança, mas que pode não ter as ferramentas necessárias para mitigar a ameaça. Esta divulgação downstream também
cria o risco de alienar o desenvolvedor upstream do componente - especialmente se a vulnerabilidade for mal interpretada
rabiscado. No campo da pesquisa de segurança acadêmica em particular, os pesquisadores muitas vezes dependem de uma boa continuidade
relacionamento com a comunidade de desenvolvedores. Divulgar primeiro para o desenvolvedor upstream cria um desafio se
que o desenvolvedor é demorado em remediar a vulnerabilidade. Os localizadores nesta situação podem considerar o potencial
para um processo de divulgação privada de várias etapas começando (talvez) com a parte upstream com maior probabilidade de ser capaz de
compreender e remediar a ameaça. Tendo divulgado e, em seguida, fornecido uma oportunidade para essa parte
sim ou refutar a alegação de vulnerabilidade, o nder pode iniciar divulgações privadas adicionais uma etapa de cada vez
descendo a cadeia de abastecimento para aqueles que podem tomar medidas para mitigar a ameaça. Divulgação pública de segundo estágio
então se tornaria a última etapa de muitas.
Comentando sobre uma decisão de acadêmicos de publicar detalhes de vulnerabilidade mais de nove meses após
divulgação para um fornecedor de componente de segurança upstream, mas em face de fortes objeções por um downstream
comprador que incorporou o produto de segurança comprometido em seus automóveis produzidos em massa, um En-
O juiz da Suprema Corte observou: "Acho que o mantra dos réus de" divulgação responsável "não é tal coisa. É um
auto-justi cação dos réus pela conduta que já decidiram adotar e não se trata de ação de
acadêmicos responsáveis. ' Megamos Crypto (Volkswagen v Garcia) , Para [ , ] Observe que os acadêmicos
no caso Megamos Crypto alegou que eles estavam aderindo aos procedimentos de divulgação responsável então atuais
publicado pelo National Cyber Security Center da Holanda, o estado em que eles realizaram a maior parte
de suas pesquisas.
Embora a mera presença de uma vulnerabilidade em um produto ou serviço não constitua necessariamente um fornecedor
negligência, os fornecedores que recebem um relatório de vulnerabilidade devem considerar que uma falha em agir de forma razoável
A forma após o recebimento de tal relatório pode constituir um ato independente de negligência.
Alguns tentaram resolver esse problema adotando uma legislação que regulamentaria a divulgação de dados.
cess. Uma tentativa (ainda) malsucedida na Letônia é descrita de maneira proveitosa em [ ]
Um exemplo provavelmente familiar aos profissionais foi o destino da firma de contabilidade Arthur Andersen no
início do século I. A firma era consultora da Enron Corporation e foi acusada pelo governo dos Estados Unidos
de destruição indevida de evidências relacionadas à investigação da Enron. Um júri federal deu um veredicto de culpado em
o julgamento criminal da rm [ 6 ] Após a condenação, o rm foi impedido de conduzir empresa pública
trabalho de auditoria efetivamente encerrando sua capacidade de operar como uma empresa em funcionamento. A condenação criminal, em última análise, foi
derrubado pela Suprema Corte dos EUA em [ 6 ] Isso veio tarde demais para a rm, que havia parado de continuar
operações.
Página 171
Capítulo
Fatores humanos
M. Angela Sasse Ruhr Universität Bochum e
University College London
www.cybok.org
. INTRODUÇÃO: ENTENDENDO O HUMANO

COMPORTAMENTO NA SEGURANÇA
Em seu artigo básico, The Protection of Information in Computer Systems , Jerome
Saltzer e Michael Schroeder estabeleceram dez princípios para projetar segurança [8] Três de
esses princípios estão enraizados no conhecimento das ciências comportamentais:
• Psicologia: o mecanismo de segurança deve ser 'psicologicamente aceitável' para o humano

homens que têm que aplicá-lo;
• Fatores humanos e economia: cada usuário individual e a organização como um todo,

deve ter que lidar com o mínimo possível de mecanismos de segurança distintos;
• Crime Science and Economics: o esforço necessário para vencer uma medida de segurança deve
exceder os recursos e recompensas potenciais para o invasor.
Quase anos antes de Schroeder & Saltzer, o fundador da criptografia, Auguste

Kerckhoffs formulou seis princípios para operar um sistema de comunicação seguro, com um
foco principal em fatores humanos: três deles eram "deve ser fácil de usar e nenhum
exigem estresse mental nem o conhecimento de uma longa série de regras ” .
Ambos os textos fundamentais reconheceram que as medidas de segurança não podem ser eficazes se
os humanos não querem nem são capazes de usá-los. Um bom exemplo é a criptografia de e-mail. Nós
têm ferramentas para criptografar e-mail há mais de anos. Ainda hoje, menos de. % de e-mails enviados
são criptografados de ponta a ponta. Este resultado era previsível, uma vez que Whitten & Tygar encontraram em
que mesmo pessoas bem motivadas e treinadas não poderiam usar a criptografia de e-mail corretamente [ 6 ]
Esta situação ainda não mudou substancialmente, embora pesquisas recentes ofereçam insights
nos meios para fazê-lo [ 6 , 66 , 6]
Nos últimos anos, tem havido um crescente corpo de pesquisas sobre as causas subjacentes
de falhas de segurança e o papel dos fatores humanos. O insight que surgiu é que
medidas de segurança não são adotadas porque os seres humanos são tratados como componentes cujo comportamento
pode ser especificado por meio de políticas de segurança e controlado por meio de mecanismos de segurança e
sanções. Mas a falha não é principalmente dos usuários, como sugerido pelo frequentemente usado
frase que os humanos são o 'elo mais fraco', mas ignorando os requisitos que Kerckhoffs
e Schroeder & Saltzer tão claramente identi cado: que a segurança precisa ser utilizável e aceitável
para ser efetivo. Um exemplo disso é o caso das políticas de senha. Adams e Sasse mostraram
que as políticas e mecanismos de senha acordados por especialistas em segurança não funcionaram de todo
na prática e, consequentemente, eram contornados rotineiramente pelos funcionários [ 68] Naiakshina et al.
mostrou que não apenas os usuários finais têm problemas com senhas, mas os desenvolvedores também. De-
os velopers precisam ser explicitamente solicitados a incluir segurança e, mesmo quando isso for feito, eles
frequentemente incluem mecanismos de segurança desatualizados e defeituosos [ 6 , ]
O objetivo desta área de conhecimento do CyBOK é fornecer uma compreensão básica da função
dos fatores humanos na segurança cibernética. Um aspecto fundamental disso é como projetar segurança que seja
utilizável e aceitável para uma variedade de atores humanos, por exemplo, usuários finais, administradores
e desenvolvedores. Esta área de conhecimento também apresenta uma abordagem organizacional e social mais ampla
perspectiva de segurança que surgiu na última década: a importância da confiança e
colaboração para a segurança cibernética eficaz, que só pode ser alcançada envolvendo as partes interessadas
e negociando soluções de segurança que atendam às suas necessidades [ ] Isso requer um conjunto de habilidades
que tradicionalmente não fazem parte do treinamento fornecido para especialistas e profissionais de segurança
cionadores. Esta área de conhecimento visa capturar o conhecimento para mudar isso.
Fatores humanos KA | Outubro Página 6
www.cybok.org
Figura . : Comportamento humano em contexto, mostrando fatores internos e contextuais que

influenciar o comportamento.
Esta área de conhecimento está organizada (Figura .) começando por dentro, trabalhando para fora
forma: começando com os fatores individuais e internos que impulsionam o comportamento humano (capabil-
e limitações, modelos mentais), passando para aspectos do contexto mais amplo em que
a interação com a segurança ocorre. Em seguida, consideraremos os outros fatores imediatos que
têm um impacto: o comportamento de outras pessoas ao nosso redor e, especialmente, como lidam com a segurança
riscos, as posições emocionais dos usuários em relação à organização e como o comportamento de segurança pode
ser gerenciado com sucesso por meio do design e de uma série de fatores de grupo e organizacionais.
Observe que fatores humanos e usabilidade em um contexto de segurança podem ser distinguidos de outros
contextos pela presença de adversários ou risco. Conforme mostrado na Figura ., o adversário pode ac-
trabalhar ativamente para alterar as percepções dos usuários sobre as capacidades e limites do sistema, bem como
explorar as especificidades dos contextos sociais e organizacionais (por exemplo, políticas de segurança, trabalho
práticas, hierarquias de tomada de decisão) para impactar a segurança. Estudando segurança utilizável por meio de
um modelo de atacante ativo [ , ] e conscientizando os usuários sobre problemas de segurança,
incorporando tais modelos, por exemplo, simulações anti-phishing [ , ], é uma área contínua de
estudar. Esses mecanismos oferecem alguma proteção, mas requerem tempo e esforço do usuário. Portanto,
Fatores humanos KA | Outubro Página
www.cybok.org
como discutiremos mais tarde, a carga de trabalho de segurança total precisa ser monitorada para que a produtividade
não é reduzido e soluções alternativas são induzidas. Além disso, eles têm implicações em termos de
confiança dos usuários na organização e conclusão da tarefa principal (não relacionada à segurança) em mãos
- a concepção de tais intervenções ou campanhas deve considerar e abordar estes
riscos [ ]
Observe que não discutimos as especificidades dos comportamentos adversários, pois estes são o assunto
da Área de Conhecimento de Tecnologia de Malware & Attack (Capítulo ). No entanto, vamos tocar em
quaisquer elementos relevantes relacionados à usabilidade e fatores humanos, por exemplo, segurança
conscientização, treinamento e anti-phishing. As considerações de usabilidade são igualmente importantes com
em relação aos controles e tecnologias de privacidade. Esta discussão formula parte da Política de Privacidade
& Área de conhecimento de direitos online (capítulo) e, portanto, não é mais considerada aqui.
. SEGURANÇA UTILIZÁVEL - OS BÁSICOS

[ 6, ]
Quando os usuários não se comportam conforme especificado pelas políticas de segurança, a maioria dos profissionais de segurança pensa
que os usuários são os culpados: que eles 'simplesmente não entendem os riscos' ou 'são preguiçosos demais'. Mas
a pesquisa mostrou que o não cumprimento, que agora nos referimos como 'quebra de regras', é causado
por pessoas que enfrentam uma escolha rígida entre fazer o que é certo pela segurança e reduzir seu
produtividade. A maioria escolhe produtividade em vez de segurança, porque é isso que a organização
também faz.
Uma resposta típica a essa quebra de regras é a conscientização e educação sobre segurança, ou seja, 'tting
o humano para a tarefa '. Mas a pesquisa de Fatores Humanos estabeleceu décadas atrás que, quando
levamos em consideração todos os custos e o desempenho resultante, cabendo a tarefa ao
humano ' é mais eficiente. Há uma função para conscientização e treinamento de segurança (Seção .) mas
deve ser considerado uma das opções, mas não o primeiro recurso. Não pode ajudar os humanos
para lidar com tarefas de segurança que são impossíveis, induzem a erros ou drenam muitos indivíduos
e recursos organizacionais [ 8] Como o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) política
coloca:
'A maneira de tornar a segurança que funciona é fazer com que a segurança funcione para as pessoas
ple '
Em outras palavras, a segurança deve ser utilizável. A ISO define usabilidade (ISO -: 8) como
'A eficácia, eficiência e satisfação com que os usuários específicos alcançam

objetivos específicos em ambientes particulares. '
E os critérios pelos quais a usabilidade é avaliada são:
. eficácia: a precisão e integridade com que os usuários específicos podem alcançar

objetivos específicos em ambientes particulares;
. e ciência: os recursos despendidos em relação à exatidão e integridade do

objetivos alcançados;
. satisfação: o conforto e aceitabilidade do sistema de trabalho para seus usuários e outros

pessoas afetadas pelo seu uso.
https://www.ncsc.gov.uk/information/people-strongest-link

www.cybok.org
Podemos observar imediatamente que esses critérios se alinham com os princípios articulados por Kerck-
hoffs e Saltzer & Schroeder's. Mas como fazer isso na prática?
.. Ajustando a tarefa ao humano

Do ponto de vista prático, tornar as tarefas de segurança t ou utilizáveis significa estabelecer
com quatro elementos-chave [ ]:
. as capacidades e limitações dos usuários-alvo;
. os objetivos que esses usuários têm e as tarefas que realizam para alcançá-los;
. o contexto físico e social de uso; e
. as capacidades e limitações do dispositivo no qual o mecanismo de segurança é usado.
Agora examinamos cada um deles, por sua vez, e como eles se aplicam ao projeto de uma segurança utilizável
mecanismo.
. . . Capacidades e limitações humanas gerais
Existem capacidades e limitações gerais - físicas e mentais - que se aplicam à maioria

humanos. Dar aos humanos uma tarefa que excede suas capacidades significa que os preparamos para falhar.
Quando a demanda que enfrentam é limítrofe, a maioria dos humanos se esforça para atendê-la. Mas isso
terá um custo significativo, que pode acabar se revelando insustentável.
Com os dispositivos de computação em geral hoje, a capacidade física que pode ser excedida por
ridade de tarefas é provavelmente a capacidade de detectar sinais: muitos sistemas de segurança fornecem status
mensagens, lembretes ou avisos. Os humanos só podem focar sua atenção principalmente em um
tarefa a qualquer momento. Esse foco estará em suas atividades principais e em muitos mecanismos de segurança
nismos exigem mais tempo e atenção do que os usuários podem pagar [ 6] Isso significa que as mudanças
em indicadores de segurança passiva muitas vezes não são notados, em particular se estiverem nas bordas de
a tela. Pedir aos usuários para verificar esses indicadores está configurando-os para falhar, mesmo que eles
tente fazê-lo conscientemente, seu foco será atraído de volta para a tarefa principal. Se os indicadores de segurança
precisam ser atendidos, devem ser colocados na frente da pessoa e exigir uma resposta.
Isso funcionará, mas apenas para indicadores infrequentes e confiáveis (consulte Fadiga do alarme).

www.cybok.org
Fadiga de alarme O cérebro para de prestar atenção aos sinais que classificou como irrelevantes. Eles
são filtrados antes de atingirem o nível de processamento consciente (Seção ...) Significa hu-
os homens não executam bem as tarefas em que precisam rastrear anomalias raras (por exemplo, na bagagem
exibição e algumas formas de monitoramento de circuito fechado de televisão (CFTV) ). Precisamos de tecnologia
suporte e processos como rotação de tarefas para obter um bom desempenho. A fadiga do alarme está relacionada
fenômeno. Uma vez que os alarmes são classificados como não confiáveis, as pessoas param de prestar atenção a
eles. O quão alta é a taxa de falsos alarmes (com a qual as pessoas podem trabalhar) depende do risco, do fre-
frequência em que ocorrem alarmes falsos e as demandas das outras tarefas que eles precisam concluir.
Mas mesmo com uma taxa de% de alarmes falsos, pode-se esperar fadiga do alarme. Assim que as pessoas começarem a dispensar
alarmes, é difícil fazer com que os levem a sério novamente. Além disso, uma vez que dispensam um tipo
de avisos de segurança como falsos, semelhantes ou sonoros também serão descartados. Muitos segundos
Hoje, os avisos de segurança têm uma taxa de falsos alarmes muito alta e, portanto, são descartados. Certificado SSL
avisos, por exemplo, têm uma taxa de falsos positivos de% ou mais. Portanto, não é surpreendente que as pessoas
ignore-os, especialmente se nenhuma alternativa segura para completar a tarefa for oferecida ao mesmo
Tempo. Rob Reeder, quando trabalhava na Microsoft, cunhou o prático acrônimo NEAT: os avisos deveriam
seja necessário, explicado, acionável e testado [ ] Adicione a isso 'e tenha uma taxa de falso alarme de
% ou menos 'e um pode ter uma chance de os avisos de segurança serem eficazes.
Uma capacidade mental fundamental é a memória. Existem vários tipos de memória. A primeira distinção
está entre a memória de curto prazo (STM) e a memória de longo prazo (LTM). Quando alguém tenta
memorizar um item, ele precisa percorrer o ciclo STM algumas vezes antes de ser transferido para
o LTM . STM é o que é, por exemplo, usado para senhas de uso único, como códigos numéricos
exibido por tokens ou exibido em outro dispositivo.
STM e senhas de uso único (OTPs) O uso de PIN únicos ou senhas ( OTPpecado
a segurança aumentou à medida que a autenticação de dois fatores (FA) se tornou mais comum. Nós fo-
concentre a nossa atenção no número apresentado e repita-o para nós (mentalmente ou em voz alta). Então nós
voltar nossa atenção para o campo de entrada, recuperar o item do loop STM e repeti-lo para nós mesmos
ao entrar nele. O que é importante notar é que isso funciona para a maioria das pessoas para strings de até 6
caracteres, ou seja, um número de 6 dígitos, porque podemos dividi-los em pedaços de caracteres cada.
Códigos que são mais longos sobrecarregam o loop STM . As pessoas têm que começar a olhar para a frente e para trás
enfermarias entre o display para ler os caracteres e inseri-los. Isso aumenta tanto a entrada
tempo e a probabilidade de erro. E misturar caracteres alfanuméricos também afeta o desempenho.
Se um usuário será capaz de lembrar o que está armazenado no LTM depende de como ele está incorporado:
os itens recuperados com frequência estão bem incorporados; os que não são, desaparecerão com o tempo. Que
significa que podemos esperar problemas com itens usados com pouca frequência que exigem recall sem ajuda
(a lembrança auxiliada, por exemplo, reconhecer as próprias imagens em um conjunto de imagens, é mais fácil). LTM é dividido
em duas áreas distintas: o conhecimento geral é armazenado na Memória Semântica (LTM-SM), enquanto
itens conectados à história pessoal de alguém são armazenados na memória episódica (LTM-EM): autobio-
memória gráfica. Os itens armazenados no LTM-SM enfraquecem mais rápido do que aqueles no LTM-EM porque, no
No último caso, armazena-se não apenas o item, mas as imagens e emoções relacionadas a ele.

www.cybok.org
LTM e senhas O LTM-SM é dividido em áreas nas quais itens semelhantes são armazenados. Quando
tenta-se recuperar um item, a seção em que ele está armazenado é ativada e os itens no
seção competir para ser recuperada - com aquelas que foram recuperadas com mais frequência 'chegando
para se importar primeiro. Este efeito de interferência é bastante poderoso e perturbador, principalmente porque os itens
não é preciso mais (como senhas antigas) persistir e competir com aqueles que
precisa ser lembrado. Assim, gerenciar uma infinidade do mesmo tipo de credenciais é impossível,
especialmente se vários deles forem usados com pouca frequência. As pessoas precisam de estratégias de enfrentamento, seja por escrito
desativá-los, usando um gerenciador de senhas ou credenciais únicas. Podemos concordar que 6 ou
P @ SSword não são seguros. Mas, como a maioria dos usuários agora tem dezenas de senhas, a insistência
em senhas fortes criou uma tarefa humanamente impossível. A maioria das pessoas luta se tiverem
mais do que - senhas ou PINs - e quanto mais longos e fortes forem, mais eles irão
luta.
uma
O Guia de Senha NCSC , portanto, recomenda várias maneiras de apoiar as pessoas em
gerenciamento de um grande número de senhas exclusivas: mudar para soluções FA e / ou senha man-
agers e, se isso não for possível, não expirar senhas fortes regularmente. Se um
a senha deve ter expirado (por exemplo, porque foi comprometida), um pouco de investimento de tempo durante
o dia em que a senha foi alterada pode ajudar. As pessoas podem usar força bruta na senha antiga
repetindo a nova senha cerca de dez vezes imediatamente e repetindo esse processo
três ou quatro vezes em intervalos de uma hora.
uma
https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach
Um critério de segurança importante para autenticação baseada em conhecimento é que uma credencial deve
ser difícil de adivinhar. Devido às características físicas e mentais humanas, a seleção de cre-
dentials é, no entanto, muitas vezes tendencioso para o familiar, ou aqueles que podem ser mais facilmente desviados
distinto dos outros.
. Com as senhas, as pessoas tentam escolher aquelas que são mais fáceis de lembrar, por exemplo, aquelas que têm
significado para eles, como nomes ou datas memoráveis.
. Quando os usuários precisam escolher imagens como credenciais, eles preferem cores e formas fortes
sobre os mais difusos [ 8 ]
. Quando estas são fotos de humanos, eles escolherão fotos de pessoas 'mais atraentes'
e aqueles de sua própria origem étnica [ 8 ]
. Quando a credencial é um local específico dentro de uma imagem, as pessoas preferem recursos que
se destacarem [ 8 ]
. Com sistemas baseados em localização, as pessoas escolhem locais memoráveis, por exemplo, quando
escolhendo locais para um PIN de dígitos em uma grade numérica 5 × 5, eles vão para conectados
locais, ancorados em uma borda ou canto da grade [ 8 ]
6. A ordem dos elementos de uma credencial é previsível, porque há uma forte cultura
preferência estrutural, por exemplo, pessoas que falam línguas que leem da esquerda para a direita escolherão
esse pedido [ 8 ]
. Com o dedo em senhas em telefones Android, as pessoas escolhem entre um número muito limitado
ber de formas [ 8 ]
Esses preconceitos humanos reduzem a diversidade (número de senhas diferentes) em uma senha
banco de dados e aumenta a probabilidade de um invasor adivinhar uma senha. Para neutralizar isso,
as políticas de segurança impediram escolhas muito óbvias . Embora não permitindo escolhas muito óbvias
como 'senha' como senha e '' como PIN é prudente, pois há muitas restrições
www.cybok.org
aumenta a carga de trabalho associada à tarefa de criação de senha (consulte a Seção ...) Para
exemplo, um verificador de senha que rejeita + senhas em uma linha como muito fraco colocará os usuários
sob estresse considerável e provavelmente para a reutilização de uma senha.
Da mesma forma, medidores de força de senha são frequentemente usados para orientar e influenciar a senha do usuário
escolhas de palavras. Por exemplo, Ur et al. [8 ] discutiu o impacto de vários medidores de senha
projeta a escolha de senhas dos usuários, bem como destaca o aumento da carga de trabalho para
usuários e a frustração enfrentada por eles quando confrontados com medidores de senha mais rígidos. UMA
trabalho recente de Golla e Dürmuth [ 86] investigou a precisão da força da senha
contando vários medidores implantados na prática, bem como propostas acadêmicas. Trabalho deles
mostra um grau de variação em termos de precisão e, mais criticamente, que isso não significou
melhorou significativamente ao longo de cinco anos. Portanto, mesmo que desconsideremos a carga de trabalho adicional
sobre os usuários (não que devêssemos), essas abordagens nem sempre têm o nível de precisão
necessário para implementar com eficácia as políticas de senha. Essas considerações devem ser levadas em conta
mente ao implantar soluções para fazer cumprir as políticas de segurança.
Às vezes, surge a questão de saber se há treinamento para ajudar os usuários a lidar com
recordar credenciais de segurança. Atletas de memória usam exercícios específicos para melhorar a memória
atuação. O escritor Joshua Foer detalha em seu best-seller Moonwalking with Einstein [ 8 ]
que requer um sério investimento inicial de tempo (vários meses em tempo integral), mas também continuando
treinamento (pelo menos minutos por dia), mais o tempo necessário para lembrar e inserir as senhas
(que por si só as pessoas acham muito [ 88]).
Até agora, discutimos as capacidades e limitações que se aplicam à maioria das pessoas. Mas,
grupos de usuários específicos terão necessidades adicionais que devem informar a seleção ou configuração
ção do mecanismo ou processos de segurança. Por exemplo, crianças e cidadãos mais velhos podem ter
capacidades e limitações (por exemplo, habilidades motoras) que diferem dos adultos em idade produtiva. Pessoas
com dedos maiores lutam para atingir alvos pequenos com precisão, como as teclas pequenas em um soft
teclado. Valores e normas culturais precisam ser considerados. As condições físicas e mentais
ções de usuários também precisam ser levadas em consideração. Nem todos os usuários são capazes de operar o equipamento
com as mãos, ler em telas ou ouvir áudio. Condições como daltonismo afetam
um número considerável de pessoas, portanto, as imagens usadas para autenticação gráfica precisam ser verificadas.
Certos efeitos de áudio ou vídeo podem prejudicar usuários com doenças como autismo ou epilepsia.
Alguns CAPTCHAs trabalham no teste de Turing público totalmente automatizado para informar aos computadores e
Humans Aparts (CAPTCHAs) investigou o suporte a usuários com deficiências sensoriais,
por exemplo, [ 8 ] No entanto, é preciso ter em mente que CAPTCHAs adicionar mais esforço para o legítimo
mate o usuário, impedindo o alcance do objetivo pretendido, ou seja, o acesso. As limitações de usabilidade
desses mecanismos que visam 'verificar' usuários humanos legítimos - e sua contribuição para a segurança
fadiga rity - deve ser considerada [ , ]

www.cybok.org
. . . Objetivos e tarefas
O comportamento humano é essencialmente voltado para objetivos. As pessoas realizam tarefas para atingir metas, no trabalho:
'Eu quero fazer esta cotação para o nosso cliente hoje', ou em sua vida pessoal: 'Eu quero obter o
melhor negócio de utilidade para nós '. Para atingir esses objetivos, as pessoas realizam uma série de tarefas. Preparar
uma cotação, isso incluiria trabalhar os materiais necessários e seu custo, a pessoa
horas necessárias e seu custo, as taxas relevantes, impostos etc. Se uma tarefa tem várias etapas ou unidades,
ele pode ser decomposto em subtarefas. Por exemplo, calcular as horas-pessoa necessárias
em um trabalho pode ser dividido nas seguintes tarefas:
. identificar todas as etapas de trabalho que precisam ser concluídas,

. descobrir que tipo de funcionário é necessário para completar cada tarefa,
. quanto tempo cada tipo específico de funcionário precisa gastar em qual tarefa,
. quais preparações cada tipo de funcionário pode precisar fazer.
Essas tarefas são chamadas de tarefas primárias ou de produção na terminologia de fatores humanos e design-
criar as ferramentas de tecnologia para que as pessoas possam concluir essas tarefas com eficácia e eficiência é o
aspecto mais fundamental da usabilidade. Para garantir que as pessoas possam concluir as tarefas de forma eficaz, a tecnologia
designers de tecnologia (e segurança) precisam saber os requisitos para as tarefas que executam:
Tarefas de produção e habilitação As tarefas de produção são o que as pessoas consideram 'seu trabalho', e em
muitos empregos, eles podem ter passado anos estudando ou treinando para eles. Em um nível organizacional,
as tarefas de produção realizadas por muitos indivíduos em uma organização somam-se aos profissionais de negócios
processos que produzem os bens ou serviços. Qualquer coisa que interrompa esses processos ou os retarde
para baixo causará problemas signi cativos à organização. Quando falamos sobre ' resiliência ' de um or-
ganização, trata-se da capacidade de manter esses processos de negócios funcionando para produzir o resultado.
Bem como tarefas de produção, uma organização tem tarefas que não contribuem diretamente para os negócios
processos, mas foram adicionados para proteger sua capacidade de continuar a longo prazo: segurança e,
na verdade, a segurança são tarefas essenciais de habilitação. Algumas organizações escapam sem apoiar estes
permitindo atividades por um período de tempo e isso explica o rancor com que alguns indivíduos
e as organizações veem a segurança. O fato de que as medidas de proteção ou proteção não imediatamente
contribuir para a produção e os resultados financeiros explicam por que é uma venda de ressentimento, especialmente quando
indivíduos ou organizações se sentem pressionados.
. Qual saída deve ser produzida para que a meta seja alcançada? A tarefa tem que ser completada
efetivamente, por exemplo, se a cotação não estiver correta ou não for enviada ao cliente a tempo, o
tarefa não é concluída de forma eficaz.
. Existem restrições de tempo e recursos? Os processos de negócios podem definir uma superior
limite no tempo que as tarefas podem levar ou nos recursos que podem utilizar, como acesso
a informações ou serviços pelos quais a organização deve pagar.
. A tarefa é realizada com frequência (várias vezes ao dia) ou com pouca frequência (uma vez por mês)?
A execução de tarefas que as pessoas realizam frequentemente torna-se "automática", enquanto novos
ou tarefas realizadas com pouca frequência são concluídas de maneira consciente, passo a passo
(consulte a Seção ...) Para tarefas realizadas com frequência, o projeto deve otimizar para
acelerar e reduzir o esforço físico (o que pode levar à fadiga). Para tarefas pouco frequentes,
o design deve tentar reduzir o esforço mental, orientando os usuários e minimizando como
muito que eles têm que lembrar.
As pessoas se concentram na tarefa de produção, e as tarefas de habilitação muitas vezes são vistas como indesejáveis

www.cybok.org
venha interrupção ou distração. Para ficar com nosso exemplo de autenticação : um funcionário tem
para autenticar com uma senha em um banco de dados para descobrir a taxa horária de uma determinada espécie
profissional que a empresa cobra. Se ela faz isso com frequência e consegue se lembrar da senha,
pode levar apenas alguns segundos para ela se lembrar e entrar nele. Mas se ela acabou de voltar de
férias, não consigo me lembrar e leva minutos para chegar a um help desk para ter
é redefinido, e então ela tem que pensar e memorizar uma nova senha - tudo antes de conseguir
para o banco de dados - a tarefa de segurança tornou-se repentinamente uma grande interrupção, e talvez
a conclusão efetiva da tarefa de produção agora está sob ameaça.
E observe como uma tarefa aparentemente rápida de 'autenticação' (com subtarefas de 'recuperar senha'
e 'digite a senha') agora gerou mais duas tarefas de autenticação: 'recuperar a senha'
e 'criar senha', ambos com várias etapas cada.
A maioria das soluções alternativas para os mecanismos de segurança, como escrever senhas ou compartilhar
eles acontecem porque as pessoas tentam garantir a conclusão eficaz da tarefa de produção (para proteger
produtividade empresarial). Por exemplo, as pessoas costumam manter suas próprias cópias de documentos que
deve estar em um repositório de acesso controlado, ou cópias em texto claro de documentos que devem
ser criptografados, porque temem não poder acessá-los quando precisam deles. Ou
quando o esforço repetido e a interrupção resultante de ter que digitar uma senha para desbloquear
uma tela fica demais, eles instalam um software de movimento do mouse para impedir o travamento da tela e
tendo que inserir sua senha [ 88] Mesmo que um usuário conheça bem a senha, os segundos
leva soma se precisar ser feito dezenas de vezes ao dia.
Portanto, para evitar que as tarefas de segurança sejam contornadas, devemos projetá-las para o principal
tarefas. Podemos alcançar um bom t de várias maneiras:
• Automatizar a segurança, por exemplo, usando autenticação implícita para reconhecer
usuários, em vez de exigir que eles digitem senhas várias vezes.
• Se a ação humana explícita é necessária em uma tarefa de segurança, devemos minimizar o trabalho-
carga e a interrupção da tarefa principal.
• Projetar processos que acionem mecanismos de segurança, como autenticação apenas quando
necessário (ver, por exemplo, [ ]).
• Projetar sistemas que sejam seguros por padrãopara que eles não sobrecarreguem a carga de segurança
configurações e gerenciamento para os usuários.
A carga de trabalho pode ser física (digitar uma senha) ou cognitiva (lembrar uma senha). Huu
os homens geralmente tentam ser eficientes e manter sua carga de trabalho física e mental tão baixa quanto
possível. Mas, dada a escolha, a maioria das pessoas fará um trabalho físico extra em vez de um trabalho mental extra -
carga, especialmente se a tarefa física for de rotina e pode ser feita 'no piloto automático' (consulte a seção .)
A carga de trabalho mental rapidamente se torna excessiva, especialmente se as tarefas adjacentes exigirem o mesmo
capacidade mental, como a memória.
Portanto, para projetar uma tarefa de segurança que seja adequada, precisamos conhecer a produção
tarefas e considere a carga de trabalho mental e física. Antes de selecionar uma medida de segurança,
especialistas em segurança devem realizar uma auditoria de carga de trabalho:
. Qual é a carga de trabalho associada à tarefa primária e secundária (segurança)?
Poderíamos igualmente considerar outros exemplos, por exemplo, controle de acesso onde a perspectiva do usuário é: 'Eu
precisa compartilhar informações X com a pessoa Y ', enquanto as políticas de controle de acesso adotam a abordagem:' negar todos e
em seguida, habilite o acesso específico '.
https://www.ncsc.gov.uk/information/secure-default

www.cybok.org
. Existem restrições de desempenho na tarefa principal (por exemplo, o tempo em que tem que
ser preenchido)?
. Existem restrições de recursos (capacidade mental ou física, ou externas, como

acesso limitado a serviços pagos)?
. Qual é o impacto de não concluir a tarefa de segurança?
Medição da carga de trabalho Como podemos medir a carga de trabalho associada a uma tarefa de segurança?
Um proxy simples é o tempo: quanto tempo leva para concluir a tarefa de segurança? Considerando isso
antes de implementar uma nova política ou medida de segurança seria uma melhoria no status
quo, em que o impacto de uma política ou medida só é considerado quando está causando problemas.
Depois de saber quanto tempo leva, precisamos determinar se e onde interrompe a atividade primária.
A avaliação de se o impacto sobre a tarefa principal é aceitável pode ser realizada infor-
mally, por exemplo, com pessoal experiente e gerentes de linha que conhecem bem a tarefa de produção.
Uma avaliação mais formal pode ser realizada analiticamente usando as Metas, Operadores, Métodos
(GOMS) ou empiricamente usando o NASA Task Load Index (TLX).
Como já discutimos, as pessoas estão programadas para proteger sua produtividade. Eles têm
uma consciência integrada de quanto tempo e esforço estão gastando em tarefas não produtivas,
e uma ideia de quanta atividade improdutiva é razoável. Eles têm o que Beaute-
ment et al. chamado de Orçamento de Conformidade [ ] Conforme o dia avança e as tarefas de habilitação adicionam
para cima, a probabilidade de que pareçam demais e sejam ignorados aumenta. Furnell & Thomp-
filho cunhou o termo fadiga de segurança [ ] e a difícil batalha para transformar a segurança de um rancor
venda em uma qualidade positiva (Seção ...) pode ser atribuído a isso.
A segurança não é a única tarefa capacitadora que os funcionários enfrentam. Outros incluem: segurança, sustentabilidade, di-
treinamento de versatilidade, vários regimes regulatórios e assim por diante, levando à fadiga de conformidade . Beaute-
ment et al. [ ], recomende que os especialistas em segurança tenham uma discussão aberta e honesta
com os gerentes de linha e líderes de negócios sobre o tempo e o orçamento disponíveis para habilitar
atividades e quanto está disponível para segurança em comparação com outras funções de habilitação. Uma vez
isto é, a carga de trabalho das tarefas de segurança pode ser calculada e as prioridades identificadas
- quais comportamentos de segurança realmente importam para os principais riscos de um determinado grupo de funcionários
face - e tarefas de segurança simplificadas. Tornando os mecanismos de segurança mais inteligentes e menos 'todos'
ou nada 'também pode ajudar a reduzir a fadiga de conformidade. Por exemplo, permitir a autenticação
com uma senha antiga ou tendo políticas de "quebrar o vidro" que permitem apenas o acesso dos usuários
quem não tem permissão reduz a probabilidade de interrupção da tarefa. E se os usuários sabem que eles
ter acesso a serviços eficientes de recuperação e suporte de segurança, isso reduzirá a necessidade de
soluções alternativas.
www.cybok.org
. . . Contexto de interação
Investigação contextual Em organizações de trabalho modernas, os funcionários podem trabalhar em muitas partes do mundo,
e em muitos ambientes físicos e sociais diferentes. Pode ser um grande desafio para um segurança
especialista para identificar todos os fatores que podem afetar a segurança e a usabilidade. Muitos profissionais de usabilidade
profissionais seguem uma abordagem chamada Pesquisa Contextual [ ]:
'A premissa central da Pesquisa Contextual é muito simples: vá até o usuário, observe-o
faça as atividades de seu interesse e converse com eles sobre o que estão fazendo certo
então.'
A Investigação Contextual usa uma mistura de observação e entrevista para identificar as tarefas principais das pessoas
ple está realizando, e o que os faz fazer isso bem.
Tanto o ambiente físico quanto o ambiente social em que as pessoas devem atuar
as tarefas de segurança afetam o desempenho e a segurança. A maioria das pessoas em idade produtiva agora interage com
tecnologia em movimento com mais frequência do que em ambientes de trabalho tradicionais de mesa .
Esta mudança no contexto de uso afeta uma série de mecanismos de segurança, incluindo
sendo ouvido quando no telefone - o caso do ex - diretor da CIA Michael Hayden sendo
ouvido por acaso dando uma entrevista não oficial a bordo de um trem sendo particularmente espetacular
um . O risco de ser ouvido agora é abordado em muitos pacotes de treinamento corporativo,
mas vários mecanismos de segurança ainda estão em uso que são vulneráveis a serem ouvidos, por exemplo,
questões de segurança como data de nascimento, nome de solteira da mãe. Usando credenciais parciais
apenas e a entrada através do teclado aumentam a segurança, mas também acentuam o estado mental e físico
carga de trabalho ao mesmo tempo. Alguns invasores também podem tentar coletar credenciais por meio do ombro
câmeras sur ng ou escondidas. Em geral, o uso de uma senha de uso único (OTP) como parte de um FA
solução poderia oferecer proteção e melhor usabilidade.
A usabilidade dos mecanismos de segurança pode ser afetada pelas seguintes características físicas
tiques:
. Luz: Com luz forte, os monitores podem ser difíceis de ver, o que pode afetar a autenticidade gráfica
catião em particular. Sistemas biométricos, como reconhecimento de íris e rosto, dependem de entrada
de câmeras. A luz forte pode causar reflexos, o que significa que as imagens capturadas não são
bom o suficiente para processar.
. O ruído obviamente interfere no desempenho dos sistemas de reconhecimento de voz.

Mas altos níveis de ruído também afetam o desempenho humano em geral devido ao aumento
estresse e, por sua vez, maior probabilidade de erro. Ruídos altos inesperados provocam um hu-
resposta de susto do homem, o que desvia a atenção da tarefa.
. A temperatura ambiente pode afetar o desempenho da tecnologia e dos humanos. Fin-

sensores gerprint podem parar de funcionar quando está frio e os humanos são mais lentos para apontar
e selecionando. Eles também podem precisar usar roupas de proteção, como luvas que fazem
operações físicas de telas sensíveis ao toque impossíveis ou difíceis. Da mesma forma, um ambiente muito quente
ronment pode causar desconforto e o suor pode interferir nos sensores.
. A poluição pode afetar equipamentos operados ao ar livre. Esta é uma preocupação particular para
sensores e telas sensíveis ao toque da ngerprint. Os lipídios deixados para trás se combinam com as partículas
e a graxa escura resultante pode obstruir os sensores ou deixar um padrão claramente visível no
tela sensível ao toque.
https://www.theguardian.com/world/ / oct / / former-spy-chief-overheard-acela-twitter
www.cybok.org
O contexto social em que as pessoas se consideram fortemente influencia o comportamento, embora valha
ues : crenças compartilhadas sobre o que é importante e vale a pena, e normas : regras e expectativas
informações sobre o comportamento real. Se o comportamento de segurança esperado está em conflito com o dia-a-dia
normas comportamentais, podemos esperar problemas. Por exemplo, se uma organização valoriza o cliente
satisfação, e os funcionários são instruídos a serem amigáveis com os clientes em todos os momentos, uma segurança
política que exige que a equipe trate qualquer consulta do cliente como uma tentativa potencial de extrair
formação não t. Compreender os motivos da não conformidade com a segurança
políticas podem lançar luz sobre esses conflitos entre os requisitos de segurança e os principais
tarefa [ 6] A confiança é outra norma fundamental. Os humanos não gostam de se sentir desconfiados - e tem sido
mostrou que comunicar desconfiança aos funcionários incentiva o mau comportamento, ao invés de pré-
desabafar [ ]
Outros aspectos precisam ser considerados para entender como as crenças de segurança, normas e
estratégias de enfrentamento são moldadas. Por exemplo, os usuários muitas vezes obtêm seu conhecimento de suas
redes sociais e estas também são uma fonte de apoio e ajuda quando enfrentam a usabilidade
desafios [ 8, ]
. . . Capacidades e limitações do dispositivo
Já discutimos que as características físicas de um dispositivo podem tornar a interação

com mecanismos de segurança difíceis em certas circunstâncias. Algumas características de
o dispositivo pode fazer com que os mecanismos de segurança se tornem difíceis de usar em qualquer circunstância.
A inserção de senhas longas e complexas em teclados virtuais de um telefone celular leva muito mais tempo
e é mais sujeito a erros do que em um teclado normal [ ] E embora com uso frequente em um
teclado, a maioria das pessoas pode se tornar bastante hábil na digitação de uma senha complexa, desempenho
O mance não melhora quando os humanos atingem uma limitação básica. O que é particularmente preocupante
do ponto de vista da segurança é que (sem conluio) uma população de usuários começa a convergir
em um pequeno número de senhas que são mais fáceis de inserir com o mínimo de tog-
gles, o que torna mais fácil adivinhar uma senha válida para os invasores [ ]
Embora o FA tenha benefícios de segurança e reduza a necessidade de senhas fortes, nem todas as soluções de FA
ções são utilizáveis por padrão. Muitos usuários consideram os tokens FA amplamente usados , como o Digipass, difíceis.
Eles apreciam o fato de que cabe em suas carteiras, mas, no final das contas, é 'demais' [ ] Além disso,
metade dos usuários de serviços bancários online têm contas em mais de um provedor de serviços financeiros.
O fato de que mesmo aqueles que usam FA o implementam de forma diferente (qual token é usado quando
tem que ser usado, e como os diferentes elementos de autenticação são referidos (frase-senha,
senha, frase-chave) causa confusão para os usuários. Da mesma forma, diferentes implementações
de Chip e PIN criam variações ligeiramente diferentes na tarefa que pega os usuários, levando
a erro humano (Seção .)
Com o aumento do número de novos dispositivos surgindo, de relógios inteligentes a dispositivos domésticos,
e tamanhos de tela ainda menores e interações implícitas entre usuários e dispositivos por meio
uma variedade de sensores e atuadores, considerando a ergonomia das interações de segurança [ ]
é cada vez mais importante. Os riscos decorrentes de Traga seu próprio dispositivo (BYOD) culturas são
discutido na Área de Conhecimento de Gestão de Riscos e Governança (Capítulo ) .
www.cybok.org
. ERRO HUMANO
[, ]
Em mais de anos de pesquisas sobre acidentes e segurança, o psicólogo James Reason trabalhou
que virtualmente todos os erros que as pessoas cometem são previsíveis [ ]. Eles ocorrem como resultado de la-
falhas de tenda (organização e condições locais de trabalho) e falhas ativas (erros e violações
por humanos) em combinação para permitir a ocorrência do acidente. Figura . mostra Reason's
Modelo 'Swiss Cheese' adaptado para segurança. Um incidente de segurança ocorre porque a ameaça
encontra seu caminho através de uma série de vulnerabilidades nas defesas da organização. Uma pessoa pode
ser aquele que apertou o botão errado ou clicou no link e causou o incidente. Como-
sempre, várias outras falhas precederam isso, levando essa pessoa a ser colocada em uma posição onde
fazer o que parecia ser a escolha certa acabou sendo a escolha errada.
Falhas latentes de usabilidade em sistemas de sistemas Também não se pode presumir que todos os sistemas
são projetados do zero com considerações de segurança utilizáveis em mente. Na maioria das vezes, os sistemas são,
na verdade, sistemas de sistemas (SoS), derivados da composição de sistemas independentes que
reúnam-se para orquestrar um determinado serviço ou tarefa. Problemas de integração no SoS têm sido
estudado, por exemplo,] [e deve-se considerar as falhas latentes que surgem devido às decisões tomadas
durante a integração. Fraca usabilidade e fadiga da tarefa representam um risco suficiente para a segurança de
o SoS para garantir o investimento inicial a fim de evitar falhas latentes.
O trabalho de Reason e seus colegas pesquisadores de segurança [ 6, ] levou as organizações a serem

responsabilizado por resolver os problemas de segurança upstream à medida que são descobertos, ao invés de esperar
para que um acidente aconteça. O conceito de quase acidente descreve uma situação em que a segurança
problemas tornam-se aparentes, mas um acidente é evitado no último minuto. Na maioria das indústrias
que estão sujeitos aos regulamentos de segurança, há uma obrigação de relatar quase-acidentes e investimentos
detectar qualquer falha assim que for descoberta - com um requisito para abordar as causas raiz
identificados através da investigação para que futuras falhas sejam mitigadas.
Aplicado à segurança, um funcionário que não segue um procedimento de segurança constitui um ativo
falha e deve ser investigada e corrigida. Se a investigação mostrar que o conflito
demandas de tarefa de produção e segurança levam o funcionário a desconsiderar a segurança, a
ict é uma falha latente subjacente que a organização precisa resolver. Freqüentemente, segurança não
a conformidade é ignorada até que ocorra um incidente. Ao contrário da segurança, a segurança não tem
adversários com quem lutar. Mas muitas melhorias poderiam ser feitas para a segurança atual
ridades aplicando conceitos de segurança (conforme discutido na Seção ...)
Conforme já mencionado na Seção . . ., tarefas que as pessoas realizam frequentemente tornam-se auto-
tomaticos , enquanto as tarefas que estão fazendo pela primeira vez ou muito raramente são realizadas
de forma consciente, passo a passo. O psicólogo Daniel Kahneman, prêmio Nobel
laureado em economia por seu trabalho sobre os preconceitos humanos na tomada de decisão, descreveu os dois
áreas, sistema e, e a forma como funcionam como, pensando rápido e lento [ 8 ] Um muito im-
O importante é que a maioria das atividades que as pessoas realizam são realizadas no Sistema
modo, e é isso que nos torna eficientes. Se as pessoas realizassem a maioria de suas atividades em
No modo de sistema, eles não fariam muito. Exortações para 'Take Five' sempre que-
antes de clicar em um link não é realista quando as pessoas recebem dezenas de e-mails de trabalho com
links. Além disso, se sem clicar nesse link ou fornecer informações pessoais, não há
forma de completar a tarefa principal, a produtividade está seriamente ameaçada. Anúncio inespecífico
https: // take ve-stopfraud.org.uk/
www.cybok.org
Figura . : Versão de segurança do modelo 'Swiss Cheese' da Reason. Buracos são latentes e falhas ativas-
ures. Quando uma ameaça encontra uma em camadas sucessivas, a ameaça é bem-sucedida. 'Fatias de queijo'
são defesas fornecidas por políticas e mecanismos de segurança.
vícios como 'apenas pare e pense' raramente funcionam porque apenas impedem as pessoas em seu caminho
e sem apoiá-los, a realização de seus objetivos com segurança não é útil. Além disso, con
considerando a carga de trabalho das medidas de segurança, os especialistas em segurança precisam considerar mais
impacto que seguir seus conselhos tem na capacidade das pessoas de completar suas tarefas primárias, como
bem como o impacto sobre a eficácia da comunicação geral entre a organização e
funcionários. O uso de Relatório de Autenticação de Mensagem com Base em Domínio e Conformidade
(DMARC), por exemplo, deve permitir que os funcionários distingam a comunicação interna genuína
de possíveis tentativas de phishing. O uso de DMARC para fornecer uma indicação confiável de
remetentes 'seguros' podem reduzir o número de e-mails sobre os quais os usuários devem ser cautelosos. Até
melhor, o fornecimento de tecnologia de navegação ultra-segura, agora disponível, significa que
clicar em links não tem consequências técnicas adversas, portanto, a educação e o treinamento do usuário podem
foco na explicação de técnicas de engenharia e manipulação social.
Ao lidar com problemas complexos, os humanos muitas vezes têm que combinar processos rápidos e lentos.
cesses, e há um modo misto intermediário , onde a execução da tarefa não é totalmente automática:
alguns dos comportamentos são automáticos, mas é preciso parar e trabalhar conscientemente quais
comportamento para selecionar. Custos de produtividade à parte, especialistas em segurança sugerindo que as pessoas deveriam 'parar
e pense em 'assumir que' modo lento 'é igual a' modo de segurança '. Por exemplo, usar o modo lento pode
também levam a pensar demais, a racionalizar ou explicar as evidências, a trazer informações irrelevantes
preocupações a suportar, concentrando-se nas metas erradas (por exemplo, metas de produção) e desperdiçando grandes
quantidade de tempo e energia. Na verdade, cada um desses modos de operação vem com seu próprio
tipo de erro humano (Tabela .)

www.cybok.org
Modo Tipo de erro Causa Exemplo de Segurança
Automático modo Deslizamentos e Falha de reconhecimento “Eu esqueci de verificar o

(Rápido) lapsos Falha de memória cadeado antes de eu entrar
Falha de atenção detalhes do meu cartão de crédito. ”
Modo misto Erro Humano escolhe incorreto “Eu não verifiquei o teclado
resposta correta bloquear porque sites em
meu iPhone está seguro. ”
Modo consciente Erro II Humano não sabe “Eu não sabia verificar
(lento) resposta correta o cadeado antes de entrar
detalhes do meu cartão de crédito. ”
Mesa . : Automático, modo misto e espaço de trabalho consciente (com base em [ ] )
Mesmo no modo consciente, as pessoas tentam ser eficientes, recorrendo à 'coisa mais próxima que conhecem',
ou seja, eles são mais propensos a escolher os comportamentos que usam com frequência, ou aqueles que parecem mais
semelhante à situação que eles encontram. Os invasores exploram isso criando
sites ou incorporando mensagens de segurança em seus e-mails de phishing.
A razão identifica quatro tipos de falhas latentes que são mais propensas a fazer com que as pessoas cometam
erros.
. Os fatores individuais incluem fadiga (conforme discutido na Seção ...), mas também inexperiente
cia e uma atitude de risco.
. Fatores humanos incluem as limitações de memória (conforme discutido na Seção ...) mas
também hábitos comuns e suposições amplamente compartilhadas.
. Fatores de tarefa incluem pressão de tempo, alta carga de trabalho e várias tarefas, mas monotonia e
o tédio é igualmente indutor de erros, porque as pessoas mudam sua atenção para as diversões.
A incerteza sobre funções, responsabilidades e regras também leva a escolhas incorretas.
. Os fatores do ambiente de trabalho incluem interrupções nas tarefas (conforme discutido na Seção ...)
e equipamentos e informações deficientes. As pessoas também são particularmente propensas a cometer erros quando
regras e procedimentos mudam.
Fatores de tarefa e ambiente de trabalho são claramente de responsabilidade da organização. Lá

deve haver revisões regulares de como as políticas são seguidas. Se não forem, a base
as causas devem ser identificadas e tratadas. As causas dos quase acidentes, erros que acontecem
encurralado, mas não levou a um incidente, deve ser usado da mesma forma para identificar e alterar o
causas subjacentes. Também precisamos desenvolver uma melhor compreensão de como os humanos respondem
quando sob condições de estresse, por exemplo, em tempo real diante de um ataque que se desenrola.

www.cybok.org
'Nunca emita uma política de segurança que não possa ser seguida'
(Ou: General MacArthur, sombra de segurança e segurança
higiene ) O famoso líder militar da segunda guerra mundial
eral Douglas MacArthur cunhou a frase 'nunca dê
uma ordem que não pode ser obedecida. 'Ele reconheceu o cor-
impacto rosa de uma única ordem que não pode ser seguida
na realidade, isso prejudica a credibilidade de todos os pedidos e
os superiores que os emitem e semeiam a incerteza e
dúvida. É o mesmo com as políticas de segurança: ao empregar
ees encontram políticas de segurança que são impossíveis de
seguir ou claramente não são eficazes, fornece uma justificativa
por duvidar de todas as políticas de segurança. É por isso que secu-
higiene é essencial. Quando as políticas não estão sendo seguidas
baixa, os profissionais de segurança devem investigar, de uma forma
forma de confronto, por que e se é porque eles
são impossíveis ou muito onerosos de seguir e redesenhar
a solução. Kirlappos et al. apontou que na maioria
casos, os funcionários não mostram desrespeito flagrante por se-
segurança, mas tente gerenciar o risco que eles entendem no
melhor maneira de saber, o que eles chamam de shadow security [ 6 ]
Suas soluções de segurança 'amadoras' podem não ser totalmente eficazes do ponto de vista da segurança, mas
uma vez que são "viáveis", perguntar "como poderíamos tornar isso seguro" é um bom ponto de partida para
Encontrar uma solução eficaz que combine com a forma como as pessoas trabalham.
. CONSCIENTIZAÇÃO E EDUCAÇÃO DE SEGURANÇA CIBERNÉTICA

[ , ]
Os profissionais de segurança costumam responder com medidas de conscientização, educação e treinamento de segurança
garante quando as pessoas não seguem as políticas de segurança. Mas, na seção . nós estabelecemos isso
segurança, higiene deve vir em primeiro lugar: se as pessoas continuarem sendo informadas de que o risco é realmente sério e
eles devem seguir a política, mas não podem fazê-lo na prática, eles desenvolvem ressentimento e uma atitude negativa
atitude em relação à segurança e à organização (o que é contraproducente).
Na prática, os três termos: conscientização, educação e treinamento, são freqüentemente usados como intercâmbio.
habilmente, mas são elementos diferentes que se complementam:
Conscientização sobre segurança. O objetivo da conscientização de segurança é chamar a atenção das pessoas e
convencê-los de que a segurança vale a pena. Dado que muitas organizações enfrentam
conformidade e fadiga de segurança , para citar Cormac Herley: Mais não é a resposta [ 6 ]:
visando um monte de comunicações vai voltar. Precisamos chamar a atenção das pessoas e
fazer com que percebam que (a) a segurança cibernética é relevante para eles, ou seja, os riscos são reais
e podem afetá-los, e (b) existem medidas que eles podem tomar para reduzir o risco e que
eles são capazes de dar esses passos. Elaborar mensagens eficazes de conscientização não é
uma tarefa fácil para profissionais de segurança. Trabalhando com os especialistas em comunicação
em uma organização pode, portanto, ajudar. Eles não só sabem criar mensagens que
prenda a atenção das pessoas, mas saiba como alcançar diferentes públicos por meio de diferentes
canais disponíveis para eles e integrá-los ao conjunto geral de comunicações
para evitar o cansaço da mensagem.
Educação em segurança. Assim que as pessoas estiverem dispostas a aprender mais sobre segurança cibernética, podemos

www.cybok.org
vide informações sobre os riscos e o que eles podem fazer para se protegerem deles.
A maioria das pessoas atualmente tem modelos mentais muito incompletos e muitas vezes incorretos (ver
Seção . .) sobre riscos cibernéticos. Transformá-los em outros mais precisos fornece uma
base para desenvolver habilidades de segurança cibernética. No entanto, é difícil determinar se
a educação leva a modelos mentais mais precisos ou pelo menos os que garantem
profissionais esperam que as pessoas possuam. Essa divergência deve ser levada em consideração. Para
por exemplo, Nicholson et al. [ ] apresentar a tarefa de sobrevivência cibernética como um meio de sub-
resistir a tal divergência entre especialistas em segurança e funcionários, a fim de informar o
desenho de programas de educação em segurança.
Treinamento de segurança. O treinamento ajuda as pessoas a adquirir habilidades, por exemplo, como usar um determinado seguro
mecanismo de identidade corretamente, como reconhecer e responder a um ataque de engenharia social.
Além de mostrar às pessoas como fazer algo, precisamos apoiar a aquisição
de habilidades, permitindo que eles pratiquem as habilidades em um ambiente onde eles podem 'experimentar' com
tomada de decisões de segurança e refletir sobre suas percepções e preconceitos [ ] Partes de habilidade
aquisição pode ser suportada online, mas, como todo aprendizado, é muito mais provável que seja
sucesso quando ocorre no contexto de uma comunidade social [ ]
Um mal-entendido comum é que se as pessoas concluírem as três etapas acima e souberem o que
fazer, eles mudarão seu comportamento. Mas saber o que fazer e como fazer não é suficiente.
Como discutimos na Seção ., a atividade humana é% automática, impulsionada por rotinas ou hábitos
armazenados no espaço de trabalho de longo prazo. O novo comportamento de segurança precisa ser incorporado lá
mas seu lugar é ocupado por um comportamento existente (semelhante a uma senha antiga). O ditado
que 'velhos hábitos são difíceis de morrer' descreve com precisão o fato de que, até conseguirmos empurrar os velhos
comportamento e o novo comportamento torna-se automático, toda a nossa consciência, educação e
os esforços de treinamento podem não produzir as mudanças de comportamento que buscamos. Este é um desafio
empresa. Uma vez que a atividade produtiva precisa continuar enquanto mudamos o comportamento de segurança
(Seção .), podemos apenas visar - comportamentos de cada vez, e embarcar na mudança do próximo
- apenas quando estes se tornarem genuinamente incorporados. Nem se deve confiar na segurança
conscientização e educação com cultura de segurança (cf. Gestão de Risco e Conhecimento de Governança
Área de borda (Capítulo )) . Estes podem ser um elemento no desenvolvimento de uma cultura de segurança, mas são
não são em si representantes de uma cultura de segurança eficaz.
O White Paper da RISCS 'Conscientização é apenas o primeiro passo ' [ ], apresenta um modelo de suporte
(Figura . Que as organizações precisam fornecer para alcançar mudanças comportamentais de segurança.
mostra que as três etapas que discutimos até agora são apenas as primeiras etapas, e que um
outras quatro etapas são necessárias para alcançar a mudança comportamental. Para apoiar essas etapas adicionais,
podemos aproveitar uma nova geração de recursos de aprendizagem que evoluíram. E essas etapas
exigem investimento das organizações - em termos de estratégia, tempo, planejamento e recursos.
. . Novas abordagens para apoiar a conscientização da segurança e mudança de comportamento
Simulações e jogos estão cada vez mais sendo usados, ambos para aumentar a conscientização sobre a segurança
atraente e para ajudar com medidas educacionais mais complexas e mudança de comportamento.
Simulações anti-phishing projetadas para ensinar os funcionários a não clicar em links suspeitos são
provavelmente o mais usado nas organizações hoje. A popularidade deles vem do fato
que fornecem a capacidade de medir o impacto das intervenções e tendem a mostrar uma
diminuição nas taxas de cliques a curto prazo. O argumento é que a experiência de ter sido
phishing é um 'momento de ensino' que capta a atenção dos funcionários e os persuade

www.cybok.org
Figura . : Modelo de mudança de comportamento do White Paper da RISCS [ ]
para trabalhar seu caminho através da educação que está sendo oferecida. No entanto, Fogg, que primeiro apresentou
o conceito de 'momentos de gatilho' (referido como Prompts no mais recente Fogg Behavior
Modelo, cf. Figura .) é muito claro que eles só levarão a uma mudança de comportamento se a pessoa
tem um nível suficiente de motivação para se envolver com o treinamento fornecido e a capacidade de
aplicar as habilidades que estão sendo ensinadas. Joinson argumenta que certos gatilhos emocionais e contextuais
empregados por invasores de engenharia social são tão direcionados e poderosos (por exemplo, um
citação que pretende ter informações sobre interrupções no trânsito ou no transporte público em breve
antes do final da jornada de trabalho) que eles não podem ser evitados pelo treinamento [ ]
Do ponto de vista do fator humano, as simulações anti-phishing podem ser problemáticas:) porque
os funcionários podem perceber isso como sendo atacado por sua própria organização, o que reduz
Confiar em [ ] e) podem levar os funcionários a se tornarem tão relutantes em clicar em links que
eles não agem em e-mails genuínos que podem ser importantes. Esses fatores precisam ser cuidadosamente
considerado no projeto de quaisquer simulações [ ] Além disso, como discutimos acima,
o uso de mecanismos como DMARC pode reduzir o número de e-mails suspeitos em
em que os usuários precisam se concentrar, permitindo que a educação e o treinamento sejam voltados para explicar
técnicas de engenharia e manipulação social.

www.cybok.org
Figura . : O Modelo de Comportamento de Fogg tem três fatores: motivação, habilidade e gatilhos (https:
//behaviormodel.org)
Jogos de conscientização de segurança Os jogos Capture The Flag (CTF) são projetados para aumentar a conscientização
de vulnerabilidades e como podem ser exploradas. A ideia é ver como eles podem usar o
vulnerabilidades para atacar um sistema, os defensores aprendem a não incorporá-los em seus próprios sistemas.
No entanto, o foco está no treinamento dos encarregados de proteger a organização e não no mais amplo
conjunto de usuários e funcionários.
Existem jogos de cartas de mesa com o objetivo de fornecer conscientização de segurança para uma base mais ampla de usuários dentro
uma
organizações, por exemplo, Ctrl-Alt-Hack [ ], dox d! e outros são especificamente voltados para as TIC
b
especialistas e desenvolvedores, por exemplo, Elevation of Privilege da Microsoft . Existem também jogos de tabuleiro
projetado para ser desempenhado por grupos de trabalho para aumentar a conscientização sobre ameaças à segurança cibernética e
complexidade da tomada de decisões de risco cibernético, por exemplo, decisões e interrupções ][ Todos esses jogos
têm a vantagem potencial de oferecer uma experiência de aprendizagem social, se jogados em um contexto de grupo.
Mas, se forem fornecidos como exercícios únicos, é improvável que tenham um efeito duradouro.
No geral, jogos e simulações têm o potencial de oferecer novos elementos envolventes que podem ser
implantado em diferentes estágios do modelo de mudança de comportamento (consulte a Figura .), mas eles precisam ser
parte de um programa planejado de transformação de comportamento, não intervenções pontuais.
uma
https: // dx d.com/dxd/about.html
b
https://www.microsoft.com/en-us/SDL/adopt/eop.aspx
.. Modelos mentais de riscos cibernéticos e defesas

Muito do conhecimento no espaço de trabalho de longo prazo é organizado na forma de mod mental
els, análogos mentais de dispositivos com os quais as pessoas interagem. Eles podem variar em detalhes de
modelos estruturais (como projetos) que os especialistas possuem, até modelos de tarefas e ações que permitem não
especialistas para operar um dispositivo com competência. Uma pessoa com um modelo de operação tarefa-ação pode
dirigir um carro, mas apenas um especialista com um modelo estrutural pode diagnosticar falhas e repará-las.
Obviamente, não podemos esperar que especialistas não especializados em segurança entendam todos os riscos cibernéticos em detalhes.
Wash argumenta que modelos mentais inadequados de segurança tornam os usuários vulneráveis contra informações
adversários ligeiros:

www.cybok.org
'Esses usuários acreditam que seu comportamento atual não os torna vulgares
nerável, então eles não precisam fazer nenhum esforço extra. ' [ ]
Compreender os modelos mentais dos usuários pode fornecer insights sobre como os usuários percebem
informações de segurança lar, por exemplo, alertas [ 6] ou tarefas específicas que eles têm que realizar, por exemplo, dele-
ção [ 8] A questão é: quais modelos seriam úteis? Existem exemplos de mod mentais
els na literatura, por exemplo, modelos de segurança física, modelos médicos, modelos criminais
els, modelos de guerra e modelos de mercado [ ], que pode fornecer uma base para a comunicação
problemas complexos de segurança para os usuários. As percepções de risco também são relevantes a esse respeito. Esses,
juntamente com a responsabilidade, são abordadas na Área de Conhecimento de Gestão de Risco e Governança
(Capítulo ), portanto, não são discutidos mais aqui.
. SEGURANÇA POSITIVA
[ 8]
Qual é o objetivo da segurança cibernética? Quando perguntado, a primeira resposta da maioria das pessoas é ao longo do
linhas de prevenção de ataques cibernéticos ou, pelo menos, de redução do risco de ataques bem-sucedidos ou perdas
sendo muito alto. Como Florencio et al. apontou, fornecedores e aqueles que desejam que as organizações
levar a segurança mais a sério, recorrer a um 'Venda de medo da incerteza e da dúvida (FUD) - criando
medos de ataques e suas consequências, Incerteza sobre as consequências e Dúvida sobre
capacidade das organizações de se defenderem - impulsionando assim o mercado de segurança cibernética e
a venda de produtos [ 8]
'FUD fornece um fluxo constante de factóides (por exemplo, o número bruto de amostras de malware
ples, atividade em mercados clandestinos ou o número de usuários que irão transferir
sua senha para uma barra de chocolate), cujo efeito é nos persuadir de que
as coisas estão ruins e pioram constantemente. '
Os profissionais de segurança hoje reclamam que a maioria dos indivíduos e empresas não usam o cyber
riscos a sério. O problema é que as vendas do medo não são uma boa base para decisões de segurança
tomada: quando o investimento resultante em segurança acaba por não ser eficaz, a decisão
os fabricantes ficam céticos quanto aos benefícios da segurança cibernética. Isso, por sua vez, incentiva o
outro lado para aumentar o FUD, levando a uma espiral de medo e relutante investimento em segurança.
Para se defender de novas ameaças, as empresas precisam mais do que adesão passiva - em-
empregados que desejam defender a organização e compreender e concordar com a
patrocínios que lhes foram atribuídos na defesa. Para conseguir isso, devemos fazer
curiosidade, uma proposta que é confiável, de modo que as pessoas queiram comprá-la. Ofertas de segurança positivas
mais do que proteger as coisas com as quais nos preocupamos contra consequências negativas (' liberdade de' ).
Permite-nos envolver-nos em atividades que valorizamos e ter experiências que apreciamos (' liberdade
para ' ) [ , ] Roe argumenta que uma concepção positiva de segurança abrirá ideias para novas políticas
opções e intervenções geladas e incentive os indivíduos ou grupos a se envolverem mais
na tomada de decisões sobre segurança e como parte de sua implementação [ ]
Outro aspecto importante da segurança positiva é a linguagem que usamos em relação a ela. Como primeiro
passo, devemos parar com a prática de demonizar as pessoas que não querem ou são incapazes de seguir
conselho de segurança: chamar essas pessoas de 'o elo mais fraco' as culpa implicitamente por não serem
capaz de compreender ou cumprir a segurança.

www.cybok.org
.6 ENVOLVIMENTO DE STAKEHOLDER
[ , , ]
.6. Funcionários
A partir da pesquisa sobre o comportamento humano em segurança cibernética na última década, um muito claro
tema surgiu: a importância de se envolver em encontrar maneiras de fazer a segurança funcionar
Para funcionários. A comunicação e a liderança são importantes neste sentido. No entanto, estes
aspectos e outros relativos às culturas organizacionais são discutidos no Gerenciamento de Riscos
Gestão e Governança Área de Conhecimento (Capítulo) . Aqui, nos concentramos nos funcionários, em vez de
liderança e aspectos organizacionais, como liderança estratégica em nível de conselho do cyber se-
curidade.
Lizzie Coles-Kemp e colegas desenvolveram uma abordagem que envolve o envolvimento dos funcionários
para melhorar a segurança um passo adiante. Eles usam técnicas projetivas (por exemplo, desenhos e
colagens) para construir representações da atividade diária e fundamentar a discussão de segurança em
esses. Estudos de caso [ , 6] mostram como isso ajuda a identificar as principais causas de insegurança
comportamento que a organização vê como indesejável, em muitos casos, segurança mal projetada
(ecoando os resultados de Beautement et al. [ ]), Mas também falhas mais fundamentais do
organização para apoiar o negócio e suas tarefas individuais.
Compromissos de segurança criativa (mencionados pela primeira vez por Dunphy et al. [ ]) encorajar a participação
calças (funcionários no contexto da empresa ou consumidores ou cidadãos em um envolvimento mais amplo) para
refletir sobre:
• seu ambiente,
• as emoções que sentem,
• as restrições que experimentam,
• as pressões sob as quais estão,
• as ações e tarefas que executam ao gerar e compartilhar informações.
Uma técnica particular para engajamentos criativos usando Lego para a modelagem física de
ameaças à segurança da informação foi desenvolvido pelo Projeto Trespass da UE6. Este tipo de física
modelagem preenche a lacuna entre os diagramas típicos (gráficos de fluxo e modelagem unificada
Diagramas de linguagem (UML) , por exemplo) com os quais os profissionais de segurança normalmente trabalham,
e as práticas cotidianas dos consumidores que são afetados pelo design de segurança. Heath, Hall
& Coles-Kemp [ ] relatou um estudo de caso bem-sucedido deste método para modelar a segurança para
uma aplicação de home banking, que identificou áreas onde a intervenção humana e apoio
precisava ser fornecido para fazer a segurança funcionar em geral.
Esses estudos fornecem exemplos de diferentes maneiras de se envolver com funcionários, consumidores
e cidadãos em segurança. Eles fazem parte de uma tendência crescente em pesquisa (cf. trabalho sobre Produtivo
Segurança [ ]), afastando-se da abordagem mecanicista de procurar traços dentro
indivíduos que conduzem ao comportamento de segurança desejado ou tentando mudar o comportamento
abordando ou aprimorando esses traços. O foco fundamental dessas abordagens é sobre
alterar o design de segurança para alinhar com as tarefas do usuário e organizacionais para reduzir o trabalho-
6https://www.trespass-project.eu/
www.cybok.org
carregar e aumentar a produtividade de uma organização. O fato de que também leva a uma
a percepção ativa de segurança é um efeito colateral valioso.
.6. Desenvolvedores de software e segurança utilizável

Zurko & Simon apontaram que a segurança inutilizável afeta não apenas os funcionários em geral que
podem não ter computação específica ou educação em segurança, mas também aqueles que têm
habilidades técnicas, como desenvolvedores e administradores de sistema [ 6] Eles também enfrentam um aumento
cargas de trabalho e complexidade, e cometer erros porque as bibliotecas e aplicativos pro
interfaces de gramática (APIs) nas quais eles se baseiam não são utilizáveis. Indiscutivelmente, erros que estes técnicos
os usuários geralmente têm um impacto mais significativo do que os erros cometidos pelo emprego geral.
ees, por exemplo, a vulnerabilidade Heartbleed.
Desenvolvedores e segurança de senha Notamos acima os problemas de usabilidade de senha e

outros sistemas de autenticação que foram estudados extensivamente para usuários finais, destacando problemas
lems e informar as decisões de design para melhores políticas e motivar a pesquisa de alternativas.
No entanto, os usuários finais não são os únicos que têm problemas de usabilidade com as senhas. O de-
os velopers que têm a tarefa de escrever o código por meio do qual as senhas são armazenadas devem fazer
tão segura. No entanto, a história tem mostrado que esta tarefa complexa muitas vezes falha devido a erro humano com
resultados catastróficos. Se os desenvolvedores esquecerem de 'hash e sal' um banco de dados de senha, isso pode levar a
milhões de senhas de usuários finais sendo comprometidas. Naiakshina et al. [6 , ] conduziu uma corrida-
ensaio de controle dominado com estudantes de ciência da computação, bem como desenvolvedores autônomos, e descobriu
que, semelhante aos usuários finais, os desenvolvedores também sofrem com o foco na tarefa e veem a segurança como um segundo
tarefa secundária. Nenhum dos alunos participantes, e apenas um pequeno número de desenvolvedores autônomos,
implementado qualquer tipo de segurança, a menos que seja explicitamente solicitado a fazê-lo. Curiosamente, desses par-
ticipantes que implementaram algumas medidas de segurança, os alunos se saíram melhor do que o freelance
desenvolvedores, que em geral usaram mecanismos criptográficos mais desatualizados e incorretos para
armazenar suas senhas.
Vários estudos, por exemplo, Enck et al. [ ] e Fahl et al. [ ] destacaram a extensão de
quais vulnerabilidades se manifestam em ecossistemas modernos centrados no desenvolvimento de aplicativos. Era
notável que, dos 6 desenvolvedores que foram contatados por Fahl et al., um grande número foi
dispostos a fornecer informações, mas só foram entrevistados porque suas empresas recusaram
permissão para que o façam. A partir das entrevistas, Fahl et al. descobriram que os desenvolvedores tinham pouco
a nenhum treinamento de segurança e estavam sob extrema pressão para concluir o aplicativo rapidamente - e
essa foi a razão dos erros que levaram às vulnerabilidades.
Acar et al. [8] estudaram o impacto das redes sociais online, como StackOver ow, em
a segurança do código que os desenvolvedores produzem. Dois terços dos desenvolvedores que usaram Stack-
Over ow ou um livro conseguiu produzir uma solução funcionalmente correta dentro da allo-
citado, enquanto apenas% dos usuários de documentação oficial o fizeram. Em termos de segurança
ridade, os resultados foram revertidos. Aqueles que usam documentação oficial produziram mais
código seguro e aqueles que usam o StackOver menos. Uma resposta de segurança tradicional para
este resultado seria 'o uso de StackOver ow deve ser proibido.' Mas, claramente, a produtividade
o preço que os desenvolvedores e suas organizações pagariam seria alto. Por exemplo, re-
trabalho centavo [ ] mostrou que os desenvolvedores utilizam esses fóruns para trocar informações e
oferecer suporte mútuo para a solução de problemas de segurança. Isso não quer dizer que tal conselho seja al-
maneiras eficazes (como observado acima), mas os fóruns fornecem uma comunidade de prática na qual
os desenvolvedores podem compartilhar seus problemas e buscar ajuda. Banindo tais fóruns imediatamente, sem re-
colocá-los com suporte relevante, portanto, não resolveria o cerne de por que os desenvolvedores
buscar esse apoio.
www.cybok.org
Os desafios de usabilidade das APIs criptográficas e sua documentação foram destacados

por Arzt et al. [ ] e Nadi et al. [ ], e ferramentas propostas para apoiar os desenvolvedores em seus EUA
era [ ] Recentemente, ferramentas também foram propostas para melhorar a usabilidade da análise estática,
por exemplo] Green
[ e Smith sintetizaram percepções do corpo de pesquisa existente sobre
um conjunto de dez princípios para fazer interfaces de programação de aplicativos para segurança e criptografia
bibliotecas raphy mais utilizáveis para desenvolvedores [ ] Patnaik et al. [ ] identificar quatro usabilidade
cheiros que indicam que as APIs criptográficas podem não estar abordando totalmente tais princípios, of-
fornecer insights para desenvolvedores de bibliotecas sobre as principais áreas nas quais se concentrar para melhorar
a usabilidade de suas bibliotecas.
A desconexão entre desenvolvedores e usuários também precisa ser considerada. Caputo et al. [ ]
destacou que os desenvolvedores não entenderam o impacto da falta de usabilidade em indivíduos
desempenho e bem-estar ual, produtividade organizacional ou eficácia da segurança.
Eles recomendam que a gestão deve garantir que os desenvolvedores experimentem os resultados de
a falta de segurança e usabilidade diretamente - tendo que lidar com chamadas ao help desk, o impacto
de perdas - e se envolver mais. Um trabalho recente forneceu insights sobre o papel de pessoas fortes ou
culturas de segurança ganisacional nas mentalidades dos desenvolvedores em relação à segurança [ 6] e como
especialistas aprimoram suas práticas de segurança [ ]
. CONCLUSÃO
Humanos e tecnologias não existem isoladamente. Os humanos concebem novas tecnologias, de-
assinar e implementá-los, e também são seus usuários e mantenedores. A segurança cibernética não é diferente
ferent. Os comportamentos humanos moldam a segurança cibernética (por exemplo, as respostas às campanhas de phishing levam
filtros anti-phishing ou novos treinamentos de segurança). Da mesma forma, o design da segurança cibernética (humanos
projetar esses filtros ou mecanismos de treinamento) impacta as interações das pessoas com os sistemas e
os mecanismos de segurança projetados para esses sistemas (por exemplo, impedimento para tarefas primárias ou
aumento da carga de trabalho decorrente de tarefas de segurança). Devemos considerar esta relação simbiótica
navio durante a concepção, design, implementação, manutenção, evolução - e vamos
não se esqueça, desativação - de mecanismos de segurança cibernética. Fatores humanos devem desempenhar um
papel central, pois, afinal, o objetivo da segurança cibernética é proteger as pessoas, seus dados, informações
ção e segurança. Devemos - na medida do possível - t a tarefa para o humano e não o humano
para a tarefa.
www.cybok.org
] [
] ] ]
[
] [ [ [
] ]
6 [ 8
]
[ [
[ ]
velopers
[
mais
sua consciência
orenciofud ahl:
herle sassetransforming
reason8human
kirlappossecurity
ser lavadeiros beautementcompliance
F green6de
. Segurança utilizável - o
c . c.
Fundamentos
. . Ajustando a tarefa ao
humano
. Erro humano c . c.
. Cíber segurança
c . c.
conscientização e educação
. Segurança Positiva c.
.6 Stakeholder
c .6 c.6 c.6
Noivado
www.cybok.org
Página 197
Capítulo
Carmela Troncoso École Polytechnique
Fédérale de Lausanne

www.cybok.org
INTRODUÇÃO
A abrangência da coleta, processamento e disseminação de dados aumenta a privacidade
preocupações com os danos individuais e sociais. Vazamentos de informações podem causar problemas físicos ou
danos psicológicos a indivíduos, por exemplo, quando as informações publicadas podem ser usadas por ladrões
para inferir quando os usuários não estão em casa, por inimigos para descobrir pontos fracos para lançar ataques em
usuários ou por empresas de publicidade para construir perfis e influenciar os usuários. Em grande escala,
o uso dessas informações pode ser utilizado para in uenciar a sociedade como um todo, tornando-se irreversível
danos à democracia. A extensão dos danos que a perda de privacidade causa destaca que a privacidade
não pode ser simplesmente abordado como uma questão de confidencialidade. Além de manter as informações privadas, é
importante garantir que os sistemas que construímos suportem a liberdade de expressão e dos indivíduos '
autonomia de decisão e autodeterminação.
O objetivo desta área de conhecimento é apresentar aos designers de sistemas os conceitos e tecnologias
tecnologias que são usadas para projetar sistemas que protegem inerentemente a privacidade dos usuários. Nós apontamos
para fornecer aos designers a capacidade de identificar problemas de privacidade, para descrevê-los a partir de um
perspectiva técnica, e para selecionar tecnologias adequadas para eliminar, ou pelo menos, mitigar
estes problemas.
A privacidade é reconhecida como um direito humano fundamental [ 8]: “Ninguém será submetido a ar-
interferência bitrária em sua privacidade, família, casa ou correspondência, nem a ataques a seu
honra e reputação ”. Como tal, tem sido estudado por muitos anos a partir de uma per-
spective com dois gols. Primeiro, para entender melhor o que privacidade significa para a sociedade e os indígenas
indivíduos. Em segundo lugar, para garantir que as estruturas jurídicas que sustentam nossas democracias apoiem
privacidade como um direito. Os estudos anteriores propunham definições como privacidade sendo 'o direito
ser deixado sozinho '[ ], 'o direito à autodeterminação informativa' [ , ] ou 'a liberdade
de restrições irracionais sobre a construção da própria identidade '[ ] Provavelmente um
dos melhores exemplos deste último são os princípios e regras associadas ao
Legislação de proteção de dados [ ] coberto na Área de Conhecimento de Legislação e Regulamentação (Cap-
ter ) . Todas essas conceitualizações são de grande importância para definir e compreender o
limites da privacidade e seu papel para a sociedade. No entanto, sua natureza abstrata e livre de contexto
muitas vezes os torna não acionáveis para designers de sistema que precisam selecionar tecnologias para
garantir que a privacidade seja suportada em seus sistemas.
Para resolver essa lacuna, nesta área de conhecimento, conceituamos privacidade de uma forma semelhante a
a engenharia de segurança conceitua os problemas de segurança [ , ] Nós consideramos essa privacidade
preocupações e as soluções que podem resolvê-las são definidas pelo modelo adversarial
considerada pelo designer, a natureza das informações a serem protegidas e a natureza da
próprio mecanismo de proteção. Exemplos típicos de modelos adversários podem ser: serviços de terceiros
vícios com os quais os dados são compartilhados não são confiáveis, o próprio provedor de serviços não é confiável
dados privados dos usuários, ou usuários de um serviço não devem aprender dados privados de outros usuários.
Exemplos típicos de dados privados a serem protegidos desses adversários podem ser:
tenda das comunicações dos usuários, seus padrões de uso do serviço ou a mera existência de usuários
e / ou suas ações. Finalmente, exemplos típicos de meios de proteção podem ser técnicas que en-
disponibilidade de informação capaz de ser controlada, como configurações de controle de acesso ou técnicas
para ocultar informações, como criptografia.
Esta área de conhecimento está estruturada da seguinte forma. A primeira parte, composta por três seções, con
siders três paradigmas de privacidade diferentes que deram origem a diferentes classes de privacidade
tecnologias. A primeira é a privacidade como con dencialidade (Seção .), em que o objetivo de privacidade
é esconder informações do adversário. Revisamos abordagens tecnológicas para ocultar ambos
Privacidade e direitos online da KA | Outubro Página

www.cybok.org
dados e metadados, e abordagens para impedir a capacidade do adversário de realizar inferências
usando os dados que não podem ser ocultados. O segundo é a privacidade como controle informativo (Sec-
ção .), em que o objetivo é fornecer aos usuários os meios para decidir quais informações
eles vão expor ao adversário. Revisamos tecnologias que oferecem suporte aos usuários em sua privacidade
decisões orientadas e técnicas que os ajudam a expressar suas preferências ao interagir
com serviços digitais. Finalmente, introduzimos privacidade como transparência (Seção .), em que o
objetivo é informar a usuária sobre quais dados ela expôs e quem acessou ou pro
acessou esses dados. Revisamos soluções que mostram aos usuários sua pegada digital e soluções
que apóiam a responsabilidade por meio de registro seguro.
Os requisitos de privacidade que definem os objetivos de privacidade nos paradigmas mencionados acima
são frequentemente dependentes do contexto. Ou seja, revelar uma determinada informação pode ser ac-
aceitáveis em alguns ambientes, mas não em outros. Por exemplo, revelar uma doença rara é
não é considerada uma preocupação de privacidade em uma interação com um médico, mas seria considerada uma
violação de privacidade em uma interação comercial. Nissembaum formaliza este conceito como con-
integridade textual [6], que aborda explicitamente um fluxo de informações pode apresentar diferentes
necessidades de privacidade, dependendo das entidades que trocam essas informações ou do ambiente em
qual é trocado. Observamos que uma vez que os requisitos para um fluxo são claros (incluindo o
modelo adversário), um designer pode aplicar diretamente as tecnologias descritas neste capítulo.
A segunda parte da área de conhecimento é dedicada a ilustrar como as tecnologias de privacidade

pode ser usado para apoiar a democracia e as liberdades civis (Seção .) Nós consideramos dois núcleos
exemplos: sistemas para votação segura e para contornar a censura. Para o primeiro, privacidade
dos votos é fundamental para a funcionalidade em si. Para o último, privacidade de comunicação
parceiros é necessário para garantir que o conteúdo não pode ser bloqueado por um censor.
Reconhecemos que as tecnologias de privacidade podem ser usadas para apoiar ilícitos (por exemplo, distribuição de
pornografia infantil) ou comportamentos anti-sociais (por exemplo, cyberbullying), conforme descrito no Adversar-
ial Behaviors Knowledge Area (Capítulo). Embora existam soluções para revogar seletivamente
a proteção fornecida por tecnologias de privacidade, estas são fortemente desencorajadas pela privacidade
pesquisadores e defensores da privacidade. A razão é que adicionar backdoors ou escrow possi-
capacidades para facilitar a aplicação da lei, inerentemente enfraquece a segurança da preservação da privacidade
pois eles também podem ser explorados por agentes mal-intencionados para minar os direitos do usuário. Lá-
portanto, não consideramos essas técnicas neste documento.
Concluímos a área de conhecimento descrevendo as etapas envolvidas na engenharia de privacidade

sistemas de preservação ( . ) Fornecemos diretrizes para que os engenheiros façam escolhas informadas
sobre tecnologias de arquitetura e privacidade. Estas diretrizes podem ajudar os designers de sistema
construir sistemas nos quais a privacidade dos usuários não dependa de uma entidade centralizada que pode
tornar-se um único ponto de falha.
Observamos que muitas das tecnologias de privacidade que revisamos nesta área de conhecimento contam com
os conceitos criptográficos introduzidos na Área de Conhecimento de Criptografia (Capítulo )
Ao longo desta área de conhecimento, presumimos que o leitor esteja familiarizado com esses
conceitos e evite repetir de nições criptográficas e reiterar sobre a explicação
de primitivas comuns.

www.cybok.org
CONTENTE
. PRIVACIDADE COMO CONFIDENCIALIDADE

[ ] [ 8] [ ][ ][ ][ ][ ][ ]
Em uma reinterpretação técnica do 'direito de ser deixado sozinho' [ ] definição de privacidade, um comum
conceituar a privacidade é evitar tornar as informações pessoais acessíveis a qualquer entidade,
em particular para um público mais amplo [] Sob esta definição, o objetivo das tecnologias de privacidade
é possibilitar o uso de serviços ao mesmo tempo em que minimiza a quantidade de informações expostas. Aqui,
informação refere-se tanto a dados trocados explicitamente com o serviço, quanto a informações
disponibilizados implicitamente nos metadados associados a essas trocas (por exemplo, identidade de
usuários ou frequência de uso).
.. Confidencialidade de dados
Descrevemos agora duas abordagens para minimizar a quantidade de informações expostas. Nós primeiro
apresentar métodos que comprovadamente previnem o acesso não autorizado à informação, normalmente com base
sobre o uso de primitivas criptográficas avançadas para garantir que nenhum dado possa ser inferido. Sec-
em segundo lugar, apresentamos métodos de controle de divulgação, que relaxam a definição de confidencialidade para entrar
ter certeza de que as informações vazadas para o adversário são limitadas a uma certa quantidade, ou não
vinculável a uma pessoa individual.
. . . Controle de acesso baseado em criptografia
Um primeiro sabor de confidencialidade- as tecnologias de privacidade orientadas se concentram na proteção dos dados
através do uso de criptografia. Essas tecnologias consideram principalmente dois modelos de adversário:
aquele em que o destinatário é considerado confiável e os dados devem ser protegidos enquanto em
trânsito, e aquele em que o destinatário não é confiável e os dados devem ser mantidos privados, mesmo
quando é processado.
Protegendo dados em trânsito. A proteção de dados em trânsito é normalmente conhecida como ponta a ponta
criptografia (E EE) . Aqui, um fim se refere à origem e ao destino da comunicação.
Por exemplo, o remetente e o destinatário de um e-mail ou o cliente e servidor de um serviço. E EE
garante que a confidencialidade dos dados seja garantida entre as duas extremidades. Ou seja, nenhum terceiro,
dos roteadores na infraestrutura de comunicação, para o aplicativo (por exemplo, e-mail, mensagem
saging) servidores que permitem a comunicação, podem acessar a comunicação. Adição-
aliado, E EE normalmente fornece integridade, impedindo qualquer intermediário de modificar os dados ex-
alterado e autenticação, garantindo que as partes da comunicação possam ter certeza de cada
a identidade dos outros.
Do ponto de vista técnico, em E EE os dispositivos no final da comunicação detêm o

Chave de criptografia usada para proteger os dados. Normalmente, essas são chaves de criptografia simétricas e
pode ser acordado usando transporte de chave, ou pode ser estabelecido usando qualquer modalidade do Dif e-
Hellman exchange. O uso de Dif e-Hellman para concordar uma chave por sessão adicionalmente pro
oferece sigilo, mas deve-se ter cuidado ao implementar a troca [ ] Typi-
naturalmente, assinaturas digitais e códigos de autenticação de mensagens são usados para fornecer integridade e
autenticação. Exemplos canônicos de criptografia E EE são o protocolo TLS [6], largamente
usado em cenários cliente-servidor; ou o protocolo PGP, um mecanismo de criptografia comum para
comunicações por e-mail [ ]

www.cybok.org
Um tipo especial de E EE é o Off-the-Record Messaging (OTR) [ 8 ] . OTR procura fornecer mais

propriedades de privacidade do que os protocolos acima. Considera um adversário que não pode apenas obedecer
servir a comunicação, mas também eventualmente comprometer um dos dispositivos participantes
na comunicação. Este acordo dá ao adversário a chance de obter a longo prazo
chaves dos participantes. Em um cenário tão exigente, os dois principais objetivos do OTR são
vide i) sigilo absoluto e ii) Autenticação repudiável, que permite ao usuário negar
tendo enviado uma mensagem no passado. O protocolo deriva as chaves criptográficas usadas para o
conversa usando uma troca de chaves Dif e-Hellman não autenticada . Então, os participantes
realizar uma autenticação mútua dentro do canal protegido, o que garante o futuro
repudiabilidade. As chaves de criptografia são giradas e as chaves antigas são excluídas, para manter o avanço
segredo. Os protocolos OTR atuais também incluem forte proteção contra man-in-the-middle at-
aderências, mesmo que os participantes não divulguem segredos previamente [ 8, ]
Finalmente, podemos observar que o E EE é hoje predominante em aplicativos de mensagens instantâneas.

como Signal, WhatsApp, Facebook Messenger ou Viber. Todos esses aplicativos são baseados
no chamado Protocolo de Sinal (anteriormente conhecido como Axolotl ou TextSecure) [ 6 ] Igual a
OTR, este protocolo fornece mensagens autenticadas entre usuários com Con de ponta a ponta -
dentialidade, e as mensagens são mantidas em segredo mesmo se o servidor de mensagens estiver comprometido e
mesmo se as chaves de longo prazo do usuário forem comprometidas. Essas propriedades contam com um autenticado
protocolo de troca de chaves que mistura vários segredos compartilhados Dif e-Hellman, e em um protocolo
para atualizar as chaves chamadas de dupla catraca [ ] Cohn-Gordon et al. fornecido em [ 6] um de-
descrição detalhada deste protocolo, incluindo uma análise formal.
Observe que todos os protocolos acima oferecem apenas garantias fortes, desde que os mecanismos
para autenticar se as partes de comunicação funcionam conforme o esperado. Por exemplo, o Con- dential-
A propriedade fornecida pelo TLS depende de serviços que mantêm suas chaves secretas e a infraestrutura de chave pública
operando de forma confiável, para que as partes da comunicação possam ser autenticadas. De forma similar,
A confidencialidade do WhatsApp depende do fato de que os números de telefone são difíceis de falsificar e, portanto,
os usuários têm certeza de que o destinatário de sua mensagem é o interlocutor pretendido.
Proteção de dados durante o processamento. Os protocolos anteriores se concentram na proteção de dados em
trânsito de terceiros que não os participantes da comunicação. Agora consideramos situ-
em que o destinatário precisa realizar alguns cálculos nos dados, mesmo que
ela é considerada adversária. Nós distinguimos dois cenários: um em que a computação é
totalmente terceirizado e aquele em que o remetente participa do cálculo.
No primeiro cenário, comumente conhecido como terceirização , os dados pertencem ao remetente e

o destinatário atua como o processador de dados. Exemplos típicos são o uso de serviços em nuvem para
computar em big data, por exemplo, treinamento de preservação de privacidade e classificação usando aprendizado de máquina-
ing [ 6 ], ou para manter um banco de dados no qual o remetente deseja realizar pesquisas [ 6] O
soluções para este problema são baseadas em protocolos criptográficos avançados. Agora ilustramos
o uso desses protocolos em alguns exemplos, e referimos o leitor ao Cryptogra-
Área de Conhecimento phy (Capítulo ) para obter mais detalhes sobre os detalhes técnicos do subjacente
primitivos.
Um problema comum durante a terceirização de serviços é que acessar partes específicas de

os dados de origem podem revelar informações sobre o usuário para a entidade que mantém os dados. Para ...
postura, acessar uma determinada entrada em um banco de dados de patentes revela intenções de negócios; e ac-
cessar uma entrada específica em um diretório de mensagens revela os relacionamentos entre os usuários. Esta
o problema pode ser mitigado usando a Recuperação de Informação Privada (ver o Conhecimento de Criptografia
https://otr.cypherpunks.ca/

www.cybok.org
Área da borda (Seção . .)), que permite que um banco de dados seja consultado sem revelar qual
registro está sendo acessado. Um exemplo de caso de uso para recuperação de informações é a criação de
diretórios de preservação de privacidade para redes sociais [ 6 , 6 , 66]
Outro exemplo onde o processamento remoto é necessário inclui lojas digitais ou banco digital
, onde um servidor retorna informações para um usuário dependendo das entradas. A loja precisa
para processar pagamentos e enviar o item digital; e o banco fornece dinheiro, ou faz
um pagamento, mediante autenticação. Os padrões de compra dos usuários, no entanto, podem revelar muito sobre
seus perfis. Neste caso, Transferência Oblivious (consulte a Área de Conhecimento de Criptografia (Sec-
ção . .)), em que um serviço pode transferir um item sem saber qual item está sendo
transferidos, podem ser usados para apoiar interações que preservam a privacidade [ 6 , 68]
As técnicas anteriores são úteis para operações específicas: pesquisar um item em um banco de dados,
transferir esse item. Idealmente, gostaríamos de poder realizar qualquer operação em serviços terceirizados
dados. Uma tecnologia muito relevante para isso é a criptografia de criptografia homomórfica (consulte o Cryp-
Área de Conhecimento em tografia (Seção . )). Este tipo de criptografia permite qualquer operação em
dados criptografados a serem executados. Essa flexibilidade, no entanto, tem um alto custo em termos de
tempo de computação, e para algumas implementações também em termos de largura de banda, tornando assim
está longe de ser prático neste ponto. Versões menos gerais, como algo homomórfico
criptografia ou criptografia parcialmente homomórfica, que permite apenas operações limitadas (somas,
multiplicações ou avaliação de uma determinada função) fornecem melhores compensações e já podem ser
usado para tarefas concretas simples.
Observamos que, nos últimos anos, as primitivas criptográficas de preservação de privacidade acima foram
combinado com novo hardware seguro [ 6 , ] para melhorar o desempenho. Enquanto isso
combinação de fato traz o desempenho da criptografia de preservação da privacidade para mais perto do
benchmarks necessários para implantação, é importante destacar que tal melhoria
vem à custa de confiar que o fabricante do hardware seguro não vazará o
informações (ou a chave) para partes indesejadas.
No caso da terceirização de banco de dados, vale citar soluções sob medida que combinam
diferentes tipos de criptografia de preservação de privacidade, a fim de aumentar a eficiência [ ] Esses
bancos de dados dependem de técnicas como criptografia homomórfica, criptografia de preservação de ordem
ção [ , ], ou criptografia determinística, entre outras. Esses esquemas de fato fornecem
Grande performance. No entanto, foi demonstrado que a escolha de criptografia mais fraca
primitivas para favorecer a eficiência podem ter um impacto significativo na privacidade [ , , 6, ]
Portanto, eles são recomendados apenas para dar suporte à conformidade e só devem ser implantados
em um ambiente confiável onde os ataques são improváveis. Não é recomendado usá-los em
cenários onde a privacidade dos dados é de importância crítica e a entidade que mantém o banco de dados
não é confiável.
O segundo cenário é a computação colaborativa, ou seja, as entidades envolvidas na comunicação

comunicação colabora para realizar o cálculo. O resultado deste cálculo pode ser de
interesse do remetente, do destinatário, de ambos ou de terceiros. Ainda assim, se os participantes fizerem
não confiam uns nos outros, ou seja, para uma determinada entidade, qualquer um dos outros participantes pode ser considerado
um adversário. Os aplicativos típicos são comparar bancos de dados ou estatísticas de computação em
conjuntos de dados [ 8, ] Tais aplicativos podem ser suportados pela Multi Party Computation (consulte
a Área de Conhecimento de Criptografia (Seção . .)), conforme descrito por Archer et al. em [ 8]
Quando o objetivo do aplicativo é encontrar semelhanças entre dois bancos de dados (por exemplo, con
tatos [ 8 , 8], atividades maliciosas [ 8], ou informação genética [ 8]), também se pode usar
protocolos mais leves, como Private Set Intersection [ 8 , 86 , 8] Esses protocolos permitem dois
partes para calcular a interseção de conjuntos de dados sem revelar nada, exceto o inter-
Privacidade e direitos online da KA | Outubro Página 6

www.cybok.org
seção, ou a cardinalidade da interseção.
Veri cação no domínio criptografado. Quando os dados são processados no domínio criptografado,
é difícil para as entidades que executam o cálculo executar qualquer verificação sobre a adequação de
as entradas. Para resolver este problema, muitos primitivos baseiam-se em Provas de Conhecimento Zero (consulte o
Área de Conhecimento de Criptografia (Seção . .)) para provar à entidade que realiza o com
suposição de que as entradas obedecem a um determinado formato ou a certas restrições. Nós agora
descrever três casos em que a verificação no domínio criptografado é a chave para habilitar o uso
de protocolos criptográficos que preservam a privacidade.
Computação privada - verificação de entrada. As provas de conhecimento zero são muito adequadas para en-
garantir que a entrada para um protocolo de preservação de privacidade seja de uma forma particular ou não seja mal-intencionada
cious. Por exemplo, eles têm sido usados, entre outros, para provar a adequação de insumos em
aplicativos de faturamento, por exemplo, que eles pertencem a um conjunto de entradas válidas [ 88], ou estão em particular
gamas [ 8 ], para provar que não há entradas maliciosas ao solicitar informações de
um sistema de mensagens [ ], ou ao executar um protocolo de interseção privada [ ]
Autenticação privada. Para manter a confidencialidade, as entidades que participam de protocolos podem
desejam autenticar seus parceiros de comunicação. No entanto, sistemas de autenticação típicos
baseiam-se na revelação da identidade da parte autenticadora. Revelando a própria identidade, em e
por si só, pode resultar em violação de privacidade (por exemplo, quando a autenticação é contra um
serviço, como um serviço médico). Uma solução para evitar esse problema é o uso do Anonymous
Credenciais, também conhecidas como Credenciais Baseadas em Atributos (ABCs) [ , , ]
Em vez de autenticar uma entidade em relação a uma identidade para conceder autorização,
ABCs permitem que a entidade prove a posse de uma combinação de diferentes atributos para obter
a mesma autorização. Esta prova não revela nenhuma informação adicional sobre a entidade
autentica, nem revela os valores concretos dos atributos. Além disso, ABCs
são desvinculáveis entre contextos. Em outras palavras, as credenciais parecem diferentes cada vez que
são mostrados, de forma que diferentes exibições não podem ser vinculadas entre si.
Embora do ponto de vista da privacidade, os ABCs tragam muitas vantagens, eles também apresentam
novos desafios. O anonimato pode abrir a porta para o mau comportamento. Infelizmente, o forte
As propriedades de anonimato e não linkabilidade fornecidas pelos ABCs originais não permitem uma autoridade
para limitar ou revogar a autorização para usuários que se comportam mal. Em resposta, vários esquemas têm
apareceram que fornecem recursos para limitar a quantidade de vezes que uma credencial pode ser usada
antes que o usuário seja identificável [ ]; recursos para colocar credenciais na lista negra para que o acesso possa
ser temporariamente revogado [ , 6]; ou recursos para revogar completamente as credenciais [ ]
Existem várias implementações de ABCs [8, ] disponível sob diversas licenças.

Essas implementações oferecem diferentes subconjuntos das funcionalidades mencionadas acima.
Pagamentos privados. A verificação de dados criptografados também é fundamental para permitir a preservação da privacidade
pagamentos, em que o pagador pode ter que provar ao comprador, por exemplo, que ele tem o suficiente
fundos sem revelar o valor exato. Os primeiros sistemas de caixa digital baseavam-se no Blind Sig-
naturezas (consulte a Área de Conhecimento de Criptografia (Seção . )) para permitir que os bancos assinem e-
moedas [ ] Em suma, para estender uma moeda eletrônica a um cliente, um banco assinaria cegamente um
valor. Para gastar a moeda eletrônica, o cliente daria esse número ao vendedor, que poderia resgatar
no banco. Ao armazenar o número aleatório, os bancos podem detectar gastos em dobro, mas não
identificar o duplo gastador.
Esquemas de pagamento de preservação de privacidade mais recentes, como o Zerocash baseado em blockchain [ ,
www.cybok.org
] sistema, incluir mais informações nas transações para fornecer melhores garantias. Dentro
cada transação, o usuário prova, sem nenhum conhecimento, que ele possui a entrada de moedas eletrônicas para o
transação; que cada uma das moedas eletrônicas de entrada foi extraída recentemente (cunhada em Zerocash
termos) ou foi o resultado de uma transação anterior; e que os valores de entrada e saída do
transação são iguais, ou seja, nenhum dinheiro seria perdido. Por uma questão de eficiência, Zerocash
conta com provas de conhecimento zero particularmente eficientes chamadas de conhecimento zero Sucinto Não-
ARgumentos interativos de conhecimento (ZK-SNARK) sistemas [ ] Essas provas são mais curtas
(na ordem de centenas de bytes) e relativamente rápido de verificar.
. . . Controle de inferência baseado em ofuscação
Os protocolos discutidos na seção anterior fornecem garantias fortes (criptográficas)

quanto à confidencialidade dos dados. Essa proteção forte, no entanto, tem o custo de
eficiência e flexibilidade. Por um lado, as primitivas criptográficas que preservam a privacidade exigem
recursos naturais em termos de computação e / ou largura de banda. Por outro lado, eles estreitam
o tipo de processamento que pode ser feito nos dados. Isso é inerente à configuração criptográfica
estruturas que x entradas e saídas e definir estritamente quais informações estarão disponíveis
após a execução do protocolo.
Nesta seção, descrevemos abordagens para proteger a confidencialidade de dados com base na ofuscação
os dados expostos a um adversário. Essas técnicas fornecem uma definição mais relaxada de Con-
dentialidade do que criptografia, no sentido de que não podem ocultar completamente as informações.
Em vez disso, seu objetivo é fornecer uma maneira de controlar até que ponto um adversário pode fazer
inferências sobre as informações confidenciais dos usuários. Na verdade, para a maioria dessas técnicas, o nível
de proteção depende dos dados concretos e do conhecimento adversário. Portanto, é importante
para executar uma análise ad-hoc para a capacidade de inferência, conforme explicado na Seção .. Nós também
observe que a privacidade obtida com essas técnicas é baseada na limitação da disponibilidade de informações
capaz para o adversário. Consequentemente, essas técnicas reduzem a quantidade de informações
disponível para qualquer pessoa e, portanto, pode ter um impacto na utilidade se o propósito do aplicativo
ção é baseada em informações sensíveis, por exemplo, encontrar correspondências em aplicativos de namoro. Contudo,
observamos que quando as informações confidenciais não são cruciais para o propósito do aplicativo
essas técnicas podem ser implantadas sem afetar a utilidade, por exemplo, um aplicativo meteorológico que
pode operar usando dados de localização muito rudimentares.
Técnicas de controle de inferência baseadas em ofuscação não são adequadas para proteger dados em trânsito
sentar, mas pode ser usado para apoiar terceirização de preservação de privacidade, colaboração para preservação de privacidade
cálculos rativos e publicação com preservação de privacidade. Existem quatro técnicas principais para
ofuscar dados, conforme descrito abaixo. Notamos que essas técnicas são principalmente orientadas para
ofuscar campos numéricos ou categóricos. Ofuscando conteúdo mais complexo, como gratuito
texto, é uma tarefa muito mais difícil devido às correlações que são difíceis de remover em uma sistemática
maneiras. Até o momento, não existem técnicas conhecidas que possam tornar anonimato o texto livre de forma confiável. Como-
nunca, essas técnicas são bastante eficazes na redução das informações vazadas por metadados, como
discutimos na seção . ..
Para fins de ilustração, tomemos os microdados a seguir como um exemplo atual. Esta
é um exemplo muito simples, e ressaltamos que as técnicas apresentadas a seguir podem ser aplicadas
para muitos tipos de formatos de dados e domínios.
www.cybok.org
Nome Idade gênero fecho eclairSalário
Alice Fêmea
Prumo Macho 66 6
Carla Fêmea 8
Diana 6 Fêmea 6
véspera Fêmea 8
Frank Macho 8
Gerald Fêmea 8 68
Mesa . : Um exemplo de banco de dados
Anonimização. Uma técnica comum usada para permitir o processamento de dados sem risco para os indivíduos
uals é anonimização de dados . O anonimato, como o próprio nome indica, busca desvincular a identidade
da informação. A ideia é que remover informações de identificação de pontos de dados torna
eles são desvinculáveis (ou seja, não podem ser agrupados como pertencentes à mesma entidade), dificultando assim
a capacidade do adversário de realizar inferências a partir dos dados.
No entanto, alcançar o anonimato total é extremamente difícil. Na verdade, quando um conjunto de dados pode ser destruído
esclarecido anônimo permanece obscuro. Os dados em si contêm informações suficientes
para correlacionar diferentes atributos e / ou registros em um banco de dados. Dados esses grupos, existem
muitas técnicas para reidentificar indivíduos por trás da divulgação de dados. Um insight importante sobre
A dificuldade do anonimato é a singularidade dos padrões de dados do indivíduo [ ,
] Pode haver muitas combinações das informações divulgadas em um conjunto de dados que são
exclusivo para um indivíduo. Eles são chamados de quase identificadores. Encontrar quase identificadores permite
os dados reidentificados mapeando-os para identificar informações em outras fontes de dados [ ,
] Assim, a anonimização é comumente combinada com as técnicas de ofuscação descritas
abaixo para limitar o risco de reidenti cação.
Nesse ponto da área de conhecimento, vale a pena referir-se à noção de k-anonimato, que
defende a combinação de generalização e supressão, a fim de garantir que os registros em um
banco de dados são anônimos entre (ou seja, indistinguíveis de) pelo menos outras k entradas no
mesmo conjunto de dados [ 6] Por exemplo, no exemplo acima, pode-se generalizar o código postal para
alcançar dois anonimato:
Nome Idade Sexo ZIP Salário
* Fêmea *
* Macho *6
* Fêmea 8*
* 6 Fêmea *6
* Fêmea 8*
* Macho *8
* Fêmea 8 * 68
Mesa . : Anonimato : Um banco de dados anônimo dois por meio de generalização
Embora essa noção seja promissora, existem vários fatores que a tornam desagradável e difícil
para usar na prática. Em primeiro lugar, devido à singularidade do problema mencionado acima, obtendo k-
o anonimato pode exigir uma generalização inaceitável no banco de dados. Segundo,
dependendo do aplicativo, k-anonimato pode não impedir a inferência de
atributos. Isso é ilustrado em nosso exemplo de execução na coluna Gênero. Mesmo que a
www.cybok.org
a generalização no código postal garante dois anonimato, o adversário sabe com um% prob-
capacidade o sexo dos usuários em cada área ZIP, por exemplo, todos os usuários que vivem em * são mulheres. De forma similar,
o adversário descobre que as mulheres ganham aproximadamente.
Para resolver esse problema, os pesquisadores argumentam que a privacidade não requer apenas k-anonimato, mas também
l-diversidade, o que garante que para cada k indivíduo anônimo, haja pelo menos l possível
valores para o atributo sensível [ ] Os pesquisadores também mostraram que a diversidade-l pode ser
quebrada e chamada de t-proximidade, onde o conjunto de atributos sensíveis não é apenas diverso, mas
segue a distribuição geral para este atributo em uma população, é necessário [ 8]
A noção de k-anonimato é muito popular em aplicativos relacionados à saúde [ ] Também foi

adaptado para campos que não sejam bancos de dados [ , ]
Generalização. Essa técnica consiste em reduzir a precisão com que os dados são compartilhados,
com o objetivo de reduzir a precisão das inferências do adversário. A generalização pode
ser alcançada por meio de uma redução de precisão direta dos valores compartilhados, ou uma distribuição em intervalos (ou seja,
um mapeamento de valores para intervalos) antes que os dados sejam liberados. Esta técnica foi aplicada,
entre outros, para anonimização do banco de dados [ 6], reduzindo a precisão dos valores no
células diferentes; ou em pesquisas privadas na web [ ], onde as palavras são mapeadas para a palavra mais próxima
de um conjunto predefinido.
Nome Era Gênero fecho eclair

Salário
Alice - Fêmea ***

Prumo - Macho *** 6
Carla - Fêmea 8 ***
Diana 6- Fêmea *** 6
véspera - Fêmea 8 ***
Frank - Macho [PÁGINA 8]
Gerald - Fêmea 8 *** 68
Mesa . : Generalização : Reduzindo a precisão do CEP aos primeiros dois dígitos; ré-
duzindo a precisão da coluna Age por meio de cubagem.
Supressão. Esta técnica consiste em suprimir parte das informações antes de serem feitas
disponível para o adversário. A justificativa por trás da supressão é que quanto menos os dados são
fornecidas ao adversário, mais difícil será para ela fazer inferências. A supressão
estratégia, que decide quais informações ocultar, é fundamental para o nível de proteção de privacidade
que tal esquema pode fornecer. Por exemplo, suprimir informações aleatoriamente é improvável
para destruir os padrões nos dados que permitem inferências. Assim, a menos que a maioria dos dados sejam
excluída, essa estratégia raramente fornece uma boa proteção. Uma estratégia comum é pequena contagem
supressão, onde os valores agregados abaixo de um limite não são relatados. O nível de pro
proteção desta estratégia depende do tipo de acesso aos dados e do conhecimento do
adversário [ ] Outras estratégias de supressão, adaptadas à natureza dos dados considerados
eração e suas características [ , ] fornecem melhores resultados de privacidade. Esta técnica tem
foi aplicado, entre outros, para anonimização do banco de dados [ 6], para ocultar alguns dos valores em
as diferentes células; ou na publicação de dados de localização [ ], para ocultar amostras de localização que fornecem
muita informação.
www.cybok.org
Alice Fêmea
Prumo Macho 66 6
Carla * 8
Diana 6 * 6
véspera Fêmea 8
Frank * 8
Gerald Fêmea 8 68
Mesa . : Supressão : Supressão do atributo Sexo para% dos registros.
Adição fictícia. Esta técnica consiste em adicionar pontos de dados falsos, os chamados dummies , para
os dados colocados à disposição do adversário para ocultar quais são as amostras reais. O
ideia é que, como o adversário considera pontos falsos ao executar o ataque, sua inferência
terá erros. Para que esta defesa seja eficaz, os pontos falsos devem ser indistinguíveis de
pontos reais. Idealmente, do ponto de vista do adversário, qualquer amostra deve ser semelhante a
um real ou fictício com igual probabilidade. No entanto, a criação de tais pontos indistinguíveis
tende a ser difícil [ 6], e o adversário pode facilmente filtrá-los. Assim, esta técnica é
útil em muito poucos domínios. Técnicas de adição fictícia têm sido usadas para aumentar a privacidade
em pesquisas na web [ , ] ou para proteger bancos de dados de inferências [ 8]
Alice Fêmea
Prumo Macho 66 6
Carla Fêmea 8
Donald Macho 66
Diana 6 Fêmea 6
véspera Fêmea 8
Frank Macho 8
Pateta 6 Macho 6
Gerald Fêmea 8 68
Minnie Fêmea 86 6
Mesa . : Adição fictícia : Adicionando% de registros falsos (em vermelho).
Perturbação. As técnicas de perturbação injetam ruído nos dados disponibilizados para o anúncio
sary. O ruído visa reduzir o desempenho de inferência do adversário. Semelhante ao sup-
técnicas de pressão, a estratégia usada para introduzir ruído desempenha um papel crucial no nível de pri-
vacy fornecido. Os esquemas iniciais extraíram ruído de muitos tipos de distribuições aleatórias [ , ]
e os adicionou aos dados. Esta abordagem não foi realmente eficaz, pois um adversário com
o conhecimento da distribuição do ruído poderia inferir os valores dos dados originais com ac-
curacia e, portanto, arriscou vazar mais informações do que o pretendido.

www.cybok.org
Alice Fêmea
Prumo Macho 66 6 86
Carla Fêmea 8
Diana 6 Fêmea 6
véspera Fêmea 8 8
Frank Macho
Gerald Fêmea 8 6
Tabela .6: Perturbação : salário ofuscante com ruído extraído de uma distribuição normal
N (,).
Atualmente, o padrão ouro em técnicas baseadas em perturbação é adicionar ruído para alcançar
chamada privacidade diferencial . O principal objetivo desta técnica é abordar as limitações de
técnicas de anonimização de dados para publicação, como o já mencionado k-anonimato.
Privacidade diferencial, introduzida por Dwork [ ], é uma definição de privacidade originalmente destinada a incluir
capaz de projetar técnicas que permitem maximizar a precisão ao consultar estatísticas
formação (média, variação, mediana etc.) sobre os usuários em um banco de dados, minimizando o risco
de inferências não intencionais. Em vez de uma propriedade de um conjunto de dados (como as técnicas acima), dif-
privacidade diferencial é uma propriedade de um mecanismo usado para produzir as respostas às perguntas contra
um conjunto de dados. Um algoritmo é diferencialmente privado se, olhando para o resultado da consulta, o
o adversário não consegue distinguir se os dados de um indivíduo foram incluídos na análise ou
não. Mais formalmente, um algoritmo A fornece privacidade diferencial ϵ se, para todos os conjuntos de dados D 1 e
D 2 que diferem em um único elemento (ou seja, os dados de um indivíduo), e todas as saídas possíveis S
do algoritmo:
Pr [A (D 1 ) ∈ S] ≤ e ϵ × Pr [A (D 2 ) ∈ S] ,.
A privacidade diferencial garante que, dada uma amostra de dados perturbada, o adversário ganha um
quantidade razoável de novas informações sobre a amostra de dados original em relação à anterior
conhecimento, independentemente de qual seja esse conhecimento prévio. Existem vários algoritmos
para garantir que a privacidade diferencial seja atendida para uma variedade de consultas][
A privacidade diferencial é uma definição extremamente útil porque fornece uma estrutura formal para
razão sobre a quantidade de informações que um adversário poderoso pode ser capaz de inferir sobre
indivíduos nos dados, independentemente do conhecimento prévio do adversário. No entanto, deve ser
observou que:
• A privacidade diferencial fornece uma garantia relativa , em oposição a uma privacidade absoluta
proteção. Isso significa que a proteção fornecida é em relação ao conhecimento prévio
do adversário. Se o adversário já tiver conhecimento total, a privacidade diferencial irá
não melhorar a privacidade. Em outras palavras, a privacidade diferencial garante que a divulgação de dados
não piora a perda de privacidade de um usuário ou população em mais do que um determinado limite.
No entanto, isso não garante automaticamente que a privacidade de um usuário seja preservada em geral.
Portanto, para reivindicar privacidade, é importante não apenas garantir que um esquema forneça
uma determinada garantia, mas também calcula o erro adversarial nas inferências, de modo a
assegure-se de que as informações confidenciais dos usuários estejam realmente protegidas (consulte a Seção .)
• Um dos desafios práticos atuais da privacidade diferencial é determinar quais valores

ues of ϵ fornecem um nível aceitável de privacidade. O nível de proteção de crucialmente de-
www.cybok.org
depende do valor deste parâmetro. Isso significa que meramente cumprir o diferencial
definição de privacidade com valores de parâmetros arbitrários não garante diretamente que o
o adversário não aprende muitas informações novas com os dados. É importante
certifique-se de que o valor de ϵ é tal que as probabilidades para diferentes inferências são ac-
tualmente indistinguível. Por exemplo, se ϵ = 3, isso só garante que a proporção entre
a probabilidade de observar um resultado quando um indivíduo está, ou não, no conjunto de dados é:
Pr [A (D 1 ) ∈ S] / Pr [A (D 2 ) ∈ S] ≤ e 3 = 20,08. Esta diferença probabilística pode tip-
ser detectado por detectores estatísticos clássicos ou qualquer aprendizado de máquina moderno
classi er. Em geral, ϵ valores maiores do que um merecem um olhar mais atento para verificar se o
algoritmos fornecem o nível de proteção procurado.
• A quantidade de ruído necessária para dificultar as inferências sobre os dados depende dos chamados
sensibilidade do algoritmo. A sensibilidade mede o quanto uma mudança na entrada irá
mude a saída do algoritmo A. Quando a entrada é um banco de dados e a saída um
função estatística, pequenas mudanças de entrada têm pouca influência sobre a saída e, portanto, um
uma pequena quantidade de ruído é suficiente para tornar o algoritmo diferencialmente privado. Nós notamos,
no entanto, quando algoritmos diferencialmente privados são aplicados para proteger a privacidade de
uma única amostra em vez de o resultado de uma consulta estatística em um banco de dados, o sensível
pode ser muito maior. Assim, apenas uma grande quantidade de ruído pode garantir a proteção. Para
exemplo, quando a privacidade diferencial é aplicada para ofuscar a posição informada de um usuário para
obter privacidade do local, a proteção pode ser menor do que o esperado se os parâmetros não forem
cuidadosamente escolhido [ ]
• A privacidade diferencial fornece uma garantia de pior caso, o que significa que a quantidade
de ruído introduzido é adaptado para limitar o vazamento dado pelo ponto de dados no
conjunto de dados que fornece mais informações ao adversário com o melhor conhecimento.
Isso significa que, em um caso médio, a quantidade de ruído é maior do que o necessário. Recente
estudos têm trabalhado em direção a limites mais rígidos que permitem a redução do ruído
necessário para fornecer um nível de proteção desejado [ ]
A noção de privacidade diferencial foi estendida para levar em conta outras métricas além do Ham-
distância ming (ou seja, distinguir se um indivíduo está em um banco de dados ou não) [ ] Pertur-
bações com garantias de privacidade diferenciadas têm sido utilizadas para proteger, entre outras coisas, a privacidade
na aprendizagem colaborativa [ ], ou localizações ao consultar serviços baseados em localização [ 6] Isto
também foi recentemente adotado pelos EUA para proteger os dados do censo [ ]
Finalmente, é importante observar que, para muitos casos reais, um desses controles de inferência
não pode fornecer privacidade suficiente por conta própria. Portanto, normalmente é necessário combinar vários
dessas técnicas para limitar o número de inferências que podem ser feitas.
.. Metadados Confidencialidade
Na seção anterior, discutimos meios de proteger a confidencialidade dos conteúdos
de mensagens, bancos de dados, consultas, etc. Essas técnicas são essenciais para garantir a privacidade. Ainda,
eles não protegem contra um adversário que usa os metadados para inferir informações confidenciais
sobre indivíduos. Concretamente, existem três tipos de metadados que foram demonstrados
ser extremamente vulnerável a ataques de privacidade: metadados de tráfego, associados à comunicação
infraestrutura de cátions; metadados do dispositivo, associados à plataforma que gera os dados, e
metadados de localização, associados à localização física a partir da qual os dados são gerados.
Nesta seção, discutimos os riscos de privacidade associados a esses tipos de metadados e

controles relevantes para lidar com esses riscos.
www.cybok.org
Traf c Metadata . Informações da camada de rede, como as identidades dos participantes no

comunicação (endereços IP), a quantidade e o tempo dos dados transferidos ou a duração
da conexão, é acessível aos observadores, mesmo se as comunicações são criptografadas ou ob-
fuscado. Essas informações, comumente conhecidas como dados de tráfego, podem ser exploradas para deduzir po-
informações privadas potencialmente confidenciais sobre a comunicação. Por exemplo, em um e-health
contexto, as mensagens são geralmente criptografadas para preservar a privacidade dos pacientes. No entanto, o mero
o fato de um paciente ser visto se comunicando com um médico especializado pode revelar-se altamente sensível
informações confidenciais, mesmo quando as próprias mensagens não podem ser descriptografadas. Confidencial
as comunicações não são apenas desejáveis por motivos pessoais, mas também desempenham um importante
papel em ambientes corporativos. Os hábitos de navegação dos funcionários de uma empresa (por exemplo, acesso-
de uma determinada patente de um banco de dados de patentes) pode ser usado para inferir as linhas futuras da empresa
de investimento, dando assim uma vantagem aos seus concorrentes. Finalmente, mesmo que a identidade de
as partes que se comunicam são inócuas, ows criptografados podem revelar palavras-chave de pesquisa [ 8]
ou mesmo conversas [ ]
Uma técnica para proteger os dados de tráfego é o uso de redes de comunicação anônimas . Esses
as redes são normalmente formadas por uma série de relés, de modo que as comunicações não viajam
diretamente da origem ao destino, mas são enviados de retransmissão para retransmissão. Esses relés também mudam
a aparência de uma mensagem por meio de criptografia para fornecer capacidade de linkagem bit a bit ,
ou seja, para garantir que os pacotes não possam ser vinculados apenas olhando seu conteúdo de bits; eles também podem
mude os padrões de tráfego introduzindo atrasos, reempacotando mensagens ou introduzindo fictícios
tráfego c.
As redes de comunicações anônimas seguem projetos diferentes em relação à forma como a infra-estrutura
tura é construída (por usuários ou relés dedicados), como eles consideram as comunicações (mensagem-
baseado em comparação com o fluxo), ou como eles redirecionam as mensagens (decidindo uma rota na origem, ou
permitindo que os relés decidam sobre o roteamento), entre outros. A seguir, nos concentramos nas duas mais
tipos de rede de comunicação anônima conhecidos que têm implantação no mundo real. Nós
encaminhe os leitores às pesquisas de Danezis et al. [ ] para uma visão histórica do anônimo
comunicações e por Shirazi et al. [ ] para uma visão abrangente das mais recentes
sistemas de comunicação anônima.
A rede de comunicação anônima mais popular é a Tor [ ] O elemento central do

Tor Network são Onion Routers (ORs), que são essencialmente roteadores que encaminham criptografados
dados. Os ORs criptografam, respectivamente, os pacotes de descriptografia ao longo do caminho para alcançar o desligamento bit a bit
, conforme detalhado abaixo. Quando um usuário deseja acessar anonimamente um serviço de Internet
através da rede Tor, ela instala um cliente Tor em seu dispositivo. Este software constrói um cir-
número de conexões em três ORs, chamados nós de entrada, meio e saída, e as rotas do cliente
tráfego criptografado para o servidor de destino por meio deste circuito.
Tor usa a chamada criptografia cebola , na qual o cliente estabelece uma chave secreta com cada
dos ORs no circuito usando uma versão adaptada do Dif e-Helmann autenticado (ver o
Área de Conhecimento de Criptografia (Capítulo )). Cada pacote roteado através do circuito obtém
criptografado com essas três chaves, primeiro com a chave OR de saída, depois a chave OR do meio e
finalmente aquele da entrada OR. Quando a mensagem viaja pelo circuito, os nós 'descascam'
cada camada de criptografia até que o pacote original seja enviado ao destino. O servidor envia
dados para o cliente usando o mesmo circuito, mas na ordem inversa; ou seja, o servidor criptografa o
mensagem em camadas que são descriptografadas por ORs de saída, meio e entrada. A fim de apoiar baixo
aplicativos de latência, os Onion Routers não impõem atrasos nas mensagens que recebem e
reenviar. Assim, os padrões de tráfego são conservados enquanto os pacotes trafegam pela rede. Esta
https://www.torproject.org/
www.cybok.org
permite que um adversário com a capacidade de observar ambas as extremidades da comunicação (ou seja, o
nós de entrada e saída) para correlacionar fluxos de entrada e saída, a fim de ligar a origem e
destino das comunicações [ ]
Neste ponto, é importante destacar a diferença entre usar o Tor e usar um Virtual
Rede privada (VPN) Ambas as tecnologias oferecem proteção contra um adversário que ob-
serve apenas um lado da comunicação, e ambos falham em proteger contra um adversário que
pode ver os dois extremos. No entanto, enquanto no Tor, nenhum relé sozinho pode aprender o link ser-
entre o remetente e o receptor (ou seja, o modelo de confiança é descentralizado ), em um PP o provedor realmente
conhece essa correspondência e, portanto, é um ponto único de falha.
A fim de destruir os padrões de tráfego e proteger os retransmissores de ataque de correlação em uma comunicação anônima
comunicação, as redes precisam atrasar os pacotes ou adicionar novos. Este é o princípio por trás do
projeto de redes de mistura [ ] Ao contrário do roteamento cebola, onde todos os pacotes de uma empresa
comunicação são roteados através de um circuito, em rotas de comunicação baseadas em mix são selecionadas
para cada mensagem. Então, quando um relé de mixagem recebe um pacote, em vez de descriptografar imediatamente
e enviá-lo para o próximo salto no caminho, a mensagem é atrasada. Quantas mensagens são
o atraso é determinado por uma condição de toque , que é um evento como a chegada de uma mensagem
ou a expiração de um tempo limite que faz com que o mix encaminhe algumas das mensagens que possui
armazenado. Quais mensagens são vermelhas depende da estratégia de envio em lote , que pode selecionar todos os
as mensagens ou uma fração de acordo com uma função probabilística. Tanto as combinações quanto os usuários podem
enviar tráfego fictício, que pode ser absorvido por outras misturas ou pelo destinatário.
Uma rede mista projetada para fornecer baixa latência é Loopix [ ] Ao contrário do Tor, onde
os clientes dos usuários se comunicam diretamente com os nós Tor, o Loopix assume que os usuários se comunicam
cate com provedores que, por sua vez, enviam mensagens uns aos outros por meio do Loopix anônimo
Rede de comunicação. Os provedores escolhem uma rota aleatória composta de roteadores Loopix e
envie a mensagem para o primeiro nó. Semelhante ao Tor, as mensagens são criptografadas com as chaves de
cada um desses roteadores usando o formato de pacote Sphinx [ ] Além da criptografia, mes-
Os sábios recebem um atraso para cada retransmissão que visitam, de acordo com uma distribuição exponencial.
Finalmente, os provedores injetam tráfego fictício na rede, enviando pacotes para eles próprios
por meio de um caminho Loopix, de modo a fornecer cobertura para mensagens reais. A combinação de provedores
que escondem mensagens mix de usuários enviando (respectivamente recebendo) mensagens ao mesmo
tempo, atrasos e tráfego de cobertura permitem que o Loopix forneça garantias prováveis em relação ao
Unlinkability dos remetentes e destinatários das mensagens.
Metadados do dispositivo. Nos serviços de Internet otimizados de hoje, as características concretas dos usuários
dispositivos são frequentemente enviados junto com suas solicitações de dados, a fim de otimizar o serviço
respostas dos provedores. Mesmo que os usuários sejam anônimos na camada de rede, essas características
tiques podem se tornar um quase identificador que permite aos prestadores de serviços rastrear os usuários em todo o
rede [ 6, ] Isso ocorre porque as combinações de recursos, como o Agente do Usuário (o navegador
fornecedor de software, revisão de software, etc.), seu idioma ou os plug-ins que instalou, ou o
plataforma são principalmente exclusivas. .
A impressão digital do dispositivo ou navegador é a coleta sistemática dessas informações para identificação -
cação e rastreamento. Um grande número de atributos, como navegador e operação
tipo e versão do sistema, resolução da tela, tipo de arquitetura e fontes instaladas podem ser coloridos
lecionados diretamente, usando scripts do lado do cliente e resultam em ngerprints exclusivos. Quando esta informação
informação não está diretamente disponível, outras técnicas podem ser usadas para aprender esta informação, como
https://katzenpost.mixnetworks.org/
https://amiunique.org/ , https://panopticlick.eff.org/
www.cybok.org
explicado abaixo.
Como um exemplo ilustrativo, vamos considerar a lista de fontes instaladas na web de um determinado usuário
navegador como um identificador que permite o rastreamento. Existem duas técnicas para obter a lista de
fontes bloqueadas, que são conhecidas por fornecer um bom nível de exclusividade. Isso ocorre porque os navegadores
instale fontes sob demanda, dependendo dos sites visitados. Uma vez que os usuários têm navegação diferente
padrões, suas listas de fontes instaladas também se tornam diferentes. Técnicas de impressão de fontes
explore o fato de que se uma fonte for instalada, os navegadores irão renderizá-la, mas caso contrário. navegadores irão reverter
para fonte monoespaçada. Assim, dependendo se uma fonte está instalada ou não, as frases serão
processado de forma diferente. Na primeira técnica, o rastreamento da web envia uma frase para o navegador
para ser impresso com uma série de fontes. Então, o script do lado do cliente verifica o tamanho de cada sen-
tence. Quando o tamanho é igual à frase impressa em monoespaço, o rastreador aprende que
a fonte não está instalada. Uma técnica semelhante é chamada de impressão de tela. Neste caso, o
tracker explora o recurso HTML Canvas, que renderiza pixels no y. Como antes, diferem-
O tamanho da fonte atual resulta em diferentes pegadas de pixels. Medir o resultado da renderização da tela
o rastreador pode verificar quais fontes estão instaladas em um navegador.
Defender-se contra ataques de metadados do dispositivo enquanto mantém a utilidade é extremamente difícil. No
Por outro lado, ocultar esses metadados dos provedores de serviços tem um impacto no desempenho do
serviços, uma vez que limita a personalização e deteriora a prestação de informação. No
por outro lado, é difícil estabelecer qual combinação de recursos realmente faria os usuários
indistinguível de outros usuários. Isso ocorre porque não temos conhecimento da distribuição
de impressões digitais para imitar um deles e, ao tentar combinações aleatórias, executa o
risco de ser tão único quanto a impressão digital original [ 8] Portanto, os mecanismos precisam ser
cuidadosamente elaborado e avaliado [ ]
Observamos que, além do rastreamento com base em metadados, os rastreadores também usam uma série de técnicas
com base no uso de cookies. Por exemplo, as páginas da web podem incluir cookies de terceiros
vínculos, o que permite que essas partes detectem quando os usuários revisitam uma página [ ] Terceiros podem
também usam a sincronização de cookies, em que, além de adicionar seu próprio rastreamento, os cookies de redirecionamento da web
a outros rastreadores para informá-los sobre para onde os usuários estão indo [ ] Finalmente, existem perva-
sive mecanismos para instalar informações semelhantes a cookies que não podem ser removidas limpando o
cache do navegador [ ]
Metadados de localização. Finalmente, a localização geográfica de um usuário revelada aos serviços online pode ser
usado para inferir informações confidenciais. Essas informações podem ser reveladas explicitamente, por exemplo,
quando o usuário faz consultas a serviços baseados em localização para encontrar pontos de interesse próximos
ou amigos; ou implicitamente, por exemplo, quando as coordenadas de GPS estão associadas a fotos ou
conteúdo publicado em redes sociais ou inferido do ponto de acesso usado para acessar o
Internet.
Técnicas de agrupamento para encontrar grupos de pontos próximos onde o usuário gasta não signi cativamente
períodos de tempo podem ser usados para inferir os pontos de interesse dos usuários, como onde moram, onde
eles trabalham ou seus locais de lazer favoritos. Em muitos casos, pontos de interesse podem ser usados
como quase identificadores de usuários. Por exemplo, os três locais mais visitados são
exclusivo para um usuário na maioria dos casos, mesmo quando os locais são fornecidos em mais
nível geral (por exemplo, condados dos EUA) [ ] Da mesma forma, os tipos e padrões de locais visitados
pode ser usado para inferir dados demográficos sobre usuários, como idade ou sexo [ ] Além disso,
uma vez que os padrões de movimento tenham sido caracterizados, eles podem ser usados para prever os indivíduos
movimentos futuros [ ]
Existem dois tipos de defesa para proteger metadados de localização na literatura. O primeiro

www.cybok.org
depende de técnicas criptográficas para processar consultas de serviços baseados em localização (ver Sec-
ção . . .) Por exemplo, os usuários podem saber em particular se um amigo está por perto. Este serviço
pode ser realizado por criptografia de criptografia homomórfica [ ], teste de igualdade privado [ 6]
ou interseção de conjunto de limiar privado [ ] O segundo tipo de defesa é baseado no ob-
técnicas de fuscação descritas na seção . . . a fim de controlar as inferências de que um
o adversário extrai dos dados de localização. Por exemplo, a localização do usuário pode ser oculta [8],
ou seja, não relatado ao provedor; perturbado [ ], ou seja, informando um local diferente do
posição real do usuário; generalizado [ ], ou seja, relatado com menos precisão; ou acompanhado por
localizações fictícias para que os padrões reais de movimento do usuário não possam ser identificados [ ]
. PRIVACIDADE COMO CONTROLE

[ ][ ][ ]
Na seção anterior, discutimos tecnologias de privacidade que mantêm a confidencialidade dos dados, por
minimizando a coleta de dados e / ou minimizando a quantidade de informações que podem ser
inferida a partir de quaisquer dados divulgados. Uma noção mais ampla de privacidade, que geralmente é referenciada em
regulamentos, amplia a privacidade da noção de ocultação de informações pessoais, para
a capacidade de controlar o que acontece com as informações que são reveladas [ , ]
A ideia por trás da mudança de tecnologias que minimizam a divulgação para tecnologias que
fornecer os meios para controlar o uso da informação, é que, em muitos casos, a revelação de dados pode ser
inevitável ou considerada benéfica para o titular dos dados. Portanto, é aconselhável considerar
o uso de tecnologias que abordam duas questões principais: i) permitir que os usuários expressem como
eles esperam que os dados divulgados ao prestador de serviço sejam usados, de modo a evitar
processamento desses dados; e ii) permitir que as organizações definam e apliquem políticas que
evitar o uso indevido das informações, conforme definido pelos usuários.
Nesta seção, revisamos as técnicas que foram projetadas sob o controle de privacidade
paradigma. Nós nos concentramos em técnicas para a criação e configuração de boas configurações de privacidade
que ajudem os usuários a expressar suas preferências com relação à divulgação e processamento de dados;
e técnicas que suportam a negociação automatizada de políticas de privacidade entre serviços.
Como grande parte da proteção depende da confiança, tecnologias de privacidade que aumentam a privacidade
em um sistema por meio de controle aprimorado são menos numerosos e variados do que aqueles projetados para
alcançar a confidencialidade.
É importante destacar que essas técnicas confiam inerentemente no provedor de serviços que
coleta os dados para aplicar corretamente as políticas estabelecidas pelo usuário com relação a
terceiros, bem como não abusar dos próprios dados recolhidos. Além disso, conforme observado por Acquisti et
al. [ ], fornecendo aos usuários ferramentas para controlar os fluxos de informações pode reduzir a percepção de risco
e aumentar a assunção de riscos, reduzindo efetivamente a privacidade geral dos usuários.
www.cybok.org
.. Suporte para configuração de configurações de privacidade

As configurações de privacidade são os controles em um serviço da web que permitem que os usuários expressem suas preferências
dados sobre como os dados devem ser revelados a outros usuários, compartilhados com terceiros, e
processados pelos prestadores de serviços. Madejski et al. mostraram que a complexidade destes
as configurações de privacidade dificilmente podem ser utilizadas por indivíduos ][ Essa falta de usabilidade causa
os usuários configurem incorretamente suas configurações de privacidade, ou seja, estabeleçam configurações que não correspondem
suas expectativas. Isso, por sua vez, resulta na divulgação não intencional de dados. Recomendamos aos leitores
a Área de Conhecimento de Fatores Humanos (Capítulo) para mais informações sobre o impacto de
usabilidade de sistemas de segurança e privacidade.
Para combater este problema, os pesquisadores propuseram uma série de técnicas cujo objetivo
é identificar grupos de indivíduos que compartilham certas características e, em seguida, estabelecer o
configurações mais adequadas para cada grupo de usuários. Uma área de pesquisa sugere deixar a segurança
e especialistas em privacidade definem quais são as melhores políticas. [ ] Essa abordagem, no entanto, é
difícil de generalizar a partir de grupos-alvo para a população em geral e, em muitos casos, pode
resultam em estratégias que superestimam a necessidade de proteção. Isso, por sua vez, limita muito o
compartilhamento e processamento de dados, tornando os sistemas inutilizáveis. Outras propostas defendem
para usar técnicas de aprendizado de máquina para inferir configurações adequadas para um usuário com base no
gráfico social de amigos e conhecidos de um usuário [ ] Esta técnica, no entanto, requer
usuários, ou um sistema de recomendação centralizado, para saber o gráfico social de um usuário, a fim de realizar
as inferências, o que levanta questões de privacidade em si. Uma terceira abordagem não requer
conhecimento do gráfico social de um usuário, mas tenta encontrar configurações de privacidade adequadas, olhando para um
conjunto maior de usuários. [6] Ao contrário da técnica anterior, as configurações sugeridas de um usuário
a preferência é derivada de dados genéricos. Essas técnicas mostraram ser propensas
para produzir políticas que são válidas para a maioria dos usuários, mas muitas vezes discriminam
grupos de usuários com requisitos de privacidade específicos, como ativistas ou pessoas de interesse público.
Além disso, as técnicas baseadas em ML frequentemente aumentam e perpetuam os preconceitos presentes nos dados
a partir da qual as políticas iniciais são inferidas. A nal áreas de pesquisa sugere crowdsourcing o
composição ideal dessas políticas [ ] Essas técnicas são mais flexíveis no sentido
que os usuários têm mais liberdade para influenciar as políticas. No entanto, eles ainda são influenciados por
maioria de votos e pode não ser ideal para usuários que não seguem as práticas convencionais.
.. Suporte para negociação de política de privacidade

As tecnologias anteriores oferecem suporte aos usuários no momento de definir suas configurações de privacidade em
um serviço online. Uma linha ortogonal de trabalho é dedicada a automatizar a comunicação
de preferências do usuário para o serviço, ou entre serviços.
Tecnologias como o WCProjeto de Plataforma para Preferências de Privacidade ( PP) [ 8], que
facilitar a comunicação das preferências de configuração entre o usuário e o provedor de serviços. PP
é um padrão da indústria que permite que sites codifiquem suas políticas de privacidade (quais informações
informações são coletadas, como são usadas, etc.) em um formato predefinido. Essas políticas podem ser lidas e
interpretado por navegadores equipados para isso. O navegador pode então comparar a política do site
com as preferências de privacidade especificadas de um usuário escritas em uma linguagem legível por máquina, como
Idioma de troca de preferência PP (APPEL) [ ] . PP, no entanto, não tem nenhum meio
para garantir que o provedor de serviço realmente siga as práticas descritas na política.
Outras tecnologias, como controle de acesso com base na finalidade [ 6 ] ou políticas fixas [ 6] pro
vide os meios para especificar os usos permitidos das informações coletadas e para verificar se a
pose de um acesso a dados é compatível com a política. Essas tecnologias podem ser suportadas por

www.cybok.org
mecanismos criptográficos que garantem que os prestadores de serviço devem cumprir com os
preferências estabelecidas pelos usuários.
.. Suporte para interpretabilidade da política de privacidade

A fim de definir as configurações de privacidade de acordo com suas expectativas de como os dados devem
ser tratada, os usuários precisam entender as políticas de privacidade que descrevem os significados de
essas configurações. Essas políticas costumam ser longas, detalhadas e contêm muitos termos legais; e
frequentemente evoluem com o tempo. Assim, os usuários acham difícil entendê-los. Pesquisadores têm
desenvolveram tecnologias que aumentam a capacidade dos usuários de interpretar as políticas de privacidade.
Atualmente, existem duas abordagens para melhorar a compreensão dos usuários sobre as políticas de privacidade.
Uma é confiar que os especialistas identifiquem, analisem e forneçam razões para as políticas de privacidade existentes [ 6 ]
Outra via é automatizar completamente o processo de interpretação. Polisis [ ] é um
framework baseado em aprendizado de máquina que permite aos usuários fazer perguntas sobre a linguagem natural
medir as políticas de privacidade. Esta ferramenta oferece uma representação visual da política especificando o
tipos de dados coletados, a finalidade dessa coleta e as práticas de compartilhamento, entre outros
ers.
. PRIVACIDADE COMO TRANSPARÊNCIA

[ 6 ] [ 6 ] [ 6]
O último paradigma de design de privacidade que consideramos é a privacidade como transparência. Ao contrário de tecnologia
tecnologias que limitam a divulgação de dados ou o uso de dados divulgados, mecanismos de transparência
analisar as atividades online dos usuários, a fim de fornecer-lhes feedback sobre o
cações de suas ações ou execute auditorias para verificar se não houve violação de privacidade.
Tal como acontece com as tecnologias orientadas para o controle, a privacidade baseada na transparência não pode impedir a privacidade
olações em si mesmas. Na verdade, o feedback ou as auditorias acontecem depois que os usuários já
dados divulgados ao provedor. Assim, os provedores são novamente confiáveis para garantir que o
os dados coletados não são processados ou compartilhados de maneiras não autorizadas pelos usuários.
.. Transparência baseada em feedback

Descrevemos primeiro os mecanismos que tornam transparente a maneira como as informações são coletadas
selecionados, agregados, analisados e utilizados para a tomada de decisões. O fator comum entre
essas tecnologias são para fornecer aos usuários feedback sobre como suas informações estão
processados ou percebidos por outros.
Um esforço inicial nessa direção é o conceito de espelhos de privacidade [ 6 ], que mostra aos usuários seus
'selves digitais'; ou seja, como outras pessoas veem seus dados online. Este conceito foi adotado por populares em
redes sociais de linha, como o Facebook, que permite aos usuários verificar como diferentes públicos
(por exemplo, amigos, amigos de amigos, outros), ou mesmo usuários individuais, veem seus perfis sempre que
eles fazem alterações em seus controles de privacidade. Uma linha de trabalho semelhante fornece outros meios de
visualizar como as configurações de privacidade afetam o compartilhamento de dados para melhorar a compreensão dos usuários
do conjunto de permissões que eles selecionaram. Esta solução fornece dicas visuais para usuários que
indicam as permissões de acesso associadas aos dados que eles compartilharam [ 66] Por exemplo,
pode destacar campos em um perfil de rede social com uma cor diferente dependendo de quem
https://pribot.org/polisis
www.cybok.org
tem acesso a essas informações específicas. Ambas as soluções ajudam os usuários a entender suas práticas
perceber e modificar suas ações. No entanto, eles só podem fazer isso após a informação ter sido
revelado ao provedor (e possivelmente a outros usuários).
Um tipo diferente de feedback do usuário compreende os chamados estímulos de privacidade [ 6 ] Auxiliar de cutucadas
usuários ao fazerem escolhas sobre suas configurações de privacidade e segurança. Eles dão aos usuários imediatos
feedback sempre que o usuário realiza uma ação online de uma forma que a ação possa ser
celular ou modi cado. Por exemplo, a cutucada pode informar ao usuário que a postagem que ela está atualmente
a escrita é pública, para que o usuário tenha cuidado com as palavras que escolhe usar. Acotovelando
ferramentas podem ser ainda mais sofisticadas e usar algoritmos de aprendizado de máquina modernos para
yse fotos ou texto à medida que são carregados e forneça aos usuários um feedback mais concreto
como 'a postagem pode ser percebida como negativa' ou 'a foto é muito explícita'. Embora imediato
o feedback apresenta benefícios evidentes em comparação com os espelhos, uma vez que as ações podem ser modificadas para ser
antes que as informações sejam enviadas ao provedor, elas também apresentam desvantagens. Experimentos com usuários
mostrou que o feedback imediato resulta em uma sensação desconfortável para os usuários, conforme eles se sentem
monitorado, e os usuários às vezes percebem o conselho como paternalista e fora do lugar [ 6 ]
.. Transparência baseada em auditoria

Como mencionado antes, mesmo com políticas de privacidade e controle de acesso em vigor, não há garantia
é necessário que as preferências do usuário sejam respeitadas. Medidas adicionais podem ser implementadas para
permitir que os usuários verifiquem se nenhum abuso ocorreu. Para realizar essas auditorias, o sistema é re-
necessário para registrar todas as operações de acesso e processamento de dados. Este registro pode revelar quando os usuários
logar no sistema, e quando e como seus dados são transmitidos a outras pessoas. Assim, dependendo
sobre a quantidade e granularidade das informações, o registro pode introduzir privacidade adicional
riscos.
Portanto, as políticas de log devem ser cuidadosamente elaboradas. Uma abordagem para fazer isso é derivar o
especificações de auditoria das políticas usando métodos formais [ 6 ] Isso garante que
os logs gerados, embora sejam mínimos, ainda contêm informações suficientes para auditar se
as políticas estão sendo respeitadas. As soluções, no entanto, são limitadas em sua expressividade
e não pode lidar com políticas de privacidade em sistemas modernos onde a quantidade de dados coletados
e o número de entidades envolvidas torna uma análise formal extremamente complicada.
O uso de métodos formais assume que o compartilhamento de dados é gerenciado por uma autoridade centralizada
que deve ser confiável. Isso é problemático porque a autoridade centralizada se torna um único
ponto de falha. Avanços recentes em criptografia e livros-razão distribuídos permitem o projeto de
soluções que fornecem os meios para criar registros altamente seguros, garantindo que nenhum
as informações são compartilhadas com pessoas não autorizadas. Quando o registro é feito em um sistema distribuído
forma, nenhuma parte individual pode modificar o log por conta própria, reduzindo a necessidade de confiança e
eliminando qualquer ponto único de falha. Por exemplo, sistemas como UnLynx [68] autorizar entidades
para compartilhar dados confidenciais e realizar cálculos sobre eles, sem confiar qualquer entidade
com a proteção dos dados. Todas as ações são registradas em um livro razão distribuído para auditoria, e o
a exatidão das operações é garantida pelo uso de primitivas criptográficas verificáveis e zero-
provas de conhecimento. Portanto, não é necessário publicar ou registrar os dados confidenciais ou
operações feitas neles.

www.cybok.org
. TECNOLOGIAS DE PRIVACIDADE E VALORES DEMOCRÁTICOS

[6][ ][ ]
As tecnologias de privacidade são de suma importância para garantir que nosso direito fundamental de
a privacidade é respeitada no mundo digital. A proteção da privacidade é crucial para sustentar o
valores que sustentam nossas sociedades democráticas. Citando Daniel Solove: 'Parte do que torna um
sociedade um bom lugar para se viver é a medida em que permite às pessoas a liberdade de
a intromissão de outros. Uma sociedade sem proteção de privacidade seria sufocante '[ ]
Embora tal sociedade parecesse uma ficção científica há não muito tempo, episódios como o do Facebook
O caso da Cambridge Analytica destaca a importância de evitar que os dados sejam acessados por
partes não intencionais (por exemplo, usando confidencialidade ou técnicas de controle) para proteger os cidadãos de
interferência e manipulação.
Nesta seção, fornecemos dois exemplos que destacam a importância da tecnologia de privacidade
leis no apoio à democracia. Por um lado, consideramos os sistemas de votação eletrônica que
que possam ocorrer eleições justas usando infraestrutura eletrônica em condições adversas. Sobre
por outro lado, oferecemos uma visão geral das tecnologias de resistência à censura. Esses sistemas
garantir que em um mundo digital, onde a infraestrutura de comunicação é dominada por um pequeno
número de empresas e atores estatais podem observar todas as comunicações, os indivíduos têm o
significa comunicar-se livremente.
.. Tecnologias de privacidade como suporte para sistemas políticos democráticos

O uso crescente de aplicativos eletrônicos para interagir com órgãos governamentais traz grandes
vantagens para a sociedade. Proporcionar aos cidadãos meios fáceis de expressar suas opiniões, com
mento em iniciativas do governo, ou voto em eleições, aumenta seu envolvimento na de-
processos de cisão. Isso, por sua vez, melhora o equilíbrio de poder entre aqueles que podem executar
decisões e aqueles que são afetados pelo resultado do processo de decisão.
Para que essas melhorias sejam eficazes, os cidadãos devem poder expressar livremente suas opiniões
e deve ter certeza de que suas entradas não podem ser modificadas ou perdidas durante o processo. O uso de
infraestruturas comuns (por exemplo, serviços em nuvem ou redes de comunicação desprotegidas) para
implementar esses aplicativos orientados para a democracia, no entanto, levanta preocupações sobre
lança e manipulação. Portanto, é importante que esses aplicativos sejam suportados por
tecnologias de privacidade fortes que podem proteger as identidades dos usuários, bem como seus dados confidenciais
e entradas para o sistema. Descrevemos dois aplicativos de exemplo, votação eletrônica e ele-
petições tronic,
para permitir queemosque as tecnologias
cidadãos introduzidas
e governos desfrutemnas seções anteriores
do progresso são combinadas
tecnológico sem comprometer
nossos valores democráticos.
Votação eletrônica (eVoting). Os sistemas de votação eletrônica têm o objetivo de possibilitar eleições justas
a ser conduzido por meio de infraestrutura eletrônica em condições adversas. Em particular, eVoting
esquemas fornecem:
• Sigilo da votação : um adversário não pode determinar em qual candidato o usuário votou.
• Verificação universal : um observador externo pode verificar se todos os votos lançados são contados
e que a contagem está correta. Alguns protocolos fornecem uma propriedade mais fraca, veri individual -
capacidade , onde cada eleitor pode verificar se o seu voto foi corretamente apurado. Benaloh
et al. fornecer uma visão abrangente dos aspectos a avaliar para obter de ponta a ponta
veri capacidade [ ]
www.cybok.org
• Verificação da elegibilidade : um observador externo pode verificar se todos os votos expressos foram feitos
por um único eleitor elegível.
Para garantir o primeiro aspecto, é fundamental quebrar o elo entre os votos que colocam seus
cédulas no sistema e as cédulas que saem. No tradicional papel e caneta físico
eleições, isso é feito misturando-se as cédulas, todas com exatamente a mesma aparência
em uma urna. Em eVoting, Unlinkability é normalmente alcançado usando redes mix [ , ]a
os votos passam por uma série de misturas, que não devem pertencer à mesma autoridade.
Caso contrário, essa autoridade poderia rastrear os votos e vincular os eleitores às suas escolhas de voto. O
os resultados são publicados em um quadro de avisos público que qualquer pessoa pode ler e verificar se o
a eleição foi realizada de forma honesta.
As redes de mix de votação são projetadas de uma maneira ligeiramente diferente das mencionadas na Seção
ção . .. No caso de eVoting, as combinações são quando todos os votos estão concluídos, e a estratégia de lote
é levar todos os votos. Em termos simples, ele garante que todos os votos sejam misturados, obtendo
o máximo anonimato definido. Isso cumpre o critério de sigilo da votação como qualquer voto poderia ter
foi lançado por qualquer eleitor. Além disso, para garantir a veri abilidade universal, em redes de mix de eVoting
cada nó faz shuf es verificáveis [ 6 ] Isso significa que as misturas provam, em conhecimento zero,
que eles misturem todos os votos (todos os votos na entrada aparecem na saída) e a mistura é
aleatória. A verificabilidade da elegibilidade pode ser obtida exigindo que os eleitores provem conhecimento zero
que eles são elegíveis para votar.
Outros protocolos de votação fornecem sigilo de votação por meio do uso de assinaturas ocultas:
entidade criada verifica a elegibilidade de um usuário e assina cegamente seu voto (ou seja, sem ver o
votar conteúdo) [ ] O usuário fornece uma prova de conhecimento zero junto com o voto de que o
o voto foi construído corretamente. Em seguida, os usuários enviam os votos assinados ao servidor de contagem
usando um canal de comunicação anônimo. Desta forma, nenhuma entidade do sistema pode vincular o eleitor
aos votos.
Uma terceira estratégia é baseada na criptografia homomórfica . Nestes esquemas, a contagem

servidor cria um quadro de avisos com zero entradas criptografadas para cada candidato [ 6 , ]
Então, cada usuário adiciona seu voto ao candidato desejado e randomiza o resto dos en-
criptografias (para que as criptografias do mesmo número nunca tenham a mesma aparência). Como antes, zero-
as provas de conhecimento podem ser usadas para garantir que as somas e a randomização foram realizadas
da maneira correta.
Além das três propriedades acima, alguns protocolos de votação têm como objetivo adicional fornecer coer-
resistência cion , em que um usuário não pode ser forçado a votar em um determinado candidato contra ela
vontade. Uma estratégia para implementar tal sistema é fornecer aos usuários credenciais falsas [8]
Então, quando os usuários estão sob coerção, eles seguem as instruções do coador, mas fornecem
suas credenciais falsas para o sistema. Isso permite que o servidor de contagem ignore quaisquer votos pró
produzidos sob coerção. Abordagens relacionadas evitam a coerção por meio de nova votação, ou seja, os esquemas
permitir que os usuários reformulem um voto de forma a cancelar sua escolha forçada [ ] Esses esquemas de-
novas políticas para estabelecer como contar votos, sempre que uma determinada credencial lançou mais do que
um voto. (por exemplo, conte o último ou adicione uma indicação ao voto cancelado).
Petições anônimas. Definimos uma petição como um pedido formal a uma autoridade superior, por exemplo, par-
Parlamento ou outra autoridade, assinada por um ou mais cidadãos. Assinando uma petição publicamente, como-
nunca, pode levantar preocupações ou conflitos em termos de relacionamentos entre amigos, colegas,
e vizinhos, desencorajando os cidadãos de participar [ 8 ] Tecnologias de privacidade, em par-
particular, credenciais anônimas, podem ajudar na criação de petições seguras e de preservação da privacidade
sistemas.

www.cybok.org
Em sistemas de petição com base em credenciais anônimas, os cidadãos podem se registrar na autoridade
gerenciar o sistema de petição para obter uma chave de assinatura anônima associada a alguns
atributos relevantes para as petições. Então, na hora de assinar uma petição específica, eles podem
provar que são elegíveis (por exemplo, são habitantes do município referido), mas não
precisam revelar sua identidade. Propriedades avançadas de credencial, como detecção de assinatura dupla
possibilitar a criação deste sistema, evitando abusos por parte de cidadãos que se comportam mal [ 8 ]
Abordagens mais modernas contam com primitivas criptográficas avançadas para remover a necessidade de
uma parte confiável central que registra usuários. Por exemplo, Sonnino et al. [8 ] habilitar limite
emissão e verificação das credenciais para assinatura da petição, ou seja, participam diversas autoridades
na emissão. Este esquema melhora a confidencialidade, autenticidade e disponibilidade por meio
o uso de livros-razão distribuídos. Essa abordagem aumenta o nível de privacidade do sistema,
ao mesmo tempo em que reduz a necessidade de confiar em uma única parte.
.. Resistência à censura e liberdade de expressão

Os sistemas de censura tentam impor uma distribuição particular de conteúdo em um sistema.
Eles podem impedir que os usuários publiquem determinado conteúdo que seja considerado controverso ou
perigoso para o regime de censura; ou podem impedir que os usuários acessem o conteúdo que
pode minar o equilíbrio social que o censor deseja impor à sua sociedade.
Nesta seção, mostramos como as tecnologias de preservação da privacidade podem atuar como um alicerce para
apoiar a liberdade de expressão e de acesso à informação. Iremos elaborar alguns
exemplos para cada um desses objetivos, a fim de ilustrar os princípios fundamentais que fazem
resistência à censura possível. Remetemos o leitor interessado às pesquisas de Khattak et
al. [ ] e Tschantz et al. [ 8] para uma revisão abrangente da resistência à censura
sistemas.
Resistência à censura na publicação de dados. Motivado pela ordem judicial da 'Igreja da Cientologia',
que ocasionou o fechamento do repostador Penet no final do s [ 8 ], Anderson pro
apresentou o Serviço da Eternidade. Este foi o primeiro sistema a usar tecnologias de privacidade para proteger
a publicação de conteúdo na Internet [ 8 ] O esquema de Anderson propôs distribuir
cópias de arquivos em servidores em jurisdições diferentes, de modo que esses servidores não possam ser sub-
poenaed ao mesmo tempo. Neste esquema, as tecnologias de privacidade têm papéis fundamentais para
resistência: a criptografia não só fornece privacidade para os usuários, mas também evita a negação seletiva
de serviço no momento da recuperação; e a autenticação anônima não apenas protege os usuários do
serviço, também protege o serviço de ser coagido a revelar as identidades dos usuários,
por exemplo, pela aplicação da lei, uma vez que não pode saber a identidade desses usuários.
A proposta de Anderson inspirou designs posteriores, como Freenet, um sistema ponto a ponto para publicação
lish, replicar e recuperar dados, protegendo o anonimato de ambos os autores e ler
ers [ 86] Além disso, o sistema fornece negação para as entidades que armazenam as informações;
ou seja, os servidores não podem saber o conteúdo dos arquivos que armazenam e, portanto, podem sempre reivindicar
não estar ciente do que eles estão servindo. Na Freenet, os arquivos são localizados de acordo com uma chave que
é tipicamente o hash do arquivo, mas também pode incluir uma descrição do arquivo ou ser uma string simples.
Para recuperar um arquivo, um usuário obtém ou calcula as chaves e pede aos nós da Freenet que as encontrem. Se um
o nó não contém o arquivo, ele pergunta a um vizinho. Quando o arquivo é encontrado, ele é enviado de volta
o mesmo caminho que a requisição seguiu na rede. Isso garante que o nó segurando
os dados não conhecem o destinatário. Para armazenar um arquivo, se a chave ainda não existir, o
o editor envia o arquivo ao longo de um caminho e cada nó no caminho armazena o arquivo. Proteger
o anonimato do editor, nós que armazenam o arquivo também decidem aleatoriamente se
www.cybok.org
também reivindicar propriedade. Essas reivindicações aleatórias também fornecem nós com negabilidade quanto a quais
dos arquivos que estão armazenando são, na verdade, deles.
O design do Freenet é baseado em criptografia forte, que protege o conteúdo das mensagens
sábios. No entanto, no início, as rotas e os horários das mensagens permitiam que os ataques
quebrar o anonimato do sistema. Tian et al. [8 ] mostram que um atacante passivo implantando um número
vários nós na rede que podem monitorar as solicitações podem reidentificar o solicitante por
perguntando de forma séria a outros nós se eles viram a solicitação. A Freenet também permite a coleta
de estatísticas de preservação da privacidade. No entanto, o método de ofuscação estatística é vulnerável a
ataques de inferência em que o nó adversário combina várias consultas a fim de aprender
formação sobre as propriedades de outros nós Freenet (por exemplo, largura de banda) [ 88] Esses problemas são
agora abordado por Freenet, mas outros permanecem, como o ataque de Levine et al. [8 ], que
permite que um único nó distinga se um par vizinho é o solicitante real de
um arquivo ou apenas encaminhando as solicitações para outros pares. O ataque requer apenas ob-
serviço de tráfego, e explora o fato de que o protocolo Freenet determina a média
número de pedidos para um arquivo observável por um nó dependendo de quão longe este nó está
o solicitante. Assim, uma inferência bayesiana simples é suficiente para detectar se um vizinho é
o iniciador da solicitação.
Uma abordagem diferente para a censura é seguida em Tangler [ ] O sistema também fornece
editor e leitor anonimato, mas consegue resistência à censura de uma maneira diferente. Dentro-
em vez de simplesmente armazenar o arquivo replicado em muitos nós de forma anônima, Tangler les
são divididos em pequenos blocos que são armazenados em servidores diferentes. A fim de recuperar um arquivo, um
deve, portanto, entrar em contato com vários servidores para recuperar o suficiente desses blocos. A fim de evitar
um servidor sendo compelido a deletar um bloco pertencente a um arquivo, Tangler constrói blocos em tal
maneira que os blocos contêm partes de muitos documentos. Para 'emaranhar' arquivos em blocos, Tangler usa
compartilhamento de segredos (consulte a Área de Conhecimento de Criptografia (Capítulo )) . Emaranhar melhora a disponibilidade
habilidade de duas maneiras. Primeiro, um censor só pode excluir um arquivo alvo, causando danos colaterais
para outros arquivos que podem ser permitidos. Em segundo lugar, sempre que alguém deseja replicar um arquivo, os arquivos
emaranhados nos blocos de arquivos replicados também são replicados.
Resistência à censura de acesso a dados. Para permitir o acesso livre de censura aos dados, os sistemas devem
ser capaz de ocultar que os usuários estão acessando esses dados. Isso pode ser feito em vários
maneiras [ ] A primeira abordagem é a imitação , em que a resistência à censura é obtida por uma
tentador fazer com que o acesso a dados censurados pareça acessar dados permitidos (por exemplo, como um
Chamada Skype [ ] ou como uma visita a uma página da web inócua [ ]). Essas abordagens são eficazes
tivo, mas tem se mostrado vulnerável a ataques ativos nos quais o adversário sonda
a conexão suspeita para descobrir se alguma das funções esperadas do aplicativo sendo
imitados estão faltando [ ]
Uma segunda abordagem é o tunelamento. Neste caso, a comunicação censurada é diretamente sintonizada
nled através de um serviço sem censura, em vez de fingir ser esse serviço. Em particular,
esses sistemas usam serviços amplamente usados como túneis, por exemplo, serviços em nuvem [ , ], para que
bloquear comunicações impõe um alto custo para o censor. Uma terceira abordagem é em-
cama a comunicação dentro de algum conteúdo (por exemplo, escondido em uma foto ou vídeo [ 6]). Esta
abordagem não só torna as comunicações inobserváveis, mas também negáveis para todos os remetentes,
destinatários e aplicativos que hospedam o conteúdo.
Finalmente, alguns sistemas de resistência à censura dependem de ocultar o destino da comunidade

catação para evitar que os censores bloqueiem as conexões. Isso é conseguido retransmitindo censuras
tráfego através de um ou mais nós intermediários. Esses nós podem ser proxies, como pontes
www.cybok.org
na rede Tor [ ] Essas pontes são relés Tor cujos IPs não são públicos para que eles
não podem ser identificados como membros de um sistema de resistência à censura. Para evitar a identificação do censor
identificando conexões a pontes devido à sua aparência, estas são disfarçadas usando os chamados
transportes conectáveis [ ], que transformam o fluxo de tráfego seguindo uma das abordagens
referenciado nesta seção.
Outra opção para ocultar o destino é o uso de roteamento chamariz , também conhecido como refração
rede [ 8 , ] No roteamento de engodo, os clientes direcionam seu tráfego censurado para um destino benigno
nação. Este tráfego inclui um sinal indetectável que só pode ser interpretado por uma cooperativa
operando um roteador de Internet. Este roteador desvia o tráfego do cliente para o site censurado e retorna
as respostas ao cliente. Obviamente, o roteador cooperante deve estar fora do censor
domínio, mas, dependendo do esquema, pode estar no caminho de encaminhamento do cliente para o
destino sem censura [ 8, ], ou no caminho a jusante [ 6 , 6]
. ENGENHARIA DE PRIVACIDADE
[6 ] [ 6]
As crescentes preocupações com a privacidade na sociedade tornaram o conceito de 'privacidade desde o design' muito
popular entre os formuladores de políticas. Este conceito defende o design e desenvolvimento de
sistemas que integram valores de privacidade para atender às preocupações dos usuários. No entanto, a literatura
em torno deste conceito raramente aborda os processos reais por trás do design, implementação
e integração de proteções de privacidade em produtos e serviços.
Nesta área de conhecimento, primeiro demos uma visão geral do panorama das tecnologias de privacidade,
e posteriormente forneceu uma série de exemplos em que essas tecnologias são combinadas
para apoiar o uso de sistemas eletrônicos, mantendo os valores democráticos fundamentais. Nisso
seção, elaboramos os princípios de design por trás desses, e outros, preservando a privacidade
sistemas. Discutimos brevemente como esses princípios podem ser usados para abordar de maneira geral o
engenharia de sistemas que incorporam fortes proteções de privacidade. Nós referimos o leitor ao
trabalho de Gürses et al. [6 ] para uma explicação mais abrangente desses princípios e
seu papel no projeto de sistemas de preservação da privacidade. Um artigo relevante para ajudar o leitor
compreender esses princípios é o trabalho de Hoepman sobre estratégias de privacidade [6 ]
Os dois objetivos principais ao projetar sistemas de preservação da privacidade são:
• Minimize a confiança : limite a necessidade de confiar em outras entidades para se comportar como esperado com
respeito a dados sensíveis. Por exemplo, no eVoting baseado em mix, a confiança não é apenas distribuída
em todas as entidades que gerenciam as combinações, mas embaralhamentos verificáveis são colocados em prática para limitar
ao máximo, a quantidade de confiança no bom comportamento de cada mistura. Da mesma forma, o
primitivas criptográficas usadas para implementar petições eletrônicas de preservação de privacidade fazem
não requer confiança na autoridade de registro para proteger as identidades dos signatários.
• Minimize o risco : limite a probabilidade e o impacto de uma violação de privacidade. Por exemplo, no Tor,
comprometer um relé não fornece nenhuma informação sensível sobre as navegações dos usuários
hábitos ing. Se alguém compromete o nó de entrada, não pode aprender os destinos do
comunicações, apenas os nós intermediários dos circuitos; e se alguém compromete a saída
nó, não se pode aprender a origem da comunicação.
Para minimizar a confiança e o risco, os especialistas em privacidade normalmente projetam sistemas de acordo com
as seguintes estratégias:
www.cybok.org
• Minimize a coleta : sempre que possível, limite a captura e o armazenamento de dados no

sistema.
• Minimize a divulgação : sempre que possível, restrinja o fluxo de informações às partes

que não seja a entidade à qual os dados se referem. Isso se refere a fluxos diretos entre
remetentes e receptores, e para fluxos indiretos, por exemplo, o uso de técnicas de controle para limitar o
informações disponíveis ao publicar ou consultar um conjunto de dados.
• Minimize a replicação : sempre que possível, limite o número de entidades onde os dados estão
armazenado ou processado no claro.
• Minimize a centralização : sempre que possível, evite um único ponto de falha em relação ao
propriedades de privacidade no sistema.
• Minimize Linkability : sempre que possível, limite a capacidade do adversário de vincular dados.
• Minimize a retenção : sempre que possível, limite a quantidade de tempo que as informações são armazenadas.
Implementar essas estratégias a princípio pode parecer incompatível com a manutenção da integridade
do sistema. Por exemplo, se nenhuma informação é divulgada ou coletada, como alguém pode fazer
certeza de que nenhuma entidade está abusando do sistema? Se não há autoridade central, como fazer
tem certeza de que a autenticação e a autorização funcionam conforme o esperado? É aqui que a tecnologia de privacidade
gies entram em jogo. Eles permitem o projeto de sistemas onde o mínimo de informações possível
ble é revelado a outras partes que não aquelas às quais as informações se referem, e nas quais
há uma necessidade mínima de confiar nos provedores ou outros usuários a fim de preservar a privacidade de
informações confidenciais enquanto ainda pertencem à integridade e permitem a troca de informações.
Para decidir qual tecnologia de privacidade é mais adequada para construir um sistema, uma primeira etapa
é identificar os fl uxos de dados que devem ser minimizados; ou seja, aqueles que movem dados para entidades
a quem os dados não se referem. A segunda etapa é identificar o conjunto mínimo de dados que
precisa ser transferido para essas entidades. Para identificar as informações mínimas necessárias que
precisa ser transferido, o designer deve tentar manter o máximo de dados possível fora
de alcance dessas entidades sem prejudicar a funcionalidade do sistema. Estratégias para min-
imise o fluxo de informações desnecessário (com base principalmente nas tecnologias introduzidas por meio de
seção fora. .) estão:
• Mantenha os dados locais : execute qualquer cálculo em dados confidenciais do lado do usuário, e
transmitir apenas o resultado da operação. Informações adicionais, como conhecimento zero
provas ou compromissos, podem ser necessários para garantir a correção das operações.
• Criptografar os dados : criptografar os dados localmente e enviar apenas a versão criptografada para outro
entidades. Se alguma operação nos dados for necessária, consulte o próximo ponto.
• Use protocolos criptográficos que preservam a privacidade : processe dados localmente para obter entradas para
um protocolo no qual, ao interagir com as entidades não confiáveis usando um dos protocolos
introduzido nas seções anteriores, o usuário pode obter ou provar informações enquanto lim-
itar a informação disponibilizada a essas entidades. Por exemplo, usando anônimo
credenciais para autenticação sem revelar a identidade ou mesmo o valor de um at-
tributo, ou usando a recuperação de informação privada para realizar uma pesquisa em um banco de dados sem
revelando a consulta ao titular do banco de dados.
• Ofuscar os dados : usar técnicas para controlar a inferência para processar os dados localmente e
envie apenas a versão perturbada para a entidade não confiável.
www.cybok.org
• Tornar os dados anônimos : processar os dados localmente para remover informações identificáveis e
envie-o para a parte não confiável por meio de um canal anônimo.
Ao buscar a minimização da confiança e usar as técnicas acima, os designers de sistemas são

obrigado a coletar, processar e reter menos dados do que com outras estratégias baseadas em
conformidade com a regulamentação. Reconhecemos que muitos sistemas e aplicativos não podem ser construídos
sem coletar alguns dados relacionados ao usuário. Para esses casos, os designers devem levar em consideração
as tecnologias de privacidade descritas na Seção. . e Seção. .. Essas técnicas, embora
exigindo confiança, ajude a minimizar o risco de uma violação e, se a violação acontecer, minimize o
impacto que a divulgação de dados pode ter para os usuários.
Avaliação de privacidade. Uma vez que as tecnologias de privacidade ou sistemas ponta a ponta tenham sido projetados,
é importante realizar uma avaliação de privacidade. Esta avaliação tem como objetivo quantificar o
nível de privacidade que a tecnologia e, respectivamente, o sistema podem fornecer.
Para tecnologias de privacidade baseadas em primitivas criptográficas, a avaliação de privacidade é normalmente

cobre as provas criptográficas que garantem que apenas as informações pretendidas vazem por
as operações. Pelo contrário, para técnicas de privacidade baseadas em ofuscação, é necessário
realizar uma análise para validar que a combinação de técnicas fornece o desejado
nível de privacidade.
Uma avaliação de privacidade sistemática geralmente consiste nas etapas a seguir. Primeiro, é preciso
modelar o mecanismo de preservação da privacidade como uma transformação probabilística. Isso estabelece
a probabilidade de que, dada uma entrada, o mecanismo de privacidade retorne uma determinada saída. Segundo,
é preciso estabelecer o modelo de ameaça, ou seja, o que o adversário pode ver e o que é ela
conhecimento prévio. Terceiro, presumindo que o adversário conhece o mecanismo, considere como ele
anularia o efeito do mecanismo de privacidade. Isso geralmente envolve fazer uma análise
das distribuições de probabilidade ou usando técnicas de inferência, como aprendizado de máquina para
calcule o que o adversário pode aprender.
No final do processo, geralmente tem-se uma distribuição que descreve a probabilidade de que o
o adversário infere cada uma das entradas possíveis. Esta distribuição de probabilidade é então usada como entrada
a uma métrica de privacidade que captura a capacidade de inferência do adversário. Nós encaminhamos o leitor
à pesquisa de Wagner e Eckhoff para uma descrição abrangente das métricas de privacidade em
a literatura [6 ]
.6 CONCLUSÕES
A proteção da privacidade, conforme descrevemos nesta área de conhecimento, não se limita a garantir
tando a confidencialidade da informação. Também requer meios para ajudar os usuários a entender
até que ponto suas informações estão disponíveis online e mecanismos para permitir que os usuários
exercer controle sobre essas informações. Descrevemos técnicas para realizar esses três
concepções de privacidade, enfatizando o modelo adversário em que operam, bem como
fornecendo diretrizes para combinar essas técnicas a fim de construir a preservação da privacidade de ponta a ponta
sistemas.
Preservar a privacidade e os direitos online não é importante apenas para os indivíduos, é essencial para
apoiar sociedades democráticas. A implantação de tecnologias de privacidade é fundamental para permitir aos usuários
livre acesso ao conteúdo e liberdade de expressão. De igual importância é evitar que qualquer
entidade obtendo uma quantidade desproporcional de informações sobre indivíduos ou grupos, a fim de
para prevenir a manipulação e abusos que podem prejudicar os valores democráticos.

www.cybok.org
Tópico Citar
. Privacidade como confidencialidade

. . Confidencialidade de dados [8, , , , ]
. . Metadados Confidencialidade [ , , ]
. Privacidade como controle
. . Suporte para configuração de configurações de privacidade [ ]
. . Suporte para negociação de política de privacidade [ ]
. . Suporte para interpretabilidade da política de privacidade [ ]
. Privacidade como transparência
. . Transparência baseada em feedback [6,6,6]
. . Transparência baseada em auditoria [6]
. Tecnologias de privacidade e valores democráticos
. . Tecnologias de privacidade como suporte para sistemas políticos democráticos [ 6, ]
. . Resistência à censura e liberdade de expressão [ ]
. Engenharia de Privacidade [6 , 6]
Página 225
II Ataques e defesas
Página 227
226
Capítulo 6
Malware e ataque
Tecnologias
Wenke Lee Georgia Institute of Technology
www.cybok.org
INTRODUÇÃO
Malware é a abreviatura de 'software malicioso', ou seja, qualquer programa que executa atividades maliciosas
laços. Usamos os termos malware e código malicioso alternadamente. Malware vem com um
ampla gama de formas e formatos, e com diferentes classificações de acordo, por exemplo, vírus,
Trojans, worms, spyware, malware de botnet, ransomware, etc.
O malware realiza muitos dos ataques cibernéticos na Internet, incluindo ciberataques nacionais
guerra, crimes cibernéticos, fraude e golpes. Por exemplo, os cavalos de Tróia podem introduzir um acesso backdoor
a uma rede governamental para permitir que invasores de um Estado-nação roubem informações classificadas. Correu-
somware pode criptografar dados no computador de um usuário, tornando-os inacessíveis para o usuário,
e só descriptografar os dados depois que o usuário pagar uma quantia em dinheiro. Malware de botnet é responsável
para muitas das negações de serviço distribuídas (DDoS) ataques, bem como spam e phishing
Atividades. Precisamos estudar as técnicas por trás do desenvolvimento e implantação de malware em
a fim de compreender melhor os ataques cibernéticos e desenvolver as contramedidas adequadas.
À medida que os riscos políticos e financeiros aumentam, a sofisticação e robustez do

os mecanismos de defesa cibernética e as tecnologias de malware e modelos de operação
também aumentaram. Por exemplo, os invasores agora usam várias técnicas de ofuscação, como
como compactação e polimorfismo, bem como metamorfismo para escapar do sistema de detecção de malware
tems [6 ], e eles configuram infraestruturas de rede adaptáveis na Internet para suportar mal-
atualizações de ware, comando e controle e outras logísticas, como trânsitos de dados roubados. Dentro
Resumindo, está se tornando mais importante, mas também mais desafiador, estudar malware.
O restante deste capítulo está organizado da seguinte forma. Forneceremos uma taxonomia de malware e
discutir suas atividades maliciosas típicas, bem como seu ecossistema e infra-estrutura de suporte
turas. Em seguida, descreveremos as ferramentas e técnicas para analisar comportamentos de malware e
métodos de detecção baseados em rede e host para identificar atividades de malware, bem como
processos e técnicas, incluindo análise forense e atribuição para responder a malware
ataques.
CONTENTE
6 UMA TAXONOMIA DE MALWARE

[6 6, c6]
Existem muitos tipos de malware [6 6] É instrutivo criar uma taxonomia para sistematizar
categorizar claramente o amplo espectro de tipos de malware. Esta taxonomia descreve o comum
características de cada tipo de malware e, portanto, pode orientar o desenvolvimento de contramedidas
seguras aplicáveis a uma categoria inteira de malware (em vez de um malware específico). Desde a
há muitas facetas de tecnologias de malware e operações de ataque, com base nas quais o malware
podem ser categorizados e nomeados, nossa taxonomia pode incluir muitas dimensões. Nós discutimos um
alguns importantes abaixo. Deve-se ter em mente que outros atributos mais especializados
também pode ser usado como arquitetura de processador alvo ou sistema operacional.
A primeira dimensão da nossa taxonomia é se o malware é autônomo (ou independente)

programa ou apenas uma sequência de instruções a serem incorporadas em outro programa. Estar sozinho
malware é um programa completo que pode ser executado por conta própria, uma vez que é instalado em um
máquina e executado. Por exemplo, worms e malware de botnet pertencem a este tipo. O
Tecnologias de malware e ataque KA | Outubro Página

www.cybok.org
o segundo tipo requer um programa host para ser executado, ou seja, ele deve infectar um programa em um computador
inserindo suas instruções no programa para que, quando o programa for executado, o malware
as instruções também são executadas. Por exemplo, vírus de macro de documentoes e navegador malicioso
plug-ins pertencem a este tipo. Em geral, é mais fácil detectar malware autônomo porque é
um programa ou um processo em execução em seu próprio direito e sua presença pode ser detectada operando
sistema ou ferramentas de segurança.
A segunda dimensão é se o malware é persistente ou transitório. A maioria dos malwares está em

paralisado no armazenamento persistente (normalmente, um sistema de arquivo) como malware autônomo ou um
infecção de outro programa que já reside no armazenamento persistente. Outro malware é
residente na memória, de forma que, se o computador for reiniciado ou o programa infectado em execução ter-
minados, ele não existe mais em nenhum lugar do sistema. Malware residente na memória pode escapar
detecção por muitos sistemas antivírus que dependem da varredura de arquivos. Esse malware transitório também
tem a vantagem de ser fácil de limpar (ou encobrir) suas operações de ataque. A tradição
forma tradicional de o malware se tornar residente na memória é remover o programa de malware (que
foi baixado e instalado anteriormente) do sistema de arquivo assim que for executado.
Abordagens mais recentes exploram ferramentas administrativas e de segurança do sistema, como PowerShell para
injetar malware diretamente na memória [6 ] Por exemplo, de acordo com um relatório [ 6 8], após
uma exploração inicial que levou à execução não autorizada do PowerShell, o código meterpreter foi
baixado e injetado na memória usando comandos do PowerShell e coletou
palavras no computador infectado.
A terceira dimensão geralmente se aplica apenas a malware persistente e categoriza malware

com base na camada da pilha do sistema em que o malware está instalado e em execução. Essas camadas,
na ordem crescente, inclui rmware, setor de inicialização, kernel do sistema operacional, drivers e
Interfaces de programação de aplicativos (APIs) e aplicativos de usuário. Normalmente, malware no
camadas inferiores são mais difíceis de detectar e remover, e causam maior destruição porque têm mais
controle do computador comprometido. Por outro lado, também é mais difícil escrever malware
que pode ser instalado em uma camada inferior, porque há maiores restrições, por exemplo, um mais limitado
ambiente de programação em termos de tipos e quantidade de código permitido.
A quarta dimensão é se o malware é executado e espalhado automaticamente ou ativado por um

ação do usuário. Quando um malware de propagação automática é executado, ele procura outras máquinas vulneráveis em
a Internet compromete essas máquinas e se instala nelas; as cópias de malware
nessas máquinas recém-infectadas, faça o mesmo imediatamente - execute e se espalhe. Obviamente,
malware de propagação automática pode se espalhar na Internet muito rapidamente, muitas vezes sendo capaz de expor
aumentar significativamente o número de computadores comprometidos. Por outro lado, ativado pelo usuário
malware é executado em um computador apenas porque um usuário acidentalmente baixa e executa,
por exemplo, clicando em um anexo ou URL em um e-mail recebido. Mais importante, quando isso
o malware é executado, embora possa 'se espalhar', por exemplo, enviando e-mail com ele mesmo como anexo
aos contatos no catálogo de endereços do usuário, esta divulgação não é bem-sucedida a menos que um usuário que
receber este e-mail ativa o malware.
A quinta dimensão é se o malware é estático ou único ou atualizado dinamicamente. A maioria

malware moderno é suportado por uma infraestrutura tal que um computador comprometido pode
receber uma atualização de software de um servidor de malware, ou seja, uma nova versão do malware está em
paralisado no computador comprometido. Do ponto de vista do invasor, há muitos benefícios
e ts de atualizar malware. Por exemplo, malware atualizado pode escapar das técnicas de detecção
que se baseiam nas características de instâncias de malware mais antigas.
A sexta dimensão é se o malware age sozinho ou faz parte de uma rede coordenada (ou seja, um
botnet) Enquanto botnets são responsáveis por muitos ataques cibernéticos, como DDoS , spam, phishing,
www.cybok.org
etc., o malware isolado se tornou cada vez mais comum nas formas de ataque direcionado.
Ou seja, o malware pode ser projetado especificamente para infectar uma organização alvo e executar
atividades maliciosas de acordo com os ativos da organização valiosos para o invasor.
A maioria dos malwares modernos usa alguma forma de ofuscação para evitar a detecção (e, portanto,
não incluímos explicitamente a ofuscação nesta taxonomia). Existe uma gama de ofuscação
técnicas e existem ferramentas disponíveis gratuitamente na Internet para um autor de malware usar.
Por exemplo, o polimorfismo pode ser usado para derrotar os métodos de detecção que são baseados em 'sig-
naturezas ou padrões de código de malware. Ou seja, os recursos de malware identificáveis são alterados
para ser exclusivo para cada instância do malware. Portanto, as instâncias de malware parecem diferentes
uns dos outros, mas todos eles mantêm a mesma funcionalidade de malware. Alguns poli-
técnicas de malware mórfico incluem embalagem, que envolve compactar e criptografar
parte do malware e reescrevendo instruções maliciosas identificáveis em outro equivalente
instruções.
ou
ou
pilha
de
anos
estar
programa
sozinho hospedeiro
persistente
transitório la sistema propagação
dinamicamente
atualizável?
automática?
coordenado?
vírus rmware persistente de programa host e superior Y Y N

malicioso
persistente aplicativo N Y Y
extensões do navegador programa de hospedagem
malware botnet Ambas persistente kernel e acima Y Y Y
residente na memória
estar sozinho transitório kernel e acima Y Y Y
malware
Tabela 6.: Uso da taxonomia para classificar malware representativo
Como ilustração, podemos aplicar essa taxonomia a vários tipos (ou nomes) de malware. Veja Ta-
ble 6.. Em particular, um vírus precisa de um programa host para ser executado porque infecta o programa host
inserindo uma sequência de código malicioso no programa. Quando o programa host é executado, o
o código malicioso é executado e, além de realizar as atividades maliciosas pretendidas, ele
pode procurar outros programas para infectar. Um vírus é tipicamente persistente e pode residir em todos os ambientes
ers da pilha do sistema, exceto hardware. Ele pode se espalhar sozinho porque pode se injetar
em programas automaticamente. Um vírus também pode ser atualizado dinamicamente, desde que possa
conectar a um servidor de atualização de malware. Um vírus de malware polimórfico pode sofrer mutação para que
novas cópias parecem diferentes, embora o algoritmo desta mutação esteja embutido em seu próprio
código. Um vírus normalmente não faz parte de uma rede coordenada porque, embora a infecção possa
afetar muitos computadores, o código do vírus normalmente não executa atividades coordenadas.
Outro malware que requer um programa host inclui plug-ins de navegador mal-intencionados e extensões
sões, scripts (por exemplo, JavaScript em uma página da web) e macros de documentos (por exemplo, vírus de macroes
e malware de PDF). Esses tipos de malware podem ser atualizados dinamicamente, de forma coordenada
rede e pode ser ofuscado.
Malware de botnet refere-se a qualquer malware que faça parte de uma rede coordenada com um botnet
infraestrutura que fornece comando e controle. Uma infraestrutura de botnet normalmente também pro
vides atualização de malware e outro suporte logístico. O malware de botnet é persistente e normalmente
ofuscado e geralmente reside nas camadas do kernel, driver ou aplicativo. Algum botnet mal-
ware requer um programa host, por exemplo, plug-ins e extensões de navegador mal-intencionados e necessidades

www.cybok.org
ativação do usuário para se espalhar (por exemplo, JavaScript malicioso). Outro malware de botnet é autônomo,
eIsso
pode se espalhar
inclui trojans, automaticamente explorando
key-loggers, ransomware, computadores
bots oude
de clique, bots usuários
spam , vulneráveis na Internet.
malware móvel, etc.
6.. Programas potencialmente indesejados (PUPs)

Um programa potencialmente indesejado (Filhote) é normalmente um trecho de código que faz parte de um útil
programa baixado por um usuário. Por exemplo, quando um usuário baixa a versão gratuita de um
aplicativo de jogo para celular, pode incluir adware, uma forma de filhote que exibe banners de anúncios no jogo
janela. Muitas vezes, o adware também coleta dados do usuário (como geolocalização, tempo gasto no
jogo, amigos, etc.) sem o conhecimento e consentimento do usuário, a fim de servir de forma mais direcionada
anúncios para o usuário para melhorar a eficácia da publicidade. Neste caso, o adware também é
considerado spyware, que é definido como um programa indesejado que rouba informações sobre um
computador e seus usuários. Filhotes estão em uma área cinzenta porque, enquanto o acordo de download
frequentemente contém informações sobre esses comportamentos questionáveis, a maioria dos usuários tende a não ler
mais detalhes e, portanto, não conseguem entender exatamente o que estão baixando.
Do ponto de vista da cibersegurança, é prudente classificar os filhotess para malware, e

essa é a abordagem adotada por muitos produtos de segurança. A simples razão é que um filhote tem
todo o potencial para se tornar um malware completo; uma vez instalado, o usuário fica à mercê
do operador PUP . Por exemplo, um spyware que faz parte de uma extensão do navegador verificador ortográfico
pode coletar informações sobre quais sites o usuário costuma visitar. Mas também pode colher usuários
informações da conta, incluindo logins e senhas. Neste caso, o spyware tornou-se
um malware de apenas um filhote.
6 ATIVIDADES MALICIOSAS POR MALWARE

[6 6, c6] [ 6, c -]
O malware codifica essencialmente as atividades maliciosas intencionadas por um invasor. Ataques cibernéticos
pode ser analisado usando o Cyber Kill Chain Model [6 ], que, conforme mostrado na Tabela 6., repre-
sentes (iterações de) etapas normalmente envolvidas em um ataque cibernético. A primeira etapa é o reconhecimento
onde um invasor identifica ou atrai os alvos potenciais. Isso pode ser feito, por
por exemplo, verificando a Internet em busca de computadores vulneráveis (ou seja, computadores que funcionam em rede
serviços, como sendmail, que apresentam vulnerabilidades conhecidas) ou o envio de e-mails de phishing para
um grupo de usuários. A próxima fase é obter acesso aos alvos, por exemplo, enviando
entrada criada para acionar uma vulnerabilidade, como uma sobrecarga de buffer no serviço de rede vulnerável
vice-programa ou incorporação de malware em uma página da web que comprometerá o navegador do usuário
e obter o controle de seu computador. Isso corresponde à Armamento e Entrega (de
explorars) etapas do modelo Cyber Kill Chain. Uma vez que o alvo está comprometido, normalmente um
outro tipo de malware é baixado e instalado; isto corresponde à instalação (de
malware) no modelo Cyber Kill Chain. Este último malware é o verdadeiro burro de carga para o
atacante e pode realizar uma ampla gama de atividades, que equivalem a ataques a:
• confidencialidade - pode roubar dados valiosos, por exemplo, informações de autenticação do usuário e
dados financeiros e de saúde;
• integridade - pode injetar informações falsas (por exemplo, enviar spam e e-mails de phishing, criar
cliques fraudulentos, etc.) ou modificar dados;
• disponibilidade - pode enviar tráfego como parte de uma negação de serviço distribuída (DDoS) ataque,
www.cybok.org
usar uma grande quantidade de recursos de computação (por exemplo, para minerar criptomoedas) ou criptografar
dados valiosos e exigem um pagamento de resgate.
Etapa Atividades
Reconhecimento Coletando endereços de e-mail,

identificando computadores e contas vulneráveis, etc.
Armamento Projetando exploits em uma carga útil de entrega.
Entrega Entregar a carga útil de exploração a uma vítima por e-mail,
Download da Web, etc.
Exploração Explorando uma vulnerabilidade e
execução de código malicioso no sistema da vítima.
Instalação Instalar malware (adicional) no sistema da vítima.
6 Comando e Controle Estabelecer um canal de comando e controle para atacantes
para comandar remotamente o sistema da vítima.
Ações sobre os objetivos Realizar atividades maliciosas no sistema e na rede da vítima.
Tabela 6.: O modelo da Cadeia de Kill Cyber
A maioria dos malwares modernos executa uma combinação dessas ações de ataque porque há
kits de ferramentas (por exemplo, um keylogger) disponíveis gratuitamente para a realização de muitas atividades "padrão" (por exemplo,
registrando senhas de usuário) [6 ], e o malware pode ser atualizado dinamicamente para incluir ou ac-
estimular novas atividades e participar de uma 'campanha' mais longa ou maior, em vez de apenas realizar
ações isoladas e pontuais. Estas são as ações sobre os objetivos do modelo Cyber Kill Chain.
Botnets exemplificam malware coordenado e de longa duração. Um botnet é uma rede de bots (ou,
computadores comprometidos) sob o controle de um invasor. Malware de botnet é executado em cada bot
e se comunica com o comando e controle do botnet (C&C) servidor regularmente para receber
instruções sobre atividades maliciosas específicas ou atualizações do malware. Por exemplo, todo
dia o servidor C&C de um botnet de spam envia a cada bot um modelo de spam e uma lista de e-mail
endereços para que, coletivamente, o botnet envie um grande número de mensagens de spam . Se o
botnet é interrompido por causa de ações de detecção e resposta, por exemplo, o servidor C&C atual está
retirado, o malware botnet já está programado para entrar em contato com um servidor alternativo e
pode receber atualizações para mudar para um botnet que usa ponto a ponto para C&C. Em geral, botnets
são bastante barulhentos, ou seja, relativamente fáceis de detectar, pois existem muitos bots em várias redes.
O Botnet C&C é um exemplo da etapa de comando e controle no modelo Cyber Kill Chain.
Em contraste com botnets, malware por trás da chamada ameaça persistente avançadas ( APTs) typ-
visam uma organização específica em vez de lançar ataques em grande escala. Para
por exemplo, pode procurar um tipo específico de controlador na organização para infectar e causar
para enviar os sinais de controle errados que levam a eventuais falhas nas máquinas. APT mal-
ware é tipicamente projetado para ser de longa duração (daí o termo 'persistente'). Isso significa que não
só recebe atualizações regulares. mas também evita a detecção, limitando seu volume de atividade e
intensidade (ou seja, 'baixa e lenta'), movendo-se pela organização (ou seja, 'movimentos laterais') e
cobrindo seus rastros. Por exemplo, em vez de enviar os dados roubados para um 'local de descarte', tudo em
uma vez, ele pode enviar um pequeno pedaço de cada vez e somente quando o servidor já estiver enviando
mate traf c; depois de terminar de roubar de um servidor, ele se move para outro (por exemplo, explorando
as relações de confiança entre os dois) e remove logs e até corrige as vulnerabilidades
no primeiro servidor.
Quando usamos o modelo Cyber Kill Chain para analisar um ataque cibernético, precisamos examinar sua ação
atividades em cada etapa. Isso requer conhecimento das técnicas de ataque envolvidas. ATT & CK
Base de Conhecimento [6 ] documenta as táticas e técnicas de ataque atualizadas com base em
observações do mundo real e é uma referência valiosa para analistas.
Tecnologias de malware e ataque KA | Outubro Página 6
www.cybok.org
6.. O Eco-Sistema Subterrâneo

As atividades de malware no início foram, em grande parte, ataques incômodos (como desfigurar ou colocar
graf ti na página web de uma organização). Os ataques de malware dos dias atuais estão se tornando totalmente desenvolvidos
guerras cibernéticas (por exemplo, ataques a infraestruturas críticas) e crimes sofisticados (por exemplo, ransomware,
ferramentas anti-vírus falsas, etc.). Um ecossistema subterrâneo também emergiu para apoiar a plena
ciclo de vida do malware que inclui desenvolvimento, implantação, operações e monetização. Dentro
neste ecossistema, existem atores especializados em partes essenciais do ciclo de vida do malware, e por
prestando seus serviços a terceiros, eles também recebem uma parte dos ganhos e recompensas (nanceiros).
Essa especialização melhora a qualidade do malware. Por exemplo, um invasor pode contratar o
melhor explorador de exploit para escrever a parte do malware responsável por comprometer remotamente
um computador vulnerável. A especialização também pode fornecer negação plausível ou, pelo menos,
limitar a responsabilidade. Por exemplo, um spammer apenas 'aluga' um botnet para enviar spam e não é culpado de
comprometer computadores e transformá-los em bots; da mesma forma, o exploit 'pesquisador' é apenas
experimentando e não sendo responsável pela criação do botnet , contanto que ele não liberou o
o próprio malware. Ou seja, embora sejam todos responsáveis pelos danos causados por malware, cada um deles carrega
apenas uma parte da responsabilidade total.
6 ANÁLISE DE MALWARE
[6 , c -] [ 6 , 6 , 6 , 6 , 6 , 6 6 , 6 , 6 , 8 , 6 , 6 , 6 , 6]
Existem muitos benefícios em analisar malware. Em primeiro lugar, podemos entender o mali pretendido
atividades importantes a serem realizadas pelo malware. Isso nos permitirá atualizar nossa rede e
sensores de endpoint para detectar e bloquear tais atividades e identificar quais máquinas têm o
malware e tomar ações corretivas, como removê-lo ou até mesmo limpar completamente o computador
computador limpo e reinstalando tudo. Em segundo lugar, analisando a estrutura do malware (por exemplo, o
bibliotecas e kits de ferramentas que inclui) e estilos de codificação, podemos obter informações
que é potencialmente útil para atribuição, o que significa ser capaz de identificar o provável autor
e operador. Terceiro, ao compará-lo com dados históricos e de localização geográfica, podemos melhor
entender e prever o escopo e a tendência dos ataques de malware, por exemplo, quais tipos de atividades
(por exemplo, criptomoedas de mineração) estão em alta e se um crime cibernético está se movendo de uma região
para outro. Em suma, a análise de malware é a base para detectar e responder a ataques cibernéticos
tachas.
A análise de malware normalmente envolve a execução de uma instância de malware em um ambiente de análise.
Existem maneiras de 'capturar' instâncias de malware nos sites de infecção. Um sensor de rede pode
examine o tráfego (por exemplo, tráfego da web, anexo de e-mail) para identificar possível malware (por exemplo, pagamento
carregar que contém dados binários ou semelhantes a programas de um site com baixa reputação) e executar
em uma caixa de areia para con rmar. Se um sensor de rede é capaz de detectar tráfego malicioso de saída
de um host interno, um sensor baseado em host pode identificar ainda mais o programa, ou seja, o malware,
responsável por tal tráfego c. Também há coleta de malware e esforços de compartilhamento onde
organizações confiáveis podem fazer upload de amostras de malware encontradas em suas redes e também receber
amostras fornecidas por outras organizações. Os pesquisadores acadêmicos normalmente podem apenas obter
amostras de malware sem a necessidade de contribuir. Ao adquirir e compartilhar malware sam-
Por favor, devemos considerar nossas responsabilidades legais e éticas cuidadosamente [6 ] Por exemplo, nós
deve proteger as identidades dos sites de infecção dos quais as amostras de malware foram capturadas
e não devemos compartilhar as amostras de malware com qualquer organização que seja um desconhecido
entidade ou que não tem o compromisso ou capacidade técnica para analisar malware
com segurança.
www.cybok.org
O pipeline de análise de malware normalmente inclui as seguintes etapas:) identificação do formato

de uma amostra de malware (por exemplo, código binário ou fonte, Windows ou Linux, etc.), análise estática
usando desmontagem (se o malware estiver em formato binário), análise de programa, análise estatística
do conteúdo do arquivo, etc., e) análise dinâmica usando um ambiente de análise. Passos e
pode ser combinado e iterado.
6.. Técnicas de Análise

A análise de malware é o processo de aprendizado de comportamentos de malware. Devido ao grande volume
e aumentando a complexidade do malware, precisamos ser capazes de analisar rapidamente as amostras em um
forma completa, confiável e escalonável. Para conseguir isso, precisamos empregar técnicas como
análise estática, análise dinâmica, execução simbólica e execução concólica [6 ] Esses
técnicas de análise de programa foram desenvolvidas para apoiar o ciclo de desenvolvimento de software
cle, e muitas vezes precisam ser personalizados ou estendidos para análise de malware porque mali-
programas ciosos geralmente incluem código construído especificamente para resistir à análise. Ou seja, o
O principal desafio na análise de malware é detectar e contornar os mecanismos de anti-análise.
6.. . Análise Estática
A análise estática envolve examinar o código (fonte, intermediário ou binário) para avaliar o
comportamentos de um programa sem realmente executá-lo [6 ] Uma ampla gama de análises de malware
técnicas se enquadram na categoria de análise estática. Uma limitação é que o resultado da análise
pode não ser consistente com os comportamentos reais do malware (em tempo de execução). Isso é porque em
muitos casos, não é possível determinar com precisão os comportamentos de um programa estaticamente (ou seja,
sem os dados reais de entrada do tempo de execução). Um problema mais sério é que os autores de malware são
bem cientes das limitações da análise estática e aproveitam a ofuscação de código e o pacote
ing para frustrar-análise estática completamente. Por exemplo, o código compactado não pode ser estaticamente
analisado porque são dados criptografados e compactados até serem descompactados em código executável
em tempo de execução.
6.. . Análise dinâmica
A análise dinâmica monitora os comportamentos de execução de malware, a fim de identificar malware

comportamentos ciosos [6 ] A análise estática pode fornecer uma cobertura mais abrangente de
comportamentos gramaticais, mas podem incluir os inviáveis. A análise dinâmica identifica o preciso
comportamentos do programa de acordo com os casos de entrada de teste, mas perde comportamentos que não são acionados por
a entrada. Além disso, a análise dinâmica pode derrotar as técnicas de ofuscação de código projetadas
para evitar a análise estática. Por exemplo, quando o malware em tempo de execução descompacta e executa seu
código compactado, a análise dinâmica é capaz de identificar os comportamentos maliciosos (em tempo de execução) no
código originalmente empacotado. Ao realizar a análise dinâmica, as principais questões a considerar
são: que tipos de comportamentos maliciosos precisam ser identificados e correspondentemente, o que
recursos de tempo precisam ser coletados e quando coletar (ou amostrar) e como isolar o
efeitos sobre o malware daqueles de componentes de sistema benignos. Normalmente, o tempo de execução
os recursos a serem coletados precisam ser de uma camada inferior do que o próprio malware no sistema
empilhar para que o malware não possa alterar as informações coletadas. Por exemplo, instrução
os rastros certamente cobrem todos os detalhes de comportamentos maliciosos, mas o volume de dados é muito grande
para análise eficiente [6 ] Por outro lado, os traços de chamada do sistema (ou chamada API ) são mais grosseiros, mas
resumir como o malware interage com o sistema de tempo de execução, incluindo I / O e rede
atividades ing [6 ] Outra vantagem da análise dinâmica é que ela é independente do
www.cybok.org
formato de malware, por exemplo, binário, script, macro ou exploit, porque todo malware é executado e
analisado de forma semelhante.
6.. . Fuzzing
Fuzzing é um método para descobrir vulnerabilidades, bugs e falhas em software por feed-
introdução aleatória de programas. Ferramentas de difusão [6 6] também pode ser usado para acionar malware
comportamentos. A difusão pode explorar o espaço de entrada, mas é limitada devido à cobertura de código
processa [6 ], especialmente para entradas que conduzem o programa a condições de ramificação complexas. Dentro
contraste, execução concólica (ver 6... Execução concólica) é bom em encontrar complexos em
coloca ao formular restrições, mas também é caro e lento. Para tirar vantagem de ambos
abordagens, uma abordagem híbrida [6 ] chamado difusão híbrida pode ser usado.
6.. . Execução Simbólica
Execução simbólica [6 , 6 , 6 , 8 , 6 , 6] foi usado para análise de vulnerabilidade de le-

programas gitimate, bem como análise de malware [6 ] Ele trata variáveis e equações como
símbolos e fórmulas que podem expressar potencialmente todos os caminhos possíveis do programa. Uma limitação
de execução concreta (ou seja, teste em entradas específicas), incluindo fuzzing, para análise de malware
ysis é que o programa deve ser executado de ponta a ponta, uma de cada vez. Ao contrário de concreto
execução, a execução simbólica pode explorar vários ramos simultaneamente. Para explorar
visto seções de código e comportamentos desdobrados, a execução simbólica generaliza o espaço de entrada
para representar todas as entradas possíveis que podem levar a pontos de interesse.
6.. . Execução Concólica
Embora a execução simbólica possa atravessar todos os caminhos em teoria, ela tem grandes limitações [6 8], por exemplo, isso
pode não convergir rapidamente (se houver) ao lidar com grandes espaços de símbolos e fórmulas complexas
las e predicados. A execução concólica, que combina a execução CONC rete e a execução OLIC do símbolo ,
pode reduzir o espaço simbólico, mas manter o espaço de entrada geral.
Claro, a Execução Concólica é uma técnica que usa traços concretos para conduzir a execução simbólica
ção; também é conhecido como um executor baseado em rastreamento [6 ] O rastreamento de execução obtido por con
a execução de creta é usada para gerar as fórmulas e restrições de caminho. As fórmulas de caminho para
o ramo correspondente é negado e as teorias do módulo de habilidade de Satis (SMT) solucionadores são
usado para encontrar uma entrada válida que pode satisfazer as ramificações não utilizadas. As entradas geradas são alimentadas
no programa e execute novamente desde o início. Esta técnica explora iterativamente a viabilidade
ramos não retirados ble encontrados durante as execuções. Requer a execução repetitiva de
todas as instruções desde o início e conhecimento do formato de entrada.
A Execução Concólica Online é uma técnica que gera restrições junto com o concreto
execução [6 ] Sempre que a execução concreta atinge um galho, se ambas as direções são viáveis,
a execução é bifurcada para funcionar em ambos os ramos. Ao contrário do executor oficial, esta abordagem pode
explorar vários caminhos.
Execução híbrida: esta abordagem alterna automaticamente entre os modos online e ine
para evitar as desvantagens de abordagens não híbridas [6 ]
Execução concólica pode usar emuladores de sistema inteiro [6 , 6] ou instrumento binário dinâmico
ferramentas de tação [6 , 6] Outra abordagem é interpretar a Representação Intermediária (IR) para
imitar os efeitos da execução [6 , 6 6] Esta técnica permite execução concólica livre de contexto
cution, que analisa qualquer parte do binário nos níveis de função e bloco básico.

www.cybok.org
Exploração de caminhos é uma abordagem sistemática para examinar os caminhos do programa. Explosão de caminho é
também inevitável na execução concólica devido à natureza do espaço simbólico. Há um va-
variedade de algoritmos usados para priorizar as direções de execução concólica, por exemplo, Depth-First
Pesquisa (DFS) ou cálculo de distância [ 6] Outra abordagem é priorizar as direções
favorecendo blocos de código recentemente explorados ou dependência de memória simbólica [6 ] Outro popular
técnicas incluem remoção de caminho, fusão de estado [6 , 6 , 6], simbólico sob restrição
execução [6 6] e suporte para fuzzing [ 6 , 6]
6.. Ambientes de Análise

A análise de malware normalmente requer um ambiente dedicado para executar a análise dinâmica
Ferramentas [6 ] A escolha do design do ambiente determina os métodos de análise que podem
ser utilizados e, portanto, os resultados e limitações da análise. Criação de um ambiente
requer um equilíbrio entre o custo necessário para analisar uma amostra de malware e a riqueza de
o relatório resultante. Neste contexto, o custo é comumente medido em termos de tempo e tempo
esforço humano ual. Por exemplo, ter um analista humano especialista estudando uma amostra manualmente
pode produzir um relatório muito aprofundado e completo, mas com alto custo. Segurança é um fator crítico
assinar consideração por causa da preocupação de que malware sendo executado e analisado no
ambiente pode escapar de sua contenção e causar danos ao sistema de análise
e sua rede conectada, incluindo a Internet (ver 6.... Segurança e ambiente ao vivo
Requisitos) Um exemplo é a execução de uma amostra de um malware de botnet que executa um DDoS
ataque e, portanto, se o ambiente de análise não for seguro, ele contribuirá para esse ataque.
Emulador de máquina Tipo hipervisor Tipo hipervisor Máquina de metal puro
É executado no sistema operacional host,

Baseado em código É executado diretamente no
fornece virtualização Sem virtualização
emulação de arquitetura hardware do sistema
serviço para hardware
Arquitetura
Fácil de usar, Fácil de usar, Transparência média,

Refinado Refinado Refinado Alta transparência, não
introspecção, introspecção, introspecção, baixo ambiente virtual
antages
Controle poderoso sobre Controle poderoso sobre sobrecarga para hardware artefatos
Advo estado do sistema o estado do sistema interação
Falta de refinamento
Baixa transparência, Baixa transparência, introspecção,
Menos controle sobre o
antages
Suporte de insegurança de Artefatos de Escalabilidade e custo
estado do sistema
semântica da arquitetura paravirtualização problemas, mais lento para
restaurar para o estado limpo
Disadv
Unicorn [6 ] , VirtualBox [6 8], VMwareESX [6 ],

NVMTrace [6 ],
QEMU [6 6], KVM [6 ], Hyper-V [6 ],
BareCloud [6 ]
Bochs [6 ] VMware [6 ] Xen [6 ]
Exemplos
Tabela 6.: Comparação de ambientes de análise de malware
A Tabela 6. destaca as vantagens e desvantagens dos ambientes comuns usados para

análise em tempo de execução (ou seja, dinâmica) de malware. Podemos ver que algumas arquiteturas são fáceis
ier para configurar e fornecer controle ner sobre a execução do malware, mas vem ao custo de
transparência (ou seja, eles são mais fáceis de serem detectados pelo malware) em comparação com os outros. Para
por exemplo, sistemas bare-metal são muito difíceis de serem detectados por malware, mas porque eles não têm
instrumentação, os dados que podem ser extraídos são normalmente limitados a E / S de rede e de disco.
www.cybok.org
Por outro lado, emuladores como o QEMU podem gravar todas as instruções executadas e inspecionar livremente
memória. No entanto, o QEMU também tem erros que não existem no hardware real, que podem ser
explorado para detectar sua presença [6 ] Uma grande porcentagem de detecção de malware moderno
ambientes emulados e virtualizados e se o fizerem, então eles não executam seu mali-
ações conscientes para evitar análises.
6.. . Requisitos de Segurança e Ambiente Vivo
Claramente, a segurança é muito importante ao projetar um ambiente de análise de malware porque

não podemos permitir que malware cause danos não intencionais à Internet (por exemplo, através da montagem de um
ataque de negação de serviço de dentro do ambiente de análise) e o sistema de análise e
sua rede conectada. Infelizmente, embora sejam técnicas puras estáticas, ou seja, análise de código com
fora da execução do programa, são os mais seguros, eles também têm limitações severas. Em particular, malware
os autores sabem que seu código pode ser capturado e analisado, e eles empregam ofuscação de código
técnicas para que a análise de código por si só (ou seja, sem realmente executar o malware) produza
o mínimo de informações possível.
O malware normalmente requer comunicação com um ou mais servidores C&C na Internet,

por exemplo, para receber comandos e descriptografar e executar sua 'carga' (ou o código que executa
as atividades maliciosas pretendidas). Este é apenas um exemplo que destaca como o design
de um ambiente ativo é importante para o malware estar ativo e, assim, exibir seu
funcionalidade. Outros exemplos de requisitos de ambiente ativo incluem tempo de execução específico li-
braries [6 6], atividades reais do usuário na máquina infectada [ 6], e conectividade de rede para
servidores de atualização de malware [6 8]
6.. . Ambientes de rede virtualizados
Dados os requisitos de segurança e ambiente ativo, a maioria dos ambientes de análise de malware
são construídos usando tecnologias de virtualização. A virtualização permite sistemas operacionais
para gerenciar de forma automática e eficiente redes inteiras de nós (por exemplo, hosts, switches), até mesmo
dentro de uma única máquina física. Além disso, as políticas de contenção podem ser aplicadas em cima de
os ambientes virtuais para equilibrar o ambiente vivo e os requisitos de segurança para) permitir
malware para interagir com a Internet para fornecer o realismo necessário e) conter qualquer
atividades maliciosas que podem causar danos indesejados ou efeitos colaterais.
Arquiteturas de exemplo [6 ] incluem:) o sistema GQ, que é projetado com base em vários
servidores de contenção e um gateway central que os conecta com a Internet permitindo
filtrar ou redirecionar o tráfego de rede com base no fluxo e) o sistema Potemkin,
que é um protótipo de uma fazenda de mel que usa compartilhamento agressivo de memória e vincula dinamicamente
recursos físicos para solicitações externas. Essas arquiteturas são usadas não apenas para monitorar, mas
também reproduz comportamentos no nível da rede. Para este fim, primeiro precisamos fazer a engenharia reversa do
Protocolo C&C usado por malware. Existem várias abordagens baseadas em dados de nível de rede
(por exemplo, Roleplay [6 ], que usa algoritmos de alinhamento de fluxo de bytes) ou análise dinâmica de
execução de malware (por exemplo, Polyglot e Dispatcher [6 ]), Ou uma combinação de ambos.

www.cybok.org
6.. Técnicas de anti-análise e evasão

Os autores de malware estão bem cientes de que os analistas de segurança usam a análise do programa para identificar malwares
comportamentos de ware. Como resultado, os autores de malware empregam várias técnicas para fazer malware
difícil de analisar [6 ]
6.. . Evitando os métodos de análise
O código-fonte do malware muitas vezes não está disponível e, portanto, a primeira etapa da análise estática
sis é desmontar o binário do malware em código assembly. Os autores de malware podem aplicar uma variedade
de técnicas anti-desmontagem (por exemplo, reutilizando um byte) para fazer com que as ferramentas de análise de desmontagem
produzir uma listagem de código incorreta [6 ]
A técnica de ofuscação de código mais geral e comumente usada é empacotar, isto é, com
pressionando e criptografando parte do malware. Alguns binários compactados trivialmente podem ser descompactados
com ferramentas simples e analisadas estaticamente [6 ], mas para a maioria dos malwares modernos, o pacote
o código é descompactado apenas quando necessário durante a execução do malware. Portanto, uma descompactação
ferramenta precisa analisar a execução do malware e considerar as compensações de robustez, desempenho
mance e transparência. Por exemplo, desempacotadores com base na introspecção da máquina virtual
(VMI) [ 6 8] são mais transparentes e robustos, mas também mais lentos. Por outro lado, desempacotadores construídos em
instrumentação binária dinâmica (DBI) [ 6] são mais rápidos, mas também mais fáceis de detectar porque o
O código DBI é executado no mesmo nível de privilégio do malware.
Muitas técnicas visam ofuscar os controles pretendidos de um malware, por exemplo, adicionando
blocos mais básicos e arestas para seu gráfico de controle [6 , 6 , 6] Uma contramedida é
analisar amostras de malware por seus recursos dinâmicos (ou seja, o que um malware faz). A razão
é que a análise estática pode ser impossibilitada por meio de ofuscação avançada usando con
stants [6 ], que permite ao invasor ocultar quais valores serão carregados nos registros durante
tempo de execução. Isso, por sua vez, torna muito difícil para a análise estática de malware extrair o controle
gráfico e variáveis do binário. Uma abordagem mais eficaz é combinar estática e corante
análise dinâmica. Por exemplo, tal abordagem demonstrou ser capaz de desmontar
o código binário altamente ofuscado [6 ]
Uma técnica de ofuscação menos comum, mas muito mais potente, é a emulação de código. Pedindo emprestado
técnicas originalmente projetadas para fornecer proteção de direitos autorais de software [6 6], malware auu-
thors convertem binários de malware nativos em programas de bytecode usando um gerado aleatoriamente
conjunto de instruções, emparelhado com um emulador binário nativo que interpreta o conjunto de instruções. Que
é, com esta abordagem, o malware 'binário' é o emulador, e o código original do malware
torna-se 'dados' usados pelo programa emulador. Observe que, para o mesmo malware original, o
o autor do malware pode transformá-lo em muitas instâncias de instâncias de malware emuladas, cada uma com
seu próprio conjunto de instruções de bytecode aleatório e um binário de emulador correspondente. É extremamente
difícil de analisar malware emulado. Em primeiro lugar, a análise estática do código do emulador não produz informações
informações sobre os comportamentos específicos do malware, porque o emulador processa todos os possíveis
programas no conjunto de instruções bytecode. A análise estática do bytecode do malware envolve primeiro
compreender o formato do conjunto de instruções (por exemplo, analisando estática o emulador primeiro), e de-
ferramentas de veloping para o conjunto de instruções; mas este processo precisa ser repetido para cada instância
de malware emulado. Em segundo lugar, a análise dinâmica padrão não é diretamente útil porque
observa as instruções de tempo de execução e os comportamentos de um emulador e não do malware.
Uma abordagem de análise dinâmica especializada é necessária para analisar malware emulado [6 ] O
a ideia principal é executar o emulador de malware e registrar todos os traços de instrução. Ap-
aplicando o fluxo de dados dinâmicos e técnicas de análise de contaminação a esses rastros, identificamos os dados
www.cybok.org
regiões contendo o bytecode, informações sintáticas mostrando como os bytecodes são analisados
em opcodes e operandos e informações semânticas sobre instruções de transferência de controle.
A saída desta abordagem são estruturas de dados, como um gráfico de controle (CFG) do
malware, que fornece a base para a análise de malware subsequente.
O malware geralmente usa técnicas de impressão digital para detectar a presença de um ambiente de análise
ment e evadir a análise dinâmica (por exemplo, para de executar o código de malware pretendido). Mais
geralmente, os comportamentos de malware podem ser "baseados em gatilhos", em que um gatilho é uma condição de tempo de execução
isso deve ser verdade. Exemplos de condições incluem a data e hora corretas, a presença de
certos arquivos ou diretórios, uma conexão estabelecida com a Internet, a ausência de uma
ci c mutex object etc. Se uma condição não for verdadeira, o malware não executa o pretendido
lógica maliciosa. Ao usar a análise dinâmica padrão, as entradas de teste não são garantidas
para acionar algumas dessas condições e, como resultado, os comportamentos de malware correspondentes
pode ser perdido. Para descobrir comportamentos baseados em gatilhos, uma abordagem de análise de múltiplos caminhos [6 ]
explora vários caminhos de execução de um malware. O analisador monitora como o malware
o código usa entradas semelhantes a condições para tomar decisões de controle. Para cada ponto de decisão, o
analisador faz um instantâneo do estado atual de execução do malware e permite que o malware
para executar o caminho correto do malware para o valor de entrada fornecido; por exemplo, o valor de entrada
sugere que a condição de acionamento não foi atendida e o caminho do malware não inclui o
lógica maliciosa pretendida. O analisador então volta para o instantâneo e reescreve o
valor de entrada para que o outro ramo seja obtido; por exemplo, agora a condição de acionamento é
reescrito para ser verdade, e o ramo do malware é a lógica maliciosa pretendida.
6.. . Identificando os Ambientes de Análise
O malware costuma usar artefatos de sistema e rede que sugerem que está sendo executado de forma anal
ambiente ysis em vez de um sistema real infectado [6 ] Esses artefatos são principalmente gatos
egorized em quatro classes: virtualização, ambiente, introspecção de processo e usuário. Dentro
virtualização ngerprinting, malware evasivo tenta detectar que está sendo executado em um
meio Ambiente. Por exemplo, ele pode usar o teste da pílula vermelha [6 ], que envolve a execução de
Sequências de instrução da CPU que causam sobrecarga, distorções de tempo únicas e discrepâncias
quando comparado com execuções em um sistema bare-metal (ou seja, não virtualizado). Em relação ao en-
artefatos ambientais, máquinas virtuais e emuladores têm hardware e software exclusivos pa-
parâmetros, incluindo modelos de dispositivos, valores de registro e processos. Em processo de introspecção,
malware pode verificar a presença de programas específicos em sistemas operacionais, incluindo
ferramentas de monitoramento fornecidas por empresas de antivírus e fornecedores de máquinas virtuais. Por último, usuário
artefatos incluem aplicativos específicos, como um navegador da web (ou a falta dele), histórico de navegação na web
história, arquivos usados recentemente, prompts de usuário interativos, atividades de mouse e teclado, etc.
são sinais para saber se um ser humano real usa o ambiente para tarefas significativas.
Um ambiente de análise não é transparente se pode ser detectado por malware. Existem mitiga-
técnicas de manipulação, alguns abordam tipos específicos de evasão, enquanto outros aumentam de forma mais ampla
transparência. Modi cações binárias podem ser realizadas removendo ou reescrevendo dinamicamente
instruções para evitar a detecção [6 8], e artefatos ambientais podem ser ocultados de mal-
ware ligando funções do sistema operacional [6 ] Abordagens de exploração de caminhos [ 6 , 66]
forçar a execução do malware para baixo de vários ramos condicionais para contornar a evasão. Hypervisor-
abordagens baseadas [6 8 , 66] usam ferramentas de introspecção com mais privilégios do que malware, portanto
que eles podem ser ocultados do malware e fornecer as respostas esperadas para o malware
quando verifica o sistema e os artefatos de rede. A fim de fornecer o maior nível de
transparência, várias abordagens [6 , 6] realizar análises de malware em máquinas reais para
evite a introdução de artefatos.

www.cybok.org
6 DETECÇÃO DE MALWARE
[6 , c, c - 6, c 8] [ 66 , 66 , 66 , 66 , 666 , 66 , 668 , 66 , 6 , 6 , 6]
6.. Identificar a presença de malware

O processo de localização de um programa malicioso residente em um host envolve a identificação de pistas
que são indicativos da presença do malware em um sistema de computador. Chamamos essas pistas
'indicador de compromisso', e eles são os' recursos 'ou' artefatos 'do malware.
6.. . Encontrar malware em um palheiro
A fim de identificar malware, devemos primeiro ter uma compreensão de como o malware é distribuído
homenageados aos anfitriões de suas vítimas. O malware é comumente distribuído por meio de um down-
carregar [6 ] Um programa vulnerável voltado para a Internet em execução em um computador pode ser explorado para
baixar malware no computador. Um usuário no computador pode ser socialmente projetado
para abrir um anexo de e-mail ou visitar uma página da web, ambos podem levar a uma exploração e malware
download.
Enquanto é baixado para um host, o conteúdo do malware pode ser visto na carga útil
seção do tráfego de rede (ou seja, pacote de rede) [6 ] Como defesa, um antivírus ( AV) tão-
lution, ou sistema de detecção de intrusão (IDS), pode analisar cada pacote de rede transportado para
um host final para conteúdo malicioso conhecido e bloqueia (impede) o download. No outro
Por outro lado, o conteúdo de tráfego criptografado como HTTPS é amplamente e cada vez mais adotado pelos sites.
Usando sistemas de reputação de domínio [6 ], tráfego de rede proveniente de domínios e anúncio de IP
vestidos conhecidos por estarem associados a atividades maliciosas podem ser bloqueados automaticamente com
analisando a carga útil do tráfego.
Depois de ser instalado em um computador, o malware pode residir no sistema de arquivos ou memória do host
ory (ou ambos). Neste ponto, o malware pode dormir (onde o executável não faz nada para o
sistema) até um momento posterior [6 ] conforme especificado pelo autor do malware. Um AV ou IDS pode
verifique periodicamente o sistema de arquivos e a memória do host em busca de programas maliciosos conhecidos [6 ] Como
uma primeira camada de defesa, os detectores de malware podem analisar recursos estáticos que sugerem
conteúdos executáveis. Estes incluem características de instruções, gráficos de controle, chamadas
gráficos, padrões de valor de byte [6 6] etc.
Se o malware não for detectado durante seu estado de distribuição, ou seja, um sistema de detecção perderá seu
presença nas cargas úteis do tráfego de rede ou no sistema de arquivos e na memória do host final,
ele ainda pode ser detectado quando é executado e, por exemplo, começa a contatar seu comando-
e controle (C&C) servidor e executando ações maliciosas na Internet ou na vítima
sistema de computador. Um AV ou IDS no perímetro da rede monitora continuamente a rede
pacotes viajando para fora de um host final. Se o AV ou IDS vê que o host está contatando conhecido
nomes de domínio ou endereços IP maliciosos, pode-se supor que o host foi infectado por
malware. Além disso, um AV ou IDS no host final pode procurar padrões de comportamento que são
associado a atividades de malware conhecidas, como chamadas de sistema ou API que revelam o
lidos ou escritos.
www.cybok.org
Evasão e contramedidas, pois as soluções antivírus e IDS podem gerar assinaturas

para executáveis de malware, os autores de malware costumam transformar o conteúdo de seu malware. Eles
pode alterar o conteúdo dos executáveis enquanto gera cópias funcionais idênticas de
seu malware (ou seja, o malware executará os mesmos comportamentos dinâmicos quando executado).
Uma vez que seu conteúdo estático foi alterado, o malware pode escapar de um AV ou IDS que usa
esses recursos estáticos. Por outro lado, o malware ainda pode ser detectado por um AV ou IDS
que usa os recursos dinâmicos (ou seja, o que o malware faz).
Heurísticas, por exemplo, assinaturas de uma ferramenta de empacotamento , ou alta entropia devido à criptografia, podem ser usadas
para detectar e bloquear conteúdos que sugerem a presença de malware compactado, mas isso pode levar
a alarmes falsos porque a embalagem também pode ser usada por software e serviços benignos, como
videogames, para proteger informações proprietárias. A maneira mais confiável de detectar mal embalados
ware é simplesmente monitorar seus comportamentos em tempo de execução porque o código compactado será descompactado
e executados, e os comportamentos maliciosos correspondentes podem então ser identificados [66 ]
Além de alterar o executável do malware, um invasor também pode alterar o conteúdo do

seu tráfego de rede malicioso usando polimorfismo para modificar cargas úteis de modo que o mesmo at-
as tachas parecem diferentes em várias capturas de tráfego. No entanto, o malware polimórfico clássico
técnicas [6 ] fazem as cargas parecerem tão diferentes que mesmo um IDS ingênuo pode facilmente diferir-
separá-los de cargas úteis benignas. Por outro lado, com a combinação de malware polimórfico
ataques [66 ] cargas úteis maliciosas podem ser feitas para parecer estatisticamente semelhantes a cargas úteis benignas.
Os autores de malware geralmente implementam rotinas de atualização, semelhantes a atualizações para sistemas operacionais
tems e aplicativos, como navegadores da web e ferramentas de escritório. Isso permite que os autores de malware
a flexibilidade de fazer alterações no malware para não incluir apenas novas atividades maliciosas
mas também evita a detecção por AVse IDS que começaram a usar padrões do malware antigo
e seus antigos comportamentos.
6.. Detecção de ataques de malware

Discutimos maneiras de identificar padrões estáticos e de comportamento de malware, que podem
em seguida, ser usado para detectar instâncias do mesmo malware ou de malware semelhante. Embora muitos populares
variantes de famílias de malware já existiram em um momento ou outro (por exemplo, Zeus [6 8 , 6], Espião-
olho [68 , 68], Mirai [ 68]), sempre haverá novas famílias de malware que não podem ser detectadas
por modelos de detecção de malware (como assinaturas AV ). Portanto, precisamos ir além da identidade
identificação de instâncias específicas de malware: precisamos detectar atividades maliciosas em geral.
6.. . Monitoramento baseado em host e em rede
A abordagem mais geral para detectar atividades maliciosas é a detecção de anomalias [66 , 66 ,
68 ] Uma anomalia no sistema ou comportamento da rede é uma atividade que se desvia do normal (ou
visto) comportamento. A detecção de anomalias pode identificar ataques antigos e novos. É importante
observar que um comportamento anômalo não é o mesmo que um comportamento malicioso . Anômalo
comportamentos descrevem comportamentos que se desviam da norma e, claro, é possível
ter atividades benignas anormais ocorrendo em um sistema ou rede.
Por outro lado, uma abordagem mais eficiente e indiscutivelmente mais precisa para detectar um antigo
ataque é encontrar os padrões ou assinaturas das atividades de ataque conhecidas [6 ] Isso é frequente
chamada de abordagem de detecção de uso indevido. Exemplos de assinaturas incluem: gravação não autorizada
para arquivos de sistema (por exemplo, Registro do Windows), conexão com servidores botnet C&C conhecidos , etc.
Duas abordagens diferentes, mas complementares para implantar sistemas de detecção de ataques são:)

www.cybok.org
monitoramento de atividades do sistema com base em host e) monitoramento de tráfego com base em rede. Hospedeiro-
sistemas de monitoramento baseados monitoram atividades que ocorrem em um host, para determinar se o host
está comprometido. Esses sistemas normalmente coletam e monitoram atividades relacionadas ao arquivo
sistema, processos e chamadas de sistema [6 , 666] Análise de sistemas de monitoramento baseados em rede
atividades que abrangem toda a rede, por exemplo, características temporais dos padrões de acesso da rede
tráfego, os nomes de domínio que os hosts da rede alcançam, as características do
cargas úteis de pacotes de rede que cruzam o perímetro da rede, etc. [6 , 66]
Vejamos vários exemplos de atividades maliciosas e a aplicação de detecção correspondente

proaches. Os sistemas de detecção de spam de primeira geração focados na análise de con
tendas para distinguir mensagens legítimas de spam. Os sistemas mais recentes incluíam nível de rede
comportamentos indicativos de tráfego de spam [68 ], por exemplo, picos nos volumes de tráfego de e-mail devido a grandes
quantidade de mensagens de spam enviadas.
Para a detecção de DDoS , a ideia principal é analisar as propriedades estatísticas do tráfego, por exemplo, o
número de solicitações em um curto intervalo de tempo enviadas a um servidor de rede. Uma vez que um hospedeiro é
identi cado para estar enviando esse tráfego, é considerado como participante de um ataque DDoS e
seu tráfego está bloqueado. Os invasores desenvolveram suas técnicas para ataques DDoS , em particular,
ao empregar vários hosts comprometidos, ou bots, para enviar tráfego de maneira sincronizada,
por exemplo, usando kits de malware DDoS-as-a-service [68 ] Ou seja, cada bot não precisa mais
enviar uma grande quantidade de tráfego c. Da mesma forma, a detecção de DDoS envolve hosts correlacionados
que enviam tráfego muito semelhante para a vítima ao mesmo tempo.
Para a detecção de ransomware , as principais abordagens incluem o monitoramento das atividades do host envolvidas
na criptografia. Se houver um processo fazendo um grande número de modificações signi cativas em um
grande número de arquivos, isso é indicativo de um ataque de ransomware [686] A modificação ' significativa '
cações refletem o fato de que criptografar um arquivo resultará na mudança drástica de seu conteúdo
de seu conteúdo original.
As abordagens de monitoramento baseadas em host e em rede podem ser combinadas de forma benéfica. Para
exemplo, se virmos o conteúdo de vários arquivos confidenciais em nosso sistema (por exemplo, registros financeiros,
arquivos relacionados à senha, etc.) sendo transmitidos no tráfego da rede, é indicativo de que os dados são
sendo extraído (sem o conhecimento e consentimento do usuário) para o servidor de um invasor. Nós
pode então aplicar ferramentas de análise baseadas em host para determinar a proveniência do ataque e
efeitos no hospedeiro da vítima [68 ]
Uma vez que muitas atividades maliciosas são realizadas por botnets, é importante incluir botnet
métodos de detecção. Por definição, os bots do mesmo botnet são controlados pelo mesmo invasor
e realizar atividades maliciosas coordenadas [668 , 688] Portanto, uma abordagem geral para
A detecção de botnet é para procurar atividades sincronizadas tanto em C&C como tráfego e mal-intencionado
tráfego (por exemplo, verificação, spam , DDoS, etc.) nos hosts de uma rede.
www.cybok.org
6.. . Análise de segurança baseada em aprendizado de máquina
Desde o final dos anos, o aprendizado de máquina (ML) foi aplicado para automatizar o processo de
construção de modelos para detecção de malware e ataques. O benefício do aprendizado de máquina é seu
capacidade de generalizar sobre uma população de amostras, dadas várias características (descrições) de
essas amostras. Por exemplo, depois de fornecer amostras de algoritmo de ML de diferentes malwares
famílias para 'treinamento', o modelo resultante é capaz de classificar malware novo e invisível como pertencente
para uma dessas famílias [66 ]
Ambos os recursos estáticos e dinâmicos de malware e ataques podem ser empregados pelo ML-Sediada
modelos de detecção. Exemplos de recursos estáticos incluem: instruções, gráficos de controle,
gráficos de chamadas, etc. Exemplos de recursos dinâmicos incluem: sequências de chamadas do sistema e outros
estatísticas (por exemplo, frequência e existência de chamadas de sistema), parâmetros de chamada de sistema, fluxo de dados
gráficos [68 ], recursos de carga útil da rede, etc.
Um exemplo de histórias de sucesso na aplicação de aprendizado de máquina para detectar malware e ataques é
detecção de botnet [6 ] Técnicas de ML foram desenvolvidas para classificar nomes de domínio com eficiência
como os produzidos pelo Algoritmo de Geração de Domínio (DGA), Domínios C&C ou legítimos do-
rede elétrica usando recursos extraídos do tráfego DNS c. Técnicas de ML também foram desenvolvidas
para identificar servidores C&C , bem como bots em uma rede corporativa com base em recursos derivados
de dados de tráfego de rede [668]
Um grande obstáculo na aplicação do aprendizado de máquina (clássico) à segurança é que devemos selecionar
ou até mesmo recursos de engenharia que são úteis na classificação de atividades benignas e maliciosas. Fea-
engenharia de segurança é muito intensiva em conhecimento e trabalho e é o gargalo na aplicação
ML para qualquer domínio de problema. O aprendizado profundo tem se mostrado promissor no aprendizado de um grande
quantidade de dados sem muita engenharia de recursos e já tem grande sucesso em aplicativos
ções como classificação de imagem [6 ] No entanto, ao contrário de muitos modelos clássicos de ML (como
árvores de decisão e regras indutivas) que são legíveis por humanos e, portanto, revisáveis por
analistas de ridade antes de tomar decisões de implantação, modelos de caixa preta de resultados de aprendizagem profunda
que não são legíveis e não facilmente explicáveis. Muitas vezes não é possível entender o que
recursos estão sendo usados (e como) para chegar a uma decisão de classificação. Ou seja, com profundidade
aprendizagem, os analistas de segurança não podem mais verificar se a saída faz sentido a partir do
ponto de vista do domínio ou conhecimento especializado.
6.. . Evasão, contramedidas e limitações
Os invasores estão bem cientes dos métodos de detecção que foram desenvolvidos e estão
empregando técnicas de evasão para tornar seus ataques difíceis de detectar. Por exemplo, eles podem
limitar o volume e a intensidade das atividades de ataque para ficar abaixo do limite de detecção, e
eles podem imitar comportamentos legítimos do usuário, como o envio de dados roubados (uma pequena quantidade em um
tempo) para um 'site drop' apenas quando o usuário também estiver navegando na Internet. Cada uso indevido ou anomalia
modelo de detecção é potencialmente evadível.
Ele também deve vir como nenhuma surpresa que há pesquisadores mais cedo tinha começado usando ML do que
os atacantes começaram a encontrar maneiras de derrotar o MLmodelos de detecção baseados em
Um dos ataques mais famosos é o ataque de mimetismo a modelos de detecção baseados em sistema
dados da chamada [6 ] A ideia é simples: o objetivo é transformar recursos maliciosos para parecer exatamente
o mesmo que os recursos benignos, de modo que os modelos de detecção classificarão erroneamente o
ataque como benigno. O ataque de mimetismo insere chamadas de sistema que são irrelevantes para o
tendeu ações maliciosas para que as sequências resultantes, enquanto continha chamadas de sistema para
atividades maliciosas ainda são legítimas porque tais sequências existem em programas benignos. UMA
www.cybok.org
ataque relacionado é combinação polimórfica [66 ] que pode ser usado para evitar modelos de ML com base em
estatísticas de carga útil da rede (por exemplo, a distribuição de frequência de n-gramas em dados de carga útil para um
serviço de rede). Uma carga de ataque pode ser codificada e preenchida com n-gramas adicionais para
que corresponda às estatísticas de cargas úteis benignas. Injeção de ruído direcionado [6 ] é um ataque
projetado para enganar um algoritmo de aprendizado de máquina, enquanto treina um modelo de detecção, para se concentrar em
recursos que não pertencem a atividades maliciosas. Este ataque explora um ponto fraco fundamental
ness of machine learning: lixo entra, lixo sai. Ou seja, se você fornecer um aprendizado de máquina
dados ruins do algoritmo, então ele aprenderá a classificar os dados 'ruins'. Por exemplo, um invasor pode
inserir vários recursos no-op nos dados de carga útil do ataque, o que produzirá estatisticamente um
sinal forte para o algoritmo de ML para selecioná-los como 'os recursos importantes e distintivos'.
Enquanto esses recursos existirem e estiverem sob o controle do invasor, qualquer algoritmo de ML
pode ser enganado para aprender um modelo de detecção incorreto. A injeção de ruído também é conhecida como 'dados
Envenenamento 'na comunidade de aprendizado de máquina.
Podemos tornar os ataques ao ML mais difíceis de serem bem-sucedidos. Por exemplo, uma abordagem é espremer
recursos [6 ] para que o conjunto de recursos não seja tão óbvio para um invasor, e o invasor tenha
um alvo menor para acertar ao criar amostras adversárias. Outra abordagem é treinar sep-
arating classes, que distanciam o limite de decisão entre as classes [6 ] Isto faz
é mais difícil para um invasor simplesmente fazer pequenas alterações nos recursos para 'pular'
limites de decisão e fazer com que o modelo classifique incorretamente a amostra. Outro aplicativo interessante
proach é fazer com que um modelo de ML esqueça as amostras que aprendeu ao longo do tempo, para que um invasor
tem que envenenar continuamente cada conjunto de dados [6 ]
Uma abordagem mais geral é empregar uma combinação de diferentes ML- com base em modo de detecção
els, de modo que derrotar todos eles simultaneamente é muito desafiador. Por exemplo, podemos
modelar vários conjuntos de recursos simultaneamente por meio de aprendizagem de conjunto, ou seja, usando vários
classificadores treinados em diferentes conjuntos de recursos para classificar uma amostra, em vez de confiar em um único
classificador lar e conjunto de recursos. Isso forçaria um invasor a criar ataques que podem
evadir cada classificador e conjunto de recursos [6 ]
Como discutido anteriormente, algoritmos de aprendizagem profunda produzem modelos que não podem ser facilmente examinados
ined. Mas se não entendemos como um modelo de detecção realmente funciona, não podemos prever
como os invasores podem tentar derrotá-lo e como podemos melhorar sua robustez. Aquilo é um
modelo que aparentemente funciona muito bem com os dados vistos até agora pode, na verdade, ser muito facilmente
derrotado no futuro - simplesmente não temos como saber. Por exemplo, no reconhecimento de imagem
descobriu-se que alguns modelos de aprendizagem profunda focavam em sinais de imagem de alta frequência (que
não são visíveis ao olho humano), em vez das informações estruturais e contextuais de um
imagem (que é mais relevante para identificar um objeto) e, como resultado, uma pequena mudança no
os dados de alta frequência são suficientes para causar uma classificação incorreta por esses modelos, enquanto para
o olho humano, a imagem não mudou em nada [6 ]
Existem abordagens promissoras para melhorar a 'explicabilidade' dos modelos de aprendizagem profunda. Para
exemplo, um modelo de atenção [6 6] pode destacar locais dentro de uma imagem para mostrar qual por-
ções em que está se concentrando ao classificar a imagem. Outro exemplo é LEMNA [6 ], que
gera um pequeno conjunto de recursos interpretáveis a partir de uma amostra de entrada para explicar como o
ple é classificado, essencialmente aproximando uma área local da complexa decisão de aprendizagem profunda
limite usando um modelo interpretável mais simples.
Nas comunidades de aprendizado de máquina e segurança, o aprendizado de máquina adversário [6 8]

é e continuará a ser uma área de pesquisa muito importante e ativa. Em geral, os ataques a
o aprendizado de máquina pode ser categorizado como envenenamento de dados (ou seja, injetar ruído malicioso em
dados de treinamento) e evasão (ou seja, transformar a entrada para causar classificação incorreta). O que nós
www.cybok.org
discutimos acima são apenas exemplos de ataques de evasão e envenenamento em modelos de ML para
análise de segurança. Esses ataques motivaram o desenvolvimento de um novo aprendizado de máquina
paradigmas que são mais robustos contra manipulações adversárias, e discutimos
aqui exemplos de abordagens promissoras.
Em geral, a detecção de ataques é um problema muito desafiador. Um método de detecção de uso indevido que
é baseado em padrões de ataques conhecidos geralmente não é eficaz contra novos ataques ou mesmo
novas variantes de ataques antigos. Um método de detecção de anomalias que é baseado em um programa normal
pode produzir muitos alarmes falsos porque muitas vezes é impossível incluir todos os legítimos
comportamentos em um per l normal. Embora o aprendizado de máquina possa ser usado para produzir automaticamente
modelos de detecção, potencial 'desvio de conceito' pode tornar os modelos de detecção menos eficazes ao longo
Tempo [6 ] Ou seja, a maioria dos algoritmos de aprendizado de máquina pressupõe que os dados de treinamento e o
os dados de teste têm as mesmas propriedades estatísticas, ao passo que, na realidade, os comportamentos do usuário e
as configurações de trabalho e sistema podem mudar depois que um modelo de detecção é implantado.
6 RESPOSTA A MALWARE
[, , , , , ]
Se tivermos um host infectado à nossa frente, podemos remover o malware e recuperar os dados
e serviços de backups seguros. No ponto de acesso da rede local, podemos atualizar a correspondência
seguindo as regras do Firewall e do Sistema de Detecção de Intrusão de Rede, para prevenir e detectar o futuro
ataques. É inviável executar essas estratégias de remediação se as máquinas infectadas puderem
não podem ser acessados diretamente (por exemplo, eles estão em residências particulares), e se a escala de infecção é
ampla. Nesses casos, podemos tentar derrubar o comando e controle do malware (C&C)
infraestrutura em vez disso [, ], normalmente no Provedor de Serviços de Internet ( ISP) ou o nível superior
domínio (TLD) nível. As remoções visam interromper o canal de comunicação do malware, mesmo que
os hospedeiros permanecem infectados. Por último, mas não menos importante, podemos realizar atribuição de ataque usando vários
fontes de dados para identificar os atores por trás do ataque.
6.. Interrupção das operações de malware

Existem vários tipos de remoção para interromper as operações de malware. Se o malware usa
nomes de domínio para pesquisar e se comunicar com servidores C&C centralizados , realizamos
remoção de domínios C&C por 'afundamento'os domínios, ou seja, tornando os domínios C&C re-
resolver para os servidores do defensor para que o tráfego do botnet fique 'preso' (ou seja, redirecionado) para esses
servidores [ ] Se o malware usar ponto a ponto ( PP) protocolo como um mecanismo C&C descentralizado
anismo, podemos particionar o botnet PP em sub-redes isoladas, criar um nó soterrado ,
ou envenenar o canal de comunicação emitindo comandos para interromper a atividade maliciosa
laços [] . No entanto, deve-se ter em mente que, na maioria dos territórios defesa ativa ou inteli-
coleta de dados, como hack-backs, acesso ou modificação de servidores, DNS ou redes,
é ilegal sem a autoridade legal apropriada.
Página 246
www.cybok.org
6.. . Evasão e contramedidas
O malware frequentemente utiliza a agilidade fornecida pela rede DNS fast-ux e pelo Domain-name Gener-
Algoritmos de ação (DGAs) para evitar a queda. Uma rede DNS rápida aponta o C&C
nomes de domínio para um grande grupo de máquinas comprometidas, e as alterações de resolução
rapidamente [ ] DGAs fazem uso de um algoritmo para gerar automaticamente os candidatos C&C do-
principal, geralmente com base em alguma semente aleatória. Entre os domínios gerados por algoritmo, o
o botmaster pode escolher alguns para registrar (por exemplo, diariamente) e fazê-los resolver para o C&C
servidores. O que torna a situação ainda pior são os chamados Bullet-Proof Hosting (BPH) Serviços,
que são resilientes contra remoções porque ignoram reclamações de abuso e remoções
solicitações de [ ]
Podemos detectar o uso ágil de mecanismos C&C . Como o botmaster tem pouco controle do
Diversidade de endereços IP e tempo de inatividade para máquinas comprometidas em uma rede UX rápida, podemos
use esses recursos para detectar ux rápido [ 6] Também podemos identificar domínios DGA , minerando NX-
Tráfego de domínios usando recursos de hosts infectados e recursos de características de nomes de domínio [6 ],
ou fazer engenharia reversa do malware para recuperar o algoritmo. Para combater a hospedagem à prova de bala,
precisamos colocar pressões jurídicas, políticas e econômicas sobre os provedores de hospedagem. Por exemplo, o
A Operação Ghost Click do FBI emitiu uma ordem judicial para a derrubada do DNSChanger [ , 8]
O malware também se tornou cada vez mais resiliente ao incluir planos de contingência. Um centralizado
botnet pode ter PP como um mecanismo de fallback no caso de falha do DNS C&C . Da mesma forma, um PP
botnet pode usar DNS C&C como um plano de contingência. Uma remoção é eficaz apenas se todos os C&C
canais são removidos do malware. Caso contrário, o malware pode inicializar o C&C
comunicação novamente usando os canais restantes. Se conduzirmos apressadamente a remoção de um botnet
sem enumerar e verificar completamente todos os canais C&C possíveis , podemos falhar em
realmente interromper as operações de malware e arriscar danos colaterais a máquinas benignas. Para
exemplo, a queda dos Kelihos [ ] não levou em consideração o canal PP de backup , e o
A remoção do 3322.org desativou o serviço DNS dinâmico para muitos usuários benignos.
Precisamos ter uma visão completa dos domínios C&C e outros canais que provavelmente serão
usado por um botnet, usando várias fontes de inteligência, incluindo reputação de domínio, mal-
associação de consulta de ware e interrogação de malware [ ] Começamos com um conjunto de sementes de C&C
domínios usados por um botnet. Em seguida, usamos dados DNS passivos para recuperar IP histórico relacionado
endereços associados ao conjunto de sementes. Nós removemos o afundamento, estacionamento e hospedagem na nuvem
endereços IP do provedor deles para mitigar os danos colaterais das remoções. O
Os IPs resultantes também podem nos fornecer domínios históricos relacionados que foram resolvidos para eles. Após
seguindo essas etapas, temos um conjunto estendido de domínios que provavelmente serão usados pelo
botnet. Este conjunto captura comportamentos C&C ágeis e evasivos , como redes fast-ux. Dentro de
o conjunto estendido, combinamos) domínios de baixa reputação,) domínios relacionados a malware e
) outros domínios obtidos interrogando o malware relacionado. Simulador de interrogação de malware
ulates situações em que o mecanismo de comunicação C&C padrão falha através do bloqueio
Resolução DNS e conexão TCP [ ] Ao fazer isso, podemos forçar o malware a revelar
os planos C&C de backup , por exemplo, DGA ou PP. Depois de enumerar a infraestrutura C&C , podemos
desative a lista completa de domínios para derrubar o botnet .

www.cybok.org
6.. Atribuição
Idealmente, a polícia deseja identificar o verdadeiro criminoso por trás dos ataques. Identificando
o atacante virtual é um primeiro passo importante em direção a esse objetivo. Um invasor pode ter consistido
tente estilos de codificação, reutilize os mesmos recursos ou infraestruturas ou use práticas de C&C semelhantes .
A partir dos dados de malware, podemos comparar suas "características" com as do histórico conhecido
adversários, por exemplo, estilos de codificação, configurações de servidor, etc. [ ] No nível do código-fonte, nós
pode usar recursos que refletem estilos de programação e qualidade de código. Por exemplo, linguística
recursos, estilo de formatação, bugs e vulnerabilidades, recursos estruturados, como execução
caminho, árvore de sintaxe abstrata (AST), Gráfico de Fluxo de Controle ( CFG), e Gráfico de Dependência do Programa
(PDG) pode ser usado. Outros recursos extraídos do arquivo binário também podem indicar autoria,
por exemplo, a sequência de instruções e o gráfico de fluxo de registro.
A partir da infraestrutura de ataque enumerada, podemos associar o nome de domínio expandido

definido com adversários previamente conhecidos. Por exemplo, fraude de anúncio de botnet TDSS / TDL desconhecido
Os domínios C&C compartilham a mesma infraestrutura de IP com domínios conhecidos e são registrados
pelo mesmo conjunto de endereços de e-mail e servidores de nomes. Isso nos permite atribuir desconhecido
domínios para atores TDSS / TDL conhecidos [ ]
6.. . Evasão e contramedidas
Muitos autores de malware reutilizam kits diferentes para a conveniência oferecida pelo modelo de negócios
da economia subterrânea. Kits comuns para venda permitem que os autores de malware facilmente
para analisar seu próprio malware. Eles também podem escapar da atribuição plantando intencionalmente 'false
ags 'em malware.
As informações de registro de domínio, WHOIS, são um forte sinal para atribuição de ataque. O mesmo
O invasor geralmente usa um nome, endereço e informações da empresa falsos seguindo um padrão. Como-
nunca, a proteção de privacidade WHOIS tornou-se onipresente e é até oferecida gratuitamente para o
primeiro ano quando um usuário adquire um nome de domínio. Isso remove as informações de registro
que pode ser usado para atribuição de ataque.
Precisamos combinar vários fluxos de dados diferentes para a análise. Por exemplo, mal-
interrogatório de ware ajuda a recuperar mais domínios C&C usados pelo mecanismo de fallback, que
oferece mais oportunidade para atribuição [ , ]
CONCLUSÃO
Os invasores usam malware para realizar atividades maliciosas em seu nome. Malware pode residir
em qualquer camada da pilha do sistema, e pode ser um programa por si só ou embutido em outro aplicativo
cátion ou documento. O malware moderno vem com uma infraestrutura de suporte para coordenada
ataques e atualizações automatizadas, e podem operar de forma lenta e lenta e cobrir seus rastros para evitar
detecção e atribuição. Embora o malware possa causar infecção generalizada e danos no
Internet, ele também pode ser personalizado para ataques direcionados a uma organização específica. Malware
a análise é uma etapa importante para entender os comportamentos maliciosos e atualizar adequadamente
nossos sistemas de prevenção e detecção de ataques. O malware emprega uma ampla gama de tecnologias de evasão
niques, que incluem a detecção do ambiente de análise, ofuscando código malicioso, usando
condições de gatilho para executar e aplicar polimorfismo para atacar cargas úteis, etc. Acordo-
Por isso, precisamos tornar os ambientes de análise transparentes para o malware, continuar a desenvolver
algoritmos de análise de programa especializados e técnicas de detecção baseadas em aprendizado de máquina,
www.cybok.org
e aplicar uma combinação dessas abordagens. A resposta a ataques de malware vai além
detecção e mitigação, e pode incluir remoção e atribuição, mas o desafio é
enumerando toda a infraestrutura de malware e correlacionando várias evidências
para evitar falsos ags plantados pelos atacantes.
Seções Cita
. Uma Caracterização dos Adversários [6 6]: c6

6. Atividades maliciosas por malware [6 6]: c6, [ 6]: c -
6. Análise de malware
6.. Técnicas de Análise [6 ]: c -
6.. . Análise Estática [6 ]: c -
6.. . Análise dinâmica [6 ]: c8-
6.. . Fuzzing [6 , 6]
6.. . Execução Concólica [6 , 6 , 6 , 6 6]
6.. Ambientes de Análise [6 ]: c
6.. . Requisitos de Segurança e Ambiente Vivo
6.. . Ambientes de rede virtualizados [6 ]: c, [ 6]
6.. . Identificando os Ambientes de Análise [6 ]: c - 8, [ 6 8 , 6 , 6]
6.. Técnicas de anti-análise e evasão [6 ]: c - 6, [ 6 , 6 , 6]
6. Detecção de malware
6.. Identificar a presença de malware
6.. . Encontrar malware em um palheiro [6 ]: c, c
6.. . Evasão e contramedidas [6 ]: c - 6, c 8, [ 66 , 66]
6.. Detecção de ataques de malware
6.. . Monitoramento baseado em host e em rede [6 ]: c, c, [ 66 , 66 , 666 , 66 , 668]
6.. . Análise de segurança baseada em aprendizado de máquina [668 , 66]
6.. . Evasão, contramedidas e limitações [6 , 6 , 6]
6. Resposta a malware
6.. Interrupção das operações de malware [, ]
6.. . Evasão e contramedidas [ ]
6.. Atribuição [ , ]
6.. . Evasão e contramedidas [ ]
Página 249
Capítulo
Comportamento Adversarial
Gianluca Stringhini Boston University
www.cybok.org
INTRODUÇÃO
Os avanços tecnológicos testemunhados por nossa sociedade nas últimas décadas trouxeram
melhorias em nossa qualidade de vida, mas também criaram uma série de oportunidades para
atacantes para causar danos. Antes da revolução da Internet, a maioria dos crimes e atividades maliciosas
geralmente exigia que uma vítima e um perpetrador entrassem em contato físico, e isso é limitado
o alcance que as partes maliciosas tinham. A tecnologia eliminou a necessidade de contato físico
para realizar muitos tipos de crime, e agora os invasores podem alcançar as vítimas em qualquer lugar do mundo,
desde que estejam conectados à Internet. Isso revolucionou as características de
crime e guerra, permitindo operações que não teriam sido possíveis antes.
Neste documento, fornecemos uma visão geral das operações maliciosas que estão acontecendo em
a Internet hoje. Primeiro, fornecemos uma taxonomia de atividades maliciosas com base no invasor
motivações e capacidades e, em seguida, passar para os elementos tecnológicos e humanos
que os adversários precisam para executar uma operação bem-sucedida. Em seguida, discutimos uma série de quadros
trabalhos que foram propostos para modelar operações maliciosas. Desde comportamentos adversários
não são um tópico puramente técnico, nós nos baseamos em pesquisas em vários campos (ciência da computação
, criminologia, estudos de guerra). Enquanto fazemos isso, discutimos como essas estruturas podem ser
usado por pesquisadores e profissionais para desenvolver mitigações eficazes contra
operações de linha.
. UMA CARACTERIZAÇÃO DE ADVERSÁRIOS

[ ][ ][ , ] [, , 6] [ ] [ 8, ]
Nesta seção, apresentamos uma caracterização dos adversários que executam ações maliciosas.
Esta caracterização é baseada em sua motivação (por exemplo, nanceira, política etc.). Embora al-
caracterizações ternativas e taxonomias existem (por exemplo, do campo da psicologia [ ]),
sentimos que aquele apresentado aqui funciona melhor para ilustrar as capacidades de invasores conhecidos
e as ferramentas necessárias para configurar uma operação mal-intencionada bem-sucedida, como um nan
empresa de malware comercial. Essa caracterização também segue a evolução que o cibercrime tem
seguido nas últimas décadas, de uma operação ad-hoc realizada por um único infrator a um
ecossistema comoditizado, onde vários atores especializados operam juntos em uma organização
moda [ , ] A caracterização apresentada nesta seção é orientada por estudos de caso
e exemplos proeminentes cobertos na literatura de pesquisa e, como tal, não se destina a ser
completo. Por exemplo, não nos concentramos em criminosos acidentais (por exemplo, insider inadvertido
ameaças), ou em operações criminais para as quais falta literatura acadêmica rigorosa (por exemplo, at-
ataques a instituições nanceiras ou ataques à cadeia de abastecimento). No entanto, acreditamos que o conjunto de
crimes e atividades maliciosas apresentadas é abrangente o suficiente para atrair um representante
imagem positiva dos comportamentos adversários que estão ocorrendo na natureza no momento da escrita.
Começamos definindo dois tipos de crimes cibernéticos como foram definidos na literatura,
crimes cibernéticos e ciberdependentes, e continuamos apresentando diferentes tipos de
atividades maliciosas que foram cobertas por pesquisadores.
KA Adversarial Behavior | Outubro Página

www.cybok.org
Crimes cibernéticos e ciberdependentes

Um dos principais efeitos que a Internet teve sobre a atividade maliciosa foi o aumento
o alcance dos crimes existentes, em termos da facilidade de chegar às vítimas, removendo efetivamente
a necessidade de proximidade física entre a vítima e o agressor. Na literatura, estes
crimes são frequentemente chamados de ciber-habilitados [ ]
De acordo com Clough [ ], os criminosos têm cinco incentivos principais para mover suas operações online:
. Usando a Internet, é mais fácil encontrar e contatar as vítimas. Listas de e-mail são vendidas em under-
mercados terrestres [ ], enquanto as redes sociais online têm funcionalidades de pesquisa incorporadas
neles, permitindo que os criminosos identifiquem facilmente as vítimas em potencial [ , ]
. Usando a Internet, as operações criminosas podem ser executadas de forma mais barata. Enviar e-mails é
grátis, enquanto os golpistas anteriormente tinham que pagar a postagem para chegar às suas vítimas. Isso também
permite que os criminosos aumentem a escala de suas operações para tamanhos que antes eram
impensável.
. Em comparação com suas contrapartes físicas, a Internet permite que crimes sejam cometidos
mais rápido. Por exemplo, e-mails podem chegar às vítimas em questão de segundos, sem ter que
aguardar que as cartas físicas sejam entregues.
. Usando a Internet, é mais fácil operar além das fronteiras internacionais, alcançando vic-
tims localizados em outros países. Nessa configuração, muitas vezes a única limitação é o idioma, com
criminosos visando apenas vítimas que falam um idioma com o qual estão familiarizados (por exemplo,
pessoas em países de língua inglesa) [ 6]
. Operando pela Internet, é mais difícil para os criminosos serem pegos. Isso é
principalmente devido à natureza transnacional do crime cibernético e ao fato de que o problema de
harmonizar as leis apropriadas de diferentes países está longe de ser resolvido [ ]
Além disso, a pesquisa mostra que o crime online é muitas vezes subnotificado, tanto porque
as vítimas não sabem a quem denunciar (visto que o agressor pode estar localizado em
outro país), bem como o facto de acreditarem que dificilmente obterão o seu
dinheiro de volta [ 8]
Os crimes cibernéticos dependentes , por outro lado, são crimes que só podem ser cometidos com o
uso de computadores ou dispositivos de tecnologia [ ] Embora o objetivo final deste tipo de crime
muitas vezes tem paralelos no mundo físico (por exemplo, extorsão, roubo de identidade, fraude financeira), o
ternet e tecnologia geralmente permitem que os criminosos dêem uma nova forma a esses crimes, tornando
eles empreendimentos organizados em grande escala, capazes de alcançar centenas de milhares, senão milhões,
das vítimas.
No restante desta seção, analisamos uma série de crimes cibernéticos e ciberdependentes

esquemas finais em detalhes.
www.cybok.org
Ofensores interpessoais
A primeira categoria que vamos analisar é a dos crimes interpessoais . Esses crimes
incluem violência e assédio direcionados, dirigidos a conexões próximas (por exemplo, família
membros) ou estranhos. Embora esses crimes sempre tenham existido, a Internet tornou o
alcance de assediadores e criminosos por muito mais tempo, eliminando efetivamente a necessidade de
contato para a infração a ser cometida. Como tal, esses crimes se enquadram no ciber-habilitado
categoria. No restante desta seção, fornecemos uma visão geral desses comportamentos adversários.
Cyberbullying. Willard [ ] define cyberbullying como 'enviar ou postar material prejudicial ou
envolver-se em outras formas de agressão social usando a Internet ou outras tecnologias digitais ”.
Embora nem sempre seja ilegal , o cyberbullying muitas vezes ocupa uma área cinzenta entre o que é considerado
ered um ato prejudicial e uma ofensa criminal [ ] Esta prática se tornou um problema sério
para os jovens, que muitas vezes são visados por seus colegas não apenas na vida real, mas também online
plataformas [ ] Embora a prática de bullying não seja novidade, a Internet mudou o
dinâmica dessas práticas de assédio de forma significativa. O que costumava ser uma prática prejudicial
limitado ao horário escolar agora pode ser perpetrado a qualquer momento, expondo efetivamente as vítimas a
assédio contínuo [ ]
Um aspecto que torna o cyberbullying diferente do assédio físico tradicional é que

pessoas on-line podem ser anônimas e não ter seu nome ou rosto associado ao agressor
atividade que estão realizando [ , ] Os pesquisadores descobriram que interagir com as pessoas
online cria um efeito de desinibição pelo qual os traços pessoais são acentuados (ou seja, negativos
as pessoas se tornam mais más e as positivas se tornam mais agradáveis) [ ] Este efeito de desinibição
pode ter o efeito de tornar algumas pessoas mais propensas a se envolver em atividades abusivas do que elas
faria no mundo de ine [ ] Outro aspecto que contribui para a desinibição é o fato
que o conteúdo online distribuído em certas plataformas (por exemplo, snapchat, chan) é efêmero, em
a sensação de que é excluído após um certo período de tempo [ ] Como tal, os assediadores sentem que
suas ações não têm consequências adversas, uma vez que não haverá evidências concretas disso no
futuro.
Doxing. Outro tipo de assédio online é a prática de doxing , um ataque onde o
as informações privadas da vítima são divulgadas publicamente online [ 6] Esta operação geralmente faz parte de
uma campanha de assédio maior, em que a divulgação de informações confidenciais é usada como forma
de embaraçar a vítima ou facilitar mais assédio, mesmo no mundo físico (para
por exemplo, divulgando informações no local de trabalho ou no endereço residencial da vítima).
A prática de doxing tem se tornado cada vez mais popular nos últimos anos como forma de po-
larizar a discussão online e silenciar as pessoas. Um exemplo proeminente é o #GamerGate
polêmica, onde mulheres ativistas eram frequentemente atacadas e tinham suas informações pessoais
postado online [ ] Doxing tem sido o principal veículo para ataques de ódio coordenados dirigidos por
comunidades online polarizadas, como a placa Politicamente Incorreta do chan (/ pol /) [ ] Como
parte desses ataques, usuários anônimos publicam informações sobre seus alvos online (por exemplo,
páginas de mídia social, números de telefone, endereços físicos) e, em seguida, convidar outras pessoas para transportar
ataques mal coordenados (chamados de raids ) contra essas pessoas. Esses ataques geralmente
consistem em discurso de ódio e outra linguagem abusiva.
Embora proeminente no espaço de assédio online, a prática de doxing também é usada por outros
ofensores. Por exemplo, é uma das técnicas usadas por grupos hacktivistas como o Anony-
mous para colocar seus alvos em alerta. Vamos discutir as outras técnicas usadas por hacktivistas,
Embora não haja uma definição de cyberbullying na lei do Reino Unido, algumas formas dele podem ser processadas de acordo com a Pro-
proteção da Lei de Assédio.
KA Adversarial Behavior | Outubro Página 6
www.cybok.org
junto com suas motivações, mais adiante nesta seção.

Cyberstalking. Outra atividade prejudicial que foi facilitada pela Internet é a perseguição.
Cyberstalking é a prática de usar meios eletrônicos para perseguir outra pessoa [ 8, ]
Em termos gerais, podemos identificar dois tipos de ciberstalkers: aqueles que usam a informação
que encontram on-line para ajudá-los a perseguir sua vítima na vida real (por exemplo, monitoramento de mídia social
saber seu paradeiro), e aqueles que usam os meios oferecidos pelos serviços online para perseguir
sua vítima puramente online. Além disso, os stalkers que operam online são divididos em aqueles que
agir de forma puramente passiva, sem qualquer interação com a vítima, e aqueles que realizam interação
ções, por exemplo, enviando suas mensagens em uma plataforma de rede social [ ] Para contrariar
cyberstalking, a legislação foi recentemente introduzida em muitos países, incluindo o
A Lei de Proteção à Liberdade no Reino Unido e a Lei de Violência Contra as Mulheres nos Estados Unidos.
Sextorção. Um crime emergente que ganhou relevância é a sextorção , onde um criminoso atrai
vítimas que realizam atos sexuais na frente de uma câmera (por exemplo, uma webcam em uma sala de chat), registros
esses atos, e depois pede um pagamento em dinheiro para não liberar a filmagem [ ]
Sextortion está se tornando uma ameaça tão relevante que agências de prevenção de crime, como a Na-
Agência Internacional de Crimes (NCA) no Reino Unido estão lançando campanhas de conscientização contra
isto.
Predação infantil. Outro crime facilitado pela Internet é a predação infantil [ ] Sobre-
os serviços de linha são um terreno fértil para os criminosos encontrarem vítimas, seja em bate-papos, redes sociais online
redes ou plataformas de jogos online. O agressor irá então preparar suas vítimas para qualquer um
praticar abuso físico ou online [ ] Em comparação com o correspondente de ofensa ine, on-
a predação sexual online tem duas diferenças principais: primeiro, a vítima e o perpetrador quase
nunca se conhecem na vida real. Em segundo lugar, os dados demográficos da vítima são mais inclinados para
mais para adolescentes do que para crianças, porque a idade em que as crianças começam a se conectar é
um pouco mais alto [ ] Os infratores usam uma série de táticas, incluindo fingir ser um jovem
ple e crianças, a fim de cuidar de suas vítimas [ ] e a pesquisa mostrou o potencial
vulnerabilidade de crianças de todas as idades a tal fraude de identidade online [ ]
Outros criminosos não interagem diretamente com as crianças, mas baixam e compartilham pornografia infantil
raphy na Internet. Nesses casos, os agressores ativos muitas vezes conhecem suas vítimas e divulgam
indicar material de abuso infantil a esses “usuários” de tal material. Isso foi facilitado por colegas
plataformas de compartilhamento ponto a ponto ] bem
[ 6, como tecnologias de anonimato, como Tor [ 8]
Os desafios de identificar os criadores de novos materiais de abuso infantil (e as táticas enganosas
tiques usados por criminosos, por exemplo, vocabulário especializado para nomes de arquivos para impedir investigações) em
tais redes ponto a ponto também foram estudadas [ ]
Criminosos organizados cibernéticos

Nesta seção, enfocamos os crimes cibernéticos cometidos por criminosos profissionais. Dentro
em particular, fornecemos dois exemplos proeminentes de crimes cibernéticos que receberam
atenção signi cativa por parte da comunidade de pesquisa: fraude de adiantamento e tráfico de drogas . Esses
crimes geralmente não são cometidos por um único infrator, mas sim por vários criminosos que
atuem juntos em pequenas organizações [ ] ou em verdadeiras organizações criminosas estruturadas [ ]
Reconhecemos que existem outros crimes que tiveram maior alcance devido à tecnologia
nology. No entanto, esses crimes ainda precisam ser estudados em profundidade pela comunidade de pesquisa
e, portanto, decidimos focar naquele que a comunidade de pesquisa tem uma melhor
compreensão de.
http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion
www.cybok.org
Fraude de taxa antecipada. Nesse tipo de golpe, é prometida à vítima uma recompensa (financeira ou outra)
sensato), mas para obtê-lo primeiro é necessário pagar uma pequena taxa ao fraudador. Depois do pagamento
ocorre, a vítima muitas vezes não ouve o golpista novamente, enquanto às vezes o re-
relacionamento dura por longos períodos de tempo e a vítima é repetidamente defraudada em grandes somas
de dinheiro [ ]
O exemplo arquetípico de fraude de taxa antecipada compreende os chamados golpes [ ] Nomeado

depois da seção do Código Criminal da Nigéria que trata de fraude, esses golpes se tornaram populares
ular nos anos 8, quando as vítimas recebiam cartas físicas de um suposto príncipe nigeriano,
pretende transferir grandes quantias de dinheiro para fora do país. Para iniciar o processo, o
a vítima é obrigada a transferir uma pequena quantia de dinheiro para o fraudador (por exemplo, para cobrir danos legais
honorários). Como se pode imaginar, a Internet permitiu que esse tipo de fraude viesse ao nosso, ao possibilitar
criminosos para alcançar instantaneamente um grande número de vítimas em potencial.
Outro exemplo de fraude de taxa avançada é a fraude ao consumidor perpetrada na web de classificados
sites como o Craigslist [ ] Como parte dessa fraude, as vítimas respondem a um anúncio classificado
tisement para um item desejável (por exemplo, um carro usado ou um imóvel alugado) que tem muito melhor
condições (como um preço mais baixo) do que postagens semelhantes. O fraudador responde que eles vão
precisa de um pequeno pagamento adiantado para entregar as mercadorias. Após recebê-lo, a vítima não ouvirá
do fraudador novamente.
Um exemplo final de fraude de taxa avançada é a fraude de romance online. Ocorrendo online
sites de namoro, esse tipo de fraude geralmente consiste em criminosos se passando por pessoas atraentes
procurando iniciar um relacionamento com a vítima. Ao contrário do golpe, esses relacionamentos online
muitas vezes duram meses antes de o fraudador exigir dinheiro, por exemplo, para ajudar sua família
ou para abrir um negócio [ ] Nesse momento, a vítima, que provavelmente está emocionalmente envolvida com
a persona representada pelo criminoso provavelmente obedecerá. Pesquisa anterior relatada
que as vítimas deste crime podem perder entre £ e £, [ ] Ao contrário de outros tipos de
fraude de taxa antecipada, no entanto, o dano psicológico de perder a relação funcional pode
ser muito maior do que o financeiro.
Um elemento comum de todo tipo de fraude de taxa avançada é a necessidade de os criminosos criarem um
narrativa atraente que atrairá as vítimas para que paguem a taxa fraudulenta. Para este fim, criminosos
frequentemente visam dados demográficos específicos e personificam personas específicas. Por exemplo, anterior
nossa pesquisa mostrou que os fraudadores de romance muitas vezes fingem ser militares
estacionado no exterior [ ] Ao fazer isso, os fraudadores podem construir uma narrativa confiável sobre o porquê
eles não podem encontrar a vítima pessoalmente e podem construir uma conexão emocional com o
vítima, o que aumentará as chances de cair no golpe. Muitas vezes, os fraudadores fingem
ser viúvos homens de meia-idade que visam mulheres viúvas no mesmo grupo demográfico, em
uma tentativa de estabelecer uma conexão emocional com sua vítima [ ] Em outros casos, fraude
sters empregam truques psicológicos para conquistar suas vítimas, como aplicar a pressão do tempo
ou observando que eles selecionaram especificamente a vítima por causa de suas características morais elevadas
ters [ ]
Mais cinicamente, Herley argumenta que os fraudadores são incentivados a construir a narrativa mais absurda
possíveis, para ter certeza de que apenas aqueles que são crédulos o suficiente para acreditar neles responderão,
e que essas pessoas serão as mais propensas a cair no golpe [ ] Seu argumento é que
responder à primeira mensagem padrão é caro para o fraudador, ao mesmo tempo que envia o
a primeira cópia para quantas vítimas desejarem é gratuita. Por esse motivo, é de seu interesse governar
para fora aqueles que provavelmente não cairão no golpe o mais rápido possível.
Tráfico de drogas. Outra categoria de crimes para os quais a Internet oferece oportunidades
www.cybok.org
é o comércio de drogas. Graças a tecnologias de anonimato, como Tor [ ] e criptocurren-

cies [ 6], surgiram mercados online onde os usuários de drogas podem comprar produtos ilícitos
posturas e receba-as diretamente em sua casa. A pesquisa mostrou que este negócio
o ness está prosperando, apesar da instabilidade desses mercados, que muitas vezes são derrubados
pela aplicação da lei [ , ] Os mercados de drogas online oferecem uma interessante mudança de paradigma
para usuários de drogas, porque eliminam a necessidade de o comprador interagir com criminosos em um
configuração física e potencialmente insegura. Trabalhos recentes têm mostrado, no entanto, que o início
do mercado de drogas online não mudou o ecossistema mundial de comércio de drogas: o grande jogo
ers que produzem e despacham medicamentos permanecem praticamente inalterados, enquanto o que mudou
é a 'última milha' na entrega (ou seja, como traficantes locais e usuários de drogas entram em contato e fazem
o negócio) [ ]
Criminosos organizados cibernéticos

Nesta seção, descrevemos crimes que têm um objetivo financeiro e são realizados usando
infraestruturas técnicas plex (por exemplo, botnets [ 8]). Ao contrário dos crimes cibernéticos descritos
na seção anterior, onde o criminoso está essencialmente reproduzindo um operador criminoso físico
ação e uso da Internet para ampliar seu alcance, no caso de crimes ciberdependentes
os criminosos precisam criar infraestruturas tecnológicas complexas para atingir seus objetivos. O
complexidade dessas operações levou a uma compartimentação no ecossistema criminoso
tem, em que cada agente malicioso se especializa em uma parte específica de uma operação cibercriminosa
(por exemplo, infectando computadores com malware ou realizando lavagem de dinheiro) e trabalham juntos
no sentido de alcançar um objetivo comum. Nesta seção, fornecemos alguns exemplos de ciber-
crimes dependentes que foram estudados pela literatura de pesquisa nos últimos anos. Então,
na seção ., cobrimos em detalhes os vários elementos que os criminosos precisam implementar para
tornar suas operações bem-sucedidas.
Spam de email. O spam de e-mail tem sido um grande incômodo para os usuários da Internet nos últimos dois
décadas, mas também esteve na vanguarda de operações criminosas de muito sucesso, que
conseguiram monetizar a venda de produtos falsificados e farmacêuticos alcançando
bilhões de clientes em potencial por meio de mensagens maliciosas [ ] O spam de e-mail é definido como
email em massa não solicitado ; esta definição destaca os dois principais elementos do problema: o
fato de que as mensagens recebidas pelas vítimas não foram solicitadas (ou seja, não foram solicitadas em
primeiro lugar), e que sejam enviados a granel para alcançar o maior número possível de vítimas.
Embora o primeiro e-mail de spam tenha sido registrado em 8 [ 6 ], o spam de e-mail aumentou para promi-
nência nos s, quando os criminosos iniciam pequenas operações, não diferentes do avanço
taxas de fraude descritas na seção anterior [ 6 ] O objetivo dessas operações era
venda produtos online, o que pode abranger desde suplementos dietéticos até recordações nazistas [ 6 ] No
nesta etapa, contando com sua própria experiência e com a ajuda de um pequeno número de associados,
os criminosos realizariam todas as atividades necessárias para configurar uma operação de spam bem-sucedida: (i)
coleta de endereços de e-mail para enviar mensagens maliciosas, (ii) autoria do con-
tenda, (iii) envio de e-mails de spam em massa, (iv) processamento de pedidos de pessoas que queriam
para comprar os itens anunciados, (v) reagir a invasões de autoridades policiais (por exemplo, a apreensão
de um servidor de e-mail). Embora ainda fossem rudimentares em comparação com as operações de spam
que veio durante a próxima década, esses empreendimentos criminosos levaram ao desenvolvimento de
legislação para regular e-mails em massa não solicitados, como a Diretiva de Privacidade e Eletrônica
Comunicações na UE, os Regulamentos de Privacidade e Comunicações Eletrônicas no
https://eur concepts/legal-content/EN/ALL/?uri=celex% AL 8
www.cybok.org
Reino Unido e a Lei CAN-SPAM nos EUA. Essas peças de legislação ajudaram a processar alguns
daqueles remetentes de spam do início do dia. In, America Online (AOL) ganhou um processo judicial contra Davis
Wolfgang Hawke, que vendia dispositivos nazistas por meio de e-mails de spam. Hawke foi condenado
para pagar um 0,8M USD ne.
Os avanços técnicos dos primeiros anos, e em particular o desenvolvimento de botnets,

redes de computadores comprometidos controlados pelo mesmo cibercriminoso [ 8], deu un-
oportunidades precedentes para criminosos que desejam se envolver em spam de e-mail hoje. Spam de e-mail
não é mais uma operação de uma pessoa, em vez disso, é apoiada por ecossistemas criminosos em expansão.
Os spammers podem alugar botnets de criminosos especializados em infectar computadores com
malware [ ], comprar listas de endereços de e-mail alvo de atores especializados [ 6] e
inscreva-se em um programa afiliado [ 6 , 6], que fornecerá ao spammer uma maneira de
publicidade, além de cuidar de remessas e pagamentos.
A corrida armamentista ligada à mitigação de spam vem acontecendo desde os anos s, com um
número de mitigações sendo propostas [ 6 ] Atualmente, as técnicas anti-spam garantem que o
a grande maioria dos e-mails maliciosos nunca chegará às caixas de correio de suas vítimas. Para resolver isso é-
processar, os criminosos têm que enviar dezenas de bilhões de e-mails [ ] para manter suas operações lucrativas.
Outro problema é que, entre as vítimas alcançadas por esses e-mails de spam que conseguem passar,
apenas uma pequena fração comprará os bens anunciados e terá lucro para os criminosos.
Os pesquisadores realizaram um estudo de caso para o botnet Storm [] , mostrando que de 6 mil
Lion spam e-mails enviados apenas pelo botnet. % atingem suas metas. Destes, apenas. % de
os usuários clicam nos links contidos nos e-mails, enquanto um número ainda menor acaba comprando
perseguindo itens - apenas 8 usuários no total dos 6 milhões alcançados, ou. % do total.
Apesar dessa queda acentuada, McCoy et al. mostrou que programas populares afiliados a spam eram
capaz de gerar receita de até 8 milhões de dólares em um período de três anos [ 6 ] Eles também mostraram
a chave para esse sucesso são os clientes recorrentes. Na verdade, os e-mails de spam precisam chegar a um
cliente confirmado apenas uma vez, e essa pessoa pode mais tarde continuar comprando no site sem
tendo que se preocupar com filtros de spam.
Phishing. Um tipo específico de spam é o phishing, em que os criminosos enviam e-mails que fingem
ser de serviços genuínos (por exemplo, banco online, sites de redes sociais) [ ] Esses e-mails
normalmente induzem os usuários a distribuir seus nomes de usuário e senhas para esses serviços,
apresentando-lhes um e-mail confiável pedindo que visitem o site (por exemplo, para recuperar
seu último extrato de conta). Ao clicar no link do e-mail, os usuários são direcionados a um
site exibindo páginas de login falsas, mas realistas. Depois de inserir suas credenciais, o
os criminosos obtêm acesso a eles e poderão mais tarde fazer login nesses serviços em nome
dos usuários, potencialmente ganhando dinheiro diretamente ou vendendo as credenciais no mercado negro.
Para o criminoso, um componente fundamental para o sucesso das páginas de phishing é a configuração de páginas da web
que se assemelham aos originais tanto quanto possível. Para facilitar esta tarefa, especialistas cy-
os criminosos desenvolvem e vendem os chamados kits de phishing [ 66 ], programas que podem ser instalados
em um servidor e produzirá uma página da web com aparência apropriada para muitos serviços populares.
Esses kits normalmente também fornecem funcionalidades para tornar mais fácil para o criminoso coletar e
acompanhar as credenciais roubadas [ 66] Outro elemento necessário aos criminosos para hospedar esses
páginas são servidores sob seu controle. Semelhante a spam, criminosos, pesquisadores e profissionais
estão envolvidos em uma corrida armamentista para identificar e colocar páginas da Web de phishing na lista negra [ 6 ], portanto
não faz sentido economicamente que os criminosos configurem seus próprios servidores. Em vez disso, criminosos
costumam hospedar esses sites em servidores comprometidos, pelos quais eles não precisam pagar [ 68]
https://en.wikipedia.org/wiki/Privacy_and_Electronic_Communications_(EC_Directive)_Regulations_
https://en.wikipedia.org/wiki/CAN-SPAM_Act_of_
www.cybok.org
Depois de roubar um grande número de credenciais, os criminosos podem explorar essas contas deles-
auto ou vender os nomes de usuário e senhas no mercado negro. Pesquisa anterior tem
mostrado que muitas vezes esses criminosos fazem login nas contas e passam tempo avaliando
seu valor, por exemplo, procurando informações financeiras em contas de webmail. [ 6 , 6]
Malware financeiro. Outra operação criminosa popular é o malware financeiro. Neste cenário,
criminosos visam instalar malware nos computadores de suas vítimas e roubar credenciais nanceiras
como números de cartão de crédito e nomes de usuário e senhas de banco on-line. Esta tendência
começou com o malware Zeus, que os criminosos podiam comprar no mercado negro e
usar para configurar suas operações [ ] Uma vez instalado no computador da vítima, o Zeus esperaria por
o usuário visitar um site em uma lista pré-configurada de sites interessantes que o criminoso poderia
especificamos. Em seguida, ele registraria nomes de usuário e senhas conforme o usuário os digitava e enviava
para o servidor de comando e controle configurado pelo criminoso.
Um botnet de roubo de informações mais sofisticado foi o Torpig [ 6] Ao contrário de Zeus, Torpig usado
um modelo de botnet como serviço, em que um único criminoso especializado era responsável por hospedar
a infraestrutura do botnet, enquanto outros criminosos podem executar suas campanhas para infectar a vítima
computadores, pague uma taxa para usar a infraestrutura torpig e, posteriormente, recupere as credenciais roubadas.
Os pesquisadores mostraram que, em, o botnet Torpig foi capaz de roubar 8 bancos únicos
credenciais da conta e 66 números exclusivos de cartão de crédito em um período de dez dias. [6]
Para monetizar suas operações, os cibercriminosos podem vender as informações nanceiras roubadas no site
fóruns clandestinos citados [ ] O preço que os criminosos podem pedir por essas credenciais varia
com base no tipo de registros que eles conseguiram roubar. Por exemplo, no subsolo
mercado, existem dois tipos de registros de cartão de crédito que são negociados: dumpz , que contém o
informações que permitem a um criminoso clonar um cartão de crédito (ou seja, número do cartão, data de validade, se-
curity code) e fullz , que também contém o endereço de cobrança associado ao cartão. Fullz
valem mais dinheiro no mercado negro, porque permitem que os canalhas comprem itens
conectados.
Um tipo de crime relacionado que está se tornando mais popular é a clonagem de cartas [ ] Neste ciber-
crime habilitado, os criminosos instalam dispositivos em máquinas ATM que coletam detalhes dos cartões
inseridos nas máquinas por usuários involuntários. O criminoso pode então coletar os dispositivos para
recuperar as credenciais nanceiras roubadas. Embora esse tipo de crime seja sério, também é uma boa
exemplo das limitações do crime físico em comparação com suas contrapartes online: a necessidade
por ação física do criminoso limita a escala da operação, enquanto malware financeiro
as operações podem afetar um número muito maior de vítimas. Por exemplo, o malware Torpig foi
instalado em mais, computadores [ 6]
Observe que o malware nem sempre é necessário para realizar fraudes financeiras. Em alguns casos, insider
ameaças dentro de organizações nanceiras podem agir maliciosamente e fraudar ambas as instituições
e seus clientes [ , ] Em outros casos, informações nanceiras, como número de cartão de crédito
bers podem ser roubados ao explorar uma vulnerabilidade em um sistema online (por exemplo, despejando o
banco de dados de uma loja online) [ ] Em outros casos, credenciais SWIFT roubadas de bancos podem ser
usado para realizar grandes transferências fraudulentas de dinheiro [ 6]
Fraude do clique. Anúncios na Web são a principal forma de monetizar a Web. Um administrador da Web
ele pode decidir hospedar anúncios em seu site e sempre que os visitantes os visualizarem
ou clicar neles, eles recebem uma pequena taxa de um anunciante. Para mediar essa interação,
surgiram serviços especializados conhecidos como trocas de anúncios . Por causa de sua fácil monetização,
Anúncios na web são perfeitos para fraudes. Em particular, os criminosos podem hospedar anúncios em
seus próprios sites e, em seguida, geram cliques 'falsos' (por exemplo, usando bots). Isso resulta em um anúncio

www.cybok.org
trocar criminosos que pagam por impressões de anúncios que não eram "genuínos", eventualmente fraudando
o anunciante.
Mais uma vez, os criminosos estão envolvidos em uma corrida armamentista com trocas de anúncios, que estão interessadas em
mantendo a fraude em seus serviços. Para ajudar os criminosos a gerar um grande número de cliques
e permanecer sob o radar obtendo acesso a partir de um grande número de endereços IP, os chamados
surgiram botnets de fraude de cliques . Um exemplo é Zeroaccess [6], que estava ativo em.
Em uma máquina infectada, este malware atuaria como um usuário normal, navegando em sites e
clicando em anúncios que seu proprietário escolheu. Os pesquisadores mostraram que este botnet foi
responsável por perdas para a indústria de publicidade de aproximadamente US $ por dia [ 6]
Mineração de criptomoeda não autorizada. Com a crescente popularidade das criptomoedas, um
Uma nova oportunidade se abriu para os criminosos: usar computadores infectados para minerar moeda. Dentro
, Huang et al. Revelaram essa ameaça, mostrando que botnets foram usados para minerar Bitcoin [] .
Ao revelar esta nova monetização para malware, os autores também concluíram que estes
as operações não pareciam estar rendendo muito dinheiro, totalizando no máximo US $ por dia.
Um estudo mais recente, no entanto, mostrou que a mineração de criptomoedas por botnets pode ser muito
mais gratificante do que se pensava anteriormente. Pastrana e Suarez-Tangil mostraram que minerando
Monero e usando uma série de técnicas para aumentar suas chances de mineração de moeda (por exemplo,
usando pools de mineração) os criminosos poderiam ganhar até 8 milhões de dólares em um período de dois anos. [ ]
Outra tendência emergente no crime cibernético compreende o uso de navegadores da Web para explorar criptocur-
rências. Em vez de instalar malware nos computadores das vítimas e usá-los para mineração,
Os criadores adicionam scripts a páginas da web e fazem com que seus visitantes explorem criptomoedas. Esse tipo de
a atividade maliciosa é chamada de criptojacking . Embora usar esses scripts não seja necessariamente ilegal
gal (ou seja, os administradores da Web podem instalá-los legitimamente em suas páginas da Web de maneira semelhante
a anúncios), criminosos foram pegos adicionando-os a sites comprometidos em
várias ocasiões. Konoth et al. mostrou que uma campanha maliciosa pode gerar GBP,
mais de uma semana [ 8], enquanto Rüth et al. [ ] mostrou que . 8% dos blocos minerados no Monero
blockchain pode ser atribuído a Coinhive, a biblioteca de criptjacking mais popular.
Ransomware. A mais nova tendência em malware é o Ransomware . Como parte desta operação, crimi-
nals infectam os sistemas das vítimas com malware que criptografa os arquivos pessoais do usuário (por exemplo,
documentos) e envia a chave de criptografia para o criminoso, que então pede um resgate em ex-
mudança para dar ao usuário acesso aos seus dados novamente [ 8 ] A ideia de software malicioso
que usa criptografia de chave pública para manter os dados da vítima como reféns não é novo, e foi o
orised por Yung em 6 já [ 8 ] Em anos, no entanto, os avanços tecnológicos
no lado da entrega de malware tornaram possível alcançar um grande número de vítimas, e o
introdução de métodos de pagamento anônimos, como Bitcoin, tornou-o mais seguro para os criminosos
para receber esses pagamentos.
Ransomware é, no momento em que este artigo foi escrito, o padrão ouro para cibercriminosos. Este tipo de mal-
operação de ware resolveu os problemas de monetização que eram tão importantes em outros tipos
de esquemas cibercriminosos: o criminoso não precisa convencer a vítima a comprar um
bom, como no caso de spam de e-mail, ou para cair em uma fraude, como no caso de phishing. Em anúncio-
dição, a vítima é altamente incentivada a pagar o resgate, devido à probabilidade de que a
os criminosos têm arquivos criptografados que o usuário irá precisar (e para os quais eles não têm backup
cópia) é alto. Na verdade, uma pesquisa recente foi capaz de rastrear 6 milhões de dólares em pagamentos no
Blockchain Bitcoin que pode ser atribuído a campanhas de ransomware [ 8 ]
Embora as campanhas de ransomware mais sofisticadas envolvam criptografar os arquivos da vítima,

Kharraz et al. mostrou que não é incomum para os autores de malware usarem outras técnicas
www.cybok.org
para bloquear a vítima fora de seu computador [ 8 ] Essas técnicas incluem a criação de um
bootloader protegido por senha e não dando a senha ao usuário a menos que ele / ela pague.
Embora essas técnicas possam render lucros para o criminoso, também são mais fáceis de mitigar
portão, já que os arquivos da vítima estão seguros no computador e uma simples limpeza do malware (e
restaurar o registro mestre de inicialização original) pode resolver o problema.
Negação de serviço. Um recurso que todos os dispositivos conectados à Internet possuem é a conectividade de rede.
Um criminoso pode aproveitar a largura de banda de um dispositivo infectado para realizar uma negação distribuída de
Serviço (DDoS) ataque contra um alvo. Os criminosos podem simplesmente usar a largura de banda gerada por
o botnet, ou alavancar ataques de amplificação (ou seja, tráfego de rede gerado por erros de configuração
dispositivos de rede ou dispositivos com configurações padrão insatisfatórias) para aumentar o poder de seu DDoS
ataques [68 ]
Os criminosos podem então configurar serviços onde oferecem DDoS de aluguel. Esses serviços são
apelando, por exemplo, para atores inescrupulosos que querem que seus concorrentes de negócios vão
de ine ou para jogadores online que querem tirar seus oponentes da Internet para ganhar o
jogos [ 8 ] Para ocultar a natureza ilícita de seus negócios, esses serviços muitas vezes os anunciam-
como 'testadores de estresse', serviços que um administrador da Web pode usar para testar como seu aplicativo da Web
plicações funcionam sob estresse [ 8 ] Na realidade, porém, esses serviços não verificam se
o cliente que adquire um ataque DDoS é, na verdade, a mesma pessoa que possui o alvo.
a Principal.
Hacktivistas
Embora os criminosos movidos pelo lucro sejam uma grande ameaça, nem todos os adversários são movidos pelo dinheiro. Em par-
Em particular, definimos o ato de crime de computador motivado por um objetivo político como hacktivismo [ ]
Esses crimes podem assumir várias formas, desde ataques de negação de serviço [ ] para comprometer
sistemas de computador com o objetivo de divulgar informações confidenciais ao público [ 8 ] Lá
é um debate contínuo entre os estudiosos sobre se as ações dos hacktivistas se enquadram na política
ativismo (por exemplo, desobediência civil) ou terrorismo cibernético [ 86] Holt et al. estudou ataques cibernéticos
realizado por grupos de extrema esquerda nos Estados Unidos e constatou que houve um aumento nos ataques online
durante os períodos que observaram uma diminuição na violência física desses mesmos grupos [ 8 ]
Negação de serviço. A prática do hacktivismo começou nos anos com netstrikes [ 88 ] Como
parte desta prática, os usuários da Internet se conectariam para direcionar os sites simultaneamente para
esgotar seus recursos e torná-los sem resposta. Isso costumava ser feito para protestar contra
ações e políticas de agências governamentais e corporações. Vinte anos depois, com o
maior sofisticação oferecida pela tecnologia, grupos hacktivistas como o Anonymous [ 8 ]
pegou a ideia de netstrikes e a tornou maior. Este coletivo se tornou popular por
lançando ataques de negação de serviço contra organizações que eram culpadas de realizar ações
ções que não condiziam com sua postura moral, como governos ligados à repressão de
a Primavera Árabe, empresas de cartão de crédito que não fariam doações a entidades como
Wikileaks ou organizações religiosas radicais.
Para realizar seus ataques, o Anonymous pedia a seus simpatizantes que instalassem um programa de computador
grama, chamado Low Orbit Ion Cannon (LOIC), que atuaria como um bot em um botnet: seu controlador
usaria a largura de banda do computador para realizar um ataque de negação de serviço contra um escolhido
alvo. A diferença com os botnets tradicionais (e aqueles usados para realizar ataques DDoS
em particular) é que o usuário é aceito como parte dele ao instalar o programa LOIC , e
sofreram ação policial como consequência.
Vazamentos de dados. Outra tendência que temos observado nos últimos anos na área de hack-

www.cybok.org
tivismo é a liberação de documentos roubados para o domínio público, por exemplo, para aumentar a conscientização
ness sobre programas de vigilância secreta por governos [ ] Um exemplo proeminente de um
organização que realiza esses vazamentos de dados é o Wikileaks [ 8 ] Técnicas semelhantes também
sido usado pelo Anonymous (por exemplo, sobre a identidade de membros da Ku Klux Klan).
Defacements da Web. A última tendência típica de atores com motivação política é a Web de-
facement [ ] Como parte desta atividade, os malfeitores exploram vulnerabilidades (variando de fraca
senhas para vulnerabilidades de software) nos sites das organizações com as quais eles discordam,
e usá-los para alterar a página inicial do site para uma página com carga política. Um exame-
de uma organização que está usando de forma proeminente defacements da Web para espalhar sua mensagem
é o Exército Eletrônico Sírio [ ], um grupo de hackers próximo ao regime de Assad. Apesar
popular entre os criminosos com uma agenda política, a desfiguração da Web não é apenas uma prerrogativa deles.
Na verdade, Maimon et al. mostrou que esta é uma forma popular para os cibercriminosos em início de carreira
provar seu valor [ ]
Atores estatais
Outro tipo de agente malicioso envolvido em comportamentos adversários online compreende nação
estados. Nos últimos anos, observamos uma escalada no uso de ataques de computador
pelos atores estatais para atingir seus objetivos. De um modo geral, este tipo de ataque difere daqueles
realizada por cibercriminosos com motivação financeira por dois motivos:
. O crime cibernético de commodities precisa reunir o maior número possível de vítimas para maximizar seus
lucros Por exemplo, criminosos que criam um botnet para roubar informações financeiras de
suas vítimas vão querer alcançar o maior número possível de vítimas para melhorar seus
receita. Isso significa que os ataques do cibercriminoso precisam ser genéricos ou di-
versado o suficiente para cobrir uma grande população de dispositivos (por exemplo, usando kits de exploração, como
explicado na seção .) Em um ataque patrocinado pelo estado, por outro lado, não há
precisam ganhar dinheiro, e geralmente a vítima é bem definida (por exemplo, uma organização específica
uma pessoa de interesse). Nesse cenário, o ataque pode ser adaptado à vítima; esta
aumenta as chances de sucesso, por causa do tempo que pode ser gasto projetando o
ataque e o fato de que o ataque será único (por exemplo, usando um ataque de dia zero [ ]),
e é improvável que o software de proteção existente o detecte.
. Devido à necessidade de ganhar dinheiro, os cibercriminosos tradicionais precisam que seus ataques sejam
Rápido. Este não é o caso de ataques patrocinados pelo estado, onde a recompensa por alcançar
seu objetivo (por exemplo, roubar informações confidenciais de um governo) o torna aceitável para
espere por longos períodos de tempo antes de nalizar o ataque.
Ataques patrocinados pelo estado se enquadram amplamente em três categorias, dependendo do propósito do
ataque: sabotagem, espionagem e desinformação. A seguir, descrevemos esses três
tipos de ataques em mais detalhes.
Sabotar. A infraestrutura crítica moderna pode ser interrompida por meios eletrônicos. Pesquisa
mostrou que não é incomum que instalações críticas, como usinas de energia, tenham alguns
tipo de conectividade de rede entre os computadores que controlam as máquinas e aqueles
Conectado a internet [ ] No caso de um estado adversário, mesmo tendo segurança de rede
aparelhos para proteger a fronteira entre as duas redes não é suficiente, uma vez que, como nós
disse, os ataques podem ser tão sofisticados e personalizados que as soluções prontas para o uso não conseguem detectar
eles [ 8] Depois que um malware consegue entrar na rede de controle, ele pode fazer
o mau funcionamento da máquina e potencialmente destruí-lo. Mesmo quando há uma separação física
www.cybok.org
entre a rede de controle e a Internet mais ampla, os ataques ainda são possíveis quando estamos
confrontado com adversários com recursos virtualmente ilimitados [ 8]
Um exemplo proeminente é o worm Stuxnet [ 8 , 6], um ataque sofisticado realizado

contra a instalação de enriquecimento nuclear de Nathanz no Irã em. Supostamente, o malware era
introduzido na instalação infectando primeiro o laptop de um dos consultores que estava
manutenção do maquinário. Uma vez que o malware estava no ambiente certo, ele identificou o
equipamentos que foram projetados para visar e sabotar a experiência de enriquecimento
mentos, fazendo com que as centrífugas girem fora de controle. Até o momento, o Stuxnet é um exemplo clássico de
até onde os invasores patrocinados pelo estado podem chegar para atingir seus objetivos, e do
sofisticação que seus ataques podem alcançar.
A sabotagem nem sempre está ligada a atores estatais. Incidentes graves foram causados por descontentamento
funcionários de empresas que agiram como ameaças internas, como no caso do Maroochy
Serviços de água [ ] Neste incidente, um insider cujo emprego não foi confirmado
resolveu se vingar da empresa derramando esgoto, causando grande impacto ambiental
dano [ ]
Espionagem. Outro objetivo que os atores patrocinados pelo estado têm para seus ataques é espionar op-
oponentes e adversários proeminentes. A pesquisa mostrou que os atores estatais tornam-se proeminentes
uso de spearphishing (ou seja, phishing direcionado) para atrair ativistas e empresas a instalar
malware que mais tarde é usado para espioná-los [ 6, 8] Em outros casos, os atores do estado infectam sen-
sistemas sensíveis (por exemplo, servidores em grandes corporações), com o objetivo de roubar informações confidenciais
mation [ ] A indústria de segurança apelidou esses ataques sofisticados de longa data
Ameaças persistentes avançadas .
Desinformação. Nos últimos dois anos, surgiram evidências de que atores patrocinados pelo Estado
estiveram envolvidos na divulgação de desinformação nas redes sociais [ , 8 , 8 , 8] Esta
foi feito por meio de contas de trolls que atuaram para polarizar a discussão online em questões sensíveis
tópicos [8 ] Embora redes sociais como o Twitter tenham feito dados sobre contas relacionadas a
desinformação patrocinada pelo estado publicamente disponível [ , 8], evidências rigorosas ainda estão faltando
sobre como essas operações são realizadas no back-end. Por exemplo, a extensão em que o
contas envolvidas em desinformação são controladas por operadores humanos ao invés de bots
não está claro.
. OS ELEMENTOS DE UMA OPERAÇÃO MALICIOSA
[8 ] [ 8] [ 8 6] [ 8 , 8 8] [ ] [ 8 , 8]
Como mostramos na Seção ., operações maliciosas podem usar infraestruturas bastante complexas,
particularmente no caso do crime organizado, que é principalmente motivado por dois fatos. Primeiro, o
o criminoso precisa que essas operações sejam o mais econômicas possível (e, consequentemente,
o maior lucro possível). Em segundo lugar, vários atores (aplicação da lei, empresas de segurança,
os próprios usuários) estão constantemente tentando derrubar essas operações maliciosas,
e o criminoso tem, portanto, uma necessidade de torná-los resilientes a essas tentativas de derrubada.
Para garantir que as necessidades dos criminosos sejam atendidas nesse cenário, nos últimos anos temos testemunhado
precisou de uma especialização no ecossistema do cibercriminoso, onde diferentes atores se especializam em
um elemento específico necessário para que a operação seja bem-sucedida; os malfeitores, então, trocam esses serviços
vícios uns com os outros no mercado negro. Nesta seção, fornecemos uma visão geral do elemento
mentos necessários para o sucesso de uma operação do crime organizado ciberdependente, conforme descrito

www.cybok.org
na seção .. Muitos dos elementos discutidos, no entanto, também se aplicam a outros tipos de
comportamentos adversários descritos nessa seção.
Programas Afiliados
O principal objetivo do crime organizado é ganhar dinheiro com suas operações. Isto exige
não apenas uma infraestrutura técnica bem lubrificada para garantir que seus botnets funcionem corretamente
mas, talvez mais importante, um método de trabalho para cobrar pagamentos das vítimas (ou de
patrocinadores, no caso de DoS), certificando-se de que todos os atores envolvidos na operação
ser pago.
No mundo do cibercriminoso, isso geralmente é feito por meio de programas afiliados . Um afiliado pró
grama é um esquema em que a organização principal fornece uma 'marca' e todos os meios necessários
para efetuar encomendas, expedições e pagamentos. Afiliados podem aderir ao programa, tráfego direto para
a plataforma e obter uma parte das vendas pelas quais são responsáveis. Embora este esquema
existe para negócios legítimos (por exemplo, a Amazon tem um programa afiliado), foi par-
particularmente bem-sucedido para operações cibercriminosas. A principal diferença entre legítimos
e programas afiliados ao crime é que a segunda categoria de operações normalmente lida
com produtos que são considerados ilegais na maioria das jurisdições (por exemplo, produtos farmacêuticos falsificados
, jogos de azar, produtos de marca falsificados) e normalmente endossam a promoção criminosa
técnicas (por exemplo, o uso de malware ou otimização de mecanismo de pesquisa de chapéu preto).
Os programas afiliados são populares no mundo do cibercriminoso porque significam que os afiliados
não tem que configurar suas operações do início ao fim, mas sim focar na atração de tráfego,
por exemplo, configurando botnets e enviando spam por e-mail anunciando o mercado afiliado-
Lugar, colocar. Os primeiros exemplos de sucesso de programas afiliados ao crime cibernético foram centrados
em torno do spam de e-mail e anunciando produtos farmacêuticos falsificados [ , 6 , 6] Como-
sempre, os programas afiliados estão presentes na maioria dos tipos de crimes ciberdependentes, um exemplo
sendo a operação de ransomware Cryptowall.6
Além de fornecer a monetização necessária para operações cibercriminosas, afilie-se

os programas também atuam como facilitadores para que os criminosos entrem em contato e negociem os serviços
que são necessários para que a operação seja bem-sucedida. Normalmente, isso é feito com a criação de um fórum
onde afiliados podem negociar seus serviços [ , 6] Obter acesso a esses fóruns normalmente
requer verificação pelos administradores do programa afiliado.
Vetores de infecção
Conforme discutido anteriormente, a primeira etapa exigida pelos criminosos para realizar uma atividade maliciosa é
dez infectando suas vítimas com malware. Para este fim, os criminosos precisam primeiro expor seus
vítimas potenciais do conteúdo malicioso e, em seguida, faça com que instalem em suas máquinas
(por meio de engano ou da exploração de uma vulnerabilidade de software em seu sistema). No seguinte
a seguir, pesquisamos três métodos populares de entrega de malware aos computadores das vítimas. Observação
que, embora outros vetores de infecção sejam possíveis, como acesso físico a uma rede ou
jacking uma rede sem fio, até o momento não temos conhecimento de qualquer compromisso em grande escala envolvendo
esses vetores de infecção e, portanto, não nos concentramos neles.
Anexos maliciosos. Possivelmente, o método mais antigo de entrega de malware é anexar ma-
software licioso para enviar e-mails de spam, disfarçando-o como conteúdo útil que o usuário pode querer
abrir. Esta técnica de propagação se tornou popular por worms de e-mail no início dos anos, como
6 https://www.secureworks.com/research/cryptowall-ransomware
www.cybok.org
como o verme 'eu te amo' [8 ], mas ainda é uma forma popular de entregar malware às vítimas [ ]
Na economia mercantilizada descrita anteriormente, é frequentemente o caso que um criminoso que
quer espalhar uma infecção de malware paga outro criminoso que já tem o controle de um bot
rede para entregar as cargas [ 6] Para ter sucesso, o conteúdo usado para este vetor de infecção
precisa convencer o usuário a clicar no anexo e instalá-lo. Para este fim, criminosos
costumam usar técnicas de engano para fazer o conteúdo parecer interessante e atraente, semelhante
às técnicas discutidas para phishing [ ] Este engano cai na área social
Engenharia [8 ]
Otimização de mecanismo de pesquisa de chapéu preto. Otimização do mecanismo de pesquisa (SEO) é uma prática popular
ferramenta pela qual os webmasters otimizam seu conteúdo para que seja melhor indexado pelos mecanismos de pesquisa
e aparece entre os primeiros resultados para pesquisas relevantes. Os cibercriminosos também estão interessados em
ter suas páginas da Web maliciosas aparecendo no alto dos resultados de pesquisa, porque isso aumenta o
chances de que vítimas em potencial os encontrem e cliquem neles. Para conseguir isso,
criminosos especializados oferecem serviços de SEO de chapéu preto . Como resultado desses serviços, sites maliciosos
os sites são colocados no topo das classificações do mecanismo de pesquisa para palavras-chave que não estão relacionadas com o
local na rede Internet [8 ] Isso acontece com frequência principalmente na proximidade de eventos populares (por exemplo, esportes
e eventos políticos), porque as pessoas estarão mais propensas a pesquisar palavras-chave relacionadas ao
evento. Para alcançar um SEO eficaz de chapéu preto, os cibercriminosos comprometem sites vulneráveis
e usá-los para promover as páginas da web de seus clientes (por exemplo, adicionando links invisíveis e texto
apontando para a página da web de destino).
Ataques de download drive-by. Embora enganar os usuários para que instalem malware funcione,
ter um método automatizado que não requer interação humana é mais vantajoso
para cibercriminosos. Para tanto, os cibercriminosos aperfeiçoaram o chamado download drive-by
ataques [8 ] Como parte de um desses ataques, a vítima visita uma página da web sob controle
do criminoso (por exemplo, encontrado por meio de SEO de chapéu preto) A página da web contém conteúdo malicioso
Código JavaScript que tentará explorar uma vulnerabilidade no navegador da Web do usuário ou em um
de seus plug-ins. Se for bem-sucedido, o navegador da Web será instruído a fazer o download automaticamente
e instale o malware.
Para hospedar seus scripts maliciosos, os cibercriminosos costumam comprometer sites legítimos [8 ]
Uma tendência alternativa é comprar espaço de anúncio na Web e servir a práticas maliciosas
tenda como parte do anúncio, em uma prática conhecida como malvertisement [8 ]
Comprometimento de dispositivos conectados à Internet. À medida que mais dispositivos são conectados ao Inter-
net (por exemplo, dispositivos de Internet das Coisas (IoT)), uma oportunidade adicional fornecida aos invasores é
escanear a Internet em busca de dispositivos que apresentem vulnerabilidades conhecidas e explorá-los para construir
grandes botnets. Um exemplo importante disso foi o botnet Mirai [68 ]
A infraestrutura
Outro elemento importante que os criminosos precisam para o sucesso de suas operações é onde
hospedar sua infraestrutura. Isso é importante para ambos os programas afiliados (por exemplo, onde hospedar
sites de compras fraudulentos), bem como para operações de botnet. Aplicação da lei e Inter-
Provedores de serviços líquidos (ISPs) monitoram continuamente os servidores em busca de evidências de malware
atividade [8 6], e irá retirá-los se esta atividade puder ser confirmada, o que colocaria o
operação criminosa em perigo.
Provedores de serviços de hospedagem à prova de balas. Para maximizar as chances de suas operações serem
Os criminosos cibernéticos de longa vida recorrem aos chamados provedores de serviços de hospedagem à prova de balas
, [
8 6] Esses provedores são bem conhecidos por não atender às solicitações de remoção das autoridades policiais.
www.cybok.org
Isso é possível por estar localizado em países com legislação frouxa para crimes cibernéticos ou
pelos operadores do provedor de serviços que subornam ativamente as autoridades locais [ ] A prova de balas
provedores de serviços de hospedagem normalmente cobram de seus clientes mais dinheiro do que um ISP normal
seria. Como tal, eles se tornam um hotspot de atividade ilícita, uma vez que usuários mal-intencionados se reúnem
lá por causa de suas garantias, mas os usuários legítimos não têm incentivos para usá-los. De-
apesar de fornecer maiores garantias para os cibercriminosos, provedores de serviços de hospedagem à prova de balas
não são invencíveis a esforços de queda. Em particular, os ISPs precisam estar conectados uns aos outros
ser capaz de rotear o tráfego, e um ISP que hospeda exclusivamente conteúdo malicioso pode ser
desconectado por outros provedores sem muitas consequências para o tráfego legítimo da Internet
c[ ]
Infraestrutura de comando e controle. Um botnet requer um comando e controle (C&C) infra-
estrutura à qual os computadores infectados podem ser instruídos a se conectar, receber pedidos e relatar
em andamento na operação maliciosa. Originalmente, os botnets usariam um único comando e
servidor de controle, embora este seja um único ponto de falha. Mesmo supondo que o servidor
foi hospedado por um provedor de hospedagem à prova de balas e, portanto, não pôde ser retirado, o fato
que o servidor tinha um endereço IP exclusivo significava que ele poderia ser facilmente colocado na lista negra pela segurança
empresas.
Para mitigar esse problema, os cibercriminosos criaram infraestruturas de C&C redundantes

e mais difícil de derrubar. Um exemplo é a infraestrutura de botnet multicamadas , onde
os bots são instruídos a se conectar a um servidor C&C intermediário , que é então responsável por
retransmitir as informações de e para um servidor de controle central [8 ] Esta infraestrutura torna
o botnet mais resiliente, porque mesmo que alguns dos relés sejam retirados, o C&C central
ainda está operacional e relés adicionais podem ser adicionados. Além disso, os computadores infectados
nunca veja o endereço IP do servidor central C&C , tornando mais difícil localizar e
Derrubar. Uma variação deste modelo são as redes de bots ponto a ponto , em que os computadores infectados com
particularmente boa conectividade e endereços IP públicos são 'eleitos' para atuar como retransmissores [8 8]
Essa infraestrutura aumenta a flexibilidade que o criminoso tem e reduz o custo do
operação, porque o criminoso não precisa gastar dinheiro para instalar retransmissores. Contudo,
a infraestrutura do botnet torna-se vulnerável à intração, por meio da qual os pesquisadores podem criar
bots falsos, são eleitos como retransmissores e, portanto, de repente são capazes de monitorar e modificar o tráfego
vindo do C&C central [] .
Técnicas adicionais usadas por cibercriminosos para tornar sua infraestrutura de controle mais eficaz
silientes são Fast Flux [ 6 ], onde os criminosos usam vários servidores associados ao C&C infra-
estruture e gire-os rapidamente para dificultar as remoções, e Domain Flux [8 ],
em que o nome de domínio associado ao servidor C&C também é alternado rapidamente. Ambos met-
Os ods são eficazes para tornar a operação mais resiliente, mas também tornam a operação
mais caro para o criminoso executar (ou seja, eles têm que comprar mais servidores e domínio
nomes).
www.cybok.org
Serviços especializados
Nesta seção, descrevemos serviços especializados que ajudam criminosos a configurar suas operações.
Além desses serviços maliciosos dedicados, outros que têm um uso legítimo (por exemplo,
VPNs, Tor) também são usados indevidamente por criminosos, por exemplo, hospedando sites do mercado de drogas no
Dark Net [ , 8]
Exploit kits. Na seção anterior, vimos que os ataques de download drive-by são um poderoso
arma que um cibercriminoso pode usar para infectar computadores com malware sem nenhum ser humano
interação. O problema com a execução eficaz desses ataques, no entanto, é que eles voltam
extinguir uma vulnerabilidade de software no sistema da vítima. Já que os cibercriminosos querem
para infectar o maior número de vítimas possível, é um desafio encontrar um exploit que pode funcionar
sistemas da maioria das vítimas potenciais. Além desse problema, exploits não envelhecem
bem, já que os fornecedores de software corrigem rotineiramente as vulnerabilidades que conhecem. Um cy-
criminoso executando uma operação de download drive-by sustentado, portanto, precisaria
agrupar explorações continuamente para várias vulnerabilidades, uma tarefa que é inviável, especialmente
quando o criminoso também tem que dirigir outras partes do negócio (por exemplo, a parte de monetização).
Assim que a vítima visita a página do kit de exploração, esta ferramenta primeiro imprime o sistema da vítima,
procurando uma vulnerabilidade potencial a ser explorada. Em seguida, ele entrega o exploit à vítima. Se
bem-sucedido, o computador da vítima é instruído a baixar o malware do cliente
escolha.
Essas questões criaram uma oportunidade para que criminosos especializados prestassem serviços para o
resto da comunidade. Isso levou à criação de kits de exploração [8 ], que são ferramentas que
coletam um grande número de vulnerabilidades e são vendidos no mercado negro para outros criminosos
usar. Um kit de exploração normalmente é acessível como um aplicativo da Web. Os clientes podem apontar seus
vítimas em relação a ele, comprometendo sites ou usando anúncios maliciosos.
Serviços de pagamento por instalação. Infectar os computadores das vítimas e manter um botnet é um processo complexo
tarefa, e a pesquisa mostrou que os operadores de malware que tentam fazer isso sem o
perícia adequada luta para fazer lucros [8 ] Para resolver este problema e satisfazer a demanda
para botnets estáveis, surgiu um novo serviço criminoso chamado serviço Pay Per Install (PPI) Ser-
vícios [8 8] Os operadores de PPI são proficientes na configuração de um botnet e no funcionamento adequado. Outro
os criminosos podem então pagar ao operador PPI para instalar malware nos computadores infectados em seus
em nome de. Os serviços PPI normalmente oferecem um bom nível de granularidade de escolha para seus clientes, que
não apenas escolhem quantas infecções querem instalar, mas também sua localização geográfica
(com bots em países desenvolvidos custando mais do que infecções em países em desenvolvimento [8 8]).
Uma vantagem de usar os serviços PPI é que eles tornam as operações cibercriminosas de seus clientes
mais resilientes: se o malware parar de funcionar, por exemplo, porque a aplicação da lei
desligou os servidores C&C que usa, o criminoso pode retomar as operações perguntando ao
Operador PPI para instalar uma versão atualizada de seu malware nas máquinas da vítima. Por esta
razão, esta simbiose de malware entre serviços PPI e outras botnets é muito comum em
o ecossistema criminoso (ver, por exemplo, a simbiose entre Pushdo e Cutwail [ ],
e entre Mebroot e Torpig [ 6]).
www.cybok.org
Serviços Humanos
Nesta seção, discutimos os serviços auxiliares que são necessários para um cyber-
operação criminosa para ter sucesso. Embora esses elementos geralmente não sejam considerados parte de
crimes cibernéticos, eles são tão importantes para o sucesso de uma operação cibercriminosa quanto mais
elementos técnicos.
Serviços de resolução de CAPTCHA. Em alguns casos, os cibercriminosos precisam configurar contas em
serviços online para iniciar suas operações (por exemplo, uma operação de spam em execução na rede social
trabalho [ , ]). Para se protegerem contra a criação automatizada de contas em grande escala,
no entanto, os serviços online usam amplamente CAPTCHAs, que são notoriamente difíceis para automatizar
programas para resolver. Para resolver este problema enfrentado pelos cibercriminosos, um novo serviço de solução CAPTCHA
vícios foram estabelecidos [8 ] Esses serviços tiram proveito dos trabalhadores de crowdsourcing.
Assim que o cliente que resolve o CAPTCHA encontra um CAPTCHA, isso é encaminhado pelo ser-
vício a um desses trabalhadores, que vai resolver. Dessa forma, o cliente pode prosseguir e criar
a conta no serviço online.
Em outros casos, os serviços online exigem que quem criou uma conta online receba um
o código é enviado por mensagem de texto para um número de telefone e o envia de volta ao serviço. Para superar isso
problema, os cibercriminosos podem usar serviços que automatizam esse tipo de interação [ ]
Contas falsas. Uma vez que criar contas falsas consome tempo e requer o uso de aux-
serviços iliários, como solucionadores CAPTCHA , cibercriminosos começaram a se especializar na criação
ação de contas falsas em vários serviços online e vendê-los no mercado negro [8 ]
Contas em serviços diferentes podem ter preços diferentes, dependendo da facilidade de criação
novas contas na plataforma e sobre a agressividade com que o serviço suspende suspeitas de falsificação
contas.
Um problema com contas falsas recém-adquiridas é que elas não têm um 're-
pontuação 'na rede social, reduzindo assim sua credibilidade às vítimas potenciais e seus
alcance na disseminação de mensagens maliciosas. Isso pode ser atenuado usando 'aumento de reputação'
serviços, que ajudam a construir uma rede de contatos para contas que de outra forma não
tem algum. Exemplos disso são serviços que oferecem curtidas falsas no Facebook [8 ] e atraindo
contas comprometidas a seguir os clientes do serviço no Twitter [8 ]
Geração de conteúdo. Em alguns casos, os cibercriminosos precisam configurar conteúdo falso para enviar para
suas vítimas, seja para e-mails de spam, sites falsos usados para SEO de chapéu preto ou online
sites de redes sociais. Para gerar esse conteúdo, os criminosos podem recrutar trabalhadores em
fóruns terrestres [8 6]
Mulas de dinheiro. O principal objetivo de muitas operações cibercriminosos é ganhar dinheiro com seus
vítimas. No entanto, extrair dinheiro de uma operação não é fácil. No caso de fraude bancária,
por exemplo, mesmo se os criminosos obtiverem acesso à conta bancária da vítima, eles ainda precisam
para transferir dinheiro para contas sob seu controle sem serem detectados e apreendidos.
Para facilitar essas operações de monetização, os criminosos se aproveitam de mulas de dinheiro [8 ]

São pessoas recrutadas por criminosos para realizar operações de lavagem de dinheiro
e tornar mais difícil para a aplicação da lei rastrear o dinheiro obtido de uma operação ilícita
eração. Em um esquema de mula de dinheiro, o criminoso recruta uma pessoa para agir como uma mula e envia
dinheiro usando meios rastreáveis (por exemplo, cheque ou transferência eletrônica). A mula é então
instruído a transferir o dinheiro para uma conta sob o controle do criminoso usando untrace-
meios capazes (por exemplo, Western Union). A mula também é informada de que pode manter uma porcentagem de
o valor como um pagamento. Uma vez que essas transações não rastreáveis precisam ser realizadas em
www.cybok.org
pessoa pela mula, eles constituem um ponto fraco na operação de monetização, o que significa que
A polícia pode identificar e prender a mula antes que o dinheiro seja transferido. Na verdade,
mesmo que o dinheiro roubado nunca seja mencionado, a mula está participando da lavagem de dinheiro quando
ele / ela aceita este trabalho.
Uma forma alternativa de monetizar operações maliciosas, que é usada em caso de roubo
cartões de crédito, está reenviando mulas [ ] Nessas operações, as agências criminosas recrutam
proteger usuários que anunciam um trabalho de 'agente de transporte'. Em seguida, outros criminosos podem recrutar os serviços
dessas agências e comprar itens caros usando cartões de crédito roubados (por exemplo, eletrônicos,
produtos de marca), enquanto os envia para o endereço residencial da mula. A mula é então instruída
para abrir os pacotes e reenviar as mercadorias para um endereço no exterior, onde serão vendidas no
o mercado negro.
Métodos de Pagamento
Como os criminosos precisam ter dinheiro transferido para eles, eles podem usar várias
métodos de pagamento, cada um carregando um nível diferente de risco e sendo mais ou menos familiarizado com
as vítimas.
Processadores de cartão de crédito. A maioria das transações online é realizada com cartões de crédito. Coletar
tantos clientes quanto possível, os cibercriminosos tendem a aceitar pagamentos com cartão de crédito também.
McCoy et al. mostrou que% spam af lia programas entre e aceitos
pagamentos com cartão de crédito [ 6 ], e que os serviços DDoS que não aceitavam cartões de crédito sofreram
no que diz respeito ao número de clientes que conseguiram atrair [ 8 ] Cartão de crédito
processadores controlam os estornos que uma empresa tem em suas contas, e muitos
reclamações de clientes geralmente resultam no encerramento das contas da empresa. Para
por esse motivo, muitas operações cibercriminosas oferecem 'suporte ao cliente' às suas vítimas, oferecendo
reembolsos se não ficarem satisfeitos com suas compras [8 ]
Um desafio que os cibercriminosos enfrentam é encontrar bancos que estejam dispostos a processar seus pagamentos
mentos. Normalmente, esses bancos cobrariam taxas de transação mais altas (-%) para cobrir
o risco de lidar com operações criminosas [ 6 ] Apesar do aumento das taxas, não é garantido
previu que a operação criminosa será segura: semelhante ao que acontece com o host à prova de balas
ing ISPs, os bancos precisam manter boas relações com seus pares, caso contrário, eles serão dis-
conectado a partir da rede nanceira [8 ]
Paypal. Outro método de pagamento familiar aos usuários é o Paypal. Por este motivo, Paypal
é freqüentemente aceita por criminosos que oferecem serviços ilícitos. Embora sejam fáceis de usar, os criminosos enfrentam o
problema de que a plataforma é centralizada e o Paypal pode rastrear pagamentos fraudulentos e
encerrar as contas que violarem os termos de serviço [8 ]
Western Union e outros pagamentos 'não rastreáveis'. Outras formas de pagamento oferecem mais
anonimato para os cibercriminosos e são menos arriscados, além de não serem tão regulamentados. Exame-
são trocas de dinheiro (por exemplo, Western Union, Money Gram) ou vouchers pré-pagos (Money
Parque). Estes são frequentemente usados por criminosos para transferir fundos [8 8] Para descontar o dinheiro, esses serviços
vícios requerem apenas um código único e um documento de identificação. Dependendo do país
onde o criminoso está localizado, no entanto, a exigência de identificação pode não ser muito rigorosa.
Historicamente, outros métodos de pagamento 'anônimos' existiram, como Liberty Reserve, Web
Dinheiro e eGold [ ] Essas moedas virtuais permitem que os criminosos façam pagamentos facilmente
porque eles aproveitaram as regulamentações vagas em seu país de origem (por exemplo, Liberty Reserve
estava sediado na Costa Rica). Após a repressão a esses métodos de pagamento por parte das autoridades policiais,
www.cybok.org
15
Break Into Server
Vulnerabilidade de exploração Roubar senha
Desenvolver Comprar Instalar Acho Extorquir de

Explorar Explorar Keylogger Senha Proprietário
Figura . : Exemplo de uma árvore de ataque que descreve a ação de invasão de um servidor.
os criminosos mudaram-se para outros métodos de pagamento.
Criptomoedas. No momento em que este artigo foi escrito, provavelmente a forma mais segura de pagamento para
criminosos são criptomoedas. Esses pagamentos se tornaram populares para vários tipos de
operações cibercriminosas, de ransomware [ 8 ] para pagamentos do mercado de drogas [ ] Enquanto re-
pesquisa mostrou que os clientes estão relutantes em usar serviços que aceitam apenas criptocur-
rencies [ 8 ], este tipo de pagamento ainda funciona quando as vítimas não têm escolha (por exemplo, no caso
de ransomware) ou estão muito motivados (por exemplo, no caso de mercados de drogas).
Embora mais anônimo do que outros métodos de pagamento, a pesquisa mostrou que os pagamentos
feito em Bitcoin pode ser rastreado [8 ] Além disso, muitas vezes as criptomoedas precisam ser convertidas
em dinheiro real por criminosos, e o dinheiro deixa de ser anônimo nesse ponto. Adicional
preocupações surgem dos riscos envolvidos em fazer pagamentos em bolsas de criptomoedas.
Moore et al. mostrou que não é incomum que as trocas de Bitcoins sofram violações que
resultar em perdas de moeda [8 ] Saia dos golpes, onde uma troca desaparece com toda a moeda
rência armazenada nele, também são um problema [8 ]
. MODELOS PARA COMPREENDER OPERAÇÕES MALICIOSAS

[] [ 8] [ 8 , 8 , 8] [ ] [ 8]
Conforme mostrado nas seções anteriores, as operações maliciosas podem ser bastante complexas e envolver
múltiplos elementos técnicos e múltiplos atores. É, portanto, necessário que os defensores
têm os meios adequados para compreender essas operações, para que possam desenvolver o
melhores contramedidas. A seguir, levantamos uma série de modelos que foram
proposto para modelar operações maliciosas. Esses modelos vêm de várias áreas de pesquisa,
incluindo segurança de computador, criminologia e estudos de guerra. Observe que por razões de espaço nós
não pode discutir todas as técnicas que foram propostas na literatura para modelar ataques.
Para uma lista mais abrangente, indicamos ao leitor [8 6]
Árvores de ataque
A primeira forma de modelar ataques contra sistemas de computador envolve árvores de ataque [] . Ataque
as árvores fornecem uma maneira formalizada de visualizar a segurança de um sistema durante um ataque. Em um ataque
árvore, o nó raiz é o objetivo do ataque, e seus nós filhos são as maneiras que um invasor pode
atingir esse objetivo. Descendo na árvore, cada nó se torna um sub-objetivo que é necessário para o

www.cybok.org
ataque para ter sucesso, e seus filhos são maneiras possíveis de alcançá-lo.
Figura . representa um exemplo de árvore de ataque. Neste exemplo, os atacantes visam

comprometer um servidor. Para fazer isso, eles têm duas opções: eles podem explorar uma vulnerabilidade
ou eles podem obter a senha da conta root e efetuar login usando meios normais. Para explorar
uma vulnerabilidade, eles podem desenvolver a exploração por conta própria ou comprar um já existente
um, talvez por meio de um kit de exploração. Se os invasores decidirem usar a senha da conta para
logar no servidor, eles primeiro precisam obtê-lo. Para fazer isso, eles podem instalar malware no
computador do administrador do servidor para registrar a senha conforme eles a inserem (ou seja, um keylogger), adivinhe
a senha usando uma lista das mais usadas ou executar um ataque de força bruta e, finalmente
extorquir a senha do proprietário. O gráfico de ataque poderia ser refinado ainda mais com
as possíveis maneiras de o invasor realizar essas ações (por exemplo, extorquir a senha
chantagear o proprietário, sequestrá-lo etc.).
As árvores de ataque permitem dois tipos de nós, ' ou ' nós e ' e ' nós. Nós 'ou' representam o
maneiras diferentes de os atacantes atingirem um objetivo (ou seja, os filhos de qualquer nó na Figura) .) 'E'
nós, por outro lado, representam as diferentes etapas que todos precisam ser concluídos para
alcançar a meta. Uma vez que a árvore foi criada, os analistas de segurança podem anotá-la como
avaliar o risco do sistema para o ataque, por exemplo, marcando as várias estratégias de ataque como
viável ou inviável, atribuindo pontuações de probabilidade a eles ou estimando o custo para
um invasor para executar uma determinada ação. As pontuações podem ser propagadas ao longo da árvore
seguindo regras específicas [ ] para avaliar a viabilidade geral e a probabilidade do ataque.
Outro modelo relacionado às árvores de ataque são os gráficos de ataque [8 ] Enquanto as árvores de ataque são
limitado a alvos únicos, os gráficos de ataque permitem modelar atores de ataque, vetores, vulnerabilidades,
e ativos. Outro modelo útil para entender os ataques de rede são as redes de ataque [8 8]
Mate as correntes
Outra ferramenta útil que pode ser usada para modelar e entender os ataques são as cadeias de destruição . No
contexto militar, uma cadeia de morte é um modelo que identifica as várias fases envolvidas em um ataque
aderência. No mundo da informática, Hutchins et al. desenvolveu uma Cyber Kill Chain [8 ] que modela
as diferentes etapas envolvidas em uma operação maliciosa conduzida contra sistemas de computador.
Em seu modelo, Hutchins et al. identificar sete fases. O modelo é projetado para operações
onde o invasor identifica, compromete e posteriormente explora um sistema de computador e, portanto,
portanto, nem todas as fases se aplicam a todos os comportamentos adversários discutidos neste documento.
As sete fases são as seguintes:
. Reconhecimento , quando os atacantes identificam possíveis alvos. Esta fase pode compreender
um invasor varrendo a rede à procura de servidores vulneráveis ou um comprador de spammer
uma lista de endereços de e-mail de vítimas no mercado negro.
. Armamento , quando um atacante prepara a carga de ataque para uso. Isso poderia con
consistir no desenvolvimento de uma exploração de software contra uma vulnerabilidade ou criação recém-identificada
um e-mail de fraude de taxa antecipada.
. Entrega , quando o atacante transmite a carga útil para sua vítima. Isso poderia consistir em
configurar um servidor da web malicioso, comprar espaço publicitário para executar um malver
tising ataque ou enviar um e-mail contendo um anexo malicioso.
https://en.wikipedia.org/wiki/Kill_chain
www.cybok.org
. Exploração , quando a vulnerabilidade do alvo é explorada. Esta fase pode implicar um drive-
por ataque de download ou a vítima sendo induzida a clicar em um anexo malicioso
através do engano.
. Instalação , quando o software malicioso é baixado, permitindo assim que o invasor ben-
et da máquina da vítima. Em seu artigo, Hutchins et al. considerado um invasor quer
para manter acesso constante ao computador da vítima, usando um tipo de malware conhecido
como um Trojan de acesso remoto (RATO) [ 8]
6. Comando e controle , quando o invasor estabelece uma infraestrutura de C&C e uma

protocolo de comunicação para controlar o computador infectado.
. Ações sobre os objetivos , quando a infecção é monetizada. Isso pode envolver roubo
informações confidenciais do computador da vítima, criptografando os dados da vítima com
somware, mineração de criptomoedas, etc.
Para cada uma das sete etapas, Hutchins et al. estratégias identificadas para interromper o mal-intencionado
operações, seguindo cinco objetivos possíveis (detectar, negar, interromper, degradar, enganar). Exemplos
dessas técnicas incluem correção de vulnerabilidades, configuração de sistemas de detecção de intrusão
na rede ou enganando o invasor configurando honeypots [8 ]
Cadeias de morte semelhantes foram propostas por outros pesquisadores ao longo dos anos. Um exemplo é o
um proposto por Gu et al. para modelar infecções de botnet [688] Neste modelo, os autores identificam
cinco fases em que uma infecção é separada: uma varredura de entrada (semelhante à fase um no
modelo descrito anteriormente), uma infecção de entrada (semelhante à fase quatro do anterior
modelo), um download de 'ovo' (análogo à fase cinco), uma fase C&C (o mesmo que a fase seis),
e uma varredura de saída. No momento de desenvolver este modelo, os botnets agiam principalmente como
worms de computador [8 ], procurando computadores vulneráveis, infectando-os e usando-os
para se propagar ainda mais. Embora este modelo representasse corretamente os primeiros botnets, ele parou de mapear
realidade quando os botmasters começaram a usar outros métodos para instalar malware e monetizar
suas infecções. Hoje em dia, os vermes estão quase extintos, com exceção dos infames
Malware WannaCry [8 ] Este exemplo mostra que é difícil desenvolver modelos de atacante
comportamentos que são resilientes a mudanças no modus operandi dos atacantes.
Criminologia ambiental
Embora o cibercrime seja uma ameaça relativamente nova, o crime físico tem sido estudado por estudiosos para
décadas. É, portanto, interessante investigar se este corpo de conhecimento estabelecido
A vantagem pode ser aplicada para melhor compreender e mitigar a ameaça emergente do crime online.
A criminologia ambiental, em particular, é um ramo da criminologia que se concentra na criminalidade
padrões em relação ao espaço onde estão comprometidos e às atividades dos atores
envolvidos (vítimas, perpetradores e tutores) [8 ] Um desafio particular que surge quando
que tentamos aplicar a teoria da criminologia ambiental ao crime cibernético é que o conceito de
'lugar' na Internet não é tão bem definido como no mundo real. A seguir, nós brevemente
analise os conceitos-chave da criminologia ambiental e forneça alguns exemplos de como
eles poderiam ser aplicados para mitigar o crime na Internet.
Teoria da atividade de rotina. A teoria da atividade de rotina é um conceito comumente usado em ambiente
criminologia, postulando que a ocorrência de crime é principalmente influenciada por uma
oportunidade para alguém cometer um crime [8 ] Em particular, a teoria da atividade de rotina afirma que
para que um crime aconteça, três componentes precisam convergir: (i) um criminoso motivado, (ii) um
alvo adequado e (iii) a ausência de um guardião capaz.

www.cybok.org
Esses conceitos podem ser úteis para melhor modelar atividades maliciosas online. Por exemplo,
a pesquisa mostrou que a atividade de botnet atinge um pico durante o dia, quando a maioria das vulnerabilidades
computadores aptos são ligados e as vítimas os estão usando, embora caia significativamente
durante a noite [ 6] Em termos da teoria da atividade de rotina, isso pode ser traduzido no fato de que quando
mais vítimas em potencial estão online, a oportunidade para os criminosos infectá-las aumenta e
isso resulta em um aumento na atividade do botnet.
Teoria da escolha racional. A teoria da escolha racional visa fornecer um modelo de por que os infratores
fazer escolhas racionais para cometer crimes [8 ] No caso do cibercrime, este modelo poderia
ser útil para entender a reação dos criminosos à mitigação como uma escolha racional, e
ajudar a modelar as questões de implementação introduzidas pela prevenção situacional do crime, como
como deslocamento. Por exemplo, quando um provedor de hospedagem à prova de balas é retirado por lei
fiscalização, quais fatores influenciam na escolha do criminoso do próximo provedor?
Teoria padrão do crime. Outra teoria, chamada de teoria padrão do crime , permite que os pesquisadores
para identificar vários locais que estão relacionados com o crime. Esses lugares são susceptíveis de atrair a ofensa-
( atratores de crime ), eles geram crime pela disponibilidade de oportunidades de crime (crime
geradores ) e possibilitam o crime pela ausência de gestores de local ( facilitadores do crime ).
Embora definir lugares no ciberespaço não seja tão simples quanto no espaço físico, pense-
em termos de teoria de padrões pode ajudar a identificar locais que são pontos críticos para o crime cibernético,
se são alvos particularmente atraentes, como corporações que armazenam dados confidenciais
(atratores), sistemas mal configurados que são mais fáceis de comprometer (geradores) ou online
serviços com higiene precária que não reagem prontamente a spam / malware postado em sua plataforma
formulários (habilitadores). A identificação desses pontos de acesso pode, então, ser usada para projetar contra-
medidas contra a atividade maliciosa (por exemplo, a quem direcionar as campanhas educacionais).
Prevenção do crime situacional. A prevenção situacional do crime compreende um conjunto de teorias e
técnicas que visam reduzir o crime, reduzindo as oportunidades de crime [8 ] As ideias
por trás da prevenção situacional do crime são baseadas em três conceitos principais, que também se aplicam a
cibercrime:
• É muito mais provável que o crime aconteça em certos lugares ( pontos críticos ). Esta ideia se aplica a
o contexto do cibercrime. Como vimos, os criminosos tendem a concentrar seus males
servidores ciosos em provedores de serviços de hospedagem à prova de balas, que lhes fornecem garantia
tees que suas operações podem continuar por longos períodos de tempo. Na extremidade oposta
do espectro, em relação às vítimas, os criminosos tendem a visar computadores com vulneráveis
configurações de software, que também constituem pontos de acesso nesta acepção.
• O crime está concentrado em 'produtos quentes' em particular. Isso também se aplica ao crime cibernético, com
canalhas se concentrando em quaisquer operações que gerem os maiores lucros (ou seja, no momento
de escrita, ransomware).
• Vítimas repetidas têm maior probabilidade de sofrer crimes em comparação com outras pessoas. No
contexto do cibercrime, o mesmo conceito se aplica. Um computador vulnerável que não é
patcheado provavelmente será comprometido novamente [8 ] Da mesma forma, no caso de taxa de adiantamento
fraude, as vítimas tendem a cair repetidamente na fraude, porque a narrativa usada pelo
os criminosos ressoam particularmente com eles [ ] Além da predisposição natural
das vítimas que caem em golpes semelhantes novamente, os criminosos procuram ativamente entrar em contato com as vítimas anteriores
de fraude, compilando as chamadas listas de otários e compartilhando-as entre si [8 6]
Para reduzir as oportunidades de crime, a prevenção situacional do crime propõe cinco categorias
de mitigações. A seguir, nós os listamos junto com alguns exemplos de mitigações contra
www.cybok.org
crimes cibernéticos que foram propostos na literatura da ciência da computação e que podem ser
agrupados nestas categorias:
• Aumentar o esforço do crime. As atenuações aqui incluem a implantação de paredes e configuração

atualizações automatizadas para software instalado em computadores.
• Aumentar o risco de crime. As atenuações aqui incluem a redução do anonimato no pagamento (por exemplo,
solicitar um documento de identidade quando alguém descontar dinheiro do Western Union).
• Reduza recompensas. As atenuações aqui incluem o bloqueio de pagamentos supiciosos ou parcelas, ou

penalizando resultados de pesquisa maliciosos.
• Reduza as provocações. Os exemplos aqui incluem a aplicação de pressão de pares a ISPs não autorizados e
bancos.
• Remova as desculpas. Mitigações típicas nesta categoria incluem a realização de campanhas educacionais
paigns ou configurar redirecionamentos automatizados para desviar as vítimas que teriam visto mali
conteúdo importante, explique-lhes o que aconteceu e incentive-os a proteger seus sistemas.
Um aspecto interessante da estrutura de prevenção situacional do crime é que ela identifica,

para cada mitigação, os problemas de implementação que surgem ao colocar a mitigação em
Lugar, colocar [8 ] No caso do crime cibernético, as duas questões de implementação mais relevantes
são adaptação e deslocamento .
A adaptação incorpora o fato de que os criminosos tentarão ativamente contornar qualquer mitigação
ção tornando sua operação mais furtiva ou mais sofisticada. Esta é uma corrida armamentista típica
que pode ser observado em pesquisas de segurança de computador. Quando os pesquisadores começaram a compilar
listas negras de endereços IP conhecidos por pertencerem a servidores C&C , os criminosos reagiram desenvolvendo
Fluxo rápido. Quando fazer pagamentos por meios tradicionais se tornou mais difícil devido a
Com o aumento da verificação, os criminosos passaram a criptomoedas. Considerando que a adaptação é importante
importante ao projetar medidas de mitigação contra o crime cibernético. Em particular, mitigações eficazes são
aqueles aos quais o criminoso não pode reagir facilmente, ou onde a adaptação vem em um nanceiro
preço (por exemplo, uma redução na receita).
O deslocamento representa o fato de que uma vez que as mitigações são implementadas, os criminosos podem simplesmente
mover suas operações para outro lugar. Enquanto no mundo físico, a distância que os criminosos podem viajar é
ditado por restrições práticas, na Internet mover-se de um 'lugar' para outro é virtu-
almente grátis. Exemplos de deslocamento incluem criminosos que começam a registrar domínios DNS com
outro registrador depois de seu preferencial aumentou o preço do domínio para conter o uso indevido [8 ], ou
uma infinidade de mercados de drogas se abrindo para preencher a lacuna deixada pela queda do Silk Road] [Deslocar-
efeitos mentais são importantes ao planejar ações contra o crime cibernético. De um modo geral, um
a mitigação deve tornar difícil para os criminosos se mudarem para outro lugar. Por outro lado, um atenuante
ação que simplesmente desloca uma operação cibercriminosa sem afetar sua eficácia é
provavelmente não vale a pena perseguir.
Os pesquisadores aplicaram a Prevenção de Crimes Situacionais a uma série de crimes informáticos,

incluindo violações de dados organizacionais [8 ] e a mitigação de vulnerabilidades de software
laços [8 ] Após a discussão nesta seção, no entanto, esta estrutura pode ser aplicada
a qualquer atividade criminosa que aconteça online.
Script de crime. Outra técnica útil que pode auxiliar na análise de atividades maliciosas em
a Internet do campo da criminologia é script de crime [8 8] Como parte desta técnica,
pesquisadores extrapolam a sequência de etapas executadas por um adversário para cometer seus
ofensas. Por exemplo, em um golpe de romance, os fraudadores criam uma conta falsa em um namoro

www.cybok.org
per l, ao identificar uma vítima adequada, passam por uma fase de catação, seguida da própria
fraude quando o golpista pede dinheiro à vítima. Dissecando as várias etapas de um
ofensa pode ser útil para melhor compreendê-la e para identificar possíveis intervenções. Crime
o script está de alguma forma relacionado às cadeias de destruição, embora as duas técnicas tenham sido desenvolvidas em
áreas totalmente independentes.
Modelando a economia subterrânea como um fluxo de capital

Conforme discutido na Seção ., muitas operações maliciosas são realizadas por criminosos com o
objetivo de ganhar dinheiro com suas vítimas. Por esse motivo, seguir o fluxo de dinheiro é um
maneira útil de entender melhor as operações maliciosas e, em particular, identificar gargalos
que poderia ser aproveitado para desenvolver mitigações contra eles e deter os criminosos [8 , 8]
Thomas et al. apresentou um modelo que foi projetado para acompanhar um fluxo de dinheiro dentro de um sistema cibernético
operação criminosa [8 ] Como parte deste modelo, eles introduziram dois elementos que são necessários
para que uma operação de cibercrime seja executada: centros de lucro , por meio dos quais as vítimas transferem novo capital
na operação criminosa, e centros de apoio , que podem facilitar a operação criminosa por
prestação de vários serviços mediante pagamento. O dinheiro é introduzido no ecossistema por meio do lucro
centros, e então é consumido pelos vários atores envolvidos nele, que fornecem ferramentas e
serviços uns para os outros. Por exemplo, em uma operação de spam por e-mail, o centro de lucros
ser vítimas de compra de medicamentos falsificados de um programa afiliado, enquanto todos os
serviços necessários para que os spammers operem (por exemplo, provedores de hospedagem à prova de balas para hospedar o
Servidores C&C , serviços pay-per-install para entregar malware, serviços de geração de conteúdo para
criar o conteúdo de spam) são centros de suporte. Este modelo fornece um conceito interessante
análise de como o dinheiro flui para o ecossistema do cibercriminoso e como a riqueza é dividida
entre os diferentes atores lá. Fazendo referência cruzada com dados do mundo real, ele também pode
ajudam a formar uma ideia do lucro que cada criminoso está ganhando, e da receita do
Operação.
Outro aspecto interessante de rastrear o fluxo de caixa das operações de cibercriminosos é que em
em algum momento, os criminosos vão querer sacar, o que será feito usando o pagamento tradicional
métodos (consulte a seção .) Uma vez que essas interações acontecem no mundo físico, é mais fácil
para a aplicação da lei rastreá-los e potencialmente apreender os criminosos [8 ]
Atribuição de ataque
Ao falar sobre atividades maliciosas, a atribuição é importante. A aplicação da lei é inter-
está empenhada em compreender quais são os criminosos por trás de uma determinada operação e, em particular,
tributar operações cibercriminosas aparentemente não relacionadas aos mesmos atores pode ajudar a construir
um caso legal contra eles. Da mesma forma, os governos estão interessados em identificar o
culpados por trás dos ataques que recebem. Em particular, eles estão interessados em descobrir quais
estados-nação (ou seja, países) estão por trás desses ataques.
A atribuição, no entanto, é um tópico controverso no ciberespaço. Como discutimos anteriormente, o

conceito de 'local' é relativo para ataques de computador, e os invasores podem facilmente rotear sua rede
conexões de trabalho através de proxies ou máquinas comprometidas em terceiros países, ocultando assim
sua localização real. É razoável supor que os mesmos atores seguirão um semelhante
modus operandi em seus ataques e, em particular, usará os mesmos exploits de software para quebrar
nos sistemas de suas vítimas. Esses exploits e artefatos de código podem ser usados para identificar o estado
grupos patrocinados ou outros invasores (consulte a Área de Conhecimento de Tecnologia de Malware e Ataque
(Seção 6..), para mais detalhes). Infelizmente, essa abordagem tem duas desvantagens principais. O
www.cybok.org
A primeira é que a mercantilização dos serviços do cibercrime permitiu que os invasores usassem exploit
kits, que contêm um grande número de exploits e, portanto, aumentam a probabilidade de um ataque
aderência acontecendo. Embora vantajoso para os invasores, essa tendência significa que os exploits usados
vem um sinal menos significativo para identificar invasores, especialmente aqueles que não têm o
sofisticação para explorar vulnerabilidades internamente (por exemplo, cibercriminosos habilitados para a Internet). O ex-
A percepção dessa tendência são os atores patrocinados pelo Estado, que, ao contrário dos criminosos tradicionais, geralmente têm
alvos muito específicos. Por esse motivo, eles podem ajustar seus ataques com mais cuidado e até mesmo
desenvolver novos exploits para atingir uma vítima específica. Mais importante, eles costumam desenvolver exploits
para vulnerabilidades que não são conhecidas publicamente, também conhecidas como ataques de dia zero [ ] Sendo
exclusivos de um ator, eles podem ser usados para identificar quem está por trás de um ataque específico. Um problema
aqui é que, uma vez que um exploit é usado, ele pode ser interceptado pela vítima (ou qualquer pessoa no
rede) e posteriormente usado contra outro alvo afetado pela mesma vulnerabilidade. Isso seria
enganar ativamente a atribuição. Vazamentos recentes mostraram que a CIA tem coletado ativamente
explorando explorações usadas por outros estados-nação e adicionando-as ao seu arsenal, permitindo-lhes
para fazer parecer que outro país estava por trás de qualquer ataque de computador.8
Rid et al. propôs uma estrutura para sistematizar os esforços de atribuição de ataques cibernéticos [8 ]
Dentro desta estrutura, eles identificaram três camadas de análise que são necessárias para
executar atribuição: tática, operacional e estratégica. O componente tático consiste em
compreender os aspectos técnicos que compuseram o ataque (o como ), o operacional
componente consiste em compreender a arquitetura de características de alto nível do ataque e
o tipo de invasor com o qual estamos lidando (o quê ), enquanto o componente estratégico trata
com a compreensão da motivação por trás do ataque (o porquê ).
Embora essa estrutura tenha sido desenvolvida com ataques patrocinados pelo estado em mente, ela pode ser usada
para atribuir outros tipos de atividades maliciosas. Por exemplo, para atribuir um ataque de ódio online
orquestrado pelo Conselho Politicamente Incorreto da chan, [ ] alguém poderia rastrear as mensagens de ódio
chegar à vítima ( como ), observe as informações pessoais da vítima no quadro (o que )
e analisar a discussão sobre a vítima para entender a motivação por trás do ataque
( por que ).
CONCLUSÃO
Neste documento, apresentamos uma visão geral dos comportamentos adversários que existem no
Internet no momento em que este artigo foi escrito. Pesquisamos vários tipos de operações maliciosas, depend
nas motivações e capacidades do invasor, e analisou os componentes que são
necessário para configurar operações maliciosas bem-sucedidas. Finalmente, descrevemos uma série de mod-
elling técnicas de uma variedade de campos (ciência da computação, criminologia, estudos de guerra) que
pode ajudar pesquisadores e profissionais a modelar melhor essas operações. Argumentamos que
ing bons modelos é de fundamental importância para o desenvolvimento de mitigações eficazes que são
difícil de contornar.
8 https://en.wikipedia.org/wiki/Vault_
www.cybok.org
Seções Cita
Uma Caracterização dos Adversários

Crimes cibernéticos e ciberdependentes [ ]
Ofensores interpessoais [ , 6, , , ]
Criminosos organizados cibernéticos [ , , ]
Criminosos organizados cibernéticos [ , 6,, , 6 , 8 , 8]
Hacktivistas [ , 6, ]
Atores estatais [8, , 8 , 8]
Os elementos de uma operação maliciosa

Programas afiliados [6,8]
Vetores de infecção [ , 8]
A infraestrutura [6,86,88]
Serviços especializados [8 , 8 8]
Serviços Humanos [ , 8 , 8 , 8]
Métodos de Pagamento [6,8,8]
Modelos para compreender operações maliciosas

Árvores de ataque []
Criminologia ambiental [8 , 8 , 8]
Modelando a economia subterrânea como um fluxo de capital [ ]
Atribuição de ataque [8 ]
www.cybok.org
Página 277
Capítulo 8
Operações de segurança e
Gestão de Incidentes
Hervé Debar Telecom SudParis

www.cybok.org
INTRODUÇÃO
As raízes das operações de segurança e gerenciamento de incidentes (ENTÃO EU ESTOU) podem ser rastreados até a origem
relatório final de James Anderson [8 ] em 8. Este relatório teoriza que a proteção total do
a infraestrutura de informação e comunicação é impossível. De uma perspectiva técnica,
exigiria controle e certificação completos e onipresentes, o que bloquearia ou limitaria
utilidade e usabilidade. Do ponto de vista econômico, o custo das medidas de proteção
e a perda relacionada ao uso limitado requer efetivamente um equilíbrio entre abertura e
protecção, geralmente a favor da abertura. A partir daí, o relatório promove o uso de
técnicas de detecção para complementar a proteção. Os próximos dez anos viram o desenvolvimento de
a teoria original de detecção de intrusão por Denning [8 ], que ainda forma o teórico
base da maior parte do trabalho detalhado neste KA.
Operações de segurança e gerenciamento de incidentes podem ser vistos como um aplicativo e um sistema automático
ção do Monitor Analisar Plano Executar-Conhecimento (MAPE-K) loop de computação autônomo
para cibersegurança [8 ], mesmo que este loop tenha sido definido mais tarde do que os desenvolvimentos iniciais de
ENTÃO EU ESTOU. A computação autônoma visa adaptar os sistemas de TIC às mudanças nas condições de operação.
O laço, descrito na figura 8., é impulsionado pelo eventos que fornecem informações sobre o atual
comportamento do sistema. As várias etapas sequenciais do loop analisam o fluxo de eventos
(vestígio) para fornecer feedback ao sistema, mudando seu comportamento de acordo com as observações
e políticas, permitindo a adaptação automática para melhor atender os usuários. O desenvolvimento
mentos de SOIM aumentaram em automação e complexidade ao longo dos anos, como resultado de
nossa confiança cada vez maior na prestação de serviço adequada da infraestrutura de TIC . Estes desenvolvem
Os opcionais lentamente cobriram a maior parte do espectro do loop MAPE-K .
Após quase anos de pesquisa e desenvolvimento, o Agente de Operações de Segurança e Incidente

O domínio de gerenciamento atingiu maturidade suficiente para ser implantado em muitos ambientes.
Embora os primeiros usuários estivessem localizados principalmente em TIC-setores intensivos, como telecomunicações e bancos-
ing, está encontrando seu lugar em setores que estão cada vez mais adotando ou convertendo para o digital
tecnologias. No entanto, a pesquisa ainda é muito ativa para lidar com os muitos desafios restantes.
Com relação à detecção, novos ambientes emergentes impulsionados por novas tecnologias e serviços
vícios estão exigindo a aquisição e análise de novos fluxos de dados. As ferramentas, técnicas
e os processos disponíveis hoje para detectar e mitigar ameaças também falham regularmente em
impedir que invasores bem-sucedidos penetrem e comprometam as infraestruturas de TIC , sem
usuários regulares percebendo. Evento extremamente grandes também ocorrem em intervalos regulares, e lá
é uma necessidade definitiva de progresso em termos de reação a ataques.
A descrição da área de conhecimento de Operações de Segurança e Gerenciamento de Incidentes começa por em

apresentando um pouco do vocabulário, processos e arquitetura da seção 8.. Em seguida, segue
os conceitos de loop, discutindo a detecção no nível do sensor , ambos olhando para as fontes de dados
( Monitor , seção 8.) e algoritmos de detecção ( Analisar , seção 8.) Em seguida, discute Secu-
Gestão de informações e eventos da cidade, instanciando Analyze de uma perspectiva mais global
do que o sensors, Plano na seção 8. e exemplos de Executar . Usando a orquestração de segurança,
Análise e relatórios (PLANAR) conceito, desenvolve ainda mais os aspectos modernos do Plano
e Executar as atividades da seção 8.. Claro, todas essas atividades são construídas sobre um Conhecimento
base. Vários componentes de conhecimento são descritos na seção 8.6. O KA conclui com
fatores humanos na seção 8..
Operações de segurança e gerenciamento de incidentes da KA | Outubro Página
www.cybok.org
CONTENTE
8 CONCEITOS FUNDAMENTAIS
[8 , 8]
O domínio SOIM assume que o fluxo de trabalho do loop MAPE-K é implementado em

componentes, implantados em uma infraestrutura de TIC . Seção 8.. estabelece alguns fundamentos
referências de vocabulário no domínio SOIM e seção 8.. descreve a implantação de
esses conceitos em uma infraestrutura genérica de TIC .
8.. Fluxos de trabalho e vocabulário

Figura 8. adapta o loop MAPE-K genérico para SOIM. Além de o sistema de TIC ser pro
protegidos e monitorados para detectar ataques, dois atores principais influenciam a evolução do loop;
a Internet como um todo e o contexto regulatório em que o sistema de TIC fornece serviços.
A Internet é a fonte de solicitações de serviço e ameaças, mas também de inteligência sobre
essas ameaças. Órgãos reguladores, como agências nacionais e órgãos da indústria, fornecem anúncios
informações adicionais sobre ameaças e detecção e solicitar compartilhamento de informações.
Figura 8.: Loop de computação autonômica MAPE-K instanciado para SOIM
A Figura 8. ilustra as posições dos componentes que realizam os fluxos de trabalho SOIM , usando
ing três loops parciais. O mais interno, Sistema de detecção de intrusãos (IDS), era o assunto
dos primeiros trabalhos, cobrindo monitoramento e detecção. O segundo, Informações de Segurança

www.cybok.org
e gerenciamento de eventos (SIEM) plataformas, detecção estendida e começou a cobrir a resposta

planejamento e execução. Mais recentemente, Orquestração de Segurança, Análise e Relatórios (PLANAR)
plataformas têm impulsionado análises e respostas adicionais, permitindo um sistema mais avançado e global
respostas a ameaças cibernéticas. A base de conhecimento usada em SOIM foi gradualmente expandida ao longo
ao longo dos anos, à medida que mais inteligência se tornou necessária para detectar e mitigar ataques. O
a principal diferença entre conhecimento e eventos é o tempo. Os eventos são produzidos e consumidos,
enquanto o conhecimento é mais estável.
A atividade do Monitor é essencialmente coberta pelo IDSes. As várias fontes de dados incluídas no
o escopo do monitoramento são descritos na seção 8..
A atividade Analisar , também coberta pelo IDSes, visa determinar se algumas das informações
ção adquirida constitui evidência de um ataque potencial. De a, muitas pesquisas
projetos desenvolvidos protótipos avançados de Sistema de Detecção de Intrusão . Como resultado, o primeiro
IDS baseado em rede foi comercializado em 6, automatizando a primeira parte do MAPE-K
ciclo. No entanto, a seção 8. ilustra que as restrições associadas a eventos em tempo real
o processamento e a cobertura limitada requerem ferramentas adicionais. Este é o objetivo do segundo
loop, plataformas SIEM .
A tecnologia evoluiu a um ponto em que IDSes foram transformados em Intrusion Pre-

Sistema de Prevençãos ( IDPS) [ 8] Isso é elaborado mais detalhadamente na seção 8... O texto do KA
usará deslocados a partir de agora, a não ser quando o conceito está se concentrando em detecção, onde IDS vai
permanecer.
A atividade de planejamento é essencialmente o domínio das plataformas SIEM . A implantação desses sensores IDSs
criou a necessidade de gerenciar grandes volumes operacionais de alertas, o que levou ao desenvolvimento
implementação dessas plataformas SIEM . Eles fornecem uma análise adicional e um planejamento inicial para refazer
esponja para atacars. Essas plataformas de grande escala, complexas e caras agora estão consolidadas
no Centro de Operação de Segurança (SOC), fornecendo recursos tecnológicos e humanos.
Agora estamos implantando a segunda geração dessas plataformas SIEM para acomodar
crescentemente grandes volumes de diversos dados e para fornecer recursos de processamento adicionais.
A atividade de execução começou a ser implementada em plataformas SIEM principalmente por meio de pro- manuais
cesses. Orquestradores de segurança ou componentes dedicados agora permitem automação parcial
ção de feedback para a infraestrutura de TIC , embora esta atividade seja menos madura do que as outras
ers.
As três primeiras atividades ( Monitorar , Analisar , Planejar ) agora são total ou parcialmente automatizadas. Au-
automação é absolutamente necessária para lidar com a grande quantidade de dados de eventos gerados por
sistemas modernos de TIC , e para descrever o vasto corpo de conhecimento relacionado a ataques cibernéticos.
Todos eles contam com um grande corpo de conhecimento, abrangendo, por exemplo, a con guração de um mon-
sistema itored, ou assinatura de detecçãos de muitos tipos e formas. Novas tendências também estão surgindo
por exemplo, Cyber-Threat Intelligence (CTI) (seção 8.6.), para melhor compreender e de-
defenda-se contra ataques cibernéticos. Este é o tópico de Orquestração de segurança, análises e relatórios
(PLANAR), que visa apoiar melhores respostas às ameaças, bem como mais informações globais
troca de informações. A sigla SOAR descreve um conjunto cada vez mais necessário de funcionalidades
estendendo a cobertura SOIM para gerenciamento de riscos e incidentes.
www.cybok.org
8.. Princípios arquitetônicos

A cibersegurança não funciona no vácuo. O Gerenciamento de Operações de Segurança e Incidentes
O domínio de ment pressupõe que haja um sistema de TIC a ser protegido. Assim, uma implantação SOIM
ment pressupõe alguns princípios gerais de arquitetura em que ferramentas e processos podem ser
implantado. Esses conceitos são descritos na figura 8..
Figura 8.: Implantação simplificada de tecnologias SOIM em uma infraestrutura de TIC
Um Sistema de Informação, conectado (ou não) à Internet, está sujeito a ataques. Nem todos esses
ataques podem ser bloqueados por mecanismos de proteção, como paredes duplas. Melhores práticas recomendadas
remendar zonas de ning de sensibilidades diferentes, para controlar a troca de dados. Isso freqüentemente
e minimamente assume a forma de uma Zona Desmilitarizada (DMZ) localizado entre o pri-
rede vate e a Internet externa, para servir como terminação de comunicação, troca e
maior escrutínio por meio do monitoramento. Para detectar ameaças que não são bloqueadas pela proteção
mecanismos, os operadores implantam o sistema de prevenção de intrusãos ( IDPS) Sensor IDPSs pode usar
sistema (seção 8.. ) ou arquivos de log do aplicativo (seção 8..), representado como páginas na figura
. Eles também podem ser implantados no nível da rede (seção 8..), representado como os dois maiores
equipamentos com lupa.
A infraestrutura SOIM é mostrada na parte inferior da figura 8.. O sensorfrequentemente tem pelo menos
dois anexos de rede, um invisível na rede monitorada do Sistema de Informação para
coleta e análise de dados, e um regular em uma infraestrutura de rede SOIM específica protegida
estrutura, onde o SIEM está instalado e recebe o alertas. Analistas man consoles para re-
alerta ceivos, avalie seu impacto e implemente as ações de mitigação apropriadas. Homem do sensor
agement pode usar este anexo de rede secundária como um canal de manutenção
para atualizações de software e assinatura, ou use ainda outro mecanismo, como um dispositivo virtual privado
rede para realizar a manutenção do sensor.
O domínio SOIM também implica processos, que são de nidos pelo Chief Information Secu-
rity Of cer e seguido por analistas. O primeiro processo está relacionado ao processamento de alertas , onde

www.cybok.org
o operador, com a ajuda de técnicas de apoio à decisão fornecidas pelo SIEM, vai decidir
ignorar o alerta, reaja a ele seguindo os procedimentos ou encaminhe o alerta para analistas qualificados para
posterior análise, diagnóstico e decisão. O segundo processo é a implantação e manutenção
nance de sensores, decidindo onde localizá-los, o que capturar e como manter
monitoramento contínuo. O terceiro processo é o relatório, particularmente crucial para serviços gerenciados
vícios, onde o funcionamento do SIEM e SOC são analisados para melhoria.
Os componentes de Orquestração de Segurança, Análise e Relatório são incluídos por meio do

Inteligência de ameaças cibernéticas (CTI, vermelho) e Centro de Análise e Compartilhamento de Informações (ISAC, verde)
discos, representando o benefício adicional para a plataforma de gerenciamento de obter informações
de fontes externas relevantes e para aproveitar essas informações para aumentar sua detecção
eficiência (seção 8.) e avaliação de impacto (seção 8.) Embora ambas as interfaces forneçam
informações para um SOC, essas informações são de natureza fundamentalmente diferente. CERT e ISAC
entidades são organizações confiáveis, às vezes permitindo a troca de informações setoriais, of-
dez estabelecidas e regidas por regulamentos. CTI é uma área muito mais difusa, incluindo
inteligência de origem, bem como feeds de informações dedicados fornecidos por empresas comerciais
nies.
8 MONITOR: FONTES DE DADOS

[8 , 8 6]
O problema de detecção é relativamente simples; de um fluxo contínuo de dados, o objetivo é

para detectar tentativas localizadas de comprometer as infraestruturas de TIC em tempo real. Isso é alcançado
primeiro, coletando informações sobre a operação dessas infraestruturas de TIC a partir do rastreamentos
com muitas origens diferentes.
Figura 8.: Paisagem das fontes de dados
A Figura 8. fornece uma visão conceitual simplificada de possíveis fontes de dados. Os retângulos
descrever conceitos. Os ovais descrevem implementações concretas dessas fontes de dados. O
retângulos arredondados descrevem um formato real, syslog, documentado e padronizado, que
desempenha um papel específico. Por ser um protocolo e formato padronizados, também oferece suporte a feeds de registro
fornecidos por equipamentos de rede, sistemas operacionais e aplicativos.
Operações de segurança e gerenciamento de incidentes da KA | Outubro Página 6
www.cybok.org
A Figura 8. não está de forma alguma completa. Muitas fontes de dados foram consideradas ao longo dos anos,
dependendo dos requisitos do caso de uso e dos algoritmos de detecção.
As fontes de dados descrevem amplamente os relatórios de comportamentos do host em sistemas operacionais ou ap-
plicações, ou comportamentos de rede relatando padrões de comunicação.
As fontes de dados são fluxos de eventos , rastreios de atividade que representam os serviços acessados pelo
usuários de um Sistema de Informação. As fontes de dados são entradas para o sensors, que produzem alertas como
saídas. Os alertas representam informações de interesse de uma perspectiva de segurança. No geral
caso, um evento ou fluxo de eventos, adquirido por um sensor, gera um alerta que sintetiza
o problema de segurança encontrado pelo sensor. Os alertas são abordados na seção 8...
A mudança para recursos externos, como provedores de nuvem ou provedores de serviços de Internet pode
limitar a disponibilidade de algumas das fontes de dados, por razões práticas, como volume ou
devido a restrições de privacidade e emaranhamento de vários dados do cliente no mesmo rastreamento. Isto
também é possível que rastreamentos de ambientes hospedados possam ser comprometidos ou feitos
disponível sem o conhecimento ou autorização do cliente.
8.. Tráfego de rede

Os dados da rede tornaram-se o padrão de fato para a coleta de dados de entrada para detecção de intrusão
fins de implementação, por causa da dependência geral das redes e da facilidade de uso do padrão
formatos. Embora a captura de pacotes seja o formato mais prevalente, a literatura científica
também usou outras fontes de informação para segurança. As informações de rede às vezes não são
disponíveis internamente e pode ser necessário contar com Provedores de Serviços de Internet, por exemplo,
para identificar endereços e rotas de invasores.
O tipo mais prevalente de dados de tráfego de rede é a captura de pacote completo, exemplificada pela
biblioteca libpcap e os aplicativos tcpdump e threadshark. A biblioteca pcap foi portada
para muitos ambientes e está amplamente disponível como código aberto, daí o seu sucesso. Numerosas
conjuntos de dados foram disponibilizados ou trocados de forma privada como pcaps, por quase tanto tempo quanto
A pesquisa de detecção de intrusão existe e precisa ser avaliada. Enquanto a captura de pacotes é
amplamente utilizado, não significa que esta informação seja armazenada no sensors. O armazenamento de pcaps requer
uma enorme quantidade de armazenamento, portanto, os arquivos pcap são frequentemente reservados para conjuntos de dados de pesquisa ou
fins forenses. Sensores baseados em rede podem oferecer a capacidade de armazenar alguns pacotes
junto com um alerta quando ocorre uma detecção, geralmente o pacote que acionou a detecção
e alguns pertencentes ao mesmo contexto (TCPetc.) que apareceu rapidamente depois.
Esse recurso geralmente é limitado à detecção de uso indevido.
A biblioteca pcap requer a disponibilidade de uma interface de rede que pode ser colocada nos chamados
modo promíscuo , o que significa que a interface irá recuperar todos os pacotes da rede, mesmo
os que não são dirigidos a ele. Além disso, não há necessidade de vincular um endereço IP à rede
interface de trabalho para capturar tráfego c. Na verdade, essa é uma prática recomendada para evitar interferências.
Isso significa que, em geral, a captura de pacotes pode ocorrer silenciosamente e é indetectável. Apesar de
sua popularidade, existem alguns problemas com o formato pcap que precisam ser considerados quando
manipulando-o.
Os Pcapes de volume tendem a ser extremamente grandes para qualquer uso operacional prático. Isso frequentemente
limita a captura para a investigação. Os sensores geralmente analisam o tráfego de rede no y
mas não registre os pacotes reais.
Tamanho do pacote A configuração padrão da biblioteca adquire apenas o início (cabeçalhos) de
um pacote IP. Isso significa que um rastreamento de pacote pode ser limitado apenas às informações do cabeçalho.

www.cybok.org
Uma carga de pacote incompleta ou ausente limita fortemente a detecção.

Segmentação e fragmentação As informações circuladas na rede são registradas em
por pacote. Isso implica que o software receptor deve reconstruir o
fluxo de dados no nível do aplicativo. O início ou o fim das comunicações podem ser perdidos -
ing.
Timestamps Os cabeçalhos dos pacotes de rede não incluem nenhum timestamp. Isso é adicionado pelo
captura de software e depende de um relógio externo.
Interpretação da camada MAC A captura da camada MAC é possível, mas requer um con g-
uração. A interpretação das informações da camada MAC requer conhecimento da configuração
do segmento de rede ao qual a interface de rede de coleta está conectada. Captur-
a camada MAC é necessária para detectar o ataques como envenenamento ARP . Para
certos tipos de redes de controle industrial que funcionam diretamente no topo da Ethernet
camada, a captura de tráfego requer a adição de um nó e pode quebrar as suposições em tempo real.
Interpretação da camada de aplicação O aspecto mais crucial da análise pcap para segurança cibernética
está analisando a camada de aplicativo. Os pacotes IP são bits de dados relativamente autônomos.
Transportes confiáveis, como TCP, têm uma dinâmica inerente que precisa ser levada em consideração
conta ao analisar os dados, como a existência de uma conexão ou não. No
camada de aplicação, dentro do TCP/ IP, as informações podem ser inconsistentes com o
cabeçalhos, ou exigem uma compreensão da lógica do aplicativo, que muitas vezes é difícil de adquirir,
compreender e reproduzir.
Criptografia Tráfego criptografado e, particularmente, TLS, é generalizado. TLS garante tanto o auto
a autenticação do servidor ao cliente e a confidencialidade da troca sobre o
rede. Para o monitoramento, a questão é o segundo aspecto, a impossibilidade de analisar
a carga útil dos pacotes. A abordagem clássica para este problema é colocar um
caixa dedicada próxima ao servidor de aplicativos (web, e-mail, etc.), muitas vezes chamada de Hard-
Módulo de segurança de ware (HSM) O HSM é responsável por estabelecer a sessão TLS
antes que o servidor de aplicativos forneça qualquer conteúdo. Isso move a carga do estabelecimento
a sessão TLS fora do servidor de aplicativos. TLS- o tráfego protegido é criptografado
e descriptografado no HSM, e ows em claro para o servidor. Isso permite
IDPSes e WAFs para analisar o tráfego c.
Devido à mudança de requisitos, novos protocolos de rede foram introduzidos para apoiar o
Internet das coisas (IoT) Protocolos de comunicação de baixa potência, como LR, têm limitações
tanto no tamanho do pacote quanto no número de pacotes que podem ser transmitidos por dia. Esses
protocolos de comunicação são usados principalmente hoje como coleta de dados em grande escala. Desse modo,
IDPSprecisarão de informações sobre o contexto da comunicação para fornecer informações úteis
proteção. Os protocolos isossíncronos em uso, como P IRT, têm requisitos rigorosos
em termos de tempo de ciclo de comunicação e determinismo. Esses protocolos são normalmente usados
em ambientes de manufatura. Como eles dependem principalmente de hubs para comunicação, inserindo um
sensor baseado em rede pode parecer fácil. No entanto, os requisitos de tempo estritos de tais
tocols requerem validação cuidadosa de que o IDPS não altera esses requisitos. Além disso, este
necessita da implantação de um segundo canal de comunicação para o IDPS enviar alertass
para um SIEM, que pode ser caro, tecnicamente difícil e pode introduzir vulnerabilidades adicionais
laços com o sistema.
www.cybok.org
8.. Agregados de rede: Rede

O tamanho das capturas de pacotes criou a necessidade de obter uma visão sintética da rede
atividade. Isso criou a necessidade de uma visão agregada sintética do tráfego em um ambiente
camada baixa. Os agregados de rede são mecanismos para contar pacotes que compartilham certos caracteres
terísticas, como origem, destino, protocolo ou interface. Essas contagens são realizadas por
equipamento de rede à medida que os pacotes cruzam suas interfaces.
Net ow [8 , 8 8] é uma ferramenta de monitoramento de rede amplamente usada para detectar e visualizar
incidente de seguranças em redes [ 8 , 86] Em resumo, este protocolo registra contadores de pacotes
cabeçalhos que fluem através das interfaces de rede do roteador. Inicialmente desenvolvido pela Cisco, foi
padronizado como IPFix, RFC .
Como o Net ow foi desenvolvido por fornecedores de equipamentos de rede, é extremamente bem integrado
em redes e amplamente utilizado para tarefas de gerenciamento de rede. É padronizado e até
embora os nomes comerciais sejam diferentes, informações semelhantes são coletadas pelos fabricantes
apoiar a tecnologia. Seus usos mais fortes são certamente a visualização da comunicação em rede
ções e relacionamentos, [8 ] e destacando os padrões de comunicação. Análise visual -
vide uma maneira amigável de entender as anomalias e seu impacto. Portanto, o fluxo da rede também é
amplamente utilizado para tarefas de segurança cibernética.
O fluxo líquido, no entanto, pode sofrer degradação de desempenho, tanto em termos de computação
e armazenamento. O tratamento de pacotes para calcular os contadores de fluxo de rede requer acesso à CPU dos roteadores
(central ou em placas de interface). Isso reduz significativamente o desempenho dos equipamentos de rede
mento. Roteadores mais novos agora são capazes de gerar registros de fluxo de rede na camada de hardware, portanto
limitar o impacto no desempenho. Outra alternativa é expandir ou tocar em uma interface de rede
e gerar os registros de fluxo de rede independentemente do equipamento de roteamento.
Originalmente, para limitar o impacto no desempenho da CPU , os operadores costumam implantar o fluxo de rede na amostragem
modo, onde apenas um em cada vários milhares de pacotes é analisado. Assim, a vista gravada
pela rede pode ser extremamente limitado e pode perder completamente o eventos que não alcançam o
escala da amostragem. Exceto para eventos de negação de serviço em grande escalas, portanto, é difícil
confie apenas na amostra do fluxo de rede para segurança.
8.. Informações de infraestrutura de rede

A infraestrutura de rede depende de muitos protocolos para comunicação adequada. Dois de seus
os principais componentes, a nomenclatura e a infraestrutura de roteamento, também são de interesse significativo
para ataques e detecção. Relatórios sobre roteamento ou operações de nomenclatura requerem ac-
acesso a uma visão da infraestrutura. Operadores que participam do roteamento e nomeação geralmente
confie no syslog para coletar informações.
www.cybok.org
8.. . Nomeação
O Sistema de Nomes de Domínio (DNS) é um dos serviços mais importantes da Internet. Resolve
nomes de domínio, bits de texto significativos, para endereços IP necessários para comunicações de rede
mas que são difíceis de lembrar. Além disso, a nomenclatura é necessária para a camada de transporte
Segurança (Protocolo TLS , RFC 8 6) e certos mecanismos HTTP , como hospedagem virtual.
Apesar de sua importância, o DNS tem sido objeto de muitas vulnerabilidades e ataquess. O
O principal problema do DNS é a falta de autenticação em sua forma básica. Um invasor pode, portanto,
roubar um domínio por meio de mensagens ou respostas DNS falsas . A implantação de ofertas DNSSEC
uma resposta autenticada a consultas de DNS que fornecerá aos usuários evidências de domínio
propriedade do nome.
O protocolo DNS também é um amplificador DDoS natural , pois é possível para um invasor imitar
o endereço IP de uma vítima em uma solicitação de DNS , fazendo com que o servidor DNS envie mensagens não solicitadas
tráfego para a vítima [86 , 86] Infelizmente, é improvável que a mudança atual para DNSSEC seja
capaz de ajudar [86 , 86]
Outro problema relacionado ao DNS é a detecção de atividade de botnet. Assim que um malware infectar
um computador, ele precisa se comunicar com o servidor C&C para receber pedidos e realizar o
atividade solicitada. Embora não seja o único canal de comunicação C&C usado por pastores de bots,
DNS é atraente como canal de comunicação para invasores porque é um dos poucos
tocols que provavelmente passarão por rewalls e cuja carga útil permanecerá inalterada. Dentro
para que isso funcione, os invasores precisam se configurar e os defensores precisam detectar o que é mal-intencionado
mains [86 ] O mecanismo de defesa mais comum são as listas negras de nomes de domínio DNS , mas seu
e ciência é difícil de avaliar [866] Este mecanismo de defesa de lista negra também pode ser estendido
para outros canais C&C .
Note-se que o DNS não é o único protocolo a ser propenso a DDoS ampli cação de ataques. NTP também é
um culpado frequente [86 ] Mais informações sobre o ataque DDoSs podem ser encontrados em [ 868]
8.. . Encaminhamento
Outra fonte de informação relacionada ao ataques são informações de roteamento. Incidentes no Bor-
A infraestrutura de roteamento do protocolo de gateway tem sido estudada há algum tempo [86 , 8], mas
muitos dos incidentes registradoss são devidos a erro humano. Existem ocorrências registradas de ma-
licious BGP hijacks [8 , 8], mas o esforço exigido pelos invasores para realizar esses ataquess
parece, neste momento, não valer a pena o ganho.
8.. Logs de aplicativos: logs e arquivos do servidor web

Mais acima na pilha de computação, os logs de aplicativos fornecem um fluxo de eventos que documenta
a atividade de um aplicativo específico. A principal vantagem dos logs de aplicativos sobre o sistema
logs é a sua semelhança com a realidade e a precisão e exatidão das informações propostas.
Esses logs foram inicialmente criados para fins de depuração e gerenciamento de sistema, então eles
são textuais e inteligíveis.
Os aplicativos podem compartilhar arquivos de log por meio da infraestrutura syslog (seção 8. .6) Por exemplo,
o arquivo de log auth.log irá armazenar informações de conexão do usuário independentemente do mecanismo usado
(pam, ssh, etc.).
www.cybok.org
8.. . Registros do servidor web
Uma fonte frequente de informações é fornecida pelo servidor web e logs de proxy, conhecidos como Com-
Formato de registro mon (CLF) e formato de registro comum estendido (ECLF) Este formato é de fato
padrão fornecido pelo servidor da web Apache e outros. Embora seja muito semelhante ao Syslog,
não há documentos de padrões normalizando o formato. Nesta fase, o padrão WC
para registro permanece um documento de rascunho. Este formato é extremamente simples e fácil de ler. Isto
fornece informações sobre a solicitação (o recurso que o cliente está tentando obter) e
a resposta do servidor, como um código. Assim, tem sido amplamente utilizado na detecção de intrusão
Sistemas ao longo dos anos. O principal problema com o formato é a falta de informações sobre o
servidor, uma vez que o arquivo de log é local para a máquina que está gerando o log.
Como os logs do servidor são gravados assim que a solicitação foi atendida pelo servidor, o ataque também
pronto ocorreu quando o sensor recebe as informações de log. Assim, esta fonte de informação
não satisfaz os requisitos do Sistema de Detecção e Prevenção de Intrusãos ( IDPS),
que precisam ser conectados como interceptores para atuar no fluxo de dados (fluxo de pacotes, instrução
stream), para bloquear a solicitação ou modificar seu conteúdo.
8.. . Arquivos e documentos
Outra fonte de informações no nível do aplicativo que é particularmente interessante e pode ser
encontrados tanto em trânsito (em redes) quanto em repouso (em sistemas) compreende os documentos produzidos
por alguns desses aplicativos. A introdução de formatos de documentos ricos, como PDF, Instantâneo
ou de suítes de ce, para não mencionar o formato HTML rico usado em trocas de correio hoje, criou
criou uma grande oportunidade para os invasores incluírem malware. Trocado pela web ou via
e-mail, eles constituem outro traço de troca que pode revelar código malicioso incorporado
nesses documentos, como macros ou javascript.
Análise de informações em documentos, tanto os simples, como certificados TLS ou complexos

aqueles como PDF, é complexo e fornece aos invasores uma grande oportunidade de criar
comeu diferentes interpretações do mesmo documento, levando a vulnerabilidades e malware.
Ao mesmo tempo, deve-se reconhecer que os formatos de documentos ricos estão aqui para
permanecer e que especificações ricas (e, portanto, complexas) como HTML precisam ser bem escritas
para que possam ser interpretados de forma inequívoca, deixando menos espaço para invasores no
a própria especificação.
O uso de documentos como fonte de dados é cada vez mais necessário para a detecção de malware.
8.. Logs do sistema e kernel

O primeiro artigo de 'detecção de intrusão' por Denning [8 ] já incluído no modelo o gen-
criação de uma trilha de auditoria pelo sistema que está sendo monitorado. Os sistemas operacionais geralmente fornecem
logs para fins de depuração e contabilidade. Esses logs foram explorados em projetos iniciais, como
como Haystack. No entanto, Denning já afirmou que a maioria dos logs do sistema são insuficientes para
detecção de intrusão, uma vez que carecem da precisão necessária. Por exemplo, o sistema de contabilidade Unix
tem registra apenas os primeiros oito caracteres, sem um caminho, de qualquer comando lançado por um
do utilizador. Isso torna impossível diferenciar comandos com nomes idênticos em diferentes
locais ou nomes longos de comando.
Outra tendência perseguida por pesquisadores de detecção de intrusão e designers de sistemas operacionais
foi a criação de uma trilha de auditoria específica para gerar um traço de atividade de usuário privilegiado, como
exigido pelo Orange Book . Isso levou ao desenvolvimento de um IDS baseado em host mais preciso
www.cybok.org
como STIDE e eXpert-BSM. Esses traços específicos do sistema são adquiridos por meio de
recepção de chamadas de sistema, que representam a transição entre a execução regular do programa
e solicitação de recursos de kernel protegidos. Isso normalmente é implementado usando um dedicado
trilha de auditoria, conforme especificado no livro Orange , ou acessos de depuração de kernel / processador, como
como ptrace para Linux. No entanto, a complexidade da especificação levou a divergências no
implementação da trilha de auditoria pelos diferentes fornecedores de sistemas operacionais. Também impôs
tal penalidade de desempenho para a execução do programa que se tornou impossível operar ICT
sistemas com a trilha de auditoria sendo ativada. Portanto, tornou-se de pouca utilidade e foi quase
claramente removido da maioria dos sistemas operacionais. Este fator impediu o surgimento de um
trilha de auditoria do sistema padrão, mesmo em sistemas operacionais certificados.
Os logs do kernel agora se concentram no monitoramento das operações internas de um sistema operacional, fechar
para o hardware. Eles também são muito diversificados, visando uma ampla gama de dispositivos. Eles
foram integrados no mundo comercial sob o termo 'proteção de endpoint', que tem
tornou-se um termo generalizado para mecanismos antivírus. Isso aborda o problema geral de pro-
proteger não apenas o sistema, mas também os aplicativos, como o navegador ou o cliente de e-mail,
que não apenas trocam dados, mas também executam códigos não confiáveis fornecidos por fontes externas.
Eles contam com interceptores dedicados que capturam apenas a atividade na qual estão interessados
analisando. Isso resolve o problema principal desta fonte de dados, uma granularidade muito ne que garante
tudo é capturado, mas torna a análise e detecção muito difícil, pois é difícil vincular o
código de montagem sendo executado no processador com programas e informações que um usuário
ou o analista pode facilmente compreender e reagir. Malware é o assunto do Malware & At-
abordar a área de conhecimento de tecnologia (Capítulo 6), e no contexto de detecção de malware SOIM
motores e ferramentas de proteção de endpoint são considerados sensoress.
Outros registros fornecem informações de nível superior, como um relatório do processo de inicialização no Unix
máquinas ou na atividade principal do kernel. Esses logs muitas vezes dependem de uma infraestrutura Syslog, como
descrito na seção 8. .6.
8., 6 Syslog
Como já mencionado nesta seção várias vezes, Syslog fornece uma infra-estrutura de registro genérica
estrutura que constitui uma fonte de dados extremamente eficiente para muitos usos.
A fonte inicial para esses logs é o protocolo Syslog, introduzido no BSD Unix, retroespecificado
de implementações existentes por RFC 6. A especificação atual do Syslog é fornecida
por RFC . Esta nova especificação introduz várias melhorias em relação à im-
plementação.
Uma entrada Syslog é uma mensagem de texto com carimbo de data / hora proveniente de uma fonte identificada. Contém
as seguintes informações neste pedido:
Timestamp A data e hora da criação do evento, geralmente em formato de texto com uma resolução
até o segundo.
Nome do host O nome do equipamento que está gerando o log. Pode ser um nome totalmente qualificado
ou um endereço IP ou o host local da máquina local. Usando endereços IP em privado
intervalos ou localhost podem induzir erros ao consolidar logs.
Processo O nome do processo (programa) que gera o log.
Prioridade A prioridade (categoria e gravidade, calculada de acordo com uma fórmula padrão) de
o registro. Na prática, muitas vezes é resumido de acordo com a gravidade em uma escala de (sistema

www.cybok.org
pânico e falha) para (informações de depuração).

PID O ID do processo do processo que está gerando o log.
Mensagem Uma mensagem de bits ASCII qualificando as informações, fornecida pelo desenvolvedor de
a aplicação.
O Syslog também usa a noção de facilidade para categorizar e orientar os logs. Esta informação é ag-
gregado em arquivos diferentes, geralmente no diretório / var / log / em sistemas Unix.
Syslog também é um protocolo, rodando em UDP/. Isso facilita a transmissão, pois o UDP pode ser
resiliente a condições de rede difíceis e perde algumas mensagens sem perder a capacidade.
No entanto, usar UDP muitas vezes requer que a segmentação seja limitada, portanto, um limite sugerido de
o tamanho de uma mensagem Syslog costuma ser em torno de mil bytes. Muitos sistemas incluem um padrão
interface de programação para implementar chamadas para Syslog em aplicativos.
Como mensagem de texto, o Syslog é extremamente útil. Muitas, senão a maioria, implementações pesadas de SOC
confie no Syslog para centralizar ambos os eventosse alertas. Este uso do Syslog é abordado na seção
8.. .
8 ANALISAR: MÉTODOS DE ANÁLISE

[8 , 8 , 8 , 6 , 8]
Traço coletados são analisados de acordo com diferentes estratégias que visam separar 'bom'
eventos daqueles que indicam ataques. O trabalho fundamental de Denning [ 8] já de-
ned as duas famílias de técnicas de análise de dados que foram pesquisadas, desenvolvidas e
comercializados ao longo dos anos. A detecção de mau uso, detalhada primeiro, visa caracterizar mali-
comportamentos ciosos presentes no traços, a fim de enviar um alerta quando o conjunto de mal-intencionados
evento de comportamentos é reconhecido no traços. Por outro lado, a detecção de anomalias visa caracterizar
ter um comportamento "normal" e enviar um alerta quando o eventoestá traçados não estão associados com
comportamentos normais. Em ambos os casos, um grande número de algoritmos foram descritos no
literatura científica. Alguns desses algoritmos foram aplicados tanto para uso indevido quanto para anomalias
detecção.
Em processos SOIM , e conforme mostrado na figura 8., a análise é realizada por dois componentes, o
sensorse a plataforma SIEM . A Figura 8. refina esse processo. As informações monitoradas
Sistema gera rastreamentos representativos da atividade, como arquivos de registro ou por meio de IDPS dedicado
aparelhos ou software (mostrados como espelhos e arquivos na gura 8.) Um ou vários
eventos em cada traço podem desencadear a geração de um alerta por um sensor. Vários desses alertass,
possivelmente vindo de vários sensores, pode ser montado pelo SIEM no incidenteé aquela necessidade
a serem manuseados pelos operadores.
Nesta seção, o KA aborda a transformação do eventoestá em alertas, que pode caracterizar

atividade maliciosa. Na seção 8., o KA aborda a transformação do alertaestá em incidentes.
www.cybok.org
Figura 8.: Análise: do evento ao alerta ao incidente
8.. Detecção de uso indevido

A detecção de uso indevido aproveita o vasto corpo de conhecimento que caracteriza o código malicioso e
as vulnerabilidades que este código malicioso explora. Vulnerabilidades de software, especialmente em
as vulnerabilidades e exposições comuns (CVE) nomenclatura, são particularmente relevantes para
esta abordagem, mas a detecção de uso indevido tem um alcance mais amplo. Sistema de detecção de intrusão de uso indevido
tem busca evidências de evento malicioso conhecidoestá no rastro, e alertaé quando eles são encontrados,
informar o analista sobre as especificidades da vulnerabilidade explorada e seu impacto.
O primeiro sistema de prevenção de intrusõess nesta área são motores antivírus, que capturam
rastreamento de execuçãos, como chamadas de sistema, chamadas de biblioteca ou montagem, identificam patentes maliciosos conhecidos
terns usando a chamada assinaturas que descrevem esses códigos maliciosos e coloque em quarentena o
recipiente associado. O IDPS, portanto, busca exploits, instâncias muito específicas de códigos maliciosos
representado como bitstrings.
O código malicioso moderno desenvolveu mecanismos complexos para evitar a detecção e

ferramentas anti-malware tornaram-se extremamente complexas em resposta, a fim de criar mais eficácia
representações eficientes de exploits e vulnerabilidades. Mais recentemente, os pesquisadores têm
colocou uma assinatura mais genéricas, para tentar capturar o comportamento malicioso de forma mais geral
aliado [8 6] Além disso, o surgimento de caixas de areia e contaminação [ 8 , 8] habilitou o de-
métodos de proteção e proteção que podem detectar malware, apesar da ofuscação e polimor-
phism. Os riscos de assinaturas genéricas são, obviamente, aumentados de falsos positivos e aumentados
dificuldade em compreender o ataque preciso.
Outro ramo da análise do sistema é a análise do sistema UNIX, exemplificada pelo Haystack e
Protótipos NIDES. Esses protótipos visavam criar trilhas de auditoria de alto nível para análise. O
aspecto de canonização dos dados teve um impacto significativo no desempenho de detecção, e o
o estado da arte atual está se concentrando na análise de linguagem binária e montagem para detecção.
Do ponto de vista da rede, um IDPS busca evidências de atividades maliciosas de várias formas.
O código malicioso pode ser encontrado nas cargas dos pacotes. O código malicioso também pode exibir
atividade de rede específica relacionada a comando e controle, acesso a endereços conhecidos ou

www.cybok.org
para serviços conhecidos. O mais conhecido sistema de detecção de intrusão baseado em rede é
provavelmente Snort [8 6] A linguagem de assinatura do Snort é simples e era um padrão de fato para
descrevendo padrões de ataque , antes de ser substituído pelo YARA. A versão inicial confiava apenas
na correspondência de string, o que o tornou sensível a falsos positivos [8 ] O Suricata IDS, usando
a mesma linguagem de assinatura , mas com tecnologias de implementação mais recentes [8 8], também está sendo
usado em pesquisa e operações.
A principal vantagem da detecção de uso indevido é a capacidade de documentar a causa do alerta, a partir de
uma perspectiva de segurança. Isso ajuda o analista a decidir como processar o alerta, par-
particularmente sua relevância e seu impacto no sistema monitorado. A principal dificuldade do uso indevido
detecção é o processo de criação de assinaturas, o que requer tempo, experiência e acesso a
as informações de vulnerabilidade adequadas. São necessárias atualizações frequentes de assinatura , principalmente para
em conta um ambiente de ameaças em rápida evolução, mas também para levar em conta os erros no
assinatura inicial, ou novos indicadores de comprometimento que não foram detectados inicialmente.
8.. Detecção de anomalia

A detecção de anomalias é uma ferramenta fundamental para a detecção de ataques cibernéticos, devido ao fato
que qualquer conhecimento sobre os ataques não pode ser abrangente o suficiente para oferecer cobertura.
A detecção de anomalias é um domínio em que não apenas a pesquisa tem sido extremamente ativa, mas também
Existem vários milhares de patentes concedidas sobre o assunto.
A principal vantagem da detecção de anomalias é sua independência do conhecimento de

vulnerabilidades. Teoricamente, isso permite a detecção de ataque de dias, desde que estes
ataques efetivamente aparecem como desvios no traços. Além disso, esses métodos são frequentemente com-
supostamente rápido, o que lhes permite acompanhar o volume crescente de rastreamentos para
ser processado.
No entanto, métodos estatísticos puros destacam anomalias que são difíceis de entender e qualificar
ify para analistas. A falta de um diagnóstico preciso e de um link claro para a segurança (em vez de um
anomalia relacionada a outra causa) requer uma compreensão aprofundada de ambos os
sistema e o processo de detecção, que é difícil de combinar. Assim, detecção de anomalias, enquanto
fortemente comercializado, deve ser operado com cautela como primeira linha de detecção, porque
requer forte conhecimento de domínio para transformar uma anomalia diagnosticada em defesa acionável.
Aplicado a fluxos de alerta, que são mais ricos em informações, a detecção de anomalias costuma ser mais
sucesso em SIEMse é implementado em plataformas SIEM mais novas , como o Elasticsearch-
Pilha Kibana-Logstash ou ferramentas comerciais como Splunk.
A detecção de anomalias foi incluída no modelo de Denning [8 ] desde o início e tem consistentemente
foi desenvolvido ao longo dos anos [8 , 8 , 88] Como a dificuldade de criar assinatura de ataques
tornou-se mais significativo, os fornecedores de IDPS também incluíram esses modelos em seus produtos.
www.cybok.org
8.. . Modelos
A detecção de anomalias depende da definição de um modelo contra o qual as observações atuais

do traço são avaliados. Os primeiros pesquisadores propuseram modelos de comportamento para detectar de-
viações da norma. No entanto, os modelos estatísticos desenvolvidos nos primeiros protótipos IDS
como Haystack e NIDES não eram precisos o suficiente para detectar invasores habilidosos. Lá-
Portanto, modelos mais complexos foram desenvolvidos ao longo dos anos.
Na detecção de anomalias de rede, o modelo deve primeiro definir se vai olhar para vários dados
pontos ou compare um único ponto de dados com o modelo. Um ponto de dados pode ser um pacote ou um pacote
conexão completa. Os modelos também podem se correlacionar entre conexões para detectar
ataques abrangendo vários pacotes. Um exemplo desse tipo de comportamento é a correlação
entre o tráfego da web e o tráfego de DNS . Ao usar navegadores regulares, o usuário provavelmente per-
formar uma solicitação de DNS antes de acessar um site; uma anomalia pode se manifestar se a web
a solicitação aborda diretamente o site por meio de seu endereço IP. Claro, neste caso, o cache
fenômenos devem ser levados em consideração.
Outro aspecto interessante da detecção de anomalias de rede é a definição da técnica.

Técnicas não supervisionadas olham para outliers, criando clusters a partir dos dados e usando um dis-
para determinar valores discrepantes que não podem ser cobertos por clusters. Nesta técnica, a seleção
de recursos, que se tornam as coordenadas para cada ponto de dados, é crítica. Combinações de recursos
deve diferenciar efetivamente entre comportamentos normais e ataques. Métodos frequentes para
a criação de clusters e a medição da distância incluem k-vizinhos mais próximos ou os Mahalanobis
distância. Técnicas de detecção de anomalias supervisionadas usam recursos rotulados para criar
clusters. Suporta máquinas de vetores ou C. são freqüentemente usados para esta tarefa.
Os modelos baseados em grafos representam a estrutura da rede e das vias de comunicação.

Eles permitem uma representação do comportamento da rede que destaca as mudanças na comunicação
padrões. Essas técnicas também oferecem recursos de visualização atraentes, que permitem a operação
toros para ponderar as trocas entre as várias partes de suas redes, para identificar anomalias
padrões de comunicação e, em seguida, aprofundar para qualificar a anomalia como relevante para a segurança
ou não.
A escolha de um modelo de anomalia é extremamente importante. Na verdade, muitas publicações relacionadas

a detecção de anomalias são feitas em locais temáticos, como estatísticas, processamento de sinais ou
fusão de informações, fora do domínio da cibersegurança. Este campo de estudo é, portanto, extremamente
rico e fundamentalmente multidisciplinar.
8.. . Especi cação versus aprendizagem
Uma forma predominante de detecção de anomalias é a detecção baseada em especificações. Um ataque é considerado
considerado uma violação das especificações de um sistema. A questão chave nesta abordagem é
obter uma especificação que possa ser reconhecida de forma confiável no traços. Esta abordagem foi inicial
originalmente desenvolvido para IDPS baseado em rede, como Bro [ 66], que foi desenvolvido por volta de
ao mesmo tempo que o Snort, mas segue uma abordagem radicalmente diferente. Bro é construído como uma pilha
de analisadores de protocolo, verificando em cada camada a coerência das informações capturadas com
os padrões, neste caso o RFCs.
Um maior desenvolvimento da detecção baseada em especificações é esperado na rede de controle industrial

trabalho [88 ], onde as especificações são muito mais precisas e permitem a detecção de pertur-
bações. Nessas redes, o comportamento é muito melhor especificado, por causa da
loop de controle do processo físico que é pilotado por controladores em rede. Isso também criou

www.cybok.org
ates regularidade adicional que pode ser detectada por algoritmos de detecção de anomalias. Também o
as especificações do sistema são mais precisas.
Alternativamente, a aprendizagem
aprendizado não supervisionado supervisionada
para permitir que éosusada parase
modelos criar modelosEm
organizem. quando a verdade
ambos os casos,fundamental está disponível,
é frequentemente necessárioou
selecione um limite que irá separar os pontos de dados considerados normais daqueles considerados
fora do modelo. A aplicação de técnicas de aprendizado de máquina para detecção é ainda mais
desenvolvido na seção 8...
8.. . Aderência aos casos de uso
Um ponto importante na detecção de anomalias é sua aderência a um caso de uso, possivelmente até mesmo um caso específico
implantação ci c. A detecção de anomalias de rede foi amplamente aplicada ao TCP/ Redes IP
inicialmente, e ao longo dos anos tem se concentrado em novas aplicações, cobrindo redes ad-hoc, sen-
redes sor e, mais recentemente, sistemas de controle industrial [88 ] Detecção de anomalia de malware
também evoluiu de computadores pessoais para malware da web e para Android hoje [88 ]
Essa aderência a um caso de uso é importante para a criação do modelo, validação e teste. Isto
requer que, desde o início, os operadores entendam o comportamento de seus sistemas e tenham
conhecimento de domínio de negócios suficiente para entender por que e como as anomalias os manifestam-
e qual é sua importância em relação à segurança cibernética. Cuidado específico deve ser
tomadas para associar a detecção de anomalias com o máximo de conhecimento de domínio possível
capaz de diagnosticar e qualificar a anomalia. As funções do equipamento implicam em diferentes modelos de comportamento,
e, portanto, diferentes qualificações para anomalias.
Essa aderência aos casos de uso também evita a definição e qualificação de ser genérico
modelos haviour. Portanto, os operadores que implantam sistemas de detecção de anomalias devem se preparar
por um período de teste e qualificação. Também é provável que novos sistemas, novos serviços,
ou atualizações de sistemas ou serviços existentes, irão perturbar os modelos existentes e exigir
qualificação.
8.. Combinação de uso indevido e detecção de anomalias

Na prática, é muito difícil separar a detecção de anomalias da detecção de uso indevido, pois são
frequentemente interligado no sensor de correntes. Por exemplo, é extremamente útil pré-filtrar dados de entrada
antes de aplicar a detecção de uso indevido. A pré-filtragem realizada em um fluxo de pacotes segue o
TCP/ Especificação IP, por exemplo. Quando um sensor de detecção de mau uso baseado em rede , como
Snort [8 6], Suricata [ 8 8] ou Bro [ 66] processa um fluxo de pacote, verifica se o pacote
cabeçalhos estão corretos antes de aplicar processos de detecção mais complexos, como assinaturas.
Isso não apenas aumenta a eficiência, mas também evita falsos positivos quando um padrão de assinatura
é encontrado no contexto de tráfego errado [8 ], por exemplo, quando um pacote circula pelo
rede, mas a sessão TCP não foi estabelecida.
Uma abordagem semelhante pode ser aplicada ao IDSes usando logs de aplicativos [ 88 , 88] Esta abordagem
organiza o uso indevido e a detecção de anomalias, a fim de aproveitar os pontos fortes de ambos os aplicativos
aborda e limita suas desvantagens. Também aproveita as especificações do aplicativo
protocolo para entender não só a sintaxe do trace, mas também sua semântica, a fim de pro-
representam um melhor diagnóstico.
www.cybok.org
8.. Aprendizado de máquina

Outra maneira, mais sutil, de misturar detecção de anomalias e uso indevido é usar o aprendizado de máquina
técnicas de aprendizagem e, em particular, a aprendizagem supervisionada, que requer uma verdade fundamental. Máquina
aprendizagem basicamente associa uma classe de saída com um vetor de características apresentado no
entrada. Se o algoritmo de aprendizado de máquina requer uma definição das diferentes classes para as quais
ele atribui a entrada e, em seguida, a definição das classes de saída (por exemplo, normal e ataque)
por si só permite misturar anomalias e detecção de uso indevido.
O aprendizado de máquina, em muitas formas, foi aplicado à detecção de anomalias e, principalmente,

no domínio da rede para o infame conjunto de dados Lincoln Lab / KDD [88 ] Há muitos
artigos de pesquisa que apresentam o uso de máquinas de vetores de suporte, C. , floresta aleatória, que
pode-se apenas citar a melhor pesquisa publicada até agora por Chandola et al. [8 ] Tem
também trabalhou muito olhando para a classificação do tráfego da Internet [886] Outro estudo analisa
o aspecto do rastreamento de rede de pré-processamentos para detecção de anomalias [ 8] Este é um ponto crucial
operação, como mostrado pela falha do conjunto de dados KDD, pois pode remover artefatos que
são necessários para a detecção, ou introduzir novos que criam falsos positivos, conforme discutido
na seção 8...
No lado do sistema e da aplicação, tem havido muito trabalho no uso do aprendizado de máquina-
para detecção de malware , tanto no nível de chamada do sistema [88 ], no sistema de arquivos [ 888] ou para PDF
les [88 , 8] Gandotra [ 8] lista muitas abordagens relevantes de aplicação de aprendizado de máquina
técnicas para análise de malware , principalmente verificando se eles dependem de análise estática
(o arquivo) ou na análise dinâmica (o comportamento). Além disso, o recente desenvolvimento do smart-
ecossistema de telefone [8 ], Android e seu rico ecossistema de aplicativos, com o associado
código malicioso, criou um interesse significativo na detecção de malware Android .
Olhando mais além, há um interesse crescente no uso de aprendizado de máquina e arti cial
inteligência para cibersegurança, conforme demonstrado pelo DARPA Cyber Grand Challenge. Pode-se esperar
igual interesse dos invasores e, portanto, o surgimento de aprendizado de máquina adversário, onde,
conforme mostrado para as especificações de Redes Neurais, os invasores podem introduzir informações irrelevantes
para escapar da detecção ou para torná-la mais difícil.
8.. Teste e validação de sistemas de detecção de intrusão

Um dos principais problemas para designers de sistemas de detecção de intrusão é testar e validar seus
Ferramentas. Este problema já existe há muito tempo na comunidade de pesquisa, conforme exposto por
um artigo inicial sobre o assunto por McHugh [88 ]
O problema de detecção é uma tarefa de classificação. A avaliação de um IDS, portanto, compara

a saída do detector com a verdade do terreno conhecida pelo avaliador, mas não pelo detector.
Negativos verdadeiros ( TN ) são eventos normaiss que existem no rastreamento e não devem ser relatados
em alertas pelo detector. Os verdadeiros positivos ( TP ) são eventos de ataques que devem ser relatados em
alertas pelo detector. Como os detectores não são perfeitos, existem duas medidas indesejáveis que
quantificar o desempenho de um detector. Falsos positivos ( FP ) , também conhecidos como falso alertas ou
erros tipo I, são de nidos como um ataque que não existe no trace, mas é relatado pelo
IDS . Falsos negativos ( FN ) , também conhecidos como erros de falha ou tipo II, são definidos como um ataque que
existe no rastro, mas não foi detectado pelo IDS.
A primeira questão é definir os critérios de detecção. Na detecção de uso indevido (seção 8..), a
O desenvolvedor IDS deve definir um conjunto de ataqueé que ele deseja detectar e criar o conjunto de
assinaturas que irão detectá-los. O problema com o teste é, então, criar rastreioé que vai desencadear

www.cybok.org
assinaturas em comportamentos considerados normais (FP), ou para lançar um ataqueé de uma forma que
compromete o sistema, mas não é reconhecido pelo IDS (FN).
Na detecção de anomalias (seção 8..), o desenvolvedor de IDS deve definir comportamentos normais. Como
a maioria dos detectores de anomalias usa abordagens de aprendizado de máquina, o que significa que o desenvolvedor
deve obter um ou vários conjuntos de dados de tamanho signi cativo, possivelmente rotulados. Esses conjuntos de dados
deve, para alguns ou todos eles, incluir dados de ataque . O detector é então treinado na parte
dos conjuntos de dados, e seu desempenho avaliado nos demais. Para paramétricos e de aprendizagem
algoritmos, várias tentativas devem ser realizadas para obter um desempenho médio. Determin-
ing FP e FN também depende da disponibilidade de verdades fundamentais confiáveis associadas com o
conjuntos de dados.
Gerar conjuntos de dados, como já mencionado, é muito difícil. O mais comumente usado,
o conjunto de dados Lincoln Lab / KDD, sofre de vários desses problemas que são um bom exame
ples [8 ] Por exemplo, o processo pelo qual o ataque e o tráfego normal foram gerados
(manual de contra simulações) criou diferenças óbvias em do pacote Time to Live (TTL)
e duração da sessão. Esses recursos, que normalmente não são distinguíveis nas operações,
tendem a ser captados por algoritmos de aprendizagem, induzindo um viés significativo no processo com
em relação ao TP. Outro exemplo é a falta de características distintivas no tráfego SNMP ,
o que leva a grandes taxas de FN.
A segunda questão é como determinar e apresentar os critérios reais de sucesso de um IDS. A partir de
os valores brutos de TP, FP, TN, FN, detectores são frequentemente avaliados em duas métricas, precisão e
Lembre-se . Precisão (equação 8.) mede a fração de alertas reais em todos os alertas. Isso, em suma,
mede a utilidade dos alertas.
P recisão = TP / (TP + FP) (8.)
Lembre-se (equação 8.) mede a fração de alertas reais sobre todas as informações relevantes
presente na verdade fundamental. Assim, a recordação avalia a integridade da detecção. A
a verdade básica não disponível ou incompleta pode limitar sua utilidade.
Rechamada = TP / (TP + FN) (8.)
Várias outras métricas são relatadas na literatura, mas essas duas devem ser consideradas as mínimas
imum informações fornecidas para avaliação. Outro aspecto relevante da avaliação é o fato
que os algoritmos de detecção exigem que o operador selecione o parâmetro, como limites ou
número de clusters. Definir esses parâmetros influencia fortemente o desempenho do
sensors. Assim, é uma boa prática avaliar o desempenho de um algoritmo de detecção por nós-
ing Receiver Operating Characteristic (ROC) curvas para apresentar explicitamente a relação e
trade-off entre FP e FN. Um ganho em uma direção muitas vezes diminui o desempenho de
o outro.
Dependendo do detector e da definição, os valores reais calculados durante a avaliação

do detector pode variar. Por exemplo, pode ser suficiente para um detector encontrar e relatar
um evento de ataque no rastreamento para considerá-lo um TP, mesmo se o ataque consistir em muitos eventos.
Por outro lado, outro avaliador pode exigir que o IDS destaque todos os eventos maliciososs em um
dado ataque para considerá-lo um TP. Novamente, o processo de validação experimental deve ser ex-
extremamente detalhado e revisado por pares para garantir que não contenha erros óbvios.
www.cybok.org
Outra questão é a qualificação operacional do IDS. Albin [ 8 8] compara Snort e Suri-

cata, tanto no tráfego sintético quanto no real. O tráfego sintético fornece ao avaliador acesso
para a verdade fundamental, permitindo-lhe calcular efetivamente FN e FP. Ao testar em
tráfego real, o avaliador pode ser capaz de aproximar melhor o PF porque o tráfego real arte-
os fatos sempre podem desencadear casos que o IDS não encontrou durante a validação.
Este processo, no entanto, não suporta a avaliação de FN. Como a avaliação é a base para o certificado
cátion, não é nenhuma surpresa que o Sistema de Detecção de Intrusãos geralmente não são certificados em nenhum
nível de segurança.
8., 6 A falácia da taxa básica

Um dos problemas fundamentais da detecção de intrusão é a falácia da taxa básica formalizada
por Axelsson [8 ] O problema decorre do fato de haver uma grande assimetria entre
o número de eventos maliciososse o número de eventos benignosestá no rastro.
A hipótese geral seguida por Axelsson é que existem poucos ataquess por dia. Isso pode
não seja mais verdade, mas um sistema de TIC inundado com ataquess também não é realista, a menos que sejamos
preocupado com a negação de serviço. Além disso, no caso de DDoS, pacotes maliciosos superam em muito
tráfego normal, então a assimetria é revertida, mas ainda existe. No caso de Axelsson, vem de
Teorema de Bayes de que a probabilidade de detectar um ataque real é proporcional ao falso
taxa de alarme FP.
Em essência, a falácia da taxa básica deve ser tratada pelo sensor IDSs que dependem do processo
grande quantidade de dados, que normalmente é o caso de anomalias baseadas em aprendizado de máquina
detecção.
Embora isso possa soar como uma questão teórica, tem implicações cruciais no que diz respeito à
operadores na frente de um console SIEM , que precisam lidar com milhares de alertass, a maioria de
que são 'falsos'. Existe, portanto, um risco significativo de perder um alerta importante e, portanto, um
incidente. Este risco é ainda maior em configurações MSSP , onde as operadoras têm uma quantidade limitada de
hora de processar o alertas. O processo usual para resolver isso é limitar a detecção ao máximo
elementos relevantes. Por exemplo, não é necessário procurar um ataques contra uma janela
servidor quando o servidor monitorado está executando o sistema operacional Linux. Esta sintonia do
intervalo de detecção pode acontecer antes da detecção, removendo assinatura irrelevantes no
IDS, ou após o fato no SIEM , inserindo as regras de correlação adequadas. A sintonia de detecção
abordagem, no entanto, encontrou limitações nos últimos anos, porque as plataformas em nuvem são
mais dinâmico e propenso a hospedar uma variedade de sistemas operacionais e aplicativos em qualquer
ponto no tempo. Em seguida, torna-se mais difícil garantir a cobertura adequada da detecção.
8.. Contribuição do SIEM para análise e detecção

Do ponto de vista da análise, um SIEM visa fornecer mais informações sobre
atividade relatada pelo sensors.
Devido ao volume de eventos e à natureza em tempo real da detecção realizada por sensores IDS ,
esses sensores geralmente olham para uma única fonte de informação em um local específico do ICT
a infraestrutura. Portanto, é difícil para eles detectar ataques em grande escala ou distribuídos.
Portanto, a centralização de alertas, que é a característica central inicial da plataforma SIEM
formulários, conforme descrito na seção 8.., ativa algoritmos de detecção adicionais que podem indi-
cate ataques ou anomalias que não foram significativamente indicadas por sensores, mas cujos
propriedades quando agregadas são signi cativas.
www.cybok.org
8 PLANO: INFORMAÇÕES DE SEGURANÇA E EVENTO

GESTÃO
[8 ]
Informações de segurança e gerenciamento de eventos constituem o núcleo da contribuição para o Plano

atividade do loop MAPE-K , a parte inferior (azul) da figura 8., e a parte esquerda da figura
8. ( alerta de transformaçãoestá em incidentes). Deve ser considerado um sistema de apoio à decisão e,
como tal, cobre as atividades Analisar e Planejar. Do ponto de vista do plano, a plataforma SIEM
visa definir o conjunto de ações que podem ser executadas para bloquear um ataque ou mitigar seu
efeitos.
Os fundamentos da Informação de Segurança e Gerenciamento de Eventos podem ser rastreados até

8 de dezembro, em reunião organizada pela DARPA. O objetivo original era permitir uma
comparação dos desempenhos dos vários projetos de pesquisa de detecção de intrusão que a DARPA
estava financiando, e isso gerou vários trabalhos, o conjunto de dados Lincoln Labs / KDD [8 ], o cri-
tique por McHugh [88 ] e, muito mais tarde, os três pedidos de comentário que formalizaram
o domínio SIEM , os requisitos (RFC 66 [8 6]), o formato de mensagem de alerta Intrusão
Formato de troca de mensagens de detecção (IDMEF) ( RFC 6 [8 ]) e a detecção de intrusão
eXchange Protocol (IDXP) ( RFC 6 [8 8]).
8.. Coleção de dados

O primeiro objetivo de uma plataforma SIEM é coletar e centralizar informações provenientes de
sensor múltiplos em um único ambiente. Vários problemas precisam ser resolvidos para tornar este
acontecer.
Em primeiro lugar, deve haver um canal de comunicação entre os sensores que fornecem o alertas
e a plataforma SIEM . Este canal de comunicação deve ser fortemente protegido, pois
informações confidenciais podem ser incluídas no alertas. Ele também deve ser dimensionado corretamente para que
há largura de banda suficiente para transportar as informações necessárias. Como sensormuitas vezes têm limitado
capacidades de armazenamento, a disponibilidade do link é essencial.
Em segundo lugar, o SIEM deve ser capaz de interpretar as informações fornecidas pelo sensors em um
forma coerente. Dada a ampla gama de fontes de dados e métodos de detecção disponíveis,
isso requer muito trabalho para corresponder às informações do alertas com o SIEM interno
formatos de dados. A abordagem geral de uma plataforma SIEM é definir uma única estrutura de dados
para o alertas, geralmente uma única tabela de banco de dados. Isso significa que o banco de dados contém muitos
colunas, mas a inserção de um alerta geralmente resulta em preenchimento esparso das colunas.
A coleta de dados é geralmente tratada pela plataforma SIEM , beneficiando-se de ganchos do

sensors. Os fornecedores de plataforma SIEM geralmente definem seus próprios conectores e formatos, lidando com
a questão da segurança do transporte e da importação de dados ao mesmo tempo.
Classicamente, comunicar uma mensagem de alerta requer a definição de três camadas:

Esquema O esquema define a estrutura das mensagens e o tipo e semântica do
atributos. Também inclui a definição ou uso de dicionários. Muitos esquemas de alerta , para
exemplo, conte com o CVE para documentar o ataques.
Codificação A codificação define como as mensagens e atributos são codificados para formar um
bitstring. Exemplos de formato textual incluem Syslog, JSON XML ou YAML. Exemplos de
formatos binários incluem BER, CER ou BSON. Os formatos textuais são geralmente mais fáceis de processar
www.cybok.org
porque eles podem ser lidos diretamente por humanos. Os formatos binários são mais compactos, o que
facilita o armazenamento e o transporte.
Protocolo de transporte O protocolo de transporte descreve como o bitstring de alerta é movido de
um lugar para outro. Exemplos de protocolos de transporte incluem Syslog, IDXP , HTTP ou
AMQP. Os protocolos de transporte normalmente cuidam do controle de acesso, confidencialidade,
compressão e confiabilidade da comunicação.
A Tabela 8. fornece uma análise factual de formatos de mensagens de alerta usados com freqüência . Os dois primeiros,
CEF e LEEF, são formatos proprietários de fornecedores comerciais de SIEM , mas cujos especi ca-
ção está pelo menos parcialmente aberta para análise. Os próximos dois formatos (CIM e CADF) têm estado
especi cado pelo DMTF, mas não especificamente para fins de segurança cibernética. No entanto, eles
têm sido usados para transmitir alertas. Os dois últimos foram especificamente projetados com o propósito
pose de padronizar a transmissão do eventos ou alertas. O texto em itálico indica que
a especificação não força uma tecnologia específica. No entanto, quando a especificação, al-
embora genérico, inclui uma proposta, este texto está entre (colchetes) .
Número de
Proprietário do formato Codificação de transporte Estrutura
atributos (chaves)
CEF HP / Arcsight Syslog Valor chave Apartamento
LEEF IBM / QRadar Syslog Valor chave Apartamento
CIM DMTF Algum (XML) UML 8
Algum (JSON) Aulas com

CADF O Grupo Aberto, 8
atributos comuns
DMTF, (NetIQ)
Estruturada:
CEE MITRA (Syslog) JSON, XML Modelo de evento CEE , 6
Perfil CEE
IDMEF IETF IDXP XML UML 66
Tabela 8.: Resumo das características dos formatos
A flexibilidade das codificações textuais permite a implantação em grande escala e, como tal, é a única
um apresentado na tabela 8..
Syslog (RFC ) é o padrão de fato para aquisição de alertas de plataformas SIEM , pois é
amplamente disponível, fácil de entender e analisar e bastante confiável. Ao usar UDP ,
não há segurança da camada de transporte. Não há garantia de integridade ou entrega da mensagem
ery. Ainda assim, na prática, é muito bem-sucedido e escalonável. Sua desvantagem é a limitação de
seu esquema (carimbo de data / hora, origem e string de texto ASCII) e o tamanho da mensagem (prá-
limitado a bytes). Syslog é amplamente utilizado por operadoras de rede ou para grandes
sistemas como os Jogos Olímpicos.
CEF O Common Event Format é o formato de troca proprietário do Arcsight SIEM
plataforma. É orientado para a expressão de eventos relevantes de segurançase inclui
as informações essenciais necessárias para descrevê-los. Este formato é representativo de
as estruturas at utilizadas nas bases de dados da plataforma SIEM . Embora tenha um grande número de
atributos, alguns não são suficientemente documentados para uso.
LEEF O Log Event Enhanced Format é o formato de troca proprietário do QRadar SIEM
plataforma. Ele se concentra em eventos de segurança de redes, e como tal não é tão rico quanto CEF.
www.cybok.org
CIM O Modelo de Informação Comum é um padrão da Tarefa de Gerenciamento Distribuído

Força (DMTF) É amplamente utilizado para gerenciar sistemas distribuídos. Por ser muito genérico,
sua expressividade para evento de ciberseguranças é limitado.
XDAS/ CADF A Cloud Auditing Data Federation ainda está sendo desenvolvida, inicialmente como XDAS ,
e as discussões estão em andamento com DMTF para incluí-lo no CADF. Ele se concentra no sistema
eventose ambientes de nuvem.
CEE A Expressão de Evento Comum foi iniciada pela corporação MITER como um padrão
formato para arquivos de log em sistemas de computador. Foi desenvolvido em colaboração entre os EUA
entidades governamentais e fornecedores de SIEM . Ele separa claramente o formato da mensagem (CEE
modelo de evento ou Perfil), codificação (CEE Log Syntax) e transporte (CEE Log Transport).
Infelizmente, o trabalho no CEE foi interrompido.
IDMEF O formato de troca de mensagens de detecção de intrusão [8 ] é um documento informativo
ment da IETF. Ele não especifica uma norma e, como tal, sua adoção pelo
a indústria tem sido muito limitada. É visto como complexo e, de fato, a especificação é
grande em tamanho. A especificação IDMEF tenta ser muito precisa e inequívoca,
que se mostra no número de atributos, o maior de todos os formatos considerados.
Essa diferença de expressividade é provavelmente ainda maior, pois o uso de dicionários
(tipos enumerados) no design UML IDMEF aumenta ainda mais sua capacidade de representar
em formação. Sua tentativa de ser exaustiva também fez com que algumas das estruturas de dados
obsoleto ao longo do tempo. A escolha de mensagens XML também cria uma carga significativa
no transporte, particularmente porque o protocolo de transporte IDXP , com base no BEEP, não foi
amplamente implantado.
O amplo escopo das especificações disponíveis demonstra que, nesta fase, não há
consenso entre fornecedores de SIEM e fornecedores de sensores para concordar sobre o que um alerta deve conter
tain. Embora muitas das especificações sejam acessíveis aos fornecedores de sensores , a plataforma SIEM oferece
dors fornecem os conectores e se encarregam de traduzir as informações do sensor em seus
formatos próprios, correndo o risco de perda de informação ou má interpretação do conteúdo. O problema
de transmitir alertas continua a ser um problema nas camadas inferiores, enquanto os padrões relacionados a inci-
dent troca de informações, tais como MILE IODEF (RFC ), tiveram muito mais sucesso-
ful [8 ]
8.. Correlação de alerta

Correlação de alerta [ , ], visa dar sentido ao fluxo de alerta recebido pelo SIEM
plataforma. A correlação tem vários objetivos;
. para reduzir o número de alertass que o analista deve processar agrupando alertass para-
junto,
. para adicionar elementos contextuais para permitir uma análise mais precisa e rápida do grupo
de alertas,
. adicionar alertas para o planejamento contínuo de alto nível e elementos de mitigação para que eles sejam
tratado corretamente, e
. descartar alertas que são considerados falsos positivos e não requerem um processo adicional
ing.
Para atender a esses objetivos, a correlação de alerta pode assumir várias formas:

www.cybok.org
Correlação entre alertas O primeiro tipo de correlação de alerta visa agrupar alertass
de um ou vários sensoress que correspondem à mesma ameaça. Sensor IDPStende a
tenha uma visão estreita do fluxo de dados. Se eventos ocorrem repetidamente no traço, para a prova-
ple, quando um malware se propaga, alerta múltiplos serão reportados ao SIEM. Agrupamento
alertas que correspondem ao mesmo fenômeno ajudam o analista a reconhecê-lo e
para julgar sua importância.
Correlação entre alertase o meio ambiente Outra fonte importante de conhecimento é
relacionado ao contexto da detecção, o ambiente em que o sensors estão localizados.
As informações sobre o meio ambiente vêm de muitas fontes, as duas mais interessantes
alguns sendo varreduras de inventário de rede e vulnerabilidade. Essas duas fontes identificam ativos
ativos e os riscos aos quais estão potencialmente sujeitos. Este tipo de correlação é particularmente
interessante, pois fornece ao analista informações sobre o impacto do alertas são
tendo.
Correlação entre alertase fontes externas Recentemente, a consciência situacional tem
começou a fornecer informações sobre os invasores e suas motivações [ ] Isso de novo
fornece informações adicionais sobre os caminhos que um invasor pode seguir e
ajuda o analista a decidir de forma proativa bloquear o progresso do invasor, em vez de
reagindo após o evento.
Troca de incidentes e informações Outra tendência relevante é a troca de informações.
Por meio da pressão regulatória, os operadores de infraestrutura crítica são obrigados a informar
autoridades quando são vítimas de violações da segurança cibernética. Este tem sido o
caso para bancos e cooperativas de crédito por um longo tempo. Compartilhando informações sobre violações
ajuda outras pessoas no mesmo domínio, ou usando tecnologias semelhantes, a se protegerem
proativamente.
A abordagem inicial para correlação de alerta foi baseada em regras. Correlação baseada em regras explicita
descreve as relações lógicas entre alertas, ou regras para inferir tais relações [ ,
, , ] Uma variedade de linguagens e técnicas foram usadas ao longo dos anos por
a comunidade de pesquisa, levando a modelos exaustivos e formais. Isso levou ao desenvolvimento
da primeira geração de plataformas SIEM , que combinavam fortemente estruturadas,
banco de dados SQL de desempenho com mecanismos lógicos que interpretam regras. Esta primeira geração en-
conteve dois problemas, desempenho como o volume de alertaaumentou, e a dificuldade de criação
criar e manter a base de regras. Bancos de dados SQL incorrem em uma penalidade de desempenho significativa
para indexação. Isso é bom para consultas, enquanto as plataformas SIEM são ferramentas de inserção intensiva.
Apesar do aumento de desempenho e do ajuste do banco de dados, uma segunda geração de plataformas SIEM
foi desenvolvido, aproveitando tecnologias de banco de dados menos estruturadas, como NoSQL. Esta
big data, ou abordagem intensiva de dados começou bem cedo no uso de contadores [ ], estatístico
modelos [ 6] ou outras técnicas [ 8, ] Tecnologicamente, esta abordagem é implementada
por meio de agregação de log e resumo de consultas, como pode ser feito com o conhecido
ElasticSearch-Kibana-Logstash (ELK) pilha. Esta abordagem orientada a dados tornou-se muito
comum hoje, pois é capaz de lidar com grandes volumes de entrada de informações não estruturadas
ção Resta saber se a falta de estrutura relacional não introduz inconsistências
tendências e confusão de nomes, afetando a capacidade dos analistas de diagnosticar e mitigar ameaças,
e se o foco no volume não impede o tratamento de fenômenos de ataque raros, como
APTs.
www.cybok.org
8.. Operações de segurança e benchmarking

A atividade de um SOC precisa ser medida, por várias razões. Primeiro, um SOC é a combinação
ção de plataformas de tecnologia, informação, processos e pessoal qualificado. Portanto, é difícil
para identificar onde um determinado SOC está tendo um bom desempenho e quais áreas devem ser melhoradas. Como
SOCs às vezes são terceirizados para MSSPs, o acordo de nível de serviço de segurança deve ser
negociado entre o cliente e o prestador de serviço e verificado pelo cliente. O
o cliente também pode estar sujeito a regulamentações, que devem ser satisfeitas pelo provedor de serviços
como parte de seu contrato. É, portanto, necessário medir a atividade de um SOC de forma que
permite a medição, a comparação entre as indústrias e o estado da arte, e para decidir
quais áreas de atividade devem ser melhoradas.
Os indicadores de segurança da informação (ISI) Grupo de Especificação da Indústria na ETSI desenvolve indicadores
tores para esse efeito. Esses indicadores são o produto de uma abordagem de consenso, onde vários
líderes da indústria (Thales, Airbus), usuários (bancos, empresas de telecomunicações) e provedores de tecnologia (ESI Group,
Bertin) definiram e testaram esses indicadores em conjunto. A abordagem é em toda a Europa, já que o
O grupo ETSI ISI é apoiado por membros da França, Alemanha e Itália, bem como pela rede
trabalho de capítulos R GS na Europa (além dos países em ETSI ISI, Reino Unido, Luxemburgo,
Bélgica, Holanda). No final, esses indicadores devem permitir uma medida comparativa
garantia do desempenho do SOC e uma medição geral da resistência de qualquer
organização a ameaças, cibernéticas, físicas ou organizacionais.
A especificação ISI está disponível gratuitamente no ETSI, e gráficos de informações de referência estão disponíveis
capaz de várias fontes. A principal dificuldade desta abordagem é a capacidade de automaticamente
produzir os indicadores, ou pelo menos um subconjunto deles, pois alguns indicadores são de uma
nível.
8 EXECUTAR: MITIGAÇÃO E CONTRAMEDIDAS

[8]
Por muito tempo, a comunidade SOIM tem se concentrado na detecção e análise, tanto de um
aspecto de pesquisa e implantação operacional. Existe uma clara relutância em automatizar o
última parte do loop da figura 8., já que os operadores de sistema e rede temem perder o controle sobre
ambientes complexos, embora haja muitas razões pelas quais se tornou importante
incluem mitigação automatizada no escopo. Esta é uma área extremamente importante, como exempli cado
pelos tópicos Respond and Recover da estrutura de segurança cibernética do NIST .
8.. Sistemas de prevenção de intrusão

Os sensores IDPS foram rapidamente estendidos para incluir recursos de execução para responder a at-
tachas. O IDPS tem a capacidade adicional de agir no fluxo monitorado após a detecção. Esta
requer a capacidade de atuar como um gateway ou proxy através do qual todas as trocas serão analisadas,
para chegar a uma decisão benigna ou maliciosa. Assim que uma decisão maliciosa for tomada,
ações adicionais podem ser aplicadas ao fluxo de dados, como bloquear, encerrar ou alterar
um fluxo de dados. Claro, a ação adicional depende muito da confiabilidade da detecção,
razão pela qual a prática comum limita as ações a um subconjunto das assinaturas de uma
sensor.
As ações executadas pelos sensores são vinculadas diretamente ao resultado da detecção. Como tal, o
A fase de planejamento é realizada por meio de configuração estática, e a resposta a um ataque é, portanto,

www.cybok.org
independente do contexto durante o qual o ataque ocorre.
A implantação inicial de sensores IDS baseados em rede foi baseada em dispositivos passivos, incapazes
para atuar na rede. A resposta foi então realizada através do envio de ações de recon guração
a um rewall localizado a montante ou a jusante do sensor, através de fora de banda dedicado
comunicações. Este mecanismo induziu atrasos significativos na resposta, como os primeiros
os pacotes do ataque foram aceitos antes que a regra fosse implementada. Também houve
efeitos colaterais desejáveis para alterar dinamicamente a configuração de um muro, como perder
rastreamento de conexão. Além disso, os operadores do sistema são extremamente atentos para manter a estabilidade
configurações de parede, como uma parte essencial do SRE.
Dada a necessidade de responder em tempo real a ataques bem identificados, os modernos baseados em rede
IDPSOs dispositivos são posicionados em linha na rede, para acoplar a detecção e o rewalling. Se malicioso
atividade é detectada pelo sensor, o pacote é imediatamente descartado ou rejeitado, ou a con
conexão é encerrada. A vantagem desta solução é que os ataques são tratados na taxa de linha,
assim que ocorrerem. Claro, FP e FN do mecanismo de detecção terão um direto
impacto na eficiência do IDPS, negando serviço a usuários legítimos ou deixando os ataques irem
através de não detectado. A principal desvantagem do IDPS é a ação na camada de pacotes. Esta
cria efeitos colaterais que podem vazar informações para um invasor. Também requer que um dispositivo seja
colocar na rede que tem a capacidade de quebrar a conexão, injetando outro ponto de
falha na infraestrutura de TIC .
Exemplos especializados de tecnologia IDPS incluem controladores de borda de sessão (SBC) ou Web
Firewalls de aplicativos (WAF) No exemplo de um WAF, a implementação pode levar a
forma de um dispositivo externo atuando como um proxy (e / ou proxy reverso) ou ser implementado como um
módulo de interceptação em um servidor web.
Mais recentemente, IDPS inlineeles receberam a capacidade de modificar a carga útil dos pacotes,
sob o termo de 'patching virtual'. O resultado é que o servidor recebe conteúdo inócuo
em vez do conteúdo, e que a resposta enviada de volta ao invasor indica que o
ataque falhou. A principal vantagem desta abordagem é que não requer quebra
o ow, assim como o sensor de camada de aplicativos como WAF ou SBC.
8.. Negação de serviço

A área mais óbvia onde a mitigação baseada em rede automatizada é necessária é a negação de
Serviço (DoS), e particularmente negação de serviço distribuída em grande escala (Ataque DDoS ) s. DDoS
ataques cresceram continuamente em termos de volume e número de fontes envolvidas,
de Gbps para 68 Gbps (o incidente Krebs-on-security) e Tbps (o Mi-
incidente rai / OVH) A pesquisa da Arbor Networks com 6 pessoas afirmou que metade dos respondentes
provedores de infraestrutura em nuvem sofreram com a perda de conectividade, que teve um fundamento
tal impacto em seus negócios. O surgimento do ataques comprometendo a Internet das Coisas
(IoT) infraestruturas e como usá-las para DDoS, Como Mirai, alcance ajudou novo ataque vol-
ume registros, embora o ataque DDoS médios permanecem relativamente pequenos em Mbps. [ ]
e[ ] fornecem pesquisas e taxonomias de ataque DDoSse defesas. Também tem
trabalho mais recente, particularmente no ataque de amplificaçãos [ 868], que abusam de protocolos
como DNS [86 ] e NTP [86 ] para criar grandes volumes de tráfego com baixa largura de banda re-
quirements.
Ataque DDoSs são fenômenos de grande escala que afetam muitos componentes e operadores em In-
infraestruturas ternet , de Sistema Autônomo (COMO) operadoras para provedores de nuvem para serviço
provedores. Ataques a certos serviços também têm um impacto em grande escala. Por exemplo, o DDoS
www.cybok.org
ataque ao DynDNS impactou a disponibilidade de serviços bem conhecidos, como Net ix, Spotify,
Twitter, etc. A mudança para infraestruturas em nuvem obviamente significa que esses efeitos em cascata
continuará.
Devido à sua escala e impacto , o ataque DDoSs são alvos principais para remediação automatizada.
Isso levou ao surgimento de operadores de serviço de mitigação de DDoS dedicados no modo de nuvem.
Esses operadores de serviço oferecem serviços de gerenciamento de carga, como adicionar novos servidores para face
o fl uxo, redirecionando o tráfego para outros serviços ou diminuindo seletivamente o tráfego.
Técnicas clássicas para diminuir o tráfego incluem lista negra, por exemplo, com entrada de IP
filtragem ou no nível do aplicativo usando cookies TCP Syn para garantir uma sessão TCP legítima
estabelecimento. Isto ajuda a resistir DDoS ataques, embora seja necessário reconhecer que estes
os serviços serão incapazes de prevenir ou combater ataques em grande escalas.
Na rede central, o MPLS oferece uma opção interessante para mitigar ataques DDoS [ ], como
permite reserva de largura de banda e controle de uso de largura de banda, para garantir que o legítimo
O tráfego recebe largura de banda suficiente e esse tráfego potencialmente malicioso é eliminado. No
edge, a implantação de redes definidas por software (SDN) como a rede fundamental
técnica de controle para centros de nuvem permite flexibilidade da configuração e configuração da rede
Trol, e permite a colaboração entre a Internet prestadores de serviços e infraestrutura de nuvem
operadores para mitigar o ataque DDoSs [ ]
Além do acesso à rede (que no momento é a maior ameaça), o ataque DoSs também podem
recursos de computação de destino, armazenamento ou potência. O surgimento da Internet das Coisas e
a crescente necessidade de conectar objetos de baixo custo operados por bateria à Internet
pode aumentar a superfície de ataque DoS no futuro.
8.. Plataformas SIEM e contramedidas

A contribuição das plataformas SIEM para a atividade MAPE-K Execute hoje é limitada; uma vez
planos foram definidos e validados por analistas, outras funções, como controle de mudanças
sistemas de bilhetagem assumem o controle para garantir que as ações implantadas sejam apropriadas e não
impactar negativamente a atividade de negócios.
Internamente no SOCs, analistas usam sistemas de tíquetes para acompanhar o andamento do incidente
resolução e encaminhamento de problemas para analistas mais qualificados ou especializados, quando necessário. Bilhete-
sistemas de gerenciamento também podem servir para análise post-mortem de incidentes, para avaliar e melhorar o SOC
processos.
Os analistas SOC também interagem com plataformas de tíquetes para enviar solicitações de mudança para outras equipes,
responsável pela gestão da rede ou do sistema. Isso pode até mesmo se estender a funções de segurança, para
por exemplo, se a organização tiver uma plataforma de gerenciamento de firewall dedicada. O fato de que
isso permanece principalmente como uma atividade manual que introduz um atraso significativo na redução da ameaça. Isto
também depende do sistema ou dos operadores de rede do outro lado do sistema de bilhetagem para sub-
suportar a mudança solicitada e implementá-la com eficácia. No entanto, esse atraso é frequentemente visto
conforme necessário para lidar com potenciais falsos positivos e para avaliar o impacto efetivo sobre
atividades comerciais, conforme detalhado na seção seguinte.

www.cybok.org
8.. SOAR: Avaliação de impacto e risco

No passado, a avaliação de riscos em segurança cibernética concentrava-se principalmente na proteção de ativos de TIC , ma-
chines, equipamento de rede e links. As metodologias de avaliação de risco se concentram em determinar
ativos, analisando suas vulnerabilidades e modelando efeitos em cascata. Árvores de ataque,
mal descrito por Schneier [ ] e formalmente definido por Mauw [ ], agora estão implementados
como gráficos de ataque em ferramentas de software ] Eles
[ permitem que um oficial de segurança de rede ou sistema
modelar o ambiente de TIC e as vulnerabilidades associadas, para determinar os caminhos e
o atacante pode seguir para comprometer alvos interessantes. Esses gráficos de ataque mais complexos
permitir uma quantificação da probabilidade de que um atacante irá propagar numa Informações
Sistema, dos danos e das possíveis medidas de proteção que poderiam bloquear o ataque.
De uma perspectiva de negócios, gráficos de ataque e tecnologias de gerenciamento de vulnerabilidade en-
gestão
aumentadeerisco capaz e conformidade
potencialmente com
se torna uma os regulamentos.
ameaça Como
à vida humana ou àocontinuidade
impacto dos dos
ataques cibernéticos
negócios, em
reguladores
impor medidas de proteção e detecção para garantir que o risco cibernético seja adequadamente gerenciado em
organizações. Embora existam muitas técnicas de proteção possíveis disponíveis, a partir de identi -
catação e autenticação para filtragem e rewalling, a complexidade e interconectividade de
infraestruturas complexas de TIC torna inviável, técnica ou economicamente, proteger
contra todas as ameaças possíveis. Como tal, a cibersegurança torna-se uma troca econômica antes de
entre implantar medidas de proteção, assumir o risco e segurá-lo. Ciberseguro
tem sido difícil, mas há um interesse crescente na economia da segurança cibernética, que
pode apoiar o desenvolvimento de modelos de ciberseguro [ ]
Outro aspecto dos gráficos de ataque é seu uso para contramedidass. Trabalho na contramedidas
concentrou-se em ativos técnicos, pois eles podem ser ativados para bloquear ameaças. Isso significa adicionar
ou modificar regras de firewall para bloquear tráfego indesejado, desativando ou removendo privilégios de usuário
contas, evitando que máquinas não autorizadas ou suspeitas se conectem à rede ou
o sistema de informação, ou encerrando um serviço ou máquina. No entanto, a implantação de
contramedidas requer uma avaliação de impacto , não apenas no nível do ativo, mas também no
nível de negócios. A forte dependência de missões empresariais em ativos técnicos de TIC significa que
essas regras de rewall ou contas bloqueadas podem ter um efeito prejudicial na
o negócio. Este efeito prejudicial pode até ser pior do que sofrer um ataque, pelo menos para
às vezes. Novos modelos de avaliação de impacto devem levar em consideração não apenas as TIC
tecido de ativos, mas também os serviços de negócios que oferecem suporte para determinar sua criticidade
e o custo de alterar seu comportamento [ 6]
Não se pode enfatizar o suficiente, como na seção 8.., a importância dos processos e
fluxos de trabalho associados ao conjunto de ferramentas implementadas para SOAR. Isso, por exemplo, implica
que haja uma compreensão clara das responsabilidades no SOC, uma cadeia de validação quando
contramedidas são implantadas e uma verificação eficaz de que a mitigação é eficiente
e parou o ataque ou seus efeitos.
www.cybok.org
8.. Engenharia de confiabilidade do site

Outro aspecto relevante da proteção e mitigação de ameaças é que os ambientes de TIC têm
para se preparar para o gerenciamento e mitigação de incidentes . Como é necessário para a engenharia de segurança,
os operadores têm que definir e implantar procedimentos, como planejamento de continuidade de atividades para garantir
que eles continuarão a operar mesmo quando confrontados com certas ameaças [ ] Isso significa que
os operadores devem implantar e operar o sensors até um certo nível de eficiência. Eles também devem
implantar e operar ferramentas de proteção, como sistemas de firewall ou autenticação que podem
impactar o desempenho e o comportamento normal de seus sistemas. Além disso, todos esses novos equipamentos
exigirá mão de obra para monitoramento e manutenção.
Uma mudança significativa recente no SRE é uma extensão do escopo. Muito, senão todo, do equipamento
usado em qualquer organização incluirá tecnologia digital e exigirá manutenção. Vários
dispositivos que alimentam o controle de acesso físico ou gerenciamento de edifícios serão interconectados
com e acessível através da infraestrutura de TIC . Como tal, eles estarão sujeitos a semelhantes,
se não forem idênticos, ataques como a infraestrutura de TIC . Novos modelos de manutenção devem ser de-
desenvolvido e adaptado para incluir esses dispositivos IoT no processo de engenharia de confiabilidade. O
Rede e Sistemas de Informação (NIS) A diretiva da União Europeia exige que todos os dispositivos
deve ser corrigido para remover vulnerabilidades. A manutenção remota se tornará um requisito-
mento para muitos objetos, grandes e pequenos. Dependendo de suas habilidades de computação, armazenamento e
comunicando os elementos de segurança, esses processos de manutenção serão difíceis de desenvolver
e colocar no lugar [ 8] No entanto, existem muitos sistemas, por exemplo, no transporte
ou domínios de saúde, onde a mudança para a tecnologia digital deve incluir manutenção de software
isso é oportuno e seguro.
Isso está impulsionando uma maior convergência entre confiabilidade, segurança e cibersegurança. SRE
equipes em ambientes ciberfísicos, portanto, precisam operar sistemas, monitorando-os para
falhas e ataques, a fim de garantir o funcionamento contínuo. SRE é, portanto, também cada vez mais
aplicado em ambientes puros de TI, como plataformas de computação em nuvem, que devem ser robustas
contra falhas acidentais, como energia.
8,6 CONHECIMENTO: INTELIGÊNCIA E ANALÍTICA

[8 , 8]
Inteligência e análise se concentram em dois componentes específicos, conforme mostrado na figura8. , CTI e
CERTs. A plataforma CTI (seção 8.6.) substitui e inclui o honeypots para fornecer um com
visão preensiva de atividades maliciosas que podem impactar uma organização. CERTse ISACs são
órgãos reguladores com os quais uma organização pode obter informações adicionais, como o
indicador de compromisso específico da indústria, ou prática recomendada para detecção de incidentes e han-
dling.

www.cybok.org
8,6. Gerenciamento de conhecimento de cibersegurança

Conforme descrito na seção 8. , as plataformas SIEM são a principal ferramenta técnica de apoio aos analistas para
defender o sistema de informaçãose redes. A primeira tentativa de gerenciar a segurança cibernética-
conhecimento relacionado é o compartilhamento de informações de vulnerabilidade, formalizado como recomendações CERT primeiro
e agora gerenciado por meio de Vulnerabilidades e Exposições Comuns (CVE) dicionário, o
Sistema de pontuação de vulnerabilidade comum (CVSS) e bancos de dados como o NIST National Vul-
Banco de dados de nerabilidade. No entanto, o desempenho dessas plataformas depende muito das informações
informações disponibilizadas aos analistas que os comandam. Compreender os invasores tem sido um
área de pesquisa de longa data, mas houve muitos avanços recentes no estado de
a arte de compreender os processos de ataque e motivações e de fornecer aos analistas
melhores informações para tomar decisões adequadas.
CVE fornece uma maneira de referenciar vulnerabilidades específicas anexadas a versões específicas de produtos
ucts. Esta informação é muito útil para a assinatura IDSs, porque eles identificam claramente o alvo
produto obtido. No entanto, eles são insuficientes para um processamento mais global, portanto, de alto nível
classi cações foram de nidas.
O sistema comum de pontuação de vulnerabilidade (CVSS) fornece uma maneira padrão de avaliar o im-
pacto de vulnerabilidades, fornecendo uma pontuação numérica sintética de fácil compreensão.
Cada vulnerabilidade é atribuída uma pontuação de acordo com seis métricas básicas que refletem o intrínseco
características de uma vulnerabilidade e, em particular, a facilidade com que a vulnerabilidade pode ser
alavancado por um invasor para impactar a confidencialidade, integridade e disponibilidade. Esta métrica básica
é modulado por três métricas temporais que indicam se exploits (aumentando o risco) ou
patches (diminuindo os riscos) estão disponíveis; essas três métricas temporais evoluem ao longo do tempo,
à medida que mais informações estiverem disponíveis. Finalmente, quatro métricas temporais medem o específico
exposição de uma organização. Cada entrada CVE é geralmente qualificada por uma pontuação CVSS .
A Enumeração de Fraqueza Comum (CWE) dicionário fornece uma estrutura de nível superior em
topo do dicionário CVE , para qualificar ainda mais o tipo de fraqueza de software envolvida no
vulnerabilidade. Ele serve como uma descrição adicional da entrada CVE , para identificar pontos fracos
que aparecem em várias ferramentas de software e para identificar mitigação e prevenção comuns
estratégias. A estrutura do CWE é relativamente complexa, e identificar pontos em comum
As vulnerabilidades transversais às vezes são difíceis. As referências CWE são frequentemente encontradas no CERT
conselhos.
A Enumeração e Classificação do Padrão de Ataque Comum (CAPEC) e Adversarial Tac-

tiques, técnicas e conhecimento comum (ATT & CK) frameworks fornecem duas visualizações adicionais
com foco nas atividades do invasor. CAPEC faz referência a várias entradas CWE com foco em
atributos e técnicas usados pelos invasores. Os exemplos incluem injeção de SQL ou Cross-Site
Solicitar falsificação. Mais recentemente, a ATT & CK vem formalizando informações operacionais sobre
atacantes, para desenvolver modelos de ameaças e procedimentos operacionais para defender redes.
É importante notar que o desempenho de SIEM e SOAR depende de

informações completas presentes na base de conhecimento. Como tal, esta informação deve ser
mantidos, e os links apropriados para outras funções de gerenciamento de sistema ou rede
deve ser estabelecido para este efeito.
www.cybok.org
8,6. Honeypots e honeynets

Honeypots são uma tecnologia relativamente antiga, como exemplificado no livro de Stoll [ ] Eles eram
popularizado pelo Projeto Honeynet e livro de Spitzner [ ] A comunidade comumente
de nes um honeypot como um recurso do Sistema de Informação cujo valor reside em não autorizado ou
uso ilícito desse recurso. Mais concretamente, um honeypot é uma máquina (um honeynet é um conjunto de
máquinas), que é oferecida como isca aos invasores. Como tal, honeypots usam recursos 'gratuitos' em
um sistema de informação ou rede para fornecer serviços de aparência realista para o mundo exterior.
Em uso normal, essas máquinas nunca devem ser acessadas por usuários legítimos, portanto,
ação é considerada relacionada ao uso malicioso. Ao monitorar o uso dos invasores do
pote de mel, os pesquisadores esperam obter informações relevantes sobre os processos de ataque e novos
código malicioso e para aproveitar essas informações para detecção e mitigação de ataques .
Existem várias categorias de honeypots. Inicialmente, honeypots eram ferramentas muito simples, alert-
na conexão a uma determinada porta com um determinado endereço IP. No entanto, como atacantes e
o malware evoluiu, eles se tornaram capazes de detectar interações que são diferentes do serviço
que deve ser oferecido pela plataforma à qual estão conectados. Honeypot e Honeynet
tecnologias têm se desenvolvido de uma maneira bastante sofisticada em larga escala, complexa
infraestruturas. Eles deram origem a análises de atacantes, de observações a estatísticas
análise, ao que agora é identificado como o Indicador de compromisso (IoC), peças organizadas de
evidência de que um invasor está tentando comprometer um sistema de informações ou rede.
A principal hipótese por trás do honeypots é que os invasores procurarão ativamente as vítimas, enquanto
usuários lar só usarão recursos que são publicamente e oficialmente anunciados por meio de congura-
ção, roteamento e nomenclatura. Isso provavelmente foi verdade durante o período principal da Internet-scanning
vermes como o Slammer. No entanto, os invasores têm outros meios de coletar informações silenciosamente
informações sobre seus alvos, por exemplo, por meio de mecanismos de pesquisa. A varredura é, portanto, feita por
legítimos ou, pelo menos, atores conhecidos, mas não fornece informações sobre os invasores. Também,
há uma quantidade significativa de atividade de ruído de fundo na Internet [ ] Assim, o
premissa principal do honeypots, que não há falsos positivos porque todas as atividades são maliciosas,
não pode ser garantido.
As informações coletadas pelo honeypots é fornecido inteiramente pelos invasores, e eles também são
desenvolver técnicas para entender se eles estão sendo executados em ambientes controlados ou
não. Se eles detectarem um ambiente controlado, como uma máquina virtual, eles irão parar de interagir
ções. Embora a computação em nuvem tenha generalizado o uso da virtualização, existem outros indicadores
sinais que indicam controle e monitoramento. O melhor uso atual do honeypots provavelmente está dentro
dados confidenciais, na forma de endereços de e-mail falsos e linhas ou colunas falsas em bancos de dados.
8,6. Inteligência de ameaças cibernéticas

Honeypots mostraram que é útil observar atividades maliciosas, para capturar malware
e para detectar novas ameaças antes que possam se espalhar amplamente. Desde o pico do honeypot
período, os pesquisadores começaram a olhar para os mecanismos de ataque e tendências de um modo mais amplo
spective [ ], mas mantendo o objetivo de ambos olharem para a Internet- em toda a atividade maliciosa-
ity [ , ] e na análise de malware [ , ]
Além do honeypots, a inteligência de ameaças cibernéticas incluiu a dimensão das informações

partilha de informações, conforme cada vez mais exigido pelas autoridades nacionais. O compartilhamento de informações é tanto o
resultado da análise de dados [ 6] e é extremamente útil para os defensores entenderem melhor
os riscos e possibilidades de proteção e mitigação. Como tal, é tanto um pró-humano
cess [ ] como plataformas e ferramentas, como o Malware Information Sharing de código aberto
www.cybok.org
Plataforma (MISP) [ 8], também incluído no projeto TheHive.
Outro tópico importante é a definição de IoCs [ 8], que é um termo mais geral do que sig-
naturezas. As assinaturas, como é geralmente entendido, são evidências de um ataque contínuo.
IoCs generalize o conceito de duas maneiras. Em primeiro lugar, eles indicam evidências de um ataque ocorrendo antes de
pareado ou das evidências que permanecem depois que um sistema foi comprometido por um invasor.
IoCs são definidos para compartilhamento, portanto, sua inclusão em padrões como RFC , o incidente
Formato de troca da descrição do objeto (IODEF) versão e as informações de rosca estruturada
eXchange (STIX)
Embora as primeiras tentativas de compartilhamento de assinaturas usassem a linguagem de assinatura Snort , a linguagem YARA
foi amplamente adotado e é, por exemplo, o suporte do YARA Signature Ex-
Change Group , um indicador não comercial de plataforma de troca de compromisso .
A fim de apoiar e regulamentar o compartilhamento de informações, as autoridades também promoveram o

criação de Centro de Análise e Compartilhamento de Informaçõess (ISAC) Estes ISACs são ambos regionais
(nos EUA, na Europa, etc.) e setoriais (para energia, transporte, bancos, etc.). O ob-
objetivo é facilitar o compartilhamento de informações entre pessoas com organizações semelhantes e
Objetivos. Também traz a dimensão econômica para a segurança cibernética, analisando os benefícios de
compartilhamento de informações para organizações para melhor eficiência.
8,6. Consciência situacional

A Consciência Situacional é um assunto complexo, que tem sido objeto de pesquisas desde
um ponto de vista técnico e um de ciências sociais. Trabalho inicial focado em usuários que operam complexos
sistemas, por exemplo, pilotos em aeronaves [ ], definindo a consciência situacional como um cognitivo
processo, a percepção dos elementos do ambiente dentro de um volume de tempo e espaço,
a compreensão de seu significado e a projeção de seu status em um futuro próximo . Esta
trabalho foi considerado fundamental para muitos dos trabalhos posteriores em CyberSA e uma pesquisa
artigo de Franke e Brynielsson [8 ] promoveu esta definição por Endsley [ ] No con
texto de ciberataques e da sociedade digital, esta definição implica que CyberSA implica a
consciência de qualquer tipo de atividade suspeita ou interessante ocorrendo no ciberespaço [8 ]
Além da tecnologia [ ], a consciência ciber-situacional tem recebido amplas contribuições de

as ciências sociais. Também foi amplamente estudado em círculos militares [ ] Vários dos
contribuições mencionadas também usam técnicas de aprendizado de máquina. Ao analisar o
desempenho de ciber-respondedores (Operadores SOC e analistas) Tadda [ ] já usa
SIEM existentese Sistema de detecção de intrusãos como a plataforma técnica para implementação
consciência ciber-situacional.
O mundo SIEM está passando por mudanças profundas por meio da regulamentação e do impacto da ciber-
ataques. Do ponto de vista da regulamentação, os operadores de infraestrutura crítica são obrigados a incorporar
capacidades de detecção e mitigação. Isso representa a instanciação do NIS europeu
directiva no direito nacional. A ENISA fornece regularmente informações sobre incidentes cibernéticos,
principalmente procedimentos de detecção e gestão. O relatório mais recente sobre um incidente cibernético
simulação em junho indicou que o progresso ainda é necessário no CyberSA, mas isso cooper-
a ação está aumentando e que o compartilhamento de informações é de extrema importância para
tomando uma decisão.
www.cybok.org
8 FATORES HUMANOS: GESTÃO DE INCIDENTES

[8]
No estado atual das coisas, permanece claro que a proteção completa é tecnicamente
inviável e economicamente indesejável. Conseqüentemente, os sistemas serão comprometidos, e é
provavelmente aquele ataques irá derrubá-los, tendo um impacto significativo. Tem havido, por
por exemplo, vários casos de empresas fechando por dias devido a um ataque de ransomwares,
como Wannacry. Além de garantir a continuidade dos negócios, obrigações técnicas e regulatórias
exigem que as investigações sejam realizadas, após um comprometimento da segurança cibernética. Isto é um
etapa obrigatória para restaurar um sistema de TIC a um estado confiável. Esta etapa é onde, além das ferramentas
e processos, os aspectos humanos são fundamentais, principalmente a educação, o treinamento e a prática de exercícios.
A Figura 8. apresenta um processo simplificado de gerenciamento de incidentes inspirado no NIST SP8 -

6[ ], uma definição de desafios de Ahmad et al. [ ] e uma pesquisa de Tondel et al. [ ] Isto
define três atividades amplas que uma organização deve realizar, preparar- se para incidentes,
lidar com incidentes quando eles ocorrerem e acompanhar os incidentes quando eles forem fechados.
Figura 8.: ciclo de vida de gerenciamento de incidentes
Embora o tópico de gerenciamento de incidentes chegue ao final do KA, ele aproveita todos os recursos
capacidades e ferramentas que foram descritas nas seções anteriores. Também é necessário
destacar que há um equilíbrio necessário entre prevenção e resposta [ ] Prevenção total
ção demonstrou ser inviável, por razões de facilidade de uso e custo, por um lado,
e porque os invasores têm maneiras e imaginação além do que os designers de sistema imaginam
por outro lado. Portanto, dedicar recursos para prevenção versus resposta é altamente
organização específica, mas é um exercício importante que deve ser realizado com cuidado antes de
causa das consequências que tem para uma organização. Por um lado, a prevenção aumentará
os custos operacionais de uma organização. Por outro lado, confiar apenas na resposta pode
levar a consequências fatais onde a organização não seria capaz de se recuperar de um
cidente. Além disso, responder adequadamente a incidentes incorre em custos que não devem ser ignorados. Risco
a avaliação é, portanto, uma parte integrante do gerenciamento de incidentes.
www.cybok.org
8.. Prepare: planejamento de gerenciamento de incidentes

Conforme mostrado na figura 8., a primeira etapa no gerenciamento de incidentes é colocar em prática o apropriado
processos e recursos antes que ocorra um incidente. Este é, de fato, um requisito legal para
todos os operadores de infraestrutura crítica, e é estabelecido por regulamentos como a Rede da UE
e Sistemas de Informação (NIS) diretiva.
O estabelecimento de políticas e procedimentos depende da estrutura da organização e do setor

tor a que pertence. As políticas devem envolver uma gestão de nível superior, a fim de adequadamente
de nir o escopo e a estrutura organizacional que se dedica ao gerenciamento de incidentes, como
bem como procedimentos de desempenho e relatórios. As políticas devem incluir uma resposta formalizada
planos que fornecem um roteiro para a implementação da capacidade de resposta a incidentes, com base em
métodos de avaliação de risco. Os planos devem ser refinados em procedimentos, a fim de definir padrões
procedimentos operacionais padrão que podem ser rapidamente seguidos pelos respondentes para definir concretamente
as ações que precisam ser tomadas quando ocorrem situações específicas. Todas essas políticas, planos
e os procedimentos dependem da organização e do setor, e serão afetados por diferentes registros
ulações. Por exemplo, as organizações nanceiras devem levar em consideração o Basileia II e
Regulamentos Sarbanes-Oxley em seus procedimentos de gestão de incidentes, para implementar adequadamente
relatórios aos reguladores.
Uma parte importante desta atividade de preparação está relacionada à comunicação em muitas formas. Primeiro
de tudo, os regulamentos agora geralmente exigem que os incidentes sejam relatados às autoridades, seja
um CERT nacional hospedado por uma agência nacional de segurança cibernética, agências de aplicação da lei ou um
organização setorial, como um ISAC. Também é importante estabelecer de antemão
canais de comunicação com fornecedores de tecnologia e serviços, como fornecedores de software
e provedores de serviços de Internet. Canais semelhantes devem ser configurados entre pares, como
CISOs, para facilitar o compartilhamento de alertas precoces e melhores práticas. Organizadores transnacionais
e facilitadores de trocas incluem as equipes de resposta a incidentes de segurança de computador (TF-
CSIRT), o Fórum de Resposta a Incidentes e Equipes de Segurança (PRIMEIRO) e a União Europeia
Agência de Cibersegurança (ENISA)
Outro constituinte compreende clientes, mídia e público em geral. Organizações

deve estar pronto para se comunicar quando os incidentes de segurança cibernética afetam os clientes, ou quando
eles se tornam amplamente visíveis. Por exemplo, o Regulamento Geral Europeu de Proteção de Dados
[ ] (GDPR) estabelece a necessidade de relatar aos usuários em caso de vazamento de informações. Portanto,
esperamos que os requisitos de conformidade com o GDPR tenham um impacto na segurança cibernética,
à medida que as organizações percebem que precisam proteger e monitorar seus sistemas para cumprir
este regulamento.
Por fim, a preparação também inclui o estabelecimento de uma equipe, geralmente um CSIRT. Isso inclui
considerações práticas, como a decisão de lidar com incidentes internamente ou de subcontratar,
total ou parcialmente, as tarefas para o MSSP qualificados, a escolha de um centralizado ou distribuído ou-
ganização para resposta a incidentes e a cadeia de relatórios. Escolher entre um centralizado ou
uma estrutura distribuída é guiada pela estrutura da organização. Uma estrutura distribuída
permite uma melhor proximidade (geográfica, bem como funcional) entre a resposta ao incidente
ders e as unidades de negócios. No entanto, pode aumentar os esforços de coordenação necessários e
custo.
A resposta a incidentes é uma tarefa que exige muita gente, que está relacionada ao gerenciamento de crises.
ment. Requer a capacidade de trabalhar sob pressão, tanto internamente (para prevenir o incidente
de propagação ou bloqueio da organização) e externamente (para lidar com a gestão, reg-
ulatória ou pressão da mídia). Há, portanto, uma necessidade de pessoal qualificado para praticar incidentes

www.cybok.org
exercícios de resposta, como é feito nas forças armadas, por exemplo. Também requer treinamento contínuo
para acompanhar as ameaças mais recentes. A integração de pessoas-chave com o
comunidades relevantes, como ISACs ou CERTs também ajuda no compartilhamento de informações e garante
que as melhores práticas são trocadas dentro da comunidade certa.
8.. Tratamento: Resposta real ao incidente

Conforme mostrado na figura 8., lidar com incidentes requer três atividades diferentes, análise, mitigação
ção e comunicação.
A análise está relacionada à investigação de incidentes , para entender a extensão do comprometimento e

dos danos aos sistemas, em particular aos dados. Se os dados foram perdidos ou alterados, o
a idade pode ser extremamente significativa. Portanto, a investigação deve avaliar o que exatamente
foi comprometido, e o que não foi, bem como a hora em que o comprometimento ocorreu. Isso é
extremamente difícil, devido à duração de determinado ataques (meses), as técnicas furtivas
invasores implantam para permanecerem ocultos (apagando logs ou sistemas, criptografando comunicações),
e a dificuldade de congelar e interagir com os sistemas (invasores detectando interação
pode tomar uma ação muito destrutiva) e reunir evidências.
A mitigação está relacionada à implantação de medidas de emergência que podem conter o inci-
amassar e limitar seu impacto. A mitigação deve primeiro limitar os danos causados aos sistemas,
como o apagamento ou divulgação de informações, que um invasor pode desencadear se for descoberto.
Ele também deve garantir que os invasores não se propaguem para outros sistemas. A contenção pode in-
incluem o bloqueio de acessos à rede em certos perímetros ou o desligamento de serviços e sistemas
ou comunicações. A contenção pode, infelizmente, ter um impacto adverso na desejável
funções. Por exemplo, cortar o acesso à rede impede que os invasores se comuniquem com
sistemas comprometidos, mas também torna mais difícil corrigi-los ou fazer backup deles.
É comum que as medidas de mitigação revelem informações adicionais sobre o invasor, seu
métodos e alvos. Portanto, a figura 8. inclui um circuito fechado entre análise e mitigação
gação, para enfatizar o fato de que análise e mitigação devem ser entendidas como
uns aos outros.
Conforme já mencionado na seção 8.., a comunicação é parte integrante do tratamento de incidentes.

Uma vez estabelecida a extensão do dano, é necessário alertar as autoridades
e cumprir os regulamentos conforme necessário.
8.. Acompanhamento: atividades pós-incidente

A etapa final em um incidente resposta é verificar se a extensão do compromisso tem
foi realizada e para limpar o sistema. Restaurar um sistema também está conectado a
de engenharia, uma vez que os integradores de sistema devem planejar e os operadores de sistema devem manter por
restauração em caso de compromisso.
Outro aspecto importante das atividades pós-incidente é medir o desempenho do

equipe e os procedimentos, a fim de melhorá-los. Isso costuma ser difícil, e Ahmad et
al. [ ] apontaram vários fatores relacionados a essa dificuldade. Em primeiro lugar, isso significa sacrificar
metas de longo prazo (lidar com incidentes atuais e retornar às operações normais) para melhorar a longo prazo
comportamento do termo (por exemplo, mitigação mais rápida e / ou mais precisa). Outro aspecto do acompanhamento
que deve ser levado em consideração é o impacto do incidente. Embora grandes incidentes gerem
geralmente levam a análises post-mortem e mudanças na política, incidentes de baixo impacto podem ser deixados
fora do procedimento de acompanhamento. No entanto, é comum que esses incidentes de baixo impacto
www.cybok.org
ocupar a maior parte dos recursos dedicados à gestão de incidentes e devem ser
explorado também.
A comunicação também é um aspecto importante do acompanhamento. Lições aprendidas com os incidentes

deve impactar o treinamento de incidentes, para garantir que os respondentes estejam atualizados com o método do invasor
ods. Deve também permitir o compartilhamento de informações com pares, de modo que as melhores práticas sejam propa-
fechado para a comunidade como um todo, para aprender com os incidentes além daqueles que afetam cada um
organização.
Outro assunto relacionado é a atribuição de ataque [8 ] O objetivo é entender onde e

a origem do ataque e, em particular, as motivações do atacante. Isso vai ajudar
restaurar o sistema para um estado de funcionamento e evitar comprometimento posterior.
Parte do trabalho de atribuição se concentrou na análise de malware , para fornecer evidências técnicas
origem da origem do ataque. O objetivo é encontrar no código de malware evidências de sua
raízes, como reutilização de código ou comentários que podem explicar as motivações do autor. Esta
permite a definição de famílias de malware , o que pode ajudar a definir IoC mais genéricos
para detectar a propagação de código malicioso, mesmo se a variante exata não for conhecida. Malware
os autores usam muitas técnicas para tornar isso difícil, conforme explicado na seção 8...
Outros trabalhos sobre atribuição observam a atividade da rede para extrair pontos em comum. Grupos de em-
atacantes podem compartilhar infraestruturas de Comando e Controle (C&C), assim, atacars pode vir de
os mesmos endereços IP ou usam os mesmos nomes de domínio. Eles podem reutilizar serviços, portanto, nós-
URLs ou comandos de aparência semelhante .
No entanto, a atribuição é muito cara, especialmente se o objetivo é usar tecnologia forense

técnicas para apoiar ações judiciais. Neste momento, a perícia e a atribuição continuam sendo uma ex-
extremamente específico e não está incluído em Operações de Segurança e Gerenciamento de Incidentes ,
porque eles exigem experiência, ferramentas e tempo além do que os analistas de SIEM gerenciando consoles
pode fornecer.
Ações judiciais usando as informações coletadas por meio de técnicas forenses são discutidas no
Descrição da área chave da perícia.
8,8 CONCLUSÃO
O domínio Operações de Segurança e Gerenciamento de Incidentes inclui muitos tópicos. A partir de um
ponto de vista técnico, o SOIM requer a capacidade de observar a atividade de um Sistema de Informação
do tem ou rede, através da recolha de rastreios que são representativos desta atividade. Em seguida, requer
a capacidade de analisar esses traçoss em tempo real, ou quase em tempo real, para detectar eventos maliciososs
incluído neste traços, e para enviar alertaestá relacionado a estes eventoss. A definição de um
evento malicioso depende da técnica de análise e da fonte de dados usada para realizar
a detecção. Uma vez que um ataque é detectado, ele deve ser relatado e analisado em uma plataforma SIEM
formulário, para avaliar o impacto do ataque e para determinar as possíveis ações corretivas que
pode ser aplicado para bloquear o ataque ou mitigar seus efeitos.
Do ponto de vista operacional, SOIM é muito mais um processo, e a definição deste pro
cesso requer uma gestão forte. Ele depende de pessoas para realizar muitas das tarefas, de
gurar os detectores para analisar o alertas para decidir sobre remediações. Portanto, habilidoso
os analistas são um dos pilares das operações de segurança e gerenciamento de incidentes. A-
outro aspecto importante é o planejamento, uma vez que todas as ferramentas e pessoal devem estar no lugar antes de qualquer coisa
pode acontecer. Por fim, o SOIM é caro, exigindo ferramentas complexas e habilidosas e completas

www.cybok.org
pessoal do relógio para manobrá-los. No entanto, a forte dependência de nossa sociedade em ferramentas digitais, como
bem como o contexto regulatório, exigem que essas ferramentas e processos sejam colocados em prática em todos os
Onde.
]
]
] [8
[8 ] ]
[8 ]
[ 86 [8 8
y
[
ecyber
elssonbase
machado
Chandolaanomaly
denning8;
egelesurve
intrusão
franco liao6acing
8. Conceitos fundamentais X X
8. Monitorar: fontes de dados X X
8. Analisar: métodos de análise X X X X
8. Plano: Informações de Segurança e Gerenciamento de Eventos X
8. Executar: Mitigação e contramedidas X
8.6 Conhecimento: Inteligência e análise X X
8. Fatores humanos: gestão de incidentes X
www.cybok.org
Página 315
Capítulo
forense
Universidade Vassil Roussev de Nova Orleans
www.cybok.org
INTRODUÇÃO
Ciência forense digital ou forense digital, é a aplicação de ferramentas científicas e métodos
ods para identificar, coletar e analisar artefatos digitais (dados) em apoio a processos judiciais.
De uma perspectiva técnica, é o processo de identificação e reconstrução do relevante
sequência de eventos que levou ao estado atualmente observável de um sistema de TI de destino ou (dig-
ital) artefatos. A importância da evidência digital cresceu junto com a rápida sociedade
adoção da tecnologia da informação, o que tem resultado no acúmulo contínuo de
dados a uma taxa exponencial. Simultaneamente, tem havido um rápido crescimento nas conexões de rede
a produtividade e a complexidade dos sistemas de TI, levando a um comportamento mais complexo que pode precisar
investigação.
O objetivo principal desta área de conhecimento é fornecer uma visão geral técnica do digital
técnicas e capacidades forenses, e colocá-los em uma perspectiva mais ampla em relação
a outras áreas relacionadas no domínio da segurança cibernética. A discussão sobre os aspectos legais da digi-
a perícia forense é limitada apenas aos princípios gerais e melhores práticas, conforme as especificações do
a aplicação desses princípios tende a variar entre as jurisdições. Por exemplo, o Conhecimento
A área discute a disponibilidade de diferentes tipos de evidências, mas não funciona por meio do
processos legais que devem ser seguidos para obtê-los. O Conhecimento de Lei e Regulamentação
Área (Capítulo ) discute questões específicas relacionadas à jurisdição e ao processo legal para
obter, processar e apresentar evidências digitais.
CONTENTE
. DEFINIÇÕES E MODELOS CONCEITUAIS

[6, , 8, , ]
Em termos gerais, a ciência forense é a aplicação de métodos científicos para coletar, preservar e analisar
yse evidências relacionadas a processos judiciais [ 6] Historicamente, isso envolveu a análise sistemática
de (amostras de) material físico, a fim de estabelecer relações causais entre vários
eventos, bem como para tratar de questões de proveniência e autenticidade. A justificativa por trás disso,
O princípio de troca de Locard , é que o contato físico entre objetos resulta inevitavelmente no
troca de matéria, deixando rastros que podem ser analisados para reconstruir (parcialmente) o evento.
Com a introdução da computação e comunicação digital, que chamamos de cy-

Nesse domínio , as mesmas suposições gerais foram estendidas em grande parte sem contestação. Embora um
discussão conceitual detalhada está além do escopo deste capítulo, é importante reconhecer
perceber que a presença de um traço digital persistente (forense) não é inevitável, nem é um
Conseqüência “natural” do processamento e comunicação da informação digital.
Um rastreamento digital (forense) é um registro explícito ou implícito que atesta a execução de

cálculos ci c, ou a comunicação e / ou armazenamento de dados específicos. Esses eventos podem
ser o resultado da interação humano-computador, como um usuário iniciando um aplicativo, ou eles
pode ser o resultado da operação autônoma do sistema de TI (por exemplo, backup programado).
Os rastreamentos explícitos registram diretamente a ocorrência de certos tipos de eventos como parte da norma
mau funcionamento do sistema; mais proeminentemente, estes incluem uma variedade de sistemas com carimbo de data / hora
logs de eventos e aplicativos. Os traços implícitos assumem muitas formas e permitem a ocorrência
de alguns eventos a serem deduzidos do estado observado do sistema, ou artefato, e en-
conhecimento de engenharia de como o sistema opera. Por exemplo, a presença em um armazenamento
KA Forensics | Outubro Página

www.cybok.org
dispositivo de um único pedaço de dados que é parte de um conhecido le pode demonstrar que o le
era provável que estivesse presente uma vez e foi posteriormente excluído e parcialmente substituído -
dez. A ausência observada de arquivos de registro normais pode apontar para uma violação de segurança durante a qual
os perpetradores apagaram os registros do sistema como um meio de encobrir seus rastros.
Embora existam frequentemente, esses traços de interações cibernéticas são o resultado de

decisões de engenharia que geralmente não são tomadas para facilitar especificamente a perícia. Este tem
implicações importantes com relação à procedência e autenticidade das evidências digitais,
dada a facilidade com que as informações digitais podem ser modificadas.
.. Preocupações legais e o padrão Daubert

Os primeiros relatos publicados de uso indevido e manipulação de sistemas de computador para compras ilegais
poses como furto, espionagem e outros crimes datam dos 6 s. Durante o s, o
primeiros estudos empíricos de crimes de computador foram realizados usando criminológicos estabelecidos
métodos de pesquisa. Entre o início e meados dos anos 8, surgiu a legislação de crimes informáticos direcionados
em toda a Europa e América do Norte [ , ]; em reconhecimento da interdisciplinaridade inerente
escopo de muitos desses crimes, acordos de cooperação internacional também foram colocados em prática.
No Reino Unido, a Lei de Uso Indevido de Computadores [ ] de nes crimes específicos por computador - S Unau-
Acesso autorizado a material de computador, S Acesso não autorizado com intenção de comprometer outro
Ofensas, atos não autorizados S com intenção de prejudicar a operação e fabricação e fornecimento de SA
ou obtendo. The Police & Criminal Evidence Act 8 e Criminal Justice & Police Act
abordar questões específicas do computador com relação a mandados, busca e apreensão.
Em muitas jurisdições, os estatutos legais relacionados ao uso indevido de telecomunicações são separados
(e mais antigos do que) aqueles relacionados a crimes de computador. Usamos o termo guarda-chuva cibercrime para
coletivamente se referem a todos os crimes relacionados ao uso indevido de computadores e telecomunicações; amplamente,
estes incluem o uso de sistemas cibernéticos para cometer qualquer tipo de crime, bem como o crime
direcionamento de sistemas cibernéticos.
Como geralmente é o caso, os sistemas jurídicos requerem tempo para assimilar novas leis e integrá-las
na prática jurídica de rotina. Por outro lado, a legislação geralmente requer correções, esclarecimentos e
interpretação unificada em resposta às preocupações encontradas no tribunal. Um dos primeiros
Os precedentes legais mais influentes foram estabelecidos pela Suprema Corte dos Estados Unidos, que usou três
casos específicos - Daubert v. Merrell Dow Pharmaceuticals, EUA (); Elec-
tric Co. v. Joiner, US 6 (); e Kumho Tire Co. v. Carmichael, 6 US ()
- estabelecer um novo padrão para a apresentação de evidências científicas em processos judiciais,
frequentemente referido como o padrão Daubert [ ]
De acordo com Goodstein [ 8], “A apresentação de evidências científicas em um tribunal é uma espécie de
casamento forçado entre as duas disciplinas. ... A decisão de Daubert é uma tentativa (não a
primeiro, é claro) para regular esse encontro. ” Esses casos estabelecem um novo padrão para o depoimento de especialistas
mony, revisando o padrão Frye anterior de (Frye v. United States, F., DC
Cir. ) Em suma, a Suprema Corte instruiu os juízes de julgamento a se tornarem guardiões do especialista
testemunho, e deu quatro critérios básicos para avaliar a admissibilidade das provas forenses:
. Os fundamentos teóricos dos métodos devem produzir previsões testáveis por meio
cuja teoria pode ser falsificada.
. Os métodos devem ser preferencialmente publicados em periódico com revisão por pares.
. Deve haver uma taxa de erro conhecida que pode ser usada na avaliação dos resultados.
www.cybok.org
. Os métodos devem ser geralmente aceitos pela comunidade científica relevante.
O tribunal também enfatizou que esses padrões são flexíveis e que o juiz de primeira instância tem muito
de margem de manobra para determinar a admissibilidade da prova pericial e do testemunho de perito.
Os critérios de Daubert foram amplamente aceitos, em princípio, por outras jurisdições sujeitas a
interpretação no contexto da legislação local. No Reino Unido, a Law Commission for England
e País de Gales propôs no documento de consulta nº [ ] a adoção de critérios que se baseiam
Daubert.
O Guia de Boas Práticas da ACPO para Evidências Digitais codifica quatro princípios básicos para os ac-
aquisição e tratamento de evidências digitais:
. Nenhuma ação realizada por agências de aplicação da lei, pessoas empregadas nessas agências
ou seus agentes devem alterar dados que podem ser posteriormente invocados em tribunal.
. Em circunstâncias em que uma pessoa considera necessário acessar os dados originais, essa pessoa
deve ser competente para fazê-lo e ser capaz de fornecer evidências explicando a relevância e
as implicações de suas ações.
. Uma trilha de auditoria ou outro registro de todos os processos aplicados à evidência digital deve ser criada
atado e preservado. Um terceiro independente deve ser capaz de examinar essas
cesse e obtenha o mesmo resultado.
. A pessoa encarregada da investigação tem a responsabilidade geral de garantir que o

a lei e esses princípios sejam respeitados.
Esses princípios buscam fornecer orientação operacional para investigadores forenses digitais sobre como
para manter a integridade das provas e do processo investigativo, de modo que as provas
pode ser usado em um tribunal de justiça.
No Reino Unido, o Forensic Science Regulator exige que qualquer fornecedor de ciência forense digital
cia deve ser “credenciada pela BS EN ISO/ IEC: para qualquer atividade na cena do crime e
BS EN ISO/ IEC: para qualquer função laboratorial (como a recuperação ou imagem de
dados eletrônicos) ”[ ] . ISO/ IEC [ ] é um padrão internacional que especifica
requisitos para a competência de laboratórios de ensaio e calibração; em outras palavras, o
a certificação atesta a qualidade e rigor dos processos seguidos na execução do
exame forense.
Nos EUA, não há exigência legal estrita para que os fornecedores de ciência forense digital sejam certificados
de acordo com padrões específicos. A maioria dos grandes laboratórios forenses federais e estaduais mantém ISO
certi cações; a partir de, oitenta e cinco deles têm tais credenciais para o processamento de dig-
evidência itálica.
As técnicas forenses digitais também são aplicadas em uma gama muito mais ampla de investigações, como
investigações corporativas ternárias, que muitas vezes não resultam em procedimentos formais em tribunais públicos.
Apesar do fato de que as investigações podem não exigir o mesmo padrão de prova, a análise forense
Os listas devem sempre seguir boas práticas forenses ao coletar e analisar os artefatos.
Isso inclui o cumprimento de quaisquer requisitos judiciais ao trabalhar com assuntos inerentemente pessoais
dados, o que pode ser uma preocupação não trivial quando a investigação é multijurisdicional. Em tal
casos, é importante buscar aconselhamento jurídico oportuno para preservar a integridade do inquérito.
www.cybok.org
.. De nições
Em, o primeiro Workshop de Pesquisa Forense Digital (DFRWS) foi organizado em resposta
à necessidade de substituir a abordagem ad hoc predominante de evidências digitais por uma abordagem sistemática,
esforço multidisciplinar para estabelecer com firmeza a ciência forense digital como uma disciplina científica rigorosa.
O workshop produziu um relatório detalhado delineando uma agenda de pesquisa e forneceu um dos
as definições mais frequentemente citadas de ciência forense digital na literatura:
[DFRWS ] A perícia digital é o uso de métodos cientificamente derivados e comprovados para

a preservação, coleta, validação, identificação, análise, interpretação, documentação
ção e apresentação de evidências digitais derivadas de fontes digitais com a finalidade de
facilitando ou promovendo a reconstrução de eventos considerados criminosos, ou ajudando a
antecipar ações não autorizadas comprovadamente prejudiciais às operações planejadas . [ 6 ]
Esta definição, embora enfatize principalmente a investigação de ações criminais, também in-
inclui um elemento antecipatório, que é típico da noção de perícia em operações operacionais
ambientes e o aproxima da resposta a incidentes e das atividades de defesa cibernética. Nesses
situações, a análise é principalmente para identificar o vetor de ataque e o escopo de uma segurança
incidente; a identificação de adversários com qualquer nível de certeza é rara e a ação penal
não é o resultado típico. Em contraste, a definição de referência fornecida pelo NIST há alguns anos
mais tarde [ ] concentra-se inteiramente nos aspectos jurídicos da perícia e enfatiza o importante
tância de uma cadeia de custódia estrita:
[NIST] Digital forensics (NIST ) é considerada a aplicação da ciência à identificação,

coleta, exame e análise de dados, preservando a integridade das informações
ção e manutenção de uma cadeia de custódia estrita para os dados. Os dados referem-se a partes distintas de
informações digitais que foram formatadas de uma maneira específica. [ ]
As definições centradas na lei acima fornecem um teste decisivo para determinar se investimentos específicos
ferramentas e técnicas tigativas qualificam-se como forenses. De uma perspectiva legal, uma flexibilidade,
a definição aberta é normal e necessária durante os procedimentos legais para o caso. Como-
sempre, de uma perspectiva técnica, eles não fornecem um ponto de partida significativo; portanto,
podemos adaptar um refinamento da definição de trabalho introduzida pela primeira vez em [ ]:
[Trabalhando] A perícia digital é o processo de identificação e reconstrução do

sequência de eventos que levaram ao estado atualmente observável de um sistema de TI alvo ou
artefatos (digitais).
A noção de relevância é inerentemente específica ao caso, e uma grande parte das experiências de analistas forenses
pertinência é a capacidade de identificar evidências que dizem respeito ao caso em questão. Freqüentemente, uma crítica
componente da análise forense é a atribuição causal da sequência de eventos a humanos específicos
atores do sistema (como usuários, administradores, invasores). A procedência, confiabilidade,
e a integridade dos dados usados como dados de evidência é de importância primordial .
De acordo com esta definição, podemos visualizar todos os esforços feitos para executar o sistema ou artefato
análise após o fato como forma de perícia digital. Isso inclui atividades comuns, como
como resposta a incidentes e investigações internas, que quase nunca resultam em qualquer ação judicial.
No final das contas, apenas uma pequena fração das análises forenses chega ao tribunal como prova formal
dência, embora isso não deva nos impedir de explorar todo o espectro de técnicas
www.cybok.org
para reconstruir o passado dos artefatos digitais. O benefício de empregar uma visão mais ampla de
computação forense é que nos ajuda a identificar ferramentas e métodos intimamente relacionados que podem
ser adaptado e incorporado à perícia.
.. Modelos Conceituais
Em geral, existem duas abordagens possíveis para reconstruir a sequência relevante de eventos
na análise de um sistema cibernético a partir das fontes de dados disponíveis - centrado no estado e histórico -
centric / log -centric. O ponto de partida para abordagens centradas no estado é um instantâneo do estado
do sistema de interesse; por exemplo, o conteúdo atual de um disco rígido ou outro armazenamento
médio. Usando o conhecimento de como um determinado sistema / aplicativo opera, podemos de-
duce um estado de interesse anterior. Por exemplo, se peças únicas de um arquivo conhecido estão no meio,
mas o arquivo não está disponível através da interface normal do sistema de arquivos, a explicação mais provável
é que o arquivo já foi armazenado no sistema de arquivos, mas foi subsequentemente apagado (o espaço
foi marcado para reutilização) e parcialmente sobrescrito por arquivos mais recentes. A principal restrição aqui é
a escassez de pontos de dados históricos, o que limita nossa capacidade de deduzir o estado do sistema
em qualquer ponto do passado.
Abordagens centradas em log dependem de um histórico explícito de eventos com registro de data e hora (um log) que documenta
menta as atualizações do estado do sistema. Por exemplo, uma captura de pacote contém o componente
história completa
manter uma das comunicações
variedade de registros dedemonitoramento
rede ao longo de
queum períodovários
detalham de tempo. Sistemas
aspectos Operacionais
da operação (SOs)operacional
do sistema
kernel e diferentes aplicações; ferramentas adicionais de auditoria e monitoramento de segurança podem
vide ainda mais eventos potencialmente relevantes. Muitos aplicativos, especialmente na empresa,
main, fornece logs de nível de aplicativo. Assim, um ambiente rico em log contém potencialmente todos os
detalhes relevantes para uma investigação; o desafio é vasculhar as entradas de registro, que muitas vezes
número na casa dos milhões, para encontrar e reunir os eventos relevantes.
Historicamente, o armazenamento tem sido um recurso precioso em sistemas de computador, levando ao software
projetos que enfatizam a eficiência do espaço, atualizando as informações no local e mantendo
uma quantidade mínima de informações de log. Consequentemente, a abordagem principal para a perícia tem
foi predominantemente centrado no estado.
Nos últimos dez a quinze anos, os avanços tecnológicos tornaram o armazenamento e a largura de banda
abundante e acessível, o que levou a um grande aumento na quantidade de dados de registro
mantidos por sistemas e aplicativos de TI. Há uma tendência clara de aumento da quantidade
e granularidade dos dados de telemetria enviados pela rede por sistemas operacionais e
aplicações individuais como parte de suas operações normais. Consequentemente, há uma substancial
precisa evoluir uma metodologia forense de modo que as informações de registro assumam uma correspondência
maior nível de importância. Ou seja, o período atual marca uma evolução importante
na metodologia forense digital, que requer uma reformulação substancial e metodológica
atualizações.
www.cybok.org
. . . Modelo de Tarefa Cognitiva
Análise diferencial [ 8] é um bloco de construção básico do processo investigativo, aquele que é

aplicado em vários níveis de abstração e a uma ampla variedade de artefatos. No entanto, faz
não fornece uma visão geral de como os especialistas forenses realmente realizam uma investigação. Isso é
particularmente importante para construir ferramentas forenses que melhor apoiem os processos cognitivos.
Infelizmente, a perícia digital não tem sido objeto de nenhum interesse sério por parte
de cientistas cognitivos e não houve nenhum esforço coerente para documentar investigações forenses
ções. Portanto, adotamos o processo de criação de sentido desenvolvido originalmente pela Pirolli & Card
[ ] para descrever a análise de inteligência - uma tarefa cognitiva que é muito semelhante ao anal forense
ysis. O modelo cognitivo Pirolli & Card é derivado de uma Análise de Tarefa Cognitiva em profundidade
(CTA), e fornece uma visão razoavelmente detalhada dos diferentes aspectos de uma inteligência e
trabalho de alyst. Embora muitas das ferramentas sejam diferentes, a análise forense e de inteligência são
muito semelhante em natureza - em ambos os casos, os analistas têm que passar por uma montanha de dados brutos
para identificar (relativamente poucos) fatos relevantes e colocá-los juntos em uma história coerente. O
o benefício de usar este modelo é que: a) ele fornece uma descrição bastante precisa da investigação
processo ativo por si só, e nos permite mapear as várias ferramentas para as diferentes fases
da investigação; b) fornece uma estrutura adequada para explicar as relações de
os diversos modelos desenvolvidos na área da forense digital; ec) pode perfeitamente
incorporar informações de outras linhas de investigação.
O processo geral é mostrado na Figura .. As caixas retangulares representam diferentes estágios

no pipeline de processamento de informações, começando com dados brutos e terminando com apresentável
resultados. As setas indicam processos de transformação que movem informações de uma caixa
para outro. O eixo x aproxima o nível geral de esforço necessário para mover as informações
desde a matéria-prima até o estágio de processamento específico. O eixo y mostra a quantidade de estrutura (com
no que diz respeito ao processo investigativo) nas informações processadas em todas as etapas. Assim, o
tendência geral é mover as informações relevantes da parte inferior esquerda para a parte superior direita
canto de mão do diagrama. Na realidade, o processamento pode serpentear através de vários
iterações de loops locais e fases de salto (para casos de rotina tratados por um experiente
investigador).
Fontes de dados externas incluem todas as fontes de evidências potenciais para uma investigação específica, como
como imagens de disco, instantâneos de memória, capturas de rede e bancos de dados de referência, como
hashes de arquivos conhecidos. A caixa de sapatos é um subconjunto de todos os dados que foram identificados como
potencialmente relevantes, como todas as comunicações por email entre duas pessoas de interesse.
A qualquer momento, o conteúdo da caixa de sapatos pode ser visto como a aproximação do analista
do conteúdo da informação que é potencialmente relevante para o caso. O arquivo de evidências contém
apenas as partes que são diretamente relevantes para o caso, como trocas de e-mail específico em um
tópico de interesse.
O esquema contém uma versão mais organizada da evidência, como uma linha do tempo de eventos ou
um gráfico de relações, que permite raciocínio de nível superior sobre as evidências. Uma hipótese
é uma conclusão provisória que explica a evidência observada no esquema e, por extensão,
poderia formar a conclusão final. Uma vez que o analista esteja satisfeito de que a hipótese é suportada
pela evidência, a hipótese se transforma em uma apresentação , que é o produto final da
processar. A apresentação geralmente assume a forma de um relatório do investigador que ambos
fala sobre as conclusões de alto nível que são relevantes para o caso legal e também documentos
as etapas técnicas de baixo nível com base nas quais a conclusão foi formada.
O processo analítico geral é de natureza iterativa , com dois loops de atividades principais: um forrageamento

www.cybok.org
Figura . : Modelo nocional de loop de criação de sentido para analistas derivado de tarefa cognitiva
análise [ , p. ]
loop que envolve as ações realizadas para encontrar fontes potenciais de informação, e que então
os questiona e os filtra quanto à relevância; e um ciclo de criação de sentido em que o analista
desenvolve - de forma iterativa - um modelo conceitual que é apoiado pela evidência.
Os processos de transformação da informação nos dois loops podem ser classificados em
up (organizar dados para construir uma teoria) ou top-down (encontrar dados com base em uma teoria).
Os analistas aplicam essas técnicas de forma oportunista com muitas iterações, em resposta
às evidências recém-descobertas e às questões investigativas de alto nível.
. . . Processos Bottom-Up
Os processos ascendentes são sintéticos - eles constroem representações de nível superior (mais abstratas)
de informações de peças de evidência mais específicas.
• Pesquisa e filtro : fontes de dados externas, discos rígidos, tráfego de rede, etc. são pesquisados
dados relevantes com base em palavras-chave, restrições de tempo e outros em um esforço para eliminar
a grande maioria dos dados irrelevantes.
• Ler e extrair : as coleções na caixa de sapatos são analisadas para extrair fatos individuais
e relacionamentos que podem apoiar ou refutar uma teoria. As peças de artefatos resultantes
(por exemplo, mensagens de e-mail individuais) são geralmente anotadas com sua relevância para o caso.
• Esquematizar : nesta etapa, fatos individuais e implicações simples são organizados em um

esquema que pode ajudar a organizar e identificar o significado e os relacionamentos entre
entre um número crescente de fatos e eventos. A análise da linha do tempo é uma das
KA Forensics | Outubro Página 6
www.cybok.org
ferramentas do comércio; no entanto, qualquer método de organizar e visualizar os gráficos de fatos,

gráficos, etc., podem acelerar bastante a análise. Este não é um processo fácil de formalizar,
e a maioria das ferramentas forenses não oferece suporte direto. Portanto, os esquemas resultantes podem
existem em um pedaço de papel, em um quadro branco ou apenas na mente do investigador. Desde a
o caso geral pode ser bastante complicado, esquemas individuais podem abranger
aspectos dela, como a sequência de eventos descoberta.
• Construir caso : a partir da análise dos esquemas, o analista eventualmente chega com
teorias testáveis, ou hipóteses de trabalho , que podem explicar a evidência. Um trabalho hi-
a hipótese é uma conclusão provisória e requer mais evidências de apoio, bem como
testes rigorosos com explicações alternativas. É um componente central do investimento
processo administrativo e é um ponto de referência comum que reúne o jurídico e
lados técnicos para construir um caso.
• Conte a história : o resultado típico de uma investigação forense é um relatório final e, talvez, um
apresentação oral em tribunal. A apresentação real pode conter apenas a parte da história
isso é fortemente apoiado pela evidência digital; os pontos mais fracos podem ser estabelecidos por
com base em evidências de outras fontes.
. . . Processos de cima para baixo
Os processos de cima para baixo são analíticos - eles fornecem contexto e direção para a análise de
pesquisa de dados menos estruturada e ajudam a organizar as evidências. Conclusão parcial ou provisória
sões são usadas para orientar a busca por evidências de apoio e contraditórias.
• Reavaliar : O feedback dos clientes pode exigir reavaliações, como a coleta

evidências mais fortes ou a busca de teorias alternativas.
• Busca de suporte : uma hipótese pode precisar de mais fatos para ser de interesse e, idealmente,
seria testado contra cada explicação alternativa (razoavelmente) possível.
• Busca de evidências : a análise de teorias pode exigir a reavaliação das evidências para
verificar sua signi cância / proveniência, ou pode desencadear a busca por mais / melhores evidências
dence.
• Pesquisa de relações : evidências no arquivo podem sugerir novas pesquisas de fatos

e relações com os dados.
• Pesquisa de informações : o ciclo de feedback de qualquer um dos níveis mais altos pode, em última instância
cascatear em busca de informações adicionais; isso pode incluir novas fontes, ou o
reexame das informações que foram filtradas em passes anteriores.
. . . The Foraging Loop
Foi observado [ ] que os analistas tendem a começar com uma consulta de alto recall / baixa seletividade,
que engloba um conjunto bastante grande de documentos - muitos mais do que o analista pode ler.
O conjunto original é então sucessivamente modificado e reduzido antes que os documentos sejam
lido e analisado.
O ciclo de forrageamento é um ato de equilíbrio entre três tipos de processamento que um analista pode
executar- explorar , enriquecer e explorar . A exploração expande efetivamente a caixa de sapatos, incluindo
maiores quantidades de dados; o enriquecimento o reduz, fornecendo consultas mais específicas que incluem
menos objetos para consideração; exploração é a leitura cuidadosa e análise de um artigo
fato para extrair fatos e inferências. Cada uma dessas opções tem custos e potenciais variáveis

www.cybok.org
recompensas e, de acordo com a teoria de coleta de informações [ ], os analistas procuram otimizar seus
compensações custo / benefício.
A busca de informações neste contexto é um processo altamente iterativo com um grande número de
ajustes crementais em resposta às evidências emergentes. É responsabilidade do
investigador para manter o processo no alvo e dentro dos limites de quaisquer restrições legais.
. . . The Sense-Making Loop

Sense-making é um termo cognitivo e, de acordo com Klein [ ] definição amplamente citada, é
a capacidade de compreender uma situação ambígua. É o processo de criação situacional
consciência e compreensão para apoiar a tomada de decisão em face da incerteza - um
esforço para entender as conexões entre pessoas, lugares e eventos, a fim de antecipar
suas trajetórias e atuar com eficácia.
Existem três processos principais envolvidos no ciclo de criação de sentido: estruturação do problema -o
criação e exploração de hipóteses, raciocínio probatório - o emprego de evidências
para apoiar / refutar uma hipótese e tomada de decisão - selecionando um curso de ação de um
conjunto de alternativas disponíveis.
É importante reconhecer que os loops de processamento de informação descritos estão intimamente ligados
juntos e frequentemente acionam iterações em ambas as direções. Novas evidências podem exigir um novo
teoria de trabalho, enquanto uma nova hipótese pode conduzir a busca por novas evidências para apoiar
ou refutá-lo.
. . .6 Extração de dados vs. análise vs. interpretação jurídica
Considerando o processo geral da Figura ., obtemos uma melhor compreensão das funções
e relações entre os diferentes atores. Atualmente, pesquisadores forenses digitais e
os desenvolvedores de ferramentas fornecem principalmente os meios para adquirir as evidências digitais do forense
alvos, extrair (e reconstruir logicamente) objetos de dados a partir dele e as ferramentas essenciais para
pesquise, filtre e organize. Em casos complexos, como um incidente de segurança multinacional,
identificar e adquirir os alvos forenses relevantes pode ser um processo difícil e demorado.
Muitas vezes, é previsto em garantir as decisões legais necessárias em várias jurisdições, também
como a cooperação de múltiplas organizações.
Os investigadores forenses são os principais usuários desses recursos técnicos, empregando-os

analisar casos específicos e apresentar conclusões juridicamente relevantes. É a responsabilidade
do investigador para conduzir o processo e realizar todas as informações de busca de alimento e sentido
fazendo tarefas. À medida que o volume dos dados analisados continua a crescer, torna-se cada vez
mais crítico para o software forense oferecer níveis mais elevados de automação e abstração.
A análise de dados e os métodos de processamento de linguagem natural estão começando a aparecer em sistemas dedicados
software forense e - daqui para frente - uma gama em expansão de estatísticas e máquinas
ferramentas de aprendizagem precisarão ser incorporadas ao processo.
Especialistas jurídicos operam no canto superior direito do processo representado em termos de

ção / refutação de teorias jurídicas. Assim, a tarefa do investigador pode ser descrita como a tradução
de fatos técnicos altamente específicos em uma representação de nível superior e teoria que explica
eles. A explicação quase sempre está ligada à sequência de ações do
pessoas que fazem parte do caso, como suspeitos, vítimas e testemunhas.
Em resumo, os investigadores não precisam ser engenheiros de software forenses, mas devem ser técnicos
tecnicamente proficiente o suficiente para entender o significado dos artefatos extraídos dos dados
www.cybok.org
fontes, e eles devem ser capazes de ler a literatura técnica relevante (artigos revisados por pares
cles) por completo. À medida que a sofisticação das ferramentas cresce, os investigadores precisam ter uma ferramenta funcional
compreensão de uma lista crescente de métodos de ciência de dados que são empregados pelas ferramentas em
a fim de interpretar corretamente os resultados. Da mesma forma, os analistas devem ter um entendimento funcional
da paisagem legal, e eles devem ser capazes de produzir um relatório competente e apresentar
suas conclusões no banco das testemunhas, se necessário.
. . . Processo Forense
A característica definidora das investigações forenses é que seus resultados devem ser admissíveis
em corte. Isso envolve seguir os procedimentos estabelecidos para aquisição, armazenamento e processamento
das evidências, empregando ferramentas e métodos analíticos cientificamente estabelecidos, e rigorosos
adesão a um código de prática e conduta profissional.
Proveniência e integridade dos dados . Começando com o processo de aquisição de dados, um investigador
deve seguir os padrões e procedimentos aceitos, a fim de certificar a proveniência e manutenção
manter a integridade das evidências coletadas. Em suma, isso envolve a aquisição de uma cópia verdadeira do
as evidências da fonte original usando ferramentas validadas, mantendo registros de custódia e
notas detalhadas do caso, usando ferramentas validadas para realizar a análise das evidências,
validar peças críticas de evidências e interpretar corretamente os resultados com base em

revisou estudos científicos.
Conforme discutido na seção a seguir, a aquisição de dados pode ser realizada em diferentes níveis de
abstração e completude. O padrão ouro tradicional é uma cópia de nível de bits do forense
alvo, que pode então ser analisado usando o conhecimento da estrutura e semântica do
conteúdo de dados. Conforme os dispositivos de armazenamento aumentam em complexidade e a criptografia se torna o padrão
codificação de dados, é cada vez mais inviável obter uma cópia física verdadeira da mídia e um
aquisição lógica (parcial) pode ser a única possibilidade. Por exemplo, o único prontamente disponível
fonte de conteúdo de dados para um smartphone atualizado (com armazenamento local criptografado) pode
ser um backup na nuvem dos dados do usuário. Além disso, os dados locais podem ser tratados pelos tribunais como
ter níveis mais altos de proteção de privacidade do que os dados compartilhados com terceiros, como um serviço
fornecedor.
Scienti c Metodologia . A noção de reprodutibilidade é central para a validade científica da
Análise forense; começando com os mesmos dados e seguindo o mesmo processo descrito
no caso, as notas devem permitir que um terceiro chegue ao mesmo resultado. Métodos de processamento
deve ter taxas de erro cientificamente estabelecidas e diferentes ferramentas forenses que implementam
o mesmo tipo de processamento de dados deve produzir resultados idênticos ou dentro de
limites de erros estatísticos.
O investigador deve ter uma compreensão profunda dos resultados produzidos por vários forenses
cálculos sic. Algumas das preocupações centrais incluem: incertezas inerentes em alguns dos
os dados de origem, a possibilidade de múltiplas interpretações, bem como o reconhecimento de que
alguns dos dados podem ser falsos, pois foram gerados usando ferramentas anti-forenses, a fim de
confundir a investigação. O último é possível porque a maioria dos itens de dados usados no
a análise forense é produzida durante a operação normal do sistema e não é adulteração
prova. Por exemplo, um intruso com privilégios de acesso suficientes pode modificar arbitrariamente qualquer um dos
os milhões de carimbos de data / hora le potencialmente fazendo a análise da linha do tempo - uma tecnologia analítica central
nique - não confiável. Analistas forenses experientes estão atentos a tais questões e procuram, sempre que
possível, para corroborar informações importantes de fontes múltiplas.
Validação de ferramenta . A validação de ferramenta forense é um processo científico e de engenharia que sujeita

www.cybok.org
ferramentas específicas para testes sistemáticos a fim de estabelecer a validade dos resultados produzidos.
Por exemplo, o software de aquisição de dados deve produzir de forma confiável uma versão completa e não modificada
cópia da classe de alvos forenses que ela foi projetada para tratar.
Procedimento forense . O aspecto organizacional do processo forense, que dita como
a evidência é adquirida, armazenada e processada é crítica para a questão da admissibilidade. Anúncio estrito
conformidade com os padrões estabelecidos e restrições impostas pelo tribunal é o meio mais eficaz
de demonstrar ao tribunal que os resultados da análise forense são verdadeiros e confiáveis-
valioso.
Triagem. O volume de dados contidos por um alvo forense normalmente excede em muito a quantidade
de dados relevantes para um inquérito. Portanto, nos estágios iniciais de uma investigação, o foco de
a análise consiste em (rapidamente) identificar os dados relevantes e filtrar os irrelevantes. Tal inicial
triagem do conteúdo, muitas vezes referida como triagem , resulta em um exame profundo de acompanhamento
ção, ou em desprioritização, ou remoção do alvo de consideração posterior.
Legalmente, pode haver uma série de restrições colocadas no processo de triagem com base no
caso e os direitos de privacidade inerentes à jurisdição. De uma perspectiva técnica [ ],
“A triagem é um exame forense parcial conduzido sob condições (significativas) de tempo e recursos
tensões. ” Em outras palavras, os investigadores empregam métodos de exame rápidos, como olhar para
nomes de arquivos, examinando o histórico de pesquisa na web e semelhantes, para estimar (com base na experiência) o
valor dos dados. Esses resultados são inerentemente menos confiáveis do que um exame profundo, pois é
fácil de criar uma incompatibilidade entre o atributo de dados e o conteúdo real. Portanto, os tribunais podem
impõe restrições ao uso de computadores por infratores condenados para facilitar a triagem rápida
por ofícios no campo sem apreender o dispositivo.
. ANÁLISE DO SISTEMA OPERACIONAL

[ , , 6]
Os sistemas de computador modernos geralmente ainda seguem a arquitetura original de von Neumann [ ],
que modela um sistema de computador consistindo em três unidades funcionais principais - CPU, a Principal
memória e armazenamento secundário - conectado por meio de barramentos de dados. Para ser mais preciso, o investimento real
alvos tigativos não são peças individuais de hardware, mas o sistema operacional diferente (SO)
módulos que controlam os subsistemas de hardware e suas respectivas estruturas de dados.
Nossa discussão tem uma visão de alto nível da análise do sistema operacional - está além do escopo do Conhecimento
Edge Área para aprofundar os detalhes de engenharia de como diferentes classes de dispositivos são anais
ysed. Por exemplo, smartphones apresentam desafios adicionais em relação à aquisição de dados
ção; no entanto, eles ainda são computadores comuns, com a grande maioria deles funcionando em
um kernel Linux . O mesmo se aplica a outras classes de dispositivos incorporados, como UAVs e
sistemas de infoentretenimento para veículos.
O sistema operacional funciona em um nível mais alto de privilégio em relação aos aplicativos do usuário e, diretamente,
envelhece todos os recursos do sistema do computador - CPU, memória principal e dispositivos de E / S. Formulários
solicitar recursos e serviços do sistema operacional por meio da interface de chamada do sistema e empregá-los
para utilizá-los para realizar uma tarefa específica. O sistema (operacional) mantém uma variedade de
informações contábeis que podem testemunhar eventos relevantes para uma investigação [ ]
A análise do sistema emprega o conhecimento de como os sistemas operacionais funcionam para alcançar
conclusões sobre eventos e ações de interesse para o caso. Os usuários médios têm muito pouco
compreensão do tipo de informação que os sistemas operacionais mantêm sobre suas atividades,
www.cybok.org
e geralmente não tem o nível de conhecimento e / ou privilégio para adulterar os registros do sistema
assim, tornando-os úteis do ponto de vista jurídico, mesmo que não tenham uma definição formal de
e registros confiáveis.
.. Análise de armazenamento
Armazenamento persistente na forma de unidades de disco rígido (HDDs ) , unidades de estado sólido (SSDs), óptico
discos, externos (USBconectada) mídia etc. é a principal fonte de evidência para a maioria
investigações forenses. Embora a importância da análise forense de memória (volátil) na solução
casos cresceu significativamente, um exame completo de dados persistentes permaneceu um
pedra angular da maioria das investigações forenses digitais.
. . . Camadas de abstração de dados
Os sistemas de computador organizam o armazenamento bruto em camadas sucessivas de abstração - cada software
camada (alguns podem estar em rmware) constrói uma representação de dados incrementalmente mais abstrata
isso depende apenas da interface fornecida pela camada imediatamente abaixo dela. Acordo-
da mesma forma, a análise forense de dispositivos de armazenamento pode ser realizada em vários níveis de abstração
[ 6 ]:
P. No nível mais baixo, cada dispositivo de armazenamento codifica uma sequência de bits e é
possível, em princípio, usar um mecanismo personalizado para extrair os dados bit a bit. Dependendo
a tecnologia subjacente, isso pode ser um processo caro e demorado, e muitas vezes
requer engenharia reversa. Um exemplo desse processo é a aquisição de celular
dados, em alguns dos quais é possível remover fisicamente (dessoldar) os chips de memória e
realizar uma verdadeira aquisição de nível de hardware do conteúdo [ 8] Uma abordagem similar de “chip-off”
pode ser aplicado a dispositivos de memória ash, como SSD, e para embutido e Internet de
Coisas (IoT) dispositivos com recursos e interfaces limitados. Outra abordagem prática é
para empregar ferramentas de engenharia que suportam o processo de desenvolvimento de hardware e empregar, para
exemplo, uma interface JTAG padrão [ ] - projetado para fins de teste e depuração -
para realizar a aquisição de dados necessária.
Na prática, o nível mais baixo no qual os exames típicos são realizados é o Host Bus
Adaptador (HBA) interface. Os adaptadores implementam um protocolo padrão ( SATA , SCSI) Através dos
que podem ser feitos para executar operações de baixo nível, como acessar o controle da unidade
barraca. Da mesma forma, o protocolo NVMe [6 ] é usado para realizar a aquisição do PCI Express-
dispositivos de armazenamento de estado sólido baseados em
Eventualmente, todas as mídias físicas falham e (parte dos) dados armazenados podem ficar indisponíveis. De-
dependendo da natureza da falha e da sofisticação do dispositivo, pode ser possível
para recuperar pelo menos alguns dos dados. Por exemplo, pode ser possível substituir o
controlador de um HDD e recuperar o conteúdo. Essa recuperação de hardware se torna mais difícil
com dispositivos mais integrados e complexos.
B. O HBA típico apresenta uma abstração de dispositivo de bloco - o meio é pré-

enviado como uma sequência de blocos de tamanho x, geralmente consistindo em 6 bytes, e
o conteúdo de cada bloco pode ser lido ou escrito usando comandos de leitura / gravação de bloco. O tipo
processo de aquisição de dados ical funciona no nível do dispositivo de bloco para obter uma cópia de trabalho do
alvo forense - um processo conhecido como imagem - no qual todo o processamento posterior é executado.
Historicamente, o termo setor é usado para se referir às unidades de transferência de dados de discos rígidos magnéticos;
um bloco (lógico) é um termo mais geral independente da tecnologia de armazenamento e
layout de dados físicos.
www.cybok.org
. O dispositivo de bloco não tem noção de arquivos, diretórios ou - na maioria dos casos - quais
blocos são considerados alocados e quais são gratuitos; é tarefa do sistema de arquivos organizar
o armazenamento em bloco em um armazenamento baseado em arquivo no qual os aplicativos podem criar arquivos e diretórios
com todos os seus atributos de metadados relevantes - nome, tamanho, proprietário, carimbos de data / hora, acesso por
missões etc.
UMA . Os aplicativos do usuário usam o sistema de arquivos para armazenar vários artefatos que
são valiosos para o usuário final - documentos, imagens, mensagens, etc. O próprio sistema operacional
também usa o sistema de arquivos para armazenar sua própria imagem - binários executáveis, bibliotecas, configuração
e arquivos de log, entradas de registro - e para instalar aplicativos. Alguns artefatos de aplicativos, como
documentos compostos têm uma estrutura interna complexa que integra vários artefatos de diferentes
diferentes tipos. Uma análise dos artefatos do aplicativo tende a render o mais imediatamente relevante
resultados, uma vez que as informações registradas estão mais diretamente relacionadas às ações e comunicações iniciadas
ciado por pessoas. À medida que a análise se aprofunda (para um nível inferior de abstração), requer
maior esforço e mais conhecimento especializado para reconstruir de forma independente as ações do
sistema. Por exemplo, ao compreender as estruturas do disco de um sistema de arquivos específico, uma ferramenta
pode reconstituir um arquivo de seus blocos constituintes. Este conhecimento é particularmente caro para
obter de um sistema fechado, como o Microsoft Windows, por causa da quantidade substancial
da engenharia reversa da caixa preta envolvida.
Apesar do custo, a reconstrução forense independente é de importância crítica para vários

razões:
• Permite a recuperação de dados probatórios não disponíveis através do acesso normal aos dados
interface.
• Forma a base para a recuperação de dados parcialmente sobrescritos.
• Permite a descoberta e análise de agentes de malware que subverteram o nor-

mau funcionamento do sistema, tornando assim os dados obtidos através da interface normal
indigno de confiança.
.. Aquisição de dados
Em linha com as melhores práticas [ ], a análise de dados em repouso não é realizada em um sistema ativo.
A máquina de destino é desligada, uma cópia exata dos bits da mídia de armazenamento é criada,
o original é armazenado em um armário de evidências e todo o trabalho forense é realizado na cópia.
Existem exceções a este fluxo de trabalho nos casos em que não é prático desligar o alvo
sistema e, portanto, uma imagem de mídia é obtida enquanto o sistema está ao vivo. Evidentemente, tal
abordagem não fornece o mesmo nível de garantias de consistência, mas ainda pode render
percepções valiosas. O problema de consistência, também conhecido como mancha de dados , não
existem em ambientes virtualizados, onde uma imagem consistente do disco virtual pode ser trivialmente
obtido usando o mecanismo de instantâneo integrado.
Como já discutido, obter dados da interface do sistema de nível mais baixo disponível e
a reconstrução independente de artefatos de nível superior é considerada a abordagem mais confiável
para análise forense. Isso resulta em uma forte preferência pela aquisição de dados em níveis mais baixos de
abstração e os conceitos de aquisição física e lógica .
Aquisição de dados físicos é o processo de obtenção dos dados diretamente do hardware

mídia, sem a mediação de nenhum software de terceiros (não confiável).
www.cybok.org
Um exemplo cada vez mais comum desta abordagem é a aquisição de dados de telefones móveis que re-
reside na remoção
geralmente, do chip de memória
obter fisicamente física
com a fonte de [evidência
8] e lendoé os dados diretamente
geralmente dele. eMais
o mais prático necessário
método essencial para sistemas embarcados low-end com recursos de hardware limitados. Fisica
aquisição também oferece acesso a armazenamento bruto superprovisionado adicional reservado pelo
dispositivo de armazenamento para compensar as falhas de hardware esperadas. Como uma regra geral,
os dispositivos não oferecem meios externos para interrogar essa área de armazenamento de sombra.
As técnicas de chip-off apresentam seus próprios desafios, pois o processo é inerentemente destrutivo
para o dispositivo, a extração e reconstrução de dados requer esforço adicional, e a
o custo pode ser substancial.
Para sistemas de uso geral, as ferramentas usam um protocolo HBA , como SATA ou SCSI para interrogar
o dispositivo de armazenamento e obter uma cópia dos dados. A imagem resultante é uma cópia em nível de bloco
do alvo que é geralmente referido como aquisição física pela maioria dos investigadores; Casey
usa o termo mais preciso pseudo- físico para explicar o fato de que nem todas as áreas de
a mídia física é adquirida e que a ordem dos blocos adquiridos não necessariamente
refletem o layout físico do dispositivo.
Em alguns casos, é necessário realizar operações de recuperação adicionais antes de um

cópia dos dados é obtida. Um exemplo comum são os dispositivos de armazenamento RAID , que contêm
vários dispositivos físicos que funcionam juntos como uma única unidade, fornecendo proteção integrada
contra certas classes de falhas. Em configurações comuns, como RAID e 6 o con
aquisição tenda de unidades individuais é em grande parte inútil sem a etapa subsequente de RAID
reconstrução de dados.
Os controladores de armazenamento modernos estão evoluindo rapidamente para dispositivos de armazenamento autônomos, o que
complemente algoritmos de balanceamento de carga e nivelamento de desgaste complexos (proprietários). Este tem dois
principais implicações: a) a numeração dos blocos de dados é completamente separada da
localização física real; eb) é possível que o próprio controlador de armazenamento se torne com-
prometeu [ 6 ], tornando o processo de aquisição não confiável. Estas advertências, não obstante-
em pé, vamos nos referir à aquisição em nível de bloco como sendo física, de acordo com o aceito
terminologia.
A aquisição de dados lógicos depende de uma ou mais camadas de software como intermediários para ac-
solicite os dados do dispositivo de armazenamento.
Em outras palavras, a ferramenta usa uma interface de programação de aplicativo (API), ou protocolo de mensagem,
para realizar a tarefa. A integridade deste método depende da correção e integridade do
implementação da API, ou protocolo. Além do risco, no entanto, também há uma recompensa -
interfaces de nível superior apresentam uma visão de dados que está mais próxima da abstração das ações do usuário
e estruturas de dados de aplicativos. Investigadores experientes, se equipados com as ferramentas adequadas,
pode fazer uso de visualizações físicas e lógicas para obter e verificar as evidências relevantes
para o caso.
A aquisição em nível de bloco pode ser realizada em software, hardware ou uma combinação de ambos.
O carro-chefe da imagem forense é o utilitário de linha de comando de propósito geral dd Unix / Linux
, que pode produzir uma cópia binária de qualquer arquivo, partição do dispositivo ou dispositivo de armazenamento inteiro. UMA
bloqueador de gravação de hardware é frequentemente instalado no dispositivo de destino para eliminar a possibilidade de
erro do operador, que pode levar à modificação acidental do alvo.
Os hashes criptográficos são calculados para a imagem inteira e (de preferência) para cada bloco; a
www.cybok.org
este último pode ser usado para demonstrar a integridade das evidências restantes se o dispositivo original
sofre uma falha parcial, o que impossibilita a leitura de todo o seu conteúdo. O nacional
Instituto de Padrões e Tecnologia (NIST) mantém o Teste de Ferramenta Computacional Forense
(CFTT) projeto [ 6], que testa de forma independente várias ferramentas básicas, como bloqueadores de gravação
e ferramentas de aquisição de imagens e publica regularmente relatórios sobre suas descobertas.
Questões de criptografia
Além de ter capacidade técnica para interrogar e adquirir o conteúdo de
um dispositivo de armazenamento, uma das maiores preocupações durante a aquisição de dados pode ser a presença
de dados criptografados. A criptografia moderna é difundida e cada vez mais aplicada por padrão a
dados armazenados e dados em trânsito pela rede. Por definição, uma implementação adequada
e sistema de segurança de dados administrado, que inevitavelmente emprega criptografia, irá frustrar
esforços para adquirir os dados protegidos e, por extensão, para realizar análises forenses.
Existem dois caminhos possíveis para obter dados criptografados - técnicos e jurídicos. O técnico
abordagem depende de encontrar erros algorítmicos, de implementação ou administrativos, que permitem
a proteção de dados a ser subvertida. Embora seja quase impossível criar um complexo de TI
sistema que não tem bugs, a descoberta e exploração de tais deficiências está se tornando
cada vez mais difícil e com uso intensivo de recursos.
A abordagem legal baseia-se em convencer a pessoa a ter conhecimento da criptografia relevante

chaves para entregá-los. Este é um território legal relativamente novo e seu tratamento varia entre
jurisdições. No Reino Unido, o Regulamento da Lei de Poderes de Investigação especifica as circunstâncias
posições sob as quais os indivíduos são legalmente obrigados a divulgar as chaves. A divulgação pode ser executada
combater o direito legal contra a autoincriminação e em algumas jurisdições, como no
Estados Unidos, ainda não está definitivamente resolvido.
O restante desta discussão assume que o acesso aos dados brutos é garantido por qualquer
meios técnicos, ou legais, que extrapolem o escopo desta área de conhecimento.
.. Análise do sistema de arquivos

Um dispositivo de armazenamento típico apresenta uma interface de dispositivo de bloco com número B máximo de blocos de
tamanho B tamanho . Todas as operações de E / S de leitura e gravação são executadas na granularidade de um bloco inteiro;
historicamente, o tamanho de bloco padrão adotado pelos fabricantes de HDD tem sido bytes. Com
a introdução do padrão de Formato Avançado [ 6 ], os dispositivos de armazenamento podem suportar
blocos maiores, com 6 bytes sendo o novo tamanho preferido.
Independentemente do tamanho do bloco básico, muitos sistemas operacionais gerenciam o armazenamento em clusters; uma
cluster é uma sequência contígua de blocos e é a menor unidade em que o armazenamento bruto é
alocado / recuperado. Assim, se o tamanho do bloco / setor do dispositivo for KiB, mas o tamanho do cluster escolhido
for 6 KiB, o sistema operacional alocará blocos em grupos de quatro.
Para fins de administração, a unidade bruta pode ser dividida em uma ou mais áreas contíguas
partição chamadas , cada um dos quais tem um uso designado e pode ser manipulado de forma independente.
As partições podem ser organizadas em volumes - um volume físico é mapeado em um único
partição, enquanto um volume lógico pode integrar várias partições, potencialmente de vários
dispositivos. Os volumes apresentam uma interface de dispositivo de bloco, mas permitem o desacoplamento do físico
organização de mídia a partir da visão lógica apresentada ao sistema operacional.
Com algumas exceções, os volumes / partições são formatados para acomodar um arquivo específico
www.cybok.org
sistema ( sistema de arquivos), que organiza e gerencia os blocos para criar a abstração de
lese diretórios junto com seus metadados relevantes. O sistema operacional (SO), como parte
de sua interface de chamada de sistema usada por aplicativos para solicitar serviços, fornece uma API de sistema de arquivos
que permite aos aplicativos criar, modificar e excluir arquivos; também permite que os arquivos sejam agrupados
em uma estrutura hierárquica de diretórios (ou pastas).
Um arquivo é uma sequência nomeada (opaca) de bytes que é armazenada persistentemente.
Como regra geral, o formato e a interpretação do conteúdo do arquivo estão quase sempre fora do
competência do sistema operacional; é a preocupação de aplicativos relevantes agindo em nome
de usuários.
Um sistema de arquivo ( sistema de arquivo) é um subsistema de sistema operacional responsável pelo armazenamento persistente
idade e organização de arquivos de usuário e sistema em uma partição / volume.
Ele fornece uma API padrão de alto nível , como POSIX, que é usada por aplicativos para armazenar e
recuperar arquivos pelo nome, sem qualquer preocupação com o método de armazenamento físico empregado ou o
layout do conteúdo dos dados (e metadados).
A análise forense do sistema de arquivos usa o conhecimento das estruturas de dados do sistema de arquivos e dos algoritmos
usado para criar, manter e excluí-los para: a) extrair conteúdo de dados de dispositivos independentemente
dently da instância do sistema operacional que o criou; eb) extrair artefatos remanescentes para
que a API regular do sistema de arquivos não oferece acesso.
O primeiro recurso é importante para garantir que os dados não sejam modificados durante a aquisição
e que quaisquer comprometimentos potenciais de segurança não afetam a validade dos dados. O segundo-
segundo fornece acesso a (partes de) arquivos desalocados que não foram substituídos, propositalmente
dados ocultos e um histórico implícito da operação do sistema de arquivos - a criação / exclusão de arquivos
- que não seja explicitamente mantido pelo sistema operacional.
.. Análise de dispositivo de bloco
Antes que o sistema operacional possa organizar um sistema de arquivos em um dispositivo bruto, ele normalmente o divide em um conjunto de um
ou mais partição disjuntas .
Uma partição de dispositivo de bloco , ou volume físico , é uma alocação contígua de blocos para um
propósito específico, como a organização de um sistema de arquivo.
As partições são o método básico usado para gerenciamento de armazenamento de granulação grossa; eles permitem um
único dispositivo físico a ser dedicado a vários fins, como hospedar diferentes lesões
ou separando o sistema dos arquivos do usuário. Se uma subdivisão não for necessária, todo o dispositivo
pode ser alocado trivialmente a uma única partição.
Um volume lógico é uma coleção de volumes físicos apresentados e gerenciados como um único
unidade.
Os volumes lógicos permitem que a capacidade de armazenamento de diferentes dispositivos seja agrupada de forma transparente (para
sistema de arquivos) para simplificar o uso da capacidade disponível. Eles também permitem o bloqueio automatizado
replicação de nível na forma de RAIDs [ 6 ] para melhor desempenho e durabilidade.
www.cybok.org
.. Recuperação de dados e escultura de conteúdo de arquivo

Um dos primeiros produtos básicos das ferramentas de recuperação de dados foi a funcionalidade 'undelete', que pode
reverter os efeitos da exclusão de dados pelos usuários. O caso mais comum é o de usuários excluindo
um arquivo e a necessidade de reverter a operação. Em um HDD, esta reversão é facilmente alcançável im-
imediatamente após a exclusão - o armazenamento ocupado pelo conteúdo do arquivo é meramente desalocado
(marcado como disponível), mas nenhuma destruição real (higienização) dos dados ocorre.
Um caso mais difícil é um HDD que está em uso há algum tempo e que foi subseqüente
formatado frequentemente (por exemplo, por alguém tentando destruir evidências). O frequentemente empregado
O comando de formatação rápida tem o efeito de sobrepor um conjunto de estruturas de dados que correspondem
para um sistema de arquivos vazio (um formato completo limpa o conteúdo da mídia, mas pode levar horas para
completo para que seja usado com menos frequência). Assim, a interface normal do sistema de arquivos, após consultar
essas estruturas, irão relatar que não há les. A realidade é que - naquele momento - apenas
os metadados do sistema de arquivos foram parcialmente sobrescritos, e todos os blocos de dados que representam o
os conteúdos ainda estão presentes na mídia na íntegra.
A computação forense, ao contrário da maioria dos outros tipos de computação, está muito interessada em todos os processos de recuperação
artefatos capazes (parciais), incluindo (e às vezes especialmente) os desalocados. A menos que um usuário
tomou medidas especiais para limpar com segurança um disco rígido, a qualquer momento a mídia
contém artefatos de aplicativo recuperáveis (arquivos) que foram aparentemente excluídos. O processo
de restaurar os artefatos é comumente realizado por entalhe .
A escultura de arquivo (conteúdo) é o processo de recuperação e reconstrução do conteúdo do arquivo diretamente

do armazenamento em bloco sem usar os metadados do sistema de arquivos. Mais geralmente, dados (struc-
ture) carving é o processo de reconstrução de objetos lógicos (como arquivos e banco de dados
registros) de uma captura de dados em massa (disco /Imagem RAM ) sem usar metadados que de-
descreve a localização e o layout dos artefatos.
A escultura em arquivo é a técnica mais antiga e mais comumente usada, e sua forma básica é baseada
em duas observações simples: a) A maioria le formatos têm especificações c início e fim marcas (aka
cabeçalho e rodapé ); eb) sistema de arquivossão fortemente favoráveis a um layout de arquivo sequencial para maximizar
Taxa de transferência.
Juntos, eles produzem um algoritmo de recuperação básico:) faça a varredura da captura sequencialmente até que um
cabeçalho conhecido é encontrado; por exemplo, imagens JPEG sempre começam com o FF (hexadecimal)
Cabeçalho D8 FF; ) faça a varredura sequencialmente até que um rodapé correspondente seja encontrado; FF D9 para JPEG; )
copie os dados intermediários como o artefato recuperado. Figura . ilustra alguns dos mais
casos comuns encontrados durante le carving:
. Nenhuma fragmentação é o caso mais típico, pois os sistemas de arquivos modernos exigem um esforço extra
para garantir o layout sequencial para um desempenho ideal.
. O conteúdo aninhado geralmente é o resultado da exclusão; no exemplo, após o sequencial inicial

layout back-to-back dos arquivos, o conteúdo à frente e atrás do arquivo B foi excluído e
substituído por A. Em alguns casos, o formato do arquivo permite o aninhamento; por exemplo, JPEGs comumente
tem uma versão em miniatura da imagem, que também está no formato JPEG. Este caso pode ser
resolvido fazendo várias passagens - uma vez que B é esculpido (e seus blocos removidos
consideração adicional) o conteúdo de A torna-se contíguo, então uma passagem subsequente
extraia-o prontamente.
. Os arquivos bi-fragmentados são divididos em duas partes contíguas com o outro conteúdo em ser-

www.cybok.org
… A1A2A3A4A5 … B1B2B3 …
a) Conteúdo de arquivo contíguo
… A1A2A3 B1B2B3 A4A5 …

cabeçalho
b) Conteúdo do arquivo aninhado
rodapé
… A1A2A3 A4A5 …
c) Arquivo bifragmentado
… A1A2A3 B1B2 A4A5 B3 …
d) Conteúdo do arquivo intercalado
Figura . : Layout de conteúdo de arquivo comum encontrado durante o entalhe.
tween, que também determina o quão difícil é a reconstrução; se o conteúdo no

meio é facilmente distinguido do conteúdo do arquivo (por exemplo, os pedaços de texto em
no meio de uma imagem compactada), então o problema é relativamente fácil. Caso contrário, é
ambíguo e pode ser bastante difícil identificar as peças correspondentes.
. O conteúdo intercalado é uma versão mais complicada de aninhamento que acontece quando
os arquivos maiores são usados para preencher as lacunas criadas pela exclusão dos menores.
Essa abordagem de escultura simples geralmente produz um bom número de artefatos utilizáveis; no entanto, real
os dados podem conter uma série de padrões atípicos, o que pode levar a um grande número de
e / ou resultados falsos positivos. Uma das principais razões é que os formatos de arquivo não são projetados com
entalhe em mente e raramente tem metadados internos robustos que conectam as peças constituintes
juntos. Alguns nem mesmo têm um cabeçalho e / ou rodapé designado, e isso pode resultar em um
grande número de falsos positivos, potencialmente produzindo resultados substancialmente maiores em volume
do que os dados de origem.
Recuperação de espaço ocioso . Tanto a RAM quanto o armazenamento persistente são quase sempre alocados em vários
ples de unidades mínimas de alocação escolhidas. Portanto, no final do espaço alocado, há
é a capacidade de armazenamento - espaço livre - que não é usado pelo aplicativo, mas também não está disponível
capaz de outros usos. Por exemplo, se a alocação mínima for KiB, e um arquivo precisar de KiB, o
O sistema de arquivos alocará quatro blocos KiB. O aplicativo usará totalmente os três primeiros blocos,
mas só usará KiB do último bloco. Isso cria o potencial para armazenar dados que seriam
ser inacessível através da interface do sistema de arquivos padrão e pode fornecer um meio simples de esconder
dados.
O espaço livre é a diferença entre o armazenamento alocado para um objeto de dados, como arquivo,
ou um volume e o armazenamento em uso real.
www.cybok.org
Uma vez ciente do potencial de armazenamento de dados ocultos no espaço ocioso, é relativamente fácil
identifique e examine-o, e esta é uma etapa padrão na maioria das investigações.
Desafios futuros . À medida que as unidades de estado sólido continuam a crescer em capacidade e a deslocar
discos a partir de uma proporção crescente de armazenamento de dados operacionais, le entalharo utilitário de está definido para
diminuem com o tempo. A razão reside no fato de que os blocos SSD precisam ser escritos duas vezes em
ordem para ser reutilizado (a primeira gravação redefine o estado do bloco, permitindo assim sua reutilização).
Para melhorar o desempenho, os comandos TRIM e UNMAP foram adicionados ao ATA e SCSI
conjuntos de comandos, respectivamente; eles fornecem um mecanismo para o sistema de arquivos indicar ao
dispositivo de armazenamento cujos blocos precisam ser coletados e preparados para reutilização.
King e Vidas [ 6 ] estabeleceu experimentalmente que o entalhe só funcionaria em um estreito

conjunto de circunstâncias em unidades de estado sólido modernas (SSDs) Especificamente, eles mostram isso por um
Sistema operacional compatível com TRIM, como o Windows e depois, as taxas de recuperação de dados em seus
os testes foram quase universalmente zero. Em contraste, o uso de um sistema operacional pré-TRIM (Windows XP) permite
taxas de recuperação quase perfeitas nas mesmas condições experimentais.
. FORENS DE MEMÓRIA PRINCIPAL

[ 66 ]
A visão inicial das melhores práticas forenses era literalmente puxar o plugue de uma máquina que estava
para ser apreendido. A justificativa era que isso removeria qualquer possibilidade de alertar o
processos em execução no host e impediriam qualquer tentativa de ocultar informações. Sobre
tempo, a experiência tem mostrado que essas preocupações eram em grande parte exageradas e que o sub
perda substancial e irreversível de informações forenses importantes, como conexões abertas
e as chaves de criptografia raramente eram justificadas. Estudos demonstraram claramente que os dados tendem
persistir por um longo tempo na memória volátil ([ 6 ], [ 68]). Existe uma riqueza de informações
sobre o estado de tempo de execução de um sistema que pode ser prontamente extraído, mesmo de um instantâneo [ 66]:
Informações do processo . É prático identificar e enumerar todos os processos em execução,
threads e módulos de sistemas carregados; podemos obter uma cópia dos processos individuais '
código, pilha, heap, código e segmentos de dados. Tudo isso é particularmente útil ao analisar
máquinas comprometidas, pois permite a identi cação de serviços suspeitos, paridade anormal
relações ent / criança e, de forma mais geral, para pesquisar sintomas conhecidos de compromisso,
ou padrões de ataque.
Informações do arquivo . É prático para identificar quaisquer arquivos abertos, bibliotecas compartilhadas, memória compartilhada,
e memória mapeada anonimamente. Isso é particularmente útil para identificar usuários correlacionados
ações e atividades do sistema de arquivo, potencialmente demonstrando a intenção do usuário.
Conexões de rede . É prático para identificar conexões de rede abertas e fechadas recentemente
informações de protocolo e envio e recebimento de dados ainda não enviados
ou entregues, respectivamente. Essas informações podem ser prontamente usadas para identificar partes relacionadas
e padrões de comunicação entre eles.
Artefatos e fragmentos . Assim como o sistema de arquivos, o sistema de gerenciamento de memória tende a
ser reativo e deixar muitos vestígios de artefatos para trás. Este é principalmente um esforço para evitar qualquer
processamento que não é absolutamente necessário para o funcionamento do sistema; disco de cache
e os dados da rede tendem a deixar rastros na memória por muito tempo.
A análise de memória pode ser realizada em tempo real em um sistema ao vivo (em execução) ou pode

www.cybok.org
ser executado em um instantâneo (despejo de memória) do estado do sistema. Além de usar

ferramentas especializadas de aquisição de memória, ou um mecanismo de instantâneo embutido (em ambiente virtualizado
ronments) o conteúdo da memória também pode ser obtido a partir de um arquivo de hibernação do sistema, troca de página,
ou um despejo de memória.
Na perícia ao vivo, um agente confiável (processo) projetado para permitir o acesso remoto por meio de um
canal está pré-instalado no sistema. O operador remoto tem controle total sobre o monitor
sistema monitorado e pode tirar instantâneos de processos específicos ou de todo o sistema. Investimentos ao vivo
tigações são uma extensão dos mecanismos preventivos de segurança regulares, que permitem o máximo
controle da mãe e aquisição de dados; eles são usados principalmente em implantações de grandes empresas.
O principal problema conceitual de trabalhar em um sistema ativo é que, se estiver comprometido, o

os resultados da aquisição e análise de dados não são confiáveis; portanto, a análise forense é mais
frequentemente executado em um instantâneo da RAM do sistema de destino. Analisar um instantâneo é con
consideravelmente mais difícil do que trabalhar com um sistema ativo, que fornece acesso ao estado
do sistema em execução por meio de uma variedade de APIs e estruturas de dados. Em contraste, uma memória bruta
captura não oferece tais facilidades e ferramentas forenses precisam reconstruir a capacidade de extrair se-
informações mânticas do zero. Este é um problema de lacuna semântica, e o propósito de
a análise forense da memória é uma ponte.
. APLICAÇÃO FORENSE
A análise forense de aplicativos é o processo de estabelecer uma teoria de operação centrada em dados para um
aplicação específica. O objetivo da análise é estabelecer dependências causais objetivamente
entre entrada e saída de dados, em função das interações do usuário com a aplicação.
Dependendo se um aplicativo é de código aberto ou fechado e no nível do
que acompanha a documentação, o esforço analítico necessário pode variar da leitura detalhada
especificações para código de engenharia reversa, estruturas de dados e protocolos de comunicação, para
realizando experimentos demorados de análise diferencial de caixa preta. Alternativamente, foren-
fornecedores de ferramentas sic podem licenciar o código do fornecedor do aplicativo para obter acesso ao próprio
estruturas de dados etários.
A grande vantagem de analisar aplicativos é que temos uma melhor chance de observar
e documentar evidências diretas de ações do usuário, que é de importância primordial para o departamento jurídico
processar. Além disso, o nível de abstração dos vestígios forenses relevantes tendem a ter um nível de
abstração correspondente a um domínio particular.
.. Estudo de caso: o navegador da web

Embora haja pelo menos quatro navegadores principais em uso comum, depois de mais de
anos de desenvolvimento, suas capacidades convergiram, permitindo-nos falar sobre eles
em termos comuns. Existem seis fontes principais de informações forenses interessantes:
URL/ histórico de pesquisa . No momento, não há barreiras práticas para manter um sistema completo
histórico de navegação (um registro de sites visitados) e disponibilizá-lo para os usuários é um recurso importante
recurso de ity; a maioria dos usuários raramente exclui essas informações. Separadamente, provedores de serviços como
Google e Facebook, estão interessados nestas informações por razões comerciais, e fazem
é fácil compartilhar um registro de navegação com vários dispositivos. Combinado com o conteúdo do lo-
cal le cache, o histórico de navegação permite que um investigador para quase olhar sobre o ombro
do usuário de interesse enquanto navegava na Web. Em particular, analisar as consultas do usuário
para mecanismos de pesquisa está entre as técnicas mais comumente empregadas. A consulta de pesquisa é
www.cybok.org
codificado como parte do URL, e muitas vezes pode fornecer pistas muito claras e direcionadas sobre o que
que o usuário estava tentando realizar.
Dados do formulário . Os navegadores oferecem a conveniência de lembrar senhas de preenchimento automático e
outros dados de formulário (como informações de endereço). Isso pode ser muito útil para um investigador, es-
especialmente se o usuário estiver menos preocupado com a segurança e não usar uma senha mestra para criptografar
todas essas informações.
Arquivos temporários . O cache de arquivo local fornece sua própria cronologia de atividades da web, incluindo um
versão armazenada dos objetos da web reais que foram baixados e mostrados ao usuário (estes
pode não estar mais disponível online). Embora o cache tenha se tornado consideravelmente menos eficaz
devido ao aumento do uso de conteúdo dinâmico, isso é moderado pelo grande aumento de
capacidade de armazenamento disponível, o que coloca muito poucas, se houver, restrições práticas na quantidade
de dados em cache.
Os arquivos baixados são, por padrão, nunca excluídos, fornecendo outra fonte valiosa de atividade
em formação.
O armazenamento local HTML fornece um meio padrão para os aplicativos da web armazenarem informações
localmente; por exemplo, isso poderia ser usado para apoiar operações desconectadas, ou para fornecer um
medida de persistência para entrada do usuário. Consequentemente, a mesma interface pode ser interrogada
para reconstruir atividades da web.
Cookies são pedaços de dados opacos usados por servidores para manter uma variedade de informações no
cliente da web para oferecer suporte a transações como sessões de correio da web. Na prática, a maioria
cookies são usados por sites para rastrear o comportamento do usuário, e está bem documentado que alguns
os provedores não medem esforços para garantir que essas informações sejam resilientes. Alguns biscoitos
são tokens de acesso por tempo limitado que podem fornecer acesso a contas online (até que expirem);
outros têm uma estrutura analisável e podem fornecer informações adicionais.
A maioria das informações locais é armazenada em bancos de dados SQLite, que fornecem um alvo secundário para
recuperação de dados. Em particular, registros aparentemente excluídos podem persistir até que o banco de dados ex-
completamente 'aspirado'; caso contrário, eles permanecem recuperáveis em um momento posterior ([6 , ]).
. CLOUD FORENSICS
A computação em nuvem está emergindo rapidamente como o modelo principal para o fornecimento de tecnologia da informação
Serviços (TI) para dispositivos conectados à Internet. Ele traz os dois desafios disruptivos para o atual
ferramentas, métodos e processos forenses, bem como oportunidades forenses qualitativamente novas. Isto
não é difícil prever que, após um período intermediário de ajuste, a perícia digital irá
entrar em um novo período marcado por níveis substancialmente mais elevados de automação e empregará muito
análises de dados mais sofisticadas. Ambientes de computação em nuvem irão facilitar muito isso
processo, mas não antes de trazer mudanças substanciais às ferramentas e
práticas.

www.cybok.org
Programas Plataforma A infraestrutura

como serviço (SaaS) como serviço (PaaS) como serviço (IaaS)
Aplicativo er
Aplicativo m Aplicativo
Dados Dados sto Dados er

você
C m
Tempo de execução Tempo de execução Tempo de execução
ers sto
Serviço você
vid Middleware Middleware Middleware C
ud ro ers
lo P Sistema operacional Serviço
vid Sistema operacional Sistema operacional
C
ud ro ers
Virtualização lo P Virtualização Serviço Virtualização
C d
vocêrovido
Hardware Hardware lo P Hardware
C
Figura . : Camadas de ambiente de computação em nuvem de propriedade do cliente e serviço em nuvem

provedor em três modelos de serviço: IaaS, PaaS e SaaS (nuvem pública).
.. Cloud Basics
Conceitualmente, a TI baseada em nuvem abstrai a computação física e a infraestrutura de comunicação
estrutura e permite que os clientes aluguem a capacidade de computação necessária. Sistema de nuvem
tems têm cinco características essenciais: autoatendimento sob demanda, amplo acesso à rede, re-
pooling de fontes, elasticidade rápida e serviço medido. [ ]
A nuvem é habilitada por uma série de desenvolvimentos tecnológicos, mas sua adoção é impulsionada
principalmente por considerações de negócios, que impulsionam mudanças em como as organizações e os indivíduos
als usam serviços de TI. Consequentemente, também muda a forma como o software é desenvolvido, mantido e
entregue aos seus clientes. Os serviços de computação em nuvem são comumente classificados em um de
três modelos canônicos - Software as a Service (SaaS), Plataforma como serviço (PaaS) e
Infraestrutura como serviço (IaaS) Em implantações reais, as distinções podem ser confusas e
muitas implantações de nuvem (e potenciais alvos de investigação) incorporam elementos de todos os
esses.
As diferenças entre os modelos são mais bem compreendidas quando consideramos o virtualizado
ambientes de computação como uma pilha de camadas: hardware, como armazenamento e rede;
virtualização, que consiste em um hipervisor que permite a instalação e gerenciamento do ciclo de vida
de máquinas virtuais; sistema operacional, instalado em cada máquina virtual; middleware e
ambiente de execução; e aplicativos e dados.
Cada um dos modelos de nuvem divide a responsabilidade entre o cliente e o Serviço em Nuvem
Provedor (CSP) em diferentes níveis da pilha (Figura .) Em uma implantação privada (nuvem),
toda a pilha é hospedada pelo proprietário e o quadro geral forense é muito semelhante ao
problema de investigação de um alvo de TI fora da nuvem. A propriedade dos dados é clara, assim como a legalidade e
caminho processual para obtê-lo; na verdade, o próprio uso do termo 'nuvem' nesta situação não é
particularmente significativo para um inquérito forense.
Em uma implantação pública, o SaaS/ PaaSA classificação / IaaS torna-se importante, pois indica
a propriedade dos dados e as responsabilidades do serviço. Figura . mostra a propriedade típica
de camadas por cliente e provedores de serviço em diferentes modelos de serviço. Em implantação híbrida-
mentos, a propriedade da camada pode ser dividida entre o cliente e o provedor, e / ou entre
vários provedores. Além disso, pode mudar ao longo do tempo, como, por exemplo, o cliente pode lidar com
a carga básica na infraestrutura privada, mas explodiu na nuvem pública para lidar com a demanda de pico,
ou falhas do sistema.
www.cybok.org
.. Desafios Forenses
Os principais desafios técnicos para as práticas forenses estabelecidas podem ser resumidos da seguinte forma
baixos.
Aquisição lógica é a norma . O conjunto de ferramentas forense existente é quase exclusivamente construído para
trabalhar com os artefatos restantes de cálculos anteriores. Baseia-se no conhecimento algorítmico de
diferentes subsistemas de sistema operacional , como o sistema de arquivos, a fim de interpretar o layout físico de
os dados adquiridos do dispositivo.
A aquisição física é quase completamente inaplicável à nuvem, onde os dados se movem,

as fontes são compartilhadas e as questões de propriedade e jurisdição podem ser complicadas. Cloud ser-
vice- APIs estão surgindo como a nova interface principal por meio da qual a aquisição de dados está sendo
realizada.
A nuvem é a fonte de dados autorizada . Outro motivo importante para consultar serviços em nuvem
para informações relevantes é que eles armazenam o registro histórico primário de cálculos e
interações com os usuários. A maioria das informações residuais sobre o cliente, como uma unidade de nuvem, é trans-
sient e frequentemente de proveniência incerta.
O registro é generalizado . O software baseado em nuvem é desenvolvido e organizado de maneira diferente. Em vez de
de um pedaço de código monolítico, a lógica do aplicativo é decomposta em várias camadas e
módulos que interagem entre si por meio de interfaces de serviço bem de nidas. Uma vez que o software
componentes e sua comunicação são formalizados, torna-se fácil organizar extensos
registro de todos os aspectos do sistema. Na verdade, torna-se fundamental ter essas informações
apenas para poder depurar, testar e monitorar aplicativos e serviços em nuvem.
Esses desenvolvimentos apontam para logs (de atividades do usuário e do sistema) se tornando o principal
fonte de informação forense. A implicação imediata é que muito mais será explicado
amplamente conhecido - ao contrário de deduzido - sobre o estado histórico de aplicativos e artefatos.
Isso exigirá um novo conjunto de ferramentas de análise de dados e transformará completamente a forma como
sic investigações são realizadas. Também trará novos desafios em termos de caso de longo prazo
preservação de dados.
Computações distribuídas são a norma . O principal atributo do modelo cliente / autônomo é
que praticamente todos os cálculos ocorrem no próprio dispositivo. Os aplicativos são monolíticos,
pedaços de código autocontidos que têm acesso imediato à entrada do usuário e a consomem
instantaneamente com (quase) nenhum traço deixado para trás. Uma vez que uma grande parte da perícia compreende at-
atribuir o estado observado de um sistema a eventos acionados pelo usuário, pesquisa forense e de-
O velopment focou incansavelmente em dois problemas de direção - descobrindo cada peça
de informações de log / carimbo de data / hora e extração de cada bit de dados descartados deixados por
aplicativos ou o sistema operacional.
O modelo de nuvem, particularmente SaaS, rompe completamente com essa abordagem - a computação
é dividido entre o cliente e o servidor, com o último realizando a pesada
levantamento e o primeiro desempenhando funções predominantemente de interação com o usuário. Código e dados
são baixados sob demanda e não têm lugar persistente em relação ao cliente. O di-
conseqüência direta é que a grande maioria da cadeia de ferramentas forense estabelecida torna-se
irrelevante, o que aponta para uma necessidade clara de uma abordagem diferente.
www.cybok.org
.. Forense de SaaS
O modelo de entrega tradicional da indústria de software é Software as a Product (SaaP); isso é,
software adquirido como qualquer produto físico e é instalado pelo proprietário em uma máquina específica
chine, onde todos os cálculos são realizados. Como resultado, o modelo analítico tradicional
da análise forense digital é centrada no dispositivo físico - o investigador trabalha com evidências físicas
operadoras, como mídia de armazenamento ou dispositivos de computação integrados (por exemplo, smartphones). No
dispositivo cliente (ou autônomo), é fácil identificar onde os cálculos são realizados e
onde os resultados / traços são armazenados. O novo modelo de entrega de software - Software as a Ser-
vice (SaaS) - é baseado em assinatura e não começou a se tornar prático até que o
adoção do acesso rápido à banda larga há cerca de dez a quinze anos.
A nuvem renderiza muitos métodos centrados no dispositivo - especialmente aqueles focados em baixo nível
aquisição física e análise - irrelevante. Também requer o desenvolvimento de novas ferramentas
que pode funcionar no novo ambiente de implantação, onde a execução do código é dividida entre
o servidor e os dispositivos cliente, a interface de armazenamento primário é uma API de serviço e o aplicativo
artefatos de plicação não são armazenados de forma persistente no dispositivo (embora o armazenamento local possa ser
usado como cache).
Estudo de caso: Aquisição do Cloud Drive . Serviços de unidade de nuvem, como Dropbox , Google Drive e
Microsoft OneDrive é a versão SaaS do dispositivo de armazenamento local, que é fundamental para o mod
análise forense digital moderna. O problema da aquisição da unidade de nuvem, uma primeira etapa de investigação clara,
é uma boa ilustração dos desafios e oportunidades oferecidos pelo SaaS com relação a
forense.
A princípio, pode parecer que simplesmente copiar uma réplica local do conteúdo da unidade é uma forma simples e
solução eficaz. No entanto, esta abordagem não oferece garantias quanto à precisão
e integridade da aquisição. Especificamente, existem três preocupações principais:
Replicação parcial . O problema mais óbvio é que não há garantia de que qualquer um dos
os clientes anexados a uma conta terão uma cópia completa do conteúdo da unidade (nuvem). Como
os dados se acumulam online, torna-se rapidamente impraticável manter réplicas completas em todos os dispositivos;
na verdade, é provável que a maioria dos usuários não tenha um dispositivo com uma cópia completa dos dados. Pelagem-
além disso, a ferramenta de aquisição precisa de acesso direto aos metadados da unidade de nuvem para verificar
seu conteúdo; sem esta informação, a aquisição é de qualidade desconhecida, sujeita a
dados potencialmente obsoletos e omitidos.
Aquisição de revisão . A maioria dos serviços de drive fornece algum tipo de histórico de revisão; o olhar para trás
período varia, mas este é um recurso padrão que os usuários esperam, especialmente em serviços pagos. Al-
embora existam algumas fontes de dados análogas na análise forense tradicional, como a versão de arquivo
sões de importantes estruturas de dados do sistema operacional , o volume e a granularidade das informações de revisão
em aplicativos de nuvem são qualitativamente e quantitativamente diferentes. As revisões residem na nuvem
e os clientes raramente têm nada além da versão mais recente em seu cache; uma ação do lado do cliente
quisition claramente perderá revisões anteriores, e nem mesmo tem os meios para identificá-los
omissões.
Artefatos nativos da nuvem . O movimento de massa em direção a aplicativos baseados na web significa que
a perícia precisa aprender a lidar com um novo problema - artefatos digitais que não têm
representação serializada no sistema de arquivos local. Por exemplo, documentos do Google Docs são
armazenado localmente como um link para o documento que só pode ser editado por meio de um aplicativo da web. Aquisição
um link opaco sem o conteúdo real do documento tem utilidade forense mínima. A maioria
os serviços fornecem os meios para exportar o artefato do aplicativo da web em um formato padrão, como PDF;
www.cybok.org
no entanto, isso só pode ser feito solicitando diretamente do serviço (manualmente ou

por meio de uma API)
Em resumo, trazendo a abordagem tradicional do lado do cliente para impulsionar a aquisição para o SaaS
a aquisição tem grandes problemas conceituais que estão além da correção; uma nova abordagem é
necessário, aquele que obtém os dados diretamente do serviço de nuvem.
.6 ANÁLISE DE ARTEFATO
[ , , , , ]
Uma vez que a representação externa (serializada) de um artefato digital, como um documento de texto
ou uma imagem é padronizada, fornece um nível conveniente de abstração, permitindo que o
desenvolvimento de técnicas forenses centradas em artefatos.
.6. Encontrando um objeto de dados conhecido: Hashing criptográfico

O menor denominador comum para todos os artefatos digitais é considerá-los como uma sequência
de bits / bytes sem tentar analisar ou atribuir qualquer semântica a eles. Apesar deste baixo nível
de abstração, alguns problemas cruciais podem ser resolvidos, sendo o mais importante
identificar conteúdo conhecido, geralmente les.
O hashing criptográfico é a primeira ferramenta de escolha ao investigar qualquer caso; fornece um

meios básicos de validação da integridade dos dados e identificação de artefatos conhecidos. Lembre-se de que um hash
função pega uma string arbitrária de dados binários e produz um número, muitas vezes referido como
um resumo, dentro de uma faixa predefinida. Idealmente, dado um conjunto de entradas diferentes, a função hash
irá mapeá-los em diferentes saídas.
As funções de hash são resistentes a colisões se for computacionalmente inviável encontrar duas
entradas para as quais a saída é a mesma. Funções criptográficas de hash, como MD, RIPEMD-
6, SHA-, SHA- e o padrão NIST atual SHA- [ ], são projetados para serem de colisão
resistente e produz grandes resultados de 8 para bits. Uma vez que a probabilidade de que hashing dois
objetos de dados diferentes irão produzir o mesmo resumo por acaso é astronomicamente pequeno, podemos
assumir com segurança que, se dois objetos têm a mesma digestão criptográfica, então os próprios objetos
são idênticos .
A prática atual é aplicar uma função de criptografia hash a um destino inteiro (unidade, partição
etc.) ou para arquivos individuais. O primeiro é usado para validar a integridade do alvo forense por
comparar os resultados antes e depois em pontos importantes da investigação (por exemplo, para demonstrar
afirmar que a integridade das evidências em toda a cadeia de custódia), enquanto a última
são usados para trabalhar com arquivos conhecidos. Isso envolve remover da consideração
mon les como SO e instalações de aplicativos ou localização de arquivos conhecidos de interesse, como
como malware e contrabando. Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)
mantém a National Software Reference Library (NSRL) [ ], que cobre a maioria das
instalação do sistema operacional mon e pacotes de aplicativos. Outras organizações e
fornecedores comerciais de ferramentas forenses digitais fornecem conjuntos adicionais de hash de outros dados conhecidos.
De uma perspectiva de desempenho e eficiência, a ltragem baseada em hash é muito atraente -

usando um hash SHA de -byte, a representação de milhões de arquivos leva apenas GB. Isto faz
Uma discussão sobre as vulnerabilidades conhecidas das funções hash criptográficas está fora do escopo deste texto.
www.cybok.org
é possível carregar um conjunto de referência desse tamanho na memória principal e filtrar, no y,

quaisquer arquivos conhecidos no conjunto como dados são lidos de um alvo forense.
.6. Análise em nível de bloco

Além de arquivos inteiros, os investigadores muitas vezes estão interessados em descobrir arquivos conhecidos.
nantes, como aqueles produzidos quando um arquivo é marcado como excluído e, subsequentemente, parcialmente
sobrescrito. Um método usado rotineiramente para resolver este problema é aumentar a granularidade
dos hashes, dividindo os arquivos em blocos de tamanho fixo e armazenando o hash para cada
bloqueio virtual. O tamanho do bloco é comumente definido como KiB para corresponder à unidade de alocação mínima
usado pela maioria das instalações de sistemas operacionais. Dado um conjunto de referência baseado em bloco, um forense
alvo (Captura de RAM ou imagem de disco) pode ser tratada como uma sequência de blocos que podem ser lidos
bloco por bloco, hash e comparado ao conjunto de referência.
Neste contexto, dizemos que um bloco é distinto , se a probabilidade de que seu conteúdo exato surja
por acaso, mais de uma vez é muito pequeno. Se soubéssemos de fato que um bloco específico
era único e específico para um arquivo particular, então (em termos de valor probatório) encontrando-o
um alvo forense seria quase o mesmo que encontrar todo o arquivo do qual foi retirado
rived. Na prática, não podemos saber com certeza a distinção de cada bloco de dados possível;
portanto, usamos uma suposição aproximada com base em dados empíricos:
“Se um arquivo é conhecido por ter sido fabricado usando algum processo de alta entropia, e se o
blocos desse arquivo são mostrados para ser distintos ao longo de um corpus grande e representativo, então
esses blocos podem ser tratados como se fossem distintos. ” [ ] Talvez o trans- mais comum
formação que produz dados de alta entropia é a compressão de dados, que é rotineiramente empregada em
muitos formatos de arquivo comuns, como áudio / vídeo e documentos de escritório.
Além do uso direto de blocos como vestígios de evidência para a presença (passada ou atual) de
arquivos conhecidos, hashes de bloco podem ser usados para melhorar os resultados de gravação de arquivos, excluindo todos os
blocos conhecidos antes de realizar o processo de escultura . Isso pode melhorar os resultados, reduzindo
lacunas e eliminando certas classes de resultados falsos positivos.
.6. Correspondência Aproximada

Uma generalização natural do problema de encontrar objetos de dados idênticos é encontrar outros semelhantes .
No contexto da análise forense digital, o termo genérico aceito para técnicas baseadas em similaridade
é a correspondência aproximada (SOU) De acordo com o NISTde nição, 'correspondência aproximada é um genérico
termo que descreve qualquer técnica projetada para identificar semelhanças entre dois artefatos digitais '.
[ ]
Este termo amplo abrange métodos que podem funcionar em diferentes níveis de abstração. No
no nível mais baixo, os artefatos podem ser tratados como sequências de bits; nos níveis mais altos, técnicas de similaridade
poderia empregar, por exemplo, processamento de linguagem natural e métodos de reconhecimento de imagem para
fornecer um nível de raciocínio muito mais próximo ao de um analista humano. No que diz respeito ao
todo o espectro de métodos de similaridade, os de nível inferior são mais genéricos e computacionais
acessíveis, ao passo que os de nível superior tendem a ser mais especializados e requerem consideração
habilmente mais recursos computacionais. Portanto, esperaríamos uma investigação forense para
personalizar o uso de técnicas de AM com base nos objetivos da análise e nos dados do alvo.
Casos de uso. Usando uma terminologia comum de recuperação de informações, é útil considerar duas
ações do problema de detecção de similaridade: semelhança e contenção [ 6 ] Semelhança
consultas comparam dois objetos de dados de tamanhos comparáveis (pares) e buscam inferir o quão próximo
www.cybok.org
relacionados eles são. Duas aplicações forenses comuns incluem: (a) detecção de similaridade de objetos
- correlacionar artefatos que uma pessoa classificaria como versões uma da outra; e (b) cruzar
correlação - correlacionar objetos que compartilham os mesmos componentes, como um
imagem.
No caso de contenção, comparamos artefatos que apresentam uma grande disparidade em termos de tamanho
e procure estabelecer se um maior contém (pedaços de) um menor. Dois comuns
variações são detecção de objetos incorporados - estabelecendo se um objeto menor (como um
imagem) faz parte de uma maior (como um documento PDF) e a detecção de fragmentos - estabelecendo
se um objeto menor é um fragmento (como um pacote de rede ou bloco de disco) de um maior
um, como um arquivo.
A diferença entre semelhança e contenção é específica do caso e a mesma ferramenta

pode funcionar em ambos os casos. No entanto, é importante que os analistas coloquem os resultados da ferramenta no
contexto correto e para compreender o envelope de desempenho das ferramentas que estão usando em
a fim de interpretar corretamente os resultados.
De nições . A noção de similaridade é específica ao contexto particular em que é usada. A
algoritmo de correspondência aproximada funciona definindo dois elementos essenciais - recursos e um
função de similaridade. Os recursos são os componentes atômicos derivados dos artefatos por meio de
em que os artefatos são comparados. Comparar dois recursos produz um resultado binário - zero ou
um - indicando se a correspondência de recurso foi bem-sucedida ou não. O conjunto de todos os recursos
calculado por um algoritmo para um determinado artefato constitui um conjunto de recursos. Pode ser visto como um
representação aproximada do objeto original com o propósito de combiná-lo com outros
objetos.
A função de similaridade mapeia um par de conjuntos de recursos para um intervalo de similaridade; é cada vez mais
monotônico com relação ao número de recursos correspondentes. Ou seja, todo o resto sendo igual, mais
as correspondências de recursos geram uma pontuação de similaridade mais alta.
Aulas . É útil considerar três classes gerais de algoritmos de correspondência aproximada.
A correspondência de bytes considera os objetos que compara a uma sequência de bytes e não faz
esforço para analisá-los ou interpretá-los. Consequentemente, os recursos extraídos do artefato são
também sequências de bytes, e esses métodos podem ser aplicados a qualquer blob de dados. A utilidade do
o resultado depende muito da codificação dos dados. Se pequenas mudanças no conteúdo do
artefato resulta em pequenas mudanças no formato serializado (por exemplo, texto simples), então o bytewise
similaridade tende a se correlacionar bem com a percepção de similaridade de uma pessoa. Por outro lado, se um pequeno
mudança pode desencadear grandes mudanças na saída (por exemplo, dados compactados), então a correlação
seria substancialmente mais fraco.
A correspondência sintática depende da análise do formato de um objeto, potencialmente usando esse conhecimento
para dividi-lo em um conjunto lógico de recursos. Por exemplo, um arquivo zip ou um documento PDF pode
ser facilmente dividido em partes constituintes sem compreender a semântica subjacente. O
o benefício é que isso resulta em uma solução mais precisa com interpretações mais precisas
resultados; a desvantagem é que é uma solução mais especializada, exigindo informações adicionais
para analisar diferentes formatos de dados.
A correspondência semântica (parcialmente) interpreta o conteúdo dos dados para derivar recursos semânticos
para comparação. Os exemplos incluem hashes perceptivos que podem detectar imagens visualmente semelhantes,
e métodos de recuperação de informação e processamento de linguagem natural que podem encontrar
vínculos no assunto e no conteúdo dos documentos de texto.
Os pesquisadores usam uma variedade de termos para nomear os diferentes métodos de correspondência aproximada que eles
www.cybok.org
desenvolveram: hashing difuso e hashing de similaridade referem-se à correspondência aproximada de bytes;

hashing perceptual e hashing robusto referem-se a técnicas de correspondência aproximada semântica.
Os algoritmos Bytewise Approximate Matching são os algoritmos AM mais frequentemente usados em

forense; eles seguem um padrão geral de extrair um conjunto de recursos e gerar uma
digestão de ity, seguido por uma comparação das digests. Um resumo de semelhança (também conhecido como ngerprint ou
assinatura) é uma representação (compactada) do conjunto de recursos do artefato de destino. Frequentemente
emprega hashing e outras técnicas para minimizar a pegada do conjunto e facilitar
comparação rápida.
.6. Artefatos nativos da nuvem

A análise forense de sistemas em nuvem ainda está em seus estágios iniciais de desenvolvimento, mas vai
crescer rapidamente em importância. Uma área nova e promissora é a análise de nuvem (-nativa)
artefatos - objetos de dados que mantêm o estado persistente da web /Aplicativos SaaS . [ ]
Ao contrário dos aplicativos tradicionais, nos quais o estado persistente assume a forma de arquivos em um local
le sistema, os aplicativos da web baixam o estado necessário e não dependem do armazenamento local
era. Lembre-se de que a funcionalidade de um aplicativo da web é dividida entre os componentes do servidor e do cliente, e
os dois se comunicam por meio de APIs da web. De uma perspectiva forense, a API mais interessante
as chamadas envolvem transferência de estado (completa); por exemplo, abrir um documento ou carregar um anterior
versão, desencadeia a transferência de todo o seu conteúdo. Conceitualmente, isso é análogo ao processo
de abrir e ler o conteúdo de um arquivo local por um aplicativo instalado em um dispositivo. O
principal diferença é que os artefatos de nuvem são estruturas de dados internas que, ao contrário de um arquivo, não são
prontamente disponíveis para análise.
Artefatos de nuvem geralmente têm uma estrutura completamente diferente da tradicional centrada em instantâneos
codificação. Por exemplo, internamente, os documentos do Google Docs são representados como o
histórico (log) de cada ação de edição realizada nele; dadas credenciais válidas, este histórico é
disponível via API interna do Google Docs. Também é possível obter um instantâneo do artefato
de interesse em um formato padrão, como PDF, por meio da API pública. No entanto, isso é inerentemente
forensicamente deficiente na medida em que ignora informações potencialmente críticas sobre a evolução de um
documento ao longo do tempo.
. CONCLUSÃO
A perícia digital identifica e reconstrói a sequência relevante de eventos que levaram
para um estado atualmente observável de um sistema de TI ou artefatos (digitais) de destino. A proveniência
e integridade da fonte de dados e o embasamento científico das ferramentas investigativas e
métodos empregados são de importância primordial para determinar sua admissibilidade em um tribunal
procedimentos legais. A análise forense digital é aplicada a ambos os artefatos digitais individuais
tais como arquivos e sistemas de TI complexos que compreendem vários componentes e em rede
processos.
Após a rápida transição baseada na nuvem do Software como um Produto (SaaP) para software
como um serviço (SaaS), os métodos e ferramentas forenses também estão em um respectivo processo de transição
ção Um aspecto é uma mudança de ênfase da análise centrada no estado, que busca deduzir
eventos e ações, olhando para diferentes instantâneos e aplicando o conhecimento sobre o sistema
operações do tem, para análise centrada em log, que emprega entradas de log coletadas explicitamente para
inferir a sequência de eventos relevantes (para a investigação). Outro aspecto é a transição de
a aquisição física de baixo nível de imagens de dispositivos de armazenamento para a aquisição lógica de alto nível
Página 344
www.cybok.org
ção de artefatos de aplicativos (principalmente) por meio de APIs de serviço em nuvem bem de nidas. Alguns dos mais
importantes questões emergentes em análise forense digital são a análise da grande variedade de IoT
dispositivos, que devem aumentar em número para até bilhões em, e o
emprego de aprendizado de máquina / IA para automatizar e aumentar o processamento forense.
Tópicos Cita
. De nições e modelos conceituais [ 6, , 8, , ]

. Análise do sistema operacional [ , , 6]
. Análise forense da memória principal [ 66 ]
. Análise de aplicativos
. Cloud Forensics
.6 Análise de artefato [ , , , , ]
Página 345
III Segurança de Sistemas
Página 347
346
Capítulo
Criptografia
Nigel Smart KU Leuven
www.cybok.org
INTRODUÇÃO
O objetivo deste capítulo é explicar os vários aspectos da criptografia que consideramos
deve ser conhecido por um especialista em segurança cibernética. A apresentação está em um nível necessário para um
instrutor em módulo de criptografia; para que eles possam selecionar a profundidade necessária em cada tópico.
Embora nem todos os especialistas em segurança cibernética precisem estar cientes de todos os aspectos técnicos mencionados
abaixo, achamos que eles devem estar cientes de todos os tópicos gerais e ter uma compreensão intuitiva de
ao que significam e que serviços podem fornecer. Nosso foco é principalmente em primitivos,
esquemas e protocolos que são amplamente utilizados, ou que são adequadamente bem estudados para que eles
podem ser usados (ou estão sendo usados atualmente) em domínios de aplicativos específicos.
A criptografia, por sua própria natureza, é um dos aspectos mais matemáticos da segurança cibernética;
portanto, este capítulo contém muito mais matemática do que algum outro capítulo.
ters. A apresentação geral pressupõe um conhecimento básico do primeiro ano de graduação
matemática, ou aquela encontrada em um curso de matemática discreta de um curso de graduação em Computação
Licenciatura em Ciências.
O capítulo está estruturado da seguinte forma: Após uma rápida recapitulação sobre algumas notas matemáticas básicas
ção (Seção .), damos então uma introdução de como a segurança é definida na criptografia moderna
raphy. Esta seção (Seção . ) constitui a base de nossas discussões nas outras seções.
Seção . discute construções teóricas da informação, em particular o one-time pad,
e compartilhamento de segredos. Seções . e . em seguida, detalhe a criptografia simétrica moderna; de
discutindo primitivas (como construções de cifra de bloco) e, em seguida, esquemas específicos (como
como modos de operação). Em seguida, nas seções .6 e . discutimos o método padrão
ologias para realizar criptografia de chave pública e assinaturas de chave pública, respectivamente. Então em
Seção .8 discutimos como esses esquemas básicos são usados em vários protocolos padrão;
como para autenticação e acordo de chave. Todas as seções, até e incluindo a Seção
0,8, foco exclusivamente em construções que têm implantação generalizada.
Seção . começa nosso tratamento de construções e protocolos que são menos amplamente usados;
mas que têm uma série de aplicações de nicho. Essas seções são incluídas para habilitar o
instrutor para preparar os alunos para as aplicações mais amplas da criptografia que eles possam
encontrar à medida que os aplicativos de nicho se tornam mais populares. Em particular, Seção . capas
Transferência alheia, conhecimento zero e computação multipartidária. Seção . cobre pub-
esquemas de chave lic com propriedades especiais, como assinaturas de grupo, criptografia baseada em identidade
e criptografia homomórfica.
O capítulo assume que o leitor deseja usar construções criptográficas para construir
sistemas de cura, não se destina a apresentar o leitor a técnicas de ataque em criptografia
primitivos. Na verdade, todas as primitivas aqui podem ser assumidas como tendo sido selecionadas para evitar
vetores de ataque ou comprimentos de chave escolhidos para evitá-los. Mais detalhes sobre isso podem ser encontrados em
o relatório regular europeu de tamanho de chave e algoritmos, do qual a versão mais atualizada é
[ ]
Por uma razão semelhante, não incluímos uma discussão dos aspectos históricos da criptografia, ou
cifras históricas como César, Vigenère ou Enigma. Estes são, na melhor das hipóteses, exemplos de brinquedos e
portanto, não há lugar em tal corpo de conhecimento. É melhor deixá-los confundir os livros. Contudo
o leitor interessado é encaminhado a [ 8]
Criptografia KA | Outubro Página

www.cybok.org
CONTENTE
. MATEMÁTICA
[ , c8-c, Apêndice B] [ 8, c –c]
A criptografia é inerentemente matemática por natureza, o leitor será, portanto,

soou estar familiarizado com uma série de conceitos. Um bom livro para cobrir o básico necessário,
e mais, é o de Galbraith [ 8 ]
Antes de prosseguir, definiremos algumas notações: O anel de inteiros é denotado por Z, enquanto
os campos dos números racionais, reais e complexos são denotados por Q, R e C. O anel de
tegers módulo N será denotado por Z / NZ, quando N é um p primo, este é um campo finito frequentemente
∗ ∗
denotado por F p . O conjunto de elementos invertíveis será escrito (Z / NZ) ou F p . Um módulo RSA
N denotará um inteiro N, que é o produto de dois (grandes) fatores primos N = p · q.
Grupos abelianos finitos de ordem primária q também são uma construção básica. Estes são escritos
x
multiplicativamente, caso em que um elemento é escrito como g para algum x ∈ Z / qZ; quando escrito
aditivamente, um elemento pode ser escrito como [x] · P. O elemento g (no caso multiplicativo) e
P (no caso aditivo) é denominado gerador.
O exemplo padrão de grupos abelianos nite de ordem principal usados em criptografia são elípticos
curvas. Uma curva elíptica sobre um campo finito F p é o conjunto de soluções (X, Y) para uma equação de
a forma
E: Y 2 = X 3 + A · X + B
onde A e B são constantes fixas. Esse conjunto de soluções, além de um ponto especial no infinito
denotado por O, forma um grupo abeliano nito denotado por E (F p ). A lei de grupo é uma lei clássica
datando de Newton e Fermat chamado de processo corda-tangente. Quando A e B são
selecionado cuidadosamente, pode-se garantir que o tamanho de E (F p ) seja um q primo. Isso vai ser importante
mais tarde na seção . . para garantir que o problema de logaritmo discreto na curva elíptica é difícil.
Alguns esquemas criptográficos fazem uso de redes que são subgrupos discretos do sub
n n·m
grupos de R . Uma rede pode ser definida por uma matriz geradora B ∈ R , onde cada coluna
de B forma um elemento de base. A rede é então o conjunto de elementos da forma y = B · x
m
onde x varia sobre todos os elementos em Z . Uma vez que uma rede é discreta, ela tem um comprimento bem definido
do menor vetor diferente de zero. Na seção . . notamos que encontrar este menor não-zero
vetor é um problema computacional difícil.
Amostrar um elemento uniformemente aleatório de um conjunto A será denotado por x ← A. Se o conjunto A

consiste em um único elemento a vamos escrever isso como a atribuição x ← a; com a igualdade
símbolo = sendo reservado para igualdades em oposição a atribuições. Se A for um randomizado
algoritmo, então escrevemos x ← A (y; r) para a atribuição ax da saída da execução de A em
insira y com moedas aleatórias r.
www.cybok.org
. MODELOS DE SEGURANÇA CRIPTOGRÁFICA

[ , c –c] [ 8, c]
A criptografia moderna adotou uma metodologia de 'Segurança Provável' para definir e sub-
suportar a segurança das construções criptográficas. O procedimento básico do projeto é definir
a sintaxe de um esquema criptográfico. Isso dá os comportamentos de entrada e saída do algoritmo
ritmos que compõem o esquema e definem a correção. Em seguida, um modelo de segurança é apresentado
que define quais metas de segurança são esperadas de um determinado esquema. Então, dado um específico
instanciação que atenda a sintaxe dada, uma prova de segurança formal para a instanciação é
dado em relação a alguns problemas difíceis conhecidos .
A prova de segurança não é uma garantia absoluta de segurança. É uma prova de que o dado instan-
tiação, quando implementada corretamente, satisfaz o modelo de segurança dado assumindo alguns
os problemas são realmente difíceis. Assim, se um invasor pode realizar operações que estão fora do
modelo, ou consegue quebrar o problema difícil subjacente, então a prova é inútil. Como-
sempre, uma prova de segurança, no que diz respeito a modelos bem estudados e problemas difíceis, pode dar forte
garante que a construção dada não tem pontos fracos fundamentais.
Nas próximas subseções, examinaremos essas idéias com mais detalhes e, em seguida, apresentaremos algumas
amplas declarações de segurança; mais detalhes da sintaxe e definições de segurança podem ser
encontrado em [ 8 , 8] Em um alto nível, a razão para essas definições é que as noções intuitivas
A segurança de uma construção criptográfica não é suficiente. Por exemplo o
a definição natural para segurança de criptografia é que um invasor não seja capaz de recuperar o
chave de descriptografia, ou o invasor não conseguirá recuperar uma mensagem criptografada em um
texto cifrado. Embora essas idéias sejam necessárias para qualquer esquema seguro, elas não são suficientes.
Precisamos nos proteger contra os objetivos do invasor para encontrar algumas informações sobre um
mensagem, quando o invasor é capaz de montar ataques de texto simples e de texto cifrado escolhidos
em um usuário legítimo.
.. Sintaxe de esquemas básicos

A sintaxe de um esquema criptográfico é definida pelos algoritmos que compõem o
esquema, bem como uma definição de correção. A definição de correção dá qual comportamento
pode-se esperar quando não há comportamento adversário. Por exemplo, uma criptografia simétrica
O esquema é definido por três algoritmos (KeyGen, Enc, Dec). O algoritmo KeyGen é um proba-
algoritmo bilístico que produz uma chave simétrica k ← KeyGen (); Enc é um algoritmo probabilístico
ritmo que recebe uma mensagem m ∈ M, alguma aleatoriedade r ∈ R e uma chave e retorna um
texto cifrado c ← Enc (m, k; r) ∈ C; enquanto Dec é (normalmente) um algoritmo determinístico que leva
um texto cifrado e uma chave e retorna o texto simples subjacente. A definição de correção é:
∀k ← KeyGen (), r ← R, m ← M, Dec (Enc (m, k; r), k) = m.
Para esquemas de criptografia de chave pública, as definições são semelhantes, mas agora KeyGen () fornece a chave de saída
pares e a definição de correção torna-se:
∀ (pk, sk) ← KeyGen (), r ← R, m ← M, Dec (Enc (m, pk; r), sk) = m.
As construções equivalentes para mecanismos de autenticação são Message Authentication

Códigos (ou MACs) na configuração de chave simétrica e esquemas de assinaturas digitais no público
configuração de chave. Um esquema MAC é dado por um triplo de algoritmos (KeyGen, MAC, Verify), onde
a função MAC produz uma tag dada uma mensagem e uma chave (e possivelmente algum
www.cybok.org
moedas) e a função Verificar verifica se a mensagem, a etiqueta e a chave são consistentes. Uma assinatura
esquema é dado por um triplo semelhante (KeyGen, Sign, Verify), onde agora a tag produzida é chamada
uma assinatura'. Assim, as definições de correção para essas construções são as seguintes
k ← KeyGen (), r ← R, m ← M, Verifique (m, MAC (m, k; r), k) = verdadeiro.
(pk, sk) ← KeyGen (), r ← R, m ← M, Verificar (m, Sinal (m, sk; r), pk) = verdadeiro.
Observe que, para MAC determinísticos o algoritmo de verificação é geralmente apenas para recalcular o
Identifique o MAC MAC (m, k), e a seguir verifique se foi o que foi recebido.
.. Definições básicas de segurança

Uma definição de segurança é geralmente fornecida no contexto da meta de segurança de um invasor , seguida por
suas capacidades . Assim, por exemplo, uma meta ingênua de segurança para criptografia poderia ser recuperar o
texto simples subjacente, chamado de mão única (ou OW) segurança. Este processo de um invasor tentando
para obter um objetivo específico é chamado de jogo de segurança , com o atacante vencendo o jogo , se ele
pode quebrar essa meta de segurança com maior probabilidade do que adivinhação aleatória. Esta vantagem
em probabilidade sobre adivinhação aleatória é chamada de vantagem do adversário . As capacidades são
expressa em termos de quais oráculos ou funções damos acesso ao adversário. Então, para
por exemplo, em um jogo ingênuo de segurança para criptografia, podemos não dar ao adversário nenhum oráculo,
produzindo um chamado Ataque Passivo (ou PASS) capacidade.
O atacante é modelado como um algoritmo arbitrário, ou máquina de Turing, A, e se dermos o

O
acesso adversário aos oráculos, então os escrevemos como subscritos A . Em nossa segurança ingênua
jogo (chamado OW- APROVADO) o adversário não tem oráculos e seu objetivo é simplesmente recuperar o
mensagem subjacente a um determinado texto cifrado. A definição precisa é dada na Figura . , Onde
Adv OW-PASS (A, t) denotam a vantagem sobre uma estimativa aleatória que um determinado adversário tem após
correndo para o tempo t. Dizemos que uma determinada construção é segura no modelo dado (que nosso
exemplo ingênuo seria chamado de OW- APROVADO), se a vantagem acima for insignificante para todos os problemas
adversários de tempo polinomial abilísticos A. Aqui, o tempo desprezível e polinomial são medidos
em termos de um parâmetro de segurança (que pode ser considerado o tamanho da chave). Nota, para OW- APROVADO
isso pressupõe que o espaço da mensagem não é maior do que o espaço de todas as chaves possíveis. Também
note que esta é uma definição assintótica, que no contexto de esquemas com chave xa
tamanho, não faz sentido. Em tais situações, exigimos que (t / Adv) seja maior do que alguns dados
128 128
limite de concreto como 2 , uma vez que se acredita que a execução de um algoritmo requer 2
passos são inviáveis mesmo para um adversário de Estado-nação.
No contexto da criptografia (tanto simétrica quanto chave pública), o objetivo de segurança ingênuo acima
não é visto como adequado para aplicações reais. Em vez disso, o objetivo de segurança do Indistinguish-
criptografias capazes (ou IND) geralmente é usado. Isso pede ao adversário para primeiro chegar a dois
textos simples, de comprimento igual, e então o desafiante (ou ambiente) criptografa um deles
e dá o texto cifrado de desafio resultante ao adversário. O objetivo do adversário é então
para determinar qual texto simples foi criptografado. No contexto de um ataque passivo, isso dá uma
declaração de vantagem conforme dada na segunda parte da Figura . , onde os dois estágios do
adversário são dados por A 1 e A 2 .
Em termos de criptografia, o ataque passivo acima quase sempre não é suficiente em termos
de capturar capacidades adversárias do mundo real, uma vez que sistemas reais quase sempre fornecem o
vetores de ataque adicionais do atacante. Assim, duas outras capacidades de ataque (cada vez mais fortes)
são geralmente considerados. Estes são um Ataque de Texto Simples Escolhido (ou capacidade CPA ), em que
www.cybok.org
o adversário recebe acesso a um oráculo de criptografia para criptografar mensagens arbitrárias de seu
escolha, e um Ataque de Texto Cifrado Escolhido (ou capacidade CCA ), em que o adversário tem ambos
um oráculo de criptografia e descriptografia. No caso de um esquema de chave pública, o adversário sempre
tem acesso a um oráculo de criptografia porque pode criptografar textos simples para si mesmo usando o público
chave, portanto, neste caso, PASS e CPA são equivalentes. No caso de um recurso CCA , restringimos
∗
o oráculo de descriptografia para que o adversário não lhe peça o desafio texto cifrado c ;
caso contrário, ele pode ganhar trivialmente o jogo da segurança. Portanto, a vantagem de um IND- adversário CCA
em relação a um esquema de criptografia de chave pública seria definido como a terceira definição na Figura ..
Outras definições de segurança são possíveis para criptografia (como Real ou Random), mas as anteriores
são os principais.
OW- PASS De nição:
Adv OW-PASS (A, t) = Pr [ ∗← M, r ← R,

k ← KeyGen (), m
1
c ∗ ← Enc (m, k; r), m ← A (c ∗ ): m = m ∗] - .
|M|
∗
Lê-se a declaração de probabilidade como sendo a probabilidade de que m = m , dado que m e
m ∗ são produzidos pela primeira amostragem k do algoritmo KeyGen (), em seguida, amostragem m ∗ e r do
∗ ∗
espaços M e R aleatoriamente, determinando então c chamando Enc (m, k; r) e finalmente passando c para
o Adversário A, e recebendo m em troca.
IND- Definição de criptografia de chave simétrica PASS :
[
Adv IND − PASS (A, t) = Pr k ← KeyGen (), b ← {0,1}, m 0 , m 1 , estado ← A 1 (),
r ← R, c ∗← Enc (m b , k; r), b ← A 2 (c ∗
, estado): b = b ] - 1.
2
IND- Definição de criptografia de chave pública CCA :
Adv IND-CCA (A, t) = Pr [ (pk, sk) ← KeyGen (), b ← {0,1}, m 0 , m 1 , estado ← A

Dez (·, sk)
(pk),
1
r ← R, c ∗← Enc (m b , pk; r), b ← A Dez (·, sk) ∗

(c , estado): b = b ] - 1.
2
2
UF- Definição de segurança da assinatura CMA :
Adv UF-CMA (A, t) = Pr [ (pk, sk) ← KeyGen (), (m, σ) ← Sinal A (·, sk) (pk): Verifique (m, σ, pk) = verdadeiro ].
IND- Definição de segurança CCA KEM :
Adv IND-CCA (A, t) = Pr [ (pk, sk) ← KEMKeyGen (), b ← {0,1}, k 0 ← K, r ← R,

KEMDec (·, sk) ] -1
k 1 , c ∗ ← KEMEnc (pk; r), b ← A 2 (c ∗ , k b ): b = b 2.
Figura . : Definições técnicas de segurança
Para MACs (resp. esquemas de assinatura digital), o objetivo de segurança padrão é chegar a um
par de mensagem / tag (resp. mensagem / assinatura) que passa no algoritmo de verificação,
Criptografia KA | Outubro Página 6
www.cybok.org
chamado Universal Forgery (ou UF)) ataque. Não fazemos suposições sobre se a mensagem
tem algum significado, de fato, o invasor vence se ele for capaz de criar uma assinatura em qualquer string de bits.
Se o adversário não receber oráculos, é dito que ele está montando um ataque passivo, enquanto
se o adversário receber uma geração de tag (oráculo de assinatura resp.), diz-se que ele está executando um
Ataque de mensagem escolhida (CMA) Neste último caso, a falsificação final não deve ser uma das
saídas do oráculo fornecido. No caso de segurança MAC , também se pode dar ao adversário
acesso a um oráculo de verificação de tags. No entanto, para MAC determinísticos isso está implícito no
Capacidade CMA e, portanto, é geralmente descartada, uma vez que a verificação envolve apenas a recalculação
o MAC.
Novamente, definimos uma vantagem e exigimos que ela seja insignificante no parâmetro de segurança. Para
assinaturas digitais a vantagem para a UF- O jogo CMA é dado pela quarta equação em
Figura ..
.. Problemas difíceis
Conforme explicado acima, as provas de segurança são sempre relativas a alguns problemas difíceis. Esta dificil
problemas são frequentemente chamados de primitivas criptográficas , uma vez que são o menor objeto atômico
a partir do qual esquemas criptográficos e protocolos podem ser construídos. Essas primitivas criptográficas
vêm em dois modos: ou são definições de funções teóricas da complexidade chave, ou
são problemas matemáticos difíceis.
No primeiro caso, pode-se considerar uma função F k (·): D - → C selecionada a partir de uma função
família {F k } e indexado por algum índice k (considerado como uma chave de comprimento variável). Um pode
em seguida, pergunte se a função selecionada é indistinguível (por um polinômio probabilístico
algoritmo de tempo A que tem acesso oráculo à função) a partir de uma função aleatória uniforme
de D a C. Se tal suposição for válida, então dizemos que a família de funções define um (chaveado)
Função pseudo-aleatória (PRF) No caso em que o domínio D é igual ao co-domínio C
podemos perguntar se a função é indistinguível de uma permutação escolhida aleatoriamente,
nesse caso, dizemos que a família define uma permutação Pseudo-Aleatória (com chave) (PRP)
128
No caso de uma cifra de bloco, como AES (veja mais tarde), onde se tem C = D = {0,1} , isso é
uma suposição básica de que a família de funções AES (indexada pela chave k) é um Pseudo-Random
Permutação.
No caso de problemas matemáticos difíceis, temos uma formulação semelhante, mas as definições
são geralmente mais intuitivos. Por exemplo, pode-se perguntar se um determinado módulo RSA
N = p · q pode ser fatorado em seus componentes primos p e q, o chamado problema de fatoração.
O grupo RSA Z / NZ de nes um grupo abeliano nito de ordem desconhecida (a ordem é conhecida
para a pessoa que criou N), encontrar a ordem desse grupo é equivalente a fatorar N.
A função RSA x - → x Acredita-se que e (mod N) seja difícil de inverter, levando ao chamado
, encontrando x tal que x e = y (mod N). Isso é conhecido
∗
RSA- problema de conversão de, dado y ∈ (Z / NZ)
que a função pode ser facilmente invertida se o módulo N pode ser fatorado, mas não se sabe se
inverter a função implica que N pode ser fatorado. Portanto, temos uma situação em que um problema
(fatoração) parece ser mais difícil de resolver do que outro problema (o problema RSA ). Contudo,
na prática, assumimos que ambos os problemas são difíceis, dados os parâmetros escolhidos apropriadamente.
Detalhes sobre o melhor método para fatorar grandes números, a chamada peneira de campo numérico, podem ser
encontrado em [ 8 ]
Em grupos abelianos finitos de ordem conhecida (geralmente assumida como primos), um pode definir outro
x
problemas. O problema de inverter a função x - → g , é conhecido como o Logaritmo Discreto
x y x·y
Problema (DLP) O problema de, dado g eg , determinando g é conhecido como o Dif e–
www.cybok.org
x, gy, gz)
Problema Hellman (DHP) O problema de distinguir entre triplas da forma (g
e (g x , g y , g x · y ) para x, y, z aleatório é conhecido como o Dif de Decisão e – Hellman (DDH) problema.
Quando escrito aditivamente em um grupo de curvas elípticas, uma tripla DDH tem a forma ([x] · P, [y] · P, [z] · P).
De um modo geral, os problemas matemáticos difíceis são usados para estabelecer a segurança de
primitivas de chave pública. Um grande problema é que os problemas acima (Factoring, RSA-problema,
DLP , DHP , DDH), nos quais baseamos todos os nossos principais algoritmos de chave pública existentes, são fáceis
facilmente resolvido por computadores quânticos de grande escala. Isso levou os designers a tentar construir cripto-
esquemas gráficos em cima de primitivas matemáticas que não parecem ser capazes de ser
quebrado por um computador quântico. Exemplos de tais problemas são o problema de
ing o vetor mais curto em uma rede de alta dimensão, o chamado Problema do Vetor Mais Curto
(SVP), e o problema de determinar o vetor de rede mais próximo de um vetor não de rede, o
chamado Problema de Vetor Mais Próximo (CVP) Os melhores algoritmos para resolver esses problemas difíceis
são algoritmos de redução de rede, um bom levantamento desses algoritmos e aplicações pode ser
encontrado em [ 8 ] Os problemas de SVP e CVP , e outros, dão origem a uma área totalmente nova chamada
Criptografia Pós-Quântica (PQC)
Exemplo: Colocando as ideias acima juntas, pode-se encontrar afirmações como: O

esquema de criptografia de chave pública XYZ é IND- CCA seguro assumindo o RSA-problema é difícil e
AES é um PRP. Esta declaração nos diz que qualquer ataque contra o esquema XYZ deve ser
contra alguma fraqueza na implementação, ou deve vir de algum ataque não capturado
no IND- modelo CCA , ou deve vir da resolução do RSA-problema, ou deve vir de
mostrando que AES não é um PRP.
.. Suposições de configuração
Alguns protocolos criptográficos requerem algumas suposições de configuração. Estas são suposições
sobre o meio ambiente, ou alguns dados, que precisam ser satisfeitos antes que o protocolo possa
ser considerado seguro. Essas suposições vêm em uma variedade de avours. Por exemplo, um
O pressuposto de configuração comum é que existe uma chamada infraestrutura de chave pública (PKI),
o que significa que temos uma ligação confiável entre as chaves públicas das entidades e suas identidades.
Outra suposição de configuração é a existência de uma string (chamada de String de Referência Comum
ou CRS) disponível para todas as partes, e que foi configurado de forma confiável, ou seja, de forma que
nenhuma parte tem o controle desta string.
Outras suposições de configuração podem ser físicas, por exemplo, que os algoritmos têm acesso
boas fontes de números aleatórios, ou que seus funcionamentos internos não são suscetíveis a um
atacante invasivo, ou seja, eles são imunes a ataques de canal lateral.
.. Simulação e segurança de UC
As definições de segurança acima fazem uso extensivo da noção de indistinguibilidade
entre duas execuções. Na verdade, muitas das técnicas de prova usadas nas provas de segurança
construir simulações de operações criptográficas. Uma simulação é uma execução que está
distinguível da execução real, mas não envolve (normalmente) o uso de qualquer chave
material. Outro método para produzir modelos de segurança é o chamado paradigma de simulação ,
onde pedimos que um adversário não possa diferenciar a simulação de uma execução real (a menos que eles
pode resolver alguns problemas difíceis). Este paradigma é frequentemente usado para estabelecer resultados de segurança para
protocolos criptográficos mais complexos.
www.cybok.org
Um problema com as definições baseadas em jogo / vantagem definidas anteriormente e as simulações

de nições é que se aplicam apenas a execuções autônomas, ou seja, execuções de um
instância do protocolo em um ambiente. Para lidar com execuções arbitrariamente complexas
e composição de protocolos criptográficos existe uma extensão do paradigma de simulação
chamado de Composibilidade Universal (UC) estrutura.
. INFORMAÇÕES TEORICAMENTE SEGURAS

CONSTRUÇÕES
[ , c] [ 8, c]
Embora grande parte da criptografia se concentre na proteção contra adversários que são modelados
como máquinas de Turing de tempo polinomial probabilísticas, algumas construções são conhecidas por fornecer
segurança contra adversários ilimitados. Estes são chamados de informações teoricamente seguras
construções. Uma boa introdução ao lado teórico da informação da criptografia pode ser
encontrado em [ 86]
.. Bloco Único
O primitivo mais famoso que fornece segurança teórica da informação é o bloco de uso único.
t t
Aqui, uma mensagem binária m ∈ {0,1} é criptografado com uma chave k ∈ {0,1} uniformemente em
aleatório e, em seguida, produzindo o texto cifrado c = m⊕k. Em termos de nossos modelos de segurança anteriores,
este é um IND- Esquema PASS mesmo na presença de um adversário sem limites computacionalmente.
No entanto, o fato de não fornecer IND- A segurança do CPA é óbvia, pois a criptografia
esquema é determinístico. O esquema é inadequado em quase todos os ambientes modernos como
requer-se uma chave, desde que a mensagem e a chave só possam ser usadas uma vez; daí o
nome do teclado de uso único.
.. Compartilhamento secreto
Os esquemas de compartilhamento de segredos permitem que um segredo seja compartilhado entre um conjunto de partes, de modo que apenas um
determinado subconjunto pode reconstruir o segredo reunindo suas partes. A pessoa que
constrói o compartilhamento do segredo é chamado de negociante. O conjunto de partes que podem recon-
estrutura o segredo são chamados de conjuntos qualificados, com o conjunto de todos os conjuntos qualificados sendo chamados de
estrutura de acesso .
Qualquer conjunto que não seja qualificado é considerado um conjunto não qualificado, e o conjunto de todos os conjuntos não qualificados
é chamada de estrutura adversária . A estrutura de acesso é geralmente considerada monótona, em
que se as partes em A podem reconstruir o segredo, então qualquer superconjunto de A.
Muitos esquemas de compartilhamento de segredos forneceram segurança teórica da informação, em que qualquer conjunto de par-
laços que não são qualificados não podem obter nenhuma informação sobre o segredo compartilhado, mesmo que tenham
poder de computação ilimitado.
Uma forma especial de estrutura de acesso é a chamada estrutura de limite . Aqui, permitimos qualquer sub-
conjunto de t + 1 partes para reconstruir o segredo, enquanto qualquer subconjunto de t partes é incapaz de aprender
nada. O valor t está sendo chamado de limite. Um exemplo de construção de um limiar
esquema de compartilhamento de segredo para um s secreto em um campo F p , com n> p por meio do compartilhamento de segredo de Shamir
esquema.

www.cybok.org
No compartilhamento de segredo Shamir, seleciona-se um polinômio f (X) ∈ F p [X] de grau t com constante
coef cientes s, o valor que se deseja compartilhar. Os valores das ações são então dados por s i = f (i)
(mod p), para i = 1, ..., n, com o partido i sendo dado s i . Reconstrução do valor s de um
subconjunto de mais de t valores s i pode ser feito usando interpolação de Lagrange.
Devido a uma equivalência com os códigos de correção de erro Reed-Solomon, se t <n / 2, então no recebimento
de n valores de ações s i , uma parte em reconstrução pode detectar se alguma parte deu a ela uma participação inválida.
Além disso, se t <n / 3, a parte reconstrutora pode corrigir todos os compartilhamentos inválidos.
O compartilhamento de segredo replicado é um segundo esquema popular que suporta qualquer acesso monótono
estrutura. Dada uma fórmula booleana que define quem deve ter acesso ao segredo, pode-se
de ne um esquema de compartilhamento secreto a partir desta fórmula, substituindo todas as ocorrências de AND por
+ e todas as ocorrências de OR com um novo segredo. Por exemplo, dadas as fórmulas
(P 1 E P 2 ) OU (P 2 E P 3 ),
pode-se compartilhar um segredo s escrevendo-o como s = s 1 + s 2 = s 2 + s 3 e, em seguida, dando à parte P 1 o valor

s 1 , parte P 2 o par de valores s 2 es 2 , e parte P 3 o valor s 3 . O compartilhamento de segredo replicado é
o esquema obtido desta forma ao colocar as fórmulas booleanas em Normal Conjuntivo
Forma.
É importante em aplicativos de compartilhamento de segredos, especialmente para proteger a computação multipartidária

(consulte a Seção .) é se a estrutura adversária é Q 2 ou Q 3 . Uma estrutura adversária é
dito ser Q i se nenhum conjunto de conjuntos não qualificados unir o conjunto completo de jogadores. Segredo de Shamir
o esquema de compartilhamento é Q 2 se t <n / 2 e Q 3 quando t <n / 3. A detecção de erros (resp. Correção)
propriedades do esquema de compartilhamento de segredo de Shamir mencionado acima seguem para qualquer Q 2
(resp. Q 3 ) estrutura do adversário.
. PRIMITIVOS SIMÉTRICOS
[ , c –c6] [ 8, c –c]
Primitivas simétricas são um componente chave de muitas construções criptográficas. Existem

três dessas primitivas básicas: cifras de bloco, cifras de fluxo e funções hash. Teoricamente,
todas são funções codificadas, ou seja, elas tomam como entrada uma chave secreta, enquanto na prática uma frequentemente
siders hash funções que não têm chave. Em um nível básico, todas são funções f: K × D - → C
onde K é o espaço-chave, D é o domínio (que tem um tamanho nito xo para cifras de bloco e
cifras de fluxo).
Conforme explicado na introdução, não iremos discutir neste relatório a criptoanálise de sym-
primitivas métricas, examinaremos apenas construções seguras. No entanto, os dois principais
técnicas para ataques neste espaço são chamadas de criptanálise diferencial e linear. O
leitor interessado pode consultar o excelente tutorial de Howard Heys [ 8 ] nesses tópicos,
ou o livro [ 88]
www.cybok.org
.. Cifras de bloco
b - → {0,1} b
Uma cifra de bloco é uma função f: K × {0,1} , onde b é o tamanho do bloco. Apesar de seu
os nomes dessas funções não devem ser considerados um algoritmo de criptografia. É, no entanto,
um bloco de construção em muitos algoritmos de criptografia. O design de cifras de bloco é uma área profunda
de assunto em criptografia, análogo ao projeto de funções unilaterais teóricas dos números.
Muito parecido com as funções unilaterais teóricas dos números, as construções criptográficas são provadas se-
cura em relação a um problema difícil associado que uma determinada cifra de bloco supostamente satisfaz.
b
Para uma chave xed, presume-se que uma cifra de bloco atue como uma permutação no conjunto {0,1} , ou seja, para
uma chave xa k, o mapa f k : {0,1} b - → {0,1} b é uma bijeção. Também é assumido que inverter
esta permutação também é fácil (se a chave for conhecida). Uma cifra de bloco é considerada segura se
b
nenhum adversário de tempo polinomial, dado ao oráculo acesso a uma permutação em {0,1} , posso dizer o
diferença entre receber uma permutação uniformemente aleatória ou a função f k para alguns
chave oculta x fixada k, ou seja, a cifra de bloco é um PRP. Em alguns aplicativos, exigimos apenas que
a cifra de bloco é uma função, ou seja, não uma bijeção. Nesse caso, exigimos que a cifra de bloco seja
um PRF.
Nunca se pode provar que uma cifra de bloco é um PRP, então os critérios de design são geralmente uma tarefa
de construir uma construção matemática que resiste a todos os ataques conhecidos. O principal tal em-
tachas às quais se resiste são chamadas de criptoanálise linear , onde se aproxima as não lineares
componentes dentro da cifra de bloco por funções lineares e criptoanálise diferencial , onde
olha-se como duas saídas variam em mensagens de entrada relacionadas, por exemplo, aplica-se f k a vários
m entradas 0 e m 1 , em que m 0 ⊕ m 1 = Δ um valor fixo.
O design de uma cifra de bloco é feito de vários componentes mais simples. Existem
geralmente camadas de permutações xas simples e camadas de pesquisas de tabela. Estas pesquisas de tabela
são chamados de S-boxes, onde o S significa substituições. Existem duas técnicas principais para
cifras de bloco de design. Ambos repetem uma operação simples (chamada de rodada) várias vezes.
Cada rodada consiste em uma combinação de permutações e substituições e uma adição chave.
A chave principal é primeiro expandida em chaves redondas, com cada rodada tendo uma chave redonda diferente.
Na primeira metodologia, chamada de Rede Feistel , as S-Boxes permitidas em cada rodada podem
ser não injetivo, ou seja, não invertível. Apesar disso, as construções Feistel ainda mantêm o
invertibilidade geral da construção da cifra de bloco. O segundo método é uma substituição
Projeto de rede de permutação em que cada rodada consiste em uma adição de chave redonda, seguida
por uma permutação xa, seguida pela aplicação de S-box bijetivas. Em geral, o Feistel
a construção requer mais rodadas do que a construção da rede de Substituição-Permutação.
O DES (Padrão de criptografia de dados) cifra de bloco (com uma chave original de 56 bits e bloco
tamanho de b = 64) é uma construção Feistel. O algoritmo DES data de s, e o
o tamanho da chave agora é considerado muito pequeno para qualquer aplicativo. No entanto, pode-se estender DES
em uma cifra de bloco de chave de 112 ou 168 bits para construir um algoritmo chamado DES ou DES. O uso
de DES ou DES ainda é considerado seguro, embora em algumas aplicações, o tamanho do bloco de
64 bits é considerado inseguro para uso no mundo real.
O AES (Padrão de criptografia avançado) a cifra de bloco é a substituição moderna do DES ,

e é uma cifra de bloco com uma chave de 128, 192 ou 256 bits e com um tamanho de bloco de b = 128 bits. O
O algoritmo AES tem suporte de hardware em muitos microprocessadores, fazendo operações usando
AES muito mais rápido do que usar outras primitivas criptográficas. Leitores que desejam entender
mais sobre o design da cifra de bloco AES referido a [8 ]

www.cybok.org
.. Cifras de transmissão
Uma cifra de fluxo é aquela que produz uma sequência de comprimento arbitrário de bits de saída, ou seja, o co-
domínio da função é essencialmente ilimitado. As cifras de fluxo podem ser construídas a partir de
cifras de bloco, usando uma cifra de bloco no modo de contador (consulte a seção . .) No entanto, o
a cifra de fluxo é geralmente reservada para construções que são de propósito especial e para as quais
a complexidade do hardware é muito reduzida.
Claramente, uma cifra de fluxo não pode ser uma permutação, mas exigimos que nenhum anúncio de tempo polinomial
versary pode distinguir o acesso do oracle à cifra de stream do acesso do oracle a um
função aleatória com co-domínio infinito. O design das cifras de fluxo é mais ad-hoc do que
o do design das cifras de bloco. Além disso, há uma adoção menos difundida fora
áreas de aplicação específicas. O leitor interessado é encaminhado ao resultado do eStream
competição por detalhes de projetos de cifras de fluxo ad-hoc específicos [ ]
.. Funções Hash
As funções de hash são muito parecidas com cifras de bloco, pois devem atuar como PRFs. No entanto, a entrada
domínio pode ser ilimitado. Uma vez que um PRF precisa ser codificado para fazer algum sentido teórico
tratos, uma função hash é geralmente um objeto com chave. Na prática, muitas vezes exigimos um
objeto, caso em que se considera a função hash real usada para ter um implícito embutido
tecla xa e já foram escolhidos de uma família de funções.
Ao considerar uma função hash xed, geralmente se está interessado na intratabilidade de

verificando a função hash (a propriedade unilateral), a intratabilidade de encontrar duas entradas com
a mesma saída (a propriedade de resistência à colisão), ou a intratabilidade de encontrar, dado um
par de entrada / saída, uma nova entrada que dá a mesma saída (a resistência da segunda pré-imagem
propriedade).
. . . Construção Merkle-Damgård
As funções de hash iniciais eram baseadas na construção Merkle-Damgård. A família de tal

funções (MD, MD, SHA-, SHA-) têm uma série de problemas, com apenas SHA- sendo agora
considerado seguro. A construção Merkle-Damgård assume uma função de compressão f (x, y)
tomando duas entradas x, y de comprimento xed com o comprimento de saída de x. Isso é usado para derivar uma função
que permite entradas de comprimento arbitrário dividindo primeiro uma mensagem m em t blocos m 1 , ..., m t
cada um de comprimento | y | e, em seguida, aplicando
h i = f (h i − 1 , m i ) para i = 1, ..., t,
onde a saída é h t e h 0 é algum valor inicial, que pode ser pensado como uma chave xa para
a função hash.
A metodologia acima requer um método para preencher o bloco de entrada inicial para codificar o comprimento,
e sofre de uma série de problemas práticos. Por exemplo, há comprimento óbvio ex-
ataques de tensão (ou seja, um hash em uma mensagem m pode ser estendido para um hash em mm sem
conhecer a totalidade de m) que tornam o uso de tais funções hash problemático em alguns
formulários. Por exemplo, em HMAC (ver Seção . .), um requer duas aplicações de
a função hash para evitar tais ataques.
www.cybok.org
. . . Construções de esponja
Uma abordagem mais moderna para o projeto de função hash é criar uma chamada construção de esponja
ção Esta é a filosofia de design por trás do SHA- (também conhecido como Keccak). Uma esponja é uma função que
opera em duas fases. Na primeira fase, os dados são inseridos no estado de esponja e, no
segunda fase, espreme-se os dados da esponja.
|r|+|c|
O estado da esponja é um par (r, c) ∈ {0,1} , onde o comprimento de r denota a entrada / saída
taxa ec é uma variável que mantém um estado interno oculto de qualquer invasor. O tamanho de c é
diretamente relacionado com a segurança da construção. Em cada rodada, uma permutação pública p é
aplicado ao estado (r, c).
Na fase de entrada da esponja, os dados de entrada m, após preenchimento adequado, são divididos em t
blocos m 1 , ..., m t do tamanho | r |. Em seguida, o estado é atualizado por meio do mapeamento
(r i , c i ) = p (r i − 1 ⊕ m i , c i − 1 ) para i = 1, ..., t,
onde r 0 e c 0 são inicializados para serem cadeias de bits totalmente zero. Depois que os dados são inseridos no
esponja, pode-se obter s blocos de | r | -bit saídas o 1 , ..., o s por computação
(o i , c i ) = p (o i − 1 , c i − 1 ) para i = 1, ..., s,
onde o 0 = r t e c 0 = c t . Assim, toda a função é dada por
H (m 1 , ..., m t ) = o 1 , ..., o s .
Mais detalhes sobre as construções de esponja e os outros objetos que se podem construir a partir
eles, e o design SHA em particular, podem ser encontrados na página da web do Keccak [ ]
. . . Modelo Random Oracle
Muitas construções criptográficas só são seguras se assumirmos que a função hash

usado na construção se comporta "como um oráculo aleatório". Acredita-se que tais construções
estar seguro no mundo real, mas teoricamente, eles são menos agradáveis. Pode-se pensar em uma prova
de segurança no modelo oráculo aleatório como uma prova em que permitimos que o invasor tenha
seus poderes usuais; no entanto, quando eles (ou qualquer um dos parceiros que estão atacando) ligam para o
função hash subjacente, a chamada é feita para uma parte externa por meio de uma chamada oracle. Este externo
a parte, então, simplesmente reproduz um valor aleatório, ou seja, não usa nenhum algoritmo para gerar
os valores aleatórios. Tudo o que é necessário é que se a entrada for dada ao oráculo duas vezes, então o
a mesma saída é sempre retornada.
Isso claramente não captura ataques em que o adversário faz uso inteligente de exatamente
como a função hash é definida etc., e como essa definição interage com outros aspectos
do esquema / protocolo em análise. No entanto, esta metodologia de modelagem provou
notavelmente bom em permitir que os criptógrafos projetem esquemas que sejam seguros na vida real
mundo.

www.cybok.org
. ENCRIPTAÇÃO SIMÉTRICA E AUTENTICAÇÃO

[ , c –c] [ 8, c –c]
Uma cifra de bloco, como AES ou DES, não fornece uma forma eficaz de criptografia de dados
ou autenticação de dados / entidade por conta própria. Para fornecer essa construção criptográfica simétrica
ções, é necessário um esquema, que pega o primitivo e, em seguida, utiliza isso de uma forma mais com-
construção plex para fornecer o serviço criptográfico necessário. No contexto de simétrico
criptografia, eles são fornecidos por modos de operação. No caso de autenticação, é pro
fornecido por uma construção MAC . Além disso, as cifras de bloco são frequentemente usadas para obter alguma entropia
e, em seguida, expanda ou reduza isso em um fluxo ou chave pseudo-aleatório; um denominado XOF (ou
Função de saída extensível) ou KDF (ou função de derivação de chave) Mais detalhes no bloco ci-
construções baseadas em pher podem ser encontradas em [ ], considerando que mais detalhes sobre Sponger / Keccak
construções baseadas podem ser encontradas em [ ]
P0 P1 P2 Pn
k E k E k E ······ k E
C0 C1 C2 Cn
Figura . : Criptografia em modo CBC (todas as figuras são produzidas usando TikZ para criptógrafos
https: // www . iacr . org / autores / tikz /)
.. Modos de operação
Historicamente, existem quatro modos tradicionais de operação para transformar uma cifra de bloco em um
Algoritmo de criptografia. Esses eram os modos ECB , CBC , OFB e CFB . Nos últimos anos, o CTR
modo também foi adicionado a esta lista. Entre estes, apenas o modo CBC (dado na Figura .)
e modo CTR (fornecido na Figura .) são amplamente usados nos sistemas atuais. Nessas figuras,
a cifra de bloco é representada pela função Enc
IV, Ctr + 0 IV, Ctr + 1 IV, Ctr + 2 IV, Ctr + n
k E k E k E ······ k E
P0 P1 P2 Pn
C0 C1 C2 Cn
Figura . : Criptografia do modo CTR
Por conta própria, no entanto, os modos CBC e CTR fornecem apenas IND- Segurança CPA . Isso é muito mais fraco
do que o 'padrão ouro' de segurança, ou seja, IND- CCA (discutido anteriormente). Assim, o sistema moderno
tems usam modos que fornecem este nível de segurança, permitindo também dados adicionais (como
www.cybok.org
identificadores de sessão) a serem marcados no algoritmo de criptografia. Esses algoritmos são chamados
Métodos AEAD (ou criptografia autenticada com dados associados) Em tais algoritmos, o
A primitiva de criptografia toma como entrada uma mensagem a ser criptografada, além de alguns dados associados.
Para descriptografar, o texto cifrado é fornecido, junto com os dados associados. A descriptografia só funcionará
se a chave está correta e os dados associados são os que foram inseridos durante a criptografia
processar.
O método mais simples para obter um algoritmo AEAD é tomar um IND- Modo de operação CPA
como CBC ou CTRe, em seguida, aplicar um MAC ao texto cifrado e aos dados a serem autenticados
citado, dando-nos o chamado paradigma Encrypt-then-MAC. Assim, para criptografar m com autenticação
dados atribuídos a, aplica-se a transformação
c 1 ← Enc (m, k 1 ; r), c 2 ← MAC (c 1 a, k 2 ; r),
sendo o texto cifrado (c 1 , c 2 ). Em tal construção, é importante que o MAC seja aplicado
ao texto cifrado em oposição à mensagem.
Contador 0 incr Contador 1 incr Contador 2
Ek Ek Ek
Texto simples 1 Texto simples 2
Texto cifrado 1 Texto cifrado 2
Dados de autenticação
mult1 H mult H
mult H
len (A) || len (C)
mult H
Tag de autenticação
Figura . : Criptografia do modo GCM
Um grande problema com a construção Encrypt-then-MAC é que é necessário passar os dados para
a cifra de bloco subjacente duas vezes, com duas chaves diferentes. Assim, novas construções de AEAD
esquemas que são mais eficientes. O mais amplamente implantado deles é
GCM (ou modo de contador Galois), consulte a Figura ., que é amplamente implantado devido ao suporte
para isso em processadores modernos.
www.cybok.org
Uma vez AEAD construções, de outro modo conhecida como DEM, pode ser obtido simplesmente fazendo
o determinístico AEAD randomizado por xing IV a zero.
.. Códigos de autenticação de mensagem

Os códigos de autenticação de mensagens podem ser produzidos quase da mesma maneira que os modos de
Operação. Em particular, a função MAC padrão é utilizar o modo CBC com um zero4, e
em seguida, para produzir o bloco de texto cifrado final como a tag MAC , produzindo assim um MAC determinístico
função. Por si só, mesmo com preenchimento adequado da mensagem, isso só é seguro quando
usado com mensagens de comprimento fixo. Assim, muitas vezes, uma forma de pós-processamento da saída MAC
tag é executada. Por exemplo, o bloco de texto cifrado CBC final é então passado por outro
aplicação da cifra de bloco subjacente, mas usando uma chave diferente.
O método GCM AEAD da seção anterior pode ser considerado como um método Encrypt-then-MAC
construção, com o IND- A criptografia CPA sendo o modo CTR , e a função MAC sendo um
função chamada GMAC. Embora isso raramente seja usado sozinho como uma função MAC .
As funções de hash também podem ser usadas para construir funções MAC . O mais famoso deles
é HMAC, que é uma construção projetada para uso com função hash baseada em Merkle-Damgård
ções. Como as funções de hash baseadas em Merkle-Damgård sofrem de ataques de extensão de comprimento, o
A função HMAC requer dois aplicativos da função hash subjacente. A construção
produz uma função MAC determinística dada por
HMAC (m, k) = H ((k ⊕ opad) H ((k ⊕ ipad) m)),
onde opad é a string 0x5c5c ... 5c5c e ipad é a string 0x3636 ... 3636.
Como o HMAC é projetado especificamente para uso com funções hash baseadas em Merkle-Damgård, ele
não faz sentido usar esta construção ao usar uma função hash baseada em esponja, como
SHA-. A função MAC padronizada derivada de SHA- é chamada KMAC (ou Keccak MAC)
Nesta função, a construção da esponja é usada para inserir uma mensagem adequadamente preenchida, então
a saída de MAC necessária é considerada a saída comprimida da esponja; Considerando que tantos
os bits compactados são necessários para a saída do MAC .
.. Derivação de teclas e funções de saída extensíveis

A definição de segurança de um MAC determinístico é essencialmente equivalente à definição de que
a saída da função MAC é indistinguível de uma string aleatória, se uma não
conheça a chave secreta subjacente. Como tal, as funções MAC podem ser usadas para outras aplicações criptográficas
operações. Por exemplo, em muitas situações, deve-se derivar uma longa (ou curta) string de ran-
bits dom, dados alguns bits de entrada aleatórios. Essas funções são chamadas KDFs ou XOFs (para chave
Função de derivação e função de saída extensível) Normalmente, usa-se o termo KDF quando
a saída tem um comprimento fixo e XOF quando a saída pode ter um comprimento arbitrário. Mas
as construções são, normalmente, essencialmente as mesmas em ambos os casos.
Essas funções podem ter uma string de entrada de comprimento arbitrário e produzir outro comprimento arbitrário
string de saída que é pseudo-aleatória. Existem três construções principais para tais funções;
um baseado em cifras de bloco, um nas funções de hash Merkle-Damgård e um baseado em
funções hash baseadas em esponja.
As construções baseadas em uma cifra de bloco são, em sua essência, usando CBC- MAC, com uma chave zero
para compactar a string de entrada em uma chave criptográfica e, em seguida, usar o modo de operação CTR
www.cybok.org
sob esta chave para produzir a string de saída. Portanto, a construção é essencialmente dada por
k ← CBC-MAC (m, 0), o 1 ← Enc (1, k), o 2 ← Enc (2, k), ...
onde Enc é a cifra de bloco subjacente.
As construções baseadas na função hash Merkle-Damgård usam uma estrutura semelhante, mas
usando um aplicativo de função hash por bloco de saída, em um método semelhante ao seguinte
o 1 ← H (m1), o 2 ← H (m2), ...
Devido à forma como as funções de hash Merkle-Damgård são construídas, a construção acima (para
grande o suficiente m) pode ser feito de forma mais eficiente do que simplesmente aplicar H tantas vezes quanto o
número de blocos de saída ditará.
Como se pode imaginar, as funções baseadas em Keccak são mais simples - basta inserir o naipe-
mensagem habilmente acolchoada na esponja e, em seguida, espreme tantos bits de saída quanto re-
exigido.
KDF especials também podem ser de nidos, tomando como entrada uma entrada de baixa entropia, como uma passagem
palavra ou PINe produzir uma chave para uso em um algoritmo simétrico. Esta chave baseada em senha
funções de derivação são projetadas para ser computacionalmente caras, de modo a mitigar prob-
lems associados ao ataque de força bruta da entrada de baixa entropia subjacente.
.. Merkle-Trees e Blockchains
Uma aplicação de funções de hash criptográficas que recentemente ganhou destaque é
o de usar Merkle-Trees e, por extensão, blockchains. Uma Merkle-Tree, ou hash-tree, é uma árvore
em que cada nó folha contém dados e cada nó interno é o hash de seus nós filhos.
O nó raiz é então publicado publicamente. Árvores Merkle permitem a demonstração eficiente de que um
o nó folha está contido na árvore, em que simplesmente apresenta o caminho dos hashes da folha
até o nó raiz. Assim, a verificação é logarítmica no número de nós folha. Árvores Merkle
pode verificar qualquer forma de dados armazenados e têm sido usados em vários protocolos, como versão
sistemas de controle, como Git, e sistemas de backup.
Uma cadeia de blocos é uma estrutura semelhante, mas agora os itens de dados estão alinhados em uma cadeia, e cada
o nó faz o hash do item de dados e de um link para o item anterior na cadeia. Cadeias de blocos
são usados em criptomoedas como Bitcoin , mas têm uma aplicação mais ampla. A proposta-chave
o que um blockchain fornece é que (assumindo que o atual chefe da cadeia é autenticado
e confiáveis) os dados fornecem um livro-razão aberto distribuído no qual os itens de dados anteriores são
imutável, e a ordem dos itens de dados é preservada.
.6 ENCRIPTAÇÃO DE CHAVE PÚBLICA

[ , c] [ 8, c –c]
Conforme explicado acima, a criptografia de chave pública envolve duas chaves, uma pública pk e uma privada
um sk. O algoritmo de criptografia usa a chave pública, enquanto o algoritmo de descriptografia usa a
chave secreta. Grande parte da criptografia de chave pública é baseada em construções teóricas de números, portanto
[ 8 ] fornece uma boa cobertura de muitas coisas nesta seção. O requisito de segurança padrão para
criptografia de chave pública é que o esquema deve ser IND- CCA. Observe que, uma vez que a criptografia
a chave é pública, temos esse IND- PASS é o mesmo que IND- CPA para criptografia de chave pública
esquema.
www.cybok.org
.6. Filosofia KEM-DEM

Em geral, os esquemas de criptografia de chave pública são ordens de magnitude menos eficientes do que sim-
esquemas de criptografia de chave métrica. Assim, o método usual na utilização de um esquema de chave pública,
quando mensagens grandes precisam ser criptografadas, é por meio de um método híbrido. Esta metodologia híbrida
é chamado de KEM- Filosofia DEM A KEM, que significa Key Encapsulation Mechanism ,
um método de chave pública para transmitir uma chave curta, selecionada aleatoriamente de um conjunto K, para um determinado
destinatário. Considerando que, um DEMou mecanismo de criptografia de dados, é essencialmente o mesmo que um IND-
Esquema de criptografia simétrica CCA , que tem espaço de chave K. Uma vez que um DEM só é usado
uma vez com a mesma chave, podemos realmente usar uma noção mais fraca de IND- criptografia CCA para o
DEM, em que o adversário não tem acesso a um oráculo de criptografia; o que significa o
DEM pode ser determinístico .
Para um KEM, chamamos os mecanismos de criptografia e descriptografia de encapsulamento e decapsu-

ção, respectivamente. É comum que a sintaxe do algoritmo de encapsulamento não leve
entrada, barrar a aleatoriedade e, em seguida, retornar o texto cifrado e a chave que ele encapsula
sulatos. Assim, a sintaxe e correção de um KEM torna-se
(pk, sk) ← KEMKeyGen (), r ← R, (k, c) ← KEMEnc (pk; r), KEMDec (c, sk) = k.
A definição de segurança para um KEM é descrita na última equação da Figura .. Construir

o esquema de criptografia de chave pública híbrida, definimos KeyGen () como sendo igual a KEMKeyGen, então
Enc (m, pk; r) saídas (c 0 , c 1 ) onde
k, c 0 ← KEMEnc (pk; r), c 1 ← DEM (m, k),
com Dec ((c 0 , c 1 ), sk) sendo dado por

-1
k ← KEMDec (c 0 , sk), m ← DEM (c 1 , k).
.6. Construções baseadas em RSA

O esquema de criptografia de chave pública mais simples é o esquema RSA , que se baseia na diferença
culty de fatoração de inteiros. No algoritmo de geração de chave, dois grandes primos p e q são
selecionados e multiplicados juntos para formar N = p · q. Então, um (geralmente pequeno) inteiro e é se-
selecionado que é co-primo a φ (N) = (p - 1) · (q - 1). Finalmente, o inteiro d é encontrado, usando o
algoritmo Euclidiano estendido, tal que d = 1 / e (mod φ (N)). A chave pública está definida para ser
pk = (N, e), enquanto a chave secreta é definida como sk = (N, d). Observe que, dado apenas o pk, encontrar
a chave secreta sk é comprovadamente equivalente a fatorar N.
As chaves públicas / privadas são usadas por meio da função RSA x - → x e (mod N), que tem o in-
d (mod N). Assim, a função RSA é uma permutação de alçapão no grupo

mapa do verso x - → x
(Z / NZ) ∗ . Não se acredita que a inversão do mapa RSA seja equivalente à fatoração, então a inversão
deste mapa é identificado como um problema separado (o problema RSA ). No momento da escrita, um
deve selecionar peq para serem primos de pelo menos 1536 bits de comprimento para obter a segurança adequada.
Existem muitas maneiras históricas de usar a função RSA como um esquema de criptografia de chave pública,
muitos dos quais agora são considerados obsoletos e / ou inseguros. Os dois métodos recomendados
As tecnologias no uso de RSA para criptografia são RSA- OAEP e RSA- KEM; que são ambos IND- CCA
seguro no modelo oráculo aleatório.
OAEPou Preenchimento de criptografia assimétrica otimizado, é um método para usar a função RSA
diretamente como um IND- Algoritmo de criptografia de chave pública CCA . OAEP é parametrizado por dois inteiros

www.cybok.org
k 0 , k 1 ≥ 128 tal que n = log 2 N - k 0 - k 1 ≥ 0. Em seguida, criptografamos mensagens de no máximo n bits

no comprimento da seguinte forma, usando funções hash (que são assumidas como oráculos aleatórios para o
prova de segurança)
G: {0,1} k - → {0,1} n + k
0 1
H: {0,1} n + k - → {0,1} k .
1 0
Em seguida, criptografamos usando a função
c ← ({(m 0 k ) ⊕ G (R)} {R ⊕ H ((m0 k ) ⊕ G (R))}) e

1 1 (mod N)
Onde
•m0 k1 significa m seguido por k 1 bits zero,
• R é uma sequência de bits aleatória de comprimento k 0 ,
• denota concatenação.
RSA- KEM, por outro lado, é um KEM muito mais simples de executar. Para produzir o
chave encapsulada e o texto cifrado, toma-se a entrada aleatória r (que se pensa como um
∗
elemento uniformemente aleatório em (Z / NZ) ) Então o KEM é definido por
c←re (mod N), k ← H (r),
onde H: (Z / NZ) - → K é uma função hash, que modelamos como um oráculo aleatório.
.6. Construções baseadas em curvas elípticas

Criptografia de curva elípticaou ECC, usa o fato de que as curvas elípticas formam um nito abeliano
grupo. Em termos de esquemas de criptografia, o método padrão é usar ECIES (Curva Elíptica
Esquema de criptografia integrado) para definir uma chave pública, KEM que é IND- CCA no aleatório
modelo oracle, assumindo o problema DDH no subgrupo da curva elíptica em uso.
Na prática, isso significa que se seleciona uma curva E (F p ) para a qual existe um ponto P ∈ E (F p )
256
cuja ordem é um primo q> 2 .
∗
Para ECIES, o algoritmo KeyGen é definido como segue. Uma chave secreta sk ← F q é selecionado uni-
forma aleatoriamente, e então a chave pública é definida como Q ← [sk] P. O encapsulamento de chave é muito
semelhante ao RSA- KEM no sentido de que é definido por
r←F∗
q , C ← [r] · P, k ← H ([r] · Q),
onde H: E (F p ) - → K é uma função hash (modelada como um oráculo aleatório). Para decapsular
a chave é recuperada via
k ← H ([sk] C).
Comparado com RSA-based primitivas, ECCprimitivos baseados em são relativamente rápidos e usam menos
largura de banda. Isso ocorre porque, no momento da escrita, pode-se selecionar os parâmetros da curva elíptica
256 128
com p ≈ q ≈ 2 para obter segurança equivalente a um fator de trabalho de 2 operações. Portanto, em
sistemas atuais sistemas baseados em curva elíptica são preferidos em vez de RSAbaseados em.
www.cybok.org
.6. Construções baseadas em treliça
Um grande problema com as primitivas RSA e ECC é que elas não são seguras contra quan-
computadores tum; ou seja, o algoritmo de Shor quebrará os problemas difíceis RSA e ECC
em tempo polinomial. Portanto, a busca é por esquemas de chave pública que resistiriam ao
advento de um computador quântico. O Instituto Nacional de Padrões e Tecnologia (NIST)
está atualmente envolvido em um processo para determinar esquemas potenciais que são pós-quânticos
seguro, veja [ ] para obter mais detalhes sobre isso.
O mais proeminente desses esquemas chamados pós-quânticos são aqueles baseados em probabilidades difíceis.
lems em treliças. Em particular, os esquemas NTRU e uma variedade de esquemas baseados nos
Aprendendo com os erros (LWE) problema, e sua generalização para anéis polinomiais, conhecido como
o anel-Problema LWE . Existem outras propostas baseadas em problemas difíceis na teoria da codificação, em
a dificuldade de calcular isogenias entre curvas elípticas e outros construtos. NIST é
atualmente conduzindo um programa para selecionar potenciais substituições pós-quânticas.
. ASSINATURAS DE CHAVE PÚBLICA

[ , c] [ 8, c 6]
A criptografia de chave pública assume que a chave pública do destinatário é conhecida por estar associada
a entidade física com a qual o remetente deseja se comunicar. Esta ligação de chave pública
com uma entidade é feito por meio de um chamado certificado digital . Um certificado digital é um certificado
declaração de que uma determinada entidade está associada a uma determinada chave pública. Este certificado é emitido
por uma autoridade certificadora e utiliza a segunda construção principal de chave pública; ou seja, um digital
assinatura.
Assim como com algoritmos de criptografia de chave pública, algoritmos de assinatura digital modernos são baseados
no problema RSA ou em uma variante do problema do logaritmo discreto; portanto, o leitor é
também dirigido novamente para [ 8 ] para detalhes mais avançados. Para segurança pós-quântica, há um
número de propostas baseadas em construções treliçadas; mas nenhum ainda foi amplamente aceito
ou implantado no momento em que este documento foi escrito. Novamente para assinaturas PQC nos referimos ao
processo NIST atual [ ]
O esquema de assinatura digital prototípico fornecido em livros-texto é vagamente chamado de RSA- FDH ,
onde FDH significa Full Domain Hash. O algoritmo pega uma mensagem me assina
produzindo
s = H (m) d (mod N).
A verificação é então realizada testando se a seguinte equação é válida
s e = H (m) (mod N).

∗ ∗
Aqui, a função hash é assumida como tendo o domínio {0,1} e co-domínio (Z / NZ) . Esta
esquema vem com uma prova de segurança no modelo oráculo aleatório, mas é quase impossível
∗
para implementar como nenhuma função hash padronizada tem co-domínio todo (Z / NZ) , Desde a
N é muito maior do que a saída de funções hash como SHA-.
t
Todas as funções hash padronizadas geram um valor em {0,1} por algum t, assim o que geralmente é feito
é pegar um valor hash e, em seguida, acrescentá-lo com alguns valores pré-determinados conhecidos e, em seguida,
'assinar' o resultado. Isso constitui a ideia básica por trás dos Padrões de Criptografia de Chave Pública
(PKCS) v. padrão de assinatura. Isso assina uma mensagem computando
d
s = (0x010xFF ... 0xF F0x00H (m)) (mod N),

www.cybok.org
onde o preenchimento suficiente de 0xF F bytes é feito para garantir que toda a string preenchida seja apenas menor
do que N em tamanho. Apesar do relacionamento próximo com a RSA- FDH, o esquema de assinatura acima tem
nenhuma prova de segurança e, portanto, um esquema mais moderno é geralmente preferido.
.. RSA-PSS
A maneira moderna de usar o primitivo RSA em um esquema de assinatura digital é por meio do preenchimento
método chamado PSS (Esquema de Assinatura Probabilística) Isso é de nido muito como RSA- OAEP
por meio do uso de duas funções hash, uma que expande os dados e outra que os compacta:
G: {0,1} k - → {0,1} k − k
1 1 −1 ,
H: {0,1} ∗ - → {0,1} k ,
1
onde k = log 2 N. A partir de G, definimos duas funções auxiliares
G 1 : {0,1} k - → {0,1} k
1 0
que retorna os primeiros k 0 bits de G (w) para w ∈ {0,1} k1 ,
G 2 : {0,1} k - → {0,1} k − k
1 0 −k 1 −1
que retorna os últimos k - k 0 - k 1 - 1 bits de G (w) para w ∈ {0,1} k , ou seja, G (w) = G 1 (w) G 2 (w).
1
Para assinar uma mensagem, o detentor da chave privada executa as seguintes etapas:
• r ← {0,1} k0 .
• w ← H (mr).
• y ← 0w (G 1 (w) ⊕ r) G 2 (w).
•s←y d (mod N).
Para verificar a (s) assinatura (s, m), o titular da chave pública realiza o seguinte
•y←s e (mod N).
• Divida y nos componentes bwαγ onde b tem um bit de comprimento, w tem k 1 bits de comprimento, α é k 0
bits de comprimento e γ tem k - k 0 - k 1 - 1 bits de comprimento.
• r ← α ⊕ G 1 (w).
• A assinatura é verificada como correta se e somente se b for o bit zero, G 2 (w) = γ e

H (mr) = w.
Apesar de ser mais complicado do que PKCS-. , o RSA- O esquema PSS tem uma série de anúncios
vantagens. É um esquema de assinatura aleatório, ou seja, cada aplicação do algoritmo de assinatura
na mesma mensagem produzirá uma assinatura distinta, e terá uma prova de segurança no
modelo de oráculo aleatório relativo à dificuldade de resolver o problema RSA .
www.cybok.org
.. Assinaturas DSA, EC-DSA e Schnorr

A metodologia padrão para executar assinaturas na configuração de logaritmo discreto é
adaptar protocolos de verificação interativos, usando provas de conhecimento de um logaritmo discreto
(veja as Seções .8. e . .) e, em seguida, convertê-los em uma assinatura não interativa
esquema usando uma função hash.
Os dois mais conhecidos são os DSA (Algoritmo de Assinatura Digital) método e um

método devido a Schnorr. O primeiro tem ampla implantação, mas estabelece a segurança por meio de
as provas de segurança usam suposições menos bem aceitas, enquanto o último é menos implantado, mas
tem provas de segurança bem estabelecidas. O primeiro também tem, como veremos, um aspecto mais complexo
∗
processo de assinatura. Ambos os casos usam uma função hash H com co-domínio (Z / qZ) , ao contrário de RSA- FDH
isso é fácil de construir, pois q é relativamente pequeno.
Descreveremos ambos os algoritmos no contexto de curvas elípticas. Ambos fazem uso de um público
chave da forma Q = [x] · P, onde x é a chave secreta. Para assinar uma mensagem m, em ambos os algoritmos,
∗
um primeiro seleciona um valor aleatório k ∈ (Z / qZ) , e calcula r ← x - coord ([k] · P). Um então
calcula um hash da mensagem. No algoritmo DSA , isso é feito com e ← H (m), enquanto
para o algoritmo Schnorr, calcula-se via e ← H (mr). Então, a equação da assinatura é
aplicado que, no caso de EC-DSA, é
s ← (e + x · r) / k (mod q)
e, no caso de Schnorr, é
s ← (k + e · x) (mod q).
Finalmente, a assinatura de saída é dada por (r, s) para EC-DSA e (e, s) para Schnorr.
A verificação é feita verificando a equação
r = x - coord ([e / s] · P + [r / s] · Q)
no caso de EC-DSA, e verificando
e = H (mx - coord ([s] · P - e · Q))
no caso da Schnorr. A principal diferença entre os dois algoritmos não é a assinatura e a verificação -
equações de cátions (embora afetem o desempenho), mas o fato de que, com o Schnorr
esquema, o valor r também é inserido na função hash para produzir e. Esta pequena distinção
resulta nas diferentes propriedades de segurança prováveis dos dois algoritmos.
Um aspecto chave de ambos EC-As assinaturas DSA e Schnorr indicam que são muito frágeis à exposição
do nonce k aleatório por mensagem. Se apenas um pequeno número de bits de k vazar para o invasor
com cada operação de assinatura, o invasor pode recuperar facilmente a chave secreta.

www.cybok.org
0,8 PROTOCOLOS PADRÃO

[ 8 , c 8]
Os protocolos criptográficos são operações interativas realizadas entre duas ou mais partes em
a fim de realizar algum objetivo criptográfico. Quase todos os protocolos criptográficos fazem uso do
primitivas que já discutimos (criptografia, autenticação de mensagem, compartilhamento de segredos).
Nesta seção, discutimos as duas formas mais básicas de protocolo, ou seja, autenticação e
acordo chave.
.8. Protocolos de Autenticação

Em um protocolo de autenticação, uma entidade (o Provador) convence a outra entidade (o Verificador)
que eles são quem afirmam ser e que estão 'online'; onde 'online' significa que o
a parte verificadora tem a garantia de que a parte provadora está realmente respondendo e não é uma repetição.
Existem três tipos básicos de protocolo: baseado em criptografia, baseado em autenticação de mensagem
e baseado em conhecimento zero.
.8. . Protocolos baseados em criptografia
Eles podem operar na configuração de chave simétrica ou pública. Na configuração de chave simétrica, ambos
o provador e o verificador possuem a mesma chave secreta, enquanto na configuração da chave pública, o provador
detém a chave privada e o verificador detém a chave pública. Em ambas as configurações, o verificador primeiro
criptografa um nonce aleatório para o provador, o provador então descriptografa isso e o retorna para o
verificador, o verificador verifica se o nonce aleatório e o valor retornado são equivalentes.
Veri er Provador
N←M
c
c ← Enc (N, pk; r) -→
m
← - m ← dez (c, sk)
?
N =m
O esquema de criptografia precisa ser IND- CCA seguro para que o protocolo acima seja seguro
contra ataques ativos. O nonce N é usado para evitar ataques de repetição.
.8. . Protocolos baseados em autenticação de mensagem
Eles também operam na chave pública ou na configuração simétrica. Nestes protocolos, o verificador
envia um nonce in the clear para o provador, o provador então produz uma assinatura digital (ou um MAC
na configuração de chave simétrica) neste nonce e o passa de volta para o verificador. O verificador então
verifica a assinatura digital (ou verifica o MAC) No diagrama a seguir, damos ao público
variante baseada em chave / assinatura digital.
Veri er Provador
N
N←M -→
σ
- → σ ← Sinal (N, sk)
?
Verifique (N, σ, pk)= verdadeiro
www.cybok.org
.8. . Zero-Knowledge-Based
Protocolos de autenticação baseados em conhecimento zero são os exemplos mais simples de

protocolos de conhecimento (ver Seção . .) acessível. O protocolo básico é denominado Σ- (ou
Sigma-) protocolo que consiste em três fluxos de mensagens; um compromisso, um desafio e uma re-
sponse. O exemplo mais simples é o protocolo de identificação Schnorr, com base na dureza
de computação de logaritmos discretos. Neste protocolo, o Provador é assumido como tendo um longo prazo
segredo x e uma chave pública associada Q = [x] · P. Deve-se notar a semelhança deste pro-
tocol ao esquema de assinatura Schnorr acima.
Veri er Provador
k ← Z / qZ
r
←- R ← [k] · P
e
e ← Z / qZ -→
s
← - s ← (k + e · x) (mod q)
?
R = [s] · P - e · Q
Na verdade, a conversão do protocolo de autenticação Schnorr na assinatura Schnorr

esquema é um exemplo da transformação Fiat-Shamir, que transforma qualquer protocolo Σ em
um esquema de assinatura. Se o protocolo Σ subjacente for seguro, no sentido de conhecimento zero
provas de conhecimento (ver Seção . .), então o esquema de assinatura resultante é UF- CMA.
.8. Protocolos de Acordo de Chave

Um protocolo de acordo de chave permite que duas partes cheguem a um acordo sobre uma chave secreta para uso em
protocolos. Os requisitos de segurança dos principais protocolos de acordos são muito sutis, levando a
várias propriedades de segurança sutis que muitos protocolos implantados podem ou não ter. Nós
recapitulando as propriedades básicas dos principais protocolos de acordos aqui, mas uma discussão mais completa
pode ser encontrado em [ ] Os requisitos básicos de segurança são
• A chave subjacente deve ser indistinguível de aleatória para o adversário, ou que

pelo menos deve ser capaz de ser usado no protocolo subsequente sem o adversário
quebrar o protocolo subsequente.
• Cada parte tem a garantia de que apenas a outra parte tem acesso à chave secreta. Isso é
a chamada autenticação mútua. Em muitos cenários de aplicação (por exemplo, no aplicativo padrão
plicação da Segurança da Camada de Transporte (TLS) para o protocolo de navegação na web), um só requer
esta propriedade de uma parte, caso em que dizemos que temos apenas uma forma de autenticação
ção
Kerberos é um exemplo de um sistema de acordo de chave baseado em chave (geralmente) simétrico. Isso é
um protocolo que requer partes confiáveis para retransmitir e gerar chaves secretas de uma parte para
outro. É mais adequado para redes corporativas fechadas. Na Internet pública, protocolos
como o Kerberos, são menos úteis. Assim, aqui se usa protocolos baseados em chave pública, como TLS
e IPSec. Propriedades mais avançadas exigidas de protocolos modernos baseados em chave pública são como
segue.
• Confirmação da chave: as partes sabem que a outra parte recebeu o mesmo segredo
chave. Às vezes, isso pode ser eliminado como a execução correta do procedimento subsequente
tocol usando a chave secreta fornece essa con rmação. Este último processo é chamado de implícito
confirmação chave .

www.cybok.org
• Encaminhar sigilo: O comprometimento do segredo de longo prazo de um participante no futuro sim

não comprometer a segurança da chave secreta derivada agora, ou seja, conversas atuais
ainda estão seguros no futuro.
• Segurança de compartilhamento de chave desconhecida: isso evita que uma parte (Alice) compartilhe uma chave com Bob,
enquanto Bob pensa que ele compartilha uma chave com Charlie, apesar de compartilhá-la com Alice.
Variações sobre o tema dos protocolos de acordo-chave incluem acordo-chave do grupo, que
permite que um grupo de usuários chegue a um acordo sobre uma chave, ou acordo de chave baseado em senha, em que dois
as partes só concordam com uma chave (de alta entropia) se também concordam com uma senha compartilhada.
.8. . Transporte de Chave
A forma mais básica de protocolo de acordo de chave é uma forma de transporte de chave em que as partes
use criptografia de chave pública para trocar uma chave aleatória. No caso de uma autenticação unilateral
protocolo, este era o método tradicional de operação TLS (até a versão TLS .) entre
um servidor e um cliente
Cliente Servidor
pk
←-
k←K
c
c ← Enc (k, pk; r) -→
k ← dez (c, sk)
Este protocolo produziu o segredo pré-mestre em versões mais antigas do TLS (pré-TLS . ) Derivar
o segredo final em TLS, outros nonces foram trocados entre as partes (para garantir que
ambas as partes estavam vivas e a chave estava fresca). Então, um segredo mestre foi derivado do
segredo pré-master e os nonces. Finalmente, a confirmação chave foi fornecida por todo o proto-
transcrição col sendo hash e criptografada sob o segredo mestre (o chamado FINISHED
mensagem). Em TLS, a chave resultante não é indistinguível da aleatória como o criptografado
A mensagem FINISHED fornece ao adversário uma verificação trivial para determinar se uma chave é
real ou não. No entanto, o protocolo pode ser mostrado como seguro para fins de uso do
segredo mestre para produzir um canal bidirecional seguro entre o servidor e o cliente.
Um problema mais básico com o protocolo acima é que ele não é seguro para encaminhamento. Qualquer adversário que
grava uma sessão agora e, no futuro, consegue obter o sk secreto de longo prazo do servidor,
pode obter o segredo pré-mestre e, portanto, descriptografar toda a sessão.
.8. . Acordo de chave Dif e-Hellman
Para evitar problemas com sigilo de encaminhamento de RSAcom base em transporte de chaves, protocolos modernos fazem
uso de troca de chaves Dif e – Hellman. Isso permite que duas partes concordem em uma uniformidade aleatória
chave, que é indistinguível de aleatória assumindo o problema de decisão Dif e – Hellman
é difícil
Alice Prumo
a ← Z / qZ b ← Z / qZ
QA
Q A ← [a] · P −− →
QB
← −− Q B ← [b] · P
K ← [a] · Q B K ← [b] · Q A
Este protocolo fornece sigilo de encaminhamento, mas não fornece nenhuma forma de autenticação. Devido a isso,
o protocolo sofre um ataque man-in-the-middle. Para obter autenticação mútua, o
O fluxo de mensagem de Q A é assinado pela chave pública de Alice e o fluxo de mensagem de Q B é assinado
www.cybok.org
pela chave pública de Bob. Isso evita o ataque man-in-the-middle. No entanto, uma vez que o sinal
turas não estão vinculadas à mensagem, o protocolo Dif e-Hellman assinado sofre de um
ataque de compartilhamento de chave desconhecido; um adversário (Charlie) pode retirar a assinatura de Alice de Q A e re-
coloque-o com sua assinatura. O adversário não descobre o segredo, mas convence Bob
ele está falando com outra entidade.
A versão autenticada unilateral do acordo de chave Dif e – Hellman é o método preferido

de acordo de chave em implantações de TLS modernas e é o único método de acordo de chave
suportado por TLS . . Em TLS, a mensagem FINISHED, que faz hashes de toda a transcrição,
evita o ataque de compartilhamento de chave desconhecido acima. No entanto, também impede que o protocolo
produzindo chaves que são indistinguíveis de aleatórias, como mencionado acima.
.8. . Protocolo Station-to-Station
O Station-to-Station (STS) protocolo pode ser usado para evitar ataques de compartilhamento de chave desconhecida
no Dif e – Hellman assinado e manter a indistinguibilidade das chaves. Neste protocolo, o Dif e–
A chave derivada de Hellman é usada para criptografar as assinaturas, garantindo que as assinaturas não
ser retirado das mensagens. Além disso, as assinaturas são aplicadas à transcrição de modo a
para convencer ambas as partes receptoras de que a outra parte está "viva".
Alice Prumo
a ← Z / qZ b ← Z / qZ
QA
Q A ← [a] · P −− →
Q B ← [b] · P
K ← [b] · Q A
Sinal σ B ← ({Q B , Q A }, sk B )
QB,cB
← −−−− c B ← Enc K (σ B )
K ← [a] · Q B
σ B ← Dez K (c B )
?
Verifique ({Q B , Q A }, σ B , pk B =
) verdadeiro
Sinal σ A ← ({Q A , Q B }, sk A )
cA
c A ← Enc K (σ A ) -→
σ A ← Dez K (c A )
?
Verifique ({Q A , Q B }, σ A , pk A=) verdadeiro
. PROTOCOLOS AVANÇADOS
[ 8 , c –c]
A criptografia moderna examinou uma série de protocolos mais complexos para alcançar mais
termina complexo. Por exemplo, esquemas de voto eletrônico seguros, leilões seguros, armazenamento de dados e re-
recuperação, etc. A maioria desses protocolos avançados são baseados em componentes mais simples
descrito nesta seção e / ou nos esquemas de criptografia e assinatura com prop-
propriedades discutidas na próxima seção. Aqui nos restringimos a discutir três amplamente
protocolos necessários: Transferência Oblivious, Zero-Knowledge e Multi-Party Computation.
www.cybok.org
.. Transferência Esquecida
Durante a transferência inconsciente (OT) está no cerne de muitos protocolos avançados, é um surpreendentemente
primitivo simples que permite realizar várias tarefas mais complexas. No seguinte
a seguir, descrevemos a transferência oblivious 1-out-of-2 básica, mas extensões para n-out-of-m são
imediato. Em todos os casos, o protocolo é executado entre um remetente e um receptor.
Em uma transferência esquecida 1-out-of-2, o remetente tem duas mensagens m 0 e m 1 , enquanto o Re-
ceiver tem um bit de entrada b. A saída do protocolo deve ser a mensagem m b para o Re-
ceiver, e o remetente não obtém nenhuma saída. Em particular, o receptor não aprende nada sobre o
mensagem m 1 − b , enquanto o Remetente não aprende nada sobre o bit b.
Este protocolo passivamente seguro pode ser implementado da seguinte maneira. Assumimos a mensagem do remetente
sábios são dois elementos M 0 e M 1 em um grupo de curvas elípticas E (F p ) de ordem primária q.
Remetente Receptor
C
C ← E (F p ) -→
x ← (Z / qZ)
Q b ← [x] · P
Q 1−b ← C - Q b
Q0
←-
Q1←C-Q0
k ← (Z / qZ)
C 1 ← [k] · P
E 0 ← M 0 + [k] · Q 0
E 1 ← M 1 + [k] · Q 1
C1,E0,E1
-→
M b ← E b - [x] · C 1
A extensão para um protocolo ativamente seguro é apenas um pouco mais complexa, mas além do
âmbito deste artigo.
.. Recuperação de informação privada e ORAM

Uma recuperação de informação privada (PIR) protocolo é aquele que permite que um computador recupere
dados de um banco de dados do servidor, sem revelar o item exato que é recuperado. Se o
o servidor tem n itens de dados, então isso está relacionado a um protocolo OT 1 de n . No entanto, em PIR nós
não insista para que o usuário não saiba mais nada sobre os dados dos servidores, nós apenas nos importamos
sobre a privacidade da consulta do usuário. Além disso, os protocolos para PIR devem ser executados muitas vezes,
e estamos interessados em ocultar o conjunto total de padrões de acesso, ou seja, mesmo se um item de dados
é recuperado várias vezes. O objetivo dos protocolos PIR é obter maior eficiência do que o
solução trivial do servidor enviando ao usuário todo o banco de dados.
Uma Memória de Acesso Aleatório Alheio (ORAM) protocolo é semelhante, mas agora não só permitimos
o usuário ler inconscientemente do banco de dados do servidor, também permitimos que o usuário grave no
base de dados. Para proteger as consultas de gravação, o banco de dados do servidor deve agora ser mantido em
um formulário criptografado (portanto, o que está escrito não pode ser determinado pelo servidor). Além disso, o
www.cybok.org
padrões de acesso, ou seja, onde os dados são gravados e lidos, precisam ser ocultados do
servidor.
.. Conhecimento Zero
Um protocolo Zero-Knowledge é um protocolo executado entre um Provador e um Verificador no qual
o provador demonstra que uma afirmação é verdadeira, sem revelar porque a afirmação é
verdadeiro. O conceito é usado em muitos lugares na criptografia, para construir esquemas de assinatura,
para atestar a identidade e construir protocolos mais avançados. Uma introdução ao
mais aspectos teóricos do conhecimento zero podem ser encontrados em [ 8 ] Mais formalmente, considere
uma linguagem NP L (ou seja, um conjunto de afirmações x que podem ser verificadas como verdadeiras em polinômios
tempo dado a uma testemunha ou prova w). Um sistema de prova interativo para L é uma sequência de protocolo
execuções por um (infinitamente poderoso) Provador P e um (tempo polinomial probabilístico) Verificador
V, que na entrada conjunta x procede da seguinte forma:
Veri er Provador
p1
← - (p 1 , s 1 ) ← P 1 (x)
v1
(v 1 , s 1 ) ← V 1 (x, p 1 ) -→
p2
← - (p 2 , s 2 ) ← P 2 (s 1 , v 1 )
v2
(v 2 , s 2 ) ← V 2 (s 1 , p 2 ) - →
p3
← - (p 3 , s 3 ) ← P 3 (s 2 , v 2 )
... ...
pr
- → (p r , s r ) ← P r (s r , v r )
1 1
Ao final do protocolo, o Verificador produzirá verdadeiro ou falso. Uma prova interativa

sistema é aquele que é completo e sólido
• Completude: Se a afirmação x for verdadeira, ou seja, x ∈ L, então, se o Provador for honesto, então o
Veri er produzirá true.
• Solidez: se a afirmação for falsa, ou seja, x ∈ L, então nenhum Provador trapaceiro pode convencer
o Veri er com probabilidade maior que p.
Observe que mesmo se p for grande (digamos p = 0,5), repetir a prova várias vezes pode reduzir
a probabilidade de solidez para qualquer coisa desejada. Claro, protocolos com p pequeno para começar
vão ser mais eficientes.
Para qualquer instrução NP, existe um sistema de prova interativo trivial. Ou seja, o Provador simplesmente
envia a testemunha que o Verificador então verifica. No entanto, isso revela a testemunha.
Em uma prova de conhecimento zero, obtemos o mesmo objetivo, mas o Verificador não aprende nada além do
fato de que x ∈ L. Para definir formalmente o conhecimento zero, insistimos que existe um (poli- probabilístico
tempo nominal) simulador S que pode produzir transcrições de protocolo idênticas às transcrições
produzido entre um Verificador e um Provador honesto; exceto que o simulador não tem acesso a
o provador. Isso implica que o Verificador não pode usar a transcrição para realizar qualquer outra tarefa,
já que o que aprendeu com a transcrição, poderia ter produzido sem o provador, simplesmente
executando o simulador.
Uma prova de conhecimento zero é considerada conhecimento zero perfeito se a distribuição de transcrições
produzidos pelo simulador são idênticos aos produzidos entre um provador e verificador válido.
www.cybok.org
Se as duas distribuições não podem ser distinguidas por um algoritmo eficiente, dizemos que temos
zero-conhecimento computacional .
Uma prova de conhecimento zero é considerada uma prova de conhecimento se um Verificador tiver acesso de retrocesso
para o provador (ou seja, o Verificador pode continuar redefinindo o provador para um estado de protocolo anterior e
continuar executando) pode extrair a testemunha subjacente w. Isso implica que o Provador deve
'saber' w, uma vez que podemos extrair w dele.
Uma prova de conhecimento zero não interativa é aquela em que não há nenhuma mensagem devida do
Verificador para o Provador, e apenas uma mensagem devida do Provador para o Verificador. Tal
provas não interativas exigem suposições de configuração adicionais, como uma referência comum
String (CRS), ou exigem que um assuma o modelo Random Oracle. Tradicionalmente estes
são aplicados a declarações teóricas de números específicos, de modo a mostrar o conhecimento de um
logaritmo (consulte a próxima seção sobre protocolos protocols), no entanto, recentemente chamado de não sucinto
Argumentos Interativos de Conhecimento (SNARKs) foram desenvolvidos que permitem tal
argumentos interativos para declarações mais complexas. Tão SNARKs estão encontrando aplicativos
em alguns sistemas blockchain.
. . . Σ -Protocolos
O protocolo Σ anterior para identificação é uma prova de conhecimento de conhecimento zero.
Veri er Provador
k ← Z / qZ
R
←- R ← [k] · P
e
e ← Z / qZ -→
s
← - s ← (k + e · x) (mod q)
?
R = [s] · P - e · Q
O protocolo está obviamente completo, pois Q = [x] · P, e o erro de integridade é 1 / q. Que

é zero-conhecimento segue da seguinte simulação, que primeiro mostra e, s ← Z / qZ
e então calcula R = [s] P −e · Q; a transcrição simulada resultante sendo (R, e, s). Nomeadamente,
o simulador calcula as coisas na ordem errada.
O protocolo também é uma prova de conhecimento, pois se executarmos duas execuções de protocolo com o
mesmo valor de R, mas diferentes valores de e (e 1 e e 2 ), então obtemos dois valores de s (s 1 e s 2 ). Esta
é feito retrocedendo o provador para logo após ter enviado sua primeira mensagem. Se os dois obtivessem
transcrições (R, e 1 , s 1 ) e (R, e 2 , s 2 ) são válidos, então temos
R = [s 1 ] · P - e 1 · Q = [s 2 ] · P - e 2 · Q
e entao
[s 1 - s 2 ] · P = [e 1 - e 2 ] · Q
e, portanto
[s 1 - s 2 ]
Q= ·P
e1-e2
e, portanto, 'extraímos' o segredo x de x = (s 1 - s 2 ) / (e 1 - e 2 ) (mod q).
www.cybok.org
.. Computação Multi-Party Segura

Computação Multi-Party (MPC) é uma técnica para permitir que um conjunto de partes calcule em
dados, sem aprender nada sobre os dados. Considere n partes P 1 , ..., P n cada uma com entrada
x 1 , ..., x n . O MPC permite que essas partes calculem qualquer função f (x 1 , ..., x n ) dessas entradas
sem revelar qualquer informação sobre x i uns aos outros, exceto o que pode ser deduzido de
a saída da função f. Uma introdução geral à teoria de tais protocolos pode ser
encontrado em [ 8 ]
Em um protocolo MPC , presumimos que um subconjunto das partes A está corrompido. Em estaticamente seguro
protocolos, este conjunto é definido no início do protocolo, mas permanece desconhecido para os honestos
partidos. Em um protocolo adaptativamente seguro, o conjunto pode ser escolhido pelo adversário como o pró
o tocol progride. Um protocolo MPC é considerado passivamente seguro se as partes em A seguirem
o protocolo, mas tente aprender dados sobre as entradas das partes honestas de sua visão conjunta. Em um
protocolo ativamente seguro, as partes em A podem desviar-se arbitrariamente do protocolo.
Um protocolo MPC deve ser correto , ou seja, ele produz a resposta correta se todas as partes seguirem
o protocolo. Também deve ser seguro , ou seja, as partes desonestas não devem aprender nada sobre
as contribuições das partes honestas. No caso de adversários ativos, um protocolo é dito ser
robusta se as partes honestas obtiverem o resultado correto, mesmo quando as partes desonestas
desviar do protocolo. Um protocolo que não é robusto, mas que aborta com esmagadora
probabilidade quando uma parte desonesta se desvia, é considerado um protocolo MPC ativamente seguro com
abortar .
Os protocolos MPC são categorizados pelo fato de utilizarem primitivos teóricos da informação
(ou seja, compartilhamento de segredos), ou utilizam primitivas seguras computacionalmente (como simétricas
criptografia de chave e de chave pública). Eles também são caracterizados pelas propriedades do
conjunto A. De particular interesse é quando o tamanho t de A é limitado por uma função de n (chamada
esquemas de limiares). Os casos de particular interesse são t <n, t <n / 2 e t <n / 3; a
casos limiares de t <n / 2 e t <n / 3 podem ser generalizados para estruturas de acesso Q 2 e Q 3 ,
como discutido na Seção . ..
No cenário teórico da informação, pode-se obter um MPC passivamente seguro no caso de

t <n / 2 (ou estruturas de acesso Q 2 ). MPC robusto e ativamente seguro é possível nas informações
cenário teórico quando temos t <n / 3 (ou estruturas de acesso Q 3 ). Todos esses protocolos
são alcançados usando esquemas de compartilhamento de segredos. Um estudo detalhado de MPC baseado em compartilhamento de segredo
protocolos é dado em [ ]
Na configuração computacional, pode-se obter computação robusta e ativamente segura quando t <
n / 2, usando Transferência Oblivious como a base computacional básica. O caso interessante
de computação de duas partes é feita usando o protocolo Yao. Este protocolo tem uma parte (o
Circuit Creator, também chamado de Garbler) 'criptografar' uma função booleana porta por porta usando um
cifra como AES, o circuito é então enviado para a outra parte (chamada de avaliador de circuito).
O avaliador então obtém as 'chaves' para seus valores de entrada do Criador usando Oblivious
Transferência, e pode então avaliar o circuito. Um estudo detalhado de protocolos baseados em Yao de duas partes
é dado em [ 6]
Os protocolos MPC modernos analisaram a segurança ativa com abortar no caso de t <n. O
protocolos modernos são divididos em uma função-dependente da fase inicial, que requer público
funcionalidade principal, mas que é independente da função, então uma fase online dependente da função
que usa principalmente primitivos da teoria da informação. Uma vez que os primitivos da teoria da informação
são geralmente muito rápidos, o que significa que a fase online crítica pode ser executada tão rápido quanto
possível.
www.cybok.org
. CRIPTOGRAFIA PÚBLICA / ASSINATURAS COM

PROPRIEDADES ESPECIAIS
[ , c]
Uma parte importante da criptografia moderna nos últimos vinte anos tem sido a construção
de criptografia e algoritmos de assinatura com propriedades especiais ou funcionalidades avançadas. UMA
vários dos seguintes foram implantados em sistemas especializados (por exemplo, U-PROVE,
IDEMIX, protocolos de atestado e algumas criptomoedas). Recapitulamos as principais variantes ser-
baixo, dando para cada um a ideia básica por trás de sua construção.
.. Assinaturas de Grupo
Um esquema de assinatura de grupo definiu uma chave pública de grupo pk, associada a uma série de chaves secretas
chaves sk 1 , ..., sk n . A chave pública é geralmente determinada por uma entidade chamada Group Manager , durante
interação com os membros do grupo. Dada uma assinatura de grupo, não se pode dizer qual
a chave secreta o assinou, embora seja garantido que o fez. Assim, as assinaturas de grupo fornecem
o anonimato de um signatário. A maioria dos algoritmos de assinatura de grupo tem uma entidade especial chamada de
Opener que possui algumas informações secretas que lhes permitem revogar o anonimato de um
Signatário. Esta última propriedade garante que se possa identificar os membros do grupo que agem desonestamente em
de alguma maneira.
Um esquema de assinatura de grupo pode oferecer suporte a grupos estáticos ou dinâmicos . Em um grupo estático
esquema de assinatura, os membros do grupo são fixados no início do protocolo, quando o público
a chave é xed. Em um esquema de assinatura de grupo dinâmico, o gerente do grupo pode adicionar membros
o grupo à medida que o protocolo prossegue e (frequentemente) revogar membros também.
Um exemplo deste tipo de esquema de assinatura atualmente implantado é o Direct Anony-

Atestado de mous (DAA) protocolo; que é essencialmente um esquema de assinatura de grupo em que o
Opener é substituído por uma forma de linkabilidade controlada pelo usuário; ou seja, um signatário pode decidir se
duas assinaturas emitidas pelo signatário específico podem ser vinculadas ou não.
.. Assinaturas de anel
Um esquema de assinatura de anel é muito parecido com um esquema de assinatura de grupo, mas em uma assinatura de anel há
nenhum gerente de grupo. Cada usuário em um esquema de assinatura de anel tem um par de chaves pública / privada (pk i , sk i ).
No momento da assinatura, o Signatário seleciona um subconjunto das chaves públicas (contendo esta própria),
que é chamado de anel de chaves públicas e, em seguida, produz uma assinatura. O receptor conhece o
a assinatura foi produzida por alguém no ringue, mas não por qual membro do ringue.

www.cybok.org
.. Assinaturas cegas
Um esquema de assinatura cega é um protocolo de duas partes em que uma parte (o usuário) deseja
obter a assinatura em uma mensagem por uma segunda parte (o Signatário). No entanto, o signatário é
não tem permissão para saber qual mensagem está sendo assinada. Por exemplo, o Signatário pode ser simplesmente
notarising de que algo aconteceu, mas não precisa saber exatamente o quê. Segurança
requer que o Signatário não aprenda nada sobre qualquer mensagem passada a ele para assinatura,
e o usuário não deve obter a assinatura em nenhuma mensagem diferente das que enviou
para assinar.
.. Criptografia baseada em identidade

Na criptografia de chave pública normal, um usuário obtém uma chave pública pk, junto com um certificado C.
O certificado é produzido por um terceiro confiável e vincula a chave pública à identidade. Geralmente,
um certificado é uma declaração assinada digitalmente contendo a chave pública e o usuário associado
identidade. Portanto, ao enviar uma mensagem para Alice, o Remetente tem certeza de que Alice é a legítima
titular da chave pública pk.
Criptografia baseada em identidade (IBE) é um esquema de criptografia que dispensa a necessidade de

autoridades de certificação e certificados. Para criptografar para um usuário, digamos Alice, simplesmente usamos
identidade Alice como a chave pública, além de uma chave pública global do 'sistema'. No entanto, para permitir que Alice
descriptografar, devemos ter um terceiro de confiança, chamado Centro de Geração de Chaves, que pode fornecer
Alice com sua chave secreta. Este terceiro usa seu conhecimento da chave secreta do 'sistema' para ser
capaz de derivar a chave secreta de Alice. Embora dispensando certificados, um sistema IBE inerentemente
tem uma noção de depósito de chave; o Key Generation Center pode descriptografar todas as mensagens.
.. Criptografia Linearmente Homomórfica

Em um esquema de criptografia linearmente homomórfico, pode-se realizar uma série de operações lineares
ções em textos cifrados, que resultam em um texto cifrado criptografando uma mensagem tendo o mesmo
operações realizadas no texto simples. Assim, dadas duas criptografias c 1 ← Enc (m 1 , pk; r 1 ) e
c 2 ← Enc (m 2 , pk; r 2 ) pode-se formar uma operação de 'soma' c ← c 1 ⊕c 2 tal que c decifra para m 1 + m 2 .
O exemplo padrão de tais esquemas de criptografia é o esquema de criptografia Paillier, que
criptografa os elementos m ∈ (Z / NZ), para um RSA-módulo N calculando c ← (1 + N) m · rN
(mod N 2 ) onde r é selecionado em Z / NZ.
Esses algoritmos de criptografia nunca podem ser IND- CCA segura, como a propriedade homomórfica pro-
produz uma maleabilidade trivial que pode ser explorada por um atacante CCA . No entanto, eles podem ter
aplicações em muitas áreas interessantes. Por exemplo, pode-se usar um linearmente homomórfico
esquema de criptografia para somar votos em uma eleição digitalmente votada para dois candidatos, onde
cada voto é uma criptografia da mensagem zero ou um.
www.cybok.org
. .6 Criptografia Totalmente Homomórfica

Criptografia Totalmente Homomórfica (ou FHE) é uma extensão da criptografia linearmente homomórfica,
em que não se pode avaliar homomorficamente funções lineares, mas também funções não lineares.
Em particular, a capacidade de avaliar homomorficamente tanto a adição quanto a multiplicação em en-
os dados criptografados permitem avaliar (teoricamente) qualquer função. Aplicações de FHE que
foram imaginadas são coisas como a realização de consultas de pesquisa complexas em criptografadas
dados médicos etc. Assim, FHE é muito interessante em um ambiente de nuvem.
Todos os esquemas FHE existentes são altamente ineficientes. Assim, apenas funções muito simples podem ser avaliadas
em prazos adequados. Um esquema que pode realizar operações homomórficas de
uma classe restrita de funções (por exemplo, para avaliar homomorficamente todas as multivariadas
polinômios de grau total ve) é chamado de criptografia um tanto homomórfica (ou SHE)
esquema. Obviamente, se o conjunto de funções são todos polinômios multivariados de grau um,
então o esquema SHE é um esquema de criptografia homomórfica linear.
. ASPECTOS DE IMPLEMENTAÇÃO
Há dois aspectos que devemos ter em mente com relação à implementação criptográfica
ção Em primeiro lugar, segurança e, em segundo lugar, desempenho.
Em termos de segurança, a principal preocupação é com os ataques de canal lateral. Estes podem ser montados
contra ambas as implementações de hardware, por exemplo, circuitos criptográficos implementados em
cartões inteligentes ou contra implementações de software em execução em processadores de commodities. Algum
diferença mensurável que ocorre ao executar um algoritmo em um conjunto de entradas versus
outro pode levar a um ataque. Essas medições podem envolver diferenças de tempo, potência
diferenças de consumo, diferenças na radiação eletromagnética ou mesmo diferenças em
o som produzido pelo ventilador no processador. É ainda possível montar o lado remoto
ataques de canal em que se mede as diferenças nos tempos de resposta de um servidor remoto.
Um bom levantamento de tais ataques, com foco na análise de potência aplicada a algoritmos simétricos
como AES, pode ser encontrado em [ ]
Para se proteger contra tais ataques de canal lateral no nível do hardware, várias técnicas têm
foram propostas, incluindo a utilização de técnicas baseadas no compartilhamento de segredos (chamado de mascaramento no
comunidade de canal lateral). Na área de software, é preciso garantir que o código seja constante
pelo menos (ou seja, cada caminho de execução leva a mesma quantidade de tempo), na verdade, tendo vários
os próprios caminhos de execução podem levar a ataques por meio da análise de poder.
Para permitir um maior desempenho, está se tornando cada vez mais comum para o manuseio do processador
fabricantes para fornecer instruções especiais para permitir melhorias nos algoritmos criptográficos.
Isso é semelhante às extensões de multimídia que têm sido lugar comum para outros aplicativos
cátions por algumas décadas. Um exemplo disso são as instruções especiais em chips x86 para executar
operações relacionadas a AES, para realizar GCM-modo e para realizar algumas operações ECC .
Chave pública, ou seja, construções teóricas numéricas, são particularmente caras em termos de com-
recursos putacionais. Assim, é comum que esses algoritmos específicos sejam implementados em
código de máquina de baixo nível, que é ajustado para uma arquitetura específica. No entanto, isso precisa ser
feito com cuidado para levar em consideração os ataques de canal lateral mencionados anteriormente.
Finalmente, uma implementação também pode estar sujeita a ataques de falha. Estes são ataques em que um
o invasor injeta falhas (falhas físicas no hardware ou falhas de datagrama em um protocolo).

www.cybok.org
As defesas contra tais ataques devem ser consideradas, incluindo a tolerância a falhas padrão.
colocar abordagens em hardware e validação de entrada completa em todos os protocolos. Mais detalhes em
ataques de falha podem ser encontrados em [ 8]

Os dois livros-texto principais a seguir, fazemos referência cruzada com as seções principais aqui. Avançar
a leitura específica do tópico é fornecida por referências à bibliografia principal.
[ ]
8
[
KatzLindell Inteligente Outro
. Matemática c8-c, App B c –c [8]

. Modelos de segurança criptográfica c –c c [8,8,8,8]
. Informação teoricamente segura
c c [ 86 ]
Construções
. Simétricas Primitivas c –c6 c –c [ 8 , 88 , 8 , , ]
. Criptografia simétrica e
c –c c –c [ , ]
Autenticação
.6 Criptografia de chave pública c c –c [8, ]
. Assinaturas de chave pública c c6 [8, ]
.8 Protocolos Padrão - c8 [ ]
. Protocolos Avançados - c –c [8,8, , 6]
. Criptografia de chave pública / assinaturas
c -
Com propriedades especiais
. Aspectos de implementação - - [ , 8]
LEITURA ADICIONAL
Os dois livros de texto a seguir são recomendados para obter mais informações sobre os tópicos
nesta área de conhecimento. Outras leituras específicas do tópico são fornecidas na bibliografia.
www.cybok.org
Introdução à Criptografia Moderna (J. Katz e Y. Lindell) [ ]

Um livro-texto moderno padrão que cobre aspectos do projeto de esquemas criptográficos de
uma perspectiva de segurança comprovável.
Criptografia Simplificada (NP Smart) [ 8 ]

Um livro com menos rigor matemático que o anterior, mas que também
cobre uma ampla gama de áreas (incluindo conhecimento zero e MPC), e aborda aspectos
relacionadas à implementação.

www.cybok.org
Página 383
Capítulo
Sistemas Operacionais e
Virtualização
Herbert Bos Vrije Universiteit Amsterdam
www.cybok.org
INTRODUÇÃO
Nesta área de conhecimento, apresentamos os princípios, princípios e práticas para garantir
segurança nos níveis de sistema operacional e hipervisor. Veremos que os desafios relacionados
à segurança do sistema operacional evoluíram nas últimas décadas, mesmo que os princípios
permaneceram praticamente os mesmos. Por exemplo, quando poucas pessoas tinham seus próprios computadores e
a maior parte da computação foi feita em sistemas de computador multiusuário (muitas vezes baseados em mainframe) com
conectividade limitada, a segurança era principalmente focada em isolar usuários ou classes de usuários de
um ao outro . O isolamento ainda é um princípio fundamental de segurança hoje. Mesmo as entidades para isolar têm
permaneceu, em geral, o mesmo. Iremos nos referir a eles como domínios de segurança. Se tradicional
domínios de curity para sistemas operacionais são processos e kernels, e para hipervisores, Virtual
Máquinas (VMs) Embora possamos ter adicionado ambientes de execução confiáveis e alguns
outros domínios de segurança nos últimos anos, ainda temos o kernel, processos do usuário e ma virtual
chines como os principais domínios de segurança hoje. No entanto, as ameaças evoluíram muito,
e em resposta, os mecanismos de segurança também.
Como veremos, alguns sistemas operacionais (por exemplo, em dispositivos incorporados) não têm qualquer noção
de domínios de segurança de qualquer natureza, mas a maioria distingue entre vários domínios de segurança
como o kernel, processos do usuário e ambientes de execução confiáveis. Neste conhecimento
Área, assumiremos a presença de vários domínios de segurança mutuamente não confiáveis. Ser-
entre esses domínios de segurança, os sistemas operacionais gerenciam os recursos de um sistema de computador
como tempo de CPU (por meio de agendamento), memória (por meio de alocações e espaço de endereço
mapeamentos) e blocos de disco (via sistemas de arquivos e permissões). No entanto, veremos que
proteger esses recursos tradicionais de granulação grossa nem sempre é suficiente e pode ser necessário
necessário para gerenciar explicitamente os recursos de nível mais baixo também. Os exemplos incluem caches,
Buffers Lookaside de Transação (TLBs) e uma série de outros recursos compartilhados. Lembre-se disso
Princípio do mecanismo menos comum de Saltzer e Schroeder [8] afirma que cada mecanismo
nismo compartilhado entre domínios de segurança pode se tornar um canal através do qual dados confidenciais
pode vazar. Na verdade, todos os recursos compartilhados acima serviram como canais colaterais para vazar
informações confidenciais em cenários de ataque.
Como os componentes mais privilegiados, os sistemas operacionais e hipervisores desempenham um papel crítico
em tornar os sistemas (in) seguros. Para resumir, usamos principalmente o termo sistema operacional e pro-
acessos no restante desta área de conhecimento e referem-se a hipervisores e VMs explicitamente
onde a distinção é importante .
Embora a segurança vá além do sistema operacional, os níveis mais baixos da pilha de software
formam o alicerce sobre o qual a segurança é construída. Por exemplo, o sistema operacional pode ser capaz de
capacidade de executar instruções privilegiadas não disponíveis para programas de usuário comuns e normalmente
oferece os meios para autenticar usuários e isolar a execução e arquivos de diferentes
Comercial. Embora seja responsabilidade do aplicativo garantir a segurança além deste ponto, o funcionamento
sistema garante que processos não autorizados não possam acessar seus arquivos, memória, tempo de CPU ,
ou outros recursos. Essas garantias de segurança são limitadas pelo que o hardware pode fazer. Para
instância, se uma CPU's Instrução Set Architecture (É UM) não tem uma noção de privilégios múltiplos
níveis ilegais ou isolamento do espaço de endereço para começar, protegendo os domínios de segurança de
um ao outro é difícil, embora ainda seja possível usar a proteção baseada na linguagem (como
no sistema operacional experimental Singularity [ ]).
Uma situação, aliás, que não é diferente das nuvens compartilhadas hoje.
Publicações direcionadas sobre desenvolvimentos em ameaças e soluções para ambientes virtualizados têm ap-
perolado em outro lugar [ ]
Sistemas operacionais e virtualização KA | Outubro Página 8
www.cybok.org
A segurança oferecida pelo sistema operacional também é ameaçada por ataques que visam evadir
mecanismos de segurança do sistema. Por exemplo, se o sistema operacional é responsável por
a separação entre os processos e o próprio sistema operacional fica comprometida, o
as garantias de segurança são nulas. Portanto, também exigimos segurança do sistema operacional.
Depois de explicar o modelo de ameaça para a segurança do sistema operacional, prosseguimos classificando
as diferentes opções de design para a estrutura do sistema operacional subjacente (versão monolítica
baseado em microkernel sus, multi-servidor versus libraryOS, etc.), que então discutimos em relação
aos princípios e modelos de segurança fundamentais. A seguir, discutimos os principais primitivos que op-
erar o uso de sistemas para garantir que diferentes domínios de segurança sejam devidamente isolados e acessados
a recursos sensíveis é mediado. Finalmente, descrevemos técnicas importantes que operam
sistemas empregam para proteger o sistema contra ataques.
. MODELO DE ATACADOR
[ , c-c] [ , c] [ ][ ]
Assumimos que os invasores estão interessados em violar as garantias de segurança fornecidas pelo
sistema operacional ou hipervisor: vazar dados confidenciais (por exemplo, chaves criptográficas), modificar dados que
não deve ser acessível (por exemplo, para elevar privilégios) ou limitar a disponibilidade do sistema e
seus serviços (por exemplo, travando o sistema ou monopolizando seus recursos). Nesta área de conhecimento,
nos concentramos nos aspectos técnicos da segurança, deixando de lado as ameaças internas, o comportamento humano,
ataques físicos, gerenciamento de projetos, políticas da empresa, etc. Não porque eles não sejam im-
importante, mas porque estão além do controle do sistema operacional e exigiriam uma área de conhecimento de seus
ter. Tabela . lista algumas das ameaças e métodos de ataque que consideramos.
A maneira mais simples de comprometer o sistema é injetar uma extensão maliciosa no coração
do sistema operacional. Por exemplo, em sistemas monolíticos como Linux e Windows,
pode ser um driver malicioso ou módulo de kernel, talvez inadvertidamente carregado como um cavalo de Tróia,
que tem acesso a todas as funcionalidades privilegiadas [ ] Para manter seu controle sobre o sistema em um
maneira furtiva, independentemente do que o sistema operacional ou hipervisor possa fazer, os invasores
pode infectar ainda mais o processo de inicialização do sistema (por exemplo, sobrescrevendo o registro mestre de inicialização ou
a Interface de Firmware Extensível Unificada (UEFI), rmware) - dando ao código malicioso con
trole sobre o processo de inicialização em cada reinicialização, mesmo antes de o sistema operacional ser executado, permitindo
para contornar qualquer e todas as defesas de nível de sistema operacional [ ]
Além de usar Trojans, os invasores frequentemente violam as propriedades de segurança sem qualquer ajuda
do usuário, explorando vulnerabilidades. Na verdade, os invasores podem usar um amplo repertório de
métodos. Por exemplo, eles costumam abusar de vulnerabilidades no software, como memória
erros [ ] para alterar indicadores de código ou dados no sistema operacional e violar sua integridade,
confidencialidade ou disponibilidade. Ao corromper um ponteiro de código, eles controlam onde o programa
retoma a execução após a instrução de chamada, salto ou retorno que usa o código corrompido
ponteiro. Alterar dados ou indicadores de dados abre outras possibilidades, como elevar o
nível de privilégio de um processo sem privilégios para 'root' (dando privilégios de 'sistema' todo-poderosos) ou
modificar as tabelas de página para dar a um processo acesso a páginas de memória arbitrárias. Da mesma forma,
eles podem usar esses bugs para vazar informações do sistema operacional, alterando quais
ou quantos dados são retornados para uma chamada de sistema ou uma solicitação de rede.
Os invasores também podem abusar de vulnerabilidades no hardware, como o bug Rowhammer presente
em muitos chips DRAM [ 6] Uma vez que os bits nos chips de memória são organizados em linhas e empacotados
muito próximos, acessar um bit em uma linha pode fazer com que o bit vizinho no anúncio
Sistemas operacionais e virtualização KA | Outubro Página
www.cybok.org
Ataque Descrição
Extensões maliciosas O invasor consegue convencer o sistema a carregar um driver malicioso

ou módulo de kernel (por exemplo, como um Trojan).
Bootkit O invasor compromete o processo de inicialização para obter controle antes mesmo
o sistema operacional começa a funcionar.
Erros de memória (software) Erros de memória espacial e temporal permitem invasores (locais ou remotos)
para desviar o fluxo de controle ou vazar informações confidenciais.
Corrupção de memória (hardware) Vulnerabilidades como Rowhammer em DRAM permitem atacantes (local
ou remoto) para modificar dados que eles não deveriam ser capazes de acessar.
Vazamento de dados não inicializados O sistema operacional retorna dados aos programas do usuário que não são adequados
foi inicializado automaticamente e pode conter dados confidenciais.
Erros de simultaneidade e busca dupla Exemplo: o sistema operacional usa um valor do espaço do usuário duas vezes
(por exemplo, um valor de tamanho é usado uma vez para alocar um buffer e depois para copiar
nesse buffer) e o valor muda entre os dois usos.
Canais laterais (hardware) Os invasores usam tempos de acesso de recursos compartilhados, como caches e
TLBss para detectar que outro domínio de segurança usou o recurso,
permitindo que eles vazem dados confidenciais.
Canais laterais (especulativo) As verificações de segurança são contornadas em execuções especulativas ou fora de ordem
e enquanto os resultados são comprimidos, eles deixam um traço mensurável em
o estado micro-arquitetônico da máquina.
Canais laterais (software) Exemplo: quando os sistemas operacionais / hipervisores usam recursos como
como desduplicação de memória, os invasores podem medir que outra segurança
O domínio rity tem o mesmo conteúdo.
Esgotamento de recursos (DoS) Ao consumir recursos (memória, CPU, ônibus, etc.), os invasores previnem
outros programas de fazer progresso, levando a uma negação de serviço.
Deadlocks / hangs (DoS) O invasor leva o sistema a um estado em que nenhum progresso pode ser
feito para alguma parte do software, por exemplo, devido a um impasse (DoS)
Mesa . : Métodos conhecidos de ataque / ameaças à segurança de sistemas operacionais modernos

www.cybok.org
jacent fileira para vazar uma pequena quantidade de carga em seu capacitor - mesmo que esse bit esteja em
uma página completamente diferente na memória. Acessando repetidamente a linha em alta frequência
('martelamento'), a interferência se acumula de modo que, em alguns casos, o bit vizinho pode
ip. Não sabemos com antecedência qual, se houver, dos bits em uma linha irá ip, mas uma vez um bit ips,
ele irá ip novamente se repetirmos o experimento. Se os invasores conseguirem transferir bits no kernel
memória, eles permitem ataques semelhantes aos baseados em corrupção de memória baseada em software.
Por exemplo, corromper tabelas de páginas para obter acesso à memória de outros domínios.
Outra classe de ataques é a de bugs de simultaneidade e double fetch [ , 8] O dou-

busca fácil é um problema importante para um sistema operacional e ocorre quando ele usa um valor
do espaço do usuário duas vezes (por exemplo, um valor de tamanho é usado uma vez para alocar um buffer e depois para copiar
nesse buffer). Problemas de segurança, como corrupção de memória, surgem se houver uma disputa entre
o sistema operacional e o invasor, e o invasor altera o valor do espaço do usuário em be-
entre os dois acessos e torna-o menor. É semelhante a um tempo de verificação do tempo de uso
(TOCTOU) ataque, exceto que o valor modificado é usado duas vezes.
Além de ataques diretos, os adversários podem usar canais laterais para vazar informações indiretamente,
por exemplo, por meio de canais laterais de cache [ ] Existem muitas variantes, mas um comum
um consiste em invasores enchendo um conjunto de cache com seus próprios dados ou código e, então, periodicamente
acessar esses endereços. Se algum dos acessos for significativamente mais lento, eles saberão que
outra pessoa, provavelmente a vítima, também acessou dados / código que caem no mesmo cache
definir. Agora, suponha que o código da vítima chame funções de uma maneira dependente secreta. Por exemplo,
uma rotina de criptografia processa uma chave secreta bit a bit e chama a função foo se o bit for,
e bar se for, onde foo e bar estão em conjuntos de cache diferentes. Monitorando qual cache
conjuntos são usados pelo canal lateral, os atacantes aprendem rapidamente a chave.
Outra família famosa de canais de hardware abusa de execuções especulativas e fora de ordem
cution [ , ] Para desempenho, CPUs modernas podem executar instruções com antecedência—
antes que as instruções anteriores tenham sido concluídas. Por exemplo, enquanto espera pelo
condição de uma ramificação condicional a ser resolvida, o preditor de ramificação pode especular que o
o resultado será 'ramificação tomada' (porque esse foi o resultado nas últimas n vezes), e espec-
ulativamente execute as instruções correspondentes ao ramo obtido. Se descobrir que foi
errado, a CPU esmagará todos os resultados das instruções especulativamente executadas, de modo que
nenhuma das lojas sobrevive em registros ou memória. No entanto, ainda pode haver vestígios do
execução no estado micro-arquitetônico (como o conteúdo de caches, TLBs e branch
preditores que não são diretamente visíveis na arquitetura do conjunto de instruções). Por exemplo, se um
a instrução especulativa em um programa do usuário lê um byte sensível e normalmente inacessível
da memória em um registro e, posteriormente, usa-o como um deslocamento em uma matriz de espaço do usuário, a matriz
elemento nesse deslocamento estará no cache, mesmo que o valor no registro seja comprimido
assim que a CPU descobrir que não deveria ter permitido o acesso. O atacante pode
tempo os acessos a cada elemento na matriz e ver se um é significativamente mais rápido (no
cache). O deslocamento desse elemento será o byte secreto. Em outras palavras, o invasor pode
use um canal lateral de cache para extrair os dados que foram acessados especulativamente.
Ataques mais recentes mostram que as vulnerabilidades de hardware relacionadas à especulação e

a execução fora de ordem pode ser mais desastrosa do que pensávamos. O ataque Foreshadow [ ]
abusa do fato de que CPUs da Intel leem do cache de nível sob execução especulativa
sempre que uma página de memória é marcada como ausente - sem verificar adequadamente a propriedade
dos dados nesse endereço físico. Pior, a vulnerabilidade conhecida como Rogue In-Flight Data
(RIDL) [ ] (que os invasores podem explorar sem privilégios, mesmo de JavaScript em navegadores)
e sem se preocupar com os endereços, mostra que as CPUs da Intel se alimentam especulativamente constantemente
www.cybok.org
executar instruções com dados de domínios de segurança arbitrários o tempo todo, por meio de uma variedade de
buffers micro-arquitetônicos temporários.
Mitigar esses ataques exige não apenas mudanças no hardware, mas também profundas e frequentes
envolvimento complexo do sistema operacional. Por exemplo, o sistema operacional pode precisar
para usar caches e buffers que podem vazar dados, fornecem garantias de que nenhuma especulação leva
coloque em certas filiais ou programe domínios de segurança diferentes em núcleos separados, etc.
Além de caches, os canais do lado do hardware podem usar todos os tipos de recursos compartilhados, incluindo
TLBs , MMUs, e muitos outros componentes [ ] Na verdade, os canais laterais não precisam ser difíceis
ware relacionado em tudo. Por exemplo, desduplicação de memória e caches de página, ambos implementados
no sistema operacional, são fontes bem conhecidas de canais laterais. Focando no primeiro
para fins de ilustração, considere um sistema que desduplica agressivamente as páginas de memória:
sempre que vê duas páginas com o mesmo conteúdo, ele ajusta o layout da memória virtual para
que ambas as páginas virtuais apontam para a mesma página física. Dessa forma, ele precisa manter apenas um
das páginas físicas para armazenar o conteúdo, que pode ser compartilhado na forma de cópia na gravação. Dentro
nesse caso, uma gravação nessa página leva mais tempo (porque o sistema operacional deve copiar o
página novamente e ajustar seus mapeamentos de tabela de página), que podem ser medidos por um invasor. Então,
se uma gravação na página demorar muito mais, o invasor sabe que algum outro programa também
tem uma cópia desse conteúdo - um canal lateral que informa ao invasor algo sobre a
dados. Os pesquisadores mostraram que os invasores podem usar esses canais laterais de granulação grossa para
vazar até segredos muito refinados [ ] Em muitos dos canais laterais, o problema é a falta de
isolamento entre os domínios de segurança no software e no hardware (por exemplo, pode haver nenhum ou muito
pouco isolamento durante a execução especulativa implementada por hardware). É importante perceber
que os problemas de isolamento de domínio se estendem à interface de hardware / software.
Para confidencialidade em particular, vazamentos de informações podem ser sutis e aparentemente inócuos,
e ainda levar a sérios problemas de segurança. Por exemplo, o anúncio físico ou mesmo virtual
vestidos de objetos podem não parecer informações muito confidenciais, até que levemos em consideração
reutilização de código6][ou Rowhammer [ 6] ataques que abusam do conhecimento dos endereços para
desviar o fluxo de controle para endereços específicos ou bits específicos de ip.
Quanto à origem dos ataques, eles podem ser lançados a partir de código local rodando nativamente em
a máquina da vítima no espaço do usuário, extensões do sistema operacional (malicioso), código de script
buscado na rede e executado localmente (como JavaScript em um navegador), mali-
periféricos ciosos, ou mesmo sistemas remotos (onde os invasores lançam seu exploit através do
rede). Claramente, um ataque remoto é mais difícil de realizar do que um local.
Em alguns casos, estendemos explicitamente o modelo do invasor para incluir sistemas operacionais maliciosos
tems ou hipervisores maliciosos também. Esses invasores podem ser relevantes em sistemas baseados em nuvem
tems, onde o provedor de nuvem não é confiável, ou nos casos em que o próprio sistema operacional
foi comprometido. Nesses casos, o objetivo é proteger o aplicativo confidencial (ou um
fragmento do mesmo), possivelmente em execução em um ambiente de execução confiável especial protegido por hardware
mentos ou enclaves, do kernel ou hipervisor.
Uma métrica útil para estimar a segurança de um sistema é a superfície de ataque [ ]-todos
diferentes pontos que um invasor pode alcançar e obter dados de ou para tentar e
prometa o sistema. Por exemplo, para código nativo executado localmente, a superfície de ataque inclui
todas as chamadas de sistema que o invasor pode executar, bem como os argumentos da chamada de sistema e
valores de turno, junto com todo o código que implementa as chamadas de sistema, que o invasor pode
alcançar. Para atacantes remotos, a superfície de ataque inclui os drivers de dispositivo de rede, parte do
a pilha de rede e todo o código do aplicativo que trata da solicitação. Para dispositivos maliciosos,

www.cybok.org
a superfície de ataque pode incluir toda a memória que o dispositivo pode acessar usando DMA ou o código
e funções de hardware com as quais o dispositivo pode interagir. Observe, no entanto, que a exposição
de mais código para os invasores é apenas uma métrica de proxy, pois a qualidade do código é diferente. Em um ex-
caso, o sistema é formalmente verificado para que uma ampla gama de vulnerabilidades comuns
não são mais possíveis.
. O PAPEL DOS SISTEMAS OPERACIONAIS E SEUS

DESIGN EM SEGURANÇA
[ , c, cc] [ 8, c]
Em um alto nível, os sistemas operacionais e hipervisores têm a tarefa de gerenciar os recursos

de um sistema de computador para garantir uma base sobre a qual é possível construir aplicativos seguros
cações no que diz respeito à confidencialidade, integridade e disponibilidade.
A principal função dessas camadas mais baixas da pilha de software com relação à segurança é a
vide isolamento de domínios de segurança e mediação de todas as operações que possam violar a iso
ção. No caso ideal, o sistema operacional protege qualquer processo individual de todos os outros
processos. Por exemplo, os processos periféricos não devem ser capazes de acessar a memória al-
localizado no processo primário, aprenda qualquer coisa sobre as atividades relacionadas a esse processo primário
processo, exceto aqueles que o processo escolhe revelar ou impedir que o processo de nós-
seus recursos alocados, como o tempo de CPU indefinidamente. Alguns sistemas operacionais podem até
regular os fl uxos de informações de forma que dados ultrassecretos nunca vazem para processos sem
a folga apropriada, ou os dados classificados não podem ser modi cados por processos sem o
níveis de privilégio apropriados.
Indo um pouco mais fundo, podemos distinguir entre operações de controle e plano de dados e
vemos que o isolamento em sistemas operacionais envolve ambos. No isolamento de memória, o funcionamento
sistemas operam no plano de controle quando ele con gura o MMU (gerenciamento de memória
unidade), que é então responsável pelo isolamento sem muito envolvimento da parte operacional
sistema. Na maioria das outras interações, por exemplo, ao operar em argumentos do sistema
chamadas fornecidas por domínios de segurança sem privilégios, um sistema operacional opera em ambos os planos.
A falta de separação entre os aviões pode facilmente levar a vulnerabilidades, por exemplo,
quando
domínioode
sistema operacional
segurança decide reutilizar
(com isolamento páginas
de acesso de memória
imposto queem
pela MMU) anteriormente pertenciam
outro domínio sem a um
sobrescrever corretamente os dados (possivelmente confidenciais) nessa página.
Existem muitas maneiras de projetar um sistema operacional. Fig . ilustra quatro designs extremos
escolhas. Na Fig ..(a), o sistema operacional e o (s) aplicativo (s) rodam em uma única segurança
domínio e não há isolamento algum. Os primeiros sistemas operacionais funcionavam dessa maneira, mas
o mesmo acontece com muitos sistemas embarcados hoje. Neste caso, há pouco ou nenhum isolamento entre as
diferentes componentes do sistema e um aplicativo podem corromper as atividades do arquivo
Sistema (FS), a pilha de rede, os drivers ou qualquer outro componente do sistema.
FIG. . (b) mostra a configuração da maioria dos sistemas operacionais de uso geral modernos,
onde a maior parte do sistema operacional reside em um único domínio de segurança, estritamente isolado
dos aplicativos, enquanto cada aplicativo também é isolado de todos os outros aplicativos. Para
exemplo, esta é a estrutura do Windows Linux, OS X e muitos dos descendentes do
UNIX original [ ] Uma vez que quase todos os componentes do sistema operacional são executados em um único
domínio de segurança, o modelo é muito eficiente porque os componentes interagem simplesmente por função
www.cybok.org
de chamadas e memória compartilhada. O modelo também é seguro, desde que todos os componentes sejam benignos.
No entanto, se os invasores conseguirem comprometer até mesmo um único componente, como um driver, todos
a segurança é nula. Em geral, drivers de dispositivo e outras extensões de sistema operacional (por exemplo, Linux
Módulos de kernel) são considerações importantes para a segurança de um sistema. Frequentemente escrito por
terceiros e com mais erros do que o código do sistema operacional principal, extensões em execução no
único domínio de segurança do sistema operacional pode comprometer a segurança do sistema
completamente.
Curiosamente, a fronteira entre o kernel e outros domínios de segurança em tais sistemas é

muitas vezes um pouco mais confuso agora que os sistemas operacionais podem ignorar o kernel para, digamos, rede de alta velocidade
funcionando, ou implementar componentes críticos de sistema operacional sem desempenho como usuário
cesses. Os exemplos incluem o sistema de arquivos no espaço do usuário (FUSÍVEL) em sistemas operacionais UNIX
e a estrutura do driver do modo de usuário (UMDF) no Windows. Mesmo assim, a maior parte das operações
a funcionalidade do sistema ainda forma um único domínio de segurança monolítico.
Fig .(c) mostra a ruptura extrema em processos separados de todos os componentes que
compor o sistema operacional em um sistema operacional com vários servidores [ , ] A con gura-
ção é potencialmente menos eficiente do que o modelo anterior, porque todas as interações entre
diferentes componentes do sistema operacional envolvem comunicação entre processos (IPC) Dentro
Além disso, o sistema operacional funciona como um sistema distribuído e qualquer pessoa que já
construir um sistema distribuído sabe como os problemas podem se complicar. No entanto, o anúncio
A vantagem de um sistema multi-servidor é que um driver comprometido, digamos, não pode ser facilmente com-
prometa o resto do sistema. Além disso, embora de uma perspectiva conceitual, o multisservidor
parece um sistema distribuído, grande parte da complexidade de um sistema distribuído real é devido a
comunicação não confiável e isso não existe em sistemas com vários servidores. A visão comum
é que designs de vários servidores baseados em microkernel têm vantagens de segurança e confiabilidade sobre
designs monolíticos e de domínio único, mas incorrem em despesas um pouco maiores - o preço de
segurança.
Finalmente, a Fig ..(d) mostra uma situação que, à primeira vista, se assemelha à da Fig .(a): em
topo de um kernel mínimo que multiplexa os recursos subjacentes, os aplicativos são executados juntos
com um mínimo de 'sistema operacional de biblioteca' (libOS [ , ]). A libOS contém código que
normalmente faz parte do sistema operacional, mas está diretamente incluído no aplicativo. Esta
a configuração permite que os aplicativos ajustem o sistema operacional exatamente de acordo com seus
precisa e deixa de fora todas as funcionalidades que eles não iriam usar de qualquer maneira. Biblioteca operando
sistemas foram propostos pela primeira vez no s (por exemplo, no Exokernel do MIT e no Neme de Cambridge
projetos sis). Depois de passar alguns anos em relativa obscuridade, eles estão se tornando populares
novamente, especialmente em ambientes virtualizados onde são comumente referidos como Uniker-
nels [ ] Em termos de segurança, os Unikernels são difíceis de comparar com, digamos, microkernel-
sistemas baseados em múltiplos servidores. Por um lado, eles não têm a separação extrema de
componentes do sistema operacional. Por outro lado, eles permitem que o código do sistema operacional (biblioteca)
ser muito menor e menos complexo - ele só precisa satisfazer as necessidades deste aplicativo
ção Além disso, a biblioteca não pode comprometer o isolamento: ela faz parte do sistema confiável deste aplicativo
base de computação e nenhuma outra.
O debate sobre qual design é melhor remonta à famosa guerra de ame entre An-
atraiu S. Tanenbaum e Linus Torvalds. Naquela época, MINIX [ ], um pequeno UNIX
sistema operacional desenvolvido por Tanenbaum, já existia por cerca de meia década, e
estava ganhando força como um sistema operacional educacional em todo o mundo, especialmente desde que
O UNIX original da Bell Labs foi vendido como um produto comercial com uma licença restritiva proibida-
impedindo os usuários de modificá-lo. Um dos usuários do MINIX era Torvalds, então um estudante finlandês que

www.cybok.org
Aplicativo Aplicativo Aplicativo Aplicativo

1 2 1 2
FS Network ... FS Network ... FS Network ...

App 1 App 2 App 3
ProcessMgr MemMgr ProcessMgr MemMgr ProcessMgr MemMgr
libOS libOS libOS
Aplicativo Scheduler Agendador internet disco ...
(apenas nu (apenas nu (apenas nu
motorista motorista motorista mínimo) mínimo) mínimo)
internet disco ... internet disco ...

motorista motorista motorista motorista motorista motorista Agendador Agendador
Aplicativo (s) + SO SO monolítico (Linux, Windows, ...) SO multi-servidor baseado em microkernel Exokernel / microkernel / hypervisor
(domínio único) (vários domínios) (muitos domínios) (muitos domínios)
Hardware Hardware Hardware Hardware
(uma) (b) (c) (d)
Figura . : Opções extremas de design para sistemas operacionais: (a) domínio único (às vezes
usado em sistemas embarcados), (b) SO monolítico (Linux, Windows e muitos outros), (c)
-microkernel baseado multi-servidor OS (por exemplo, Minix-) e (d) Unikernel / Library OS
anunciou um novo kernel do sistema operacional em uma postagem no grupo de notícias comp.os.minix em
Usenet. Em janeiro, Tanenbaum criticou o design pela falta de portabilidade e também
mirou no design monolítico do Linux, alegando que o Linux estava obsoleto desde o início. Torvalds
respondeu com suas próprias críticas ao MINIX. Esta troca acalorada continha cada vez mais
argumentos sofisticados, muitos dos quais ainda existem hoje, tanto que a questão de quem
venceu o debate permanece sem resposta.
Dito isso, o Linux se tornou extremamente popular e poucas pessoas o considerariam obsoleto. Isto é
também está claro que as ideias de sistemas multi-servidor, como o MINIX, foram incorporadas
sistemas operacionais existentes e sistemas baseados em hipervisor. Curiosamente, no momento da escrita
até o próprio MINIX está rodando em centenas de milhões de processadores Intel em miniatura
sistema operacional em um microprocessador separado conhecido como Management Engine. Em anúncio-
dição, agora que as CPUs dos sistemas modernos são cada vez mais elaboradas System on a Chips
(SoCs), o próprio hardware está começando a se parecer com um sistema distribuído e alguns pesquisadores
defendem explicitamente o design do sistema operacional de acordo, com foco na mensagem
passando em vez de compartilhamento de memória para comunicação [ 6]
A situação para ambientes virtualizados, em geral, é comparável à dos sistemas operacionais

tems. Já vimos que, em um caso extremo, toda a máquina virtual com o aplicativo
plicação e um sistema operacional simplificado podem formar um único domínio. Um mais comum
caso é ter um hipervisor no nível mais baixo suportando um ou mais sistemas operacionais
como Linux ou Windows em uma máquina virtual . Em outras palavras, esses hipervisores fornecem cada
dos sistemas operacionais com a ilusão de que são executados em hardware dedicado. No outro
fim do espectro, encontramos todo o sistema decomposto em separado, relativamente pequeno,
máquinas virtuais. Na verdade, alguns sistemas operacionais, como QubesOS integram-se completamente
os conceitos de virtualização e sistemas operacionais, permitindo processos de usuário individuais
estar isolado em suas próprias máquinas virtuais. Finalmente, como já vimos, os Unikernels são
popular em ambientes virtualizados, além de hipervisores.
Aliás, uma das desvantagens das máquinas virtuais é que cada imagem do sistema operacional
usa armazenamento e adiciona redundância, já que todo sistema vai pensar que é o rei do hard-
ware mountain, embora na realidade esteja compartilhando recursos. Além disso, cada sistema operacional em um
máquina virtual precisa de manutenção separada: atualizações, configuração, teste, etc.
a alternativa é, portanto, virtualizar no nível do sistema operacional. Nesta abordagem, vários
ambientes, conhecidos como contêineres , são executados em um único sistema operacional compartilhado. O con
www.cybok.org
contaminadores são isolados uns dos outros tanto quanto possível e têm seu próprio nome de kernel
espaços, limites de recursos, etc., mas, em última análise, compartilham o kernel do sistema operacional subjacente e
frequentemente binários e bibliotecas. Em comparação com as máquinas virtuais, os contêineres são mais leves.
No entanto, se ignorarmos os aspectos de gerenciamento por um momento, as máquinas virtuais são muitas vezes per-
tidos como mais seguros do que contêineres, pois eles particionam recursos de forma bastante estrita e
apenas o hipervisor como uma camada fina entre o hardware e o software. Por outro lado,
algumas pessoas acreditam que os contêineres são mais seguros do que as máquinas virtuais, porque eles
são tão leves que podemos dividir os aplicativos em 'microsserviços' com
terfaces em recipientes. Além disso, ter menos coisas para manter seguro reduz o surto de ataque
rosto em geral. O trabalho inicial em contêineres (ou 'virtualização no nível do sistema operacional ”é encontrado
a chamada chroot que foi adicionada pela primeira vez à versão Unix em [ ] Em, FreeBSD re-
prisões alugadas [ 8], que foi muito mais longe na virtualização do sistema operacional. Hoje nós
tem muitas implementações de contêiner. Um popular é o Docker [ ]
Uma classe final de sistemas operacionais visa explicitamente dispositivos pequenos e com recursos limitados
como os encontrados na Internet das Coisas (IoT) Embora todo mundo tenha uma opinião diferente
sobre o que significa IoT e os dispositivos a serem considerados variam de smartphones a poeira inteligente,
há um entendimento comum de que os dispositivos com maior restrição de recursos devem fazer parte
disso. Para tais dispositivos, mesmo sistemas operacionais simplificados de uso geral podem ser muito
espera-se que sistemas volumosos e operacionais operem em apenas alguns kilobytes. Como um extremo
por exemplo, sistemas operacionais IoT populares , como RIOT, podem ter menos de KB de tamanho e
executado em sistemas que variam de microcontroladores de 8 bits a CPUs de uso geral de bits, com ou
sem recursos avançados, como unidades de gerenciamento de memória (MMUs), etc. A abundância
de recursos e isolamento de aplicativos que exigimos de sistemas operacionais como Win-
dows e Linux podem estar ausentes nesses sistemas operacionais, mas em vez disso, pode haver suporte
para funcionalidades como programação em tempo real ou rede de baixo consumo de energia, que são importantes em
muitos sistemas embarcados.
Uma vez que estamos interessados nas garantias de segurança oferecidas pelo sistema operacional, iremos as-
suponha que existam vários domínios de segurança. Na próxima seção, iremos elaborar o anúncio
vantagens e desvantagens dos diferentes projetos do ponto de vista de
princípios de segurança. Nosso foco estará na segurança do design e na maneira como
pode interromper ataques, mas não antes de observar que há mais segurança neste nível. Em par-
particular, gerenciamento e manutenção do sistema - com relação a atualizações, extensões,
configuração, etc. - desempenham um papel importante.
. PRINCÍPIOS DE SEGURANÇA DO SISTEMA OPERACIONAL E

MODELOS
[ , c] [ , c, c] [ 8] [ ]
Uma vez que os sistemas operacionais (e / ou hipervisores) são a base sobre a qual repousa a segurança
ridade de todos os componentes de nível superior do sistema, é comum ouvir seus projetos serem debatidos
em termos de princípios de segurança, como os de Saltzer e Schroeder (ver Tabela . ), e
modelos de segurança, como os modelos de acesso Bell-LaPadula [ ] e Biba [] - o tópico do
próximas subseções. Embora os princípios de segurança de Saltzer e Schroeder sejam indiscutivelmente os mais
bem conhecido, devemos mencionar que outros adicionaram à lista. Por exemplo, importante
adições importantes que discutimos neste texto incluem o Princípio de Minimização da Quantidade de
Código confiável (a base de computação confiável) e o princípio de uso intencional [ ]

www.cybok.org
Princípio da. . .
Economia de mecanismo
Padrões à prova de falhas
Mediação completa
Design aberto
Separação de privilégios
Menor privilégio / menor autoridade
Mecanismo menos comum
Aceitabilidade psicológica
Mesa . : Princípios de segurança de Saltzer & Schroeder [8]
.. Princípios de segurança em sistemas operacionais

Do ponto de vista da segurança, as paredes entre os diferentes domínios de segurança devem ser tão altas
e o mais espesso possível - isolamento perfeito. Qualquer interação entre domínios deve ser sub-
jectar à mediação rigorosa, seguindo o Princípio da Mediação Completa, e segurança fazer-
a rede deve ter poucos mecanismos (especialmente aqueles que envolvem um estado compartilhado, como
variáveis globais) em comum quanto possível, aderindo ao Princípio do Mecanismo Mínimo Comum
nismo. Por exemplo, dada a escolha entre adicionar um procedimento compartilhado com variáveis globais
para o kernel do sistema operacional e torná-lo disponível em uma biblioteca de espaço do usuário que se comporta em
uma forma isolada para cada processo, devemos escolher a última opção, assumindo que
não aumentar muito o tamanho do código ou violar quaisquer outros princípios ou restrições. Além disso,
a mediação deve seguir o Princípio dos Padrões à Prova de Falhas: a política para decidir se
domínios podem acessar os recursos de outros domínios devem ser: 'Não, a menos que'. Em outras palavras,
apenas domínios explicitamente autorizados devem ter acesso a um recurso. Os princípios do mínimo
Mecanismo comum e economia de mecanismo também sugerem que devemos minimizar
a quantidade de código que deve ser confiável, o Trusted Computing Base (TCB) . Desde estudos
mostraram que mesmo bons programadores introduzem entre e 6 bugs por linha de
código, assumindo que a complexidade do código é semelhante, um pequeno TCB se traduz em menos bugs,
uma superfície de ataque menor e uma melhor chance de verificar automaticamente ou manualmente o cor-
retidão do TCB no que diz respeito a uma especificação formal.
Com relação aos projetos da Fig ., notamos que, se houver um único domínio, o TCB com-
avalia todo o software do sistema, incluindo os aplicativos. Todos os mecanismos são 'com
mon 'e não há praticamente nenhum conceito de padrões à prova de falhas ou mediação rigorosamente aplicada.
Para o design de SO monolítico , a situação é um pouco melhor, pois pelo menos o sistema operacional é
protegidos dos aplicativos e os aplicativos uns dos outros. No entanto, o funcionamento
o próprio sistema ainda é um único domínio de segurança, herdando as desvantagens da Fig .(uma). O
a decomposição extrema do sistema operacional de vários servidores é mais propícia para impor
segurança: podemos impor a mediação entre os componentes operacionais individuais em um mínimo
tamanho do microkernel com padrões à prova de falhas. Muito do código que está no sistema operacional
domínio de segurança em outros projetos, como o código do driver, não faz mais parte do TCB. Uniker-
nels são uma abordagem alternativa interessante: em princípio, o código do sistema operacional e o
aplicativo executado em um único domínio, mas o código libOS é o menor possível (Economia de
Mecanismo) e o mecanismo comum a diferentes aplicações é minimizado. Recurso
O particionamento também pode ser mediado completamente no nível do Unikernel. Para um aplicativo Unikernel-
ção, o TCB consiste apenas no hipervisor / Exokernel subjacente e nos componentes do sistema operacional
ele decide usar. Além disso, a biblioteca que implementa o componente do sistema operacional está apenas neste aplicativo
TCB do cátion, uma vez que não é compartilhado por outros.
www.cybok.org
Outro princípio, o do Open Design, é talvez mais controverso. Em particular, tem

discussões intermináveis sobre código aberto (que é uma maneira de cumprir o princípio)
versus código fechado e seus méritos e deméritos no que diz respeito à segurança. A vantagem
de um design aberto é que qualquer pessoa pode estudá-lo, aumentando a probabilidade de encontrar bugs
geral e vulnerabilidades em particular. Uma observação semelhante foi feita por Auguste Kerck-
hoffs sobre sistemas criptográficos e muitas vezes é traduzido como que não se deve confiar na segurança
pela obscuridade . Afinal, é improvável que a obscuridade dure para sempre e quando as pessoas más encontrarem um
vulnerabilidade antes que as pessoas boas o façam, você pode ter um problema real. O contra-argumento
é que com um design aberto, a probabilidade de eles encontrarem o bug é maior.
Em contraste, há poucas dúvidas de que um projeto com uma decomposição estrita está mais de acordo com
o Princípio do Menor Privilégio e o Princípio da Separação de Privilégios do que aquele onde a maioria
do código é executado em um único domínio de segurança. Especificamente, um sistema monolítico não tem sep-
aração de privilégios dos diferentes componentes do sistema operacional e do sistema operacional
sempre funciona com todos os privilégios. Em outras palavras, o código do sistema operacional responsável por
obter o identificador de processo do processo atual é executado com o poder de modificar a página
tabelas, criar contas root, modificar qualquer arquivo no disco, ler e escrever pacotes de rede arbitrários,
e travar todo o sistema a qualquer momento. Os sistemas multi-servidor são muito diferentes e
pode restringir as chamadas que os componentes individuais do sistema operacional podem fazer, limitando seu poder
os privilégios de que precisam para concluir seu trabalho, aderindo ao Princípio do Mínimo
Autoridade (POLA) com diferentes componentes com diferentes privilégios (Princípio do Privilégio
Separação). Unikernels oferecem uma possibilidade diferente e interessante para lidar com este problema
lem. Embora a maioria dos componentes seja executada em um único domínio (sem separação de privilégios ou POLA),
o sistema operacional é reduzido a apenas as partes necessárias para executar o aplicativo, e
o próprio Unikernel pode ser executado apenas com os privilégios necessários para esse propósito.
Claro, por mais importante que seja a segurança, o Princípio de Aceitabilidade Psicológica
diz que no final o sistema ainda deve ser utilizável. Dada a complexidade do sistema operacional
segurança, isso não é trivial. Enquanto a segurança reforçou os sistemas operacionais, como o SELinux
e QubesOS oferecem vantagens de segurança claras sobre muitos outros sistemas operacionais, poucos
outros usuários os usam e menos ainda sentem confiança em definir as configurações de segurança deles-
eus.
.. Modelos de segurança em sistemas operacionais

Uma questão importante em sistemas operacionais diz respeito ao fluxo de informações: quem pode ler
e escrever quais dados? Tradicionalmente, descrevemos as políticas de todo o sistema nas chamadas condições de acesso
modelos trol.
Por exemplo, o modelo Bell-LaPadula [] é um modelo de acesso de segurança para preservar a

dentialidade da informação, inicialmente criada para o governo dos Estados Unidos. Nos Estados Unidos, os EUA
itário enfrentou uma situação em que muitos usuários com diferentes níveis de liberação estariam usando
os mesmos computadores mainframe - exigindo uma solução conhecida como Segurança Multinível. Como
eles poderiam garantir que informações confidenciais nunca vazariam para pessoal não autorizado?
Se aderir ao modelo projetado por David Bell e Leonard LaPadula, um sistema pode
dle vários níveis de informações confidenciais (por exemplo, não classificado , secreto , ultrassecreto ) e vários
níveis de liberação (por exemplo, a liberação para acessar dados não classificados e secretos , mas não dados ultrassecretos )
Por outro lado, os pesquisadores encontraram bugs de segurança que têm anos ou às vezes décadas,
mesmo em software de código aberto crítico de segurança, como OpenSSL ou o kernel Linux, sugerindo que o comum
crença de que "com olhos suficientes, todos os insetos são superficiais" (também conhecida como Lei de Linus) nem sempre funciona
terrivelmente.
www.cybok.org
e manter o controle sobre o fluxo de informações confidenciais. Bell-LaPadula é frequentemente caracterizado

como 'ler, escrever'. Em outras palavras, um assunto com segredo de nível de autorização pode criar
documentos secretos ou ultrassecretos , mas não sem sigilo , pois correria o risco de vazar segredo
em formação. Da mesma forma, um usuário só pode ler documentos em seu próprio nível de segurança ou abaixo
isto. Declassi cação ou redução dos níveis de segurança (por exemplo, copiar dados de um top secret a uma se-
documento cret ) só pode ser feito explicitamente por assuntos especiais e 'confiáveis'. Aplicação estrita
deste modelo evita o vazamento de informações confidenciais para usuários não autorizados.
Bell-LaPadula se preocupa apenas com a confidencialidade. Em contraste, o modelo Biba [ ] organiza o

modo de acesso para garantir a integridade dos dados . Assim como em Bell-LaPadula, objetos e assuntos têm
uma série de níveis de integridade e o modelo garante que os assuntos em níveis mais baixos não possam
modificar dados em níveis superiores. Isso é frequentemente caracterizado como 'ler, escrever', o exato
oposto de Bell-LaPadula.
Bell-LaPadula e Biba são modelos de controle de acesso que o sistema operacional aplica quando
mediando o acesso a recursos como dados na memória ou arquivos no disco. Especificamente, eles são
Controle de acesso obrigatório (MAC) modelos, onde uma política de todo o sistema determina quais
os usuários têm o nível de autorização para ler ou escrever quais documentos específicos, e os usuários não são
capaz de disponibilizar informações para outros usuários sem o nível de autorização apropriado,
não importa o quão conveniente seja. Um modelo de controle de acesso menos estrito é conhecido como Dis-
Controle de acesso cricionário (DAC), onde os usuários com acesso a um objeto têm alguma palavra a dizer sobre
quem mais tem acesso a ele. Por exemplo, o DAC pode restringir o acesso a objetos com base em um usuário
ou processar a identidade ou associação ao grupo. Mais importante, o DAC permite que um usuário ou processo
com direitos de acesso a um objeto para transferir esses direitos a outros usuários ou processos. Tendo
apenas este DAC baseado em grupo torna difícil controlar o fluxo de informações no sistema
de forma estruturada. No entanto, é possível combinar DAC e MAC, dando aos usuários e
programa a liberdade de transferir direitos de acesso a terceiros, dentro das restrições impostas por
Políticas MAC .
Para completar, também mencionamos o controle de acesso baseado em funções (RBAC) [ ], que re-
restringe o acesso a objetos com base em funções que podem ser baseadas em funções de trabalho. Enquanto
intuitivamente simples, o RBAC permite implementar políticas de controle de acesso DAC e MAC .
. PRIMITIVAS PARA ISOLAMENTO E MEDIAÇÃO

[ , c] [ , c -c], [ ][ , c, c] [ ]
Nos 6 s, Multics [ 6] tornou-se o primeiro grande sistema operacional projetado a partir do

aterrado com a segurança em mente. Embora nunca tenha se tornado muito popular, muitas de suas seguranças
inovações ainda podem ser encontradas nos sistemas operacionais mais populares de hoje. Mesmo se algum
recursos não foram inventados diretamente pela equipe Multics, sua integração em um único
O design do sistema operacional orientado para a segurança ainda era novo. Multics ofereceu anéis de proteção, mem-
ory, proteção baseada em segmento, um sistema de arquivo hierárquico com suporte para ações discricionárias
Cess Control (DAC) e controle de acesso obrigatório (MAC) Na verdade, de muitas maneiras, o manda-
controle de acesso tório no Multics, adicionado a pedido dos militares, é uma im-
implantação do modelo de segurança Bell-LaPadula. Finalmente, Multics certificou-se de que seus muitos
pequenos componentes de software foram fortemente encapsulados, acessíveis apenas por meio de seus
interfaces onde ocorreu a mediação.
Se isso soa familiar, não é surpreendente, já que Jerome Saltzer era um dos Mul-
líderes de equipe de tiques. Os critérios de avaliação do sistema de computador confiável (TCSEC), melhor saber
www.cybok.org
como o famoso Orange Book [ ], descreve os requisitos para avaliar a segurança de um

sistema de computador, e é fortemente baseado no Multics. Não há dúvida de que Multics era muito
avançado e talvez à frente até mesmo de alguns sistemas operacionais modernos, mas este também foi o seu
queda - o sistema se tornou tão grande e complexo que violou o Princípio
de Aceitabilidade Psicológica para pelo menos alguns de seus desenvolvedores. Frustrado, Ken Thomson
e Dennis Ritchie decidiu escrever um sistema operacional novo e muito mais simples. Como um trocadilho e
para contrastá-lo com o Multics, eles o chamaram de 'Unics', mais tarde escrito UNIX. Como todos os principais objetivos gerais
representam os sistemas operacionais em uso hoje, ele se baseou em um pequeno número de primitivos de núcleo para isolar
seus diferentes domínios de segurança.
Então, quais são esses principais primitivos de isolamento? Primeiro, o sistema operacional deve ter algum
forma de autenticar usuários e domínios de segurança para que possa decidir se eles podem ou não
acessar certos recursos. Para isolar os diferentes domínios de segurança, o sistema operacional
também precisa de suporte para controle de acesso a objetos, como arquivos. Além disso, ele precisa de memória
proteção para garantir que um domínio de segurança não possa simplesmente ler dados de outro domínio
memória. Finalmente, ele precisa de uma maneira de distinguir entre código privilegiado e não privilegiado
código, de modo que apenas o código privilegiado pode configurar o isolamento desejado no nível mais baixo
e garantir a mediação para todas as operações.
.. Autenticação e identificação
Uma vez que a autenticação é o tópico da Autenticação, Autorização e Responsabilidade (AAA)
Área de Conhecimento (Capítulo ), vamos apenas observar que, para determinar os direitos de acesso, uma op-
sistema eratário precisa autenticar seus usuários e que existem muitas maneiras de fazer isso. Tra-
tradicionalmente, apenas nomes de usuário e senhas foram usados para esta finalidade, mas cada vez mais
sistemas hoje em dia usam outros métodos (como smartcards, ngerprints, varreduras de íris ou rosto
reconhecimento) - em vez de senhas ou como um fator adicional. Autenticação multifator
ção torna mais difícil para os invasores se disfarçarem de usuário legítimo, especialmente se os fatores
são de natureza diferente, por exemplo, algo que você conhece (como uma senha), algo que você possui (como
um smartcard) e algo que você 'é' (dados biométricos, como impressões digitais).
Para cada usuário autenticado dessa forma, o sistema operacional mantém um ID de usuário exclusivo. Mais-
mais, ele também pode manter outras informações sobre os usuários, como em quais grupos eles residem
(por exemplo, aluno, corpo docente e / ou administrador). Da mesma forma, a maioria dos sistemas operacionais anexa alguns
identidade para cada um dos processos em execução em nome do usuário e rastrear a propriedade e
direitos de acesso dos arquivos que usam. Por exemplo, dá a cada processo em execução um único pro-
Cess id e também registra o id dos usuários em cujo nome ele é executado (e, portanto, os grupos em
onde o usuário reside). Finalmente, ele rastreia qual usuário possui o binário em execução. Observe que o
o usuário que possui o binário e o usuário que o executa não precisam ser iguais. Por exemplo,
o administrador pode criar e possuir uma coleção de programas do sistema que outros usuários podem
execute, mas não modifique.
A propósito, armazenar credenciais de maneira segura é crucial. Vários sistemas operacionais modernos
Tems recorrem ao hardware para proteger esses dados sensíveis. Por exemplo, eles podem usar um Trusted
Módulo de plataforma (TPM) para garantir que as credenciais, como chaves de criptografia de disco, sejam criptográficas
lacrado, ou empregar uma VM separada para o armazenamento de credenciais, de modo que mesmo um comprometido
A VM não terá acesso direto às credenciais.
www.cybok.org
.. Listas de controle de acesso

Dadas essas identidades, o sistema operacional está equipado para raciocinar sobre qual usuário e
qual processo tem permissão para realizar quais operações em um objeto específico: controle de acesso.
Quando Robert Daley e Peter Neumann desenvolveram o sistema de arquivo Multics pela primeira vez, eles introduziram
produziu uma lista de controle de acesso (ACL) para cada bloco de dados no sistema [ 6, ] Vigarista-
Ceptualmente, uma ACL é uma tabela que contém usuários e blocos de dados que especificam cada dado
bloquear quais usuários têm quais tipos de direitos de acesso. A maioria dos sistemas operacionais modernos tem
adotou alguma variante de ACLs, normalmente para o sistema de arquivos. Vamos ver um exemplo. Sobre
Sistemas baseados em UNIX [ ], o controle de acesso padrão é muito simples. Cada arquivo é propriedade de
um usuário e um grupo. Além disso, cada usuário pode estar em um ou mais grupos. Por exemplo, em um
Sistema Linux, o usuário herbertb está em nove grupos diferentes:
herbertb @ nordkapp: ~ $ groups herbertb
herbertb: herbertb adm cdrom sudo dip plugdev lpadmin sambashare cybok
herbertb @ nordkapp: ~ $
Por le, um pequeno número de bits de permissão indica os direitos de acesso para o usuário proprietário,
o grupo proprietário e todos os outros. Por exemplo, vamos olhar para a ACL de um arquivo chamado
myscript no Linux:
herbertb @ nordkapp: ~ / tmp $ getfacl myscript
# arquivo: home / herbertb / tmp / myscript
# proprietário: herbertb
# grupo: cybok
user :: rwx
group :: rwx
outro :: rx
Vemos que o myscript é propriedade do usuário herbertb e do grupo cybok. O usuário proprietário e
todos os usuários em cybok grupo têm permissões para r ead, w rito, e e x ecute o le, enquanto todos os outros
os usuários podem r ead e e x ecute (mas não escrever)-lo.
Essas permissões básicas de arquivo UNIX são bastante simples, mas sistemas modernos (como Linux e
Windows) também permitem ACLs mais abrangentes (por exemplo, com direitos de acesso explícitos para vários
usuários ou grupos). Sempre que alguém tenta ler, escrever ou acessar um arquivo, a operação
o sistema verifica se os direitos de acesso apropriados estão na ACL. Além disso, o acesso
a política de controle no UNIX é tipicamente discricionária, porque o usuário proprietário tem permissão para definir
esses direitos para outros. Por exemplo, no sistema Linux acima, o usuário herbertb pode ele mesmo
decida tornar o arquivo myscript gravável por todos os usuários ('chmod o + w myscript').
Além do DAC, O Multics também implementou o MAC e, embora tenha demorado muito para chegar a esse estágio,
agora isso também é verdade para muitos dos sistemas operacionais que se inspiraram no Multics
(ou seja, os sistemas operacionais mais populares hoje). O Linux ainda oferece uma estrutura para permitir que todos
tipos de soluções de controle de acesso a serem conectadas, por meio dos chamados 'monitores de referência'
que examinam cada tentativa de executar uma operação sensível à segurança e, de fato, vários MAC
soluções existem. O mais conhecido é provavelmente o Security-Enhanced Linux (SELinux [ 8]), uma
conjunto de patches do Linux para segurança originalmente desenvolvido pela National Security Agency (NSA)
nos EUA e derivado do Flux Advanced Security Kernel (FRASCO) [ ]
O SELinux fornece aos usuários e processos um contexto de três strings: (nome de usuário, Função,
domínio). Embora a tupla já sugira (corretamente) que o SELinux também suporta RBAC ,
há flexibilidade significativa no que usar e no que evitar. Por exemplo, muitos implantados
sistemas usam apenas a string de domínio para MAC e definem nome de usuário e função para o mesmo
valor para todos os usuários. Além de processos, recursos como arquivos, portas de rede e hardware
que na maioria dos casos também segue o design hierárquico pioneiro no Multics.

www.cybok.org
recursos também têm tais contextos SELinux associados a eles. Dada esta configuração,
os administradores do sistema podem definir políticas de todo o sistema para controle de acesso em seus sistemas.
Por exemplo, eles podem definir simplesmente quais domínios um processo tem para realizar operações específicas
erações (ler, escrever, executar, conectar) em um recurso, mas as políticas também podem ser muito mais
complicado, com vários níveis de segurança e aplicação estrita de informações ow a la
Bell-LaPadula, Biba ou algum modelo de controle de acesso personalizado.
O controle de acesso obrigatório em sistemas como o SELinux gira em torno de um único sistema
política que é definida por um administrador central e não muda. Eles não permitem não confiáveis
processos para definir e atualizar sua própria política de controle de informações. Em contraste, a pesquisa
sistemas operacionais como o amianto [ ], HiStar [ ] e Flume [ ] fornecer exatamente
que: controle de fluxo de informação distribuída. Em outras palavras, qualquer processo pode criar segurança
rotula e classifica e desclassifica dados.
.. Capacidades
Até agora, assumimos que o controle de acesso é implementado por meio de uma ACL ou acesso
matriz, onde todas as informações são mantidas para decidir se um processo P pode acessar um recurso R.
Depois de autenticar os usuários e / ou consultar suas funções ou níveis de autorização, a referência
monitor decide se deve ou não conceder acesso. Porém, esta não é a única maneira. Um popular
a alternativa é conhecida como capacidade e, a partir de 66, é quase tão antiga.
Em 66, Jack Dennis e Earl Van Horn, pesquisadores do MIT, propuseram o uso de recursos
para controle de acesso em um sistema operacional [ ] Ao contrário de ACLs, os recursos não exigem um
administração por objeto com os detalhes exatos de quem tem permissão para realizar cada operação.
Em vez disso, os usuários apresentam uma capacidade que por si só prova que o acesso solicitado é per-
mitted. De acordo com Dennis e Van Horn, um recurso deve ter um identificador único de
o objeto a que se refere, bem como o conjunto de direitos de acesso fornecidos pela capacidade.
A maioria dos livros didáticos usa a definição intuitiva de Henry Levy de que um recurso é um 'token, ticket,
ou chave que dá ao possuidor permissão para acessar uma entidade ou objeto em um sistema de computador
tem '[ ] A posse da capacidade concede todos os direitos nela especificados e sempre que um
processo deseja executar uma operação em um objeto, ele deve apresentar a capa-
bilidade. Por outro lado, os usuários não têm acesso a quaisquer recursos além daqueles para os quais
eles têm capacidades.
Além disso, Peter Neumann argumenta que o controle de acesso deve ser explícito e aderir ao
Princípio de Uso Intencional [ ], autorizando explicitamente apenas o que é realmente pretendido, em vez
do que algo que é excessivamente amplo ou meramente conveniente. A adesão ao princípio ajuda a
evitar o uso acidental ou não intencional de direitos que possam levar a violações de segurança no
forma de um 'deputado confuso' (em que um domínio de segurança involuntariamente exerce um privilégio
que detém legitimamente, em nome de outro domínio que não tem e não deve).
Claro, deve ser impossível forjar recursos, para que os usuários não se dêem arbitrariamente
acesso a qualquer objeto que desejarem. Assim, um sistema operacional deve armazenar a capacidade
em um lugar seguro (por exemplo, o kernel), ou protegê-lo contra falsificações usando hardware dedicado
ou criptografia baseada em software. Por exemplo, no primeiro caso, o sistema operacional pode
armazenar as capacidades de um processo em uma tabela na memória protegida, e sempre que o processo desejar
para realizar uma operação em um arquivo, digamos, ele irá fornecer uma referência para a capacidade (por exemplo, um arquivo
descritor) e nunca toque no recurso diretamente. No último caso, a capacidade pode ser
tratado pelo próprio processo, mas qualquer tentativa de modificá-lo de forma inadequada será
detectou [ ]
www.cybok.org
As capacidades são muito flexíveis e permitem políticas de delegação convenientes. Por exemplo, dado
propriedade total de uma capacidade, um processo pode passá-lo para outro processo, para dar a
cessar os mesmos direitos de acesso ou, alternativamente, um subconjunto desses direitos. Assim, discreto
o controle de acesso opcional é fácil. Por outro lado, em algumas situações, pode não ser desejável
capaz de ter recursos copiados e espalhados arbitrariamente. Por esse motivo, a maioria dos
sistemas adicionam alguns bits aos recursos para indicar tais restrições: se copiar é
permitido, se o tempo de vida do recurso deve ser limitado a uma invocação de procedimento, etc.
Comparando ACLs e recursos, observamos ainda que as ACLs são normalmente baseadas em usuários
('o usuário com id x tem permissão para ler e escrever'), enquanto as capacidades podem ser extremamente ne-
granulado. Por exemplo, podemos usar diferentes recursos para enviar e receber dados. Fol-
seguindo o Princípio da menor autoridade, executando todos os processos com todo o poder do usuário,
em comparação com a execução de um processo apenas com o poder dos recursos que adquire, é menos se-
cura. Executado com a autoridade do usuário que iniciou o programa, como costuma ser o caso em
sistemas operacionais modernos, é conhecido como uma forma de autoridade ambiental e muito mais provavelmente
violar o Princípio de menor autoridade do que as capacidades refinadas que equipam um processo
apenas com os privilégios de que necessita. Além disso, as capacidades nem mesmo permitem que um processo nomeie
um objeto, a menos que tenha a capacidade adequada, enquanto as ACLs devem permitir a nomenclatura de
qualquer objeto por todos, já que a verificação de acesso só ocorre quando o processo tenta o op-
eração. Finalmente, as ACLs podem se tornar muito grandes com um número crescente de usuários, direitos de acesso,
e objetos.
Por outro lado, revogar um determinado direito de acesso para um determinado usuário em uma ACL é fácil:
apenas remova uma permissão na entrada da tabela apropriada. Com recursos, o processo é mais
envolvidos. Afinal, podemos nem saber quais usuários / processos têm essa capacidade. Adicionando
um nível de indireção pode ajudar um pouco. Por exemplo, podemos fazer o ponto de recursos
para um objeto indireto, que por sua vez aponta para o objeto real. Para invalidar a capacidade (para todos
usuários / processos) o sistema operacional pode então invalidar esse objeto indireto. Mas o que
fazer se quisermos apenas revogar a capacidade em um subconjunto de processos? Embora existam soluções,
a revogação de capacidades continua a ser a parte mais difícil.
Desde os anos 6, muitos sistemas baseados em capacidade surgiram - inicialmente todos com suporte em
hardware [ ] e normalmente mais rígidos do que os recursos mais gerais discutidos, então
distante. O primeiro foi o MIT PDP- Timesharing System [ ], seguido logo depois pelo
Máquina de números mágicos de Chicago na Universidade de Chicago [ 6], um projeto muito ambicioso
com recursos suportados por hardware, o que, como não é incomum para projetos ambiciosos, era
nunca concluído. No entanto, teve um grande impacto no trabalho subsequente, já que Maurice Wilkes
da Universidade de Cambridge aprendeu sobre as capacidades durante várias visitas a Chicago e
escreveu sobre isso em seu livro sobre sistemas de compartilhamento de tempo. De volta ao Reino Unido, este livro foi escolhido
por um engenheiro da Plessey que construiu o Sistema Plessey totalmente funcional (com explícita
suporte de hardware para endereçamento baseado em capacidade). O próprio Maurice Wilkes continuou a construir
o computador Cambridge CAP junto com Roger Needham e David Wheeler [ ] BONÉ
foi o primeiro computador a demonstrar o uso de recursos seguros. Esta máquina garantiu
que um processo só poderia acessar um segmento de memória ou outro hardware se possuísse o
recursos necessários. Outro sistema baseado em capacidade digno de nota da época era o CMU's
Hydra [ 8] —Que adicionou suporte explícito para restringir o uso de recursos ou operações
ções sobre objetos (permitindo especificar, por exemplo, que as capacidades não devem sobreviver a um
chamada de procedimento). Finalmente, na década de 8, os sistemas operacionais distribuídos Amoeba ex-
explorou o uso de recursos protegidos criptograficamente que poderiam ser armazenados e manipulados
pelos processos do usuário [ ]

www.cybok.org
Hoje em dia, muitos sistemas operacionais importantes também têm pelo menos algum suporte para recursos.
Por exemplo, o microkernel L, que está presente em muitos dispositivos móveis hoje, adotou
segurança baseada em capacidade na versão do grupo de Gernot Heiser no NICTA em 8 . Formalmente
kernel verificado chamado seL [ ] do mesmo grupo também depende de recursos para ac-
controle de acesso aos recursos. Em, o Linux adotou suporte de capacidade muito limitado (às vezes
referido como 'capacidades POSIX'), mas isso era diferente das capacidades definidas por Den-
nis e Van Horn (com menos suporte para cópia e transferência de recursos). Por exemplo,
Os recursos do Linux referem-se apenas a operações, não a objetos. Reconhecendo os descritores de arquivo UNIX
e as alças do Windows já são quase recursos, um esforço interessante para mesclar capacidades
laços e APIs UNIX é o projeto Capsicum [ ] pela Universidade de Cambridge e Google,
onde os recursos são extensões dos descritores de arquivo UNIX. FreeBSD adotou Capsicum
na versão. dentro . Uma conseqüência do Capsicum é RISC com capacidade de hardware aprimorada
Instruções (CHERI), um projeto de hardware-software que transpõe a capacidade do Capsicum
modelo na arquitetura da CPU .
.. Acesso físico e exclusão segura

É importante observar que as restrições de acesso no nível do sistema operacional não
necessariamente se traduzem nas mesmas restrições no nível físico. Por exemplo, a operação
sistema de gerenciamento pode 'deletar' um arquivo simplesmente removendo os metadados correspondentes que o tornam
aparecem como um arquivo (por exemplo, ao listar o diretório), sem realmente remover o conteúdo do
arquivo no disco. Assim, um invasor que lê blocos de disco brutos sem se importar com o sistema de arquivos
ainda pode ser capaz de acessar os dados.
Acontece que a exclusão segura de dados no disco não é trivial. Exclusão ingênua, por exemplo, por
substituir o conteúdo original com zeros nem sempre é suficiente. Por exemplo, em alguns
discos magnéticos, dados nas trilhas do disco deixam rastros (magnéticos) em áreas próximas às trilhas
e um ataque inteligente com tempo e recursos suficientes pode usá-los para recuperar o conteúdo.
Além disso, o sistema operacional pode ter feito cópias do arquivo que não são imediatamente
visível para o usuário, por exemplo, como um backup ou em um cache. Todas essas cópias precisam ser selecionadas
curiosamente excluído. A situação das unidades de estado sólido (SSDs) não é melhor, já que os SSDs têm seus
próprio rmware que decide o que (sobrescrever) e quando, fora do controle do sistema operacional. Para
maioria dos sistemas operacionais, exclusão verdadeiramente segura, em geral, está além do sistema operacional
capacidades e não discutiremos mais nesta área de conhecimento, exceto para dizer que
a criptografia de disco, uma característica comum dos sistemas operacionais modernos, ajuda muito a prevenir arquivos
recuperação após exclusão.
.. Proteção de memória e espaços de endereço

O controle de acesso só é significativo se os domínios de segurança estiverem isolados uns dos outros.
Para isso, precisamos separar os dados dos domínios de segurança de acordo com os direitos de acesso e um
entidade privilegiada que pode conceder ou revogar tais direitos de acesso. Vamos olhar para o isolamento
primeiro e falar sobre os privilégios mais tarde, quando apresentarmos os anéis de proteção.
Normalmente, um processo não deve ser capaz de ler os dados de outro processo sem passar
a verificação de controle de acesso apropriada. Multics e quase todos os sistemas operacionais que
seguido (como UNIX e Windows) isola informações em processos, dando a cada
cessa (a) seu próprio estado de processador (registradores, contador de programa, etc.) e (b) seu próprio subconjunto de
memória. Sempre que o sistema operacional decide executar o processo P 2 às custas de
Outras variantes de L, como o kernel L Fiasco de Dresden, também suportam recursos.
www.cybok.org
9 bits 9 bits 9 bits 9 bits 12 bits
Endereço virtual: 000000011 000000010 000000111 000000110 101101111000
Nível 4
Tabela da página
Nível 3
Tabela da página
Nível 2
Tabela da página
Nível 1
Tabela da página
5
4
3
2 5
1 4 7
registrar com addr 0 3 6
2 5
do PT de nível superior 1 4
0 3 6
2 5
1 4
0 3
2
1
0
Entrada de tabela de página:
endereço físico S
bits restantes
12 bits ( ¡ ags)
Figura . : Tradução de endereços em processadores modernos. O MMU 'conduz' as tabelas de página para
encontre o endereço físico da página. Somente se uma página for 'mapeada' nas tabelas de página de um processo podem
o processo aborda-o, assumindo que está presente e o processo tem o acesso apropriado
direitos. Especificamente, um processo do usuário não pode acessar a página para a qual o bit do supervisor ( S ) é
definido na entrada da tabela da página.
o processo P 1 atualmente em execução (uma chamada mudança de contexto), ele primeiro para P 1 e salva todos
de seu estado de processador na memória em uma área inacessível a outros processos. Em seguida, carrega
P 2 estados processador ‘s da memória para a CPU, ajusta a contabilidade que determina
quais partes da memória física são acessíveis, e começa a executar P 2 no endereço
indicado pelo contador do programa que acabou de ser carregado como parte do estado do processador. Desde usuário
processos não podem manipular diretamente a contabilidade em si, P2 não pode acessar nenhum
dos dados de P 1 em uma forma não mediada.
A maioria dos sistemas operacionais modernos mantém o controle da contabilidade da memória por meio de páginas
tabelas , conforme ilustrado na Fig .. Para cada processo, eles mantêm um conjunto de tabelas de páginas (muitas vezes
contendo vários níveis organizados como um gráfico acíclico direcionado6) e armazene um ponteiro para o
tabela de página de nível superior em um registro que faz parte do estado do processador e que deve ser salvo
e restaurado em uma troca de contexto.
O principal uso da estrutura da tabela de páginas é dar a cada processo seu próprio endereço virtual
48
espaço, variando de endereço a algum endereço máximo (por exemplo, 2 ), embora a quantidade
de memória física pode ser muito menor [ , , ] Uma vez que dois processos podem armazenar
dados no endereço x, digamos, mas não devem ter permissão para acessar os dados uns dos outros, lá
tem que ser um mapeamento dos endereços virtuais que cada processo usa para os endereços físicos
usado pelo hardware. É como um jogo de basquete, onde cada lado pode ter um jogador com
o número, mas esse número é mapeado em um jogador físico diferente para cada equipe.
É aqui que entram as tabelas de página. Dividimos cada um dos espaços de endereço virtual em
páginas de tamanho fixo e usar a estrutura da tabela de páginas para mapear o endereço do primeiro byte de um
página virtual em um endereço físico. O processador geralmente usa vários níveis de tradução.
6 Embora muitas vezes seja útil pensar nas estruturas da tabela de páginas como árvores, diferentes ramos podem apontar para o mesmo
deixar nós.

www.cybok.org
No exemplo da Fig .., ele usa os primeiros nove bits do endereço virtual como um índice no
tabela de página de nível superior (indicada por um registro de controle que faz parte do estado do processador) para nd
uma entrada contendo o endereço físico da tabela de página do próximo nível, que é indexada pelo
próximos nove bits, e assim por diante, até chegarmos à tabela de página de último nível, que contém o físico
endereço da página física que contém o endereço virtual. Os últimos bits do virtual
endereço são simplesmente o deslocamento nesta página e apontam para os dados.
A paginação permite que o tamanho (total) dos espaços de endereço virtual dos processos seja muito
maior do que a memória física disponível no sistema. Primeiro, um processo normalmente não
usar todo o seu espaço de endereço possivelmente gigantesco e apenas as páginas virtuais que estão em uso real
precisa de apoio por páginas físicas. Em segundo lugar, se um processo precisa de mais memória para armazenar alguns
dados e nenhuma página física estão livres naquele momento (por exemplo, porque eles já estão
em uso por outros processos, ou eles estão apoiando algumas outras páginas virtuais deste processo), o
sistema operacional pode trocar o conteúdo dessas páginas para o disco e, em seguida, reutilizar o
página para armazenar os novos dados.
Uma consequência fundamental desta organização é que um processo só pode acessar dados na memória
se houver um mapeamento para ele em suas tabelas de página. Se este for o caso, é controlado pelo
sistema operacional, que é, portanto, capaz de decidir exatamente qual memória deve ser privada
e que memória deve ser compartilhada e com quem. A própria proteção é aplicada por
hardware especializado conhecido como unidade de gerenciamento de memória (MMU ) Se o mapeamento de
virtual para físico para um endereço específico não está no cache pequeno, mas muito rápido conhecido como o
Buffer Lookaside de transação (TLB), o MMU irá procurá-lo percorrendo as tabelas de páginas e
em seguida, acionando uma interrupção se a página que contém o endereço não estiver mapeada.
O MMU também acionará interrupções se a página não estiver na memória (trocada para o disco),
ou, mais relevante para a segurança, se o usuário não tiver o privilégio necessário para acessar este
memória. Especi camente, os últimos bits da Entrada da Tabela da Página (PTE) contém um conjunto de ags e
um desses ags, o bit S na Fig .., indica se esta é uma página para o código do supervisor
(digamos, o sistema operacional em execução com o privilégio mais alto) ou para processos de usuário comuns.
Teremos mais a dizer sobre privilégios mais tarde.
As tabelas de página são a principal forma com que os sistemas operacionais modernos controlam o acesso à memória. Como-
sempre, alguns sistemas operacionais (principalmente mais antigos) usam, adicionalmente, outro truque: segmentação .
Não surpreendentemente, um dos primeiros sistemas operacionais usando segmentação e paginação
foi Multics [ 6, ] Ao contrário das páginas, os segmentos têm um comprimento arbitrário e começam em um
endereço arbitrário. No entanto, ambos dependem do suporte de hardware: um MMU. Por exemplo, pro
processadores como os bits x86 da Intel têm um conjunto de registros dedicados conhecido como segmento se-
letores: um para código, um para dados, etc. Cada segmento tem permissões específicas, como leitura,
escrever ou executar. Dado um endereço virtual, o MMU usa o valor atual na correspondência
ing seletor de segmento como um índice em uma tabela de descritor chamada. A entrada no descritor
tabela contém o endereço inicial e comprimento do segmento, bem como bits de proteção para pré-
código de ventilação sem o nível de privilégio necessário para acessá-lo. Caso haja apenas segmentação
e sem paginação, o endereço resultante é o endereço virtual original adicionado ao início do
segmento e esse será o endereço físico, e pronto. No entanto, tanto o GE-6
computador mainframe usado para Multics e o mais moderno x86 - permite combinar
segmentação e paginação. Nesse caso, o endereço virtual é primeiro traduzido em um assim chamado
endereço linear usando a tabela do descritor de segmento e esse endereço linear é então traduzido
em um endereço físico usando a estrutura da tabela de página.
Como veremos mais tarde, nem todos os processadores têm um MMU completo, mas sim uma proteção de memória mais simples
unidade.
www.cybok.org
Isso é tão complicado quanto parece; nenhum dos sistemas operacionais modernos populares ainda usam
segmentação. Os exemplos mais conhecidos de sistemas operacionais que usam segmentação foram
OS / (uma colaboração malfadada entre a Microsoft e a IBM que começou em meados dos 8 s
e que nunca pegou) e AS / da IBM (também lançado nos anos 88 e ainda em execução
felizmente hoje em um mainframe perto de você). O hipervisor Xen também usou segmentação em
bit x86, mas em sistemas de 6 bits isso não era mais possível. Na verdade, a versão de 6 bits da Intel
O x86 não oferece mais suporte à segmentação completa, embora alguns vestígios de sua funcionalidade
permanecer. Por outro lado, a tradução complicada de endereços de vários níveis ainda é bastante comum
em ambientes virtualizados. Aqui, o hipervisor tenta dar às máquinas virtuais a ilusão
que eles estão rodando sozinhos em hardware real, então o MMU traduz um virtual
endereço primeiro para o que é conhecido como endereço físico de convidado (usando tabelas de página). No entanto, este
ainda não é um endereço físico real, pois muitas máquinas virtuais podem ter a mesma ideia de usar,
digamos, endereço físico x. Então, em vez disso, o MMU usa um segundo estágio de tradução (usando
a que a Intel se refere como tabelas de páginas estendidas, mantidas pelo hipervisor) para traduzir o
endereço físico do convidado para um endereço físico do host ('endereço da máquina').
. .6 Extensões de hardware modernas para proteção de memória

Além disso, embora a segmentação esteja quase morta, existem muitas outras formas de suporte de hardware
para proteção de memória além da paginação. Por exemplo, muitas máquinas tiveram suporte para
verificação de limites de buffer e alguns datam de um quarto de século ou mais. Ilustrar
os primitivos correspondentes, no entanto, veremos o que está disponível em geral moderno
processadores de propósito, concentrando-se principalmente na família Intel x86. A questão aqui não é se
achamos que este processador é mais importante ou mesmo que o recurso X ou Y será muito importante
no futuro (o que é discutível e difícil de prever), mas sim para ilustrar que este ainda é um
área muito ativa para desenvolvimento de hardware hoje.
Como primeiro exemplo, considere as algo malfadadas Extensões de Proteção de Memória Intel
(MPX) que aprimoram os processadores robustos da Intel com funcionalidade para garantir que o ponto de array-
ers não podem ir além dos limites do array (parando vulnerabilidades como buffer over-
provém de ser explorado). Para este efeito, um pequeno conjunto de novos registros pode armazenar o menor
e limites superiores de um pequeno número de matrizes, enquanto antes de cancelar a referência do ponteiro, novo
As instruções MPX verificam o valor do ponteiro do array para violações de limite. Mesmo no sistema
sistemas que usam MPX apenas no espaço do usuário, o sistema operacional desempenha um papel, por exemplo, de han-
dle a exceção que o hardware lança quando encontra uma violação de limite de buffer.
A MPX foi duramente criticada por ter poucos registros desses limites, levando a muitos
sobrecarga de desempenho. Além disso, a MPX não oferece suporte a multithreading, o que pode resultar
em corridas de dados em código legado. Pode-se dizer que a MPX é um bom exemplo de tentativa de um
fornecedor de hardware para adicionar novos recursos para segurança de memória em suas CPUs que, infelizmente,
nem sempre é bem-sucedido.
Mais recentemente, a Intel adicionou Chaves de Proteção de Memória (MPKs) para seus processadores. Intel MPK al-
baixo um para definir quatro bits não utilizados anteriormente no PTE (Fig .) a um dos 6 valores de 'chave'.
Além disso, ele adiciona um novo registro de bits contendo bits para cada chave para indicar se
a leitura e a escrita são permitidas para páginas marcadas com essa chave. MPK permite que os desenvolvedores par-
colocar a memória em um pequeno número (neste caso 6) domínio de proteção e, por exemplo,
permitir que apenas uma biblioteca de criptografia específica acesse as chaves criptográficas. Enquanto usuário sem privilégios pro-
8 Ou mesmo os s, se quiser contar o System / 8.
Mais uma vez, a Intel chegou atrasada à festa, já que recursos semelhantes existiam em uma variedade de processadores desde o
6 s.

www.cybok.org
processos podem atualizar o valor do registro, apenas o código do sistema operacional privilegiado pode marcar
as páginas de memória com chaves.
Alguns designs de processador suportam proteção de memória ainda mais avançada na forma de
o que, usando a terminologia ARM, iremos nos referir como extensões de marcação de memória (MTE ) [ ]
A ideia é simples, mas poderosa. O processador atribui cada pedaço alinhado de memória
(onde um pedaço é, digamos, 6 bytes) uma assim chamada "tag" no hardware. Da mesma forma, cada ponteiro também ob-
contém uma etiqueta. As tags geralmente não são muito grandes, digamos bits, portanto podem ser armazenadas na parte superior
byte do valor do ponteiro de 6 bits que realmente não usamos de qualquer maneira (na verdade, o ARM suporta um
recurso de ignorar byte superior que faz com que o hardware mascare explicitamente o byte mais superior).
Sempre que o programa aloca N bytes de memória, o alocador arredonda a alocação
para múltiplos de 6 bytes e atribui uma tag aleatória a ele. Ele também atribui a mesma tag ao
ponteiro para a memória. A partir de agora, desreferenciar o ponteiro só é permitido se a tag em
o ponteiro corresponde ao da memória a que se refere - efetivamente parando a maioria das
e erros de memória temporal.
Enquanto isso, alguns processadores, especialmente em dispositivos de baixo consumo de energia, nem mesmo têm um
MMU em tudo. Em vez disso, eles têm uma Unidade de Proteção de Memória muito mais simples (MPU) que serve
apenas para proteger a memória, de forma semelhante à funcionalidade MPK discutida acima. Dentro
Projetos MPU , os sistemas operacionais definem uma série de regiões de memória com memória específica
ory acessar permissões e atributos de memória. Por exemplo, o MPU no processo ARMv8-M
sors suporta até 6 regiões. Enquanto isso, o MPU monitora toda a memória do processador
acessos (incluindo buscas de instruções e acessos a dados) e dispara uma exceção em
detectar uma violação de acesso.
Observe que acima, presumimos que o sistema operacional precisa de proteção contra
aplicativos de usuário não confiáveis. Uma situação especial surge quando a operação em si não é confiável.
Talvez você esteja executando um aplicativo sensível à segurança em um sistema operacional comprometido,
ou na nuvem, onde você não tem certeza se deseja confiar no provedor de nuvem. No caso geral,
você pode querer proteger seus dados e aplicativos sem confiar em nenhum outro software. Para
para isso, os processadores podem oferecer suporte de hardware para a execução de código extremamente sensível
em um ambiente seguro e isolado, conhecido como um ambiente de execução confiável no 'Trust-
Zone 'ou um enclave no Software Guard Extension da Intel (SGX) Eles oferecem um pouco diferente
primitivos. Por exemplo, o código em execução em um enclave SGX se destina a ser parte de um
processo normal do usuário. A memória que ele usa é sempre criptografada assim que sai do pro-
cessor. Além disso, SGX oferece suporte de hardware para realizar a certificação, de modo que um (possivelmente
remoto) pode verificar se o código está sendo executado em um enclave e se é o código correto.
O ARM TrustZone, por outro lado, isola o 'mundo normal' que executa a operação normal
sistema de gerenciamento e aplicativos de usuário, de um "mundo seguro" que normalmente executa seu próprio sistema
sistema operacional, bem como um pequeno número de aplicativos sensíveis à segurança. Código em
o mundo normal pode chamar o código no mundo seguro de uma forma semelhante à aplicação
cátions chamam em um sistema operacional. Uma aplicação interessante de ambientes especiais
como ARM TrustZone (ou modo SMM da Intel , discutido mais tarde) é para usá-lo para mon-
itoring da integridade de um sistema operacional regular - esperançosamente detectando qualquer
malware ou rootkit o comprometeu antes que pudesse causar algum dano sério. Embora aspectos
desses ambientes confiáveis se sobrepõem claramente à segurança do sistema operacional, consideramos
em grande parte fora do escopo desta área de conhecimento. Devemos também notar que recentemente
anos, a segurança oferecida por ambientes de execução confiáveis de hardware tem sido repetidamente
perfurado por uma variedade de canais laterais [ , , 6] que vaza informações de supostamente
Um recurso semelhante em processadores SPARC é conhecido como Application Data Integrity (ADI) [ ]
www.cybok.org
mundo seguro.
Mudando de assunto novamente, pode ser que o sistema operacional esteja bom, mas o hardware
não é. Hardware malicioso ou com defeito pode usar o acesso direto à memória do sistema (DMA) para
ler ou sobrescrever dados confidenciais na memória que deveriam estar inacessíveis para eles. Além disso,
com alguns padrões (como Thunderbolt sobre USB-C), os links PCIe de um computador podem ser
exposto diretamente a dispositivos que um usuário conecta a um computador. Infelizmente para o usuário,
é difícil ter certeza de que o que parece, por exemplo, um cabo de tela ou adaptador de energia, também não
contêm alguns circuitos maliciosos projetados para comprometer o computador [ ] Como parcial
remédio, a maioria das arquiteturas hoje em dia vem com um MMU especial para dados transferidos para e
de dispositivos. Este hardware, chamado de IOMMU, serve para mapear endereços virtuais de dispositivos para
endereços físicos, imitando exatamente a proteção baseada em página ilustrada na Fig ., mas
agora para dispositivos DMA . Em outras palavras, os dispositivos podem acessar um endereço de memória virtual, que
o IOMMU se traduz em um endereço físico real, verifica as permissões e para se o
a página não está mapeada para o dispositivo ou os bits de proteção não correspondem ao acesso solicitado.
Ao fazer isso, fornece alguma medida de proteção contra dispositivos maliciosos (ou mesmo
drivers), é importante perceber que o IOMMU foi projetado para facilitar a virtualização
e realmente não deve ser visto como uma solução de segurança adequada. Há muitas coisas que podem
dar errado [ 8] Por exemplo, talvez o administrador queira revogar o acesso de um dispositivo
direitos a uma página de memória. Uma vez que atualizar as tabelas de páginas IOMMU é uma operação lenta, não é
incomum para sistemas operacionais atrasar esta operação e agrupá-la com outras operações.
O resultado é que pode haver um pequeno intervalo de tempo durante o qual o dispositivo ainda tem acesso
para a página de memória, embora pareça que esses direitos já foram revogados.
Finalmente, podemos observar que o número crescente de transistores por área de superfície permite
um fornecedor de CPU para colocar mais e mais extensões de hardware em seus chips, e aqueles
discutidos acima não são de forma alguma os únicos relacionados à segurança nos processadores modernos. De Anúncios-
exemplos adicionais incluem unidades criptográficas, criptografia de memória, instruções para alternar ex-
tabelas de páginas gerenciadas com eficiência e autenticação de ponteiro (onde o hardware detecta mod-
i cação de valores de ponteiro). Não há dúvida de que mais recursos surgirão na geração futura
ções e sistemas operacionais terão que se adaptar a fim de usá-los de uma forma significativa. UMA
uma visão mais ampla dessas questões é encontrada na Área de Conhecimento de Segurança de Hardware (Capítulo 8)
.. Anéis de proteção
Entre as idéias mais revolucionárias introduzidas por Multics estava a noção de proteção
anéis - uma camada hierárquica de privilégio em que o anel interno (anel) é o mais privilegiado
e o anel externo é o menos privilegiado [ 6] Consequentemente, os processos de usuários não confiáveis executam
bonito no anel externo, enquanto o kernel confiável e privilegiado que interage diretamente com o
hardware executa em anel, e os outros anéis podem ser usados para mais ou menos privilegiados
processos do sistema.
Os anéis de proteção normalmente pressupõem suporte de hardware, algo de uso mais geral,
cessores oferecem hoje, embora o número de anéis possa ser diferente. Por exemplo, o Honeywell
6 8 suportava até oito anéis, Intel x86 quatro, ARM v três (mais um extra para
TrustZone) e PowerPC dois. No entanto, como veremos, a história se torna um pouco confusa
ing, porque alguns processadores modernos também introduziram mais e diferentes processadores
modos. Por enquanto, simplesmente observamos que a maioria dos sistemas operacionais regulares usa apenas dois anéis:
um para o sistema operacional e outro para os processos do usuário.
Sempre que um código menos privilegiado precisa de uma função que requer mais privilégios, ele 'chama' o
www.cybok.org
anel inferior para solicitar a execução desta função como serviço. Assim, apenas confiável, privilegiado
o código pode executar as instruções mais confidenciais ou manipular os dados mais confidenciais.
A menos que um processo com menos privilégios engane um código mais privilegiado para fazer algo que
não deveria estar fazendo (como um deputado confuso), os anéis fornecem proteção poderosa. O
ideia original no Multics era que a transição entre os anéis ocorreria através de portas de chamada especiais
que impõem controle e mediação estritos. Por exemplo, o código no anel externo não pode fazer
uma chamada para qualquer instrução no anel interno, mas apenas para pontos de entrada predefinidos onde o
a chamada é primeiro examinada para ver se ela e seus argumentos não violam nenhuma política de segurança.
Embora processadores como o x86 ainda suportem call gates, poucos sistemas operacionais os usam, como
eles são relativamente lentos. Em vez disso, o usuário processa a transição para o kernel do sistema operacional (um
'chamada de sistema') executando uma interrupção de software (uma 'armadilha') que o sistema operacional manipula,
ou mais comumente, por meio de uma instrução especial de chamada de sistema altamente eficiente (com nomes
como SYSCALL, SYSENTER, SVC, SCALL etc., dependendo da arquitetura). Muitos operam
Os sistemas operacionais colocam os argumentos para a chamada do sistema em um conjunto predefinido de registradores. Como o
call gates, os traps e as instruções de chamada do sistema também garantem que a execução continua em
um endereço predefinido no sistema operacional, onde o código inspeciona os argumentos e
em seguida, chama a função de chamada de sistema apropriada.
Além do processo do usuário chamando o sistema operacional, a maioria dos sistemas operacionais também al-
baixe o kernel para chamar o processo do usuário. Por exemplo, sistemas baseados em UNIX suportam sinais
que o sistema operacional usa para notificar o programa do usuário sobre 'algo interessante': um
erro, um cronômetro expirado, uma interrupção, uma mensagem de outro processo, etc. Se o processo do usuário
registrado um manipulador para o sinal, o sistema operacional irá parar a execução atual do
o processo, armazenando todos os seus estados de processador na pilha do processo em um chamado quadro de sinal,
e continue a execução no manipulador de sinais. Quando o manipulador de sinal retorna, o processo
executa uma chamada de sistema sigreturn que faz com que o sistema operacional assuma, restaure o
estado do processador que está na pilha e continuar executando o processo.
O limite entre os domínios de segurança, como o kernel do sistema operacional e o espaço do usuário
processos é um bom lugar para verificar as chamadas do sistema e seus argumentos
por violações de segurança. Por exemplo, em sistemas operacionais baseados em capacidade, o kernel irá
validar as capacidades [ ], e em sistemas operacionais como MINIX [ ], específico
processos só são permitidos para fazer chamadas específicas, de modo que qualquer tentativa de fazer uma chamada que
não está na lista pré-aprovada é marcada como uma violação. Da mesma forma, com base em Windows e UNIX
os sistemas operacionais precisam verificar os argumentos de muitas chamadas de sistema. Considere, por exemplo,
as chamadas de sistema comuns de leitura e gravação, pelas quais um usuário solicita a leitura de dados
de um arquivo ou socket em um buffer, ou a escrita de dados de um buffer em um arquivo ou socket,
respectivamente. Antes de fazer isso, o sistema operacional deve verificar se a memória a partir da qual escrever
ou lido é realmente propriedade do processo.
Depois de executar a chamada do sistema, o sistema operacional retorna o controle ao processo. Aqui
além disso, o sistema operacional deve tomar cuidado para não retornar resultados que prejudiquem o sistema operacional
segurança. Por exemplo, se um processo usa a chamada de sistema mmap para solicitar o sistema operacional
objetivo de mapear mais memória em seu espaço de endereço, o sistema operacional deve garantir que
as páginas de memória que ele retorna não contêm mais dados sensíveis de outro processo (por exemplo, por
inicializando cada byte para zero primeiro [ ]).
Os problemas de inicialização zero podem ser muito sutis. Por exemplo, os compiladores costumam introduzir
Preenchimento de bytes para fins de alinhamento em estruturas de dados. Uma vez que esses bytes de preenchimento não são
visível no nível da linguagem de programação, o compilador pode não ver nenhuma razão para zerar
tializá-los. No entanto, uma violação de segurança ocorre quando o sistema operacional retorna tal
www.cybok.org
uma estrutura de dados em resposta a uma chamada de sistema e o preenchimento unitializado contém
dados do kernel ou outro processo.
Aliás, mesmo o subsistema de sinalização em sistemas UNIX que mencionamos anteriormente é um

caso interessante para segurança. Lembre-se de que o sigreturn assume qualquer estado do processador
na pilha e restaura isso. Agora suponha que os invasores são capazes de corromper a pilha de
o processo e armazenar um quadro de sinal falso na pilha. Se os invasores também forem capazes de
acionar um sigreturn, eles podem definir todo o estado do processador (com todos os valores de registro) em
de uma só vez. Isso fornece um poderoso primitivo nas mãos de um invasor habilidoso e
é conhecido como Programação Orientada a Sigreturn (SROP) [ 6]
. 0,8 Um anel para governar todos eles. E outro. E outro.

Como também mencionado anteriormente, a situação em relação aos anéis de proteção é um pouco mais confusa
hoje em dia, já que CPUs recentes oferecem instruções de virtualização para um hipervisor, permitindo
para controlar os acessos de hardware no anel. Para fazer isso, eles adicionaram o que, a princípio
vista, parece um anel extra na parte inferior. Já que em processadores x86, o termo 'anel' tem sido-
vir sinônimo de 'kernel do sistema operacional' (e 'anel' com 'processos do usuário'), este novo
O anel do hipervisor é comumente referido como 'anel -' . Também indica que os sistemas operacionais
em suas respectivas máquinas virtuais podem continuar executando instruções de anel nativamente. Contudo,
estritamente falando, ele serve a um propósito muito diferente dos anéis originais, e embora o nome
anel - pegou, talvez seja um pouco incorreto.
Para fins de integridade, devemos mencionar que as coisas podem ficar ainda mais complexas,
já que alguns processadores modernos ainda possuem outros modos. Por exemplo, x86 oferece o que é conhecido
como modo de gerenciamento do sistema (SMM) Quando um sistema é inicializado, o rmware está no controle de
o hardware e prepara o sistema para que o sistema operacional assuma. Porém, quando
SMM está habilitado, o rmware recupera o controle quando uma interrupção específica é enviada para a CPU. Para
exemplo, o rmware pode indicar que deseja receber uma interrupção sempre que o poder
botão é pressionado. Nesse caso, a execução regular é interrompida e o rmware assume o controle. Isto
pode, por exemplo, salvar o estado do processador, fazer o que for necessário e, em seguida, retomar o
sistema operacional para um desligamento ordenado. De certa forma, o SMM às vezes é visto como um nível inferior
do que os outros anéis ( ring - ).
Finalmente, a Intel até adicionou um anel - na forma do Intel Management Engine (EU) Eu é um
sistema completamente autônomo que agora está em quase todos os chipsets da Intel; corre um segredo
e rmware completamente independente em um microprocessador separado e está sempre ativo:
durante o processo de inicialização, enquanto a máquina está funcionando, enquanto ela está adormecida e mesmo quando
está desligado. Enquanto o computador estiver conectado à energia, é possível se comunicar
com o ME pela rede e, digamos, instalar atualizações. Embora muito poderoso, sua funcionalidade é
em grande parte desconhecido, exceto que executa seu próprio sistema operacional pequeno qual pesquisador encontrou
vulnerabilidades contidas. Os processadores adicionais que acompanham a CPU principal (seja ele o
ME ou outros relacionados, como os chips T da Apple e Titan do Google) levantam um ponto interessante:
é o sistema operacional em execução na CPU principal capaz de atender à segurança de hoje
requisitos? Pelo menos, a tendência parece aumentá-lo com sistemas de uso especial (hard-
ware e software) para segurança.
Versão do ME, no momento em que este artigo foi escrito, é baseado no MINIX-.
www.cybok.org
.. Dispositivos low-end e IoT

Muitas das características descritas acima são encontradas, de uma forma ou de outra, na maioria dos de uso geral
arquiteturas de processador. No entanto, isso não é necessariamente verdade na IoT, ou sistema incorporado
sistemas em geral, e sistemas operacionais personalizados são comumente usados [ 6 ] Microcon-
trollers normalmente não têm MMUse às vezes nem mesmo MPUs, anéis de proteção, ou qualquer um dos
os recursos avançados com os quais contamos em sistemas operacionais comuns. Os sistemas são geralmente
pequeno (reduzindo a superfície de ataque) e os aplicativos confiáveis (e possivelmente verificados). Nunca-
no entanto, a natureza incorporada dos dispositivos torna difícil verificar ou mesmo testar sua segurança
e, onde quer que desempenhem um papel em atividades sensíveis à segurança, segurança por meio de isolamento / -
a contenção e a mediação devem ser fiscalizadas externamente, pelo meio ambiente. IoT mais amplo
as questões são tratadas na Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Capítulo ) .
. ENDURECIMENTO DO SISTEMA OPERACIONAL

[ 6, , 6, 6]
A melhor maneira de proteger sistemas operacionais e máquinas virtuais é não ter vulnerabilidades
em tudo: segurança desde o projeto. Por exemplo, podemos usar a verificação formal para garantir que certos
classes de bugs não podem estar presentes no software ou hardware, e se o sistema está funcionando
cionalmente correto [ ] Escalar a verificação para sistemas muito grandes ainda é um desafio, mas
o campo está avançando rapidamente e agora alcançamos o estágio em que componentes importantes
como um microkernel, sistemas de arquivos e compiladores foram verificados em relação a uma especificação formal
cátion. Além disso, não é necessário verificar todos os componentes de um sistema: garantia
o isolamento simplesmente requer um microkernel / hipervisor verificado e mais alguns componentes verificados
nents. A verificação de outros componentes pode ser desejável, mas não é essencial para o isolamento.
Obviamente, a própria verificação é tão boa quanto a especificação subjacente. Se você conseguir isso
errado, não importa se você o verificou, você ainda pode estar vulnerável.
Apesar de nossos melhores esforços, no entanto, não fomos capazes de erradicar todos os bugs de segurança de
grandes sistemas do mundo real. Para se protegerem contra os tipos de ataques descritos no
modelo de ameaças, os sistemas operacionais modernos empregam uma variedade de soluções para complementar o
acima das primitivas de isolamento e mediação. Nós distinguimos cinco classes diferentes de
proteção: ocultação de informações, restrições de controle de fluxo, particionamento, código e integridade de dados
verificações e detecção de anomalias.
.. Esconder informações
Uma das principais linhas de defesa na maioria dos sistemas operacionais atuais consiste em esconder o que
cada vez que os invasores possam estar interessados. Especificamente, randomizando a localização de todos os
áreas de memória evasivas (em código, heap, dados globais e pilha), os invasores não saberão onde
para desviar o fluxo de controle, nem serão capazes de detectar quais endereços contêm
dados, etc. O termo Address Space Layout Randomization (ASLR) foi cunhado em torno do
lançamento do patch de segurança PaX, que implementou esta randomização para o Linux ker-
nel em [ 6 ] —Consulte também a discussão na Área de Conhecimento de Segurança de Software (Sec-
ção . .) Logo, esforços semelhantes apareceram em outros sistemas operacionais e o primeiro principal
stream de sistemas operacionais para ter ASLR habilitado por padrão eram OpenBSD em e Linux
dentro . O Windows e o MacOS vieram em seguida. No entanto, essas implementações iniciais apenas
randomizou o espaço de endereço em programas do usuário e a randomização não atingiu o kernel
dos principais sistemas operacionais, sob o nome de Kernel ASLR (KASLR), até aproximadamente um

www.cybok.org
uma década depois de ter sido habilitado por padrão nos programas do usuário.
A ideia do KASLR é simples, mas existem muitas decisões de design não triviais a serem tomadas. Para
Por exemplo, quão aleatório é aleatório? Em particular, que parte do endereço é aleatória?
30
Digamos que seu kernel Linux tenha um intervalo de endereços de GB (= 2) para o código, e o código deve
21
ser alinhado a MB (= 2 ) limites. O número de bits disponíveis para randomização (o
entropia ) é 30 - 21 = 9 bits. Em outras palavras, precisamos no máximo de suposições para encontrar o kernel
código. Se os invasores encontrarem uma vulnerabilidade para desviar o controle do kernel para um endereço adivinhado
de um programa de espaço do usuário e cada suposição errada leva a uma falha do sistema, seria suficiente
ter acesso do espaço do usuário a algumas centenas de máquinas para acertar pelo menos uma vez com alta
probabilidade (embora muitas máquinas travem no processo).
Outra decisão importante é o que randomizar. A maioria das implementações hoje emprega
randomização de granulação grossa: eles randomizam a localização base do código, heap ou pilha,
mas dentro de cada uma dessas áreas, cada elemento está em um deslocamento xo da base. Isso é simples
e muito rápido. No entanto, uma vez que os invasores conseguem obter até mesmo um único ponteiro de código via
um vazamento de informações, eles sabem os endereços de cada instrução. O mesmo é verdade, mutatis
mutandis , para o heap, pilha etc. Não é nenhuma surpresa que esses vazamentos de informações sejam altamente
alvos valiosos para os invasores hoje.
A randomização mais refinada também é possível. Por exemplo, é possível randomizar no

nível de página ou nível de função. Se embaralharmos a ordem das funções em uma área de memória, mesmo
conhecer a base do código do kernel não é suficiente para um invasor. Na verdade, podemos ir mais
ainda mais refinado, e shuf e blocos básicos, instruções (possivelmente com instruções inúteis que
nunca execute ou não tenha efeito) ou mesmo as alocações de registro. Muitos dados aleatórios refinados
técnicas de instalação vêm ao custo de sobrecarga de espaço e tempo, por exemplo, devido à redução
localidade e fragmentação.
Além do código, a randomização refinada também é possível para os dados. Por exemplo, pesquisa
mostrou que as alocações de heap, globais e até mesmo variáveis na pilha podem ser espalhadas
em torno da memória. É claro que isso acarreta um custo em termos de desempenho e memória.
Considerando KASLR, e especialmente KASLR de granulação grossa, como nossa primeira linha de defesa contra
exploits de erro de memória não estariam longe do alvo. Infelizmente, também é um de-
fense. Numerosas publicações têm mostrado que KASLR pode ser quebrado facilmente, por vazamento
dados e / ou ponteiros de código da memória, canais laterais, etc.
.. Restrições de controle
Uma linha de defesa ortogonal é regular o fluxo de controle do sistema operacional. Ao garantir
que os invasores não podem desviar o controle para o código de sua escolha, tornamos muito mais difícil ex-
ploit erros de memória, mesmo se não os removermos. O melhor exemplo é conhecido como Control-
Integridade do Fluxo (CFI) [ 6], que agora é suportado por muitos conjuntos de ferramentas do compilador (como
LLVM e Visual Studio da Microsoft) e incorporados ao kernel do Windows com o nome
do Control Flow Guard a partir de - consulte também a Área de Conhecimento de Segurança de Software (Cap-
ter ) .
Conceitualmente, o CFI é muito simples: garantimos que o fluxo de controle no código sempre segue
o gráfico de fluxo de controle estático. Por exemplo, a instrução de retorno de uma função deve ser apenas
baixado para retornar ao seu callite, e uma chamada indireta usando um ponteiro de função em C, ou um virtual
função em C ++, deve ser capaz de direcionar apenas o ponto de entrada das funções legítimas que
ele deve ser capaz de ligar. Para implementar essa proteção, podemos rotular todos os alvos legítimos
www.cybok.org
para uma instrução de transferência de controle indireto (retornos, chamadas indiretas e saltos indiretos) e adicione
esses rótulos para um conjunto que é específico para esta instrução. Em tempo de execução, verificamos se o
a transferência de controle que a instrução está prestes a fazer é para um alvo que está no conjunto. Se não, CFI
dispara um alarme e / ou trava o programa.
Como o ASLR , o CFI vem em muitos modos, de granulação grosseira a granularidade, e de contexto
sensível ao contexto insensível. E assim como em ASLR, a maioria das implementações hoje emprega
apenas a proteção mais simples e granulada. CFI de granulação grossa significa relaxar o
regras um pouco, no interesse do desempenho. Por exemplo, em vez de restringir a função de
instrução de retorno para sites de chamada legítimos de destino que poderiam ter chamado esta função,
pode ter como alvo qualquer site de chamada. Embora menos seguro do que o CFI refinado [ 6 ], ainda restringe o
espaço de manobra dos atacantes tremendamente e tem uma verificação de tempo de execução muito mais rápida.
Em máquinas modernas, algumas formas de CFI são (ou serão) até mesmo suportadas por hardware. Para
exemplo, Intel Control-Flow Enforcement Technology (CET) oferece suporte a pilhas de sombra e
rastreamento direto da filial para ajudar a garantir a integridade das devoluções e controle de trans-
fers (de uma forma muito granulada), respectivamente. Para não ficar para trás, ARM fornece ponteiro
autenticação para evitar a modificação ilegítima de valores de ponteiro - essencialmente usando o
bits superiores de um ponteiro para armazenar um Código de Autenticação do Ponteiro (PAC), que funciona como um
assinatura criptográfica no valor do ponteiro (e a menos que você acerte o PAC , seu ponteiro
não é válido).
Infelizmente, o CFI só ajuda contra ataques que alteram o fluxo de controle - corrompendo
dados de trol, como endereços de retorno, ponteiros de função e destinos de salto, mas são impotentes
contra ataques de dados sem controle. Por exemplo, ele não pode impedir uma corrupção de memória que over-
escreve o nível de privilégio do processo atual e o define como 'root' (por exemplo, definindo o efetivo
ID do usuário ao do usuário root). No entanto, se as restrições ao fluxo de controle forem um sucesso
na prática, você pode se perguntar se restrições semelhantes também são possíveis no fluxo de dados. Na verdade eles
são, que é chamado de Integridade de Fluxo de Dados (DFI) [ 66] Em DFI, determinamos estaticamente para cada
carregar instrução (ou seja, uma instrução que lê da memória) que armazena instruções podem
produziram os dados de maneira legítima, e rotulamos essas instruções e salvamos esses rótulos
em um conjunto. Em tempo de execução, lembramos, para cada byte na memória, o rótulo do último armazenamento para aquele
localização. Quando encontramos uma instrução de carga, verificamos se a última loja nesse endereço
está no conjunto de lojas legítimas e, se não estiver, disparamos um alarme. Ao contrário do CFI , o DFI não foi
amplamente adotado na prática, presumivelmente por causa das sobrecargas significativas de desempenho.
.. Particionamento.
Além da decomposição estrutural de um sistema em diferentes domínios de segurança (por exemplo, em
processos e o kernel) protegidos por primitivas de isolamento com ou sem suporte de hardware,
existem muitas técnicas adicionais que os sistemas operacionais empregam para tornar mais difícil para
atacantes para comprometer o TCB. Nesta seção, discutimos os mais proeminentes.
Memória W ⊕X . Para evitar ataques de injeção de código, por meio dos quais os invasores transferem o controle para
uma sequência de instruções que eles armazenaram em áreas de memória que não deveriam conter
código como a pilha ou o heap, os sistemas operacionais de hoje traçam uma linha rígida entre o código
e dados [ 6 ] Cada página de memória é executável (páginas de código) ou gravável, mas não
Ambos ao mesmo tempo. A política, frequentemente referida como W⊕X ('write xor execute'), impede
a execução de instruções na área de dados, mas também a modificação de código existente. Dentro
a ausência de injeção de código, os invasores interessados em desviar o fluxo de controle do pro-
grama são forçados a reutilizar o código que já está presente. Mecanismos semelhantes são usados para fazer

www.cybok.org
dados sensíveis no kernel (como a tabela de chamada do sistema, a tabela de vetor de interrupção, etc.)
somente leitura após a inicialização. Todos os principais sistemas operacionais suportam esse mecanismo, normalmente
contando com suporte de hardware (o bit NX em processadores modernos ) - mesmo se os detalhes forem diferentes
ligeiramente, e o nome pode variar de sistema operacional para sistema operacional. Por exemplo,
A Microsoft se refere à sua implementação pelo nome Data Execution Prevention (DEP) Pré-
liberar o kernel de acessar o espaço do usuário. Já vimos que os sistemas operacionais
usar os anéis de proteção da CPU para garantir que os processos do usuário não possam acessar dados arbitrários ou
executar código no sistema operacional, de acordo com os princípios de segurança da Saltzer
& Schroeder, que prescrevem que todos esses acessos sejam mediados. No entanto, às vezes nós
também precisa proteger a outra direção e evitar que o kernel acesse cegamente (ou
pior, executar) coisas no espaço do usuário.
Para ver por que isso pode ser ruim, considere um sistema operacional onde o kernel está mapeado em
cada espaço de endereço de processo e sempre que executa uma chamada de sistema, executa o kernel
código usando as tabelas da página do processo. É assim que o Linux funcionou desde o seu início até
Dezembro. A razão é que fazer isso é eficiente, pois não há necessidade de mudar de página
tabelas ao executar uma chamada de sistema, enquanto o kernel pode acessar de forma eficiente toda a memória.
Além disso, como as páginas do kernel têm o bit de supervisor ( S ) definido, não há risco de que o usuário
processo irá acessar a memória do kernel. No entanto, suponha que o kernel tenha um bug que causa
para remover a referência de um ponteiro de função que, em circunstâncias específicas, é NULL.
A coisa mais provável de acontecer é o kernel travar. Afinal, o kernel está tentando
execute o código em uma página inválida. Mas e se um processo malicioso mapear deliberadamente um
página no endereço, e a preenche com o código que altera os privilégios do processo atual para
o da raiz? Nesse caso, o kernel executará o código, com privilégios de kernel. Isto é mau.
Agora deve estar claro que o kernel provavelmente não deve executar cegamente o código do processo. Nem
deve ler cegamente a partir dos dados do usuário. Afinal, um invasor pode usá-lo para alimentar dados maliciosos
às instruções do kernel. Para evitar esses acessos, precisamos ainda mais isolamento do que isso
fornecido pelos anéis padrão. Por esse motivo, muitas CPUs hoje oferecem o Modo Supervisor
Proteção de execução (SMEP) e Proteção de Acesso do Modo Supervisor (SMAP) SMEP e
O SMAP é habilitado configurando os bits apropriados em um registro de controle. Assim que eles forem
ativada, qualquer tentativa de acessar ou transferir o controle para a memória do usuário resultará em uma falha de página. De
claro, isso também significa que o SMAP deve ser desligado explicitamente sempre que o kernel precisa
para acessar a memória do usuário.
Alguns sistemas operacionais, incluindo Linux, têm SMEP-como restrições 'de graça' em sistemas vul-
vulnerável à vulnerabilidade Meltdown em [ ], o que os obrigou a adotar uma alternativa
design, que veio com uma etiqueta de preço. Em particular, eles foram forçados a abandonar o único anúncio
espaço de vestido (onde o kernel é executado no espaço de endereço do processo), por causa do
Meltdown canal lateral de execução fora de ordem da Tabela .. Para recapitular, o Meltdown (e
ataques Specter) consistem em invasores abusando do (excessivo) otimismo da CPU sobre o que
acontece nas instruções que ele executa fora de ordem ou especulativamente. Por exemplo, erroneamente
assume que as instruções de carregamento têm o privilégio de ler os dados que acessam, o resultado
de uma ramificação é o mesmo da vez anterior em que uma ramificação em um endereço semelhante foi executada, ou
os dados necessários para uma instrução de carga são provavelmente os dados neste buffer temporário da CPU que
foi apenas escrito. No entanto, mesmo que qualquer uma dessas suposições esteja errada, a CPU pode se recuperar
esmagando os resultados do código que foi executado fora de ordem ou especulativamente.
NX (sem execução) é como a AMD originalmente chamou o recurso em suas CPUs compatíveis com x86. Intel chama de Execute
Desativar (XD) e ARM Execute Never (XN)
Novamente, essa é a terminologia x86. No ARM, recursos semelhantes são chamados de Privileged Access Never (FRIGIDEIRA) e Priv-
ileged Execute Never (PXN)
www.cybok.org
Em um ataque do tipo Meltdown, o processo dos invasores executa uma instrução fora de ordem para ler
um byte em um endereço de kernel (supostamente inacessível), e a CPU assume de forma otimista
tudo está bem e simplesmente acessa o byte. Antes que a CPU perceba que as coisas não vão bem depois
todos e este byte não deve estar acessível, os invasores já usaram o byte para ler um
elemento particular em uma grande matriz no espaço de endereço de seu próprio processo. Embora a CPU vá
eventualmente esmagar todos os resultados, o dano já está feito: mesmo que o byte não possa ser
ler diretamente, o índice do elemento da matriz que está no cache (e é, portanto, mensurável
de acesso mais rápido do que os outros elementos) deve ser o byte do kernel.
Para remediar este problema em processadores um pouco mais antigos que não possuem um hardware x para
esta vulnerabilidade, sistemas operacionais como o Linux usam um design que separa completamente
as tabelas de páginas do kernel daquelas dos processos. Em outras palavras, o kernel também
roda em seu próprio espaço de endereço, e qualquer tentativa por uma instrução fora de ordem de ler um kernel
endereço irá falhar. O kernel ainda pode mapear nas páginas do processo do usuário e, assim, acessar
se necessário, mas as permissões podem ser diferentes. Especificamente, se eles forem mapeados como
não executável, basicamente obtemos a funcionalidade SMEP gratuitamente.
Para outras vulnerabilidades com base na execução especulativa (como Spectre e RIDL), o x é
mais problemático. Muitas vezes, várias soluções pontuais diferentes são usadas para corrigir os problemas mais graves
questões. Por exemplo, após uma verificação de limites que pode ser influenciada por usuários não confiáveis, nós
pode querer inserir instruções especiais para parar completamente a especulação. Da mesma forma, operando
sistemas como o Windows tentam "programar em grupo" apenas códigos que pertençam à mesma segurança
domínio no mesmo núcleo (de modo que vazar de um thread para outro no mesmo núcleo é
menos problemático), enquanto outros, como o OpenBSD, desabilitam totalmente o hyperthreading na Intel
processadores. No entanto, não está claro o quão completo o conjunto de patches será, enquanto estivermos
esperando que o hardware seja corrigido.
Particionamento de estados micro-arquitetônicos Ataques sofisticados de canal lateral se baseiam no agressor
compartilhamento ativo de recursos em sistemas de computação modernos. Vários domínios de segurança compartilham o
mesmo cache, o mesmo TLB, o mesmo estado de preditor de ramificação, as mesmas unidades aritméticas, etc.
Compartilhar é bom para a eficiência, mas, conforme indicado pelo Princípio do Mecanismo Menos Comum
nismo, eles também dão origem a canais laterais. Para evitar tais ataques, os sistemas operacionais podem
precisa sacrificar parte da eficiência e particionar recursos, mesmo com granularidade ne. Para
por exemplo, por meio de coloração de página em software ou tecnologia de alocação de cache baseada em hardware
ogy, um sistema operacional pode dar acesso a diferentes processos a porções totalmente desconexas
do cache (por exemplo, separando os conjuntos de cache ou separando as formas dentro de um conjunto de cache). Un-
felizmente, o particionamento nem sempre é simples e atualmente não é compatível com muitos
recursos de baixo nível.
.. Verificações de código e integridade de dados

Uma maneira de reduzir a capacidade de exploração do código em um sistema operacional é garantir que o
o código e / ou dados não são modi cados e são fornecidos por um fornecedor confiável. Por exemplo, para muitos
anos o Windows adotou a assinatura de driver . Algumas versões mais recentes deram um passo adiante
além disso e usar uma combinação de recursos de segurança de hardware e software para bloquear uma máquina
desativado, garantindo que execute apenas códigos / aplicativos confiáveis - um processo conhecido pela Microsoft como
'Device Guard'. Mesmo o malware privilegiado não consegue fazer com que aplicativos não autorizados sejam executados, pois o
máquinas para verificar se deve permitir que um aplicativo seja executado em uma virtualização assistida por hardware
meio Ambiente. A maioria das soluções de assinatura de código associam assinaturas digitais associadas ao
as extensões do sistema operacional permitem que o sistema operacional verifique se a integridade do código
está intacta e o fornecedor é legítimo. Um processo semelhante é comumente usado para atualizações.

www.cybok.org
No entanto, o que acontece com o código que verifica a assinatura e, de fato, o sistema operacional
em si - temos certeza de que isso não foi adulterado por um bootkit malicioso? Garantindo o
integridade do software do sistema que é carregado durante a inicialização envolve uma série de etapas,
principalmente relacionado às várias etapas no próprio processo de inicialização. Desde o primeiro comercial
computadores em diante, a inicialização envolveu vários estágios. Até a IBM, um computador popular
nos primeiros anos, com tantas instalações, já tinha uma inicialização de vários estágios
procedimento que começou pressionando um botão especial 'Carregar' para fazer o sistema carregar um único
Palavra de 6 bits de, normalmente, um cartão perfurado. Ele executaria (parte de) esta palavra para carregar até mesmo
mais instruções e, em seguida, comece a executar essas instruções como o "programa de inicialização".
Em geral, a inicialização segura de dispositivos começa com uma 'raiz de confiança' inicial que inicia o
processo de inicialização e é normalmente baseado em hardware, por exemplo, um microcontrolador que inicia
execução de software a partir de memória interna imutável ou de memória interna ash que
não pode ser reprogramado de forma alguma, ou apenas com verificações estritas de autenticação e autorização.
Como exemplo, os computadores modernos da Apple usam um processador separado, o T Security Chip, para
fornece a raiz de confiança do hardware para inicialização segura, entre outras coisas, enquanto o Google também
desenvolveu um processador personalizado para isso, chamado Titan. Vamos agora discutir como um hardware
A raiz de confiança ajuda a verificar se um sistema foi inicializado com segurança.
A inicialização de computadores de uso geral normalmente começa com o rmware que inicia um
sequência de estágios que termina com um sistema totalmente inicializado. Por exemplo, o rmware pode carregar
um programa de bootloader especial que carrega o kernel do sistema operacional que por sua vez pode
carregar drivers de inicialização adicionais até que o sistema operacional esteja totalmente inicializado e pronto para
interagir com o usuário ou aplicativos. Todos esses estágios precisam de proteção. Por exemplo, o
Interface de firmware extensível unificada (UEFI) pode proteger o primeiro estágio (ou seja, verificar a integridade
do bootloader), por meio do Secure Boot. A inicialização segura verifica se os carregadores de inicialização
foram assinados com a chave apropriada, ou seja, usando chaves que concordam com as informações chave que
está armazenado no rmware. Isso evitará que carregadores e drivers sem os sinais apropriados
controle do sistema. O bootloader agora pode verificar a assinatura digital
do kernel do sistema operacional antes de carregá-lo. Em seguida, o kernel verifica todos os outros componentes
nentos do sistema operacional (como drivers de inicialização e, possivelmente, antimalware integrado
software) antes de iniciá-los. Ao iniciar o programa anti-malware antes de outros drivers,
pode subsequentemente verificar todos esses componentes posteriores e estender a cadeia de confiança para um
sistema operacional inicializado.
O próximo problema é: como sabemos que é esse o caso? Em outras palavras, como sabemos
que o sistema realmente inicializou com segurança e podemos confiar no que quer que seja exibido na tela?
O truque aqui é usar um atestado, pelo qual uma parte (remota) pode detectar quaisquer alterações que
foram feitos em nosso sistema. O atestado remoto normalmente usa hardware especial, como
um Módulo de plataforma confiável (TPM) que serve de raiz de confiança e consiste em verificar, em
etapas, se o sistema foi carregado com o tipo de software "certo". Em particular, um TPM
é um módulo de hardware criptográfico que suporta uma gama de funções criptográficas, chave
geração e gerenciamento, armazenamento seguro (por exemplo, para chaves e outras informações sensíveis à segurança
formação) e, mais importante, medições de integridade. Veja o Conhecimento de Segurança de Hardware
Área (Capítulo 8) para uma discussão mais aprofundada.
Para as medições de integridade, os TPMs têm um conjunto de Registros de Configuração de Plataforma chamados
PCR-, PCR-, ..., que são definidos com um valor conhecido em cada inicialização. Esses registros não são para
escrevendo diretamente, mas para estendê-lo . Portanto, se o valor atual do PCR- o registro é X
e queremos estendê-lo com Y, o TPM calcula o hash (X, Y) e armazena o resultado em
PCR-. Agora, se quisermos estendê-lo ainda mais, digamos com Z, o TPM calcula novamente o hash de
www.cybok.org
Z e o valor atualmente em PCR- e armazena o resultado em PCR-. Em outras palavras, vai

calcular hash (Z, hash (X, Y)). Agora podemos estender isso ainda mais e criar um arbitrariamente longo
“Cadeia de hash".
Os valores nos PCRs podem servir como evidência de que o sistema está em um estado confiável. Especif-
icamente, o primeiro código executado quando você inicializa o sistema é o código de inicialização rmware que é
às vezes referida como a raiz central de confiança para medições (CRTM) ou inicialização do BIOS
quadra. Este código irá 'medir' o rmware completo, gerando um hash de seu conteúdo que ele
envia ao TPM para estender o PCR-, antes de começar a executá-lo. Em seguida, o rmware que agora é
a execução medirá o próximo componente do processo de inicialização e armazenará novamente o valor
em um PCR do TPM (por exemplo, estendendo o PCR-), antes de executá-lo. Depois de alguns destes
estágios, o (s) registro (s) PCR contêm uma cadeia hash de todas as etapas que o sistema executou para inicializar.
A parte remota pode agora verificar se o sistema iniciado com segurança por pedir ao TPM para
uma 'citação': um relatório de um conjunto de valores de PCR atualmente em PCRs (junto com um nonce fornecido
pela parte remota), que é assinado com a chave de identidade de atestado privada do TPM que nunca
sai do TPM (e deriva de uma chave codificada que foi criada no momento da fabricação).
Como a chave pública é bem conhecida, qualquer pessoa pode verificar se a citação veio do TPM. Sobre
receber a cotação e depois de verificar se ela veio do TPM e se era recente, o
parte remota sabe que o processo de inicialização só poderia ter seguido as etapas que criaram
esses hashes nos PCRs. Se eles corresponderem aos hashes de código conhecido e confiável, o
parte remota sabe que o sistema foi inicializado com segurança.
A verificação de código e integridade de dados pode continuar em tempo de execução. Por exemplo, o hipervisor
pode fornecer funcionalidade para realizar a introspecção de suas máquinas virtuais: o código ainda é
da mesma forma, as estruturas de dados ainda fazem sentido? Esta técnica é conhecida como Virtual Ma-
Introspecção chine (VMI) A funcionalidade VMI pode residir no próprio hipervisor, embora
pode estar em um aplicativo separado. Além do código, coisas comuns para verificar na solução VMI
incluem a lista de processos (algum rootkit está tentando esconder?), a tabela de chamadas do sistema (há alguém
sequestrar chamadas de sistema específicas?), a tabela de vetores de interrupção, etc.
.. Detecção de anomalia
Um monitor, seja no hipervisor ou no sistema operacional, também pode ser usado para monitorar o
sistema para eventos incomuns - detecção de anomalias [ 6 ] Por exemplo, um sistema que trava
centenas de vezes consecutivas pode estar sob ataque de alguém que está tentando quebrar o
randomização do layout do espaço de endereço do sistema. Claro, não há nenhuma evidência concreta e apenas
porque ocorreu uma anomalia, não significa que haja um ataque. Sistemas de detecção de anomalias
deve encontrar um equilíbrio entre o aumento de muitos alarmes falsos, que são caros para processar,
e aumentar muito poucos, o que significa que perdeu um ataque real.
.6 SISTEMAS OPERACIONAIS, HIPERVISORES - O QUE ACONTECE

ÁREAS RELACIONADAS?
[ , c, c]
Os problemas que encontramos nos níveis do sistema operacional e do hipervisor reaparecem em

outras áreas de sistemas e as soluções às vezes são semelhantes. Nesta seção, nós mostramos brevemente
cuss bancos de dados como um exemplo de como os princípios de segurança do sistema operacional, problemas e soluções
ções são aplicadas a outros domínios [ 68] A segurança em sistemas de banco de dados segue princípios semelhantes
princípios como aqueles em sistemas operacionais com autenticação, privilégios, controle de acesso e assim por diante
www.cybok.org
como principais preocupações. O mesmo é verdade para o controle de acesso, onde muitos bancos de dados oferecem
controle de acesso compulsório por padrão, e controle de acesso obrigatório e baseado em função para mais estrito
controle para dados mais sensíveis. Representando cada usuário como um domínio de segurança, as questões
precisamos responder à preocupação, por exemplo, os privilégios do usuário, as operações que deveriam ser
registrados para auditoria e os limites de recursos, como cota de disco, tempo de processamento da CPU , etc.
os privilégios do usuário consistem no direito de se conectar ao banco de dados, criar tabelas, inserir linhas
em tabelas ou recuperar informações de tabelas de outros usuários e assim por diante. Observe que às vezes
os usuários que não têm acesso a um banco de dados, exceto por meio de uma consulta SQL específica podem
crie entradas maliciosas para elevar seus privilégios nos chamados ataques de injeção de SQL [6 ]
Embora o controle de acesso no nível do banco de dados limite quem tem acesso a quais elementos de um banco de dados,
ele não impede acessos no nível do sistema operacional aos dados no disco. Por esta razão,
muitos bancos de dados suportam criptografia de dados transparente de colunas de tabela sensíveis em disco—
frequentemente armazenando as chaves de criptografia em um módulo fora do banco de dados. Em um caso extremo, o
os dados do banco de dados podem ser criptografados enquanto apenas os clientes possuem as chaves.
Consultar esses dados criptografados não é trivial [ ] Embora soluções criptográficas sofisticadas
(como criptografia homomórfica) existem, são soluções bastante caras e mais simples
são comumente usados. Por exemplo, às vezes é suficiente armazenar o hash de um crédito
número do cartão, digamos, em vez do número real e, em seguida, consulte o banco de dados em busca do hash.
Claro, nesse caso, apenas correspondências exatas são possíveis, pois não podemos consultar para ver se o
valor no banco de dados é maior, menor ou semelhante a algum outro valor (nem são
valores agregados, como médias ou somas possíveis). O problema da consulta criptografada
banco de dados é um campo ativo de pesquisa e está além do escopo desta área de conhecimento.
Embora a segurança e o controle de acesso em bancos de dados regulares já não sejam triviais, as coisas ficam mesmo
mais complexo no caso de Bancos de Dados Terceirizados (ODBs), onde as organizações terceirizam
sua gestão de dados para provedores de serviços externos [ ] Especificamente, o proprietário dos dados cria
atende e atualiza os dados em um provedor de banco de dados externo, que então lida com os
consultas. Além de nossas preocupações anteriores sobre confidencialidade e criptografia, questões
que surgem dizem respeito à quantidade de confiança a ser depositada no provedor. O proprietário dos dados ou o
cliente consultante confia no provedor para fornecer dados que foram criados pelo proprietário original dos dados
(autenticidade), não modi cado (integridade) e resultados recentes para as consultas? Conceitualmente, é pos-
sível garantir integridade e autenticidade por meio de assinaturas. Por exemplo, os dados
o proprietário pode assinar tabelas inteiras, linhas / registros em uma tabela, ou até mesmo atributos individuais em uma linha,
dependendo da granularidade e da sobrecarga desejadas. Soluções mais avançadas baseadas em auto-
estruturas de dados autenticadas também são comumente defendidas, como árvores hash Merkle. Dentro
Árvores de hash Merkle, originalmente usadas para distribuir chaves públicas autenticadas, nós de folha no
árvore contém um hash de seu valor de dados (o registro do banco de dados), cada nó não folha contém um
hash dos hashes de seus filhos, e o hash do nó raiz é assinado e publicado. Tudo isso
é necessário para verificar se um valor em um nó folha é realmente parte da árvore hash assinada original é o
hashes dos nós intermediários, que o cliente pode verificar rapidamente com uma série de hashes
proporcional ao logaritmo do tamanho da árvore. Claro, consultas de intervalo e agregação
estão mais envolvidos e os pesquisadores propuseram esquemas muito mais complexos do que Merkle
árvores hash, mas estão além do escopo desta área de conhecimento. A mensagem para levar
é que com algum esforço podemos garantir autenticidade, integridade e frescor, mesmo em ODBs.
www.cybok.org
. ABRAÇANDO A SEGURANÇA
[ , c] [ , c -c]
Ataques cada vez mais avançados estão levando a defesas cada vez mais avançadas. Interessantemente,
muitas dessas inovações em segurança não vêm originalmente do sistema operacional
dors ou grandes equipes de kernel de código aberto, mas sim 'de fora' - às vezes acadêmico
pesquisadores, mas no caso da segurança do sistema operacional, também muitas vezes de grupos independentes
como GRSecurity e PaX Team . Por exemplo, a equipe PaX introduziu o ASLR logo
as, desempenhou um papel pioneiro em tornar as áreas de dados não executáveis e executáveis.
ções não graváveis, bem como para garantir que o kernel não possa acessar / executar a memória do usuário.
Surpreendentemente, onde você pode pensar que os principais sistemas operacionais adotariam esses
inovações com entusiasmo, o oposto é frequentemente verdadeiro e medidas de segurança são adotadas
inconsistente.
A principal razão é que nada é gratuito e um abrandamento ou aumento no consumo de energia

por causa de uma medida de segurança não é muito popular. Os desenvolvedores do kernel Linux em particular
lar foram acusados de ser obcecado com o desempenho e ter muito pouca consideração por
segurança. No entanto, quando a situação é suficientemente urgente, não há outra maneira a não ser
lidar com o problema, mesmo que seja caro. Em sistemas operacionais, esse desempenho versus segurança
trade-off de ridade tornou-se cada vez mais importante. A pesquisa geralmente se concentra em métodos que
elevar significativamente a barra para os invasores, com uma sobrecarga aceitável.
CONCLUSÃO
Nesta área de conhecimento, abordamos questões de segurança nos níveis mais baixos do software
pilha: o sistema operacional e o hipervisor. Sistema operacional / segurança do hipervisor em
envolve a segurança do sistema operacional / hipervisor e as garantias de segurança
oferecido pelo sistema operacional / hipervisor. Como os componentes mais privilegiados, operando
sistemas e hipervisores desempenham um papel crítico em tornar os sistemas (in) seguros. Infelizmente, o
a superfície de ataque de um sistema operacional moderno ou hipervisor é muitas vezes grande e as ameaças de
crescente sofisticação envolvendo software e hardware exige cada vez mais
defesas envolvendo também software e hardware. Começando pelos princípios de segurança e fundamentos
mentais, mostramos que a segurança do sistema é influenciada pelo design do sistema (por exemplo,
no isolamento de domínios de segurança), e as primitivas e mecanismos de segurança disponíveis
para fazer cumprir os princípios (por exemplo, isolamento de memória, capacidades, anéis de proteção). Muitos dos
princípios de design de sistema operacional são úteis em muitos domínios de aplicação e são
comumente aplicado em outras áreas, como sistemas de gerenciamento de banco de dados. Tal como acontece com a maioria,
principais, vimos que as decisões de design no nível do sistema operacional / hipervisor são uma troca
entre segurança e desempenho - um ato de equilíbrio que muitas vezes retarda a adoção de
medidas de segurança.
www.cybok.org
[ ]
] [
]
8
] ]
] [ [
[ [ ] ]
[ [8
]
T: 86.866 [
[
YL: 8,8
ertheproteção
erla :: GKE: vycapability

tanenbaum moderno
anderson8security
P van-der-veen-memory-
Sgandurra:
Jaeger:
6: EA
Saltz
8: OSS: 6orangebook:le8 Karger :: T
. Modelo de atacante c c-c [ ][ ]c

. Design e segurança do sistema operacional c -c [ ] c [ 8] [ ] [ ]
. Princípios e modelos c c, c [8] [ ]
. primitivos c, c c, c [8] [ ] c -c [ ]
. Endurecimento do sistema operacional c c-c [ ]
.6 Segurança em bancos de dados c, c6 [ ]
. Abraçando a Segurança c c-c [ ]
www.cybok.org
Página 419
Capítulo
Sistemas distribuídos
Segurança
Neeraj Suri Lancaster University
www.cybok.org
INTRODUÇÃO
Um sistema distribuído é normalmente uma composição de recursos dispersos geograficamente (computação e
comunicação) que coletivamente (a) fornece serviços que ligam produtores de dados dispersos
e consumidores, (b) fornece sob demanda, altamente confiável, altamente disponível e consistente re-
acesso à fonte, muitas vezes usando esquemas de replicação para lidar com falhas de recursos, e (c) permite
uma capacidade agregada coletiva (computacional ou serviços) dos recursos distribuídos
para fornecer (uma ilusão de) um recurso ou serviço logicamente centralizado / coordenado.
Expandindo o acima exposto, os recursos distribuídos são normalmente dispersos (por exemplo, em
um Azure ou Amazon Cloud, em sistemas ponto a ponto, como Gnutella ou BitTorrent, ou em um
Implementação de Blockchain, como Bitcoin ou Ethereum) para fornecer vários recursos para o
Comercial. Estes incluem acesso geo-próximo e de baixa latência a elementos de computação, alta
largura de banda e acesso a recursos de alto desempenho e, especialmente, uninter de alta disponibilidade
serviços interrompidos em caso de falha de recursos ou violações deliberadas. A técnica geral
necessidades em um sistema distribuído, consequentemente, se relacionam com a orquestração da rede distribuída
fontes de modo que o usuário possa acessar de forma transparente os serviços aprimorados decorrentes do
distribuição de recursos sem ter que lidar com os mecanismos técnicos que proporcionam o
formas variadas de recursos distribuídos e orquestrações de serviços.
Para oferecer suporte a essas funcionalidades, um sistema distribuído comumente envolve uma progressão de
quatro elementos. Estes incluem (a) fluxos de dados em toda a coleção de entradas autorizadas (regulamento
lated via Access / Admission Control), (b) transporte dos dados para / através do
recursos (funcionalidade de transporte de dados), (c) um esquema de coordenação de recursos (coordenação
Serviços), e (d) com base em propriedade (por exemplo, pedido baseado em tempo ou evento, consenso, virtualisa-
ção) gerenciamento de dados para apoiar os aplicativos desejados, como transações, bancos de dados,
armazenamento, controle e computação.
Consequentemente, a segurança dos sistemas distribuídos aborda as ameaças decorrentes da exploração

ção de vulnerabilidades na superfície de ataques criados em toda a estrutura de recursos e funções
nacionalidades do sistema distribuído. Isso cobre os riscos para os fluxos de dados que podem com-
prometer a integridade dos recursos / estrutura do sistema distribuído, mecanismos de controle de acesso
anismos (para acesso a recursos e dados), os mecanismos de transporte de dados, o middleware
serviços de coordenação de recursos que caracterizam o modelo de sistema distribuído (replicação, falha-
manuseio, processamento transacional e consistência de dados) e, finalmente, o aplicativo distribuído
plicações baseadas neles (por exemplo, serviços da web, armazenamento, bancos de dados e livros contábeis).
Esta área de conhecimento apresenta primeiro as diferentes classes de categorias de sistemas distribuídos -
dividindo-os em duas grandes categorias de sistemas distribuídos descentralizados (sem
coordenação) e o tipo de recursos / serviços coordenados de sistemas distribuídos. Subse-
frequentemente, cada uma dessas categorias de sistema distribuído é exposta para os mecanismos conceituais
anismos fornecendo suas funcionalidades características antes de discutir as questões de segurança
pertinentes a esses sistemas. Como as violações de segurança em um sistema distribuído normalmente surgem de
violações nos elementos relacionados à distribuição (dispersão, acesso, comunicação, coordenação
nação, etc.), o KA enfatiza os fundamentos conceituais de como os sistemas distribuídos
função. Quanto melhor se entende como a funcionalidade é distribuída, melhor se pode
entenda como os sistemas podem ser comprometidos e como mitigar as violações. O KA também
discute alguns aspectos da tecnologia conforme apropriado, juntamente com o fornecimento de referências para os seguintes
seguindo os tópicos em maior profundidade.
Segurança de Sistemas Distribuídos KA | Outubro Página

www.cybok.org
CONTENTE
. CLASSES DE SISTEMAS DISTRIBUÍDOS E

VULNERABILIDADES
[ , c] [ , c] [ , c 8]
.. Classes de Sistemas Distribuídos

Uma diversidade de pontos de vista, modelos e implantações existem para caracterizar sistemas distribuídos
tems. Isso inclui a definição de um sistema distribuído no nível da agregação de
recursos cal (por exemplo, Peer to Peer ou sistemas em nuvem), definindo-o no nível de Middleware (por exemplo,
Publicar-Assinar, plataformas de objetos distribuídos ou serviços da Web) ou defini-lo em termos de
os serviços que um sistema distribuído fornece (por exemplo, Bancos de dados ou Livros). Embora um espectro de
de definições existe na literatura, sistemas distribuídos pode ser ed amplamente classificadas pela coordenação
esquema de ção que liga os recursos ou pela especificação dos serviços que os utilizam. Um
ampla classe é de controle descentralizado, onde os recursos individuais interagem principalmente com
seus recursos “vizinhos”. A outra categoria ampla vincula os recursos distribuídos por meio de
processos de comunicação, como passagem de mensagens, para realizar formas variadas de centros virtuais
controle tralizado / coordenado . Assim, com base em tais modelos de comunicação e coordenação,
os sistemas distribuídos podem ser categorizados nas duas classes amplas a seguir.
. Interações ponto a ponto descentralizadas em entidades distribuídas sem um sistema centralizado

serviço de coordenação : Peer to Peer (PP) sistemas representam esta classe de
sistemas. O controle descentralizado não cronometrado é uma característica proeminente de tais sistemas.
Por exemplo, sistemas como Kademlia, Napster, Gnutella e muitos outros distribuídos
sistemas de compartilhamento / armazenamento de arquivos e músicas, redes de sensores sem fio e também online
os sistemas de jogos se enquadram nesta categoria.
. Clustering coordenado em recursos e serviços distribuídos : esta é uma classe ampla

que é melhor compreendido quando subdividido em duas subclasses de coordenação, a saber (a)
a coordenação de recursos e (b) a coordenação de serviços. Nós iremos utilizar estes
duas abstrações de coordenação ao longo deste capítulo. O espectro de sistemas distribuídos
tems inclui modelos de cliente-servidor, modelos de multilocação n-Tier, elástico sob demanda
agregação geodispersa de recursos (Nuvens - públicas, privadas, híbridas, multi-nuvens,
Serviços de Big Data, computação de alto desempenho) e serviços transacionais, como
Bancos de dados, livros contábeis, sistemas de armazenamento ou armazenamento de valor chave (KVS) The Google File Sys-
tem, Amazon Web Services, Azure e Apache Cassandra são exemplos simples disso
aula. Embora esta classe possa parecer ampla e diversa, a coordenação ab-
straction (para recursos ou serviços) caracteriza diretamente o tipo de distribuição
sistema nessas duas subclasses. Em ambos os casos, esses sistemas são normalmente coordenados
nado por meio de trocas de comunicação e serviços de coordenação com o exterior pretendido
vêm de fornecer um "sistema virtualmente centralizado" onde propriedades como causalidade,
a ordenação das tarefas, o tratamento da replicação e a consistência são garantidos. Existem discretos
definições na literatura para sistemas cliente-servidor, computação em nuvem, computação móvel
, Bancos de dados distribuídos, etc., por meio do provisionamento de "centralizado / coordenado" virtual
o comportamento “nado” é uma característica comum entre eles.
www.cybok.org
Notas: Existem muitas nuances de segurança em sistemas distribuídos. Um ponto de vista focaliza
sobre os conceitos e mecanismos para fornecer segurança em um sistema distribuído onde o re-
fontes e serviços estão dispersos. O outro ponto de vista considera o uso da distribuição como um
meios de fornecer segurança, por exemplo, a dispersão de chaves versus um armazenamento de chaves centralizado ou o
uso de máquinas virtuais (VMs) para particionar e isolar recursos e aplicativos. Este KA
enfoca a primeira categoria de “segurança em um sistema distribuído”. No entanto, também dis-
critica os últimos pontos de vista, uma vez que os mecanismos de segurança dispersos normalmente executam
em recursos dispersos, resultando logicamente na necessidade das classes acima mencionadas de
Agrupamento descentralizado ou coordenado.
É importante ressaltar que uma arquitetura de sistema distribuído é muitas vezes uma agregação de
camadas múltiplas, onde cada camada se baseia nos serviços fornecidos pela camada abaixo e co-
serviços ordenados oferecidos em toda a distribuição. No nível mais baixo, os recursos dentro de um
dispositivo específico (memória, computação, armazenamento, comunicação) são acessados por meio do
Primitivos do sistema operacional fornecidos nesse dispositivo. Serviços distribuídos, por exemplo, nomenclatura, hora
sincronização, sistemas de arquivos distribuídos são montados através da interação de diferentes
componentes e serviços executados em dispositivos individuais. Camadas mais altas construídas sobre as camadas mais baixas
camadas e serviços para fornecer funcionalidades e aplicativos adicionais. Interações em
os diferentes componentes do sistema distribuído em cada nível são fornecidos pelo middleware
estruturas que suportam muitos estilos de comunicação diferentes: passagem de mensagens, remoto
Chamadas de procedimento (RPCs), plataformas de objetos distribuídos, arquiteturas publicar-assinar, entrar
ônibus de serviço de prêmio. Os aplicativos distribuídos são, portanto, realizados em camadas (ou camadas)
por meio das interações e coordenação de componentes e serviços distribuídos. Dentro de
essas arquiteturas, descentralização e coordenação em cada camada podem diferir, resultando em
composições híbridas de padrões de descentralização e coordenação. Nós referimos o leitor a
a Área de Conhecimento de Sistemas Operacionais e Virtualização (Capítulo ) para questões relativas
acesso a recursos básicos e os livros [ , , , , 6] para leitura adicional em
arquiteturas de sistemas distribuídos e middleware.
.. Classes de vulnerabilidades e ameaças

Vulnerabilidades referem-se ao design ou fraquezas operacionais que permitem que um sistema seja potencialmente
comprometido por um invasor. Analogamente, uma ameaça reflete o potencial ou a probabilidade de um
atacante causando danos ou comprometendo o sistema. Além disso, a segurança é um ponto-a-ponto
propriedade dos sistemas finais. Consequentemente, as vulnerabilidades de um sistema distribuído são amplamente
agrupados com base nos blocos funcionais que definem o sistema distribuído. Logicamente,
esses blocos funcionais e suas operações também constituem a ameaça /superfície de ataque para o
sistemas onde um invasor / adversário pode explorar uma vulnerabilidade para comprometer o sistema.
Em um alto nível, a superfície de ataque está relacionada ao comprometimento dos recursos físicos, o
esquema de comunicação, os mecanismos de coordenação, os próprios serviços prestados,
e as políticas de uso dos dados subjacentes aos serviços.
O seguinte descreve as funcionalidades gerais que serão progressivamente detalhadas no

seções subsequentes conforme relevantes para o modelo de sistema distribuído específico.
Segurança de Sistemas Distribuídos KA | Outubro Página 6
www.cybok.org
. . . Controle de acesso / admissão e gerenciamento de ID
O controle de acesso ou admissão determina a participação autorizada de um recurso, um usuário,

ou um serviço dentro de um sistema distribuído. Isso pode incluir o fornecimento de dados e o ac-
cessar os direitos de leitura / gravação e uso de dados durante a vida útil de um serviço. As ameaças potenciais
e ataques consequentes incluem mascaramento ou spoo ng de identidade para obter direitos de acesso
aos dados. Eles também podem envolver negação de serviço (DoS) ataques que limitam prejudicialmente ac-
(por exemplo, esgotamento dos recursos de computação e canais de comunicação) levando ao
inacessibilidade e indisponibilidade dos recursos / serviços distribuídos. Vale a pena enfatizar-
que a distribuição de recursos muitas vezes envolve mais pontos para controle de acesso, e também mais
informações transportadas no sistema para apoiar o controle de acesso, aumentando assim o ataque
superfície do sistema (consulte o Conhecimento de Autenticação, Autorização e Responsabilidade (AAA)
Área de borda (Capítulo ) para uma discussão sobre autenticação e autorização em
sistemas).
Uma entidade de sistema distribuído (recurso, serviço, usuário ou elemento de dados) participa de uma distribuição
sistema tributado com uma identidade física ou lógica. A identidade, estaticamente ou dinamicamente alo-
cated, pode ser um identificador de recurso, como um nome de ID ou um número . Aqui, a autorização pode
ser especificado em termos de identidade do usuário e / ou recurso, incluindo o uso de nomes de login
e senhas. Assim, uma atividade que envolva adulteração da identidade constitui um provável
ameaça.
. . . Transporte de Dados
As ameaças no nível da rede abrangem o roteamento, a passagem de mensagens e as modalidades de publicação-assinatura

de interação de recursos, acionamento de resposta baseado em evento e ameaças em todo o middleware
pilha. Além disso, podem ser ataques passivos (espionagem) ou ativos (modificação de dados).
Um exemplo típico é o Man In The Middle (MITM) ataque onde o invasor se insere
entre o navegador da vítima e o servidor web para estabelecer duas conexões separadas
entre eles. Isso permite que o invasor grave ativamente todas as mensagens e modifique seletivamente
dados sem acionar um alarme de atividade suspeita se o sistema não aplicar o endpoint
autenticação. Referimos o leitor a [ , ] para uma cobertura detalhada desses tópicos, e
para a Área de Conhecimento de Segurança de Rede (Capítulo ) .
[ ] fornece um excelente discurso sobre questões de nomenclatura no Capítulo 6.
www.cybok.org
. . . Serviços de gestão e coordenação de recursos
Este grupo engloba crítico o espectro de ameaças aos mecanismos (tipicamente médio
protocolos dleware ) que fornecem a coordenação de recursos. Isso inclui, entre outros,
os aspectos de sincronização, gerenciamento de replicação, mudanças de visão, ordem de tempo / evento,
linearização, consenso e confirmação transacional.
. . . Segurança de dados
Como um sistema distribuído opera essencialmente em dados (em repouso ou em movimento) sobre as facetas
de fonte de dados, distribuição de dados, armazenamento de dados ou uso de dados em serviços, o clássico CIA
As propriedades (confidencialidade, integridade e disponibilidade) se aplicam diretamente a cada elemento (e inter-
faces) desta cadeia de dados. As ameaças à confidencialidade incluem ameaças de vazamento de informações
como Side Channel Attacks ou Covert Channel Attacks. Qualquer atraso ou negação de acesso aos dados
constitui uma ameaça à disponibilidade. Os aspectos de integridade dizem respeito a qualquer comprometimento dos dados corretos-
ness como a violação da consistência dos dados conforme observado pelos participantes distribuídos.
Isso inclui os diferentes tipos de consistência (forte, fraca, relaxada, eventual, etc.)
armazenamento e serviços transacionais. Consequentemente, abordando a segurança do elemento de dados
mentos
recursos,decontrole
um sistema distribuído
de acesso, requerdea dados
transporte consideração dasde
e serviços ameaças mencionadas
coordenação, acima
bem como em
dados
ameaças na forma de aplicativos maliciosos, código e vírus (consulte a seção Malware e Ataque
Área de Conhecimento de Tecnologia (Capítulo 6)).
Organização da seção Com base nesta visão geral, as seções subsequentes progressivamente
alinhe as abordagens de segurança para sistemas distribuídos, divididos nos acima mencionados
classes de sistemas descentralizados e baseados em coordenação. Para entender a segurança
questões relevantes para cada classe, as seções também fornecem uma visão geral básica do subjacente
conceitos de sistema distribuído junto com ponteiros para leitura adicional. Seção . presentes
os modelos comumente usados para sistemas PP descentralizados . Seção . então elabora
as ameaças de segurança correspondentes para os sistemas PP . Isso é seguido pela exposição
de modelos de sistemas distribuídos coordenados na Seção . , e por uma discussão sobre os
abordando aspectos de segurança na Seção ..
. SISTEMAS DISTRIBUÍDOS: PP DESCENTRALIZADO

MODELOS
[ , c -] [ , c]
Ponto a Ponto (PP) sistemas constituem uma variante descentralizada de sistemas distribuídos. Seus
a popularidade é impulsionada pelos recursos PP característicos de escalabilidade, coordenação descentralizada
ção e baixo custo. Escalabilidade implica que nenhuma mudança no projeto do protocolo é necessária
com um número crescente de pares. Considerando que uma arquitetura cliente-servidor normalmente envolve
criar recursos de back-end (servidor) com um número crescente de solicitações (cliente), isso é
não é o caso em sistemas PP devido à sua arquitetura descentralizada inerente. Além disso,
os projetos do sistema PP descentralizado promovem resiliência inerente contra pares individuais
falhas ou outras interrupções. A própria população de pares representa o fornecimento de serviço
infra-estrutura do sistema. Desse modo, os consumidores de serviço em potencial são obrigados a participar
no provisionamento de recursos, evitando a necessidade de centros de dados dedicados. Nos últimos dois

www.cybok.org
décadas, vários modelos PP surgiram. Independentemente de sua realização específica,

eles geralmente combinam os seguintes cinco princípios: () simetria de interfaces como os pares podem
assumir funções intercambiáveis como servidores e clientes, () resiliência a perturbações em
o substrato da rede de comunicação subjacente e as falhas de pares, () dados e serviço
capacidade de sobrevivência por meio de esquemas de replicação, () uso de recursos de pares na extremidade da rede,
impondo custos de infraestrutura potencialmente baixos e promovendo escalabilidade, bem como descentralização
e () abordar a variação de provisionamento de recursos entre os pares.
Esses cinco princípios tornam o PP uma base vital para um conjunto diversificado de aplicações. Originalmente,
Os sistemas PP eram (in) famosos por seu suporte a aplicativos de compartilhamento de arquivos, como o eMule
ou KaZaA, embora seu uso agora seja comum em aplicativos como redes sociais,
distribuição de conteúdo timedia, jogos online, serviços de telefonia pela Internet, mensagens instantâneas,
a Internet das coisas, comunicação de carro para carro, controle de supervisão e aquisição de dados
(SCADA) sistemas e sistemas de monitoramento de área ampla. Conforme discutido nas seções posteriores, dis-
os livros contábeis tributados também utilizam alguns aspectos das operações de PP .
Categorias de protocolo PP Os dois principais paradigmas PP são não estruturados e estruturados

sistemas. Esses projetos de sistema se correlacionam diretamente com as categorias de aplicativos introduzidas
na seção anterior, ou seja, os protocolos não estruturados são mais adequados para (grande escala e
escalável) disseminação de dados, enquanto os estruturados são geralmente aplicados para a eficiência de
descoberta de dados. Os projetos de protocolo PP híbrido emergentes combinam aspectos de ambos
estruturados e estruturados dentro de um sistema PP integrado .
Além disso, também existem sistemas PP hierárquicos . Estes contradizem parcialmente o PP conceitual
princípio que considera todos os pares iguais no sentido de prestação de serviços. Estes hierar-
os sistemas técnicos podem ser considerados como sistemas em camadas, por exemplo, composição de múltiplas sobreposiçõess
consistindo em pares de front-end e back-end.
Independentemente do tipo de sistema PP , é importante observar que as operações básicas de PP

baseiam-se em três elementos, nomeadamente (a) identificação ou nomenclatura de nós pares, (b) encaminhamento
esquemas entre pares e (c) descoberta de pares em função de seus identificadores e roteamento.
A fim de apoiar a discussão sobre segurança em sistemas PP , as próximas subseções fornecem

uma visão geral técnica de nível introdutório sobre os protocolos PP . Fornecemos uma breve visão geral do
Categorias de protocolo PP em relação à topologia de sobreposição, descoberta de recursos e mensagem
passagem. O leitor é encaminhado a [ 8] para uma discussão abrangente sobre as operações PP .
.. Protocolos PP Não Estruturados

Representantes da classe de protocolo PP não estruturado , como Freenet ou Gnutella [ ,
8 ] são usados principalmente para aplicativos de disseminação de dados, como comp sem censura
comunicação ou compartilhamento de arquivos. Embora o conjunto de pares não tenha nenhuma topologia característica
ligando-os, sua topologia implícita é geralmente incorporada na comunicação física
subpõe a topologia de rede e muitas vezes revela uma árvore ou malha como subgráficos, que permitem
troca de mensagens de baixa latência, por exemplo, para atender aos requisitos de pontualidade da disseminação de dados
aplicações de instalação. Topologias de árvore podem ser encontradas, por exemplo, em dados de mídia de streaming de fonte única
disseminação com diversos consumidores como nós folha. Malhas são o caso mais genérico, para
por exemplo, em aplicativos com múltiplas fontes e coletores, como em aplicativos de compartilhamento de arquivos.
https://freenetproject.org/
No sentido de que dados e informações são armazenados e trocados com tecnologia de preservação de integridade e privacidade
técnicas para abordar questões de liberdade de expressão e expressão.
www.cybok.org
Os protocolos PP não estruturados geralmente procuram recursos (ou seja, pares e dados) por nome
ou rótulos e não usam um esquema de endereçamento estruturado. Este recurso oferece suporte escalonável
disseminação, mas escala insuficiente para descoberta de recursos ou caminhos de roteamento reproduzíveis. Pares
no entanto, mantenha um identificador para permitir a independência do endereço de rede subjacente.
Os recursos são descobertos usando algoritmos de pesquisa no gráfico de sobreposição. Exemplos de pesquisa
algoritmos incluem busca ampla, busca profunda, passeios aleatórios ou anel de expansão
pesquisas. Essas opções são frequentemente combinadas de acordo com os requisitos do aplicativo
ção
A comunicação entre os pares é feita por meio de mensagens. A passagem da mensagem pode ser direta, ou seja, usando
uma conexão de rede subjacente entre dois pares, mas isso geralmente requer que os pares
conheça explicitamente o endereço do par e a rota. Quando o ponto de destino da mensagem a ser
enviado é desconhecido, as mensagens são transportadas junto com uma operação de descoberta de recursos.
Todos os pares mantêm listas (tabelas de roteamento direto com endereços ou endereços em hash) com con
tato informações sobre outros pares. Portanto, as mensagens funcionam de forma eficiente e a rede faz
não sufocar com mensagens de pesquisa de endereço. A eficiência de tais listas depende do
vivacidade dos pares. Conseqüentemente, os pares listados são periodicamente monitorados para verificação de vitalidade e removidos
quando nenhuma resposta é recebida. A periodicidade é ajustada dinamicamente com base no churn relevante,
ou seja, a taxa de entradas e saídas de pares.
.. Protocolos PP Estruturados
Protocolos de PP estruturados como Chord, Pastry, Tapestry, Kademlia, CAN etc. [8 , 8,
8 , 8] são normalmente usados para aplicativos de descoberta de dados onde a estrutura do topol-
ogy auxilia em pesquisas eficientes. Seus gráficos de topologia geralmente mostram propriedades de mundo pequeno, ou seja,
existe um caminho entre quaisquer dois pares com um número relativamente pequeno de arestas. Estruturada
topologias muitas vezes aparecem como estruturas em anel com atalhos, que constituem uma base para
e operações eficientes, como descoberta de recursos e passagem de mensagens. Alguns protocolos
têm topologias mais exóticas, por exemplo, gráficos buttery, gráficos de graus xed ou um multi-torus. O
características salientes são a eficiência da descoberta de nós e a eficiência do roteamento que usa
informações sobre a estrutura e topologia do PP . Como este aspecto tem implicações de segurança, nós
detalhar brevemente essas operações.
Ao contrário dos esquemas de endereçamento aberto do P P não estruturado, nos protocolos PP estruturados , os ponteiros
a recursos como pares ou dados são armazenados em uma estrutura de dados distribuída que é chamada
uma tabela de hash distribuída (DHT) . O espaço de endereço da sobreposição é geralmente uma escala inteira no
intervalo de [0, ..., 2 w - 1] com w sendo 8 ou 6 em geral. Normalmente, uma função de distância d (a, b)
é de nido, o que permite cálculos de distância entre quaisquer dois identificadores a e b no ad-
espaço de vestir. Os cálculos de distância são cruciais para o mecanismo de pesquisa e armazenamento de dados
responsabilidades. A função de distância e suas propriedades diferem entre as implementações de protocolo
ções. A descoberta de dados é realizada computando a chave de um identificador de recurso fácil de entender
como um nome / chave distintivo e, subsequentemente, solicitar essa chave e seus dados de um
dos pares responsáveis.
Mensagens - por exemplo, para solicitar os dados de uma determinada chave - são trocadas na maioria das estruturas
protocolos gerenciados diretamente, ou seja, usando uma conexão de rede subjacente entre dois pares. Se
os pares não se conhecem, então nenhuma conexão direta pode ser configurada e o destino
a localização do par precisa ser determinada para conduzir o roteamento. Para este fim, uma pesquisa de sobreposição
mecanismo visa diminuir constantemente a distância do espaço de endereço em direção ao destino
em cada iteração do algoritmo de pesquisa até que o identificador possa ser resolvido. Este design
www.cybok.org
Essa abordagem acaba sendo muito eficiente e promove escalabilidade. Assim que a pesquisa for bem sucedida
obtido com sucesso o endereço de rede subjacente do destino, as mensagens podem ser trocadas.
Variantes de pesquisa incluem algoritmos iterativos ou recursivos, bem como consultas paralelizadas a um
conjunto de pares vizinhos mais próximos.
As tabelas de roteamento geralmente armazenam entradas k · w, sendo k uma constante específica do protocolo. Além disso,
º
para o eu porção de k entradas com i ∈ [0 ... w], o par armazena informações de contato dos pares
que compartilham i bits pre xos comuns da chave do par. Em outras palavras, as tabelas de roteamento geralmente pro
vide mais armazenamento para pares mais próximos do que para os mais distantes. Além disso, as tabelas de roteamento mantêm
apenas informações sobre pares ativos e acessíveis, portanto, os pares recebem ping periodicamente. Dentro
protocolos estruturados, a manutenção é mais cara porque a estrutura topológica precisa
ser retidos, por exemplo, pares recém-unidos devem ser colocados nas tabelas de roteamento de pares apropriados
ou pares que deixam / não respondem devem ser substituídos por pares ativos nas tabelas de roteamento de muitos pares.
.. Protocolos PP Híbridos
Variantes híbridas de protocolos PP integram elementos não estruturados e estruturados
esquemas, pois sua principal intenção é a descoberta e disseminação de dados. Proeminente hi-
Os exemplos de protocolo brid incluem serviços de compartilhamento de arquivos, como Napster e BitTorrent [ 8 ]
BitTorrent era originalmente um protocolo não estruturado clássico, mas agora foi estendido com
recursos PP estruturados para fornecer um mecanismo de descoberta de dados totalmente descentralizado. Conse-
frequentemente, o BitTorrent poderia abandonar o conceito dos chamados "servidores rastreadores" (que facilitava
descoberta de pares) e melhorar sua disponibilidade. Por outro lado, os requisitos arquitetônicos de
dez precisam ser considerados para utilizar totalmente a capacidade dos protocolos de PP híbrido . Um exemplo
seria estabelecer como a descoberta de dados é transmitida entre os servidores e como
é reportado ao usuário [ 86] Considerações semelhantes se aplicam a outras sobreposições de streaming
abordagens.
.. Protocolos PP hierárquicos
Normalmente, todos os pares em um sistema PP são considerados iguais em termos de cliente-servidor
serviços que podem fornecer. No entanto, para alguns cenários de aplicação, verifica-se que uma hierarquia
O design PP cal pode ser vantajoso. Isso pode incluir um design em camadas estruturado e
sobreposições não estruturadas. Em projetos hierárquicos, os pares são ainda mais categorizados com base em seus
largura de banda, latência, armazenamento ou provisionamento de ciclos de computação com alguns (super) pares
desempenhando um papel de coordenação. Normalmente, a categoria com menos pares representou a parte de back-end
do sistema hierárquico, enquanto a multidão de pares agem como pares front-end que pro
cessar as solicitações de serviço no primeiro nível e apenas encaminhar as solicitações para o back-end quando eles
não pode atender à solicitação de serviço em primeiro lugar. Isso melhora o desempenho de pesquisa e
também gera menos mensagens na rede. Além disso, o conteúdo popular pode ser armazenado em cache
localmente para reduzir atrasos de download [ 8 ] Este projeto provou ser bem-sucedido, por exemplo, em
o sistema de compartilhamento de arquivos eDonkey ou em modelos Super PP , como KaZaA, onde um
peer atua como um servidor para um subconjunto de clientes.
www.cybok.org
. SISTEMAS DISTRIBUÍDOS: SISTEMAS PP DE ATAQUE

[ , c 6] [ 88, c]
Apresentamos ataques de segurança correspondentes às classes de sistemas PP mencionadas acima .

Para facilitar esta discussão, delineamos os elementos funcionais de um sistema PP que ajudam
o leitor relaciona as implicações de segurança para sistemas específicos ou casos de aplicação. Subse-
frequentemente, avaliamos os riscos decorrentes de ataques para planejar a mitigação necessária. O PP
os elementos funcionais que precisam de proteção amplamente incluem:
. Operações PP (P-OP), como descoberta, consulta, roteamento, download, etc. que são acessados
sível através da interface de serviço do protocolo PP . Esta funcionalidade está relacionada ao
nível de rede.
. Estruturas de dados PP (P-DS), por exemplo, dados armazenados na tabela de roteamento de um par ou recursos que
são compartilhados com outros pares da rede de sobreposição. Este elemento funcional pode ser
acessível no nível da rede ou localmente na máquina host do par.
Iremos nos referir a esses dois elementos como P-OP e P-DS, nas subseções a seguir, onde
discutimos os ataques PP específicos . Usamos as noções de segurança estabelecidas de [8 ] para
Confidencialidade, integridade e disponibilidade. Sempre que uma definição se refere à autenticação, nós
suponha que os pares sejam implicitamente autenticados ao ingressar na rede de sobreposição. Protocolos PP
pode usar sistemas de controle de admissão ou pode ser aberto a pares arbitrários.
Observe que nos concentramos em ataques contra sistemas PP (por exemplo, negação de serviço ou roteamento de dis-
rupturas) e não consideram os ataques que são preparados ou conduzidos usando sistemas PP em
a fim de prejudicar nãoSistemas PP (por exemplo, usando umsistema PP para coordenar a negação distribuída de
ataques de serviço).
.. Tipos de Ataque
Agora apresentamos os diferentes ataques que são específicos a sistemas PP . Em termos gerais, os ataques
correspondem a atacar os elementos funcionais, P-OP e P-DS, seja por (a) interromper seu
conectividade ou acesso a outros nós para disseminação / descoberta / roteamento ou (b) corrupção
suas estruturas de dados. Além dos conhecidos (distribuídos) ataques de negação de serviço que
se aplicam ao PP , bem como a outros sistemas, a maioria dos ataques explora recursos fundamentais do PP
como a coordenação descentralizada baseada na troca de mensagens e, especialmente, que cada par
tem apenas uma visão parcial (local) de todo o sistema. Consequentemente, os invasores visam enganar outros
pares, fornecendo dados incorretos ou conspirando para criar partições que ocultam visualizações do sistema
de bons nós. Isso inclui cenários de exemplo, como (a) para enganar pares em termos de
roteamento, (b) para aproveitar o acesso aos recursos, (c) para superar as limitações na votação
sistemas ou jogos, ou (d) para ocultar informações na sobreposição, entre outros. Nós encaminhamos o leitor
aos artigos de pesquisa [ , ] para uma exposição mais completa de segurança PP . Nós agora enumeramos
alguns ataques de segurança representativos e relacioná-los ao seu impacto correspondente no Con-
dentialidade, integridade e disponibilidade (CIA) Alguns exemplos de ataques são discutidos posteriormente
na seção . . junto com as abordagens de mitigação correspondentes.
- Ataques de negação de serviço (DoS) [ 8], Negação de serviço distribuída (DDoS), ou interrupção em-
tachas [ ] se manifesta como exaustão de recursos, limitando o acesso a um nó ou uma comunicação
rota de instalação. Em arquiteturas PP , o invasor visa diminuir o serviço da rede de sobreposição
disponibilidade pelo envio excessivo de mensagens para um conjunto específico de pares e, portanto, nega-
afetando ativamente a funcionalidade do P-OP . Isso pode afetar o mecanismo de entrada / saída de pares ou
www.cybok.org
outros aspectos arbitrários do serviço PP , por exemplo, danificar as operações de colocar / obter de roteamento em um DHT.
Por exemplo, pares benignos podem ser prejudicados por uma carga de trabalho de manutenção excessiva. Mais-
mais, ataques DoS e DDoS podem ter um impacto negativo no uso de largura de banda e recursos
aprovisionamento que pode resultar em serviços degradados. Por exemplo, o GitHub foi atingido por um
den ataque de tráfego que atingiu. terabits por segundo . O tráfego foi rastreado até
“Mais de mil sistemas autônomos diferentes (ASNs) em dezenas de milhares de
endpoints ”participando do ataque.
- Ataques de conluio [ ] visam comprometer a disponibilidade, integridade, ou confidencialidade de
Redes PP . Conluio refere-se ao fato de que um subconjunto suficientemente grande de colegas conspira
para realizar uma estratégia que visa os serviços PP e, portanto, afeta negativamente o P-
Funcionalidade OP . O ataque típico visa anular os mecanismos de controle, como aqueles para
reputação ou gerenciamento de confiança, ou provisionamento de largura de banda. Os ataques Sybil e Eclipse,
discutidos mais tarde, são baseados em invasores conspirando para criar partições de rede para ocultar sistemas
tem informações de estado de bons nós.
- Ataques de poluição [
, ] ou P-DS
integridade do sistema e sua funcionalidade envenenamento de índice
, adicionando [ 6] visam
informações comprometer
incorretas. o sistema
Consequências dePP
Os ataques de poluição são a proliferação de conteúdo poluído, resultando em deficiências no serviço.
Um exemplo é o ataque de adware de febre tifóide em que o invasor altera parcialmente o conteúdo, por exemplo,
adicionar anúncio em um único par que subsequentemente espalha este conteúdo poluído para
outros pares.
- Lavagem branca [ ] ou ataques de censura visam comprometer a disponibilidade ou integridade
de sistemas PP . Isso inclui alteração ilícita, exclusão ou negação de acesso aos dados.
Portanto, esses ataques colocam em risco a funcionalidade do P-DS . Ataques de lavagem branca são especialmente
especialmente perigoso para sistemas PP que usam sistemas baseados em reputação, uma vez que permitem um par
com má reputação para deixar o sistema e, posteriormente, reingressar como um usuário benigno.
- Ataques de roteamento [ , ] têm como objetivo comprometer a disponibilidade ou integridade das redes PP .
Ataques de roteamento desempenham um papel importante em ataques compostos, como o ataque Eclipse que
obstrui a visão de um bom nodo do resto do sistema. Em ataques de roteamento, um par malicioso
enfraquece o mecanismo de passagem de mensagens, por exemplo, descartando ou atrasando mensagens. A-
outra variante do ataque de roteamento é o envenenamento da tabela de roteamento (RTP
] Neste
) [ ataque, um atacante
deliberadamente modifica suas próprias tabelas de roteamento ou de outros pares, por exemplo, retornando informações falsas
a solicitações benignas de pesquisa de pares. Atração e repulsão [ ] são variantes específicas de
ataques de roteamento que aumentam (atração) ou diminuem (repulsão) a atratividade
de pares, por exemplo, durante a seleção de caminho ou tarefas de manutenção da tabela de roteamento. Esses ataques nega-
afetam de forma ativa a funcionalidade do P-DS . O compromisso da tabela de encaminhamento na Pastelaria, muito utilizada
em redes sociais online, é um ataque de roteamento típico.
- Ataques de trapaça no mapa de buffer [ 8] têm como objetivo diminuir a disponibilidade de redes PP , partic-
principalmente aqueles usados para aplicativos de streaming de mídia. Através deste ataque, os adversários reduzem
a carga de tráfego de saída de seus pares, mentindo sobre o provisionamento de dados. Isto é também
uma violação da integridade e afeta a funcionalidade do P-OP . Este ataque é especialmente relevante
vantajoso em aplicações PP de streaming media que contam com a colaboração de pares. Omissão,
Relatórios Falsos, Blocos Falsos, Seleção incorreta de Vizinhos são implicações relacionadas de tais
ataques.
- Ataques Sybil [ ] visam comprometer a disponibilidade ou confidencialidade (via spoo ng) de
Redes PP e podem ser consideradas como uma versão específica de ataques de inserção de nó / par . Eles
https://www.wired.com/story/github-ddos-memcached
www.cybok.org
considere a inserção na sobreposição de pares que são controlados por um ou vários anúncios
sários. Isso pode acontecer em locais específicos ou arbitrários da topologia da sobreposição, dependendo
mirando na mira do atacante. Além disso, os aplicativos PP podem considerar os usuários do sistema como legais
entidades e, consequentemente, restringir a quantidade de pares por usuário à quantidade permitida
votos para essa entidade. Portanto, um desequilíbrio resulta em termos da quantidade esperada de pares
por usuário. Ataques de Sybil podem ser um precursor de muitos dos ataques descritos anteriormente. Sybil
ataques afetam a funcionalidade P-OP do sistema. Ataques proeminentes de Sybil incluem o
promessa do ataque BitTorrent DHT e Sybil na rede de anonimato Tor.
- Ataques de Eclipse [ ] têm como objetivo diminuir a disponibilidade, integridade e confidencialidade da rede PP
trabalho. Essencialmente, um bom par está rodeado por um grupo conivente de pares maliciosos que
bloqueia parcial ou totalmente a visão dos colegas do resto do sistema. A conseqüência é que
os nós maliciosos podem mascarar ou falsificar as interações externas do nó. Este é um com-
Posite ataque que pode envolver envenenamento da tabela de roteamento, DoS/ DDoS, Ataques de Sybil, conluio,
lavagem branca ou censura. Consequentemente, esses ataques têm um impacto tanto no P-OP
e funcionalidade P-DS . Variantes de ataques Eclipse incluem Ataques Eclipse Localizados (LEA),
Ataques localizados do Eclipse com reconhecimento de topologia (taLEA) e Ataques Eclipse de saída (OEA) no-
tachas, entre outros. Um exemplo de um ataque Eclipse em Bitcoin é discutido na Seção.
Ataque Disponibilidade, integridade, confidencialidade, funcionalidade
DoS / DDoS P-OP

Conluio P-OP
Poluição P-DS
Lavagem de branco e censura P-DS
Encaminhamento P-DS
Trapaça do mapa de buffer P-OP
Sybil P-OP
Eclipse P-DS, P-OP
Mesa . : Ataques PP, metas de segurança e funcionalidade afetada
. . . Resumo
Mesa . resume os ataques aos elementos funcionais do PP que implicam modificações de

o sistema PP para degradar ou comprometer as operações PP . O adversário col-
a ilusão de pares maliciosos é um fator chave para lançar esses ataques, resultando em dis-
ruptura. Em muitos casos, as escolhas de design inerentes do PP, que promove escalabilidade e falha
tolerância, são explorados. Ataques contra sistemas PP geralmente mostram um impacto em termos de
confidencialidade do sistema , integridade, ou disponibilidade. Vários dos ataques observados são conhecidos
de outras arquiteturas de sistema, como modelos cliente-servidor, enquanto outros são novos ou
composições de vários ataques. A diferença de ataques comparáveis em sistemas cliente-servidor
dez arquiteturas é que as redes de sobreposição PP podem crescer muito e os adversários precisam
correspondentemente adaptar seus esforços, ou seja, eles precisam aumentar a fração de pares maliciosos
consequentemente, exigindo assim uma quantidade substancial de coordenação para executar uma
estratégia de conluio. Esses ataques variam dependendo se o invasor tem acesso direto ou
acesso indireto à rede por meio de uma sobreposição PP . O último requer que os invasores se juntem adequadamente ao
rede antes do ataque. Assim, isso pode implicar a criação de pares maliciosos, por exemplo, um an-
anúncio na rede de sobreposição, antes que eles possam iniciar seu comportamento adversário.
Observações suplementares:
- Ataques de negação de serviço degradam ou impedem um sistema de entrega de serviço correta [ ,
www.cybok.org
] O ataque Sybil mais sofisticado [ , , ] pode ser usado como um potencial pré-
cursor para um ataque Eclipse [ , ]
- Se armazenamento seguro, roteamento seguro ou mecanismos de autenticação não puderem ser fornecidos,
um conjunto de ataques, incluindo omissão, falsificação de conteúdo, poluição de conteúdo, censura ou roteamento
envenenamento de mesa pode ser a consequência [ , ]
- O churn está relacionado aos efeitos da entrada e saída de pares em uma sobreposição. Ataques de rotatividade consideram
Churn artificialmente induzido com taxas potencialmente altas de entrada / saída de pares para causar con
soma devido ao esforço necessário para manter a estrutura de sobreposição. Isso pode levar a
ou negação de serviço completa [ ]
- Existem várias estratégias de ataque de trapaça (para observar ou corromper as informações do jogador e
atividades) em Massive Multiplayer Online Games (MMOG) construída sobre arquiteturas PP [ ]
.. Ataques e sua mitigação

Apresentamos alguns exemplos de ataques junto com as abordagens usadas para mitigá-los. Para
cobertura abrangente, referimos o leitor às pesquisas de [ , ]
Cenários básicos baseados em PoS e P-DS : Os mecanismos de segurança de protocolo PP proeminentes
são mecanismos de autenticação , armazenamento seguro e roteamento seguro. Estes três mecanismos
nismos permitem a implementação de vários mecanismos downstream. Mecanismo de autenticação
anismos [ , ] ajudar a manter uma população de pares benigna e fornecer o banco técnico
sis para mecanismos downstream, como admissão segura, armazenamento seguro ou roteamento seguro.
O armazenamento seguro é vital para aplicativos centrados em dados, a fim de evitar que invasores contra
conduzindo modificações ilícitas de dados [ , , , 6] Em um sentido mais amplo, dados ilícitos modi -
cação em jogos online é considerada trapaça [ ] O uso de roteamento seguro é normalmente
defendida como uma abordagem para facilitar a identi cação de pares conduzindo mensagens impróprias
encaminhamento sage [ , , 6] Limitar o número de caminhos de roteamento e / ou proteger
os caminhos usando (alta sobrecarga) abordagens criptográficas são abordagens alternativas para mitigar
ataques de roteamento de bloqueio.
Cenários Sybil e Eclipse: os ataques Sybil ocorrem onde o invasor pode lançar um ataque
com um pequeno conjunto de pares maliciosos e, posteriormente, reúnem vários endereços, que al-
reduz pares maliciosos a fingir ser um conjunto maior de pares. Usando ataques Sybil, um LEA pode ser
lançado através de uma cadeia de Sybil / nós maliciosos. No entanto, o ataque se baseia na suposição
da existência de um único caminho para a vítima que pode ser manipulado pelo atacante.
Como alternativa, um LEA pode ser lançado usando pares Sybil.
Em tais ataques, a mitigação depende do uso de uma autoridade centralizada que lida com o registro de pares
mentos ou admissão. Ampliando esse conceito, adicionando certificados (emitidos por um certificado comum -
autoridade local) para IDs de rede dos pares enquanto se conecta à rede é outra possibilidade. Outro mit-
técnicas de igação para evitar que entidades maliciosas selecionem seus próprios IDs de rede podem
implicar uma entidade de assinatura usando criptografia de chave pública.
Cenários de trapaça no mapa de buffer: outras interrupções podem ser usadas para atacar a rede KAD PP
trabalhos [ 8 ], que é uma rede baseada em Kademlia, por meio de tabelas de índice de pares abundantes perto
para a vítima com informações falsas como uma variante taLEA simplista . Um rastreador de rede KAD é
introduzido para monitorar o status da rede e detectar pares maliciosos durante um LEA. Contudo,
uma alta sobrecarga é incorrida se cada par usar esse mecanismo para detectar entidades maliciosas.
Isso se torna impraticável à medida que o tamanho da sobreposição aumenta.

www.cybok.org
Pesquisas divergentes foram propostas como uma técnica de mitigação de taLEA alternativa , onde o
pesquisas de caminho desarticulado evitam pesquisar a proximidade do ponto de destino para evitar o desperdício
consulta de pares maliciosos de acordo com as premissas da taLEA .
Cenários de roteamento: mecanismos de mitigação para lidar com ataques de roteamento, considere a atribuição de
caminhos múltiplos para cada pesquisa usando caminhos separados, embora ao custo de alta sobrecarga de mensagem.
As alternativas incluem o uso de esquemas criptográficos para proteger os caminhos. No entanto, PP é
um ambiente de coordenação descentralizado onde a implementação de um serviço centralizado para fornecer
porta a coordenação de assinaturas criptográficas de todo o sistema é difícil de realizar.
Os mecanismos de segurança mencionados aumentam a resiliência dos sistemas PP contra

os vários ataques. Naturalmente, esses mecanismos são resilientes apenas até uma massa crítica de
o conluio de pares maliciosos é alcançado. Além disso, alguns desses mecanismos requerem cripto-
suporte gráfico ou identificação de pares. Esses requisitos podem interferir com a aplicação
requisitos de cação, como anonimato, heterogeneidade ou frugalidade de recursos.
. SISTEMAS DISTRIBUÍDOS: RECURSOS COORDENADOS

CLUSTERING
[ , c,,,] [ ,] [ , c, c] [ , c 6-, c]
Em contraste com o controle descentralizado de sistemas PP , uma infinidade de sistemas distribuídos

sistemas existem onde as interações entre os recursos e serviços distribuídos são orquestras
tratado usando mecanismos de coordenação variados que fornecem a ilusão de um centro lógico
sistema ou serviço tralizado e coordenado. A coordenação pode ser simplesmente um planejador / re-
gerente de origem, um coordenador discreto ou um grupo de coordenação, e inclui o pedido no tempo
(causalidade) ou ordens de precedência variadas em transações distribuídas. Embora seja tentador
para definir cada tipo de sistema distribuído discretamente (ou seja, diferindo do controle descentralizado
em PP), o grande e diversificado grupo de sistemas / serviços distribuídos compartilham um ab-
estratégia de "coordenação", embora sua realização e propriedades resultantes para cada sistema
vai variar.
Em primeiro lugar, há o caso em que um serviço é replicado em uma plataforma de recursos distribuídos (ou
infraestrutura) para permitir o acesso geo-disperso aos usuários, mantendo o tipo necessário
de especificações de consistência no serviço. A nuvem e muitos clientes-servidor distribuídos
sistemas caem nesta categoria.
A abordagem alternativa aborda serviços distribuídos (versus plataformas) onde o dis-

os participantes do serviço persistente interagem para produzir o serviço distribuído coletivo para um determinado con-
requisitos de consistência. Por exemplo, bancos de dados transacionais e livros contábeis distribuídos caem em
uma categoria de forte consistência. Rastreadores da web, pesquisas ou aplicativos de logística podem
bem trabalhar com especificações de consistência fraca.
No geral, estes constituem as duas classes amplas de sistemas distribuídos na rede coordenada
modo de pooling de origem, ou seja, as classes de recurso-coordenação e serviço de coordenação ,
com base em seu esquema de coordenação característico, embora sua funcionalidade e de ni-
freqüentemente se sobrepõem.
Nas subseções subsequentes, a fim de contextualizar a segurança dos sistemas distribuídos, nós
primeiro detalhe os conceitos básicos distribuídos junto com o esquema de coordenação baseado neles.
Isso é seguido pelo delineamento dos sistemas característicos em cada um dos recursos e serviços co-
www.cybok.org
modelos de ordenação. Isso forma a base por trás do conjunto geral de interrupções / vulnerabilidades
relevantes para ambas as classes de sistemas distribuídos coordenados. Em seguida, descrevemos as ameaças e
implicações de segurança específicas para cada classe de sistemas. Referimos o leitor ao excelente
textos de [ , , ] para um tratado abrangente e rigoroso dessas questões.
Uma nota sobre as tecnologias subjacentes às plataformas distribuídas: a introdução enfatizada

que o foco deste KA está na segurança em sistemas distribuídos, ao invés do uso de distribuição
ção no sentido de fornecer segurança. Expandindo este tópico, vale a pena comentar sobre alternativas
perspectivas relacionadas com o “desenho e realização” de plataformas e serviços distribuídos.
Esta perspectiva orientada ao design tende a enfatizar a arquitetura de sistemas distribuídos,
serviços distribuídos e sua construção. Essa perspectiva normalmente se concentra em (a) estabelecer
lishing requisitos de segurança, (b) abordagens de realização sobre como atender a determinados requisitos de segurança
peculiaridades em cada nível de abstração, e (c) considera um sistema distribuído como um
arquitetura onde cada camada se baseia nos primitivos oferecidos na camada abaixo e a partir de
serviços distribuídos. Nesta perspectiva, padrões centralizados (coordenados) e descentralizados
são frequentemente combinados de forma diferente e em camadas diferentes. Também nessa perspectiva, a segurança
requisitos dos aplicativos devem ser atendidos, complementando e construindo sobre o que é
oferecidos nas camadas e serviços inferiores.
Esta é uma abordagem de construção e composição em que as propriedades de segurança (exigem

mentos) no nível da aplicação, ou em uma determinada camada, conduzem a seleção de soluções e sub-
sistemas que devem ser montados (por exemplo, autenticação, autorização, responsabilidade, não
repúdio, etc.). A composição de tais subsistemas / soluções é freqüentemente alcançada por meio de
o uso de análises de trade-offs (e também de ameaças) que tendem a abranger alguns e não todos
os requisitos e, assim, determinar os pontos fortes e fracos relativos. Por exemplo,
aplicativos blockchain, discutidos mais detalhadamente na Seção . ., enfatizar o não repúdio e
descentralização como suas principais propriedades.
Esta abordagem em camadas e composicional pode frequentemente ser encontrada na literatura, como
[ , , , , , 6, ] e muitos outros. À medida que as arquiteturas e realisa-
ção fundamenta fundamentalmente a premissa KA de fornecer segurança em sistemas distribuídos, o
o leitor é encorajado a consultar esta literatura. A seção a seguir retorna o foco
em conceitos de sistema distribuído e, especialmente, os conceitos fundamentais da coordenação
classe de instalação de sistemas distribuídos.
Conceitos Distribuídos, Classes de Coordenação

Conforme mencionado na introdução, um sistema distribuído é um agrupamento de comp geo-dispersos
colocar recursos que interagem coletivamente para fornecer (a) serviços que ligam dados dispersos
produtores e consumidores, (b) alta disponibilidade por meio de replicação tolerante a falhas para cobrir o recurso
(computação e comunicação) falhas, ou (c) uma capacidade agregada coletiva (computador
nacional ou serviços) dos recursos distribuídos para fornecer (uma ilusão de) um centro lógico
recurso ou serviço tralizado / coordenado.
Os sistemas distribuídos são freqüentemente estruturados em termos de serviços a serem entregues aos clientes. Cada
serviço compreende e executa em um ou mais servidores e exporta operações que o
clientes invocam fazendo solicitações. Embora usar um único servidor centralizado pareça tentador
, o serviço resultante residente em um servidor só pode ser tão tolerante a falhas quanto o host do servidor
ing. Normalmente, a fim de acomodar falhas de servidor, os servidores são replicados,
fisicamente ou logicamente, para garantir algum grau de independência entre as falhas do servidor com
tal isolamento. Posteriormente, os protocolos de gerenciamento de réplicas são usados para coordenar o cliente
www.cybok.org
interações entre essas réplicas de servidor. Naturalmente, o tratamento de falhas do cliente ou cliente
comprometimentos (incluindo sua função no lançamento de ataques por meio de código malicioso ou vírus) também
precisa ser considerado.
Nós agora delineamos um conjunto básico de conceitos de sistema distribuído que também constituem a base
das considerações de segurança nele contidas. Os conceitos são apresentados em um nível informal para
comunicar as intuições, e o leitor é encaminhado a [ , , , ] para um comp
tratado abrangente sobre os tópicos.
.. Estilos de coordenação de sistemas

Para que os recursos e serviços distribuídos interajam de forma significativa, a sincronização
A base de operação entre eles, em tempo físico ou em ordem lógica, precisa ser especificada. O
a sincronização se aplica aos níveis de rede e de processo. Nós referimos o leitor a
[ , , , ] para mais detalhes. Em um alto nível, os tipos de sincronização incluem
Os seguintes:
. Síncrono: Todos os componentes de um sistema distribuído são coordenados no tempo (como bloqueio
passo ou rodadas) a serem sincronizados uns com os outros. A causalidade é obtida explicitamente. Ex-
amplos incluem sistemas críticos de segurança típicos, como o controle y-by-wire da aeronave, onde
previsibilidade e capacidade de resposta garantida em tempo real é desejada.
. Assíncrono: entidades separadas executam etapas em ordem arbitrária e operam em diferentes

velocidades. A ordenação dos eventos precisa ser garantida por meio de interações coletivas.
Exemplos típicos são sistemas transacionais, bancos de dados, rastreadores da web, etc.
. Parcialmente síncrono: algumas restrições se aplicam à ordem de ações, mas nenhuma etapa de bloqueio
a sincronização está presente. Exemplos típicos são sistemas de controle SCADA ou de alto valor
sistemas de estoque transacionais onde a pontualidade tem implicações no serviço correto-
ness.
.. Comunicação de grupo confiável e segura

A comunicação do grupo aborda o esquema de comunicação disponível para garantir de-
uniformidade de mensagens nas entidades distribuídas. Podem ser simples ponto a ponto direto
mensagens suportadas por reconhecimentos apropriados (ACKS e NACKS) para um de-
libré. Alternativamente, multicast confiável e seguro (atômico, melhor esforço, regular, uniforme, registrado,
teimoso, probabilístico, causal, etc.) para fornecer canais redundantes ou ordenação de mensagens
pode ser usado junto com as formas mais sofisticadas de publicar-assinar de comunicação de grupo
cátion [ , ] Nessas abordagens, os canais e mensagens podem ser criptografados ou
assinado criptograficamente, embora isso acarrete maiores sobrecargas de transmissão e processamento.
A gama de gerenciamento de credenciais, técnicas de criptografia simétrica / assimétrica, PKI
criptosistemas, distribuição segura de chaves [ 8] também se enquadram nesta categoria. O leitor é encaminhado
para [ , , , ] para uma cobertura abrangente de primitivas de comunicação de grupo.
www.cybok.org
.. Propriedades de Coordenação
A utilidade de um sistema distribuído vem de uma orquestração coordenada de
recursos para produzir uma capacidade coletivamente significativa. Antes de discutir a variedade de
esquema de coordenação comumente usados na seção . ., primeiro apresentamos as definições básicas de
Consenso , membros do grupo e consistência .
Consenso
Informalmente, o consenso diz respeito a chegar a um acordo sobre valores. Por exemplo, os valores
podem ser dados ou IDs de processo. O consenso requer que as seguintes propriedades sejam mantidas:
. Acordo: Todos os bons processos concordam com o mesmo valor.
. Validade: O valor acordado é um valor bom / válido.
. Rescisão: Uma decisão é finalmente alcançada.
O tipo específico de consenso depende da semântica das falhas ( falha , omissão ,

Bizantino , etc.) a serem tratados. Os tipos de falhas são discutidos na Seção ..
Associação e consistência do grupo:
A associação é uma propriedade de "serviço" chave em sistemas distribuídos que determina o conjunto de
recursos constituintes e também a natureza do acordo alcançado no conjunto de par-
participantes (estáticos, dinâmicos, membros do quorum) e os dados. Do ponto de vista da segurança,
isso geralmente está relacionado à propriedade de integridade do serviço. A consistência tem nuances variadas e
os tipos proeminentes estão listados abaixo com detalhes mais completos apresentados em [ , , , ,
, ] Observe que a suposição subjacente é sempre que os processos constituintes
podem ser modelados como máquinas de estado determinísticas. Ou seja, realizando uma sequência específica
de ações sempre leva ao mesmo estado.
• Modelos de consistência forte: Nestes modelos, os participantes devem concordar em uma consistência
ordem geral de ações a serem tomadas. Assim, os processos têm a garantia de alcançar um consistente
estado sob o pressuposto do determinismo.
. Consistência estrita: em consistência estrita, não há restrições no observado

ordem das ações, desde que seja consistente em todos os participantes.
. Linearisability: O modelo de linearisability é essencialmente consistência estrita com o

restrição adicional de que a ordem observada de ações corresponde ao seu real
ordem do tempo.
Modelos de consistência forte são amplamente usados em contextos de alto risco, onde qualquer inconsistência
as alterações nos dados podem levar a consequências terríveis. Nessas situações, a consistência é
mais valorizado do que a disponibilidade e a aplicação de fortes restrições de consistência resulta em
mais atrasos nos sistemas devido à sincronização frequente. Relacional tradicional
sistemas de banco de dados como MySQL [ ] ou SQL Server da Microsoft [ ] mas também mod-
Bancos de dados NoSQL antigos, como MongoDB [ ] ou o serviço de bloqueio Chubby do Google [ ]
são exemplos populares que implementam esses modelos de consistência forte.
• Modelos de consistência fraca: Nestes modelos, os participantes não necessariamente ob-

servem à mesma ordem de ações. Isso pode levar a estados inconsistentes, dependendo do
natureza das restrições adicionais que as ordens observadas devem satisfazer. Naturalmente,

www.cybok.org
isso pode levar a estados inconsistentes que podem ser tratados por meio da resolução de conflitos
mecanismos [ ]
. Consistência sequencial: a consistência sequencial é atendida se a ordem em que o

as ações são realizadas por um determinado processo corresponde à sua ordem original. Dentro
palavras de ordem, a ordem de execução sequencial de cada processo é preservada.
. Consistência causal: a consistência causal é alcançada categorizando as ações em

aqueles causalmente relacionados / dependentes e aqueles que não são. Neste caso, apenas o pedido
de ações causalmente relacionadas deve ser preservado. Dois eventos são causalmente relacionados se
ambos acessam o mesmo objeto de dados e pelo menos um deles é um evento de gravação.
. Consistência eventual: Na consistência eventual, não há restrições especiais que

deve ser satisfeito pela ordem das ações do observador. A ideia por trás deste conceito
é que os participantes irão eventualmente convergir para um estado consistente por ob-
servindo ordens de ações equivalentes ou recorrendo à resolução de conflitos onerosa
mecanismos.
Sistemas com modelos de consistência mais fracos tornaram-se populares com o advento do Inter
rede onde os servidores da web em larga escala tiveram que acomodar um grande número de usuários. Para
conseguir isso, tais sistemas sacrificam fortes garantias de consistência para alcançar maiores
disponibilidade para sua base de usuários. Sistemas como o Dynamo da Amazon [ 6], Cas- do Facebook
sandra [ ] são exemplos amplamente conhecidos de sistemas com garantia de consistência fraca
tees.
.. Esquema de coordenação e gerenciamento de replicação: a base

Atrás da Mitigação de Ataques
Um desafio fundamental para o desenvolvimento de sistemas distribuídos confiáveis é apoiar a cooperação
ação das entidades dispersas necessárias para executar uma tarefa comum, mesmo quando algumas dessas
entidades, ou a comunicação entre elas, falha. É necessário garantir a ordem do
ações de serviço e para evitar partições dos recursos distribuídos, a fim de resultar em um
grupo geral “coordenado” de recursos.
A replicação da máquina de estado ou abordagem da máquina de estado [ 8] é um método geral para im-
implementar um serviço tolerante a falhas, replicando servidores e coordenando as interações do cliente
com réplicas de servidor. A abordagem também fornece uma estrutura para compreensão e design
ing replicação protocolos de gestão. A abstração essencial do sistema é a de um estado
máquina de modo que as saídas da máquina de estado sejam totalmente determinadas pela sequência de
solicita que ele processe independentemente do tempo ou de outra atividade no sistema. A replicação pode ser
ativo, semi-ativo, passivo ou preguiçoso [ ]
Deve-se notar que, idealmente, gostaria de obter coletivamente alta disponibilidade e consistência
e também coordenação total para eliminar qualquer particionamento do conjunto de recursos distribuídos.
No entanto, a afirmação do CAP entra em jogo como:
www.cybok.org
BONÉ
Qualquer sistema de dados compartilhados de rede (por exemplo, Web) pode fornecer apenas o que for possível
laços [ ] como:
. Consistência (C): equivalente a ter uma única cópia atualizada dos dados, ou seja, cada
servidor retorna a resposta certa para cada solicitação.
. Disponibilidade (A): dos dados onde cada solicitação eventualmente recebe uma resposta.
. Partição (P): Tolerância de partição de rede de modo que os servidores não possam ser particionados em
grupos não comunicantes.
Naturalmente, os ataques à segurança tentam comprometer esses elementos do CAP.
Replicação e coordenação
A fim de fornecer um comportamento coerente e consistente (em valor e ordem), distribuído re-
fontes usam vários tipos de gerenciamento de réplicas, ou seja, o esquema de coordenação. Isto é um
mecanismo de coordenação chave que caracteriza a funcionalidade de qualquer sistema distribuído.
Os fatores que determinam o mecanismo específico dependem do tipo de sincronização do sistema
modelo de ção, o tipo de comunicação do grupo e, especialmente, a natureza das perturbações
(falhas ou ataques) sendo considerados. Os mecanismos podem ser simples votação ou líder eleito
processos de aplicação (por exemplo, Algoritmos de Anel, Bully) ou abordagens de consenso mais complexas para lidar
com travamentos ou comportamento bizantino . Os protocolos de confirmação para transações de banco de dados são
relevantes aqui, como são os esquemas para gerenciamento de credenciais e infraestruturas de PKI que fornecem
controle de acesso verificado. Descrevemos brevemente um conjunto de esquemas amplamente usados, e o leitor
se refere a [ , , ] para uma cobertura completa. Autorização e autenticação em
sistemas distribuídos também são discutidos na Autenticação, Autorização e Responsabilidade
(AAA) Área de Conhecimento (Capítulo ) .
Paxos
Para evitar a situação de entidades distribuídas realizando ações descoordenadas ou falhando em

responder, Paxos [ ], um grupo de protocolos implícitos de liderança-eleição para a resolução de consenso em
uma configuração assíncrona foi desenvolvida. Paxos resolve o problema de consenso, dando
todos os participantes a possibilidade de propor um valor a acordar numa fase inicial. No
segunda fase, se a maioria concordar com determinado valor, o processo que propôs o valor
torna-se implicitamente o líder e o acordo é alcançado. O mesmo processo é repetido para
o próximo valor para obter consenso sobre uma sequência de valores.
O protocolo é conhecido por não fornecer vivacidade apenas em circunstâncias muito específicas como de-
escrito em [ ] Nesse caso, os processos continuam a propor valores indefinidamente e permanecem
bloqueado na fase inicial, porque nenhuma maioria pode ser formada e nenhum progresso é feito. Como-
nunca, esta situação raramente ocorre na prática e Paxos continua a ser um dos co-
protocolos de ordenação.
Uma vez que apenas a maioria é necessária na segunda fase para chegar a um consenso, o protocolo é
além disso, é tolerante a travamentos, mesmo em caso de recuperação. Isso é notável, pois, contanto que
como a maioria dos processos não falhou, pode-se chegar a um consenso. O papel [ ]
O comportamento bizantino acontece quando uma entidade / invasor envia informações diferentes (embora válidas) para diferentes
destinatários.
www.cybok.org
é uma excelente leitura das experiências de implementação do Paxos no Google para o Chubby le
sistema.
Embora exista uma variedade de implementações do protocolo Paxos, é notoriamente conhecido

por ser difícil de implementar e construir middleware sobre ele devido à sua complexidade inerente.
Para tanto, o RAFT, protocolo semelhante ao Paxos que oferece as mesmas garantias, conta com
foi proposto. RAFT ganhou popularidade recentemente devido ao seu design mais simples. Papel [ ]
explica a motivação por trás do desenvolvimento do protocolo RAFT e como ele funciona por
comparando com Paxos.
Tolerância a falhas bizantinas (BFT)
Ataques e outras interrupções deliberadas não seguem necessariamente a semântica do benigno

omissões, tempo ou falhas. A fim de tolerar comportamento arbitrariamente malicioso, o Bizantino
Tolerância a Falhas (BFT) protocolos usam replicação coordenada para garantir a execução correta
cução das operações, desde que no máximo um terço dos processos esteja comprometido e exiba
arbitrário (isto é, bizantino, cf. Seção .) comportamento.
Em BFT, os processos trocam os valores que receberam uns dos outros em rodadas. O
número de rodadas necessárias para chegar a um consenso é determinado pelo número de compro-
participantes desatualizados que existem no sistema [ ] Observe que, uma vez que o protocolo opera em
rodadas, é classificado como um protocolo de coordenação síncrona. Foi mostrado em [ ]
como a impossibilidade do FLP resulta que seja impossível chegar a um consenso no caso de asyn-
comunicação crónica. Devido à necessidade de comunicação síncrona e o
sobrecarga bastante maior de troca de mensagens necessária para lidar com falhas bizantinas , BFT
os protocolos são aplicados principalmente em aplicações críticas específicas. No entanto, existem vários
contínuas tentativas de otimizações práticas de BFT , fortalecendo algumas suposições básicas sobre
sincronização, determinismo e número de compromissos [ , 6, ] O Google
Sistema de arquivos (Chubby) e Amazon Web Services (AWS) implementar Paxos e também parcial
Funcionalidade BFT . Também é importante enfatizar que o BFT é caro não apenas para o
complexidade da mensagem em relação ao número de rodadas necessárias. Também é caro para o número
de nós necessários (> 3f) para lidar com f falhas maliciosas, ou seja, f sendo o número de nós
controlado por um adversário. A generalização de estruturas adversárias para sistemas de quorum
é discutido em [ ]
Do ponto de vista da segurança, por sua capacidade de tolerar comportamentos maliciosos arbitrários, o BFT pro
tocóis constituem um alicerce atraente para a construção de sistemas tolerantes à intrusão
tems. Vale a pena fazer a observação de que esses protocolos consideram o número de
entidades prometidas. Quando confrontado com um atacante malicioso, réplicas idênticas não são suficientes
porque eles exibem as mesmas vulnerabilidades. Um adversário malicioso que pode comprometer
uma réplica pode facilmente comprometer as outras se forem idênticas. Replicação e diversidade
(ou metodologias de proteção distintas) são necessárias. Nós remetemos o leitor às discussões
dentro [ , , , , , 8, ]
www.cybok.org
Protocolos de Compromisso
Uma série de aplicativos, por exemplo, bancos de dados, requerem ordenação entre dados replicados ou oper-
ações em que todos os participantes concordam em conduzir o mesmo resultado correto (ou seja,
mit) ou não fazer nada - a propriedade atomicidade. Portanto, como forma especializada de consenso, um
algoritmo dirigido por coordenador distribuído é necessário para coordenar todos os processos que
participar de uma transação atômica distribuída para confirmar ou abortar (reverter) o
transação.
O Compromisso de Duas Fases (PC) é um exemplo direto de tal compromisso atômico

protocolos. O protocolo prossegue com uma consulta de transmissão de um líder para todos os clientes para
comprometer-se. Isso é seguido por uma confirmação (confirmação ou anulação) de cada cliente. Em re-
ao receber todas as respostas, o líder observa todos os clientes sobre a decisão atômica de se comprometer
ou abortar [ , , ] O protocolo atinge seu objetivo mesmo em muitos casos de falha (em
envolvendo falhas de processo, nó de rede ou falha de comunicação, entre outros), e é, portanto,
amplamente utilizado. Uma abordagem baseada nos estados do protocolo de registro é usada para dar suporte à recuperação. O
protocolo de PC clássico fornece suporte limitado para a falha do coordenador que pode levar a
inconsistências.
Para resolver este problema, foi desenvolvido o protocolo three-phase commit (PC). O PC
protocolo é essencialmente uma extensão do protocolo BFT e adiciona uma terceira comunicação
fase para auxiliar o líder na decisão de abortar. Isso envolve uma mensagem mais elevada
e sobrecarga de registro para apoiar a recuperação. Embora o PC seja um protocolo mais robusto em comparação
para BFT, não é amplamente utilizado devido à sobrecarga de mensagens e sua sensibilidade à rede
particionamento (ou seja, o P em CAP) Na prática, os sistemas usam BFT por sua simplicidade ou o
Protocolo Paxos pela sua robustez.
. SISTEMAS DISTRIBUÍDOS: AULAS DE COORDENAÇÃO

E ATACABILIDADE
[ , c] [ , c, c6] [ , c] [ , c 8] [ 88, c]
A classe geral de interrupções

A superfície de ataque [ 88 , ] em sistemas distribuídos envolve a interrupção do re-
fontes, comunicação, interfaces e / ou dados que prejudicam a disponibilidade de recursos
ou interrompe a camada de comunicação, interconectando os recursos para impactar o
disponibilidade, integridade ou integridade do sistema geral e seus serviços. As interrupções podem ser
de projeto impróprio, decorrente de condições operacionais ou ataques deliberados. Recurso
compromissos ou interrupções constituem os alvos básicos do ataque. No entanto, a funcionalidade de um
sistema distribuído emerge das interações entre os recursos distribuídos. Como ref-
erenciado na seção . ., os recursos e serviços (incluindo gerenciamento de replicação ) em
um sistema distribuído são principalmente ligados por meio de infra-estruturas de comunicação. Estes abrangem o
gama de trocas de mensagens diretas ou por meio de arquiteturas de middleware , como pub-sub ou evento
acionamento com base, entre outros.
Uma série de terminologias variadas existem para cobrir a gama de processos operacionais e deliberados
turbações de travamentos, omissões, tempo, interrupções de valor, spoo ng, vírus, alçapões,
e muitos outros. Referimos o leitor a [8 ] para uma discussão abrangente sobre o assunto.
www.cybok.org
Como os sistemas distribuídos dependem principalmente da passagem de mensagens para transporte de dados
e coordenação, agrupamos as perturbações ao nível da entrega da mensagem6. O termo
"Perturbação ou interrupção" é usada deliberadamente, pois a operação anômala pode resultar de
problemas operacionais (confiabilidade) ou de uma intenção maliciosa (segurança). A manifestação de
essas perturbações nas operações do sistema resultam em desvios do comportamento especificado
ior do sistema. Complementando as vulnerabilidades mencionadas na Seção . . de acesso
controle, distribuição de dados, interfaces, as perturbações do nível de comunicação podem ser amplamente
agrupado como:
. Com base no tempo : abrange a omissão de mensagens, antecipada, atrasada ou fora de ordem
Mensagens. Falhas e negação de serviço também se enquadram neste grupo, pois normalmente mani-
fest como interrupções da entrega temporal adequada de mensagens, obstruindo o acesso
aos canais ou recursos de comunicação.
. Baseado em valor / informação: spoo ng ataques, imitação, duplicação, vazamento de informação

idade, como um ataque de canal secreto ou ataque de canal lateral, e manipulação de conteúdo
ataques de cção geralmente se enquadram nesta categoria. A manipulação do conteúdo das mensagens
se manifesta como comportamento bizantino . Este ataque só é viável se um conjunto de recursos usar o
trocar mensagens para construir sua visão global do sistema. Uma entidade maliciosa pode
enviar informações deliberadamente moduladas (por exemplo, uma mistura de valores corretos e incorretos
ues) para diferentes grupos de recursos para resultar em partições de visualizações de estado do sistema. Desse modo,
com base em valores diferentes recebidos por nós diferentes, os nós individuais são incapazes
para constituir uma visão “consistente” e correta do estado do sistema. O grau de violação
de consistência (forte - concordância total de todos sobre valor e ordem - fraca, parcial, uniforme-
tual) constitui o grau de interrupção. A natureza da transação subjacente
serviço (por exemplo, livros distribuídos em Blockchains) determina o tipo de violação do
funcionalidade. Em relação aos grupos de vulnerabilidades, um ataque bizantino pode abusar de ac-
controle de acesso, entrega de mensagens e serviços de coordenação, ou os próprios dados (vírus,
código móvel comprometido, worms) para comprometer o sistema.
Deve-se notar que uma perturbação também inclui a propriedade de persistência, ou seja, o du-
A razão de uma perturbação pode ser de natureza transitória, episódica, intermitente ou permanente. Pelagem-
além disso, os ataques muitas vezes envolvem várias ocorrências simultâneas que envolvem uma combinação
de tempo, valor, persistência e locais dispersos, potencialmente devido ao conluio entre
várias entidades de ataque.
Ataques e implicações
Sobre este pano de fundo geral, agora detalhamos as duas classes proeminentes de sistemas distribuídos
com base no esquema de coordenação ( coordenação de recursos e serviços). Isso também vai
formar o agrupamento do sistema para considerar as manifestações de segurança dos ataques.
Usamos a terminologia clássica CIA (Confidencialidade, Integridade e Disponibilidade) através do

As implicações desses termos geralmente diferem de acordo com o tipo de sistema e serviços. Para
cada classe, a especificação de sua funcionalidade determina o tipo de ataque e o resultado
compromisso significativo que afeta negativamente a prestação de serviços.
Conforme mencionado na Seção . ., as superfícies de ameaça de um sistema distribuído compreendem um

aderências sobre os recursos, controle de admissão, as arquiteturas de comunicação, a coordenação
6O provisionamento da integridade da mensagem por técnicas como codificação, primitivas criptográficas, ac-
conhecimentos, novas tentativas, comunicação de grupo seguro, etc. são discutidos em [ , ] e a criptografia
Área de Conhecimento (Capítulo )
www.cybok.org
mecanismos de instalação e os dados. Da mesma forma, os ataques visam subverter as suposições por trás do
funcionalidade de recursos, os serviços e o esquema de coordenação subjacente.
Na subseção a seguir, enumeramos alguns cenários de ataque para os recursos / infra-

estrutura e serviços / classes de aplicação de coordenação. Dada a imensa diversidade de
tipos de sistemas distribuídos baseados em recursos e serviços, o objetivo destes exemplos é
apenas para ilustrar alguns cenários potenciais. Também é importante destacar que muitas vezes um recurso
ataque não prejudica o recurso em si, mas afeta principalmente a execução do serviço no
recurso.
.. A aula de coordenação de recursos - visão da infraestrutura

Esta classe de "acesso a recursos virtualizados" lida principalmente com a coordenação de um grupo de
recursos de computação e comunicação para fornecer um conjunto de recursos altamente disponíveis e
“plataforma” confiável de diversos recursos compartilhados para o usuário. Esta é uma infraestrutura (vs appli-
cátions) ver onde o usuário especifica os requisitos operacionais para o serviço desejado
(por exemplo, capacidades computacionais, número de máquinas virtuais (VMs), armazenamento, largura de banda
restrições, etc.), mas é agnóstico em relação aos mecanismos reais que fornecem o acesso sob demanda para
os recursos, escalabilidade, características físicas e geolocalização / distribuição do sub-
recursos mentirosos.
No geral, a principal característica deste modelo de coordenação é o provisionamento de alta confiabilidade,

acesso de alta disponibilidade aos recursos. A replicação de recursos básicos simplesmente fornece um pool
de recursos para suportar o acesso de alta disponibilidade. No entanto, o esquema de replicação de recursos
fornece apenas os “recursos” para suportar os serviços executados nele. Integridade é relevante
correspondente às especificações do serviço. Por exemplo, as VMs precisam fornecer o
nível de isolamento sem vazamento de informações. Da mesma forma, um servidor web é tipicamente replicado
entre máquinas, tanto para confiabilidade quanto para acesso geodisperso localizado de baixa latência. Cada
o servidor replicado tem o mesmo conjunto de dados, e sempre que os dados são atualizados, uma cópia é atualizada
entre os servidores replicados para fornecer consistência aos dados. É a natureza do serviço
(conforme execução na plataforma de recursos) que determina o tipo de coordenação desejada,
talvez como consistência (forte, fraca, eventual, causal). Esta será a base do Serviço
Aula de coordenação discutida mais tarde.
Apresentamos brevemente os modelos de nuvem e cliente-servidor que constituem exemplos proeminentes

da classe de recursos distribuídos.
O modelo de nuvem
A nuvem, em todas as suas manifestações, é representativa do modelo de coordenação de recursos

como essencialmente uma “plataforma de recursos” para a execução de serviços. Existem vários tipos
de Nuvens, oferecendo diversos tipos de serviços, com ênfase em alto desempenho,
acesso de baixa latência ou alta disponibilidade entre muitas outras propriedades. É o re- específico
esquema de coordenação de origem ditado pelas especificações dos serviços desejados com base em
em que a “plataforma” da nuvem fornece acesso estruturado aos recursos da nuvem. O escolhido
esquema de coordenação suporta correspondentemente o tipo de recursos desejados, por exemplo
ple, acesso a recursos de computação especializados e / ou contêineres de recursos, como físicos
ou máquinas virtuais, cada uma oferecendo garantias de isolamento diferentes entre os contêineres. O
serviços especificados pelo usuário são executados nos recursos da nuvem, que são gerenciados pela nuvem
provedor de serviço. O esquema de coordenação, como um gerenciador de recursos centralizado ou distribuído,
lida com o mapeamento e agendamento de tarefas para recursos, invocando VMs, monitor de saúde-
de recursos, tratamento de falhas de recursos com falha, de modo que o usuário obtenha de forma transparente
www.cybok.org
acesso sustentado aos recursos de acordo com os Acordos de Nível de Serviço contratuais (SLAs)
especi cado nos recursos do Cloud. O ENISA [ ] , NIST [] e ISO [ ] especificações
de infraestrutura como serviço (IaaS) e Plataforma como Serviço (PaaS) são representações de
“Recursos / plataformas / infraestruturas de suporte aos serviços”. A multidão de mod-
els, arquiteturas e serviços existentes na prática tornam difícil projetar uma única noção
de segurança em nuvem. Cada modelo de coordenação de recursos específico é caracterizado pelos tipos
de tipos de recursos no modelo de nuvem, o tipo de arquitetura de computação, bem como o de-
funcionalidades geradas na nuvem. Estes incluem, como uma lista não exaustiva, o desejado
tipos de tratamento de falhas de recursos, a abordagem escolhida para tratamento de bursts de serviço, o
tipo de esquemas implementados para federação e migração de recursos, para orquestração de tarefas,
agendamento, o grau desejado de acesso simultâneo, os níveis suportados de multilocação
etc.
No entanto, de uma perspectiva de segurança, é útil desconstruir a nuvem em sua arquitetura

componentes estruturais e funcionais que resultam na superfície de ataque da nuvem a se considerar. Anal-
ogous para a visão da infraestrutura de um data center sendo uma agregação de computação e
recursos de armazenamento, a nuvem é uma agregação de recursos dispersos geograficamente que estão disponíveis
sob demanda para o usuário. O usuário possui localização e composição de recursos agnósticas
acesso transparente a recursos e serviços altamente escalonáveis, disponíveis e confiáveis
virtualização. O usuário especifica os atributos operacionais de interesse (denominados como Serviço
Objetivos de nível) como (a) especificações de desempenho, (b) confiabilidade, (c) replicação e isolamento
características de ção como tipos e número de VMs, (d) latência, (e) segurança como o nível / grau
de criptografia e outros mecanismos no nível de computação ou comunicação e (f) custo
parâmetros para entrega ou não entrega de serviços na forma de contratos conhecidos como Ser-
Acordos de vice-nível. A composição exata dos recursos, sua localização ou os mecanismos
nismos que agrupam os recursos agregados são transparentes para o usuário. Os blocos funcionais de
a nuvem inclui autenticação, controle de acesso, controle de admissão, corretagem de recursos, VM
invocação, planejadores, monitores, mecanismos de reconfiguração, balanceadores de carga, comunicação
infraestruturas de instalação, interfaces de usuário, armazenamento e muitas outras funções sob a PaaS e
Paradigmas IaaS [, , ] Esses blocos funcionais, os recursos físicos da nuvem ao longo
com as interfaces entre eles constituem diretamente a superfície de ataque da nuvem.
O modelo cliente-servidor
Grupos de recursos onde um conjunto de entidades dedicadas (servidores - provedores de serviços) fornecem um
serviço específico (por exemplo, serviços da Web - servidores de sistema de arquivos, servidores de nomes, bancos de dados, dados
mineradores, rastreadores da web, etc.) a um conjunto de consumidores de dados (clientes). Uma infra-estrutura de comunicação
tura, como a Internet pública, uma rede local ou uma combinação delas, conecta os servidores
para os clientes. Isso pode ser monolítico, em camadas ou hierárquico. Ambos os servidores e clientes são
replicado para fornecer um serviço distribuído coletivo característico ou para tolerância a falhas.
Observe que estamos nos referindo à arquitetura cliente-servidor como uma plataforma de recursos ou infraestrutura
tura e não os serviços Cliente-Servidor em si. A funcionalidade de uma infraestrutura cliente-servidor
tura é derivada das especificações dos serviços usando o modelo Cliente-Servidor e de
o esquema de coordenação necessário subjacente a ele.
Página 443
www.cybok.org
Implicações de capacidade de ataque (e abordagens de mitigação) na coordenação de recursos

dinação
Agora, esboçamos alguns cenários de exemplo para a nuvem, embora se apliquem de forma análoga ao
Cliente-servidor e outros modelos de recursos também. O leitor é encaminhado a [ , ] para um
Discussão criteriosa relacionada a questões de segurança e funcionalidade na nuvem.
- Comprometimento de recursos: tais ataques afetam a disponibilidade dos recursos básicos.
Mitigação: a proteção pode ser obtida usando esquemas de controle de acesso (incluindo firewalls)
para limitar o acesso externo a serviços e recursos de rede. Os processos de autorização são definidos
para concessão de direitos juntamente com mecanismos de controle de acesso que verificam os direitos reais
de acesso [ ] Outras abordagens para proteção de recursos incluem os recursos de sandboxing
ou ter uma base de computação confiável resistente à violação (TCB) que conduz a coordenação han-
dling [ , ] e impõe acessos a recursos. Embora a classe de recursos considere principalmente
ers ataques à infraestrutura, dados em repouso ou em movimento (como em uma instalação de armazenamento de dados) podem
também ser considerado como um recurso. Consequentemente, ele pode ser protegido usando técnicas como
como criptografia. Como a especificação de um serviço distribuído inclui a especificação de ambos
comportamento normal e anômalo na utilização dos dados prestadores do serviço, esta proteção
é considerado na classe de serviços.
Outras manifestações de ataques a recursos, inclusive em canais de comunicação, visam par-

recursos de aplicação (e serviços subjacentes). A implicação aqui está na disponibilidade para o re-
fontes e na integridade dos serviços.
- Compromisso de controle de acesso / admissão: compreende as grandes categorias de Mas-
ataques de consulta, spoo ng e gerenciamento de ID. A implicação nos recursos está no
Disponibilidade, embora tanto a integridade quanto a confidencialidade dos dados / serviço sejam afetadas. Dentro
No caso de um ataque DoS , a consequência está na disponibilidade de recursos.
Mitigação: Sistema de detecção de intrusão (IDS) constituem abordagens de mitigação típicas. Esses
são complementados por consultas de autenticação de ID periódicas ou aleatórias . A verificação periódica
do estado do sistema é usado para estabelecer a sanidade dos IDs.
- Compromisso de VM: A manifestação típica é o vazamento de informações da VM via
um ataque encoberto Canal ou Side Ataque Canal ou ataques semelhantes. A conseqüência é o
violação da integridade e confidencialidade dos serviços prestados pela VM.
Mitigação: uma variedade de esquemas para VMproteção de são detalhadas em [ ] (veja também o Oper-
Área de Conhecimento de Sistemas Operacionais e Virtualização (Capítulo )) . Existem três aspectos para ser
considerado aqui como a detecção de vazamento, o nível do sistema onde o vazamento ocorre,
e o tratamento de vazamentos. A análise de contaminação é uma técnica poderosa para detecção de nível de dados.
Como ataques secretos / de canal lateral muitas vezes acontecem no nível do hardware e são influenciados por
os agendadores, o uso de detectores que empregam contadores de desempenho de hardware é uma
técnica usada almente, conforme preconizado em [ 6] Manipulação de nível de sistema de comprometimentos de VM frequentemente
começa a partir do nível de apertar a especificação das premissas de confiança e validá-las
sendo mantida usando técnicas analíticas, formais ou experimentais de estresse. Os hipervisores são
comumente usado para a aplicação de operações de VM .
- Comprometimento do Scheduler: Existem duas manifestações de tais ataques. Quando o programa
uler é afetado e isso resulta em uma tarefa anômala ou alocação de recursos, como um desvio
(em uma alocação incorreta de recursos) podem ser detectados por meio do Controle de Acesso. No caso de
uma aquisição mal-intencionada do programador, as possíveis inconsistências resultantes em todo o sistema
www.cybok.org
vínculos de estado ou recurso-tarefa podem ser filtrados pelo esquema de coordenação cujo trabalho é
manter um estado consistente. Esses ataques normalmente afetam a Disponibilidade e a Integridade. Conden-
tialidade não é violada.
Mitigação: Conforme mencionado na descrição do ataque, controle de acesso e coordenação
structs são usados para verificar a consistência do estado do sistema para qualquer incompatibilidade observada com
o conjunto legítimo ou permitido de alocações de recursos. Isso pode ser usado para identificar corrupções
do planejador.
- Compromisso de corretor: Esta ocorrência, dentro de um gerenciador / corretor de recursos de nuvem ou um inter
Agente de nuvem, afeta principalmente a disponibilidade de recursos.
Mitigação: Abordagens semelhantes à mitigação de comprometimento do agendador são usadas aqui. Se backup
corretores fazem parte do projeto, que é uma alternativa típica, caso contrário, as paradas do sistema são frequentemente
a solução.
- Compromisso na comunicação: Como a comunicação é uma funcionalidade central para alcançar
coordenação da fonte, isso tem fortes implicações nos recursos para se manter coordenado e
afeta diretamente a Disponibilidade. A conseqüente incapacidade de suportar a replicação, recurso para tarefa
alocação, etc. compromete fundamentalmente a funcionalidade do sistema.
Mitigação: Uma variedade de técnicas de proteção de comunicação são apresentadas na Rede
Área de Conhecimento de Segurança (Capítulo ) Isso inclui novas tentativas, esquemas baseados em ACK / NACK,
canais protegidos criptograficamente, entre outros.
- Compromisso de Monitoramento e Contabilidade: Com informações incorretas sobre o estado do
sistema e / ou serviços, isso pode levar ao comprometimento da confidencialidade, integridade e disponibilidade
habilidade.
Mitigação: Esquemas de consistência de estado são o mecanismo típico utilizado aqui. Vale a pena
mencionando que os conceitos de replicação e coordenação apresentados nas Seções .e
. . constituem a base das abordagens de mitigação. O próprio propósito do homem de replicação
agement é obter estados de sistema consistentes para contornar interrupções.
.. A aula de coordenação de serviços - Visualização de aplicativos

O modelo de coordenação de serviço concentra-se nas características específicas dos serviços que
determinar o grau / tipo de coordenação relevante para apoiar esse serviço. Por exemplo,
um banco de dados hospedado em uma nuvem requer necessariamente o fornecimento de integridade na forma de
Propriedades ACID junto com vivacidade. Armazenamento distribuído, como KVS (Key Value Store) ou
serviços de banco de dados transacionais, podem exigir níveis variados de consistência ou linearização
onde o nível desejado de integridade pode depender do nível de viabilidade de latência de acesso a dados
ble no sistema. A ampla classe de serviços da Web que inclui rastreadores da Web e pesquisas
gines podem exigir consistência fraca ou parcial de acordo com CAP. Por outro lado, Blockchains
ou consultas do razão, que fornecem consenso baseado em criptografia distribuída, têm consistência forte
(e auditoria rastreável) como um requisito-chave com menos demandas de latência. Assim, é o
especificação do serviço (KVS, Banco de Dados, Blockchain) que determina a natureza do
esquema de coordenação para a plataforma de recursos distribuídos.
Apresentamos alguns exemplos característicos da classe de serviços como:

Serviços da Web: cobrem o espectro de mineração de dados, rastreadores da web, servidores de informações,
A significa atômico, C significa consistente, I significa isolado e D significa durável.
www.cybok.org
suporte para transações eletrônicas, etc. Esta é uma categoria bastante ampla e genérica, que abrange
passa uma ampla variedade de serviços. É útil observar que muitos desses serviços utilizam o
Paradigma cliente-servidor, embora nosso interesse aqui seja no nível de serviços.
Distribuição de chaves : Esta é uma ampla classe de serviços (Autorização e Autenticação), como
Kerberos, PKI, etc. Esses serviços normalmente permitem a autenticação (provando au-
autenticidade a um cliente ou autenticação mútua de cliente e servidor) em uma rede insegura
funciona, com base em vários protocolos criptográficos. Os serviços de autenticação geralmente atuam como
terceiro confiável para interagir com entidades em um sistema distribuído. Para obter mais detalhes, consulte o
Área de conhecimento (capítulo ) de autenticação, autorização e responsabilidade (AAA ) .
Armazenar/KVS
Este é um conjunto diversificado de serviços a partir de leituras e gravações distribuídas em nível de registro que envolvem
consistência forte com latência muito baixa. Outro modelo geral é Key Value Store (KVS)
onde os dados são acessados por meio de chaves / ponteiros / mapas com tipos simples de leitura, gravação e exclusão de
mantics. Em KVS, os dados são representados como uma coleção de pares de valores-chave, de modo que cada
possível chave aparece no máximo uma vez na coleção com foco em tempos de acesso rápido (até
um tempo de acesso constante). O modelo de valor-chave é um dos modelos de dados não triviais mais simples,
e modelos de dados mais ricos são frequentemente implementados como extensões com propriedades especificadas. Para
exemplo, um modelo ordenado pode ser desenvolvido para manter as chaves em uma forma lexicográfica ou
der para recuperar com eficiência intervalos de chaves seletivas. Armazenamentos de valores-chave podem usar modelos de consistência
variando da consistência eventual à consistência estrita. Os problemas de segurança requerem tratamento
com dados em repouso (armazenamento estático) e dados em trânsito (operações R / W dinâmicas).
Serviços transacionais, bancos de dados
Esta é uma ampla classe de serviços que abrangem bancos de dados e serviços transacionais gerais (re-
recuperação, mineração de dados informativos, transações bancárias e de ações, etc.). Os requisitos
são consistentes como no banco, onde todas as transações de débito e crédito são (fortemente ou
fracamente) serializável para consistência. De forma mais geral, um banco de dados adere a todas as estipulações
propriedades ACID relacionadas .
Por outro lado, uma série de transações de mineração de dados e pesquisa de informações requerem apenas
nuances mais fracas de consistência. Por exemplo, um processo de busca de informações pode funcionar com
data centers particionados fisicamente, resultando em informações obsoletas ou inconsistentes, desde que
eles são eventualmente reconciliáveis dentro de alguma especificação dos requisitos de serviço. O
especificação do tipo e grau de perturbações e nível de consistência dos serviços
projetado para ser resiliente para determinar o esquema de coordenação específico a ser usado. Adicionalmente,
no caso de modelos de consistência mais fracos, o usuário é obrigado a lidar com quaisquer dados obsoletos
que pode ter sido recuperado do banco de dados.
Blockchains / criptomoedas
O conceito de livro-razão fornece uma contabilidade consistente das transações. Isso é prob-
temática para alcançar em um sistema distribuído onde as entidades participantes não confiam em cada
outros e são potencialmente não confiáveis. Blockchains fornecem um sistema descentralizado, distribuído e
razão pública que é usada para registrar transações em muitos computadores para que o registro
não pode ser alterado retroativamente sem também alterar todos os blocos subsequentes. Tais alterações
requerem o consenso da rede e, portanto, não podem ser realizadas unilateralmente por
um atacante. Isso também permite que os participantes verifiquem e auditem transações de maneira econômica.
Blockchains formam a base de várias criptomoedas, mais notáveis Bitcoin.
Em termos técnicos, um Blockchain é uma lista de registros ou blocos. As propriedades mencionadas
www.cybok.org
surgem do fato de que cada bloco incorpora um hash criptográfico do bloco anterior
e um carimbo de data / hora. Se um bloco da cadeia for alterado sem também alterar todos os blocos subsequentes,
o hash do bloco a seguir não corresponderá mais, tornando a violação no Blockchain
detectável.
Quando usados como livros-razão distribuídos, os Blockchains são normalmente gerenciados por rede ponto a ponto
trabalho. Os pares em tal rede participam de um protocolo para validar o recém-submetido
blocos. Blockchains também são exemplos de sistemas amplamente implantados exibindo alta tolerância
às falhas bizantinas .
O conceito genérico Blockchain permite a participação de qualquer entidade (sistemas sem permissão,
blockhains públicos) e não inclui quaisquer restrições de acesso. Este é o caso do
blockchains subjacentes a muitas criptomoedas amplamente utilizadas, como Bitcoin. No entanto, mais
modelo de participação restritiva (sistemas permitidos, cadeias de bloqueio privadas) também é possível,
onde uma “autoridade de validação” concede permissão para a participação.
A fim de impedir ataques de negação de serviço e outros abusos de serviço, como spam em uma rede
trabalho, o conceito de Prova de Trabalho (Pancada) (ou seja, gastando tempo de processamento para realizar
tarefas internacionalmente caras) é especificado como um requisito para a participação. Isso é eficaz como
um meio de prevenir abusos de serviço, como spam, uma vez que o trabalho exigido normalmente é difícil
para executar, mas fácil de verificar, levando a requisitos assimétricos para solicitador de serviço e
fornecedor. No entanto, os esquemas PoW também levam a um alto uso de energia e, dependendo da escolha
requisito de trabalho sen, pode levar a barreiras de entrada excessivamente altas. Este é o caso, para
por exemplo, em certas criptomoedas, onde a participação significativa exige
artigos projetados para o tipo específico de trabalho exigido. Para evitar essas deficiências, alterna-
abordagens ativas com base na Prova de Participação (PoS) estão em desenvolvimento, mas não tão maduros quanto
Pancadabaseados em esquemas e não amplamente implantados.
Uma discussão abrangente sobre os problemas do Blockchain aparece em [ , 8] Como nota,

Blockchains representam uma combinação interessante de recursos descentralizados usando o PP
modelo para a coordenação de recursos e o esquema de coordenação de consenso para seus serviços
funcionalidade vice.
No geral, integridade do serviço, em termos de consenso, apoiado pela vitalidade necessária, é a chave
característica do modelo de coordenação do serviço. Isso contrasta com a coordenação de recursos
classe de ção em que a acessibilidade e disponibilidade de recursos eram os motivadores / considerações dominantes
ações.
Implicações de capacidade de ataque (e abordagens de mitigação) na coordenação de serviços
nação
Os serviços e aplicativos constituem uma classe muito ampla para cobrir, tanto para o tipo de
ataques e a diversidade de serviços onde a especificação funcional do serviço deter-
minam o tipo e o grau de impacto na segurança. Na maioria dos casos, a violação da integridade,
junto com a confidencialidade, é o impacto de primeira classe com impacto na disponibilidade seguindo como
Uma consequencia. Alguns exemplos de violações para o esquema de coordenação e tipos de serviço
são mencionados abaixo.
Nota: Os esquemas de mitigação aplicáveis aqui são os mesmos descritos na Seção ..

que resultam essencialmente dos conceitos básicos de gerenciamento e coordenação de replicação
apresentado nas Seções .e . .. O próprio propósito da coordenação baseada na replicação,
no nível do recurso ou do serviço, é evitar comprometimentos por ataques discretos até o
www.cybok.org
limite do tipo de gravidade e o número de interrupções que o esquema de replicação foi projetado
lidar.
Compromisso de distribuição de chaves em PKI: Os processos de autenticação que suportam a distribuição
ção de chaves públicas está comprometida, afetando a integridade e confidencialidade do serviço.
Comprometimento de dados em repouso: isso é análogo à violação de recursos no recurso
modelo de coordenação conforme aplicável a sistemas de armazenamento.
Comprometimento de dados em movimento : isso tem consequências variadas de consistência e latência que
comprometer a integridade dependendo das especificações dos serviços. Apresentamos um muito
enumeração simplista usando classes de transações como:
Transações curtas: (Armazenamento /KVS, etc.) O principal motivador para esta classe é a consistência
e baixa latência (por exemplo, linearidade). Como a vivacidade e a segurança são violadas, a integridade de
a transação está comprometida. É importante notar que um ataque DoS pode não afetar consistentes
tência. No entanto, à medida que a latência é afetada, a integridade do serviço é perdida.
Grandes transações: Ledgers (Blockchain, etc.) estão nesta categoria onde, embora latência
é importante, é a integridade (conforme definida pela consistência do razão) que é o principal
propriedade mary para preservar. Como os livros-razão constituem um serviço popular, o discutimos para ilustrar
aspectos de ambas as superfícies de ataquese suposições.
Para recapitular da Seção . ., Blockchains constituem um livro-razão de informações que são divulgadas
persed em um sistema distribuído. Blockchains garantem a segurança dos dados ao não fornecer
um único ponto de ataque. O livro-razão é armazenado em várias cópias em uma rede de computadores.
Cada vez que um participante autorizado (por exemplo, em um sistema autorizado) envia uma trans-
ação para o razão, os outros participantes conduzem verificações para garantir que a transação é
válido, e essas transações válidas (como blocos) são adicionadas à cadeia do razão. Consenso en-
garante uma visão consistente da sequência de transações e do resultado coletado. O cryp-
espera-se que a base gráfica do hash, em cada bloco, evite adulteração, e a Prova de
A noção de trabalho foi projetada para mitigar o efeito dos ataques DoS .
O que torna este sistema, teoricamente, à prova de adulteração são dois aspectos: (a) uma criptografia não passível de
hash gráfico ligando os blocos, e (b) consenso resistente ao ataque pelo qual o
os participantes concordam com um histórico compartilhado de transações.
Comprometê-los envolve o comprometimento das chaves criptográficas armazenadas e do hash.

Embora teoricamente seguros, tais sistemas podem se tornar vulneráveis a tecnologias emergentes
gies como a computação quântica. Além disso, embora os requisitos de Prova de Trabalho (ou seja, "para
demonstrar ”um acordo maior do que% de participantes) pode fazer ataques de conluio pro-
excessivamente caros em sistemas suficientemente grandes, eles podem ser viáveis em sistemas com menos
participantes.
Da mesma forma, a propriedade de consenso pode ser comprometida por meio de um ataque Eclipse [ ] para Bitcoin,
e também em casos gerais onde existe o potencial de induzir os nós a desperdiçar comp
colocando poder. Os nós no Blockchain devem permanecer em comunicação constante, a fim de
compare os dados. Um invasor que pode assumir o controle da comunicação de um nó e falsificar outros
nós em aceitar dados falsos para resultar em computação desperdiçada ou confirmar transações falsas
ções podem violar o consenso. O trabalho em [ 8] fornece uma leitura útil sobre tais
compromissos.
Transações mistas: conforme implícito na etiqueta, combina transações curtas e grandes. O
as implicações de segurança dependem do tipo de serviços. Como exemplo, destacamos dois serviços
www.cybok.org
grupos, a saber:
- Transações de suporte de comércio eletrônico : os requisitos principais aqui são propriedades ACID
que envolvem consistência forte e sem partições. Quaisquer compromissos afetam a integridade do
serviço.
- Sistemas de informação : Serviços como Webcrawlers, Recuperação de dados para aplicações
como Uber ou consultas informativas para compras podem lidar com (rede e dados) par-
títulos de dados para operar em dados armazenados em cache obsoletos. O ataque pode levar a computadores redundantes
informações nas pesquisas ou informações ligeiramente desatualizadas, mas a integridade não é violada, desde que
a semântica de consistência fraca, relaxada ou eventual, conforme aplicável para a especificação do serviço
i cação, são sustentados. Além disso, as consultas informativas têm requisitos de latência mistos. Para ex-
amplo, a pequena latência em um data center local e a latência tolerável mais alta em toda a região
centros de dados dispersos podem definir o grau de tolerância a ataques até Disponibilidade e
A integridade está comprometida.
CONCLUSÕES
A intenção deste capítulo é descrever como funcionam os sistemas distribuídos e como o
os mecanismos que apoiam as operações de tais sistemas abrem questões de segurança neles. Muito
muitas vezes, a expectativa é que as técnicas clássicas de segurança serão aplicadas diretamente em um sistema distribuído
contexto de sistemas também. No entanto, muitas vezes não é o caso e quanto melhor se entende
a base conceitual de um sistema distribuído, melhor se pode entender e fornecer
para sua segurança. O KA discutiu a categorização funcional de sistemas distribuídos em
duas classes principais: controle descentralizado e coordenado. As operações para cada classe
foram elaborados levando às implicações de segurança resultantes das diferentes especificações
sistemas distribuídos subjacentes.
] ] ] ]
]
88
[ [ [ [
[
JV
P
Lynch Rachid Birman Snyder
. Classes de Sistemas Distribuídos e Vulnerabilidades c c c8
. Sistemas Distribuídos: Modelos PP Descentralizados c

c, c
. Sistemas Distribuídos: Atacando Sistemas PP c6 c
c -, c 6,
. Sistemas Distribuídos: Cluster de Recursos Coordenados c, c c,
c, c
c c
. Sistemas Distribuídos: Classes de Coordenação e Capacidade de ataque c c -6 c c8 c
www.cybok.org
LEITURA ADICIONAL
Os livros a seguir são recomendados para uma cobertura mais profunda do sistema distribuído e
conceitos de segurança.
Conceitos de algoritmos distribuídos Lynch [ ] - O livro apresenta os conceitos essenciais
de sistemas distribuídos. O foco está na sincronização e no consenso, embora forneça uma
cobertura abrangente e matematicamente rigorosa de conceitos de sistemas distribuídos de
um ponto de vista de algoritmos.
Cachin de programação distribuída confiável e segura , Guerraoui, Rodrigues [ ] - Chegando

do ponto de vista da programação distribuída, este é outro livro rigoroso que cobre tanto
tolerância a falhas e segurança. Ele também fornece uma excelente cobertura de primitivas criptográficas.
Embora seja anterior ao desenvolvimento dos Ledgers, a maioria dos conceitos por trás deles são
abordado neste livro.
Grupo de Comunicação e Replicação Birman [ ] - Este é um excelente livro que com

combina conceitos com ênfase no desenvolvimento real de sistemas distribuídos. O
os estudos de caso fornecem percepções valiosas sobre problemas e soluções práticas. Uma capa perspicaz
idade dos sistemas PP também aparece neste livro.
Anderson Engenharia de Segurança [ ] - Este livro é uma excelente leitura na vida real
isação de sistema distribuído de uma perspectiva de segurança, especialmente para serviços de nomenclatura e
segurança multinível. O leitor também é encorajado a ler os textos [ 6, ] aquele detalhe
cobertura complementar em CORBA e Web services.
Modelagem de Ameaças Swiderski, Snyder [88] - A cobertura é no básico do modo de ameaça

eling do ponto de vista do ciclo de vida do software e da segurança do aplicativo. Embora não seja distribuído
livro de sistemas, ele ainda fornece percepções valiosas sobre como a modelagem de ameaças é conduzida na prática
tice.
www.cybok.org
Página 451
Capítulo
Autenticação,
Autorização e
Responsabilidade (AAA)
Dieter Gollmann Hamburg University of Technology
& Nanyang Tecnológico
Universidade Cingapura
www.cybok.org
Abstrato
O controle de acesso baseia-se na autorização e autenticação. Este KA apresentará o general

fundamentos do controle de acesso e algumas instanciações significativas que surgiram como TI
continuou se espalhando em novas áreas de aplicação. Ele pesquisará os modos de autenticação do usuário e
forma como estão atualmente implantados, protocolos de autenticação para a web, observando como novos usos
casos levaram a uma mudança de autenticação para protocolos de autorização, e a formalização
das propriedades de autenticação usadas nas ferramentas de análise de protocolo atuais. Sobre responsabilidade, o
o foco está no gerenciamento e proteção de logs de auditoria. A vigilância de logs para detectar
ataques ou comportamento inadequado são descritos no Security Operations & Incident Man-
área de conhecimento de gestão (Capítulo 8), enquanto o exame das evidências na sequência de uma violação
de política ou ataque é abordado na Área de Conhecimento Forense (Capítulo ). Ao longo do
KA, vamos ag termos técnicos que aparecem em mais de um significado no meio acadêmico e
a literatura comercial.
. INTRODUÇÃO
“Toda ciência é física ou coleta de selos.” [Ernest Rutherford]
Em alguns casos, os sistemas de TI podem garantir - desde o início - que nenhum comportamento indesejável é
possível. Em outros casos, os sistemas de TI exibem tal grau de flexibilidade - também por design -
que medidas adicionais precisam ser tomadas para limitar o comportamento indesejável de acordo com
dadas as circunstâncias. Conforme observado por Lessig, isso pode ser feito por código no sistema que
exclui comportamentos, que violam certas regras, ou pode ser feito por códigos de conduta que
espera-se que os usuários do sistema cumpram [ ] Neste último caso, disciplinar ou legal
processos lidam com aqueles que quebraram as regras. Este é o contexto para autenticação,
autorização e responsabilidade.
Leitores familiarizados com os costumes da escrita acadêmica podem agora esperar de nições de núcleo
termos, talvez algum refinamento da terminologia e, em seguida, uma visão geral das abordagens mais recentes
na obtenção de autenticação, autorização e responsabilidade. Como será mostrado, esta abordagem
falha no primeiro obstáculo. Esses três termos são sobrecarregados a ponto de fornecer ampla
espaço para confusão e disputa. Por exemplo, autorização significa tanto a configuração de
regras e para verificar o cumprimento dessas mesmas regras. Os leitores devem, portanto, ser cautelosos
ao estudar a literatura sobre esta área do conhecimento.
Mudanças na maneira como a TI está sendo usada criam seus próprios desafios para as taxonomias. Quão perto
os termos devem ser vinculados ao ambiente em que surgiram pela primeira vez? Existe um hábito no
literatura de comércio e pesquisa de vinculação de termos exclusivamente a uma instância "tradicional" nocional-
a criação de algum conceito genérico e a invenção de novos termos da moda para novos ambientes,
mesmo que os conceitos subjacentes não tenham mudado.
Autenticação, autorização e responsabilidade KA (AAA) | Outubro Página 6
www.cybok.org
. CONTENTE
Este KA primeiro aborda a autorização no contexto do controle de acesso e apresenta os principais
avours de controle de acesso em uso hoje. A seção sobre controle de acesso em sistemas distribuídos
tems explica os conceitos usados ao implementar o controle de acesso em diferentes sites. O
KA então muda para autenticação, tocando na autenticação do usuário e na autenticação em
sistemas distribuídos e conclui com uma discussão sobre os serviços de registro que suportam ac-
contabilidade.
. AUTORIZAÇÃO
[ , , , , ]
Em seu artigo seminal [ ], Lampson et al. postular controle de acesso = autenticação + autho-
elevação . Seguiremos esta pista e apresentaremos autorização no contexto do controle de acesso ,
começando com uma introdução aos conceitos fundamentais para este domínio, seguido por um
visão geral dos diferentes tipos de política. A máxima de Libicki, "conotação, não denotação, é o problema
lem ”[ 6] também se aplica aqui, portanto, prestaremos atenção especial aos atributos usados quando
definição de regras de acesso e à natureza das entidades regidas por essas regras. AC baseada em código
controle de acesso, segurança móvel e gerenciamento de direitos digitais apresentarão novos paradigmas
ao controle de acesso, sem alterar sua substância. Em seguida, apresentaremos opções de design para
aplicação da política e discutir delegação e alguns fundamentos teóricos importantes de
controle de acesso.
.. Controle de acesso
O controle de acesso é “o processo de conceder ou negar solicitações específicas ...” [ ] Este pro
cesso precisa das seguintes entradas
• Quem emitiu o pedido?
• O que é solicitado?
• Quais regras são aplicáveis ao decidir sobre a solicitação?
“Quem” na primeira pergunta é perigoso. A palavra sugere que os pedidos sempre vêm de
uma pessoa. Isso é impreciso por dois motivos. Primeiro, a origem de uma solicitação pode ser uma
máquina lar, uma máquina em uma configuração particular, ou um programa particular, por exemplo, um determinado
App Android. Em segundo lugar, a nível técnico, os pedidos em uma máquina são emitidos por um processo,
não por uma pessoa. A questão então se torna, "por quem ou o que é o processo falando por
ao fazer o pedido? ” "O que é solicitado" é frequentemente fornecido como uma combinação de um
ação a ser executada e o objeto no qual a ação deve ser executada. As regras são
expressões lógicas que avaliam uma decisão. No caso elementar, a decisão é permitida
ou negar . Quando as políticas ficam mais elaboradas, pode haver razões para adicionar um indeterminado
decisão. Uma decisão também pode prescrever outras ações a serem realizadas, às vezes chamadas
obrigações.
Autenticação, autorização e responsabilidade KA (AAA) | Outubro Página

www.cybok.org
. . . Conceitos Básicos
O termo 'política de segurança' é usado tanto para as regras gerais dentro de uma organização que estipula
tarde, como os recursos sensíveis devem ser protegidos e para as regras impostas pelos sistemas de TI
sobre os recursos que gerenciam. Sterne tinha inventado os termos políticas organizacionais e au-
políticas automatizadas para distinguir esses dois níveis de discurso [ ]
Ao definir as políticas de segurança, principal representa a entidade ativa em uma solicitação de acesso.
Quando as políticas se referem diretamente aos usuários, como era o caso nas fases iniciais da segurança de TI, o usuário
identidades servem como principais . O controle de acesso com base nas identidades do usuário é conhecido como Identidade-
Controle de acesso baseado (IBAC). Em políticas de segurança que se referem a conceitos como funções ou
o programa que emite uma solicitação, o principal é uma função ou um programa. O diretor pode então
geralmente representam qualquer atributo de segurança associado ao emissor de uma solicitação. Com isso
generalização, qualquer forma de controle de acesso é por definição de controle de acesso baseado em atributo
(consulte a Seção ...)
Assunto representa a entidade ativa que faz uma solicitação quando um sistema executa algum pro-
grama. Um assunto fala por um principal quando o ambiente de execução associa o assunto
com o diretor de uma maneira imprevisível. O exemplo original para a criação de um assunto que
fala por um principal é o login do usuário, gerando um processo executado sob a identidade do usuário de
a pessoa que foi autenticada. A literatura de pesquisa nem sempre mantém
esta distinção entre principais e assuntos e pode-se encontrar políticas de segurança referentes
aos assuntos. Quando as políticas se referem aos atributos de um usuário, mas não à identidade do usuário, a identidade do usuário
tidades tornam-se uma camada de indireção entre diretores e assuntos [ 8]
Um assunto é criado, por exemplo, no login, e pode ser encerrado, por exemplo, no logout. Da mesma forma, a identidade do usuário
entidades são criadas por meio de alguma ação administrativa e podem ser encerradas, por exemplo, excluindo
uma conta de usuário. Na prática, os sujeitos têm uma vida útil consideravelmente mais curta do que as identidades dos usuários.
Processos que controlam plantas industriais são um raro exemplo de assuntos que podem viver para sempre,
mas pode ser morto por falhas no sistema.
O objeto é a entidade passiva em uma solicitação de acesso. As operações de acesso definem como um objeto pode
ser acessado por um assunto. As operações de acesso podem ser tão elementares quanto ler , escrever , executar
no Linux, eles podem ser programas como os programas setuid no Linux e podem ser inteiros
fluxos de trabalho como em alguns modos de UCON (Seção . .8)
Os direitos de acesso expressam como um principal pode acessar um objeto. Em situações onde há um
correspondência direta entre as operações de acesso e direitos de acesso, a distinção conceitual ser-
entre operações de acesso e direitos de acesso não podem ser mantidos. A permissão é frequente
usado como sinônimo de direito de acesso. Privilégio também pode ser usado como sinônimo de acesso
à direita, por exemplo, Oracle i Database Concepts Release (.) afirma:
“Um privilégio é a permissão para acessar um objeto nomeado de uma maneira prescrita. . . ”
Outros sistemas, como o Windows, fazem uma distinção entre direitos e privilégios de acesso,
usando privilégios especificamente para o direito de acessar recursos do sistema e realizar
tarefas relacionadas. Os sistemas operacionais e bancos de dados costumam ter uma gama de privilégios de sistema que
são necessários para a administração do sistema.
O monitor de referência (mais detalhes na seção . . .) é o componente que decide sobre

pedidos de acesso de acordo com a política dada.
www.cybok.org
. . . Políticas de Segurança
As políticas de segurança automatizadas são um conjunto de regras. As regras especificam os direitos de acesso a
principal tem em um objeto. Conceitualmente, uma política poderia então ser expressa como um Con-
trol Matrix com linhas indexadas por principais e colunas indexadas por objetos [ ] Acesso
Listas de controle (ACLs) armazenadas com os objetos correspondem às colunas desta matriz; capa-
bilidades armazenadas com principais correspondem às linhas desta matriz (ver também o
Sistemas e Virtualização de área de conhecimento (capítulo ) ).
O Controle de Acesso Discricionário (DAC) e o Controle de Acesso Obrigatório (MAC) são duas políticas centrais
leis formuladas nos s no contexto do setor de defesa dos Estados Unidos. Acesso discricionário
as políticas de controle atribuem o direito de acessar recursos protegidos a identidades de usuários individuais,
a critério do proprietário do recurso. Na literatura, DAC pode genericamente referir-se a políticas
definido pelos proprietários dos recursos, mas também para as políticas que se referem diretamente às identidades dos usuários, ou seja, ao IBAC.
Políticas de controle de acesso obrigatórias rotulam assuntos e objetos com níveis de segurança . O conjunto
dos níveis de segurança é parcialmente ordenado, com o menor limite superior e o maior limite inferior
operador. Os níveis de segurança, portanto, formam uma rede . Na literatura, o MAC pode genericamente referir-se a
políticas exigidas pelo sistema como, por exemplo, em Security-Enhanced Linux (SELinux) [ , ]
e no Android Security-Enhanced (SE) [ ], ou a políticas baseadas em níveis de segurança como no passado
produtos como Trusted Xenix ou Trusted Oracle. Políticas do último tipo também são conhecidas
como políticas de segurança multinível e como políticas baseadas em rede .
. . . Controle de acesso baseado em função
No Role-Based Access Control (RBAC) , as funções são uma camada intermediária entre os usuários e o
permissões para executar certas operações. As operações podem ser transações bem formadas com
verificações de integridade integradas que medeiam o acesso aos objetos. Os usuários recebem funções e são
autorizados a executar as operações vinculadas à sua função ativa. Separação de Deveres (SoD)
refere-se a políticas que impedem que usuários individuais se tornem muito poderosos. Exemplos de SoD são
regras que indicam que mais de um usuário deve estar envolvido para concluir alguma transação, regras
afirmando que um usuário com permissão para realizar um conjunto de transações não tem permissão para realizar
algum outro conjunto de transações, a separação entre a frente e os fundos em nan-
rms comerciais oficiais é um exemplo, ou regras que estabelecem que os administradores de políticas não podem atribuir
permissões para si próprios. As regras de SoD estáticas são consideradas durante a atribuição da função do usuário, dy-
O SoD dinâmico deve ser aplicado quando uma função é ativada. O modelo NIST RBAC [ ] distin-
adivinha entre:
• RBAC plano: os usuários são atribuídos a funções e funções a permissões para operações; Comercial
obter permissões para executar procedimentos por meio de associação de função; revisões da função do usuário são sup-
portado.
• RBAC hierárquico: adiciona suporte para hierarquias de papéis.
• Restrita RBAC: adiciona separação de funções.
• RBAC simétrico: adiciona suporte para revisões de função de permissão, o que pode ser difícil para
alcançar em grandes sistemas distribuídos.
Muitos sistemas comerciais suportam algum tipo de controle de acesso baseado em função, sem necessidade
aderindo essencialmente às especificações formais do RBAC publicadas na literatura de pesquisa.
O RBAC é um conceito elegante e intuitivo, mas pode se tornar bastante confuso na implantação conforme
sugerido por comentários em um estudo empírico sobre o uso de RBAC [ ] Nota do praticante
www.cybok.org
que o RBAC funciona enquanto cada usuário tem apenas uma função, ou que “o enorme esforço exigido
para projetar a estrutura de funções e preencher os dados de funções "constitui um inibidor para RBAC.
. . . Controle de acesso baseado em atributos

O controle de acesso baseado em atributos (ABAC) é definido em [ ] como um “método de controle de acesso lógico-
ologia onde a autorização para realizar um conjunto de operações é determinada avaliando atributos
associado ao assunto, objeto, operações solicitadas e, em alguns casos, ambiente
condições contra políticas, regras ou relacionamentos que descrevem as operações permitidas para um
determinado conjunto de atributos ” . Esta é uma definição genérica de controle de acesso que não reserva mais
um lugar especial para o usuário ou para a função do usuário, refletindo como o uso de sistemas de TI tem
mudou com o tempo.
O controle de acesso pode ser realizado em um aplicativo ou na infraestrutura de suporte do

aplicativo. O controle de acesso em uma infraestrutura usa atributos e operações genéricas. O
O sistema de controle de acesso Linux pode servir como um exemplo. O controle de acesso em um aplicativo usa
atributos e operações específicos do aplicativo. Nesta distinção, o ABAC pode ser visto como um
sinônimo de controle de acesso no nível do aplicativo.
. . . Controle de acesso baseado em código

O controle de acesso baseado em código (CBAC) atribui direitos de acesso a executáveis. As políticas podem referir-se
para a origem do código, para codificar a identidade (por exemplo, o hash de um executável) ou para outras propriedades do
executável, em vez da identidade do usuário que iniciou o executável. Origem
pode incluir o domínio do qual o código foi obtido, a identidade do signatário do código, um
espaço de nomes ci c (.NET experimentou com nomes fortes , ou seja, chaves públicas vazias servindo como
nomes para espaços de nome) e muito mais. CBAC pode ser encontrado no modelo de segurança Java [ ]
e na arquitetura .NET da Microsoft [ ]
O monitor de referência em CBAC normalmente executa uma caminhada de pilha para verificar se todos os chamadores
foram concedidos os direitos de acesso necessários. A caminhada da pilha aborda o problema confuso do deputado
lem [ 6], em que um invasor sem privilégios manipula um sistema por meio de chamadas para código privilegiado
(o deputado confuso). A invocação controlada é implementada por meio de instruções assert ; uma
stack walk para um direito de acesso irá parar em um chamador que afirma esse direito.
. . .6 Segurança Móvel
Os smartphones normalmente têm um único proprietário, armazenam dados privados do usuário e oferecem funções de comunicação
ções que variam de telefone celular a NFC, podem observar seus arredores por meio de câmera e micro-
telefone, e pode determinar sua localização, por exemplo, via GPS. Em smartphones, os aplicativos são o prin-
cipals para controle de acesso. Os objetos de controle de acesso são os dados sensíveis armazenados em um
telefone e as funções sensíveis do dispositivo em um telefone.
O controle de acesso em um smartphone atende aos requisitos de privacidade do proprietário e do

requisitos de integridade da plataforma. O Android, por exemplo, divide os grupos de permissão em
permissões normais, perigosas e de assinatura. Permissões normais não aumentam a privacidade ou
preocupações com a integridade da plataforma; os aplicativos não precisam de aprovação ao afirmar tais permissões.
Permissões perigosas podem afetar a privacidade e precisam da aprovação do usuário. Até o Android 6., usuários
teve que decidir se autorizaria uma permissão solicitada ao instalar um aplicativo. Usuário stud-
s mostraram que as permissões foram autorizadas muito livremente devido a uma falta geral de compreensão
e consciência de risco, consulte, por exemplo, [ ] Desde o Android 6., os usuários são solicitados a autorizar uma
missão quando é necessário pela primeira vez. As permissões de assinatura têm um impacto na integridade da plataforma
www.cybok.org
e só pode ser usado por aplicativos autorizados pelo fornecedor da plataforma; aplicativo e permissão têm
a ser assinado pela mesma chave privada. Para obter mais detalhes, consulte o Web & Mobile Security Knowl-
Área de borda (Capítulo ) .
. . . Gestão de Direitos Digitais

O Digital Rights Management (DRM) tem sua origem no setor de entretenimento. Descontrolado
a cópia de conteúdo digital, como jogos, filmes ou música, prejudicaria seriamente os negócios
modelos de produtividade de produtores e distribuidores de conteúdo. Essas partes, portanto, têm interesse em
controlando como seu conteúdo pode ser acessado e usado nos dispositivos de seus clientes. Poli-
As cidades podem regular o número de vezes que o conteúdo pode ser acessado, por quanto tempo o conteúdo pode ser
amostrado gratuitamente, o número de dispositivos a partir dos quais ele pode ser acessado ou o preço do conteúdo
Acesso.
DRM vira o paradigma de controle de acesso familiar de cabeça para baixo. DRM impõe a política de segurança
de uma parte externa no proprietário do sistema, em vez de proteger o proprietário do sistema de
festas finais. A superdistribuição captura o cenário em que os dados são distribuídos em ambientes protegidos
recipientes e podem ser redistribuídos livremente. As etiquetas especificando os termos de uso estão anexadas a
os recipientes. Os dados só podem ser usados em máquinas equipadas com um superdistri
Bution Label Reader que pode descompactar o contêiner e rastrear (e relatar) o uso de dados,
e fazer cumprir os termos de uso [ 8] A busca por uma aplicação resistente a adulteração
mecanismo foi uma das forças motrizes da Trusted Computing.
O nível de resistência à violação necessário depende das ameaças previstas. Plataforma confiável
Os módulos são uma solução de hardware que oferece um alto grau de segurança. Enclaves em Intel SGX são
uma solução em software de sistema. Leitores de documentos que não permitem a cópia implementam este
conceito dentro de um aplicativo. Políticas rígidas buscam uma ideia relacionada [ ]; as políticas aderem a um
objeto e são avaliados sempre que o objeto é acessado.
O atestado fornece informações confiáveis sobre a configuração de uma plataforma. Anonimato direto
O atestado mous implementa este serviço de uma forma que protege a privacidade do usuário [6 ] Controlo remoto
o atestado pode ser usado com políticas de segurança baseadas no software em execução
uma máquina remota. Por exemplo, um proprietário de conteúdo pode verificar a configuração do software em um
destino antes de liberar o conteúdo. No FIDO Universal Authentication Framework (FIDO
UAF) apenas o modelo do dispositivo autenticador é atestado. Todos os dispositivos de um determinado modelo são mantidos
a mesma chave privada de atestado [ 6 ]
Por um breve período, estava na moda usar Digital Rights Management como o termo genérico
considerando o controle de acesso 'tradicional' como um caso especial.
. . .8 Controle de uso
O Controle de Uso (UCON) foi proposto como uma estrutura que engloba autorizações baseadas em
os atributos de sujeito e objeto , obrigações, e condições [ ] Dentro [ ], obrigações
são ações adicionais que um usuário deve realizar para obter acesso, por exemplo, clicar em um link
concordar com os termos de uso. No uso atual do termo, as obrigações também podem ser ações
o sistema deve executar, por exemplo, registrar uma solicitação de acesso. Essas ações podem ter que ser
realizada antes, durante ou depois de um acesso acontecer. As condições são aspectos independentes
de assunto e objeto, por exemplo, hora do dia em que uma política permite o acesso apenas durante o horário comercial
ou a localização da máquina o acesso é solicitado. Exemplos para o último são as políticas
permitindo certos pedidos apenas quando emitidos a partir do console do sistema, dando acesso apenas
de máquinas na rede local, ou políticas que consideram o país atribuído ao IP
www.cybok.org
endereço de onde vem um pedido. Muitos conceitos da UCON foram adotados no XACML
. padrão [6 ]
O controle de uso também pode incluir disposições para o que acontece depois que um objeto é acessado, por exemplo,
que um documento pode ser lido, mas seu conteúdo não pode ser copiado ou ajuste de atributos
depois que um acesso foi realizado, por exemplo, diminuindo o contador de artigos gratuitos de um visitante
pode acessar. Em outra interpretação, o controle de acesso 'tradicional' lida com o elementar
operações de acesso encontradas em um nível de infraestrutura, enquanto o controle de uso aborda todo o trabalho
flui no nível do aplicativo. Em serviços de telecomunicações, o controle de uso pode limitar o tráfego
volume.
.. Aplicação do controle de acesso

Para impor uma política de segurança, esta política deve primeiro ser definida. Para um determinado pedido, uma decisão tem
a ser feita sobre se a solicitação está em conformidade com a política, o que pode exigir
informações de outras fontes. Finalmente, a decisão deve ser transmitida ao componente
que gerencia o recurso solicitado. Na terminologia de XACML, isso involve
• Pontos de administração de política onde as políticas são definidas,
• Pontos de decisão de política onde as decisões são tomadas,
• Pontos de informação de política que podem ser consultados para outras entradas para o algoritmo de decisão
ritmo,
• Pontos de aplicação da política que executam a decisão.
. . . Delegação e Revogação
Delegação e concessão de direitos de acesso referem-se a situações em que um principal, ou um sub-
ject, obtém um acesso direto de outra pessoa. A literatura de pesquisa não tem rm
definições para esses termos, e a literatura comercial ainda menos. Concessão tende a ser usada
em um sentido genérico; direitos de acesso concedidos geralmente se referem aos direitos de acesso atuais de um sujeito
que entrega uma solicitação a um monitor de referência. A delegação é às vezes, mas nem sempre, usada
mais estritamente para conceder direitos de acesso de curta duração durante a execução de um processo. Para
exemplo, XACML distingue entre administração de política e delegação dinâmica que
“Permite que alguns usuários criem políticas de duração limitada para delegar certos recursos a
outros ” [ 6 ]
Uma segunda distinção possível permite que a delegação se refira apenas à concessão de direitos de acesso detidos
pelo delegador, ao conceder acesso também inclui situações em que um diretor de gestão
atribui direitos de acesso a terceiros, mas não tem permissão para exercer esses direitos por conta própria.
Os direitos nem sempre podem ser concedidos para sempre. O concedente pode definir uma data de expiração no
delegação, um direito pode ser válido apenas para a sessão atual, ou pode haver uma revogação
mecanismo como o Online Certi cate Status Protocol (OCSP) para certificados X. (ver
Seção . . ) . OCSP é compatível com todos os principais navegadores. Listas de revogação são adequadas quando
verificações online não são viáveis e quando se sabe com antecedência onde um direito concedido pode ser
consumido.
www.cybok.org
. . . Monitor de Referência
autorização
autenticação eu
ACL
eueu
.......... .............................
......... ...... ................................. ............
eu
. ..........
................ eu
. ..........
. ..........
solicitação referência objeto
- - -
........
...... .......................
monitor
diretor
Figura . : Controle de acesso = Autenticação + Autorização.
Em sua definição original, o monitor de referência era a máquina abstrata mediando todas as ações
cesses por sujeitos a objetos. O kernel de segurança foi uma implementação confiável do
monitor de referência. A Trusted Computing Base (TCB) era a totalidade dos mecanismos de proteção
nismos dentro de um sistema de computador responsável por fazer cumprir uma política de segurança (as definições seguem
[ 6 ]). Tem havido algum erro de interpretação desde então. O componente do monitor de referência
nos sistemas operacionais atuais, por exemplo, o Monitor de referência de segurança no Windows, na verdade
ser o kernel de segurança de cima, e TCB é hoje às vezes usado em um sentido limitado para
representam apenas o kernel de segurança. Um monitor de referência executa duas tarefas.
• Ele autentica qualquer evidência fornecida pelo sujeito com uma solicitação de acesso. Tradição-
almente, a identidade do usuário pela qual o assunto estava falando foi autenticada.
• Avalia a solicitação em relação à política dada. A literatura inicial sobre acesso

controle refere-se a esta tarefa como autorização (da solicitação), consulte, por exemplo, [ ]
No entanto, a autorização também significa o processo de definição de uma política de segurança; diretores
estão autorizados a acessar certos recursos. Isso sobrecarrega o prazo de autorização, aplicando
tanto para diretores quanto para solicitações, mas com significados diferentes. Uma convenção que se refere
a “diretores autorizados” e “solicitações aprovadas” resolveria esse problema. Figura . rep-
ressente a visão de controle de acesso adotada na pesquisa de sistemas operacionais ao redor. Dentro
Seção . . . , a autorização significará a concessão de direitos de acesso aos principais.
O algoritmo de decisão executado pelo monitor de referência deve identificar a política aplicável
leis e regras, e tentar coletar as evidências às quais essas regras se referem a partir de informações de política
Pontos . Para situações em que mais de uma regra é aplicável para uma determinada solicitação, regra com
algoritmos de binamento especificam a decisão final.
. . . Tipos de monitores de referência
Schneider descreve três tipos de monitores de referência [ ]:
• Monitores de referência que veem apenas as chamadas do sistema para recursos protegidos, mas não o
todo o programa executado. Este tipo de monitor de referência, denominado monitor de execução em
[ ], é implementado em muitos sistemas operacionais.
• Monitores de referência que podem ver todo o programa e analisar seu comportamento futuro
antes de tomar uma decisão de controle de acesso.
• As instruções que protegem todas as operações relevantes de segurança estão incluídas no programa; dentro
todos os outros aspectos do programa embutido devem se comportar como antes. Este tipo de referência
monitor, chamado de monitor de referência em linha em [ ], é usado principalmente para lidar com software
questões de segurança, consulte, por exemplo, [ 6 ]
www.cybok.org
.. Teoria
. . . Modelos de Segurança
Modelos de segurança são especificações de alto nível de sistemas destinados a garantir certa segurança
políticas. Esses modelos podem ser usados em uma análise de segurança formal para mostrar que um nível inferior
a especificação implementa fielmente o modelo.
O modelo Bell-LaPadula (BLP) [ ] é um modelo de máquina de estado para discricionário e manda-

tory controle de acesso políticas que adaptados regras existentes que regulam o acesso aos dados ed classi para
Sistemas de TI. As políticas de controle de acesso obrigatórias afirmam que um sujeito só pode ler objetos
em seu próprio nível ou em um nível inferior (sem leitura). Para evitar a desclassificação não autorizada de dados,
um sujeito só pode escrever para objetos em seu próprio nível ou em um nível superior (propriedade ∗, sem escrever).
O modelo SeaView estende as políticas BLP para bancos de dados relacionais seguros de vários níveis [66]
Poliinstanciação de entradas de banco de dados, ou seja, mantendo entradas separadas em diferentes seguranças
níveis, é usado para evitar que verificações de integridade causem vazamentos de informações. BLP foi altamente
in uential na segurança do computador no s.
O modelo Biba captura políticas de integridade baseadas em níveis de integridade [] . As regras de acesso são
o dual do modelo BLP , sem leitura e sem escrita, mas não tem predecessores no
mundo dos documentos em papel. As políticas de baixa marca d'água em Biba introduzem políticas dinâmicas
(mutável na terminologia de UCON, Seção . . 0,8) que adaptam o nível de integridade de um
objeto dependendo do nível de integridade do sujeito executando a operação de acesso.
O modelo Clark-Wilson [ ] coloca transações bem formadas como uma camada intermediária
entre principais e objetos; itens de dados restritos só podem ser acessados por meio de trans-
ações; os usuários (principais) são 'rotulados' com as transações que estão autorizados a executar.
Este modelo captura a maneira como os dados são processados em sistemas corporativos. A muralha chinesa
modelo [ 6 ] formaliza políticas dinâmicas de conflito de interesses que se aplicam ao consultor financeiro
empresas importantes ao trabalhar para clientes que são concorrentes comerciais. Portanto, o ato
de acessar dados para um cliente remove dinamicamente as permissões para acessar dados de outro
clientes na classe de conflito de interesses relevante.
O modelo Harrison, Ruzo e Ullman (HRU) [ 68] fornece um contexto para examinar um núcleo
questão na gestão de políticas: é possível decidir se um direito de acesso pode vazar
a um sujeito por meio de alguma sequência de comandos? Este problema é indecidível em geral,
mas pode ser decidido sob certas restrições.
. . . Políticas aplicáveis
Schneider examinou a relação entre diferentes tipos de políticas de segurança e

diferentes tipos de monitores de referência [ ] As políticas de segurança são definidas como predicados sobre
traços de execução, tendo uma visão mais ampla do que a seção . . . onde as regras se aplicam ao indivíduo
operações de acesso. As políticas que consideram apenas o rastreamento de execução fornecido são chamadas de propriedades .
Políticas de fluxo de informações que requerem um rastreamento de execução para serem indistinguíveis de alguns
rastreamento de execução benigna, portanto, não são propriedades. É mostrado que apenas as propriedades de segurança podem ser
aplicadas por monitores de execução (consulte a Seção ...)
www.cybok.org
. . . Lógica de controle de acesso
Controle de acesso e lógicas de delegação [6 ] especificar cálculos para raciocinar sobre o composto
princípios em sistemas distribuídos. O cálculo para controle de acesso em sistemas distribuídos
[ ] foi desenvolvido como uma especificação formal para partes dos Sistemas Distribuídos Digitais
Arquitetura de segurança. Em tal arquitetura, sessões criptograficamente protegidas podem ser es-
estabelecido entre as partes. Por exemplo, quando uma sessão é estabelecida com um principal em
alguma outra máquina, a chave de sessão pode ser tratada como um assunto para controle de acesso que
fala por esse diretor.
. CONTROLE DE ACESSO EM SISTEMAS DISTRIBUÍDOS

[ , , , ]
O controle de acesso em sistemas distribuídos trata de questões tecnológicas e organizacionais

questões. Qualquer sistema distribuído precisa de mecanismos para transmitir com segurança as solicitações de acesso,
atributos, políticas e decisões entre nós. Esses mecanismos são amplamente baseados em
criptografia. A exigência de mecanismos que identifiquem e recuperem todas as políticas relevantes
para uma determinada solicitação pode se tornar mais pronunciado do que em configurações centralizadas.
Em sistemas federados onde várias organizações colaboram, as políticas de segurança podem ser definidas por
diferentes partes. Isso exige um entendimento comum dos nomes dos principais, no-
tributos e valores de atributos para que as políticas emitidas por uma das partes possam ser usadas nas decisões por
alguma outra parte. Chegar a esse entendimento comum aumenta os desafios práticos
para RBAC listado na Seção . . ..
Primeiro, apresentamos os conceitos básicos para este domínio. Em seguida, cobriremos o acesso com base na origem
trol, examinando cross-site scripting do ponto de vista do controle de acesso. Acesso Federado
O controle e o uso de criptografia no controle de acesso são explorados posteriormente.
.. Conceitos Básicos
A literatura sobre controle de acesso em sistemas distribuídos usa os seguintes termos relacionados, mas
a distinção entre esses termos é uid.
• Um certificado é uma estrutura de dados assinada digitalmente, criada por um emissor, vinculando um sub
ject (não deve ser confundido com o termo assunto como introduzido anteriormente) para alguns
atributos. A ênfase está na proteção por uma assinatura digital.
• Uma credencial é algo apresentado para obter acesso. Exemplos de credenciais são pass-
palavras ou impressões digitais. Em sistemas distribuídos, uma credencial pode ser uma estrutura de dados
reter atributos do assunto. A ênfase está nas evidências submetidas à decisão
algoritmo.
• Um token registra ('encapsula') o resultado de alguma decisão de autorização. Para a prova-

ple, em sistemas operacionais, o token de acesso contém as credenciais de segurança para um login
sessão. A ênfase está em transmitir o resultado de uma decisão de acesso a alguns
ponto de forçamento. Os chamados tokens de portador não estão vinculados a um assunto específico e podem ser
usado por qualquer pessoa em posse do token.
X. certi cados [ ] pode ser usado para implementar o controle de acesso centrado no usuário. Identidade
certificados vinculam identidades de usuário a chaves de verificação públicas. Atributo certificados vinculam usuário
identidades para direitos de acesso. Os certificados de atributos correspondem estreitamente às entradas de ACL .
www.cybok.org
.. Políticas baseadas na origem

Em aplicativos da web, clientes e servidores se comunicam por meio do protocolo HTTP . O cliente
navegador envia solicitações HTTP ; o servidor retorna páginas de resultados. O navegador representa o
página internamente no objeto de documento no Document Object Model (DOM). Política de segurança
cies especificam quais recursos um script em uma página da web tem permissão para acessar, ou quais servidores um
XMLHttpRequest pode se referir a. Os aplicativos da web são, portanto, os principais no controle de acesso.
Por convenção, os nomes principais são os nomes de domínio do servidor que hospeda um aplicativo;
o ponto de decisão da política (cf. Seção ..) no lado do cliente está localizado no navegador.
A política de protótipo para aplicativos da web é a Same-Origin-Policy (SOP), afirmando que um script
só pode se conectar de volta à origem de onde veio ou que um cookie HTTP só está incluído
em solicitações para o domínio que colocou o cookie. Duas páginas têm a mesma origem se
eles compartilham protocolo, nome de host e número de porta. Certas ações podem ser isentas do
política de mesma origem. Por exemplo, uma página da web pode conter links para imagens de outros domínios,
refletindo uma visão de que as imagens são dados inócuos, sem efeitos colaterais malignos. Existe
variações do SOP, por exemplo, políticas para cookies que também consideram o caminho do diretório. Há
também a opção de definir o HttpOnly ag em um cabeçalho de resposta HTTP Set-Cookie para que
o cookie não pode ser acessado por scripts do lado do cliente.
Sender Policy Framework (SPF) [ 6] implementa controle de acesso baseado na origem no e-mail
sistema como uma medida contra spoo ng o domínio de envio de um e-mail. Proprietários de domínio
publicar políticas SPF em sua zona DNS . Um servidor SMTP pode então usar a parte do domínio de
a identidade MAIL FROM para pesquisar a política e consultar esta política para verificar se o IP
endereço do cliente SMTP está autorizado a enviar e-mail desse domínio.
. . . Cross-site Scripting
Ataques de script entre sites em aplicativos da web podem ser tratados como casos de falha na autenticação
cação no controle de acesso. O navegador permite que todos os scripts que chegam em uma página da web falem pelo
origem dessa página. Um navegador executaria um script injetado pelo invasor no contexto
de uma origem diferente do atacante. Política de segurança de conteúdo (CSP) re nes SOP-baseada ac-
controle de cesso. O servidor web transmite uma política ao navegador que caracteriza os scripts
autorizado a falar por esse servidor [ ] Normalmente, isso é feito especificando um caminho de diretório
no servidor da web onde os scripts autorizados (e outros elementos da web) serão colocados.
O uso de CSP na prática foi examinado em [ ], observando que o inseguro-inline

A diretiva que desabilita o CSP para todas as páginas de um determinado domínio foi amplamente utilizada. Esta é uma família
questão de gerenciamento de políticas comuns. Um novo mecanismo de segurança é implantado, mas rapidamente desabilitado
porque interfere muito nas práticas estabelecidas. Além disso, CSP tinha um inerente
vulnerabilidade relacionada a callbacks . Callbacks são nomes de scripts passados como argumentos para
outros scripts (autorizados), mas os argumentos não são cobertos pelo CSP. Em políticas rígidas de CSP , o
o servidor declara um nonce na política CSP que envia ao cliente como a origem do script. O
o servidor também inclui este nonce como um atributo em todos os scripts buscados pelo cliente. Os clientes
navegador só aceita scripts que contenham este nonce como um atributo. Nonces deve ser apenas
usado uma vez e deve ser imprevisível.
www.cybok.org
. . . Compartilhamento de recursos de origem cruzada
Quando os mashups de aplicativos da web se tornaram populares, isso expôs outra limitação do
a mesma política de origem: não havia nenhum mecanismo embutido para especificar exceções ao
SOP. Os designers de mashup inicialmente tiveram que encontrar maneiras de contornar o SOP imposto pelo
navegadores. O protocolo Cross-Origin Resource Sharing (CORS) foi então introduzido para sup-
políticas de portas para compartilhamento de recursos de origem cruzada
8] Quando
[ um script solicita uma conexão
para um destino diferente de sua própria origem, o navegador pede ao destino para autorizar a conexão
solicitação. A decisão no destino considera as evidências fornecidas pelo navegador, como o
origem do script ou credenciais do usuário associadas à solicitação.
O CORS especifica um conjunto de cabeçalhos HTTP para facilitar essa troca. Solicitações anteriores em
incluir um cabeçalho Access-Control-Request-Method que informa o alvo sobre o
acesso pretendido. A resposta lista métodos e cabeçalhos que o alvo concede ao
origem. As solicitações CORS são enviadas por padrão sem as credenciais do usuário. O alvo pode definir o
Access-Control-Allow-Credentials: cabeçalho verdadeiro para indicar as credenciais do usuário
podem ser fornecidos com solicitações de acesso a um recurso. O alvo também deve especificar uma origem
no cabeçalho Access-Control-Allow-Origin. Caso contrário, o navegador não passará
a resposta do alvo ao script que fez a solicitação.
.. Controle de acesso federado

Quando as organizações se unem para formar um domínio de segurança federado, a importação de identidades, cria
dentiais, regras de política e decisões de diferentes contextos (espaços de nomes) torna-se um im-
importante questão de segurança. Uma federação pode ter vários Pontos de Administração de Política onde
cidades são definidas, pontos de decisão da política onde as decisões sobre as solicitações de acesso são feitas, política
Pontos de aplicação onde as decisões são aplicadas e pontos de informação da política onde
evidências adicionais necessárias para avaliar uma solicitação de acesso podem ser obtidas.
Gerenciamento de confiança conforme originalmente concebido no PolicyMaker [] refere-se ao sistema de controle de acesso
tems para tais cenários. O gerenciamento de identidade federada lida com o gerenciamento de dig-
identidades italianas em uma federação e, em particular, com logon único em uma federação. Na web
Serviços, padrões relacionados para autenticação (SAML, Seção . . .) e controle de acesso
(XACML) foram de nidos. OAuth. e OpenID Connect (Seção ...) fornecer usuário
autenticação e autorização por meio de tokens de acesso.
Binder é uma instância de um sistema de controle de acesso federado [ ] A linguagem da política do Binder
é baseado no Datalog. As políticas são cláusulas lógicas. Os contextos do Binder são identificados por chaves públicas
e exporte instruções assinando-as com a chave privada correspondente. A decisão
o algoritmo é monotônico ; apresentar mais evidências não pode reduzir os direitos de acesso concedidos.
.. Criptografia e controle de acesso

Os mecanismos de controle de acesso em um sistema operacional implementam uma defesa lógica. Acesso
as solicitações passadas pelo monitor de referência serão policiadas. Isso inclui solicitações de
acesso à memória. No entanto, os dados são armazenados de forma clara e uma parte com acesso físico ao
meio de armazenamento pode recuperar os dados e, assim, ignorar o controle de acesso lógico. Quando soluções
para a proteção de dados não classificados, mas confidenciais, foram avaliados nos EUA nos Estados Unidos.
foi decidido que criptografar os dados era o melhor caminho a seguir. O controle de acesso seria então
ser aplicado às chaves necessárias para desbloquear os dados.
www.cybok.org
. . . Criptografia baseada em atributos
A computação em nuvem aumentou o interesse no controle de acesso a dados criptografados no passado
década. Armazenar dados em formato criptografado protege sua confidencialidade, mas cria um man-
desafio de gestão. A criptografia baseada em atributos (ABE) aborda esse desafio por construção
ing esquemas de criptografia que impõem políticas de descriptografia baseadas em atributos. As políticas são lógicas
predicados sobre atributos, representados como estruturas de acesso. O gerador de chaves é confiável
Terceiro que gera chaves privadas e tem que verificar a política / atributos de um usuário antes
emissão de uma chave privada. O Key Generator está, portanto, em posição de recriar chaves privadas.
A criptografia baseada em atributo de política de chave (KP-ABE) funciona com políticas que definem o acesso de um usuário
direitos de acesso [ ] A partir da estrutura de acesso correspondente, o Gerador de Chaves cria um pri-
vate a chave de descriptografia. Os documentos são criptografados em um conjunto de atributos. Na política de texto cifrado
Criptografia baseada em atributos (CP-ABE) [ ], a política refere-se ao documento e ao acesso
estrutura é usada para criptografia. A chave privada do usuário criada pelo Gerador de Chaves depende
no conjunto de atributos do usuário. Em ambas as variantes, a descriptografia é possível se e somente se o dado em-
tribute set satisfaz a estrutura de acesso fornecida.
Um estudo da viabilidade de ABE em configurações dinâmicas realistas concluiu que o

cabeças incorridas por esses esquemas ainda eram proibitivas [ 8 ] Criptografia eficiente e decodificação
a criptografia não implica necessariamente um sistema de controle de acesso eficiente.
. . . Controle de acesso centrado em chave
Em sistemas distribuídos, as solicitações de acesso podem ser assinadas digitalmente. Os direitos de acesso poderiam então
ser concedida diretamente à chave de verificação pública, sem a necessidade de vincular a chave pública a
algum outro principal . SPKI/ SDSI usa certificados de autorização para implementar o centro de chave
controle de acesso, onde (nomes de) chaves públicas são vinculados a direitos de acesso [ 8 ] O direito de
além disso, delegar um direito de acesso é controlado por uma delegação ag.
Chaves criptográficas raramente são princípios adequados para controle de acesso, Contudo. Eles iriam
precisa ter um significado óbvio no domínio do aplicativo que fornece o contexto para um
dada política de segurança. Na maioria dos casos, as chaves criptográficas seriam assuntos falando por alguns
diretor. A delegação restrita refina o mecanismo básico de delegação de SPKI/ SDSI então
que as políticas de separação de tarefas podem ser aplicadas [ 8 ]
. AUTENTICAÇÃO
[ 8 , 8 , 8 , 86 , 8 , 88 ]
A autenticação em um sentido restrito verifica a identidade de um usuário que faz login - local ou remotamente
- e vincula a identidade do usuário correspondente a um assunto. Autenticação do usuário com base na senha
palavras é um método comum. Alguns aplicativos adotaram autenticação biométrica como
uma alternativa. A autenticação em sistemas distribuídos geralmente envolve o estabelecimento de chaves. Algum
taxonomias de segurança, portanto, reduzem a autenticação a uma propriedade de 'pulsação' para separar autenticação
ticação do estabelecimento-chave. O projeto de protocolos de autenticação é uma área madura em
pesquisa de segurança com bom suporte de ferramentas para análise formal. Protocolos padrão, como
Kerberos, SAMLou OAuth são amplamente implantados hoje.
Daremos uma breve visão geral do gerenciamento de identidade antes de passar para o baseado em senha e
autenticação biométrica do usuário. Em seguida, cobrimos os protocolos de autenticação do Needham-
Protocolo Schroeder via Kerberos e SAML para OAuth. , observando esse OAuth. é mais

www.cybok.org
de um protocolo de autorização do que de um protocolo de autenticação. Concluímos com uma visão geral
de formalizações de propriedades de autenticação que servem como base para uma análise formal
de protocolos de autenticação.
.. Gerenciamento de identidade
Seguindo o NIST , “os sistemas de gerenciamento de identidade são responsáveis pela criação, uso e ter-
minação de identidades eletrônicas ” . Isso inclui aspectos operacionais ao criar e excluir
identidades eletrônicas. Na criação, uma questão é quão fortemente as identidades eletrônicas devem
estar ligado a pessoas. Em algumas áreas sensíveis, vínculos fortes devem ser estabelecidos e documentados
comentado. Por exemplo, as regras de lavagem de dinheiro podem exigir uma verificação completa de um
identidade do titular da conta. Em outras áreas, as identidades eletrônicas não precisam estar vinculadas a uma pessoa.
A privacidade por design implica que tais aplicativos devem usar identidades eletrônicas que não podem
estar ligado a pessoas. O gerenciamento de identidade também pode vincular direitos de acesso a uma identidade eletrônica
tidade, seja diretamente ou por meio de alguma camada indireta, como uma função. Identidades eletrônicas devem
ser encerrado quando não for mais necessário, por exemplo, quando uma pessoa deixa uma organização.
Deve-se ter cuidado para que isso seja feito em todos os sistemas onde essa identidade foi registrada.
Identidades eletrônicas existem em diferentes camadas. Existem identidades para fins de sistema interno,
como identidades de usuário em um sistema operacional. Essas identidades devem ser exclusivas localmente e
pode ser criado por administradores de sistema (Linux). Isso pode levar a problemas quando uma identidade
tidade é retirada de uso e reatribuída posteriormente. O novo usuário pode obter acesso não intencional a
recursos aos quais o predecessor tinha acesso. Quando as organizações se fundem, as colisões entre
podem surgir identidades que o gerenciamento de identidade deve abordar. Alternativamente, identidades
podem ser longas sequências aleatórias (Windows). A probabilidade de um dos problemas apenas homens-
suposto surgir é então insignificante, mas quando uma conta de usuário é recriada, uma nova identidade aleatória
é atribuído, portanto, os direitos de acesso devem ser reatribuídos do zero.
Identidades eletrônicas, como nomes de usuário e endereços de e-mail, podem ser sequências aleatórias, mas
muitas vezes é preferível atribuir identidades compreensíveis. Há, por exemplo, mérito em com
comunicar-se com endereços de e-mail significativos. Os endereços de e-mail podem ser retirados de uso e
reatribuído posteriormente, mas um usuário pode então receber e-mails destinados ao proprietário anterior.
Os aplicativos da Web costumam usar endereços de e-mail como identidades eletrônicas. Isso é conveniente para
entrar em contato com o usuário, e é conveniente para os usuários, pois eles não precisam se lembrar de um novo
identidade. Existem alternativas, como FIDO UAF (Seção . . .), onde identificação eletrônica
tidades são chaves públicas criadas aleatoriamente e um canal de apoio para redefinir senhas não é
necessário, pois nenhuma senha é usada.
O gerenciamento de identidade também pode ser visto da perspectiva de uma pessoa. Uma pessoa usando
identidades com diferentes organizações podem querer gerenciar como as identidades são reveladas
para outras partes.
www.cybok.org
.. Autenticação de usuário
Os pedidos de acesso são emitidos por assuntos. Os assuntos podem ser associados a atributos de segurança
quando eles são criados ou durante sua vida. A autenticação pode então ser vista como o servidor
vício que valida os atributos de segurança de um assunto quando ele é criado. Quando os assuntos são
criado devido a alguma ação do usuário, e quando seus atributos de segurança dependem do
protegendo a identidade do usuário, a autenticação do usuário deve dar um grau razoável de garantia de que
a identidade do usuário ligada ao assunto pertence ao usuário que desencadeou a criação do
o sujeito. O grau de garantia (força de autenticação) deve ser proporcional
com a gravidade do risco que se deseja mitigar. O termo autenticação baseada em risco, portanto,
afirma o óbvio.
A autenticação do usuário também pode oferecer suporte à responsabilidade, conforme detalhado na Seção .6.
A cerimônia de autenticação se refere às etapas pelas quais um usuário deve passar para ser autenticado.
Existem sistemas de controle de acesso onde os atributos de segurança de um assunto persistem através de
o tempo de vida desse assunto. Muitos sistemas operacionais adotam essa abordagem. Mudanças de política
não afetam os processos ativos, mas o tempo de vida dos sujeitos é limitado, o que limita o período
quando a nova política não é aplicada de forma consistente. Alternativamente, os atributos de um assunto são
verificado cada vez que emite um pedido. Por exemplo, um usuário já conectado a um banco
o aplicativo é autenticado novamente ao solicitar uma transferência de fundos. Quando o foco se move
desde o assunto até as solicitações individuais, a autenticação pode ser vista como o serviço que
verifica a validade dos atributos de segurança submetidos com a solicitação ao algoritmo de decisão
ritmo.
. . . Senhas
Quando as senhas são empregadas para autenticação do usuário, medidas de proteção no sistema
lado incluem o armazenamento de senhas com hash (Unix, Linux) ou criptografadas (Windows), o salt-
de senhas e arquivos de senhas ocultas que movem dados confidenciais para fora do mundo legível
arquivos de senha. As medidas de proteção do lado do usuário incluem orientação sobre a escolha adequada
e manipulação de senhas e programas de conscientização de segurança que tentam incutir um comportamento que
garante a ligação entre uma pessoa e um diretor. As recomendações nesta área são alteradas
ing. As Diretrizes de Identidade Digital publicadas pelo NIST baseiam-se nas avaliações dos observados
eficácia das regras de senha anteriores e refletem o fato de que os usuários de hoje precisam gerenciar
senhas de idade para várias contas [ 88] As novas recomendações aconselham
• contra a expiração automática da senha; as senhas só devem ser alteradas quando houver
uma razão;
• contra regras para senhas complexas; o comprimento da senha é mais importante do que a complexidade;
• contra dicas de senha ou autenticação baseada em conhecimento; em uma era de redes sociais
muitas informações sobre uma pessoa podem ser encontradas em fontes públicas;
• para habilitar “mostrar senha ao digitar” e permitir campos de senha para colar.
Os protocolos baseados em senha para autenticação remota são RADIUS, DIAMETER (ambos cobertos
na Área de Conhecimento de Segurança de Rede (Capítulo )) , Autenticação HTTP Digest e para
em certa medida Kerberos (Seção ...) A orientação da senha é discutida mais detalhadamente no Hu-
Man Factors Knowledge Area (Capítulo ) .
www.cybok.org
. . . Biometria para autenticação
Vários argumentos bem ensaiados explicam por que as senhas funcionam mal na prática. Biomet-
rics são uma alternativa que evita a carga cognitiva associada à autenticação baseada em senha
ção Impressão digital e reconhecimento facial são os dois métodos principais implantados para o usuário biométrico
autenticação, conhecida como verificação nesse domínio.
Os recursos biométricos devem ser suficientemente exclusivos para distinguir entre os usuários, mas ngerprints
ou rostos não podem ser considerados segredos. As impressões digitais são deixadas em muitos lugares, por exemplo.
Os recursos biométricos são, portanto, melhor tratados como informações públicas ao conduzir uma segurança
a análise e o processo de captura dos recursos durante a autenticação deve oferecer um ade-
nível adequado de detecção de vitalidade , seja por meio da supervisão desse processo ou por meio do dispositivo
recursos. O emprego da biometria para autenticação do usuário faz as seguintes suposições:
• Os recursos biométricos identificam exclusivamente uma pessoa; padrões de rosto, impressões digitais e íris
podem servir de exemplo.
• Os recursos são estáveis; os efeitos do envelhecimento no reconhecimento da impressão digital são pesquisados, por exemplo,
dentro [ 8 ]
• Os recursos podem ser convenientemente capturados em configurações operacionais.
• Os recursos não podem ser falsificados durante a autenticação do usuário.
A autenticação do usuário, conhecida como verificação em biometria, começa a partir de um modelo capturado por
um dispositivo. Do modelo, um vetor de recurso é extraído. Por exemplo, o modelo pode ser
a imagem de uma impressão digital, as características são as posições das chamadas minúcias (terminações de crista,
bifurcações, verticilos, etc.). Os usuários inicialmente registram um vetor de recurso de referência. Durante a autenticação
cation, um novo modelo é capturado, os recursos são extraídos e comparados com a referência
valores. Um usuário é autenticado se o número de recursos correspondentes exceder um determinado limite.
Este processo pode falhar por vários motivos:
• Falha na captura: pode ocorrer no momento do registro, quando não é possível extrair um
número suficiente de recursos ou durante a autenticação.
• Falsas rejeições: o usuário genuíno é rejeitado devido ao número de correspondências entre

os recursos de referência e os recursos extraídos são insuficientes.
• Aceita falsa: um usuário errado é aceito quando o limite de correspondência é excedido.
• Spoo ng: para enganar o dispositivo que captura o template, algum objeto que carrega o usuário
recursos são apresentados. A detecção de vivacidade tenta garantir que os modelos sejam capturados
da própria pessoa que está sendo autenticada [ ]
A autenticação biométrica com base no reconhecimento facial ou ngerprints é cada vez mais usada em
portões de controle automatizado de fronteira [ ] Também se tornou um recurso em dispositivos móveis, consulte
por exemplo][Uma pesquisa das abordagens atuais de última geração para autenticação biométrica é
dado em [ ]
www.cybok.org
. . . Tokens de autenticação
A autenticação por senha depende de “algo que você conhece”. Construções de autenticação biométrica
sobre “quem você é”. Em outra alternativa, os usuários recebem um dispositivo (também conhecido como token ou secu-
chave rity , não deve ser confundida com uma chave criptográfica) que calcula uma OTP sincronizada com
o autenticador ou uma resposta a um desafio definido pelo autenticador. Posse do
dispositivo é então necessário para uma autenticação bem-sucedida, que é, portanto, baseada em “algo
você tem".
Um token pode ser um pequeno dispositivo portátil com um display LED para mostrar um OTP que
o usuário entra em um formulário de login; RSA SecureID e YubiKey são exemplos para este tipo de
símbolo. Um token pode vir com um teclado numérico, além do display LED e com um
botão 'assinar'. O titular pode então receber um desafio, por exemplo, um número de 8 dígitos, digite-o no
teclado, pressione 'assinar' para pedir ao token para calcular e exibir a resposta e, em seguida, digite
a resposta em um formulário de login. Alguns serviços de e-banking usam este tipo de token para conta
autenticação do titular. Com dispositivos PhotoTAN, o desafio é enviado como um código QR para o
computador do usuário e digitalizado da tela pelo dispositivo PhotoTAN. Quando autenticação
é baseado em um segredo compartilhado entre o token e o servidor, diferentes tokens devem ser usados para
servidores diferentes.
O autenticador FIDO é um token que pode criar pares de chave pública / chave privada; chaves públicas
servem como identificadores, as chaves privadas são usadas para gerar assinaturas digitais [ 6 ] Em FIDO
UAF, os usuários registram uma chave pública com um servidor. O mesmo token pode ser usado para diferentes
servidores, mas com chaves diferentes. A autenticação do usuário é baseada em um padrão de desafio-resposta
(Seção . . .), onde o autenticador do usuário assina digitalmente a resposta ao servidor
desafio. A resposta é veri cada usando a chave pública registrada no servidor.
Em alguns aplicativos, a posse do token é suficiente para a autenticação do usuário. Em outro

aplicativos, a autenticação é um processo de duas fases. Primeiro, o token autentica o usuário,
por exemplo, com base em um PIN ou ngerprint. Em um segundo estágio, o servidor autentica o token. Isto
dependerá do modelo de ameaça se a autenticação 'fraca' no primeiro estágio e 'forte'
a autenticação no segundo estágio pode fornecer segurança adequada.
Aplicativos em smartphones podem fornecer a mesma funcionalidade que tokens de autenticação, mas inteligente-
telefones não são dispositivos de segurança dedicados. A autenticação do usuário pode então ser comprometida
por meio de ataques ao smartphone. Isso pode se tornar ainda mais fácil quando os smartphones vêm com
um mecanismo de autenticação secundário para uso quando um dispositivo está parcialmente bloqueado, com menos
cerimônia de autenticação onerosa, mas também menos segura. Isso cria um conflito entre o
interesses dos fabricantes de smartphones que valorizam a facilidade de uso de um dispositivo de comunicação,
e os interesses dos fornecedores de aplicativos confidenciais que procuram um token de segurança.
. . . Autenticação Comportamental
A autenticação comportamental analisa "o que você faz", prestando-se naturalmente ao auto contínuo
autenticação . Dinâmica de teclas [ , ] pode ser capturado sem equipamento dedicado.
Os recursos característicos da escrita à mão são a velocidade de escrita e a pressão da caneta [ 6] Aqui, spec-
canetas ciais ou blocos de escrita precisam ser implantados. O reconhecimento de voz precisa de um microfone. Inteligente-
os telefones vêm com vários sensores, como telas sensíveis ao toque e microfones que estão sendo
utilizado para autenticação comportamental hoje. Os requisitos de autenticação comportamental
são iguais aos listados na Seção . . .:
• As características comportamentais identificam uma pessoa de maneira única.
www.cybok.org
• Os recursos são estáveis e não são afetados por deficiências temporárias.
• Os recursos podem ser convenientemente capturados em configurações operacionais.
• Os recursos não podem ser falsificados durante a autenticação do usuário.
Os defensores da autenticação contínua prometem atrito mínimo e segurança máxima . Ser-

a autenticação pessoal não incomoda o usuário com cerimônias de autenticação,
mas variações no comportamento do usuário podem causar rejeições falsas. Por exemplo, como será um forte resfriado
afetam o reconhecimento de voz? É necessário que haja um retorno suave quando a autenticação comportamental
cátion falha. A segurança depende da força da detecção de vitalidade. Por exemplo, vai dar voz
reconhecimento detectar fala sintetizada ou um imitador de voz humana muito eficiente? Sem
um modelo de ameaça preciso, a autenticação comportamental só pode oferecer garantia de segurança incerta
tees. Há uma crescente literatura de pesquisa sobre diferentes modos de autenticação comportamental.
Os critérios para avaliar as contribuições reais desta pesquisa incluem o tamanho da amostra e
posição, se estudos longitudinais foram realizados, a existência de uma ameaça explícita
modelo e resistência a tentativas de personificação direcionadas.
. . . FA de autenticação de dois fatores
A autenticação multifator combina vários métodos de autenticação do usuário para aumentar o nível de segurança
curidade. A Diretiva Europeia de Serviços de Pagamento (PSD, Diretiva (UE) / 66), escrita
para a regulamentação de prestadores de serviços financeiros, prescreve FA para pagamentos online (com um
poucas exceções). PSD, portanto, é um estudo de caso sobre a implementação de soluções de FA em grande escala .
Os dois fatores podem ser uma senha e um token de autenticação para a transação de computação
Números de autenticação (TANs) vinculados exclusivamente ao conteúdo de uma transação. O token poderia
ser um dispositivo separado; se o dispositivo estiver vinculado a apenas um serviço de pagamento, os clientes teriam
para transportar vários dispositivos com eles. Para dispositivos que podem ser usados com vários serviços, alguns
nível de padronização prévia é necessário. A aliança FIDO tem promovido seus padrões
para autenticação de dois fatores compatível com PSD.
O token pode ser um smartphone registrado no serviço; os clientes poderiam então instalar
aplicativos para vários serviços no mesmo dispositivo. Esta abordagem tem sido favorecida por muitos
bancos. No entanto, quando as senhas (ou PINs) e os TANs são tratados pelo mesmo dispositivo, o
dois mecanismos não são mais independentes, reduzindo os ganhos de segurança reivindicados para FA.
Em contraste com os serviços de confiança europeus e regulamento de identificação eletrônica (eID Direc-
tiva - Regulamento (UE) No /) que especifica requisitos sobre a criação de assinaturas seguras
dispositivos, o PSD não impõe requisitos de segurança aos dispositivos usados para a autenticação do usuário
comunicação, mas quer “permitir o uso de todos os tipos comuns de dispositivos (como computadores,
tablets e telemóveis) para a realização de diversos serviços de pagamento ”. PSD e o eID
A diretiva, portanto, atinge diferentes equilíbrios entre facilidade de uso e segurança, um compromisso notório
muito difícil de acertar.
www.cybok.org
.. Autenticação em Sistemas Distribuídos

Quando os métodos para autenticação de usuário em sistemas distribuídos foram projetados pela primeira vez, uma autenticação
a sessão indicada ocupou o lugar de um processo que fala pelo usuário. Sessões autenticadas
foram construídos com base em chaves criptográficas. Na terminologia da Seção ..,
essas chaves de sessão tornaram-se os assuntos de controle de acesso, e o estabelecimento chave tornou-se um
característica central do processo de autenticação do usuário.
. . . Protocolo Needham-Schroeder
O protocolo Needham-Schroeder é um protocolo de estabelecimento chave que emprega um protocolo de autenticação

servidor de cação como intermediário entre um cliente e um servidor [ 8 ] Compartilhamento de cliente e servidor
chaves secretas com o servidor de autenticação, respectivamente. Nonces, valores que são usados apenas
uma vez, são usados como defesa contra ataques de repetição. O cliente não precisa compartilhar
segredos individuais de longo prazo com todos os servidores que deseja acessar, é necessário apenas um segredo compartilhado
com o servidor de autenticação. O servidor de autenticação emite uma chave de sessão para o cliente e
servidor e deve ser confiável para autenticar adequadamente o cliente e o servidor.
. . . Kerberos
O protocolo Kerberos [ 8 ] adaptou o protocolo Needham-Schroeder para autenticação do usuário

no campus do MIT. Desde então, a maioria dos principais sistemas operacionais adotou (variações de)
Kerberos para autenticação do usuário.
Os usuários compartilham uma senha com um servidor de autenticação Kerberos (KAS) com o qual estão registrados.
A partir dessa senha, o cliente e o KAS derivam uma chave de criptografia simétrica. Em sua resposta
a um pedido do cliente o KAS envia uma chave de sessão criptografada para o cliente, junto com um
tíquete contendo essa chave de sessão criptografada sob uma chave compartilhada entre o KAS e o
servidor . Se a senha correta for inserida no cliente, a chave de sessão pode ser descriptografada.
O tíquete é encaminhado para o servidor . Cliente e servidor agora compartilham a chave de sessão, e o
servidor pode retornar um autenticador construído com a chave de sessão .
Um Ticket Granting Server (TGS) pode fornecer uma camada adicional de indireção entre o cliente e
servidor. O KAS emitiria uma chave de sessão para o TGS e um Ticket Granting Ticket (TGT) para
o cliente. Com a chave de sessão e o TGT, o cliente então solicita um tíquete para o recurso
servidor. O TGS verifica o TGT e pode aplicar uma política de controle de acesso para decidir se
para emitir um tíquete para uso com o servidor. Se o pedido for aprovado, o TGS emite outro
chave de sessão e um tíquete criptografado sob uma chave secreta compartilhada entre o TGS e o servidor.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, nonce eu . autenticador
- cliente J
. eK UID (Kses), tíquete . bilhete
eu eu
KAS servidor
Figura . : Fluxo de mensagem no protocolo Kerberos.
www.cybok.org
. . . SAML
O Security Assertion Markup Language (SAML) v. de nes meta-protocolos para autenticação

cação em serviços da web [ 8 ] Meta-protocolos especificam fluxos de mensagens de alto nível que podem ser
vinculado a vários protocolos subjacentes, como Kerberos. Aplicativos que usam SAML para au-
a autenticação, então, não precisa estar ciente do protocolo subjacente usado. Muitos serviços em nuvem
provedores, por exemplo, AWS, Azure, IBM, estão usando SAML para autenticação de usuário por meio de um navegador.
Tokens de segurança contendo asserções são usados para passar informações sobre um principal (geralmente
um usuário final) entre uma autoridade SAML (também conhecida como provedor de identidade (IdP) ou parte declarante), e
um consumidor SAML (também conhecido como provedor de serviços (SP) ou parte confiável). Asserções podem ser aprovadas
por meio do cliente para a parte confiável (perfil POST do navegador, Figura .) ou ser puxado pela confiança
parte da parte declarante por meio de um identificador (artefato) passado pelo cliente (artefato do navegador
per l, Figura .) A especificação de mensagens e asserções SAML é baseada em XML.
Uma declaração de autenticação deve incluir o nome do provedor de identidade e do usuário

identidade, mas isso é insuficiente. Este foi o caso por meio de um ataque contra o inimigo
implementação de logon único iniciado pelo provedor de serviços com vínculos de redirecionamento / POST usados
naquela época nos aplicativos do Google [ ] Nesta implementação, asserções de autenticação
incluiu apenas os dois campos acima mencionados. Um provedor de serviços malicioso pode perguntar a um usuário
para autenticação em um provedor de identidade específico (etapa na figura . ) e, em seguida, reutilizar o
asserção para personificar o usuário com outro provedor de serviços que confiou no escolhido
Provedor de identidade e onde o usuário era conhecido pela mesma identidade de usuário, por exemplo, um e-mail
Morada.
A especificação de SAML Redirect / POST Bindings inclui o ID do provedor de serviços e um

ID da solicitação emitida pelo Provedor de Serviços na declaração de autenticação. Conseqüentemente, um serviço
O provedor só aceitaria uma declaração emitida em reação a um re-autenticação pendente
busca.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, credencial de login eu
- cliente
. afirmação
. afirmação
6
eu . pedido de autenticação eu
IdP - SP
-. pedido de conexão
Figura . : Fluxo de mensagem no perfil SAML POST.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, credencial de login eu
- cliente
. artefato . artefato
eu . artefato eu
J
IdP -
RP
. afirmação
Figura . : Fluxo de mensagem no per l do artefato SAML .
www.cybok.org
SAML foi introduzido como um meta-protocolo para isolar os serviços da web da autenticação subjacente
protocolos de cação e de diferentes protocolos de comunicação subjacentes. Foi concebido
como um protocolo de logon único federado, em que a parte confiável decide como usar asserções
ao tomar decisões de acordo com sua própria política de segurança.
Na implantação prática do SAML, analisando documentos XML - o preço a ser pago por em-
manipulando um meta-protocolo - pode criar sobrecargas não triviais e pode introduzir vulnerabilidades de segurança
habilidades. Além disso, o advento dos smartphones tornou mais fácil o acesso à internet
de dispositivos móveis de usuário, removendo uma das razões para a introdução de um meta-protocolo ser-
entre os serviços da Web e os sistemas de TI subjacentes.
. . . OAuth - OpenID Connect
Protocolos mais recentes, como OAuth. [86] e OpenID Connect [ 8] executado diretamente sobre HTTP
e fornecer autenticação e autorização. As partes envolvidas incluem um usuário que possui
recursos, o proprietário do recurso, um servidor de recursos que armazena os recursos do usuário, um chamado
aplicativo cliente que deseja ter acesso a esses recursos e uma autorização
Servidor (COMO) que pode autenticar usuários e aplicativos cliente.
Os clientes devem ser registrados no AS. Eles receberão um ID de cliente público e um cliente
segredo compartilhado com o AS. Este segredo é usado para estabelecer sessões seguras entre o
cliente e o AS. O cliente também registra redirect_ URIs com o AS. O AS irá redirecionar um
agente de usuário apenas para aqueles registrados redirect_URIs. A definição adequada dos URIs redirect_ é
principalmente uma questão para o cliente, e também pode ser aplicada pelo AS. Configurações fracas estão abertas
à exploração por invasores.
Em uma execução de protocolo OAuth (uma visão geral de alto nível é fornecida na Figura . ), o agente do usuário
(navegador) abriu uma janela para o aplicativo cliente. Na janela do cliente, uma autoridade
a solicitação de instalação pode ser acionada; a solicitação também contém um redirect_URI. O agente de usuário
em seguida, normalmente transmite a solicitação de autorização e a autorização do usuário para o AS . UMA
sessão segura entre o agente do usuário e o AS é necessária e pode já existir se o
o usuário fez login anteriormente no AS. Se a autorização for concedida, uma concessão de autorização é
retornou ao agente do usuário , que o passará para o redirect_URI fornecido pelo cliente .
O cliente então publica a concessão de autorização e um URI de redirecionamento para o AS . É assumido
que o AS pode autenticar esta mensagem como vinda do cliente. Se o pedido for válido,
o AS retorna um token de acesso ao URI de redirecionamento fornecido, onde o token pode ser usado para
recuperar o recurso do servidor de recursos 6 .
As solicitações de autorização e as concessões de autorização são vinculadas por meio de uma ID de solicitação, chamada de estado em
OAuth. Omitir o ID do pedido ou usar um valor xed introduziu vulnerabilidades no aplicativo
cátions usando OAuth, consulte, por exemplo,, [ ]
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. solicitação de autenticação + aprovação
eu . pedido de autorização
do utilizador J
- agente
. concessão de autorização . concessão de autorização
eu . concessão de autorização eu
autor. J cliente
servidor - (aplicativo)
6. token de acesso
Figura . : Fluxo de mensagem em OAuth. .
www.cybok.org
Há uma mudança fundamental em foco em comparação com os protocolos SSO , como Kerberos e
SAML, apesar de um considerável grau de semelhança nos fluxos de mensagens. Em um OAuth. pró-
tocol run o usuário não é mais a parte que está solicitando acesso a um recurso de propriedade de alguém
outra coisa, mas a parte que concede acesso aos recursos de propriedade do usuário. OAuth. assim foi
vem um protocolo de autorização. Várias suposições sobre relações de confiança pré-existentes
entre as partes devem ser atendidas para que o OAuth seja seguro. Por outro lado, não se pode tomar por
concedido que as propriedades de segurança OAuth ainda se mantêm quando o protocolo é implantado em um novo
contexto.
O OpenID Connect coloca a autenticação do usuário de volta no OAuth. mensagem ow. O cliente
aplicativo agora funciona como uma parte confiável, e o servidor de autorização torna-se um autenticador
servidor de cação e autorização que emite tokens de identificação assinados digitalmente (asserções de autenticação
na dicção SAML ). Um token de identificação contém o nome do emissor, o nome do autenticado
usuário (chamado assunto ), a parte confiável pretendida (chamada público ), o nonce que foi
enviado com a solicitação de autenticação, um indicador da força da autenticação e outros campos.
.. Facetas de autenticação
Nós esboçamos como a autenticação de usuário em sistemas distribuídos primeira sessão integrada
e estabelecimento de chave com o processo de verificação da identidade de um usuário, e posteriormente estabelecido
práticas de autorização para acessar os recursos de um usuário. Em segurança de comunicação, entidade par
autenticação refere-se ao processo de verificação da identidade do par em uma conexão e
autenticação de origem de dados para o processo de verificação da origem de itens de dados individuais.
A autenticação do usuário, seja relativa a um sistema local ou a um sistema remoto, envolve três
aspectos:
• criar um novo assunto, por exemplo, um novo processo ou uma nova sessão com uma nova chave de sessão,
• vincular uma entidade interna, por exemplo, um ID de usuário, ao assunto,
• vincular uma entidade externa, por exemplo, uma pessoa, a uma identidade interna.
Para diferenciar esses aspectos, o termo estabelecimento-chave foi introduzido em com

segurança de comunicação no final dos 8 s para o primeiro aspecto. Autenticação de entidade
representou o que restou. Citando ISO/ IEC 8, “mecanismos de autenticação de entidade permitem que o
verificação, da identidade reivindicada de uma entidade, por outra entidade. A autenticidade da entidade pode
ser apurado apenas para a instância de troca de autenticação ” . Esta propriedade está relacionada
à detecção de pares mortos e à extensão de pulsação na RFC 6 [ ] Observe que este de -
nição não faz distinção entre entidades internas e externas.
. . . Padrões para autenticação de entidade
Autenticação de entidade de acordo com a definição em ISO/ IEC 8 pode ser implementado com
mecanismos de resposta ao desafio. Quando provador e verificador compartilham um segredo, o verificador envia
um desafio imprevisível para o provador que constrói sua resposta em função do
desafio e o segredo compartilhado. Por exemplo, a autenticação HTTP digest usa o hash de
o desafio, uma senha e outros dados que vinculam a autenticação a um determinado HTTP
solicitação.
Quando a criptografia de chave pública é usada, o verificador precisa da chave pública do provador. Com um digi-
tal esquema de assinatura, o verificador poderia enviar o desafio de forma clara e o provador poderia
www.cybok.org
responda com o desafio assinado. Com um esquema de criptografia de chave pública, o verificador poderia entrar
criptografar o desafio sob a chave pública do provador; uma resposta construída a partir do descriptografado
desafio autenticaria o provador. O último mecanismo é usado com a plataforma confiável
Módulos (TPMs) onde a descriptografia bem-sucedida de dados criptografados sob o endosso público
chave de ment de um TPM autentica o TPM. Em ambos os casos, o verificador precisa de uma cópia autêntica
da chave de verificação pública do provador. Quando os usuários são identificados por chaves públicas arbitrárias, não
A infraestrutura de chave pública é necessária e a chave pública pode ser definida diretamente em um registro
Estágio.
. . . Propriedades de Correspondência
O protocolo Public-Key Needham-Schroeder usa criptografia de chave pública com seu desafio
mecanismo de resposta [ 8 ] Neste protocolo, um provador malicioso pode descriptografar um desafio
e reutilizá-lo em um protocolo executado com um terceiro fingindo ser o verificador original; o terceiro
parte, então, responderia ao verificador, embora o verificador não esteja envolvido em um protocolo
executado com o terceiro [ 8 ] Este cenário equivaleria a um ataque se a incompatibilidade em
as suposições sobre a execução de um protocolo são relevantes para a segurança. O ataque seria detectado se
as identidades do provador e verificador estão incluídas em todas as mensagens. Observe que neste 'ataque' o
o verificador ainda conclui corretamente que o provador está vivo.
Corresponde às suposições sobre os aspectos de um protocolo executado pelos pares na conclusão

de uma execução pode ser capturado por propriedades de correspondência , conforme proposto em [ ] e mais
elaborado em [ ]:
• Dinamismo : sempre que o verificador (iniciador) conclui uma execução de protocolo, o provador também tinha
esteve envolvido em uma execução de protocolo.
• Acordo fraco : sempre que o verificador (iniciador) conclui uma execução de protocolo aparentemente
com um determinado provador, o provador também estava envolvido em uma execução de protocolo, aparentemente com
aquele verificador.
• Acordo não injetivo : sempre que o verificador (iniciador) conclui uma execução de protocolo
parentemente com um determinado provador, o provador também estava envolvido em uma execução de protocolo, ap-
parentemente com aquele verificador, e o respondente e o receptor concordam com um conjunto específico de dados
itens pertencentes a uma execução de protocolo.
• Acordo : sempre que o verificador (iniciador) conclui um protocolo executado aparentemente com um
dado provador, o provador também estava envolvido em uma execução de protocolo, aparentemente com aquele
verificador, respondente e receptor concordam com um conjunto específico de itens de dados relativos a
um protocolo executado, e cada protocolo executado do verificador corresponde a um protocolo único
corrida do provador.
No vulnerável Redirect / POST Binding em aplicativos do Google, não há acordo sobre o

provedor de serviços para o qual uma declaração de autenticação se destina ([ ], Seção . . .) Defeituoso
implementações de OAuth que usam um valor fixo para a variável de estado nem mesmo garantem
vivacidade ([ ], Seção . . .)
As propriedades de correspondência são propriedades intensionais bem adequadas para a análise de protocolo nos-
verificando o modelo. Esta linha de pesquisa reverteu a decisão anterior de separar puros
autenticação de entidade de concordar em chaves de sessão e, novamente, acordo adicionado em certos
itens de dados para autenticação. TAMARIN [ ] e ProVerif [ ] são exemplos de ferramentas que
suporte a análise automatizada de protocolos de autenticação.
www.cybok.org
. . . Autenticação como Associação Verificada
Voltando a uma visão holística da autenticação, pode-se usar isso como um termo geral para mecanismos
nismos que criam um novo assunto e o associam a evidências relevantes para decisões de acesso.
Se esta rota for tomada, verificar a identidade de um usuário torna-se apenas um caso especial de autenticação
cátion.
Haveria, além disso, mérito em distinguir entre associação com interno e

entidades externas. O último caso é um exemplo do problema 'difícil e sujeito a erros' de
representando fielmente aspectos do mundo físico dentro de um sistema de TI. A veracidade de tal
as representações não podem ser garantidas apenas por meios criptográficos.
Por exemplo, o controle de acesso em sistemas distribuídos pode fazer uso de criptografia de chave pública
(Seção ...) As chaves públicas podem então ser interpretadas como assuntos para fins de acesso
ao controle. As verificações realizadas por uma autoridade certificadora antes de emitir um certificado seriam
então equivalem à autenticação de uma entidade externa.
. . . Autenticação para crédito ou para responsabilidade
A autenticação pode servir ao propósito de dar crédito a uma entidade pelas ações que ela executou,
ou de estabelecer qual entidade é responsável por uma ação [ 6] No primeiro caso, um ataque
equivale a ganhar créditos não merecidos e a autenticação é quebrada se o invasor for bem-sucedido
em fazer uma vítima realizar ações sob a identidade do atacante. No segundo caso, um at-
aderência equivale a detectar a responsabilidade para outra pessoa e a autenticação é quebrada se o
o atacante consegue realizar ações sob a identidade da vítima.
.6 PRESTAÇÃO DE CONTAS
[ , CH. ], [ 8, CH. 8]
A responsabilidade foi definida como "a meta de segurança que gera o requisito para ac-
ções de uma entidade a serem rastreadas exclusivamente para essa entidade. Isso apóia o não repúdio, a dissuasão,
isolamento de falhas, detecção e prevenção de intrusão e recuperação pós-ação e ação legal ”
[ ]
Esta definição convida investigações em psicologia para determinar o que torna um eficaz
dissuasor, investigações sobre questões jurídicas para determinar o padrão de provas exigidas
em um tribunal de justiça e investigações técnicas sobre a coleta, proteção e análise de
evidências. Esta área de conhecimento se concentrará nesses aspectos técnicos.
Cobriremos os pré-requisitos técnicos para responsabilidade. Vamos explorar brevemente o potencial

conflitos entre privacidade e responsabilidade, descreva as atividades atuais no registro distribuído
de eventos e referem-se a alguns termos relacionados que se sobrepõem à responsabilidade.

www.cybok.org
.6. Aspectos tecnicos

A responsabilidade oferece suporte a processos que são iniciados após a ocorrência dos eventos. Tal pro
cesso pode ser uma auditoria regular que verifica se uma organização está em conformidade com o registro existente
ulações. Pode representar uma auditoria técnica que verifica os registros em busca de sinais de um cyber
ataque. Também pode ser uma investigação desencadeada por um incidente que tenta identificar o vulgar
nerabilidades exploradas, ou uma investigação que tenta identificar os responsáveis. Em tudo
casos, a qualidade da evidência é decisiva.
Os processos citados fazem uso de logs de eventos. Esses registros podem ser mantidos pelo
sistema operacional, por dispositivos de rede ou por aplicativos (Seção .6. vai dar um ex-
amplo). A natureza dos eventos depende da atividade que está sendo monitorada.
.6. . Políticas de Auditoria
A responsabilidade é tão forte quanto a qualidade das evidências coletadas durante as operações. Sys-
Dez administradores podem definir políticas de auditoria que definem quais eventos serão registrados. Exemplos
para tais eventos são tentativas de autenticação bem-sucedidas e malsucedidas e decisões sobre
pedidos de acesso. Os sistemas operacionais e ferramentas de auditoria fornecem menus para orientar os administradores
através desta tarefa. Políticas de controle de acesso que especificam como obrigações certas solicitações
deve ser registrada também a influência sobre a qual as evidências são coletadas.
.6. . Preservando as evidências
A responsabilidade é tão forte quanto a proteção das evidências coletadas durante as operações.
Os invasores podem tentar ocultar seus rastros excluindo entradas de registro incriminatórias, uma vez que tenham
adquiriu privilégios suficientes. Eles poderiam então modificar as políticas de auditoria para que ações futuras
não são registrados, mas não devem ser capazes de alterar as evidências já coletadas.
A resistência à adulteração pode depender de medidas físicas como imprimir o registro em um papel sem fim
bobinar ou gravar o log em WORM (Grave uma vez, leia várias) memória como um disco óptico. Tamper
resistência poderia ser suportada por criptografia. Armazenando o log como uma cadeia hash [ , ]
torna evidente quando as entradas foram removidas, mas não garante que as entradas não possam
estar perdido.
As políticas de auditoria devem abordar situações em que o registro é interrompido, por exemplo, porque o registro
le ficou sem espaço. É então aceitável sobrescrever entradas antigas ou o sistema deve
ser interrompido até que a auditoria adequada seja ativada novamente? Este conflito entre disponibilidade e ac-
a contabilização tem que ser resolvida.
.6. . Analisando as evidências
Os registros de auditoria podem criar grandes volumes de dados e muitas entradas não são relevantes para a segurança, de modo que
o processamento automatizado é necessário. Os padrões de ataque conhecidos podem ser detectados por suas assinaturas.
As técnicas de aprendizado de máquina podem ajudar a detectar anomalias. Lições aprendidas ao aplicar
esta abordagem para detecção de intrusão de rede é discutida em [ ] Técnicas de visualização
tente chamar a atenção dos administradores para os eventos mais relevantes.
www.cybok.org
.6. . Avaliando as evidências
A responsabilidade é tão forte quanto o método de autenticação do usuário quando legal ou disciplinar
ações plinárias devem ser apoiadas. Isso se relaciona a aspectos técnicos da autenticação
mecanismo e também para a resiliência do usuário a ataques de phishing e engenharia social. Dizendo
os usuários não cair em ataques óbvios de phishing é fácil, mas um ataque de spear phishing bem projetado-
a aderência não será óbvia.
A responsabilidade é tão forte quanto as políticas de segurança organizacional na conexão de dispositivos,

por exemplo , tokens USB , para sistemas internos e políticas de acesso a sites externos. Conta-
capacidade é tão forte quanto as defesas contra vulnerabilidades de software que podem ser exploradas
para executar o código sob a identidade de um usuário sem que o usuário esteja ciente desse fato, por exemplo, o chamado drive-
por downloads.
.6. Privacidade e responsabilidade

As regras de privacidade podem ter um impacto sobre os eventos que podem ser registrados. A lei trabalhista pode, por
por exemplo, limitar o quão perto uma empresa monitora seus funcionários, o que pode dificultar
para obter responsabilidade quando as regras forem quebradas.
Às vezes, existem soluções técnicas para esses conflitos entre objetivos legais. Levar a
exemplo de uma empresa que não tem permissão para registrar quais sites externos os funcionários con
conectar-se a: quando um site externo é atacado de dentro da rede da empresa, é desejável
que o autor do crime pode ser responsabilizado. Para atingir ambos os objetivos, o portal da empresa
registraria para solicitações de saída apenas o endereço IP interno e o número da porta usado com
o endereço IP global . Portanto, não há registro de sites visitados. Se um ataque for relatado,
o site afetado pode fornecer o número da porta de origem do ataque, estabelecendo o link
entre o endereço IP interno e o site visitado.
Por outro lado, o registro pode ter impactos indesejados sobre a privacidade. Obtenha a transparência do certificado
[RFC 6 6] como exemplo. Certi cate Transparency é um serviço de registro para os emissores de
Certificados TLS. As autoridades certificadoras participantes registram a emissão de certificados com
este serviço. Os proprietários de domínio podem escanear o registro em busca de certificados de seu domínio que possuam
não solicitado, ou seja, detecta falhas de autenticação nos emissores. Este serviço foi introduzido em
reação a ataques onde tais certificados errados foram usados para personificar o
domínio afetado e torna os emissores responsáveis perante os proprietários do domínio.
Subdomínios privados são subdomínios criados apenas para uso interno. Quando um certificado para um pri-
vado subdomínio for solicitado, o certificado será registrado no Certificado de Transparência
log divulgando a existência do subdomínio privado ao público [ ]
.6. Logs Distribuídos

Os registros podem ser mantidos para responsabilizar os usuários de um sistema. Os registros podem ser mantidos para manter
o dono de um sistema responsável. Neste último caso, os auditores podem exigir que o registro
dispositivo é selado, ou seja, conta com uma raiz física de confiança. Alternativamente, os registros podem ser mantidos em um
sistema distribuído executado por nós independentes, onde existem barreiras suficientes para a formação
alianças que podem assumir o controle do sistema.
Os nós que mantêm o log precisam sincronizar suas versões do log. As despesas gerais
para sincronização, ou consenso , dependem do modelo de falha para os nós e para o
rede de comunicação e sobre as regras de adesão ao sistema distribuído. Os sistemas podem ser
www.cybok.org
aberto a qualquer pessoa ou regido por um serviço de adesão. O interesse recente em blockchains
estende-se a este tipo de soluções de registro.
.6. Conceitos Relacionados

A definição no início da Seção .6 refere-se à detecção de não repúdio e intrusão.
O não repúdio tem um significado específico em segurança de comunicação, viz. proporcionando imprevisto-
evidência capaz de que uma ação específica ocorreu. Este objetivo não é necessariamente alcançado por log-
mecanismos de ging; eles podem proteger as entradas gravadas, mas podem registrar entradas que tenham
já foi manipulado.
Detecção de intrusão (consulte a Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes

(Capítulo 8)) é uma área própria com objetivos sobrepostos. A detecção de intrusão não tem
o requisito de que as ações de uma entidade sejam rastreadas exclusivamente para essa entidade . O foco será
mais na detecção de ataques do que na detecção do invasor.
A definição dada inclui tanto a responsabilidade das pessoas jurídicas quanto os investimentos técnicos
violações de segurança. Os padrões de evidência podem ser mais elevados no primeiro caso.
Rastrear ações exclusivamente para uma entidade leva à atribuição cibernética , o processo de rastreamento e
identificar os autores de um ataque cibernético. Evidência circunstancial, como semelhança em
malware pode ser usado neste processo, e a atribuição incorreta devido a falsas operações ag é um
emitir. Pedindo DRM para proteger a propriedade intelectual dos proprietários de conteúdo, porque digi-
tal conteúdo pode ser copiado facilmente, mas assumir que o malware não pode ser copiado seria
incongruente.
APLICANDO O CONHECIMENTO
Os mecanismos de segurança de TI não devem ser implantados por si mesmos, mas por uma razão. A rea-
filho tem que vir de um aplicativo que precisa de proteção. Uma política organizacional seria
capturar os requisitos de proteção e, em seguida, ser implementado por uma política automatizada (Sec-
ção . . .) Às vezes, esse processo pode começar a partir de uma política organizacional claramente definida.
As políticas que regem o acesso a documentos em papel classificados são um exemplo. Há o
tradução em políticas automatizadas não teve que preencher uma grande lacuna conceitual, embora
houve reviravoltas imprevistas, por exemplo, a política de não escrever no modelo BLP . Estes específicos
circunstâncias podem ter gerado a expectativa injustificada de que essa abordagem funcionaria
em geral. O fato de que essas políticas foram aplicadas em organizações altamente hierárquicas e
estavam razoavelmente estáveis são outros pontos dignos de nota.
Sinclair et al. pintar um quadro de um mundo muito diferente [ ] Suas observações podem ser somadas
marized sob os títulos de tradução (de políticas organizacionais para automatizadas) e
automação . Qualquer tradução tem que começar a partir de um documento de origem, no nosso caso, uma organização
política internacional. O tradutor terá problemas quando a fonte for ambígua ou inconsistente.
Esta situação é mais provável de surgir em organizações com estrutura matricial, onde vários
entidades estão definindo políticas, do que em organizações estritamente hierárquicas. Além disso, quanto mais amplo o
lacuna de idioma entre o documento de origem e o documento de destino, o mais difícil
tradução se torna, e mais difícil é verificar se a tradução atende a
espírito da fonte. A última etapa é um pré-requisito para a certificação da política , ou seja, gestão
aprovação de uma determinada política automatizada.
As políticas organizacionais podem deixar deliberadamente as decisões a critério dos responsáveis pelo caso,
por exemplo, para lidar com situações onde nenhuma das regras existentes é diretamente aplicável ou onde
www.cybok.org
regras concorrentes se aplicam. É um propósito da automação remover a discrição. Removendo dis-

A crítica adiciona regras que não têm contrapartida na política organizacional. Criando um
a política automatizada é então mais do que tradução, torna-se um exercício de escrita criativa
no espírito da política organizacional. Para fazer bem este trabalho, o escritor precisa de uma boa compreensão
posição dos aplicativos e seus fluxos de trabalho, além da proficiência no idioma de destino
(domínio dos especialistas em TI). Políticas automatizadas baseadas em suposições ingênuas se tornam facilmente
ataques de negação de serviço ao usuário. Como um ponto relacionado, há uma tensão entre a
metas de manter uma política simples - o que pode ser viável em uma política organizacional
isso deixa espaço para discrição - e de exigir que a política (automatizada) atenda a uma variedade
de contextos diferentes. Isso explica por que, em muitos casos, o número de regras criadas para atender
para exceções às regras gerais acaba sendo avassaladora. Pontos que abrangem a organização
políticas internacionais e automatizadas são o tratamento de mudanças dinâmicas de políticas e a análise
dos efeitos colaterais das regras de política em sistemas altamente complexos.
A literatura sobre operações de segurança tem a dizer mais sobre os pontos levantados nesta seção
do que a literatura de pesquisa sobre segurança de TI, que tem o hábito de abstrair os problemas para um
ponto onde muitos dos problemas estranhos encontrados na vida real desapareceram [ ],
e então confundir seus modelos simplificados com a realidade.
Desconexões semelhantes entre especialistas em aplicativos e especialistas em infraestrutura existem dentro do

Domínio de TI. Aplicativos dinamicamente con guráveis estão violando políticas bem intencionadas
como SOP (Seção ..) e CSP (Seção ...) As organizações podem então optar por abrir
políticas que não fornecem proteção, mas permitem a execução de aplicativos dinâmicos ou aplicativos
escritores podem explorar soluções alternativas aceitas pela política automatizada, mas ainda derrotando seu
espírito.
CONCLUSÕES
O controle de acesso continua se adaptando às mudanças nos aplicativos dos sistemas de TI. Controle de acesso
foi originalmente concebido para a proteção de dados confidenciais em sistemas multiusuário e multinível
sistemas de cura. O controle de acesso sem a identidade do usuário era literalmente impensável. Formulários
mudaram desde então e alguns exigem novos modos de controle de acesso. Pode-se então reservar
'controle de acesso' para a configuração original e inventa novos termos para cada novo modo de acesso
ao controle. O DRM pode servir de exemplo. Este KA não seguiu este caminho, mas aplicou 'acesso
controle ',' autenticação 'e' autorização 'de forma mais geral, mantendo-se fiel ao genérico
significados desses termos. As identidades dos usuários perderam sua proeminência ao longo desse caminho. Código
(aplicativos) e domínios da web tomaram seu lugar.
Autenticação originalmente significava o serviço que vincula entidades externas como usuários humanos para
ações internas no sistema de TI; hoje, também pode denotar o serviço que verifica as evidências
associado a solicitações de acesso que são enviadas para avaliação por um algoritmo de decisão.
Projeto e análise de protocolos de autenticação criptográfica para sistemas distribuídos é um
área de conhecimento madura. As soluções criptográficas para outros aspectos do controle de acesso são de
dez mais de interesse acadêmico do que prático.
Os serviços de responsabilidade se baseiam em registros de eventos à prova de violação. As evidências coletadas

pode servir como entrada para investigações técnicas que tentam estabelecer como um ataque foi contra
conduzidos e identificar seus efeitos. As evidências coletadas também podem ser utilizadas em processos disciplinares
processos que lidam com situações em que as regras foram quebradas ao nível das pessoas im-
plicado. As regras de privacidade podem limitar os eventos que são registrados e a natureza do
eventos registrados podem reduzir a privacidade de maneiras não previstas.
www.cybok.org
Seção Cita
. Autorização [ , , , , ]
. . Controle de acesso [ , , ],
. . Aplicação do controle de acesso [ ]
. . Teoria [ ]
. Controle de acesso em sistemas distribuídos [ , , , ]
. . Conceitos Básicos
. . Políticas baseadas na origem [ ]
. . Controle de acesso federado [ , ]
. . Criptografia e controle de acesso [ ]
. Autenticação [ 8 , 8 , 8 , 86 , 8 , 88 ]
. . Gerenciamento de identidade [ 88 ]
. . Autenticação em Sistemas Distribuídos [ 8 , 8 , 8 , 86]
. . Facetas de autenticação [8]
.6 Responsabilidade [ , CH. ], [ 8, CH. 8]
.6. Aspectos tecnicos [ , CH. ], [ 8, CH. 8]
.6. Privacidade e responsabilidade
.6. Logs Distribuídos
.6. Conceitos Relacionados
Página 481
IV Plataforma de Software
Segurança
Página 483
482
Capítulo
Segurança de software
Frank Piessens KU Leuven

www.cybok.org
INTRODUÇÃO
O objetivo deste capítulo de Segurança de Software é fornecer uma visão geral estruturada de
categorias de vulnerabilidades de implementação de software e de técnicas que podem ser usadas
para prevenir ou detectar tais vulnerabilidades, ou para mitigar sua exploração. Esta visão geral é
pretende ser útil para o corpo docente para a concepção de cursos e currículos na área de software
segurança, bem como para profissionais da indústria para a verificação de habilidades e a concepção de trabalho
descrições nesta área.
Comecemos definindo alguns termos e conceitos e definindo o escopo deste capítulo.

ter. A primeira questão importante é o que significa para o software ser seguro . Uma definição possível é
que um sistema de software é seguro se atender a um objetivo de segurança específico ou implícito. Esta
o objetivo de segurança especifica os requisitos de confidencialidade , integridade e disponibilidadepara o sistema
dados e funcionalidade do tem. Considere, por exemplo, um serviço de rede social. A segurança
objetivo de tal sistema pode incluir os seguintes requisitos:
• As imagens postadas por um usuário só podem ser vistas por seus amigos (confidencialidade)
• Um usuário pode gostar de qualquer postagem no máximo uma vez (integridade)
• O serviço está mais operacional do que. % do tempo em média (disponibilidade)
Diferentes requisitos de segurança podem estar em conflito entre si, por exemplo, bloquear um
sistema na aparência de um ataque é bom para a confidencialidade e integridade do sistema,
mas ruim para a disponibilidade.
Uma falha de segurança é um cenário em que o sistema de software não atinge seu objetivo de segurança
e uma vulnerabilidade é a causa subjacente de tal falha. A determinação de um
a causa subjacente geralmente não é absoluta: não há critérios objetivos para determinar o que
vulnerabilidade é responsável por uma determinada falha de segurança ou onde ela está localizada no código. Um
pode dizer que a vulnerabilidade está na parte do código que deve ser corrigida para evitar
falha de segurança específica, mas os xes podem ser necessários em vários lugares e, muitas vezes, várias
estratégias de mitigação são possíveis onde cada estratégia de mitigação requer um x ou conjunto diferente
de xes.
As definições de "segurança" e "vulnerabilidade" acima pressupõem a existência de uma obrigação de segurança

jetiva. Na prática, porém, a maioria dos sistemas de software não tem segurança explícita precisa
objetivos, e mesmo que o façam, esses objetivos não são absolutos e devem ser negociados
em relação a outros objetivos, como desempenho ou usabilidade do sistema de software. Por isso,
a segurança de software é frequentemente sobre como evitar classes conhecidas de bugs que permitem ataques específicos
técnicas. Existem classes bem compreendidas de bugs de implementação de software que, quando
desencadeada por um invasor, pode levar a uma interrupção substancial no comportamento do software
ware e, portanto, provavelmente quebrarão qualquer objetivo de segurança que o software possa ter. Esses
bugs são chamados de vulnerabilidades de implementação, mesmo que sejam relativamente independentes de
objetivos de segurança específicos do aplicativo ou domínio, como os objetivos do exemplo acima.
Este documento, o Software Security KA, cobre essas vulnerabilidades de implementação também
como contra-medidas para eles. Muitos outros aspectos são relevantes para a segurança do software
sistemas baseados, incluindo fatores humanos, segurança física, implantação segura e procedimentos
aspectos reais, mas não são abordados neste capítulo. O impacto da segurança nas várias
Outros requisitos comuns de segurança da informação, como não repúdio ou autenticação de dados, podem ser vistos
como instâncias ou refinamentos de integridade de uma perspectiva de software. Mas de outras perspectivas, por exemplo
de uma perspectiva legal, a semântica desses requisitos pode ser mais envolvente.
Segurança de software KA | Outubro Página 8
www.cybok.org
fases do ciclo de vida do software são discutidas no Secure Software Lifecycle Knowledge
Área (Capítulo 6) Problemas de segurança específicos para software em execução na web ou plataforma móvel
os formulários são discutidos na Web & Mobile Security Knowledge Area (Capítulo ) .
O restante deste capítulo está estruturado da seguinte forma. Tópico . (Categorias) discute
categorias amplamente relevantes de vulnerabilidades de implementação, mas sem a ambição de de-
escrever uma taxonomia completa. Em vez disso, o tópico discute como as categorias de vulnerabilidades
muitas vezes podem ser definidas como violações de uma especificação parcial do sistema de software, e
é improvável que exista uma taxonomia completa útil de tais especificações parciais. O
discussão de contramedidas para vulnerabilidades de implementação é estruturada em termos de
onde no ciclo de vida do sistema de software eles são aplicáveis. Tópico . (Prevenção) dis-
discute como a linguagem de programação e a interface de programação de aplicativos (API) design pode
evitar que vulnerabilidades sejam introduzidas durante o desenvolvimento de software programado
nesse idioma e usando essa API. Além disso, as práticas de codificação defensivas podem contribuir para
a prevenção de vulnerabilidades. Tópico . (Detecção) cobre técnicas para detectar vulnerabilidades
capacidades no código-fonte existente, por exemplo, durante o desenvolvimento e teste. Tópico . (Mit-
igation) discute como o impacto das vulnerabilidades restantes pode ser mitigado em tempo de execução.
É importante notar, no entanto, que algumas técnicas de contramedida podem, em princípio, ser
aplicado em todas as três fases, portanto, esta não é uma classificação ortogonal. Por exemplo, um específico
verificação dinâmica (digamos, uma verificação de limites de array) pode ser exigida pela linguagem específica
(Prevenção, a contramedida é construída pelo designer da linguagem), pode ser usada como
um oráculo de teste (Detecção, a contramedida é usada pelo testador de software) ou pode ser
inline no programa para bloquear ataques em tempo de execução (Mitigação, a contramedida é aplicada
na implantação).
CONTENTE
. CATEGORIAS DE VULNERABILIDADES
[ ][ , c, c, c6, c, c, c] [ 6, c6, c] [ , c] [ , c, c, c, c, c]
Conforme discutido na Introdução, usamos o termo vulnerabilidade de implementação (às vezes

também chamado de bug de segurança ) para bugs que possibilitam que um invasor viole um
objetivo de segurança, bem como para classes de bugs que permitem técnicas de ataque específicas.
Vulnerabilidades de implementação desempenham um papel importante na segurança cibernética e vêm em muitos

formulários. As vulnerabilidades e exposições comuns (CVE) é uma lista disponível publicamente de en-
tenta de forma padronizada, descrevendo vulnerabilidades em componentes de software amplamente usados,
e lista cerca de cem mil dessas vulnerabilidades no momento da redação. Implemen-
vulnerabilidades de instalação são frequentemente causadas por práticas de programação inseguras e influenciadas por
a linguagem de programação ou APIs usadas pelo desenvolvedor. Este primeiro tópico cobre
categorias de vulnerabilidades de implementação que podem ser atribuídas a tal programa inseguro-
práticas de ming.
Classi cações existentes de vulnerabilidades, como a Common Weakness Enumeration

(CWE), uma lista desenvolvida pela comunidade de categorias de vulnerabilidade, são úteis como uma linha de base para
identificação, mitigação e prevenção de vulnerabilidade, mas nenhuma das classificações existentes
conseguiram criar uma taxonomia completa. Portanto, as categorias discutidas
neste primeiro tópico devem ser vistos como exemplos de classes importantes de vulnerabilidades, e
não como uma lista exaustiva. Eles foram selecionados com a intenção de cobrir os mais comuns
Segurança de software KA | Outubro Página
www.cybok.org
vulnerabilidades de implementação, mas esta seleção é, pelo menos até certo ponto, subjetiva.
Categorias específicas de vulnerabilidades de implementação podem muitas vezes ser descritas como violações de
uma especificação (formal ou informal) de algum subcomponente do sistema de software. Tal
uma especificação assume a forma de um contrato que torna explícito o que o subcomponente ex-
pectos de, e fornece aos seus clientes. Na violação de tal contrato, o sistema de software
entra em um estado de erro, e o comportamento posterior do sistema de software é tipicamente comportamento
que não foi considerado pelos desenvolvedores do sistema e depende da implementação do sistema
detalhes de mentação. Os invasores do sistema podem estudar os detalhes de implementação e explorar
para fazer com que o sistema se comporte de uma forma que seja desejável para o invasor.
.. Vulnerabilidades de gerenciamento de memória

Linguagens de programação imperativas suportam estado mutável, ou seja, essas linguagens têm
estruturas para alocar células de memória que podem ser posteriormente atribuídas ou lidas por
o programa e, em seguida, desalocado novamente. As especificações de definição da linguagem de programação
como usar essas construções corretamente: por exemplo, a alocação de n células de memória retornará
uma referência a uma matriz de células que pode então ser acessada com índices para n - 1 até o
a referência é desalocada (liberada) novamente. Esta especificação pode ser vista como um contrato para o
subcomponente de gerenciamento de memória. Algumas linguagens de programação implementam este con-
trato defensivamente e lançará uma exceção se um programa cliente acessar a memória incorretamente.
Outras linguagens de programação (mais notavelmente, C e C ++) deixam a responsabilidade por
alocar, acessar e desalocar memória nas mãos do programador, e dizer que
o comportamento dos programas que acessam ou gerenciam a memória incorretamente é indefinido . Tal
linguagens às vezes são chamadas de linguagens inseguras para a memória e bugs relacionados à memória
gerenciamento ( vulnerabilidades de gerenciamento de memória ) são uma fonte notória de bugs de segurança
nessas línguas.
• Uma vulnerabilidade espacial é um bug onde o programa está indexando em um contíguo válido
intervalo de células de memória, mas o índice está fora dos limites. O exemplo arquetípico é um
vulnerabilidade de buffer over ow onde o programa acessa um array (um buffer) com um
índice fora dos limites.
• Uma vulnerabilidade temporal é um bug em que o programa acessa a memória que já foi
alocado ao programa, mas desde então foi desalocado. Um exemplo típico é derefer-
encing um ponteiro pendurado.
As especificações das linguagens C e C ++ deixam o comportamento de um programa com uma memória

vulnerabilidade de gerenciamento indefinida . Como tal, o comportamento observado de um programa com um
a vulnerabilidade dependerá da implementação real da linguagem. Gerenciamento de memória
vulnerabilidades são particularmente perigosas do ponto de vista da segurança, porque em muitos
As células de memória mutáveis de complementações alocadas ao programa fazem parte da mesma memória
espaço de endereço onde também compilou o código do programa e metadados de tempo de execução, como a chamada
pilha são armazenados. Em tais implementações, um acesso à memória pelo programa que viola
o contrato de gerenciamento de memória pode resultar em um acesso ao código do programa compilado ou executar
metadados de tempo e, portanto, podem causar corrupção do código do programa, fluxo de controle do programa e
dados do Programa. Existe uma ampla gama de técnicas de ataque poderosas para explorar a memória
vulnerabilidades de gerenciamento [ ]
Um ataque consiste em fornecer dados ao programa para acionar a vulnerabilidade, o que torna
o programa viola o contrato de gerenciamento de memória. O invasor escolhe a entrada como
que o programa acesse uma célula de memória de interesse do invasor:
www.cybok.org
• Em um ataque de corrupção de código , os modos de acesso à memória inválidos compilaram o código do programa
para o código específico do invasor.
• Em um ataque de sequestro de controle , o acesso inválido à memória modi ca um ponteiro de código (para
instância, um endereço de retorno na pilha ou um ponteiro de função) para fazer o processador
executar o código fornecido pelo invasor (um ataque de injeção direta de código ) ou para fazer o processo
sor reutilizar o código existente do programa de maneiras inesperadas (um ataque de reutilização de código , também
conhecido como ataque de injeção indireta de código , como um ataque return-to-libc ou return-
ataque de programação orientada ).
• Em um ataque apenas de dados , o acesso inválido à memória modifica outras variáveis de dados do
programa, possivelmente resultando em maiores privilégios para o invasor.
• Em um ataque de vazamento de informações , o acesso inválido à memória é um acesso de leitura, possivelmente

resultando na extração de informações, sejam segredos de aplicativos, como criptografia
chaves gráficas ou metadados de tempo de execução, como endereços que auxiliam na previsão do
layout exato da memória e, portanto, pode permitir outros ataques.
Devido à importância prática dessas classes de ataques, as técnicas de mitigação

foram desenvolvidos para combater técnicas de ataque específicas, e discutiremos isso no Tópico ..
.. Vulnerabilidades de geração de saída estruturada
Os programas muitas vezes têm que construir dinamicamente uma saída estruturada que será então consumida
por outro programa. Os exemplos incluem: a construção de consultas SQL a serem consumidas por
um banco de dados, ou a construção de páginas HTML para serem consumidas por um navegador da web. Um pode
pense no código que gera a saída estruturada como um subcomponente. O pretendido
estrutura da saída e como a entrada para o subcomponente deve ser usada na saída,
pode ser pensado como um contrato ao qual esse subcomponente deve aderir. Por exemplo,
quando fornecido com um nome e senha como entrada, a saída pretendida é uma consulta SQL que
seleciona o usuário com o nome e a senha fornecidos na tabela do banco de dados de usuários.
Uma prática de programação insegura comum é construir essa saída estruturada por meio
de manipulação de cordas. A saída é construída como uma concatenação de strings onde alguns
dessas cadeias de caracteres são derivadas (direta ou indiretamente) da entrada para o programa. Esta prática
é perigoso, porque deixa a estrutura pretendida da string de saída implícita, e mali-
valores cuidadosamente escolhidos para strings de entrada podem fazer com que o programa gere uma saída não intencional.
Por exemplo, um programador pode construir uma consulta SQL como:
query = "select * from users where name = '" + name
+ "'" e pw =' "+ senha +" '"
com a intenção de construir uma consulta SQL que verifique o nome e a senha no
cláusula where. No entanto, se a string de nome for fornecida por um invasor, o invasor pode definir
nome para "John '-", e isso removeria a verificação de senha da consulta (observe que
- inicia um comentário em SQL)
Uma vulnerabilidade de geração de saída estruturada é um bug onde o programa constrói tal
saída tendida. Isso é particularmente perigoso no caso em que a saída estruturada representa
envia o código que se destina a incluir a entrada fornecida como dados . Dados de entrada escolhidos maliciosamente
pode então influenciar o código de saída gerado de maneiras não intencionais. Essas vulnerabilidades são
também conhecidas como vulnerabilidades de injeção (por exemplo, injeção de SQL ou injeção de script). O nome 'injec-
ção 'refere-se ao fato de que a exploração dessas vulnerabilidades, muitas vezes, fornecerá entradas de dados

www.cybok.org
que fazem com que a saída estruturada contenha instruções de código adicionais, ou seja, exploração em
jects novas instruções não intencionais na saída. Vulnerabilidades de geração de saída estruturada
são relevantes para muitos tipos diferentes de resultados estruturados:
• Uma vulnerabilidade de injeção de SQL é uma vulnerabilidade de geração de saída estruturada onde o
a saída estruturada consiste em código SQL . Essas vulnerabilidades são particularmente relevantes
para software de aplicativo da web do lado do servidor, onde é comum o aplicativo interagir
agir com um banco de dados back-end, construindo consultas parcialmente baseadas na entrada fornecida
por meio de formulários da web.
• Uma vulnerabilidade de injeção de comando é uma vulnerabilidade de geração de saída estruturada onde
a saída estruturada é um comando shell enviado pelo aplicativo ao sistema operacional
tem shell.
• Uma vulnerabilidade de injeção de script , às vezes também chamada de Cross-Site Scripting (XSS) vul-
nerabilidade é uma vulnerabilidade de geração de saída estruturada onde a saída estruturada é
Código JavaScript enviado a um navegador da web para execução do lado do cliente.
Esta lista não é exaustiva. Outros exemplos incluem: injeção XPath, injeções HTML ,
Injeção de CSS, injeção de PostScript e muito mais.
Vários fatores podem contribuir para a dificuldade de evitar vulnerabilidade de geração de saída estruturada
capacidades:
• A saída estruturada pode estar em um idioma que suporte sublinguagens com um signi -
estrutura sintática extremamente diferente. Um exemplo importante de um caso tão problemático
é HTML, que oferece suporte a sub-idiomas, como JavaScript, CSS e SVG.
• O cálculo da saída estruturada pode acontecer em diferentes fases com saídas

de uma fase sendo armazenada e posteriormente recuperada como entrada para uma fase posterior. Estruturado para fora
vulnerabilidades de geração que passam por várias fases às vezes são referidas
como vulnerabilidades de injeção armazenadas , ou mais geralmente como vulnerabilidades de injeção de ordem superior
bilidades . Os exemplos incluem XSS armazenado e injeção de SQL de ordem superior .
Técnicas de ataque para explorar vulnerabilidades de geração de saída estruturada geralmente de-
depende da natureza da linguagem de saída estruturada, mas uma ampla gama de técnicas de ataque
para explorar injeção de SQL ou injeção de script são conhecidas e documentadas.
A Web & Mobile Security Knowledge Area (Capítulo ) fornece uma discussão mais detalhada
de tais técnicas de ataque.
.. Vulnerabilidades de condição de corrida

Quando um programa acessa recursos (como memória, arquivos ou bancos de dados) que ele compartilha
com outros atores simultâneos (outros threads no mesmo processo, ou outros processos), o
programa muitas vezes faz suposições sobre o que esses atores simultâneos farão (ou não) para
esses recursos compartilhados.
Essas suposições podem ser novamente consideradas como parte de uma especificação do programa. Esta
especificação não é mais um contrato entre dois sub-componentes do programa (um chamador
e um receptor), mas é um contrato entre o ator que executa o programa e seu ambiente
(todos os atores concorrentes), onde o contrato especifica as suposições feitas sobre como o
ambiente irá interagir com os recursos do programa. Por exemplo, a especificação pode
dizem que o programa depende de acesso exclusivo a um conjunto de recursos por um intervalo específico de
www.cybok.org
sua execução: somente o ator que executa o programa terá acesso ao conjunto de recursos
para o intervalo especificado.
As violações de tal especificação são bugs de simultaneidade , também comumente chamados de raça
condições , porque uma consequência desses bugs é que o comportamento do programa pode
depende de qual ator simultâneo acessa um recurso primeiro ('ganha uma corrida'). Simultaneidade e
os problemas correspondentes de obter programas corretos na presença de simultaneidade, é um
importante subárea da ciência da computação, com importância muito além da área de cibersecu-
ridade [ 8]
Mas os bugs de simultaneidade também podem ser bugs de segurança. Bugs de simultaneidade muitas vezes introduzem
determinismo: o comportamento de um programa dependerá do tempo exato ou intercalação de
as ações de todos os atores concorrentes. Em ambientes adversários, onde um invasor controla alguns
dos atores simultâneos, o invasor pode ter controle suficiente sobre o tempo das ações para
in uenciar o comportamento do programa de forma que um objetivo de segurança seja violado. Uma competição de corrida
A vulnerabilidade de partição é um bug de simultaneidade com tais consequências de segurança. Muito comum
instância é o caso em que o programa verifica uma condição em um recurso e, em seguida, confia em
essa condição ao usar o recurso. Se um invasor pode intercalar suas próprias ações em
invalidar a condição entre a verificação e o tempo de uso, isso é chamado de tempo de verificação
Tempo de uso (TOCTOU) vulnerabilidade.
Vulnerabilidades de condição de corrida são relevantes para muitos tipos diferentes de software. Dois importantes
as áreas importantes onde ocorrem são:
• Condições de corrida no sistema de arquivo: programas privilegiados (ou seja, programas que funcionam com
mais privilégios do que seus chamadores, por exemplo, serviços de sistema operacional) frequentemente precisam
para verificar alguma condição em um arquivo, antes de executar uma ação nesse arquivo em nome de
um usuário menos privilegiado. Deixar de realizar verificação e ação atomicamente (de modo que nenhum controle
o ator atual pode intervir) é uma vulnerabilidade de condição de corrida: um invasor pode invalidar
a condição entre o cheque e a ação.
• Corridas no estado da sessão em aplicativos da web: os servidores da web são frequentemente multi-threaded
para fins de desempenho, e as solicitações HTTP consecutivas podem ser tratadas por diferentes
tópicos. Portanto, duas solicitações HTTP pertencentes à mesma sessão HTTP podem acessar
o estado da sessão simultaneamente. Deixar de levar isso em consideração é uma vulnerabilidade à condição de corrida
que pode levar à corrupção do estado da sessão.
.. Vulnerabilidades de API
Uma interface de programação de aplicativo ou API, é a interface através da qual um software
componente se comunica com outro componente, como uma biblioteca de software, operando
sistema, serviço da Web e assim por diante. Quase todo software é programado para um ou mais
APIs pré-existentes. Uma API vem com uma especificação / contrato (explícito ou implícito) de como
deve ser usado e quais serviços ele oferece, e assim como os contratos que consideramos em pré-
várias subseções, as violações desses contratos podem muitas vezes ter consequências significativas
para segurança. Se o cliente da API violar o contrato, o sistema de software entra novamente
um estado de erro, e o comportamento posterior do sistema de software dependerá da implementação
detalhes de instalação da API, e isso pode permitir que um invasor quebre o objetivo de segurança do
sistema geral de software. Esta é essencialmente uma generalização da ideia de implementação
vulnerabilidades como violações de contrato de subseções . . , . . e . . para API arbitrária
contratos.
www.cybok.org
Claro, algumas APIs são mais sensíveis à segurança do que outras. Uma ampla classe de APIs que são
sensíveis à segurança são APIs para bibliotecas que implementam funcionalidades de segurança como criptografia
ou lógica de controle de acesso. De um modo geral, um sistema de software deve usar toda a 'segurança
componentes 'em que se baseia de forma funcionalmente correta, ou é provável que viole uma segurança
objetivo. Isso é particularmente desafiador para bibliotecas criptográficas: se uma biblioteca criptográfica
oferece uma API flexível, então, o uso correto dessa API (no sentido de que um determinado objetivo de segurança é
alcançado) é conhecido por ser difícil. Há evidências empíricas substanciais [ ] que os desenvolvedores
freqüentemente cometem erros no uso de APIs criptográficas, introduzindo vulnerabilidades.
Uma preocupação ortogonal para o uso seguro é a implementação segura da API criptográfica.
Implementações seguras de criptografia são abordadas na Área de Conhecimento de Criptografia
(Capítulo )
.. Vulnerabilidades de canal lateral

A execução de um programa é, em última análise, um processo físico, normalmente envolvendo elec-
circuito trônico que consome energia, emite radiação eletromagnética e leva tempo para ex-
ecute até a conclusão. É comum, no entanto, na ciência da computação modelar a execução de
programas abstratamente, em termos de execução de código em uma máquina abstrata cuja semântica
tics é definido matematicamente (com vários níveis de rigor). Na verdade, é comum modelar
execução de programas em muitos níveis diferentes de abstração, incluindo, por exemplo, execu-
ção do código de montagem em uma arquitetura de conjunto de instruções especi cado (É UM), execução de Java
bytecode na máquina virtual Java, ou execução de código-fonte Java de acordo com o
Especi cação da linguagem Java. Cada camada subsequente de abstração é implementada em termos
de uma camada inferior, mas abstrai de alguns dos efeitos ou comportamentos dessa camada inferior. Para
exemplo, um ISA faz abstração de alguns efeitos físicos, como eletromagnético
radiação ou consumo de energia, e a Java Virtual Machine abstrai dos detalhes de
gerenciamento de memória.
Um canal lateral é um canal de informação que comunica informações sobre o executivo

ção de um programa de software por meio de tais efeitos a partir dos quais o código do programa ab-
stracts. Alguns canais laterais requerem acesso físico ao hardware que executa o software
programa. Outros canais laterais, às vezes chamados de canais laterais baseados em software, podem ser usados
do software executado no mesmo hardware do programa de software sob ataque.
Intimamente relacionados aos canais laterais estão os canais ocultos . Um canal secreto é um canal de informação
nel onde o invasor também controla o programa que está vazando informações através do
canal, ou seja, o invasor usa um canal lateral para extrair informações propositalmente.
Os canais laterais desempenham um papel importante no campo da criptografia, onde a lacuna de abstração
entre () a descrição matemática (ou nível de código-fonte) de um algoritmo criptográfico
e () a implementação física desse algoritmo, mostrou-se relevante para se-
curiosidade [ ] Foi demonstrado que, a menos que uma implementação proteja cuidadosamente contra
isso, canais laterais com base no consumo de energia ou tempo de execução podem facilmente vazar a criptografia
chave gráfica usada durante a execução de um algoritmo de criptografia. Isso quebra a segurança
objetivos de criptografia para um modelo de invasor onde o invasor pode monitorar fisicamente
o processo de criptografia. Ataques de canal lateral contra implementações criptográficas (e
contramedidas correspondentes) são discutidas na Área de Conhecimento de Criptografia (Cap-
ter )
Mas os canais laterais são amplamente relevantes para a segurança de software em geral. Canais laterais podem ser
estudado para qualquer cenário onde o software é implementado em termos de uma abstração de camada inferior,
www.cybok.org
mesmo que a abstração da camada inferior em si ainda não seja uma implementação física. Um importante
exemplo é a implementação da Arquitetura do Conjunto de Instruções de um processador (É UM) em termos
de uma microarquitetura. A execução do código assembly escrito no ISA terá efeitos
no estado micro-arquitetônico; por exemplo, um efeito pode ser que alguns valores são copiados
da memória principal para um cache. O ISA abstrai esses efeitos, mas sob ataque
modelos onde o invasor pode observar ou influenciar esses efeitos micro-arquitetônicos, eles
constituem um canal lateral.
Os canais laterais, e em particular os canais laterais baseados em software, são mais comumente um contra
ameaça de dentialidade: eles vazam informações sobre a execução do software para um invasor que mon-
efeitos de itoring na camada de abstração inferior. Mas os canais laterais também podem constituir um
ameaça de integridade caso o invasor possa modificar o estado de execução do software confiando em
efeitos de camada inferior. Esses ataques são mais comumente chamados de ataques de injeção de falha .
Ataques de injeção de falha física podem usar tensão ou falha do relógio, temperaturas extremas ou
radiação eletromagnética para induzir falhas. A injeção de falhas baseada em software usa software para
conduzir os componentes de hardware do sistema fora de sua faixa de especificações com a objeção
tiva de induzir falhas nesses componentes. Um exemplo famoso é o ataque Rowhammer
que usa padrões de acesso à memória criados com códigos maliciosos para acionar uma interação indesejada
entre células de memória DRAM de alta densidade que faz com que os bits de memória sejam ip.
. .6 Discussão
. .6. Uma melhor conexão com os objetivos gerais de segurança precisa de especificações mais complexas
ções
Classificamos as vulnerabilidades de implementação como violações de especificações parciais específicas -

cátions de componentes de software. No entanto, a conexão com o objetivo de segurança do
o sistema de software geral é fraco. É perfeitamente possível que um sistema de software tenha uma implementação
vulnerabilidade de mentação, mas que não é explorável para quebrar um objetivo de segurança do sistema,
por exemplo, porque existem contramedidas redundantes em outras partes do sistema. Até
mais ainda, se um sistema de software não tiver nenhuma das vulnerabilidades de implementação que
discutido, ele ainda pode falhar em seu objetivo de segurança.
Para ter uma garantia mais forte de que o sistema de software atende a um objetivo de segurança, um
pode formalizar o objetivo de segurança como uma especificação. Durante a fase de design, em decomposição
posição do sistema em sub-componentes, deve-se especificar o comportamento do sub-
componentes tais que, em conjunto, impliquem a especificação do sistema geral. Com tal
design, a conexão entre uma vulnerabilidade de implementação como uma violação de uma especificação
por um lado, e o objetivo geral de segurança do sistema por outro, é muito
mais forte.
É importante notar, no entanto, que as especificações se tornariam mais complexas e mais

específico do domínio em tal cenário. Discutimos uma ilustração de complexidade adicional. Para
as categorias de vulnerabilidade que discutimos (gerenciamento de memória, geração de saída estruturada
ção, condições de corrida e vulnerabilidades API ), as especificações correspondentes expressam prop-
propriedades de execuções únicas do software: uma determinada execução satisfaz ou viola o
especificação, e o software tem uma vulnerabilidade assim que existe uma execução que
viola a especificação.
Existem, no entanto, objetivos de segurança de software que não podem ser expressos como propriedades de
traços de execução individuais. Um exemplo amplamente estudado de tal objetivo de segurança é a informação
segurança de fluxo de informação . Uma especificação de linha de base deste objetivo de segurança para sequências determinísticas
www.cybok.org
programas iniciais é o seguinte: rotule as entradas e saídas de um programa como públicas ou

confidencial e, em seguida, exigir que não haja duas execuções do software com o mesmo público
puts (mas entradas confidenciais diferentes) têm saídas públicas diferentes. A intuição para procurar
em pares de execuções é o seguinte: pode ser que o programa não vaze con den-
dados comerciais diretamente, mas, em vez disso, vaza algumas informações parciais sobre esses dados. Se coletado junto
várias execuções, o invasor pode reunir tantas informações que, eventualmente, partes relevantes de
os dados originais confidenciais são, de fato, vazados. A especificação acima requer efetivamente
que as entradas confidenciais nunca podem influenciar as saídas públicas de nenhuma forma e, portanto, não podem vazar
mesmo informações parciais. De uma forma dupla, pode-se expressar objetivos de integridade exigindo que
entradas de baixa integridade não podem influenciar as saídas de alta integridade.
Mas uma especificação de fluxo de informação é mais complexa do que as especificações que consideramos
nas seções anteriores, porque são necessárias duas execuções para mostrar uma violação do especi ca-
ção Vulnerabilidades de vazamento de informações são violações de informações (orientadas pela confidencialidade)
política ow. Eles também podem ser entendidos como violações de uma especificação, mas agora
uma especificação que fala sobre várias execuções do sistema de software. Isso tem pro
encontraram consequências para o desenvolvimento de contramedidas para lidar com essas vulnerabilidades
laços [ ]
. .6. As vulnerabilidades do canal lateral são diferentes
Vulnerabilidades de canal lateral são, por definição, não violações de uma especificação na abstração
nível de utilização do código-fonte do software: eles usam intrinsecamente efeitos dos quais a fonte
resumos de código. No entanto, se alguém desenvolve um modelo da infraestrutura de execução do software
software que é detalhado o suficiente para modelar ataques de canal lateral e, em seguida, vulnerabilidades de canal lateral
pode novamente ser entendido como violações de uma especificação parcial. Pode-se escolher localizar
a vulnerabilidade na infraestrutura de execução, fornecendo uma especificação para a execução
infra-estrutura que diz que não deve introduzir mecanismos de comunicação adicionais.
Isso é essencialmente o que a teoria da abstração completa [ ] requer. Alternativamente, pode-se
refine o modelo da linguagem do código-fonte para expor os efeitos usados em um lado específico
ataques de canal, tornando possível expressar vulnerabilidades de canal lateral na fonte
nível de código. Lidar com vulnerabilidades gerais de canal lateral de software ainda não está bem abaixo
permaneceu, e não são conhecidas contra-medidas realistas geralmente aplicáveis. Pode-se, é claro,
isolar a execução, ou seja, evitar execuções simultâneas no mesmo hardware, mas que então
contradiz outros objetivos, como a utilização otimizada de hardware.
. .6. Vulnerabilidades como falhas
A classificação de vulnerabilidades por meio da especificação que violam é útil para

compreender classes relevantes de vulnerabilidades, mas não pretende ser uma taxonomia completa:
há um grande número de especificações parciais de sistemas de software que contribuem
para alcançar algum objetivo de segurança. Vulnerabilidades podem, no entanto, ser vistas como um exemplo de
o conceito de falhas , estudado no campo da computação confiável, e uma boa taxonomia de
falhas foram desenvolvidas nesse campo [ 8 ]
www.cybok.org
. PREVENÇÃO DE VULNERABILIDADES
[ , , ][ , c]
Uma vez que uma categoria de vulnerabilidades é bem compreendida, uma questão importante é como a introdução
a redução de tais vulnerabilidades no software pode ser evitada ou, pelo menos, menos provável.
As abordagens mais eficazes erradicam categorias de vulnerabilidades por meio do projeto do
linguagem de gramática ou API.
A ideia geral é a seguinte. Vimos no tópico . tantas categorias de im-

vulnerabilidades de implementação podem ser descritas como violações de uma especificação de algum sub-
componente. Vamos chamar uma execução do sistema de software que viole esta especificação,
uma execução errônea ou uma execução com erro. Do ponto de vista da segurança, é útil
para distinguir entre os erros que causam o encerramento imediato da execução ( bloqueado
erros ), e erros que podem passar despercebidos por um tempo ( erros não capturados ) [ ] Não preso er-
rors são particularmente perigosos, porque o comportamento posterior do sistema de software após
um erro não detectado pode ser arbitrário e um invasor pode ser capaz de controlar o sistema de software
comportamento que viola um objetivo de segurança. Portanto, projetar uma linguagem ou API para
evitar erros e, em particular, erros inexplorados, é uma abordagem poderosa para prevenir a pressão
presença de vulnerabilidades. Por exemplo, linguagens como Java efetivamente tornam impossível
introduzir vulnerabilidades de gerenciamento de memória: uma combinação de verificações estáticas e dinâmicas
garante que nenhum erro de gerenciamento de memória não capturado possa ocorrer. Isso efetivamente protege
contra as técnicas de ataque discutidas em . .. É, no entanto, importante notar que este
não impede a presença de bugs de gerenciamento de memória : um programa ainda pode acessar um
array fora dos limites. Mas o bug não é mais uma vulnerabilidade , pois a execução é encerrada imediatamente
imediatamente quando esse acesso ocorre. Alguém poderia argumentar que o bug ainda é uma vulnerabilidade se
um dos objetivos de segurança do sistema de software é a disponibilidade , incluindo a ausência de
encerramento inesperado do programa.
Nos casos em que a escolha ou redesenho da linguagem de programação ou API em si não é uma opção
ção, categorias específicas de vulnerabilidades podem ser tornadas menos prováveis impondo uma codificação segura
práticas.
Este tópico fornece uma visão geral dessas técnicas que podem impedir a introdução de vul-
capacidades.
.. Sistemas de Design de Linguagem e Tipos

Uma linguagem de programação pode evitar categorias de vulnerabilidades de implementação que podem
ser descritos como violações de uma especificação por:
. tornando possível expressar a especi cação dentro do idioma, e
. garantindo que não pode haver nenhum erro de execução não interceptado com relação ao expresso
especificação.
www.cybok.org
. . . Vulnerabilidades de gerenciamento de memória
Uma especificação de linguagem de programação inclui inerentemente uma especificação de toda a memória
recursos de alocação, acesso e desalocação fornecidos por esse idioma. Portanto, o especi -
cação do subcomponente de gerenciamento de memória está sempre disponível. Uma linguagem de programação
linguagem é chamada de memória segura se a definição da linguagem implica que não pode haver nenhuma armadilha
erros de gerenciamento de memória. Linguagens como C ou C ++ não são seguras para a memória porque a linguagem
a definição de linguagem permite implementações da linguagem que podem ter membros não capturados
erros de gerenciamento de dados, mas mesmo para essas linguagens, pode-se construir implementações específicas
que são seguros para a memória (geralmente à custa do desempenho).
Uma linguagem pode ser protegida pela memória por meio de uma combinação de:
. a seleção cuidadosa dos recursos que suporta: por exemplo, os idiomas podem escolher
evitar estado mutável, ou pode escolher evitar alocação de memória dinâmica, ou pode escolher
para evitar a desalocação manual contando com a coleta de lixo,
. imposição de verificações dinâmicas: por exemplo, impondo que todo acesso à matriz deve ser
limites verificados, e
. imposição de verificações estáticas, normalmente na forma de um sistema de tipo estático: por exemplo, objeto
o acesso ao campo pode ser garantido com segurança por meio de um sistema de tipo.
As linguagens de programação variam amplamente em como combinam recursos, dinâmicos e estáticos

Verificações. Linguagens puramente funcionais como Haskell evitam memória mutável e dependem fortemente de
verificações estáticas e coleta de lixo. Linguagens dinâmicas como Python dependem fortemente de linguagens dinâmicas
cheques e coleta de lixo. Linguagens orientadas a objetos com tipagem estática, como Java e C #
sente-se entre esses dois extremos. Linguagens inovadoras como SPARK (um subconjunto de Ada) [ 6]
e Rust alcançam segurança de memória sem depender da coleta de lixo. Ferrugem, por exemplo,
usa um sistema de tipos que permite ao compilador raciocinar sobre os ponteiros estaticamente, permitindo assim
para inserir código para liberar memória em locais onde não é mais possível acessá-lo. Esta
vem às custas de alguma flexibilidade diminuída quando se trata de estruturar o programa
código.
. . . Vulnerabilidades de geração de saída estruturada
Uma causa importante para vulnerabilidades de geração de saída estruturada é que o programador
deixa a estrutura pretendida da saída implícita e calcula a saída estruturada por
manipulação de cordas. Uma linguagem de programação pode ajudar a prevenir tais vulnerabilidades, fornecendo
recursos de linguagem que permitem ao programador tornar explícita a estrutura pretendida, assim
fornecer uma especi cação. A implementação da linguagem pode, então, garantir que nenhuma armadilha
erros em relação a essa especificação são possíveis.
A primeira abordagem é fornecer um sistema de tipos que suporte a descrição de dados estruturados.
Esta abordagem foi elaborada rigorosamente para dados XML: a linguagem de programação sup-
porta documentos XML como valores de primeira classe e tipos de expressão regular [ ] apoiar o
descrição da estrutura de documentos XML usando a operação de expressão regular padrão
tor. Um programa de tipo correto que produz um documento XML de um determinado tipo tem garantia de
gerar saída XML da estrutura descrita pelo tipo.
Uma segunda abordagem é fornecer recursos de linguagem primitiva para alguns dos usos comuns
casos de geração estruturada de produtos. Consulta Integrada de Linguagem (LINQ) é uma extensão de
a linguagem C # com sintaxe para escrever expressões de consulta. Escrevendo a consulta como um expres-
(ao contrário de construir uma consulta SQL concatenando strings), a estrutura pretendida de

www.cybok.org
a consulta é explícita e o provedor LINQ que compila a consulta para SQL pode fornecer
garante que a consulta gerada tenha a estrutura pretendida.
. . . Vulnerabilidades de condição de corrida
Vulnerabilidades de condição de corrida na memória heap alocada são frequentemente ativadas por aliasing , o ex-
existência de vários ponteiros para a mesma célula de memória. Se dois threads simultâneos contiverem um
alias para a mesma célula, existe o potencial de uma condição de corrida nessa célula. A existência de
aliasing também leva a vulnerabilidades de gerenciamento de memória temporal, quando a memória é tratada.
localizado por meio de um alias, mas acessado por meio de outro alias. A noção de propriedade
ajuda a mitigar as complicações que surgem devido ao aliasing. A essência da ideia é
que, embora possam existir vários aliases para um recurso, apenas um desses aliases é o proprietário
do recurso e algumas operações só podem ser realizadas por meio do proprietário. Um dono
regime de navio impõe restrições sobre como os apelidos podem ser criados e quais operações são permitidas
por meio desses aliases. Ao fazer isso, um regime de propriedade pode evitar vulnerabilidades à condição de corrida
capacidades, ou pode suportar gerenciamento automático de memória sem um coletor de lixo. Para
exemplo, um regime de propriedade simples para células de memória alocada em heap pode impor a
restrições que: () aliases só podem ser criados se houver garantia de que sairão do escopo antes
o proprietário faz, () apelidos só podem ser usados para leitura e () o proprietário pode escrever em uma célula
somente se nenhum apelido existir atualmente. Este regime simples evita disputas de dados: nunca pode haver
uma leitura e gravação simultâneas na mesma célula. Ele também suporta gerenciamento automático de memória
mento sem coleta de lixo: uma célula de heap pode ser desalocada assim que o proprietário for
fora do escopo. Claro, este regime simples ainda é bastante restritivo, e um corpo significativo de
existem pesquisas sobre a concepção de regimes de propriedade menos restritivos que ainda podem fornecer
garantias.
Um regime de propriedade pode ser imposto pela linguagem de programação por meio de um tipo
sistema, e várias linguagens de pesquisa têm feito isso com o objetivo de prevenir dados
corridas ou vulnerabilidades de gerenciamento de memória. A linguagem de programação Rust, um sistema recente
linguagem de programação tems, é a primeira linguagem mainstream a incorporar uma propriedade
sistema de tipo.
. . . Outras vulnerabilidades
Muitas outras categorias de vulnerabilidades podem, em princípio, ser abordadas por meio de programas
ming design de linguagem e verificação estática de tipo. Há, por exemplo, um amplo corpo de re-
pesquisa em abordagens baseadas em linguagem para garantir a segurança do fluxo de informações [ 8] Esses
as abordagens até agora foram integradas principalmente em linguagens de protótipo de pesquisa. FAGULHA
é um exemplo de uma linguagem do mundo real que implementou análise de fluxo de informações no
compilador. Técnicas de segurança de fluxo de informações baseadas em linguagem também tiveram uma profunda influência
uência nas técnicas de detecção estática de vulnerabilidades (Tópico .)
www.cybok.org
.. Design API
O desenvolvimento de software não depende apenas de uma linguagem de programação, mas também de
APIs, implementado por bibliotecas ou estruturas. Assim como o design da linguagem impacta o provável
capa de introdução de vulnerabilidades, o mesmo acontece com o design da API . O princípio básico é o mesmo: o
API deve ser projetada para evitar erros de execução (onde agora, erros de execução são violações
da especificação da API ) e, em particular, erros de execução não capturados . Deve ser difícil
para o programador violar um contrato de API , e se o contrato for violado, isso deve ser
preso, levando, por exemplo, ao encerramento do programa ou ao tratamento de erros bem de nido
haviour.
Onde a própria linguagem de programação não impede uma certa categoria de vulnerabilidades
(por exemplo, C não evita vulnerabilidades de gerenciamento de memória, Java não evita corrida
condições ou vulnerabilidades de geração de saída estruturada), a probabilidade de introduzir estes
vulnerabilidades podem ser reduzidas oferecendo uma API de nível superior:
• Várias bibliotecas que fornecem APIs menos propensas a erros para gerenciamento de memória em C ou C ++
foram propostas. Essas bibliotecas oferecem ponteiros gordos (onde ponteiros mantêm limites
informações e verificar se os acessos estão vinculados), coleta de lixo (onde o homem-
desalocação final não é mais necessária), ou ponteiros inteligentes (que suportam uma propriedade
regime para automatizar a desalocação com segurança).
• Várias bibliotecas que fornecem APIs menos propensas a erros para fazer a geração de saída estruturada para
vários tipos de saída estruturada e para várias linguagens de programação foram
proposto. Os exemplos incluem APIs de declaração preparada que permitem a um programador separar
arate a estrutura de uma instrução SQL a partir da entrada do usuário que precisa ser conectada
essa estrutura, ou implementações de biblioteca de consulta integrada de linguagem, onde a consulta ex-
pressões são construídas usando chamadas API em vez de usar sintaxe de linguagem.
• Várias bibliotecas que fornecem APIs menos propensas a erros para criptografia foram propostas.
Essas bibliotecas usam simplificação (ao custo de flexibilidade), padrões seguros, melhor documentação
implementação e implementação de casos de uso mais completos (por exemplo, inclua
suporte para tarefas auxiliares, como armazenamento de chaves) para tornar menos provável que um desenvolvedor
cometerá erros.
O uso de asserções, contratos e programação defensiva [ , c] é uma abordagem geral

para construir software com alta confiabilidade, e é uma abordagem altamente útil para evitar API
vulnerabilidades. O projeto por contrato torna o contrato de uma API explícito ao fornecer
condições e pós-condições, e na programação defensiva essas pré-condições serão
verificado, evitando assim a ocorrência de erros não detectados.
Uma API de linguagem de programação também determina a interface entre os programas na linguagem
medida e o sistema circundante. Por exemplo, JavaScript em um navegador não expõe
uma API para o sistema de arquivos local. Como consequência, os programas JavaScript em execução no navegador
possivelmente não pode acessar o sistema de arquivo. Essas APIs menos privilegiadas podem ser usadas para conter ou
código não confiável da sandbox (consulte a Seção ..), mas também podem prevenir vulnerabilidades. Objeto
sistemas de capacidade [ ] leva essa ideia mais longe, fornecendo uma linguagem e API que suporta
estruturar o código de forma que cada parte do código tenha apenas os privilégios de que realmente precisa (assim
apoiando o princípio do menor privilégio ).
O projeto de APIs criptográficas que mantêm o material da chave criptográfica em uma proteção separada
domínio de ção, por exemplo, em um Módulo de Segurança de Hardware (HSM) vem com seu próprio desafio
desafios. Essas APIs têm um objetivo de segurança: a API para um HSM tem o objetivo
www.cybok.org
de manter as chaves de criptografia que usa confidenciais - não deve ser possível extrair o
chave do HSM. Pesquisas mostraram [ , c 8] que manter tal objetivo de segurança
é extremamente desafiador. A API HSM tem uma APIvulnerabilidade de nível se houver uma sequência de
Chamadas de API que extraem chaves confidenciais do HSM. Observe que este é um defeito de design da API
em oposição aos defeitos de implementação considerados no Tópico.
.. Práticas de Codificação
A probabilidade de introduzir as várias categorias de vulnerabilidades discutidas no Tópico .
pode ser substancialmente reduzido pela adoção de práticas de codificação seguras. As diretrizes de codificação podem
também ajudam contra vulnerabilidades de natureza mais genérica que não podem ser tratadas por lan-
orientação ou design de API , como, por exemplo, a diretriz para senhas não embutidas em código. Seguro
práticas de codificação podem ser formalizadas como coleções de regras e recomendações que de-
escrever e ilustrar padrões de código bons e ruins.
A primeira abordagem para projetar tais diretrizes de codificação é heurística e pragmática: o programa
comunidade ming é solicitada a fornecer recomendações e regras de codificação seguras aos candidatos
com base na experiência de como as coisas deram errado no passado. Essas regras propostas são vet-
tratados e discutidos pela comunidade até que se chegue a um consenso de que a regra é suficiente
apropriado para ser incluído em um padrão de codificação. Padrões influentes para fins gerais
o desenvolvimento de software inclui os padrões de codificação SEI CERT para C [ ] e Java [ ]
Para o desenvolvimento de sistemas críticos, padrões de codificação mais rigorosos e rígidos têm sido
desenvolvido. As diretrizes MISRA [ ] viram amplo reconhecimento e adoção para
desenvolvimento de sistemas críticos em C. O subconjunto SPARK de Ada [ 6] foi projetado para suprir
codificação de portas para permitir a verificação formal da ausência de classes de vulnerabilidades.
As regras podem assumir várias formas, incluindo:
• evitar funções API fornecidas por linguagem perigosa (por exemplo, não use o sistema
função tem () em C),
• tentativa de evitar comportamento indefinido ou erros de execução não capturados (por exemplo, não
acessar a memória liberada em C),
• mitigações contra certas vulnerabilidades causadas pelo tempo de execução da linguagem (por exemplo, não
armazenar segredos em Java Strings, pois o Java runtime pode manter essas Strings armazenadas em
a pilha indefinidamente), ou,
• regras proativas e defensivas que o tornam menos provável de se deparar com um comportamento indefinido (por exemplo,
excluir a entrada do usuário de strings de formato).
Além disso, vulnerabilidades específicas de canal lateral podem ser tratadas por regras de codificação, por exemplo
evitar o fluxo de controle ou acessos à memória que dependem de segredos pode evitar esses segredos
de vazamento por meio de canais laterais baseados em cache ou preditor de ramificação.
Quando não são impostos por um sistema de tipo, os regimes de propriedade para gerenciar com segurança voltam
fontes, como memória alocada dinamicamente, também podem ser a base para a identificação de programação
ioms e diretrizes de codificação. Por exemplo, a aquisição de recursos é inicialização (RAII)
idioma, semântica de movimentação e ponteiros inteligentes essencialmente suportam um regime de propriedade para C ++,
mas sem garantias impostas pelo compilador.
Um desafio importante com as diretrizes de codificação seguras é que seu número tende a crescer ao longo
tempo e, portanto, os programadores são susceptíveis de se desviar das práticas seguras codificadas no
www.cybok.org
diretrizes. Portanto, é importante fornecer suporte de ferramenta para verificar a conformidade do software
com as regras de codificação. Tópico . . discute como as ferramentas de análise estática podem automaticamente
detectar violações contra regras de codificação seguras.
. DETECÇÃO DE VULNERABILIDADES
[ 6, ][ , c]
Para o código-fonte existente, onde a prevenção total da introdução de uma classe de vulnerabilidades
não foi possível, por exemplo, porque a escolha da linguagem de programação e / ou APIs
foi determinada por outros fatores, é útil aplicar técnicas para detectar a presença de
vulnerabilidades no código durante a fase de desenvolvimento, teste e / ou manutenção do
Programas.
As técnicas para detectar vulnerabilidades devem fazer concessões entre os dois seguintes
propriedades que uma técnica de detecção pode ter:
• Uma técnica de detecção é válida para uma determinada categoria de vulnerabilidades se puder
concluir que um determinado programa não tem vulnerabilidades dessa categoria. Uma de-
A técnica de proteção, por outro lado, pode ter falsos negativos , ou seja, vulnerabilidades reais
que a técnica de detecção falha em encontrar.
• Uma técnica de detecção está completa para uma determinada categoria de vulnerabilidades, se houver vulnerabilidade
bilidade que ele encontra é uma vulnerabilidade real. Uma técnica de detecção incompleta por outro
mão pode ter falsos positivos , ou seja, pode detectar problemas que não são reais
vulnerabilidades.
Os trade-offs são necessários, porque segue do teorema de Rice que (para categorias não triviais
de vulnerabilidades) nenhuma técnica de detecção pode ser sólida e completa.
Alcançar a solidez requer raciocínio sobre todas as execuções de um programa (geralmente um
número). Isso normalmente é feito por verificação estática do código do programa, enquanto torna adequado
abstrações das execuções para encerrar a análise.
Alcançar a integridade pode ser feito realizando execuções reais e concretas de um programa
que são testemunhas de qualquer vulnerabilidade relatada. Isso normalmente é feito por detecção dinâmica
onde a técnica de análise tem que fornecer dados concretos para o programa que aciona
uma vulnerabilidade. Uma abordagem dinâmica muito comum é o teste de software, onde o testador escreve
casos de teste com entradas concretas e verificações específicas para as saídas correspondentes.
Na prática, as ferramentas de detecção podem usar uma combinação híbrida de tecnologia de análise estática e dinâmica
técnicas para obter um bom equilíbrio entre solidez e integridade.
É importante observar, no entanto, que algumas técnicas de detecção são heurísticas por natureza e
portanto, as noções de integridade e integridade não são precisamente definidas para eles. Para
exemplo, técnicas heurísticas que detectam violações de práticas de codificação seguras, conforme descrito
no . . estão verificando a conformidade com as regras e recomendações definidas informalmente e
nem sempre é possível definir sem ambigüidade os falsos positivos ou falsos negativos. Mais-
mais, essas abordagens podem destacar 'vulnerabilidades' que talvez não sejam exploráveis neste
ponto no tempo, mas deve ser corrigido, no entanto, porque eles são 'quase acidentes', ou seja, podem ser-
vêm facilmente exploráveis por erros de manutenção futuros.
Técnicas de análise de programas estáticos e dinâmicos são amplamente estudados em outras áreas de

www.cybok.org
ciência do computador. Este tópico destaca as técnicas de análise mais relevantes para a segurança de software
ridade.
Outra abordagem importante para a detecção de vulnerabilidades é realizar uma revisão manual do código
e auditoria. Essas técnicas são abordadas na Área de Conhecimento do Ciclo de Vida de Software Seguro
(Capítulo 6) Ao usar a detecção de estática com suporte de ferramenta, faz sentido ajustar tal sub-
revisão de código sequente e outras atividades de verificação. Por exemplo, se a detecção de estática for boa
para uma determinada categoria de vulnerabilidades, pode-se considerar não revisar ou testar
categoria de vulnerabilidades em fases posteriores.
.. Detecção Estática
As técnicas de detecção estática analisam o código do programa (código-fonte ou código binário) para encontrar
vulnerabilidades. Em oposição às técnicas dinâmicas, as estáticas têm a vantagem de
pode operar em código incompleto que não é (ainda) executável e que em uma única execução de análise
eles tentam cobrir todas as execuções de programas possíveis. Grosso modo, pode-se distinguir
duas importantes classes de técnicas, que se diferenciam em seu objetivo principal.
. . . Deteção heurística estática
Primeiro, existem técnicas de análise estática que detectam violações de regras que são formais
codificação de heurísticas de prática de programação segura. A técnica de análise estática constrói um
modelo semântico do programa, incluindo, por exemplo, uma árvore de sintaxe abstrata e abstrac-
ções do fluxo de dados e do fluxo de controle no programa. Com base neste modelo, a técnica
pode ag violações de regras sintáticas simples, como, não use esta função API perigosa ,
ou use apenas esta função API com uma string constante como primeiro parâmetro.
Um indicador importante para a presença de vulnerabilidades é o fato de que (possivelmente malicioso)

a entrada do programa pode influenciar um valor usado em uma operação arriscada (por exemplo, indexar em um
array ou strings de concatenação para criar uma consulta SQL ). Análise de contaminação (às vezes também chamada de
análise de fluxo ) é uma técnica de análise que determina se os valores provenientes do programa
entradas (ou mais geralmente de fontes de contaminação designadas ) podem influenciar os valores usados em tais
uma operação arriscada (ou mais geralmente, valores devido a um sumidouro restrito ). A mesma análise
também pode ser usado para detectar casos em que informações confidenciais ou confidenciais no programa
iva para canais de saída públicos.
Existem muitas variantes de análise estática de contaminação. Variações importantes incluem () quanto ab-
straction é feita do código, por exemplo, path-sensitive versus path-insensitive, ou context-
análise sensível versus não sensível ao contexto, e () se as influências causadas pela
O fluxo de controle do grama em vez do fluxo de dados do programa são levados em consideração (frequentemente distintos
usando os termos análise de contaminação versus análise de fluxo de informações ).
Para reduzir o número de falsos positivos, uma análise de contaminação pode levar em consideração a higienização
executado pelo programa. Valores contaminados que foram processados por higienização designada
funções (que são assumidas para validar que os valores são inofensivos para processamento posterior)
ter sua mácula removida.
Um desafio importante é que as análises de contaminação devem ser configuradas com os conjuntos certos de
fontes, pias e desinfetantes. Na prática, tais con gurações atualmente ocorrem frequentemente de forma manual.
almente, embora alguns trabalhos recentes tenham adicionado assistência a ferramentas em que, por exemplo, a máquina
o aprendizado é usado para apoiar os analistas de segurança nesta tarefa.
www.cybok.org
. . . Verificação estática de som
Em segundo lugar, existem técnicas de análise estática que visam ser sólidas para categorias bem de nidas
de vulnerabilidades (mas geralmente na prática ainda fazem concessões e desistem da solidez para
alguma extensão). Para categorias de vulnerabilidades que podem ser entendidas como especi cação ou
violações de contrato, o principal desafio é expressar formalmente essa especificação subjacente.
Feito isso, o grande corpo de conhecimento sobre análise estática e verificação de programa
desenvolvidos em outras áreas da ciência da computação podem ser usados para verificar o cumprimento das
especificação. As três principais técnicas relevantes são a verificação do programa, a interpretação abstrata
tação e verificação de modelo.
A verificação do programa usa uma lógica de programa para expressar as especificações do programa e depende de
o programador / verificador para fornecer uma abstração adequada do programa na forma de
invariantes de loop dutivo ou pré e pós-condições de função para tornar possível construir
uma prova que cobre todas as execuções do programa. Para linguagens imperativas com memória dinâmica
alocação, lógica de separação [ ] é uma lógica de programa que pode expressar ausência de memória-
vulnerabilidades de gerenciamento e condição de corrida (para corridas de dados em células de memória), bem como
conformidade com contratos fornecidos pelo programador nas APIs do programa. Verificação de conformidade
com uma especificação de lógica de separação normalmente não é automática: é feita por pro interativos
verificação de grama em que as anotações do programa são usadas para fornecer invariantes, pré-condições
e pós-condições. No entanto, se alguém estiver interessado apenas na ausência de gerenciamento de memória
vulnerabilidades, essas anotações às vezes podem ser inferidas, tornando a técnica
matic. Também evitando o uso de certos recursos de linguagem (por exemplo, ponteiros) e aderindo a
um estilo de codificação passível de verificação pode ajudar a tornar a verificação automática.
A interpretação abstrata é uma técnica automática em que a abstração é feita a partir da

programa crete mapeando os valores de tempo de execução que o programa manipula para adequar
domínios abstratos finos. Para programas imperativos que não usam alocação dinâmica ou re-
cursão, a interpretação abstrata é uma técnica de sucesso para provar a ausência de memória
vulnerabilidades de gerenciamento de forma automática e eficiente.
A verificação de modelo é uma técnica automática que explora exaustivamente todos os estados alcançáveis
do programa para verificar se nenhum dos estados viola uma determinada especificação. Porque
do problema de explosão de estado, a verificação de modelo só pode explorar exaustivamente
programas e, na prática, técnicas para limitar a exploração precisam ser usados, por exemplo,
limitando o número de vezes que um loop de programa pode ser executado. Verificação de modelo limitado
não soa mais, mas ainda pode encontrar muitas vulnerabilidades.
A maioria das implementações práticas dessas técnicas de análise desiste da solidez para alguns
extensão. Para ser sólida e finalizadora, uma análise estática deve superestimar o
possíveis comportamentos do programa que analisa. A sobreaproximação leva a falsos positivos.
Linguagens de programação reais têm recursos que são difíceis de superestimar sem liderança
a um número inaceitável de falsos positivos. Portanto, as implementações práticas têm
para fazer compensações de engenharia e subestimar alguns recursos de linguagem. Esta
torna a implementação inadequada, mas mais útil no sentido de que reduz o número
de falsos positivos. Essas compensações de engenharia são bem resumidas no artigo 'Solidez
Manifesto '[ ]
www.cybok.org
.. Detecção Dinâmica
Técnicas de detecção dinâmica executam um programa e monitoram a execução para detectar vul-
capacidades. Assim, se suficientemente eficientes, eles também podem ser usados para vulnerabilidade just-in-time
mitigação (ver tópico). Existem dois aspectos importantes e relativamente independentes para dy-
detecção dinâmica: () como se deve monitorar uma execução de modo que as vulnerabilidades sejam destruídas
detectado, e () quantas e quais execuções de programa (ou seja, para quais valores de entrada) devem
um monitor?
. . . Monitoramento
Para categorias de vulnerabilidades que podem ser entendidas como violações de uma propriedade específica
de uma única execução (Ver Tópico .6), a detecção completa pode ser realizada monitorando
por violações dessa especificação. Para outras categorias de vulnerabilidades ou durante o monitoramento
para violações de uma especificação é muito caro, monitores aproximados podem ser definidos.
O monitoramento de vulnerabilidades de gerenciamento de memória foi estudado intensamente. É, em princípio

ciple, possível construir monitores completos, mas normalmente a um custo substancial em tempo e memória
ory. Portanto, as ferramentas existentes exploram vários trade-offs na velocidade de execução, uso de memória e
completude. Compiladores C modernos incluem opções para gerar código para monitorar mem-
vulnerabilidades de gerenciamento de dados. Nos casos em que uma análise dinâmica é aproximada, como um
análise estática, também pode gerar falsos positivos ou falsos negativos, apesar de
opera em um rastreamento de execução concreto.
Para vulnerabilidades de geração de saída estruturada, um desafio é que a estrutura pretendida de

a saída gerada é muitas vezes implícita e, portanto, não há especificação explícita que possa
ser monitorado. Conseqüentemente, o monitoramento depende de heurísticas sensíveis. Por exemplo, um monitor pode
usar uma análise de contaminação dinâmica refinada [ ] para rastrear o fluxo de strings de entrada não confiáveis,
e, em seguida, uma violação quando uma entrada não confiável tem um impacto na árvore de análise de
resultado.
Asserções, pré-condições e pós-condições, conforme apoiado pelo projeto por contrato ap-
proach para construção de software [ , c] pode ser compilado no código para fornecer um monitor
para vulnerabilidades de API em tempo de teste, mesmo se o custo dessas verificações de tempo de execução compiladas
pode ser muito alto para usá-los no código de produção.
Monitorar as condições da corrida é difícil, mas algumas abordagens para monitorar corridas de dados em
células de memória compartilhada existem, por exemplo, monitorando se todos os acessos à memória compartilhada
siga uma disciplina de bloqueio consistente.
. . . Gerando execuções relevantes
Um desafio importante para as técnicas de detecção dinâmica é gerar execuções do

programa ao longo de caminhos que levarão à descoberta de novas vulnerabilidades. Este problema é
um exemplo do problema geral no teste de software de seleção sistemática de
comeu entradas para um programa em teste [ , c]. Essas técnicas são frequentemente descritas pelo
termo genérico teste de difusão ou difusão , e pode ser classificado como:
• Fuzzing caixa preta , onde a geração de valores de entrada depende apenas da entrada / saída
põe o comportamento do programa que está sendo testado, e não em sua estrutura interna. Muitos dif-
diferentes variantes de fuzzing da caixa preta foram propostas, incluindo () puramente aleatório
teste, onde os valores de entrada são amostrados aleatoriamente a partir do domínio de valor apropriado,
www.cybok.org
() fuzzing baseado em modelo, onde um modelo do formato esperado de valores de entrada (typi-
na forma de uma gramática) é levado em consideração durante a geração de valores de entrada,
e () fuzzing baseado em mutação, onde o fuzzer é fornecido com um ou mais
valores de entrada e gera novos valores de entrada, realizando pequenas mutações no
valores de entrada fornecidos.
• Fuzzing de caixa branca , onde a estrutura interna do programa é analisada para auxiliar na
a geração de valores de entrada apropriados. A principal tecnologia de difusão sistemática de caixa branca
nique é a execução simbólica dinâmica . A execução simbólica dinâmica executa um programa
com valores de entrada concretos e constrói ao mesmo tempo uma condição de caminho , um ex lógico
pressão que especifica as restrições sobre os valores de entrada que devem ser cumpridos
para o programa seguir este caminho de execução específico. Resolvendo os valores de entrada que fazem
não satisfaça a condição do caminho da execução atual, o fuzzer pode certificar-se de que
esses valores de entrada irão conduzir o programa para um caminho de execução diferente, melhorando assim
cobertura.
. MITIGANDO A EXPLORAÇÃO DE VULNERABILIDADES

[ , ]
Mesmo com boas técnicas para evitar a introdução de vulnerabilidades em novos códigos, ou para detectar
vulnerabilidades no código existente, é provável que haja uma quantidade substancial de código legado com
vulnerabilidades em uso ativo no futuro previsível. Conseqüentemente, a prevenção da vulnerabilidade e
técnicas de proteção podem ser complementadas com técnicas que mitiguem a exploração de
vulnerabilidades restantes. Essas técnicas de mitigação são normalmente implementadas na execução
infraestrutura de instalação, ou seja, o hardware, sistema operacional, carregador ou máquina virtual, ou então são
embutido no executável pelo compilador (um chamado 'monitor de referência embutido'). Um importante
O objetivo principal dessas técnicas é limitar o impacto no desempenho e maximizar
compatibilidade com programas legados.
.. Detecção de Ataques em Tempo de Execução

O monitoramento em tempo de execução da execução do programa é uma técnica poderosa para detectar ataques. Em prin-
ciple, monitores de programa para detectar vulnerabilidades durante o teste (discutido em . Dinâmico
Detecção) também pode ser usado em tempo de execução para detectar ataques. Por exemplo, mancha dinâmica anal
ysis combinado com uma verificação dinâmica se os dados contaminados influenciaram a árvore de análise de geração
A saída gerada também foi proposta como uma técnica de mitigação de tempo de execução para injeção de SQL
ataques.
Mas há uma diferença importante nos requisitos de desempenho para monitores usados durante
teste de ing (discutido no Tópico . ) e monitores usados em tempo de execução para mitigar ataques. Para
detecção de ataques em tempo de execução, o desafio é identificar violações detectáveis de forma eficiente de
propriedades que devem ser mantidas para o rastreamento de execução do programa. Uma grande variedade de
técnicas são utilizadas:
• Os canários de pilha detectam violações da integridade dos registros de ativação na pilha de chamadas,
e, portanto, detectar alguns ataques que exploram vulnerabilidades de gerenciamento de memória para
modificar um endereço de retorno.
• Sem execução (NX) a memória de dados detecta tentativas de direcionar o contador do programa para os dados
memória em vez de memória de código e, portanto, detecta muitos ataques de injeção direta de código.
www.cybok.org
• Integridade de Fluxo de Controle (CFI) é uma classe de técnicas que monitora se o tempo de execução
o fluxo de controle do programa está em conformidade com algumas especificações do controle esperado
ow e, portanto, detecta muitos ataques de reutilização de código.
Na detecção de um ataque, o monitor de tempo de execução deve reagir de forma adequada, geralmente por terminação
o programa sob ataque. A rescisão é uma boa reação para garantir que um ataque pode fazer
nenhum dano adicional, mas tem naturalmente um impacto negativo nas propriedades de disponibilidade.
.. Diversidade de software automatizado

A exploração de vulnerabilidades muitas vezes depende de detalhes de implementação do software em
ataque. Por exemplo, a exploração de uma vulnerabilidade de gerenciamento de memória geralmente depende de
detalhes do layout da memória do programa em tempo de execução. Um ataque de injeção de SQL pode contar com
detalhes do banco de dados para o qual a consulta SQL está sendo enviada.
Portanto, uma contramedida genérica para dificultar a exploração de vulnerabilidades é diversificar

esses detalhes de implementação. Isso aumenta o nível de ataques de duas maneiras. Primeiro, é mais difícil
para um invasor preparar e testar seu ataque em um sistema idêntico. Um ataque que funciona
contra um servidor web instalado na máquina do invasor pode falhar contra o mesmo servidor web
na máquina da vítima devido à diversificação. Em segundo lugar, é mais difícil construir ataques que
funcionará contra muitos sistemas ao mesmo tempo. Em vez de construir um exploit uma vez, e então usar
contra muitos sistemas, os invasores agora precisam construir exploits personalizados para cada sistema
eles querem atacar.
A realização mais importante desta ideia é a randomização do layout do espaço de endereço (ASLR),
onde o layout do código, pilha e / ou memória heap é randomizado no carregamento ou na execução
Tempo. Tal randomização pode ser de baixa granularidade , por exemplo, apenas realocando aleatoriamente
o endereço base do código, segmentos de pilha e heap, ou refinado onde os endereços de in-
funções individuais na memória de código, registros de ativação na pilha ou objetos na pilha são
escolhidos aleatoriamente.
A comunidade de pesquisa investigou muitas outras maneiras de criar mergulhadores automaticamente

sidade no momento da compilação ou no momento da instalação [ ], mas tal diversificação automática pode
também trazem desafios importantes para a manutenção de software, pois os relatórios de bugs podem ser mais difíceis de
interpretar, e as atualizações de software também podem ter que ser diversificadas.
.. Limitando privilégios
A exploração de uma vulnerabilidade de software influencia o comportamento do software em
ataque de forma que algum objetivo de segurança seja violado. Ao impor limites gerais sobre o que
o software pode fazer, o potencial de danos dos ataques pode ser substancialmente reduzido.
Sandboxing é um mecanismo de segurança onde o software é executado dentro de um ambiente controlado
(a 'caixa de areia') e onde uma política pode ser aplicada aos recursos que o software em
a sandbox pode acessar. O sandbox pode ser usado para restringir software não confiável, mas pode
também pode ser usado para mitigar o impacto da exploração em software vulnerável: após uma
explorar o software, o invasor ainda está confinado à sandbox.
A ideia genérica de sandboxing pode ser instanciada usando qualquer um dos mecanismos de isolamento
que os sistemas de computador modernos fornecem: o sandbox pode ser uma máquina virtual rodando sob
a supervisão de um monitor de máquina virtual, ou pode ser um processo no qual a operação
sistema impõe uma política de controle de acesso. Além disso, vários sandboxes específicos para fins
www.cybok.org
mecanismos foram desenvolvidos para classes específicas de software, como, por exemplo, cadeias
que pode proteger o acesso à rede e ao sistema de arquivos em ambientes de hospedagem virtual. O Java
O Runtime Environment implementa um mecanismo de sandbox destinado a conter
Código Java, ou para isolar o código de diferentes partes interessadas dentro do mesmo Java Virtual Ma-
chine, mas várias vulnerabilidades significativas foram encontradas nesse mecanismo de sandbox
ao longo dos anos [ 6]
Compartimentalização é um mecanismo de segurança relacionado, mas ner-grained, onde o software
em si é dividido em vários compartimentos e onde alguns limites são aplicados no
privilégios de cada um desses compartimentos. Novamente, isso requer algum mecanismo subjacente
para fazer cumprir esses limites. Por exemplo, um navegador compartimentado pode contar com a operação
controle de acesso do processo do sistema para limitar os privilégios de seu mecanismo de renderização, negando-o
le acesso ao sistema. A exploração de uma vulnerabilidade de software no mecanismo de renderização agora é
mitigado na medida em que, mesmo após uma exploração bem-sucedida, o invasor ainda está bloqueado de
acessando o sistema de arquivo. Formas muito refinadas de compartimentalização podem ser alcançadas
por sistemas de capacidade de objeto [ ], onde cada objeto de nível de aplicativo pode ser um separado
domínio de proteção.
Para mitigar vulnerabilidades de canal lateral, pode-se isolar o código vulnerável, por exemplo, em
um núcleo separado ou em hardware separado, de modo que a informação vazando pelo lado
o canal não é mais observável para os invasores.
.. Verificação de integridade de software

Sob a denominação de Computação Confiável , uma ampla gama de técnicas foi desenvolvida
optou por medir o estado de um sistema informático e tomar as medidas adequadas se
estado é considerado inseguro. Uma técnica representativa é a inicialização confiável, onde as medições
são acumulados para cada programa executado. Qualquer modificação nos programas (para
por exemplo, devido a um ataque bem-sucedido) levará a uma medição diferente. Pode-se então
fazer com que o acesso às chaves secretas, por exemplo, só seja possível a partir de um estado com uma
medição.
Parno et al. [ ] fornecem uma excelente visão geral desta classe de técnicas.
CONCLUSÕES
Vulnerabilidades de implementação de software vêm em muitas formas e podem ser atenuadas por uma ampla
gama de contramedidas. Tabela . resume a relação entre as categorias de
vulnerabilidades discutidas neste capítulo, e a prevenção, detecção e mitigação relevantes
técnicas comumente usadas para combatê-los.
www.cybok.org
Categoria de vulnerabilidade Prevenção Detecção Mitigação
Memória gestão linguagens seguras para a memória, muitos estáticos e dinâmicos empilhar canários, NX, CFI,
vulnerabilidades ponteiros gordos / inteligentes, cod- técnicas de detecção ASLR, sandboxing
regras ing
Geração de saída estruturada- tipos de expressão regular, análise de contaminação detecção de tempo de execução
vulnerabilidades de ção LINQ, estado preparado-
mentos
Vulnerabilidade à condição de corrida tipos de propriedade, codificação detecção estática e dinâmica sandbox
ities diretrizes ção
APIvulnerabilities contratos, APIs utilizáveis, tempo de execução

checando de compartimentalização
implementos API defensivos pré e pós-condições,
tações contrato estático veri ca-
ção
Vulnerabilidade do canal lateral diretrizes de codificação detecção estática isolamento

laços
Mesa . : Visão geral do resumo
Agradecimentos
Os comentários perspicazes e construtivos e feedback dos revisores e editor sobre

os rascunhos anteriores foram extremamente valiosos e melhoraram significativamente a estrutura
e o conteúdo deste capítulo, assim como os comentários recebidos durante a revisão pública.
www.cybok.org
]
]
] ]
[ 6
]
[
[ [
[
]
]
[
[
Du: segurança
Dowd:
do computador
arteanderson8security
Pierce Padrão
:: TPL:swebokv
de codificação
Xadrez: Canálise estática
. Categorias de vulnerabilidades
. . Vulnerabilidades de gerenciamento de memória c, c c c6
. . Vulnerabilidades de geração de saída estruturada c, c c c
. . Vulnerabilidades de condição de corrida c c
. . Vulnerabilidades de API c6 c, c
. . Vulnerabilidades de canal lateral c
. Prevenção de vulnerabilidades
. . Sistemas de Design de Linguagem e Tipos c
. . Design API c8 c
. . Práticas de Codificação *
. Detecção de vulnerabilidades
. . Detecção Estática *
. . Detecção Dinâmica c
. Mitigando a exploração de vulnerabilidades
. . Detecção de Ataques em Tempo de Execução c
. . Diversidade de software automatizado c
. . Limitando privilégios c
LEITURA ADICIONAL
Construindo Software Seguro [ 8] e Pecados Capitais da Segurança do Software

[ ]
Building Secure Software foi o primeiro livro com foco específico na segurança de software, e
mesmo que parte do conteúdo técnico esteja um pouco desatualizado agora, o livro ainda é um sólido
introdução ao campo e os princípios orientadores do livro resistiram ao teste de
Tempo.
Deadly Sins of Software Security é um livro mais recente e atualizado pela maioria dos mesmos
autores.
www.cybok.org
A arte da avaliação de segurança de software [ ]

Mesmo que este seja um livro voltado principalmente para auditores de software, também é um livro muito útil
recurso para desenvolvedores. Ele tem descrições claras e detalhadas de muitas classes de vulnerabilidades
, incluindo aspectos específicos da plataforma.
Software sub-reptício [ ]
A segurança de software neste capítulo é sobre como prevenir, detectar e remover implementos de software
vulnerabilidades de mentação. No entanto, outra interpretação sensata e diferente do termo
é que se trata de proteger o próprio código do software, por exemplo, contra engenharia reversa -
do código, contra a extração de segredos do código ou contra adulteração indesejada
com o código antes ou durante a execução. Ofuscação, marca d'água e proteção contra adulteração são
exemplos de técnicas para proteger o software contra tais ataques. Software sub-reptício é
um livro-texto rigoroso sobre essa noção de segurança de software.
Recursos OWASP
O Open Web Application Security Project (OWASP) é um projeto sem fins lucrativos, dirigido por voluntários ou
ganisation que organiza eventos e oferece um rico conjunto de recursos relacionados à aplicação
segurança e segurança de software. Eles oferecem guias orientados para a prática sobre desenvolvimento seguro
e em testes de segurança, bem como uma coleção de ferramentas e instrumentos de conscientização.
Todos esses recursos estão disponíveis publicamente em https://www.owasp.org.
www.cybok.org
Página 509
Capítulo
Segurança da web e móvel
Sascha Fahl Leibniz University Hannover

www.cybok.org
. INTRODUÇÃO
O objetivo desta área de conhecimento é fornecer uma visão geral dos mecanismos de segurança, em-
tachas e defesas em ecossistemas móveis e da web modernos. Esta visão geral é destinada a
uso em cursos acadêmicos e para orientar profissionais do setor interessados nesta área.
A segurança da web e móvel se tornou o principal meio pelo qual muitos usuários interagem
com a Internet e os sistemas de computação. Conseqüentemente, seu impacto na segurança geral da informação
é significativa, devido à enorme prevalência de web e móvel aplicativos ( apps). Cobertura
segurança da web e móvel, esta área de conhecimento enfatiza a interseção de sua segurança
mecanismos de segurança, vulnerabilidades e mitigações. Ambas as áreas compartilham muito em comum e têm
experimentou uma rápida evolução nas características e funcionalidades oferecidas por seus clientes
aplicativos (apps). Este fenômeno, às vezes chamado de aplicação, é um motorista moderno
ecossistemas da web e móvel. Os aplicativos da web e do cliente móvel normalmente interagem com o servidor
interfaces de aplicativos usando tecnologias da web. Este segundo fenômeno, também às vezes
chamado webi cação, afeta igualmente os ecossistemas da web e móvel. No s, web e
a segurança móvel tinha um forte foco na segurança do lado do servidor e da infraestrutura. Navegadores da web
foram usados principalmente para renderizar e exibir sites estáticos sem conteúdo dinâmico. O foco
no lado do servidor prevaleceu mesmo com o surgimento das primeiras linguagens de script, como Perl e
PHP. No entanto, o conteúdo da web se tornou mais dinâmico no s, e a segurança do lado do servidor
teve que lidar com ataques de injeção. Da mesma forma que os navegadores da web, os primeiros dispositivos móveis limitaram
funcionalidade e eram usados principalmente para fazer chamadas ou enviar SMS. Segurança móvel naquela época
focado em controle de acesso, chamadas e segurança de SMS .
O surgimento da web moderna e das plataformas móveis trouxe mudanças notáveis. Uma quantia signi cativa
do código do aplicativo da web não é mais executado no lado do servidor, mas sim no navegador.
Suporte de navegador da Web para Java, Adobe Flash, JavaScript e plug-ins e extensões de navegador
trouxe muitos novos recursos para o cliente, o que levou a uma mudança drástica do ataque sur-
cara na web. Surgiram novos tipos de ataques, como Cross-Site Scripting e plug-ins
provou ser vulnerável, por exemplo, os plug-ins do navegador Adobe Flash são conhecidos por serem atraentes
alvo para atacantes. Em resposta a essas novas ameaças, os fornecedores de navegadores e o desenvolvimento de sites
operadores e operadores tomaram medidas. Por exemplo, o Google Chrome desativou o Adobe Flash plu-
gin por padrão em [ ] e novas práticas recomendadas de segurança foram desenvolvidas [ ] de forma similar
para navegadores da web, os dispositivos móveis tornaram-se mais inteligentes e mais ricos em recursos. Smartphones e
os tablets são equipados com sensores, incluindo movimento, GPS e câmeras. Eles têm extenso
poder de computação, capacidade de armazenamento e estão conectados à Internet -. Android moderno
e dispositivos iOS rodam sistemas operacionais completos e cada vez mais ricos em recursos e complexos
estruturas de aplicativos. Aplicativo móvels podem solicitar acesso a todos os recursos dos dispositivos e
sensores usando controle de acesso baseado em permissão e processam informações altamente confidenciais do usuário
ção Ser poderoso, rico em recursos e conectado torna os clientes móveis promissores e atraentes
alvos positivos para os invasores.
Ecossistemas modernos da web e móvel são os principais motores para o aumento da aplicação e
o lema "há um aplicativo para tudo" resume muitas das características tecnológicas e de segurança
velopments nos últimos anos. O appi cação tendência resultou em milhões de aplicações que vão desde
aplicativos simples ashlight para aplicativos de rede social online, de aplicativos de banco online para dispositivos móveis
e jogos baseados em navegador. Também desencadeou a fusão de tecnologias e mecanismos de segurança
anismos usados em aplicativos da web e móveis. Ambos os ecossistemas são tipicamente cliente-servidor
orientado. Navegadores da web e aplicativos móveiss se comunicam com serviços de back-end, muitas vezes usando
tecnologias focadas na web. A comunicação é baseada principalmente no Hypertext Transfer Pro-
KA Web & Mobile Security | Outubro Página 8
www.cybok.org
tocol (HTTP) e sua extensão segura HTTPS. Navegadores da web e aplicativos móveis
tendem a trocar principalmente Hypertext Markup Language (HTML ) ,documentos JSON e XML
e ambos fazem uso extensivo da linguagem de programação JavaScript, no servidor e
do lado do cliente. Webi cation descreve a conversão para essas tecnologias da web.
A grande quantidade de aplicativos em ecossistemas móveis e da web modernos também impactou

o modelo de distribuição de software, que mudou de downloads de sites para centralizado
lojas de aplicativos, que permitem aos desenvolvedores publicar, anunciar e distribuir seu software,
e os usuários baixem novos aplicativos e atualizações de aplicativos. A distribuição centralizada de software teve
um impacto positivo nas frequências e velocidade de atualização para web e dispositivos móveis.
Esta área de conhecimento enfoca a tendência de aplicação e uma introdução à tecnologia principal
tecnologias do fenômeno da webi cação . Figura . fornece uma visão geral das entidades
envolvidos e suas interações.
Lado do Servidor
Atualizações de aplicativos push

Verificações de segurança Servidor web
Loja de aplicativosInstale aplicativos Trocar dados com o servidor de aplicativos

Solicitações HTTPS
Respostas HTTPS Desenvolver web
formulários
https://example.com e configurar
Publique aplicativos e https://example.com a infraestrutura
https://example.com
push updates
<html>
<head>
<title> Este é um exemplo </title>
</head>
ebsites
<script src = "myscripts.js"> </script>
<body>
Devs Comercial ... Devs / Ops

Aplicativos em sandbox </body>
Apps </html> W isolado
Apps
Dispositivo móvel Navegador da web

Lado do Cliente
Figura . : Ecossistema Web e móvel
Depois de apresentar as principais tecnologias e conceitos, descrevemos importantes mecanismos de segurança

nismos e ilustrar como eles diferem de ecossistemas não web e não móveis. Programas
e isolamento de conteúdo são mecanismos de segurança cruciais e visam proteger aplicativos e web-
sites de acesso malicioso. Embora o isolamento seja entendido em relação ao funcionamento tradicional
sistemas (cf. a Área de Conhecimento de Sistemas Operacionais e Virtualização (Capítulo ) ), especi cos
para plataformas web e móveis serão delineados.
As plataformas web e móveis modernas introduziram novas formas de controle de acesso com base em permissões
diálogos de ação . Embora uma discussão mais geral sobre controle de acesso esteja incluída no Authen-
Área de Conhecimento (Capítulo ) de Autorização e Responsabilidade (AAA ), este Conhecimento
A área discute especificações da web e móveis. Os aplicativos da web e móveis fazem uso extensivo
dos protocolos HTTP e HTTPS . Portanto, discutiremos a infraestrutura de chave pública da Web
(PKI) e HTTPS estendendo a Segurança da Camada de Transporte (TLS) na seção Segurança de rede
Área de Conhecimento (Seção .) Da mesma forma, discutiremos a autenticação específica para web e celular
aspectos de cação, referindo os leitores ao Authentication, Authorization & Accountability (AAA)
www.cybok.org
Área de Conhecimento (Capítulo ) para uma discussão mais geral sobre autenticação. Finalmente, nós
abordar atualizações de software frequentes como uma medida de segurança crucial. Enquanto atualizações de software
são igualmente importantes em sistemas de computador tradicionais, a centralização da web e móvel
ecossistemas, apresenta novos desafios e oportunidades.
As seções a seguir enfocam a segurança do lado do servidor e do cliente específico da web e móvel, como
pects. No entanto, não abordaremos vulnerabilidades de software comuns (cf. a Seção de Software-
curity Knowledge Area (Capítulo )) e segurança do sistema operacional (cf. Sistemas operacionais
& Área de Conhecimento de Virtualização (Capítulo )) em geral. Seção . primeiro cobre phishing
e ataques e defesas de clickjacking. Ambos afetam os clientes da web e móveis e exploram o hu-
dificuldade do homem em analisar corretamente os URLs ou identificar mudanças na aparência visual
de sites. Como os clientes móveis e da web ricos em recursos armazenam dados confidenciais, iremos então dis-
cussa problemas de segurança de armazenamento do lado do cliente e mitigações. Finalmente, Seção . discute fis-
ataques físicos a clientes móveis, incluindo ataques de borrão e ressalto de ombro. Seção .
aborda os desafios do lado do servidor, começando com uma visão geral dos ataques de injeção frequentes.
Discutimos ataques de SQL e injeção de comando que permitem que usuários mal-intencionados manipulem
consultas de banco de dados para back-ends de armazenamento de aplicativos da web e comandos que são executados.
Isso é seguido por uma discussão sobre ataques de cross-site scripting e de falsificação de solicitação entre sites
e erros de configuração comuns do lado do servidor que podem levar a back-ends de serviço vulneráveis.
No geral, a discussão dos desafios de segurança do lado do cliente e do servidor visa servir como o
sublinhando a divisão natural entre entidades em ecossistemas da web e móveis. Adicionalmente,
os aspectos escolhidos ilustram a diferença entre a web e o mundo móvel de outros
ecossistemas.
Devido ao seu foco na interseção da segurança web e móvel, esta área de conhecimento
não cobre aspectos que são exclusivos da web ou móvel, como a segurança do dispositivo móvel,
segurança de rede móvel (ou seja, G / G / G / G) (consulte Camada Física e Telecomunicações
Área de Conhecimento (Capítulo )) e malware móvel. Alguns desses aspectos são discutidos
na Área de Conhecimento de Segurança de Hardware (Capítulo 8), a tecnologia de malware e ataque
Área de Conhecimento (Capítulo 6) e a Área de Conhecimento de Segurança de Rede (Capítulo). Nós também
não discuta ataques de canal lateral; o conceito e exemplos de segurança de canal lateral são
fornecido na Área de Conhecimento de Segurança de Hardware (Capítulo 8)
. CONCEITOS E ABORDAGENS FUNDAMENTAIS
[6, , , , 6, , 8, , ]
Esta seção descreve conceitos e abordagens fundamentais da web e dispositivos móveis modernos
plataformas que afetam a segurança. As informações apresentadas nesta seção se destinam a servir
como base para entender melhor os desafios de segurança nas seções a seguir. Sim-
semelhante a outros produtos de software e sistemas de computador, sistemas operacionais móveis e aplicativos
cations e navegadores da web, bem como servidores da web, podem conter bugs exploráveis. Pur-
As vulnerabilidades de software são discutidas na Área de Conhecimento de Segurança de Software (Cap-
ter ) .
Há apenas um número limitado de navegadores da web e lojas de aplicativos amplamente usados.
www.cybok.org
.. Appi cation
Nos últimos dez anos, o aumento dos dispositivos móveis e do acesso onipresente à Internet
mudou a forma como o software é produzido, distribuído e consumido, alterando como os humanos interagem
agir com dispositivos de computador e com software instalado nos dispositivos. Enquanto Internet normal
os navegadores têm sido a forma dominante de acessar conteúdo na web na era pré-móvel,
o conceito de aplicação mudou signi cativamente a maneira como os usuários acessam o conteúdo online [ ]
Appi cation descreve o fenômeno de sair de uma plataforma baseada na web para acessar
cesse a maioria das ferramentas e mídias digitais online com um navegador da web por meio de aplicativos móveis
com pequenos conjuntos de recursos altamente especializados. À medida que os dispositivos móveis cresceram e se tornaram os principais
interface para acesso à web em todo o mundo [ ], o número de aplicativos aumentou enormemente nos últimos
década. “Existe um aplicativo para tudo” tornou-se o mantra dos ecossistemas de software aplicados,
que produziu inúmeras aplicações para todos os tipos de casos de uso e áreas de aplicação. Vários
os aplicativos se parecem com aplicativos de desktop ou móveis locais nativos. No entanto, eles são frequentemente (móveis)
aplicativos da web que se comunicam com serviços de back-end, que então terceirizam
tarefas de instalação e armazenamento para o cliente. A mudança para a aplicação teve um impacto signi cativo
na web e na segurança móvel, criando mais desafios de segurança no lado do cliente. O aumento de
a aplicação também impactou o cenário do desenvolvedor. Na era de pré-aplicação, a decapagem de software
O desenvolvimento foi dominado principalmente por desenvolvedores experientes. Devido à ferramenta mais extensa
e suporte de estrutura, a barreira de entrada no mercado é menor em ecossistemas aplicados. Este em-
atrai desenvolvedores mais inexperientes e tem consequências negativas para a web e dispositivos móveis
segurança em geral (cf. Área de Conhecimento de Fatores Humanos (Capítulo ) ).
A Ascensão do Desenvolvedor Cidadão A tendência de aplicação atrai muitos não profissionais
desenvolvedores de software chamados de desenvolvedores cidadãos. Muitos deles não têm um engenheiro de software
educação, mas fazer uso de várias APIs e ferramentas simples disponíveis para construir aplicativos para diferentes
plataformas. Oltrogge et al. [ ] descobriram que a adoção de gêneros de aplicativos on - line fáceis de usar-
tors (OAGs) para desenvolver, distribuir e manter aplicativos tem um impacto negativo na segurança do aplicativo.
Aplicativos gerados tendem a ser vulneráveis a ataques de recon guração e injeção de código e dependem de um
infraestrutura insegura.
.. Webi cação
As plataformas web e móveis modernas deram origem a outro fenômeno. Muitos dos aplicativos
ções não são aplicativos nativos escritos em linguagens de programação compiladas, como Java ou
Kotlin e C / C ++ (por exemplo, para aplicativos Android) ou Objective-C e Swift (por exemplo, para aplicativos iOS). Em vez de,
eles são baseados em tecnologias da web, incluindo Python, Ruby, Java ou JavaScript do lado do servidor
scripts e JavaScript do lado do cliente. Além de aplicativos convencionais da web que visam reg-
navegadores da web mais comuns, os aplicativos da web para celular são construídos com mais frequência usando essas tecnologias da web
tecnologias. Em particular, os aplicativos da web para celular fazem uso intenso da linguagem JavaScript.
Esta seção fornece uma breve introdução às tecnologias essenciais necessárias para explicar
vulnerabilidades e mitigações posteriormente no KA. Incluímos Localizadores Uniformes de Recursos (URLs),
o protocolo de transferência de hipertexto (HTTP), a linguagem de marcação de hipertexto (HTML ) , em cascata
Folhas de estilo (CSS) e a linguagem de programação JavaScript. Para informações mais detalhadas,
sugerimos ler [ ]
www.cybok.org
. . . Localizadores Uniformes de Recursos
Localizadores Uniformes de Recursos (URLs) [ ] são um conceito central na web. Um URL é um bom
string de texto formada e totalmente qualificada que endereça e identifica um recurso em um servidor.
Barras de endereço nas interfaces de usuário do navegador moderno (UIs) use os URLs para ilustrar o controle remoto
endereço de um documento processado. Uma string de URL absoluta totalmente qualificada consiste em vários segmentos
mentos e contém todas as informações necessárias para acessar um determinado recurso. A sintaxe
de um URL absoluto é: scheme: // credentials @ host: port / resourcepath? query_parameters # fragments.
Cada segmento tem um significado particular (cf. Tabela .)
Segmento Descrição Opcional
esquema: Indica o protocolo que um cliente da web deve usar para recuperar um recurso.
Os protocolos comuns na web são http: e https:
// Indica um URL hierárquico conforme exigido por [ ]
credenciais@ Pode conter um nome de usuário e senha que podem ser necessários para
recuperar um recurso de um servidor remoto.
hospedeiro Especi es um nome DNS que não diferencia maiúsculas de minúsculas (por exemplo, cybok.org) , um IPv bruto
(por exemplo...) ou endereço IPv6 (por exemplo, [:::::::]) para indicar o
localização do servidor que hospeda um recurso.
:porta Descreve um número de porta de rede não padrão para se conectar a um

servidor remoto. As portas padrão são 8 para HTTP e HTTPS.
/ resourcepath Identifica o endereço do recurso em um servidor remoto. O recurso

o formato do caminho é construído com base na semântica do diretório Unix.
? query_parameters Passa parâmetros não hierárquicos para um recurso remoto, como

parâmetros de entrada de script do lado do servidor.
#fragmento Fornece instruções para o navegador. Na prática, é usado para

endereçar um elemento âncora HTML para navegação no documento.
Mesa . : Segmentos de URL.
. . . Protocolo de Transferência de Hipertexto
O protocolo de transferência de hipertexto (HTTP) é o mecanismo mais amplamente usado para trocar
documentos entre servidores e clientes na web. Embora o HTTP seja usado principalmente para trans-
fer documentos HTML , ele pode ser usado para quaisquer dados. Embora HTTP /. [ ] é o mais novo
revisão de protocolo, a versão de protocolo mais amplamente suportada é HTTP /. [ ] . HTTP é
um protocolo baseado em texto usando TCP / IP. Um cliente HTTP inicia uma sessão enviando um HTTP
pedido a um servidor HTTP . O servidor retorna uma resposta HTTP com o arquivo solicitado.
A primeira linha de uma solicitação do cliente inclui informações sobre a versão do HTTP (por exemplo, HTTP / 1.1). O
o cabeçalho da solicitação restante consiste em zero ou mais pares nome: valor. Os pares são separados
arado por uma nova linha. Os cabeçalhos de solicitação comuns são User-Agent - incluem navegador em
formação, Host - o nome do host do URL , Aceitar - que carrega todos os tipos de documentos suportados,
Comprimento do conteúdo - o comprimento de toda a solicitação e Cookie - consulte a seção . 0,8. O
o cabeçalho da solicitação é encerrado com uma única linha vazia. Os clientes HTTP podem passar qualquer
conteúdo para o servidor. Embora o conteúdo possa ser de qualquer tipo, os clientes geralmente enviam HTML
conteúdo para o servidor, por exemplo, para enviar dados do formulário. O servidor HTTP responde ao pedido
com um cabeçalho de resposta seguido pelo conteúdo solicitado. O cabeçalho da resposta contém o
versão de protocolo compatível, um código de status numérico e um status opcional legível por humanos
www.cybok.org
esta mensagem. A notificação de status é usada para indicar o sucesso da solicitação (por exemplo, status 200),
condições de erro (por exemplo, status 404 ou 500) ou outros eventos excepcionais. Cabeçalhos de resposta
também pode conter cabeçalhos de cookies - cf. Seção . 0,8. As linhas de cabeçalho de resposta adicionais são
opcional. O cabeçalho termina com uma única linha vazia seguida pelo conteúdo real do re-
recurso procurado. Semelhante ao conteúdo da solicitação, o conteúdo pode ser de qualquer tipo, mas muitas vezes é
um documento HTML .
Embora os cookies não fizessem parte do HTTP RFC original [ ], eles são um dos mais
extensões de protocolo importantes. Cookies permitem que servidores remotos armazenem vários nomes = valor
pares no armazenamento do cliente. Os servidores podem definir cookies enviando um Set-Cookie: nome = valor re-
sincronizar o cabeçalho e consumi-los lendo o cabeçalho do pedido Cookie: name = value do cliente .
Os cookies são um mecanismo popular para manter sessões entre clientes e servidores e para
autenticar usuários.
HTTP é baseado em solicitação-resposta e perfeitamente adequado para casos de uso de transferência de dados unidirecional. Como-
sempre, para melhor latência e uso mais eficaz da largura de banda, conexão de rede bidirecional
são necessárias. As conexões bidirecionais não apenas permitem que os clientes extraiam dados do servidor,
mas também o servidor para enviar dados ao cliente a qualquer momento. Portanto, o proto WebSocket
col [ ] fornece um mecanismo no topo do HTTP. As conexões WebSocket começam com um registro
Solicitação HTTP ular que inclui um cabeçalho Upgrade: WebSocket. Depois do WebSocket
o aperto de mão for concluído, ambas as partes podem enviar dados a qualquer momento, sem a necessidade de executar um novo
aperto de mão.
. . . Linguagem de marcação de hipertexto
A linguagem de marcação de hipertexto (HTML) [ 6] é o método mais amplamente usado para produzir
e consumir documentos na web. A versão mais recente é HTML. A sincronização HTML
imposto é bastante simples: uma estrutura de árvore hierárquica de tags, parâmetros de tag name = value
e nós de texto formam um documento HTML . O Modelo de Objeto de Domínio (DOM) define o log-
estrutura ical de um documento HTML e regras como ele é acessado e manipulado. Como-
nunca, os fornecedores de navegadores concorrentes introduziram todos os tipos de recursos personalizados e
a linguagem HTML de acordo com seus desejos. As muitas implementações de navegador diferentes e divergentes
resultaram em apenas uma pequena parte dos sites na Internet aderindo ao HTML
sintaxe do padrão. Portanto, as implementações dos modos de análise de HTML e recuperação de erros variam
muito entre navegadores diferentes.
A sintaxe HTML vem com algumas restrições sobre o que pode ser incluído em um parâmetro
valor ou dentro de um nó de texto. Alguns caracteres (por exemplo, colchetes angulares, aspas simples e duplas
e e comercial) compõem os blocos da marcação HTML . Sempre que eles são usados para um diferente
fim, como partes de substrings de um texto, eles precisam ser ignorados. Para evitar indesejáveis
efeitos colaterais, o HTML fornece um esquema de codificação de entidade. No entanto, a falha em
aplicar a codificação a caracteres reservados ao exibir informações controladas pelo usuário pode
levar a problemas graves de segurança da web, como script entre sites (consulte a Seção .)
www.cybok.org
. . . Cascading Style Sheets
Cascading Style Sheets (CSS) [ 6] são um mecanismo consistente e flexível para manipular
a aparência de documentos HTML . O objetivo principal do CSS era fornecer uma
linguagem de descrição direta e simples baseada em texto para substituir os muitos fornecedores específicos
Parâmetros de tag HTML que levam a muitas inconsistências. No entanto, semelhante ao HTML divergente
implementações de análise, navegadores diferentes também implementam comportamento de análise CSS diferente .
CSS permite que as tags HTML sejam dimensionadas, posicionadas ou decoradas sem serem limitadas pelo
restrições de marcação HTML originais . Semelhante aos valores da tag HTML , os valores dentro do CSS podem ser
controlado pelo usuário ou fornecido externamente, o que torna o CSS crucial para a segurança da web.
. . . JavaScript
JavaScript [ ] é uma linguagem de programação orientada a objetos simples, mas poderosa, para a web.
Ele é executado no lado do cliente em navegadores da web e no lado do servidor como parte de aplicativos da web. O lan-
gage deve ser interpretado em tempo de execução e tem uma sintaxe inspirada em C. Suporta JavaScript
um modelo de objeto sem classes, fornece coleta de lixo automática e tipos fracos e dinâmicos
ing. JavaScript do lado do cliente não oferece suporte a mecanismos de E / S prontos para uso. Em vez disso, alguns
interfaces predefinidas limitadas são fornecidas pelo código nativo dentro do navegador. Lado do servidor
JavaScript (por exemplo, Node.js [ ]) suporta uma ampla variedade de mecanismos de I / O, por exemplo, rede
e le acesso. A discussão a seguir se concentrará no JavaScript do cliente em navegadores da web.
Cada documento HTML em um navegador recebe seu contexto de execução JavaScript. Todos os scripts em
um contexto de documento compartilha a mesma sandbox (consulte a Seção .) Comunicação intercontexto
conexão entre scripts é suportada por APIs específicas do navegador. No entanto, a execução con
os textos são estritamente isolados uns dos outros em geral. Todos os blocos de JavaScript em um contexto são
executados individualmente e em uma ordem bem definida. O processamento do script consiste em três fases:
A análise valida a sintaxe do script e a traduz em uma representação binária intermediária
por motivos de desempenho. O código não tem efeito até que a análise seja concluída. Blocos
com erros de sintaxe são ignorados e o próximo bloco é analisado.
Resolução de função registra todas as funções globais nomeadas que o analisador encontrou em um bloco. Tudo
funções registradas podem ser alcançadas a partir do seguinte código.
A execução executa todas as instruções de código fora dos blocos de função. No entanto, as exceções podem
ainda levam a falhas de execução.
Embora o JavaScript seja uma linguagem de script muito poderosa e elegante, ele traz novos desafios
desafios e problemas de segurança, como vulnerabilidades de Cross-Site Scripting (consulte a Seção .)
. . .6 WebAssembly
WebAssembly (Wasm) [ 8] é um formato de instrução binário eficiente e rápido e é sup-

portado pela maioria dos fornecedores de navegadores modernos. É uma linguagem de máquina virtual baseada em pilha e
visa principalmente executar em velocidade nativa em máquinas clientes. Código escrito em WebAssembly
é seguro para memória e se beneficia de todos os recursos de segurança fornecidos pelo código normal associado
com um site. O código do WebAssembly é protegido, impõe a mesma política de origem (cf. Sec-
ção . .) e é limitado aos recursos fornecidos pelas permissões do site correspondente
sões. Além disso, o código WebAssembly pode acessar o código JavaScript em execução no mesmo ori-
recipiente gin e fornecer sua funcionalidade ao código JavaScript da mesma origem.
KA Web & Mobile Security | Outubro Página

www.cybok.org
. . . WebViews
WebViews são mais uma tendência em webi cação e aplicativos móveiss. Eles permitem a integração fácil
ção de conteúdo da web em aplicativo móvels [ ] Os desenvolvedores podem integrar o aplicativos com HTML e
JavaScript e se beneficiam das vantagens de portabilidade. WebViews são executados no contexto de
aplicativo móvelse permitem uma rica interação bidirecional com o conteúdo da web hospedado. Aplicativo móvels
pode invocar JavaScript de dentro do conteúdo da web e monitorar e interceptar eventos no
conteúdo web. Ao mesmo tempo, APIs JavaScript específicas permitem que o aplicativo WebViews para interagir com
conteúdo e sensores fora do contexto do WebView. A interação do conteúdo da web com na-
conteúdo ativo do aplicativo levanta novas questões de segurança e permite que ambos os aplicativos-to-web e web-to-aplicativo
ataques [ 6 , 6 , 6] Ataques de aplicativo para web, permitir aplicativo maliciosos para injetar JavaScript em
WebViews hospedados com o objetivo de extrair informações confidenciais ou enganar WebViews para a navegação
acessar e apresentar aos usuários sites não confiáveis e potencialmente maliciosos. Web-to-app
ataques injetam conteúdo da web não confiável em um aplicativo e alavancam um aplicativoponte de JavaScript para
o aplicativo host subjacente. O objetivo de um ataque web-to-app é a escalada de privilégios para o nível
do processo de seu aplicativo de hospedagem.
Os fenômenos de aplicação e webi cação levaram a uma nova forma de distribuição de software.
Em vez de fontes de download descentralizadas, lojas de aplicativos centralizadas que são ilus-
tratado na próxima seção emergiu.
.. Lojas de aplicativos
As lojas de aplicativos são plataformas de distribuição digital centralizadas que organizam o gerenciamento
ment e distribuição de software em muitos ecossistemas móveis e da web. Exemplos famosos
são a loja da web do Chrome para extensões para o navegador Chrome, AppStore da Apple para iOS
aplicativos e Google Play para aplicativos Android. Os usuários podem navegar, baixar, avaliar
e analise os aplicativos móveis ou plug-ins e extensões do navegador. Os desenvolvedores podem fazer upload
seu software para lojas de aplicativos que gerenciam todos os desafios de distribuição de software,
incluindo o fornecimento de armazenamento, largura de banda e partes do anúncio e vendas. Ser-
antes da publicação, a maioria das lojas de aplicativos implanta processos de aprovação de aplicativos para teste
confiabilidade, aderência às políticas da loja e para verificação de segurança [ 6 , 6]
A maior parte do software disponível em ecossistemas que possuem lojas de aplicativos é distribuído
através das lojas. Apenas alguns usuários carregam software paralelamente (ou seja, instalam software de outro
fontes do que a loja). As lojas de aplicativos permitem que os provedores controlem quais aplicativos são
disponíveis em suas lojas, o que lhes permite proibir aplicativos específicos. Enquanto isso pode
dar origem a acusações de censura, a implantação de técnicas de verificação de segurança
ajudou a reduzir significativamente a quantidade de software malicioso disponível nas lojas [ 6 ]
e para reduzir o número de aplicativos que sofrem de vulnerabilidades devido ao uso indevido
de APIs de segurança por desenvolvedores [ ] As técnicas de verificação de segurança implantadas incluem estática e
análise dinâmica aplicada a binários de aplicativos e instâncias em execução de aplicativos. Dentro
além das técnicas de verificação de segurança, as lojas de aplicativos exigem que os aplicativos sejam assinados
por chaves do desenvolvedor ou da loja de aplicativos. No Android, a assinatura do aplicativo não depende do
mesmas infraestruturas de chave pública usadas na web. Em vez disso, os desenvolvedores são encorajados a usar
certificados autoassinados e obrigados a assinar atualizações de aplicativos com a mesma chave para evitar
atualizações maliciosas [ 6 ] O procedimento de assinatura do aplicativo em dispositivos iOS requer um aplicativos para
ser assinado pela Apple. App sem assinaturas não podem ser instalados em dispositivos iOS. Lojas de aplicativos
não apenas permitem que desenvolvedores e usuários tenham acesso centralizado à publicação e distribuição de software
e download, eles também permitem que os usuários avaliem e analisem os aplicativos publicados. Avaliação do utilizador
e as análises têm como objetivo ajudar outros usuários a tomar decisões de download mais informadas, mas
www.cybok.org
eles também têm uma conexão direta com a segurança do aplicativo.
Impacto das classificações e resenhas dos usuários na segurança de aplicativos Nguyen et al. [66] vigarista-
conduziu uma análise em grande escala de comentários de usuários para aplicativos Android e seu impacto na segurança
patches. Eles descobriram que a presença de comentários de usuários relacionados à segurança e privacidade para aplicativos
ções são fatores que contribuem para futuras atualizações de aplicativos relacionados à segurança.
.. Sandboxing
Ambas as plataformas móveis e de navegador modernas usam diferentes técnicas de sandbox
para isolar aplicativos e sites e seu conteúdo uns dos outros (cf. Operating Sys-
área de conhecimento de virtualização (Capítulo )) [ 6 , 68] Isso também visa proteger
a plataforma contra aplicativos e sites maliciosos. Principais navegadores da web (por exemplo, Google
Cromada [ 6 ]) e plataformas móveis (por exemplo, Android [ ]) implementar isolamento em um operador
nível de processo do sistema operacional. Cada aplicativo ou site é executado em seu próprio processo . Por padrão,
processos isolados não podem interagir uns com os outros e não podem compartilhar recursos. Em navegadores,
o isolamento do site serve como uma segunda linha de defesa como uma extensão da política de mesma origem
(cf. Seção ...)
. . . Isolamento de aplicativo
Plataformas móveis modernas fornecem a cada aplicativo seu sandbox rodando em um dedicado
processo e seu próprio armazenamento de sistema de arquivo. As plataformas móveis aproveitam a op-
erar mecanismos de proteção de processo do sistema para identificação de recurso de aplicativo e
isolamento. Por exemplo, sandboxes de aplicativos no Android [ ] são configurados no nível do kernel. Se-
a segurança é aplicada por meio de recursos do sistema operacional padrão, incluindo IDs de usuário e grupo
bem como contextos de segurança. Por padrão, o sandboxing impede que os aplicativos acessem
entre si e permite apenas acesso limitado aos recursos do sistema operacional. Para acessar pro
recursos de aplicativo e sistema operacional interligadoscomunicação de aplicativo por meio de
é necessário terfaces.
. . . Isolamento de Conteúdo
O isolamento de conteúdo é uma das principais garantias de segurança nos navegadores modernos. A ideia principal
é isolar documentos com base em sua origem para que não possam interferir uns nos outros.
A política da mesma origem (SOP) [ ] foi introduzido e afeta o JavaScript e seus
interação com o DOM de um documento, solicitações de rede e armazenamento local (por exemplo, cookies). O
A ideia central por trás do SOP é que dois contextos de execução JavaScript separados são permitidos apenas para
manipular o DOM de um documento se houver uma correspondência exata entre o host do documento e o
protocolo, nome DNS e números de porta. Solicitações de manipulação de origem cruzada não são permitidas.
Mesa . ilustra os resultados da validação de SOP de amostra . Semelhante ao JavaScript-DOM-interação,
o SOP limita os recursos JavaScript XMLHttpRequest para apenas emitir solicitações HTTP para
a origem do documento hospedeiro.
Um dos principais problemas do SOP é que ele depende do DNS em vez de endereços IP . Atacantes que podem
alterar intencionalmente o endereço IP de uma entrada DNS pode, portanto, contornar a segurança SOP
garantias.
O isolamento de site baseado em processo é usado principalmente em computadores desktop [ 6 ]

O triplo do protocolo, nome DNS e número da porta é chamado de origem .
www.cybok.org
Documento de origem Documento acessado Comportamento do navegador
https://www.cybok.org/ docs / https://www.cybok.org/ scripts / Access okay

https://www.cybok.org/ https: // books. cybok.org/ Incompatibilidade de host
http : //www.cybok.org/ https : //www.cybok.org/ Protocolo incompatível
https://www.cybok.org/ https://www.cybok.org : / Port mismatch
Mesa . : Exemplos de validação de SOP.
Como o código que impõe a política de mesma origem ocasionalmente contém bugs de segurança,
os navegadores introduziram uma segunda linha de defesa: os sites são renderizados em seus próprios processos
que funcionam em uma caixa de areia. Os sites de sandbox têm como objetivo evitar ataques como roubo
cookies entre sites e senhas salvas [ ]
Outra camada adicional de defesa para fazer cumprir a política de mesma origem e melhorar a aplicação da web
segurança de plicação é a Política de Segurança de Conteúdo (CSP) mecanismo [ ] Um CSP é principalmente
destina-se a evitar ataques de injeção de código, como XSS (consulte a Seção ..), que exploram o
a confiança dos navegadores em relação ao conteúdo enviado por um servidor da web. Isso permite que scripts maliciosos sejam
executado nos navegadores dos clientes. O CSP permite que os desenvolvedores da web e operadores de servidor limitem o
número de origens que os navegadores devem considerar como fontes confiáveis de conteúdo - incluindo
código executável e arquivos de mídia. Um CSP pode ser usado para que os servidores possam desabilitar globalmente
execução de código no cliente. Para habilitar CSP, desenvolvedores ou operadores podem configurar um
servidor da web para enviar um cabeçalho de resposta HTTP Content-Security-Policy ou adicionar um HTML
<meta> tag para um site. Os navegadores compatíveis apenas executarão código ou carregarão mídia
arquivos de origens confiáveis.
Exemplo: Cabeçalho da Política de Segurança de Conteúdo O seguinte CSP permite aos usuários de um aplicativo da web
cação para incluir imagens de qualquer origem, mas para restringir os dados de mídia (mídia de áudio ou vídeo) para
o domínio confiável- media.com confiável . Além disso, os scripts são restritos ao trusted-scripts.com
origem na qual o desenvolvedor da web confia:
Política de segurança de conteúdo: default-src 'self'; img-src *; media-src
Trusted-media.com; script-src trusted-scripts.com
.. Controle de acesso baseado em diálogo de permissão
Os sistemas de permissão em plataformas móveis e web modernas permitem a proteção da privacidade de
seus usuários e reduzem a superfície de ataque, controlando o acesso aos recursos. O controle de
o acesso a recursos em um sistema de computador tradicional requer a definição precisa de todos
envolveram os princípios de segurança e os recursos protegidos no sistema. Finalmente, um acesso con
O sistema trol requer um mecanismo não contornável e confiável para avaliar as solicitações de acesso
(o monitor de referência ) e políticas de segurança sólidas que definem o curso apropriado de ação
para todos os pedidos de acesso. Com base nas políticas de segurança, o monitor de referência pode decidir
se concede ou nega acesso (cf. Autenticação, Autorização e Conta-
habilidade (AAA) Área de Conhecimento (Capítulo ) ).
As plataformas móveis e web modernas divergem dos sistemas convencionais de computador em vários
maneiras:
www.cybok.org
. . . Os princípios de segurança
Os sistemas de computador tradicionais são principalmente sistemas multiusuário com usuários humanos e profissionais
cesses em execução em seu nome. As plataformas móveis e da web modernas estendem os sistemas convencionais
sistemas do usuário também devem considerar todos os desenvolvedores envolvidos que têm seus aplicativos instalados
no sistema como princípios de segurança.
. . . O Monitor de Referência
Tipicamente, os sistemas de computador convencionais implementar controle de acesso, como parte do operacional
Sistema (SO), por exemplo, o sistema de arquivos e a pilha da rede. Os processos no nível do usuário podem estender
esta funcionalidade do sistema operacional e implementar seus próprios mecanismos de controle de acesso.
Como os sistemas de computador convencionais, as plataformas móveis e da web modernas são baseadas no sistema operacional
mecanismos de controle de acesso de baixo nível. Além disso, as extensas estruturas sobre as quais
aplicativos são desenvolvidos e implantados, fornecem interfaces estendidas. Web e estilo modernos
plataformas biliares usam comunicação entre processos (IPC) para separação de privilégios e compartimentos
mentalização entre aplicativos e entre aplicativos e o sistema operacional em vez de permitir
acesso direto aos recursos. Mecanismos de controle de acesso em processos de chamada são usados para
tectar interfaces IPC .
. . . A Política de Segurança
Em sistemas de computador convencionais, um processo pode ter diferentes níveis de privilégio. Pode correr
como o superusuário, como um serviço do sistema, com privilégios de nível de usuário ou com privilégios de convidado . Tudo
processos que compartilham o mesmo nível de privilégio têm o mesmo conjunto de permissões e podem
acessar os mesmos recursos.
As plataformas móveis e da web modernas fazem uma distinção clara entre sistema e terceiros
aplicativos: o acesso a recursos críticos de segurança e privacidade só é concedido a pessoas designadas
processos e aplicativos de terceiros, por padrão, não têm acesso a recursos críticos. Se
tal acesso é necessário, os desenvolvedores de aplicativos devem solicitar permissões de um conjunto
disponível apenas para todos os aplicativos de terceiros. A maioria das permissões permite que os desenvolvedores usem des-
processos de sistema acionados como representantes para acessar recursos sensíveis protegidos. Esses sistemas
Dez processos servem como monitores de referência e impõem políticas de controle de acesso.
. . . Diferentes abordagens de permissão
As plataformas móveis e da web implementam abordagens de permissão distintas. Primeiro, as plataformas dis-
distinguir diferentes níveis de privilégio. Uma distinção comum são dois níveis (por exemplo, conforme implementado
no Android): normais (por exemplo, acesso à Internet) e permissões perigosas (por exemplo, acesso a
câmera ou microfone). Embora os desenvolvedores de aplicativos tenham que solicitar tanto o normal quanto
permissões perigosas para conceder aos seus aplicativos acesso aos respectivos recursos, o
os níveis são diferentes para os usuários do aplicativo. Permissões normais são concedidas silenciosamente, sem qualquer aplicação
interação com o usuário. No entanto, sempre que os aplicativos exigem permissões perigosas, o
A plataforma móvel ou web subjacente apresenta aos usuários diálogos de permissão. Enquanto mais cedo
As versões do Android mostravam aos usuários uma lista de todas as permissões necessárias de um aplicativo em in-
tempo de espera, plataformas móveis e navegadores modernos apresentam diálogos de permissão em tempo de execução.
Uma caixa de diálogo de permissão geralmente é mostrada na primeira vez que um aplicativo solicita acesso ao
recurso de resposta. Os usuários do aplicativo podem, então, conceder ou negar o acesso ao aplicativo
Dependendo do sistema, mais níveis podem ser implementados.

www.cybok.org
para o recurso. Sistemas modernos de controle de acesso baseados em permissão permitem maior flexibilidade
e controle para desenvolvedores e usuários.
(a) Permissões de instalação (b) Permissões de tempo de execução
Figura . : Diálogos de permissão do Firefox
(a) Permissões de instalação que ainda podem ser encontradas (b) Permissões de tempo de execução em aplicativos modernos
em aplicativos legados
Figura . : Diálogos de permissão do Android
Diálogos de permissão: atenção, compreensão e comportamento enquanto permissão dia-

logues teoricamente permitem maior flexibilidade e controle, na prática, eles tendem a ter graves
limitações. Porter Felt et al. descobriram que os desenvolvedores de aplicativos Android tendem a solicitar mais
missões para seus aplicativos do que o necessário [ 8] Portanto, os aplicativos solicitam acesso a mais
recursos do que o estritamente necessário, o que viola o princípio do privilégio mínimo. Da mesma forma para desenvolver
ers, os usuários finais lutam com diálogos de permissão. Porter Felt et al. [ ] descobriram que costumam fazer
não entender corretamente os diálogos de permissão e ignorá-los devido à habituação (cf. o Humano
Fatores área de conhecimento (capítulo ) ).
www.cybok.org
. .6 PKI da Web e HTTPS

A PKI da web e o HTTPS [ 6 , ] protocolo desempenha um papel central no celular moderno e na web
plataformas, ambas baseadas em arquiteturas cliente-servidor. Na web, servidores web ou
aplicativos trocam informações com navegadores. Em plataformas móveis, aplicativos trocam informações
mação com servidores backend (web). Em ambos os casos, HTTPS deve sempre ser usado para segurança
conexões de rede entre clientes e servidores. Para estabelecer conexões de rede seguras,
a infraestrutura de chave pública da web é usada. Usando os certificados PKI e X da web , clientes
e os servidores podem autenticar uns aos outros e trocar material de chave criptográfica para mais
transporte de informações criptografadas. Este KA não fornecerá mais detalhes sobre como a autenticação
processo de autenticação e os procedimentos de troca de chaves funcionam em detalhes (cf. a Segurança da Rede
Área de Conhecimento (Capítulo )). Em vez disso, oferece uma visão geral dos aspectos específicos da web e
plataformas móveis.
HTTPS é o protocolo de rede seguro mais amplamente implantado na web e em dispositivos móveis. Acabou
coloca HTTP em cima do protocolo TLS para fornecer autenticação do servidor e integridade e
confidencialidade para dados em trânsito. Enquanto HTTPS oferece autenticação mútua de servidores e
clientes baseados em certificados X., o uso principal é a autenticação dos acessados
servidor. Semelhante ao TLS , o HTTPS protege o tráfego HTTP contra espionagem e adulteração
evitando ataques man-in-the-middle. Uma vez que HTTPS encapsula o tráfego HTTP , ele protege
URLs , informações de cabeçalho HTTP , incluindo cookies e conteúdo HTTP contra invasores. Como-
nunca, ele não criptografa os endereços IP e números de porta de clientes e servidores. Enquanto
HTTPS pode esconder as informações trocadas por clientes e servidores, ele permite bisbilhoteiros
para aprender os domínios de nível superior dos navegadores de sites que os usuários visitam e para identificar os
servidores de back-end com os quais os aplicativos móveis se comunicam.
Ambos os navegadores da web e aplicativos móveis autenticam servidores HTTPS , verificando X. certi -
certificados assinados por CAs das Autoridades de Certificação. Navegadores e aplicativos móveis vêm com uma lista de
autoridades de certificação pré-instaladas ou contam com uma lista de CAs pré-instaladas no host operacional
sistema. Uma lista de autoridade certificada pré-instalada em navegadores modernos e em dispositivos móveis modernos
plataformas normalmente contém centenas de CAs. Para ser confiável, um certificado de servidor HTTPS
precisa ser assinado por um CA pré-instalado.
Os navegadores modernos apresentam aos usuários uma mensagem de aviso (por exemplo, consulte a Figura . ) quando o
o certificado do servidor não pôde ser validado. As mensagens de aviso destinam-se a indicar um
ataque man-in-the-middle. No entanto, razões comuns para mensagens de aviso são cer-
certificados, certificados que foram emitidos para um nome de host diferente, erros de rede entre os
cliente e servidor e erros no cliente, como relógios mal configurados [ ] Na maioria dos casos,
os usuários do navegador podem clicar em uma mensagem de aviso e visitar um site, mesmo se o servidor
o certificado não pôde ser validado [ ] Os navegadores usam indicadores coloridos no endereço
barra para exibir as informações de segurança de um site. Sites carregados via HTTP, sites
carregado via HTTPS que carrega algum de seu conteúdo (por exemplo, arquivos CSS ou JavaScript) em um HTTP
conexão6 e sites que usam um certificado inválido, mas para os quais o usuário clicou
um aviso é exibido como inseguro. Sites HTTPS com um certificado válido são exibidos
com um indicador de segurança correspondente (por exemplo, consulte a Figura . ) Em contraste, os usuários de celular,
aplicativo sem navegadors não podem verificar facilmente se um aplicativo usa o protocolo HTTPS
tocol com um certificado válido. Sem indicadores de segurança visual semelhantes aos usados em navegadores
Estão disponíveis. Em vez disso, os usuários precisam confiar que os desenvolvedores de aplicativos farão todo o necessário
medidas de segurança para conexões HTTPS .
Consulte a Área de Conhecimento de Segurança de Rede (Capítulo) para obter detalhes sobre o processo de validação.
6 Chamado de conteúdo misto.
www.cybok.org
(a) Mensagem de aviso para certificado inválido no Chrome
(b) Certificado inválido (c) Válido e (d) Certificado de validação estendida
certi confiável -
cate
Figura . : Mensagens de aviso e indicadores de segurança no Chrome.
A partir de então, a maioria dos sites populares oferece suporte a HTTPS, e a maioria das conexões
de clientes para servidores na web e aplicativos móveis usam HTTPS para proteger seus usuários
contra ataques man-in-the-middle. Para aumentar ainda mais a adoção de HTTPS, operação do servidor
tors são encorajados a usar HTTPS para todas as conexões e implantar HTTP Strict Transport Se-
gurança (HSTS) [ 6] Além disso, os usuários do navegador podem instalar extensões e plug-ins para reescrever
URLs HTTP inseguros para URLs HTTPS seguros [ ] se possível, e quadro de aplicativo móvel-
funciona fazer HTTPS o protocolo de rede padrão para conexões HTTP .
O uso de HTTPS protege o conteúdo contra invasores, mas não preserva os metadados
(por exemplo, quais sites um usuário visita). Consulte o Privacy & Online Rights Knowledge
Área (Capítulo ) para obter mais informações, incluindo navegação privada e a rede Tor.
Autoridades de certificação desonestas e transparência de certificados A PKI da web permite que todos
autoridade de certificação raiz confiável para emitir certificados para qualquer domínio. Embora isso permita o site
operadores escolham livremente uma CA para o seu site, no passado, algumas CAs emitiram ações fraudulentas
certificados para fins maliciosos. Um dos exemplos mais proeminentes é a DigiNotar CA ,
Em que [ 8] emitiu certificados fraudulentos para vários sites, incluindo o Gmail do Google
serviço. Ninguém foi acusado pelo ataque. No entanto, a DigiNotar faliu. Cer-
transparência de ti cate [ ] foi introduzido para combater a emissão fraudulenta de certificados. Certificado
a transparência fornece uma estrutura de dados à prova de violação e monitora todos os programas de emissão de certificados
cesses de CAs participantes. Embora não possa evitar a emissão fraudulenta de certificados, melhora
as chances de detecção. Os clientes podem verificar o funcionamento correto da transparência do certificado
provedores e só devem se conectar a sites que usam certificados X. que incluem um
carimbo de data / hora do certificado. A transparência do certificado é apoiada pela maioria das principais autoridades certificadoras
e fornecedores de navegadores.
www.cybok.org
.. Autenticação
A autenticação na web e em plataformas móveis é um importante mecanismo de segurança
assinado para permitir que usuários humanos afirmem sua identidade para aplicativos da web, dispositivos móveis ou
aplicativos móveis. A autenticação anda de mãos dadas com a autorização que descreve as especificações
i cação de privilégios de acesso a recursos. Os privilégios de acesso especificados são usados posteriormente
para conceder ou negar acesso a recursos para usuários autenticados. Esta seção não dará um de-
visão geral adaptada dos conceitos de autenticação e autorização (cf. Autenticação, Autori-
Área de Conhecimento (Capítulo ) de avaliação e responsabilidade (AAA ), mas se concentrará na autenticação
mecanismos e tecnologias relevantes para plataformas web e móveis.
. . . Autenticação HTTP
Figura . : Troca de autenticação HTTP básica.
No contexto HTTP , autenticação geralmente se refere ao conceito de verificação de identidade

de um cliente para um servidor, por exemplo, exigindo que o cliente forneça alguns segredos pré-estabelecidos
como nome de usuário e senha com uma solicitação. Esta seção destaca dois amplamente usados
métodos de autenticação na web, autenticação HTTP básica e os mais usados
HTTP Form-base HTTP autenticação .
Autenticação HTTP básica [8 ] é um mecanismo cujos resultados são usados para fazer cumprir
controle de acesso aos recursos. Ele não depende de identificadores de sessão ou dados de cookies. Nem faz
o esquema de autenticação HTTP básico requer a configuração de páginas de login dedicadas, pois todos
os principais navegadores fornecem um formulário de login integrado. Um servidor pode acionar esta autenticação
opção enviando um cabeçalho de resposta contendo o status “HTTP 401 Unauthorized”
tus code e um campo “WWW-Authenticate: Basic”. Credenciais inseridas neste formulário
pelo cliente são combinados com um “:” (“Nome de usuário: Senha”), codificado em Base6 para trânsito
(“VXNlcm5hbWU6UGFzc3dvcmQK”) e adicionado como cabeçalho de autorização para a próxima solicitação
(“Autorização: Basic VXNlcm5hbWU6UGFzc3dvcmQK”). Um exemplo de troca seja-
entre o servidor e o cliente é mostrado na Figura . . O esquema de autenticação básico não é se-
cura, pois as credenciais são transmitidas após uma codificação Base6 simples, o que é trivial para
marcha ré. Assim, as credenciais de login são transmitidas em texto simples pela rede, o que al-
permite que invasores ou observadores de rede roubem facilmente as credenciais. Portanto, HTTP básico
a autenticação não deve ser usada sem aprimoramentos adicionais que garantem o sigilo
tialidade e integridade, como HTTPS.
Autenticação HTTP baseada em formulário em que os sites usam um formulário para coletar credenciais de login
é uma forma de autenticação amplamente prevalente em aplicativos modernos da web e móveis. Por esta
www.cybok.org
esquema, um cliente não autenticado tentando acessar conteúdo restrito vê um HTML-

formulário da web baseado em que solicita suas credenciais. O cliente, então, envia o cre-
dentials para o servidor (por exemplo, em uma solicitação POST). O servidor valida os dados do formulário e au-
autentica o cliente na validação bem-sucedida. Semelhante à autenticação básica, baseada em formulário
a autenticação expõe as credenciais do usuário em texto simples, se não protegida por HTTPS.
. . . Autenticação de dispositivo móvel
Os dispositivos móveis implantam uma variedade de mecanismos de autenticação para desbloquear dispositivos, conceder aos usuários
acessar e proteger seus dados de acesso ilegítimo. Os mecanismos mais comuns para
autenticação de dispositivo móvel são senhas, PINs, padrões e recursos biométricos.
Os usuários podem usar senhas alfanuméricas comuns, incluindo caracteres especiais. Contudo,
uma vez que a autenticação do dispositivo móvel é uma tarefa frequente [ 8 ], muitos usuários tendem a desbloquear seus
dispositivo móvel usando PINs numéricos. Dispositivos Android também suportam padrões de desbloqueio (ver Fig-
ure .6) Em vez de escolher uma senha ou PIN, os usuários podem escolher um padrão de desbloqueio de um
grade x.
Dispositivos móveis modernos permitem que os usuários se autentiquem usando recursos biométricos, incluindo n-
gerprint e reconhecimento facial. Esses recursos de autenticação dependem do prim de segurança de hardware
itivas, como o TrustZone da ARM (cf. a área de conhecimento de fatores humanos (Capítulo 8)).
(a) PIN (b) Padrão (c) Senha (d) Impressão digital em (e) Reconhecimento facial
ditador Indicador de ção
Figura .6: desbloqueio de dispositivo Android
Padrões de desbloqueio do Android semelhantes a senhas (consulte a seção . .) padrões de desbloqueio do dispositivo
sofrem de múltiplas fraquezas. Uellenbeck et al. [8 ] conduziu um estudo para investigar os usuários '
escolhas de × padrões de desbloqueio. Eles encontraram evidências empíricas de que os usuários tendem a escolher preconceituosos
padrões, por exemplo, os usuários normalmente começam no canto superior esquerdo e selecionam uma reta longa de três pontos
linhas. Portanto, semelhante a senhas regulares (cf. Área de Conhecimento de Fatores Humanos (Capítulo ) ), o
a entropia dos padrões de desbloqueio é bastante baixa. Além de os usuários escolherem padrões de desbloqueio fracos, o
mecanismo é vulnerável a ataques de ombro (consulte a Seção .) Como contramedida,
De Luca et al. [8 ] propõe o uso da parte traseira de um dispositivo para autenticar usuários.
www.cybok.org
. 0,8 Biscoitos
Os servidores da Web podem associar informações com estado a clientes específicos usando HTTP cook-
s [ 8 ] Informações de cookies (por exemplo, IDs de itens adicionados ao carrinho de compras em uma loja online)
é armazenado pelo cliente. Os cookies permitem que clientes e servidores incluam suas identidades de sessão únicas
em cada solicitação-resposta HTTP , evitando a necessidade de autenticação repetida. Sessão
os cookies expiram quando a sessão é fechada (por exemplo, quando o cliente fecha o navegador), mas persistem
os cookies de barraca só expiram após um determinado período de tempo.
A autenticação baseada em cookies permite que os clientes restabeleçam as sessões toda vez que enviam
missões para o servidor com um cookie válido. O gerenciamento de sessão baseado em cookies é vulnerável
ao sequestro de identificadores de sessão [ 8 ] Os sequestradores que publicam cookies de sessão válidos podem
conectar-se ao servidor atacado com os privilégios da vítima autenticada.
Os cookies também podem ser usados para rastrear usuários em várias sessões de provedores. Isso seja-
o comportamento geralmente está colocando em risco a privacidade do usuário (cf. a Adversarial Behaviors Knowledge Area
(Capítulo ) e a Área de Conhecimento de Direitos Online e Privacidade (Capítulo)).
.. Senhas e alternativas
As senhas são o mecanismo mais amplamente implantado para permitir que os usuários se autentiquem em sites
e aplicativos móveis e proteger suas informações confidenciais contra acesso ilegítimo
conectados. Eles são o método dominante para autenticação de usuário devido ao seu baixo custo, capacidade de implantação
facilidade, comodidade e boa usabilidade. No entanto, o uso de senhas para a maioria das contas online
prejudica a segurança da conta [ ] Uma vez que os humanos tendem a se esforçar para memorizar muitos
senhas complicadas, eles geralmente escolhem senhas fracas e reutilizam a mesma senha
para várias contas. As senhas fracas podem ser facilmente adivinhadas por invasores da Internet ou online.
As senhas reutilizadas amplificam a gravidade de todos os ataques de senha. Um comprometido online
conta resulta em todas as outras contas protegidas com a mesma senha como vulneráveis. Enquanto
no passado, as diretrizes de senha frequentemente recomendavam o uso de senhas complexas,
as diretrizes de aluguel afirmam que exigir senhas complexas na verdade enfraquece a segurança da senha
e desaconselhar políticas que incluam complexidade de senha [ 8 , 86] Esses aspectos
são discutidos mais detalhadamente na Área de Conhecimento de Fatores Humanos (Capítulo ) .
Os provedores de serviços online implantam várias contramedidas para resolver problemas de segurança com
senhas fracas e reutilização de senhas:
www.cybok.org
. . . Políticas de senha
As políticas de senha são conjuntos de regras para incentivar os usuários a escolherem senhas mais fortes. Algum
as políticas de senha também tratam do problema de memorização. Para oferecer suporte a senhas mais fortes,
a maioria das regras aborda o comprimento e composição da senha, listas negras e o período de validade de um
senha [ 8 , 88]
. . . Medidores de força de senha
Medidores de força da senha (PSMs) buscam o mesmo objetivo das políticas de senha e têm como objetivo
coragem na escolha de senhas mais fortes. PSMs normalmente fornecem feedback visual ou atribuem
pontuação de senhas para expressar a força da senha (consulte a Figura .) [ 8]
Figura . : Um medidor de força da senha
No entanto, abordando senhas fracas e reutilização de senha através da implantação de políticas restritivas
cies ou PSMs tem apenas um efeito limitado na segurança geral da senha [ ] Conseqüentemente, serviço
os provedores podem usar extensões para senhas simples para aumentar a segurança da autenticação.
. . . Gerenciadores de senha
Os gerenciadores de senha podem ajudar os usuários a gerar, armazenar e recuperar senhas fortes. Forte
as senhas são geradas e armazenadas usando geradores de números aleatórios seguros e
criptografia. Eles vêm como aplicativos instaláveis localmente, serviços online ou hardware local
dispositivos. Embora possam ajudar os usuários a usar senhas mais diversificadas e fortes, seu efeito
sobre a segurança geral de senha é limitada devido a problemas de usabilidade [ ] Para um mais detalhado
discussão, consulte a Área de Conhecimento de Fatores Humanos (Capítulo ) .
. . . Autenticação multifator
Em vez de exigir apenas um fator (por exemplo, uma senha), sistemas de autenticação multifator
exigem que os usuários apresentem vários fatores durante o processo de autenticação [ ] Local na rede Internet
as senhas são frequentemente complementadas com um segundo fator para autenticação de dois fatores ( FA)
Mais comumente, o segundo fator normalmente faz uso de um dispositivo móvel. Então, além de um
senha, os usuários precisam ter seu dispositivo em mãos para receber um token único para autenticação
com sucesso. A Diretiva Europeia de Serviços de Pagamento (PSD ) requer FA para todos online
serviços de pagamento em ambientes web e móveis (cf. Autenticação, Autorização e
Área de Conhecimento (Capítulo ) de Responsabilidade (AAA ).

www.cybok.org
. . . WebAuthn
The WebAuthn (Autenticação da Web) [ ] padrão da web é um componente central do FIDO

projeto (cf. a Área de Conhecimento de Autenticação, Autorização e Responsabilidade (AAA) (Cap-
ter )) e tem como objetivo fornecer uma interface padronizada para autenticação de usuário com base na web
aplicativos usando criptografia de chave pública. O WebAuthn é compatível com a maioria da web moderna
navegadores e sistemas operacionais móveis. Ele pode ser usado em um fator único ou multifatorial.
modo de autenticação. No modo de autenticação multifator, PINs, senhas, padrões de deslize ou
biometria são suportados.
. . .6 OAuth
Embora não seja um mecanismo de autenticação em si (cf. Autenticação, Autorização e Ac-

Contabilidade (AAA) Área de Conhecimento (Capítulo )) , Autorização Aberta (OAuth) [ ] pode ser
usado para autenticação amigável e autorização para usuários na web de terceiros
formulários. OAuth usa tokens seguros em vez de exigir que os usuários forneçam credenciais de login
como nomes de usuário e senhas. Em nome de seus usuários, os provedores de serviços OAuth fornecem
tokens de acesso que autorizam informações específicas da conta a serem compartilhadas com aplicativos de terceiros
plicações. Sucessores mais recentes do protocolo OAuth, incluindo OAuth [86] ou OpenID
Conecte-se [ ] apoiam federações (cf. a autenticação, autorização e responsabilidade
(AAA) Área de Conhecimento (Capítulo )). Grandes fornecedores de serviços online, como Google ou
O Facebook pode atuar como provedores de identidade para autenticar usuários, ajudando-os a reduzir
o número de credenciais de login e contas. Embora esses protocolos tenham como objetivo fornecer
segurança, a implementação correta e segura de tais protocolos complexos mostrou ser
sujeito a erros e pode permitir que usuários mal-intencionados executem ataques de falsificação de identidade
6] [
.. Atualizações de software frequentes

As atualizações frequentes de software são uma medida de segurança fundamental e particularmente crucial para
plataformas web e móveis. Esta seção discute os diferentes componentes da web e
ecossistemas móveis que requerem atualizações regulares, as diferentes estratégias de atualização e seus
prós e contras. Tradicionalmente, as atualizações do navegador e do dispositivo móvel exigiam que seus usuários
pare as atualizações manualmente sempre que novas versões estiverem disponíveis. Os usuários precisavam ficar de olho
atualizações de software e eram responsáveis por baixar e instalar novos lançamentos. Esta
abordagem estava sujeita a erros e resultou em muitos softwares desatualizados e inseguros implantados
componentes.
A maioria dos componentes críticos nas plataformas modernas e móveis da web têm um lançamento curto
ciclos. Navegadores da web, incluindo Google Chrome e Mozilla Firefox, implementam atualização automática
recursos e frequentemente envia novas versões e patches de segurança para seus usuários.
As plataformas móveis também fornecem atualizações automáticas de aplicativos para aplicativos de terceiros. Enquanto isso
abordagem geralmente resulta em atualizações mais rápidas e na distribuição oportuna de patches de segurança,
atualizações automáticas de aplicativos móveis só são habilitadas por padrão para dispositivos conectados a
Wi-fi. Dispositivos conectados a uma rede celular (por exemplo, G / G) não se beneficiam de ap-
atualizações de plicação por padrão. Este comportamento de atualização garante que a maioria dos aplicativos de terceiros
datas são instaladas em dispositivos móveis dentro de uma semana [ ] Aplicativo automático de terceiros
as atualizações funcionam bem em dispositivos móveis. Comportamento de atualização do sistema operacional móvel fortemente de-
pends na plataforma. Em particular, muitos dispositivos Android que não são do Google sofrem de desatualização
e versões inseguras do sistema operacional.
De modo geral, as plataformas móveis e da web modernas reconheceram as desvantagens de dispositivos não automáticos
www.cybok.org
atualizações de software e agora fornece plataforma automática ou semiautomática ou atualização de aplicativo

datas na maioria dos casos.
Bibliotecas de terceiros desatualizadas Embora as atualizações frequentes de software sejam cruciais em geral,
datas de bibliotecas de terceiros é uma medida de segurança particularmente importante para desenvolvedores de software
que precisam corrigir seu próprio código e distribuir atualizações, enquanto também rastreiam vulnerabilidades em li-
braries que eles usam e atualizando-os para melhor segurança. Derr et al. [ 8] realizou uma medição
estudo de frequências de atualização de bibliotecas de terceiros em aplicativos Android e descobri que um signi cativo
número de desenvolvedores usam bibliotecas desatualizadas, expondo seus usuários a problemas de segurança no local afetado
bibliotecas de terceiros. Lauinger et al. [ ] conduziu um estudo semelhante para bibliotecas JavaScript na web
aplicativos e também encontrou muitos sites que incluem bibliotecas desatualizadas e vulneráveis.
. VULNERABILIDADES E MITIGAÇÕES DO LADO DO CLIENTE
[ , , , , , , 6, , 8, , , , ]
Esta seção cobre ataques e suas contramedidas com foco no cliente. Discute
problemas em navegadores da web modernos e dispositivos móveis. Os problemas de segurança ilustrados
aspectos leves que têm dominado as discussões sobre segurança nos últimos anos. Nós nos concentramos em ataques
que exploram as fraquezas na interação entre usuários e navegadores da web e aplicativos móveis.
Em seguida, discutimos os desafios resultantes da tendência de armazenar cada vez mais informações
no cliente em vez do servidor. Por fim, discutimos ataques físicos que não se concentram em
explorar software ou vulnerabilidades humanas, mas explorar pontos fracos em dispositivos móveis.
.. Phishing e clickjacking
Esta seção apresenta dois problemas prevalentes que exploram os pontos fracos da interface do usuário de ambos
clientes da web e móveis. Phishing e clickjacking dependem de problemas que os humanos enfrentam de maneira adequada
verificar URLs e o conteúdo dinâmico de documentos HTML renderizados .
. . . Phishing
Ataques de phishing são ataques fraudulentos que visam roubar informações confidenciais, incluindo login
credenciais e números de cartão de crédito das vítimas [ ] Tipos comuns de ataques de phishing
usar e-mail, sites ou dispositivos móveis para enganar as vítimas. Os atacantes se disfarçam como
partes confiáveis e enviar e-mails falsos, mostrar sites falsos ou enviar SMS falsos ou instantâneos
mensagens. Sites falsos podem parecer autênticos. Os invasores podem usar o login roubado com sucesso
credenciais ou números de cartão de crédito para se fazer passar por vítimas e acessar contas online importantes
contagens. Ataques de phishing bem-sucedidos podem resultar em roubo de identidade ou perda de dinheiro.
Os invasores costumam forjar sites que parecem legítimos para enganar os usuários, fazendo-os acreditar que
estão interagindo com o site genuíno. Para iniciar um ataque de phishing, os invasores plantam manip-
links ulados nos usuários por meio de e-mail, site ou qualquer outra forma de comunicação eletrônica. O ma-
link nipulado leva a um site forjado que parece pertencer à organização genuína
por trás do site em questão. Os invasores costumam falsificar mídias sociais e bancos on-line
ou sites de provedores de pagamento eletrônico. Eles enganam as vítimas para que sigam links manipulados
usando URLs com erros ortográficos, subdomínios ou ataques homográficos.
www.cybok.org
Exemplo: URL de phishing No seguinte exemplo de URL:

https://paymentorganization.secure.server.com,
parece que o URL aponta para a seção secure.server do site paymentorganization. Como-
nunca, na verdade, o link leva à seção paymentorganization.secure do site server.com.
Para fazer sites forjados parecerem ainda mais autênticos, alguns phishers alteram o endereço de um navegador
substituindo a barra de endereço original por uma imagem do URL legítimo ou substituindo
a barra de endereço original com uma nova. Ataques de manipulação da barra de endereço requerem o uso de
Comandos JavaScript. Além disso, os phishers aproveitam o nome de domínio internacionalizado (IDN)
ataques homográficos [ ] Esses ataques exploram que os usuários não conseguem distinguir facilmente diferentes
codificações de caracteres. Por exemplo, as letras "l" e "I" (maiúscula i) são difíceis de distinguir, e
substituindo os caracteres latinos "a" pelo caractere cirílico "a" no URL https://paypal.com,
os usuários podem ser redirecionados de forma enganosa para um site do PayPal com phishing. ] Ataques
[ que envolvem
URLs manipulados e barras de endereço são ainda mais difíceis de detectar em navegadores móveis, uma vez que o
a barra de endereços não é visível durante a navegação normal. O phishing de sites é um dos mais frequentes
ataques frequentes. A maioria dos usuários humanos acha difícil localizar URLs e sites de phishing [ ]
Portanto, as contra-medidas comuns são o treinamento anti-phishing e a campanha de conscientização pública

paigns [ ] que tentam sensibilizar os usuários e ensiná-los a identificar URLs de phishing. Moderno
navegadores implementam medidas técnicas de segurança, incluindo listas negras e indicadores visuais que
destacar o domínio de nível superior de um URL, por exemplo, o Google Chrome mostra URLs usando uma codificação
que expõe personagens enganosos em ataques de IDN .
Ataques drive-by-download Ataques drive-by-download acontecem quando os usuários visitam um site,

clique em um link ou anexo em um e-mail de phishing ou em uma janela pop-up maliciosa. Enquanto
sendo um problema geral na web, o drive-by-downloads desempenha um papel particular nos ataques de phishing.
Em vez de visitar um site benigno, os ataques drive-by-download baixam e instalam malware
(cf. a Área de Conhecimento de Tecnologia de Malware e Ataque (Capítulo 6)) no computador de um usuário. Ataque-
os usuários precisam imprimir os clientes vítimas e explorar os componentes de software vulneráveis nos
computador para plantar o malware. A detecção de tais ataques é uma área de pesquisa ativa e inclui
abordagens como anomalia ou detecção de malware baseada em assinatura [8 ]
. . . Clickjacking
Em um ataque de clickjacking, os invasores manipulam a aparência visual de um site para enganar os usuários
clicar em um link, botão ou imagem falsa. Clickjacking também é conhecido como interface do usuário
ataque de reparação e pertence à classe de ataques de deputados confusos [ ] Atacantes enganam seus
vítimas usando camadas transparentes ou opacas sobre sites originais. Enquanto as vítimas acreditam que eles
clicou no elemento de sobreposição, o elemento do site original foi clicado. Os atacantes podem
assim, fazer suas vítimas desencadearem ações arbitrárias no site original. O site de ataque
usa um iFrame para carregar o site de destino e pode fazer uso do posicionamento absoluto
recursos de iFrames para alinhamento visual correto. Assim, é difícil para as vítimas detectar o
elementos de ataque no site original. Ataques clickjacking são particularmente perigosos
quando as vítimas já se conectaram a uma conta online e visitaram as configurações da conta
local na rede Internet. Nesses casos, um invasor pode induzir a vítima a executar ações em um local confiável
site quando a vítima já está conectada. Um dos ataques de clickjacking mais proeminentes atingiu
a página de configurações do plugin Adobe Flash [ ] Os invasores usaram iFrames invisíveis para enganar seus
cf. https://www.chromium.org/developers/design-documents/idn-in-google-chrome
www.cybok.org
vítimas para alterar as configurações de segurança do plugin e permitir que os invasores acessem
o microfone e a câmera das máquinas de suas vítimas.
Os ataques de clickjacking podem ser usados para lançar outros ataques contra sites e seus
usuários, incluindo Cross-Site Request Forgery e ataques Cross-Site Scripting (consulte a Seção
ção . .) [ ]
Um ataque de clickjacking não é um erro de programação, mas um problema conceitual com JavaScript.
Portanto, a detecção e a prevenção não são triviais. Detecção e prevenção de ataques de clickjacking
pode ser feito tanto do lado do servidor quanto do lado do cliente. Os usuários de navegadores da Web podem desabilitar o JavaScript e
iFrames para evitar ataques de clickjacking. No entanto, uma vez que isso quebraria muitos
sites, diferentes plug-ins de navegador (por exemplo, NoScript [ ]) permitir a execução controlada de
Scripts JavaScript em nome do usuário. Para conter o impacto dos ataques de clickjacking,
os usuários devem sair de contas online ao sair de um site, embora isso possa ser im-
prático. Para evitar ataques de clickjacking no lado do servidor, os desenvolvedores de sites precisam
para se certificar de que um site não pode ser enquadrado, ou seja, um site não carrega se estiver dentro de um
iFrame. Os sites podem incluir código JavaScript para detectar se um site foi colocado em
um iframe e sair do iframe. Essa técnica de defesa é chamada de FrameBusting [ 6]
No entanto, como os usuários podem ter desativado o JavaScript, esse método não é confiável. O rec-
O mecanismo de defesa recomendado do lado do servidor é definir um cabeçalho de resposta HTTP adequado . O
O cabeçalho X-FRAME-OPTIONS pode ser definido como DENY, o que impedirá que um site seja carregado
dentro de um iframe.
Ataques de clickjacking afetam navegadores de desktop e móveis.
Phishing e clickjacking em dispositivos móveis Phishing e clickjacking não se limitam a

navegadores e a web. Os usuários de aplicativos móveis são suscetíveis a ambos os ataques. Aonzo et al. [ ]
descobrir que é possível enganar os usuários em um ataque de phishing ponta a ponta que permite que os invasores ganhem
controle total da IU abusando do recurso Instant App do Android e gerenciadores de senha para roubar a criação de login
dentials. Fratantonio et al. [ 6] descreve o ataque Cloak & Dagger que permite um aplicativo malicioso
plicação com apenas duas permissões (consulte a Seção ..) para assumir o controle de todo o loop da IU . O
O ataque permite clickjacking avançado, keylogging, shing furtivo e desbloqueio silencioso do telefone.
.. Armazenamento do lado do cliente

O armazenamento do lado do cliente refere-se a áreas que um navegador ou sistema operacional fornece aos sites
ou aplicativos móveis para ler e escrever informações. O armazenamento é local para o cliente e
não requer recursos do lado do servidor ou uma conexão ativa com a Internet. Ao mesmo tempo, mali-
usuários ciosos podem manipular as informações armazenadas. Portanto, as áreas de armazenamento do lado do cliente precisam ser
protegido de acesso malicioso. Esta seção descreve áreas comuns de armazenamento do lado do cliente
e seus mecanismos de proteção.

www.cybok.org
. . . Armazenamento do lado do cliente no navegador
Historicamente, o armazenamento do navegador do lado do cliente era usado apenas para armazenar informações de cookies (consulte a Seção
ção . 0,8) No entanto, devido ao seu design simples e capacidade limitada, os cookies não podem ser usados
para armazenar grandes ou complexas quantidades de informações. Com o surgimento do HTML, mais poderoso e
existem alternativas ricas em recursos para armazenamento do lado do cliente no navegador. Isso inclui WebStor-
era [ ], que é semelhante a cookies e armazena pares de valores-chave e IndexedDB [ 8], que
serve como um banco de dados no estilo dos bancos de dados noSQL e pode ser usado para armazenar documentos,
outros arquivos e blobs binários.
Como mencionado, o principal problema de segurança com os mecanismos de armazenamento do lado do cliente é que o malware
usuários ciosos podem manipulá-los. Para garantir a integridade de informações confidenciais (por exemplo, ses-
informações de segurança), os desenvolvedores são aconselhados a assinar criptograficamente os dados armazenados no
cliente e verifique-o na recuperação.
Além da integridade das informações, um segundo aspecto importante do WebStorage e IndexedDB

armazenamento é que as informações armazenadas não são apagadas automaticamente depois que os usuários saem de um site. Para
armazenar informações de forma semelhante a uma sessão, os desenvolvedores de aplicativos da web são aconselhados a confiar em
o objeto sessionStorage da API WebStorage [ ]
. . . Armazenamento do lado do cliente em aplicativos móveis
Em aplicativos móveis, lidar com a segurança de armazenamento do lado do cliente também depende do tipo de informação
mecanismo de mação e armazenamento, por exemplo, armazenamento privado de um aplicativo ou armazenamento público, tal
como um cartão SD . Mais importante ainda, os dados devem ser assinados e verificados digitalmente (cf. o Cryptog-
Raphy Área de Conhecimento (Capítulo )) para fins de armazenamento de navegador e cliente móvel.
Recomenda-se que os desenvolvedores assinem e criptografem informações confidenciais e apliquem as
higienização de entrada do usuário. Isso é particularmente relevante para armazenamento compartilhado, como SD-cartões que
não use mecanismos de controle de acesso seguro. Em vez disso, o mecanismo de administração de acesso adequado
anismos são fornecidos para áreas de armazenamento que são privadas para um aplicativo.
Vazamentos de informações confidenciais em aplicativos Android Enck et al. [ ] investigou o se-

curiosidade de, aplicativos Android populares. Entre outras coisas, eles descobriram que um signi cativo
número de aplicativos que vazaram informações confidenciais do usuário para locais de armazenamento publicamente legíveis, como
arquivos de log e o cartão SD . Reardon et al. [ ] descobriu que algumas informações confidenciais vazam
são feitos intencionalmente para passar informações confidenciais para outro aplicativo colaborativo e malicioso.
www.cybok.org
.. Ataques Físicos
Em vez de atacar o código de aplicativos móveis ou da web, os ataques físicos visam explorar bugs
e pontos fracos que resultam do uso de um dispositivo. Nós nos concentramos em dois exemplos representativos
abaixo de.
. . . Ataques de manchas
Em um ataque de mancha, um invasor tenta aprender senhas, PINs ou padrões de desbloqueio inseridos em um
dispositivo touchscreen. O principal problema em inserir informações confidenciais de desbloqueio por meio de um
touchscreen são as manchas oleosas que os dedos dos usuários deixam ao desbloquear um dispositivo. Nós-
com câmeras e software de processamento de imagem baratos, um invasor pode recuperar a graxa
rastreia e infere padrões de desbloqueio, senhas e PINs [ ] Para realizar um ataque de borrão, um
o invasor precisa de uma visão clara da tela de destino.
. . . Shoulder Sur ng
O ombro sur ng é um ataque físico em que um invasor tenta obter informações confidenciais
como senhas, PINs, padrões de desbloqueio ou números de cartão de crédito [ ] Para surfar no ombro
Durante o ataque, o invasor precisa ter uma visão clara da tela do alvo. O invasor pode montar um
ombro sur ng ataque diretamente olhando por cima do ombro da vítima ou de um
alcance usando ferramentas dedicadas, como câmeras ou telescópios. Ataques de ombro são
particularmente perigoso para usuários de dispositivos móveis durante a autenticação no dispositivo ou online
serviços em espaços públicos, como trens, ferrovias e aeroportos.
. VULNERABILIDADES E MITIGAÇÕES DO LADO DO SERVIDOR
[ 8, , , , , , , , 6, ]
Esta seção discute a segurança do lado do servidor. Ele fornece detalhes para aspectos comuns do servidor
segurança, incluindo vulnerabilidades e mitigações bem conhecidas. A seção discute a raiz
causas, ilustra exemplos e explica atenuações. Os aspectos discutidos abaixo são centrais
tral para a web e ambientes móveis e dominou muitas das discussões sobre segurança
nesta área no passado.
.. Vulnerabilidades de injeção
Ataques de injeção ocorrem sempre que os aplicativos sofrem de validação insuficiente de entrada do usuário
para que os invasores possam inserir código no fluxo de controle do aplicativo (cf. o Software
Área de Conhecimento de Segurança (Capítulo )). Vulnerabilidades de injeção prevalentes para web e mo-
aplicativos de bile são injeções de SQL e Shell [ ] Devido à higienização inadequada do usuário
entrada, as solicitações para um banco de dados ou comandos do shell podem ser manipulados por um invasor. Tal
ataques podem vazar ou modificar informações armazenadas no banco de dados ou emitir comandos em um sistema
tem de maneiras que os desenvolvedores ou operadores não pretendiam. O principal objetivo dos ataques de injeção
é contornar a autenticação e expor informações confidenciais, como credenciais de login,
informações de identificação pessoal ou propriedade intelectual valiosa de empresas.
As vulnerabilidades de injeção podem ser tratadas com a higienização adequada das informações controladas pelo invasor
mação e implantação de políticas de controle de acesso adequadas. O objetivo da higienização de insumos é filtrar
www.cybok.org
entrada inválida e perigosa. Além disso, políticas rígidas de controle de acesso podem ser implementadas
para evitar que o código injetado acesse ou manipule informações [ 8]
. . . Injeção SQL
SQL-Ataques de injeção referem-se a injeções de código em consultas de banco de dados emitidas para relacional
bancos de dados usando a Structured Query Language (SQL) Muitos aplicativos da web e móveis
permitem que os usuários insiram informações por meio de formulários ou parâmetros de URL . A injeção de SQL ocorre se
essa entrada do usuário não é filtrada corretamente para caracteres de escape e, em seguida, usada para construir SQL
afirmações. Permitir que invasores modifiquem as instruções SQL pode resultar em acesso malicioso ou
manipulação das informações armazenadas no banco de dados.
Exemplo: ataque de injeção de SQL A declaração abaixo ilustra a vulnerabilidade.
vuln_statement = "'SELECIONE * DOS cartões de crédito ONDE número ='" +

user_input + "; '"
A intenção do extrato é recuperar as informações do cartão de crédito para uma determinada entrada do usuário. A
exemplo para uma entrada esperada 123456789.
No entanto, a declaração acima permite valores maliciosos para a variável user_input. Um atacante
pode fornecer 'OR' 1 '=' 1 como entrada que renderizaria a seguinte instrução SQL :
vuln_statement = "'SELECIONE * DOS cartões de crédito WHERE número =' '

OR '' = ''; "
Em vez de recuperar informações detalhadas do cartão de crédito apenas para um número de cartão de crédito específico, o
extrato recupera informações de todos os cartões de crédito armazenados na tabela do banco de dados. Uma teia potencial
aplicativo com a vulnerabilidade de injeção de SQL acima pode vazar informações confidenciais de cartão de crédito
para todos os usuários do aplicativo.
As consequências da vulnerabilidade de injeção de SQL acima podem ser diretamente visíveis para o
atacante se todos os detalhes do cartão de crédito estiverem listados em uma página de resultados. No entanto, o impacto de um SQL
a injeção também pode ser escondida e não visível para o invasor.
injeções cegas de SQL [ ], não exibem os resultados da vulnerabilidade diretamente para o at-
tacker (por exemplo, porque os resultados não estão listados em um site). No entanto, o impacto de um
ataque pode ainda ser visível através da observação de informações como parte de uma resposta verdadeiro-falso
patrocinador do banco de dados. Os invasores podem ser capazes de determinar a resposta verdadeiro-falso
com base na resposta do aplicativo da web e na forma como o site é exibido.
segunda ordem Em contraste com os tipos anteriores de ataques de injeção de SQL , os ataques de segunda ordem
ocorre sempre que a entrada enviada pelo usuário é armazenada no banco de dados para uso posterior. Outras Partes
do aplicativo, então, dependem da entrada do usuário armazenada sem escapar ou filtrar apropriadamente
erly.
Uma maneira de atenuar os ataques de injeção de SQL é com o uso de instruções preparadas [ , ]
Em vez de incorporar a entrada do usuário em instruções SQL brutas (veja acima), instruções preparadas
use variáveis de espaço reservado 8 para processar a entrada do usuário. Variáveis de espaço reservado são limitadas ao armazenamento
valores de um determinado tipo e proíbem a entrada de fragmentos de código SQL arbitrários . Injeções de SQL
ataques resultariam em valores de parâmetro inválidos na maioria dos casos e não funcionariam como pretendido
por um invasor. Além disso, as instruções preparadas são suportadas por muitos desenvolvedores de aplicativos da web
estruturas operacionais no nível de codificação usando Mapeamento Objeto Relacional (ORM) interfaces.
8 Também chamadas de variáveis de vinculação.
www.cybok.org
ORMs não exigem que os desenvolvedores escrevam consultas SQL , mas geram banco de dados
declarações do código. Embora as declarações preparadas sejam um mecanismo de mitigação eficaz, um
outra maneira simples é escapar caracteres na entrada do usuário que têm um meio especial
em instruções SQL . No entanto, essa abordagem é propensa a erros e muitos aplicativos que
aplicar alguma forma de escape de SQL ainda são vulneráveis a ataques de injeção de SQL . As razões
pois os erros geralmente são listas incompletas de caracteres que requerem escape. Quando escap-
for usado, os desenvolvedores devem confiar nas funções fornecidas pelo desenvolvimento de aplicativos da web
frameworks (por exemplo, a função mysqli_real_escape_string () em PHP) em vez de im-
complementando sua própria funcionalidade de escape.
. . . Injeções de Comando
Este tipo de ataque de injeção afeta aplicativos vulneráveis que podem ser explorados para execução
comandos arbitrários no sistema operacional host de um aplicativo da web [ 8] Semelhante ao SQL
ataques de injeção, injeções de comando são principalmente possíveis devido à validação insuficiente de entrada do usuário
data. Os comandos vulneráveis geralmente são executados com os mesmos privilégios do aplicativo host.
Um exemplo de ataque de injeção de comando é um aplicativo da web que converte

imagens usando um programa de linha de comando de imagem vulnerável. Fornecer entrada maliciosa (por exemplo, um
nome de arquivo ou um gráfico de suporte especialmente criado que inclui código malicioso) pode permitir
atacantes para explorar a validação de entrada insuficiente e estender o comando original ou executar ad-
comandos do sistema tradicional.
Uma atenuação para ataques de injeção de comando é construir as strings de comando, incluindo todos
parâmetros de uma forma segura que não permite que os invasores explorem a entrada de string maliciosa. Em anúncio-
dição para validação de entrada adequada devido ao escape, seguindo o princípio do menor privilégio e
restringir os privilégios dos comandos do sistema e do aplicativo de chamada é recomendado.
O número de comandos do sistema que podem ser chamados deve ser limitado pelo uso de literais de string.
de strings brutas fornecidas pelo usuário. A fim de aumentar ainda mais a segurança, revisões regulares de código são rec-
recomendado, e bancos de dados de vulnerabilidade (por exemplo, o CVE [ ] banco de dados) deve ser monitorado
para novas vulnerabilidades. Finalmente, se possível, a execução de comandos do sistema deve ser evitada
completamente. Em vez disso, o uso de chamadas de API na respectiva estrutura de desenvolvimento é recomendado
consertado.
. . . Arquivos enviados pelo usuário
Os arquivos fornecidos pelos usuários, como imagens ou PDFs, devem ser manuseados com cuidado. Arquivos maliciosos
acionar a execução de comando indesejado no sistema operacional host do servidor, sobrecarregar
o sistema host, acionar ataques do lado do cliente ou desfigurar aplicativos vulneráveis [ ]
Exemplo: Rede Social Online Um exemplo de aplicação poderia ser uma rede social online
que permite aos usuários fazer upload de sua imagem de avatar. Sem técnicas adequadas de mitigação no local, o
o próprio aplicativo da web pode ser vulnerável. Um usuário malicioso pode fazer upload de um arquivo .php. Acessando
esse arquivo pode solicitar que o servidor o processe como um arquivo PHP executável. Esta vulnerabilidade seria
permitir que os invasores executem código no servidor com as permissões do processo PHP e
também controlar o conteúdo veiculado para outros usuários do aplicativo.
Para evitar ataques através de arquivos carregados pelo usuário, ambos os metadados, incluindo nomes de arquivos e o
o conteúdo real dos arquivos carregados pelo usuário precisa ser restrito e filtrado, por exemplo, procurando por mal-
ware em arquivos carregados. Os nomes de arquivos e caminhos devem ser construídos usando literais de string em
em vez de strings brutas e tipos mime apropriados para respostas HTTP usadas sempre que possível.
www.cybok.org
Arquivos que estão disponíveis apenas para download e não devem ser exibidos in-line no navegador,
pode ser marcado com um cabeçalho de resposta HTTP Content-Disposition [ ] Outro sucesso
A mitigação de sucesso para o problema acima é servir arquivos de um domínio diferente. Se o domínio for
não é um subdomínio do domínio original, o SOP . . . evita cookies e outras críticas
as informações sejam acessíveis ao arquivo malicioso. Além disso, JavaScript e HTML
os arquivos também são protegidos pelo SOP .
. . . Inclusão de arquivo local
Este tipo de vulnerabilidade é uma forma particular da injeção de comando acima ou do usuário
carregou as vulnerabilidades [ ] Por exemplo, os invasores podem explorar um comando injec-
ção, use um caminho malformado em um banco de dados ou um nome de arquivo manipulado. O caminho do arquivo resultante
de uma dessas vulnerabilidades pode ser criado para apontar para um arquivo local no servidor, por exemplo, um
.htaccess ou o arquivo / etc / shadow. Um aplicativo da web vulnerável pode então acessar o
Caminho de arquivo criado com códigos maliciosos e, em vez de carregar um arquivo benigno, leia e envie o conteúdo
do arquivo escolhido pelo invasor e, por exemplo, vazamento de credenciais de login no arquivo / etc / shadow.
Além da higienização dos parâmetros de caminho do arquivo, como inicial / e .. na entrada do usuário,
a aplicação do princípio do menor privilégio é recomendada. Um aplicativo da web deve ser
executado com privilégios mínimos e de forma que não possa acessar arquivos sensíveis.
. . . Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) [ ] ataques são vulnerabilidades de injeção que permitem aos invasores
injetar scripts maliciosos (por exemplo, JavaScript) em sites benignos. Eles podem ocorrer sempre
usuários de sites maliciosos podem enviar scripts de cliente para aplicativos da web que redistribuem
o código malicioso para outros usuários finais. Exemplos comuns de sites vulneráveis a
Os ataques XSS são fóruns de mensagens que recebem conteúdo do usuário e o mostram a outros usuários. O
A causa raiz primária das vulnerabilidades de XSS são os aplicativos da web que não implementam de forma eficaz
mecanismos de validação de entrada. Dados não confiáveis e não validados fornecidos pelo usuário podem conter
scripts do lado do cliente. Sem a validação adequada da entrada do usuário, um JavaScript malicioso anteriormente
fornecido por um usuário, pode ser distribuído para outros usuários e manipular o site que eles são
visitar ou roubar informações confidenciais. Em um ataque XSS , o navegador do cliente não consegue detectar o
código malicioso, uma vez que é enviado do host remoto original, ou seja, com base na política de mesma origem
as medidas de segurança são ineficazes. Nós distinguimos dois tipos de ataques XSS :
armazenado Em um ataque XSS armazenado , o script malicioso é armazenado permanentemente no servidor de destino
(por exemplo, em um banco de dados) e distribuído às vítimas sempre que solicitam o armazenamento
script, por exemplo, como parte de um comentário em um fórum de mensagens. Ataques XSS armazenados são
também chamado de XSS permanente ou Tipo I.
refletido Em um ataque XSS refletido , o script malicioso não é armazenado permanentemente no
servidor de destino, mas refletido pelo servidor para as vítimas. Scripts maliciosos refletidos
os ataques são distribuídos por diferentes canais. Uma maneira comum de entregar um ma-
script licious é criar um link para o site de destino. O link contém o script e
clicar no link executa o script malicioso no contexto de execução do script do site.
Re ete XSS ataques também são chamados não-permanente ou Tipo-II XSS.
A prevenção de ambos os tipos de ataques XSS requer validação rigorosa da entrada do usuário e escape por
o servidor. O meio mais eficaz de validação de entrada é uma abordagem de lista branca, que nega
qualquer entrada que não seja explicitamente permitida. Para codificação de entidade adequada e segura, o uso de um
www.cybok.org
A biblioteca de codificação de segurança é recomendada, uma vez que escrever codificadores é muito difícil e codificar
a revisão em combinação com o uso de ferramentas de análise estática de código também é valiosa.
Já que eliminar as vulnerabilidades XSS inteiramente devido à sanitização de entrada do usuário é difícil, diferente
abordagens são discutidas na literatura. Uma abordagem promissora é a randomização de
Tags e atributos de HTML . Os aplicativos da web randomizam seus pedidos para que os clientes possam distinguir
entre conteúdo benigno e confiável e conteúdo malicioso potencialmente não confiável. Enquanto
um invasor não conhece o mapeamento de randomização, os clientes podem distinguir com sucesso
confiável de scripts não confiáveis [ ]
. . .6 Falsificação de solicitação entre sites
Cross Site Request Forgery (CSRF) [ ] ataques enganam as vítimas, fazendo com que enviem mensagens maliciosas
Solicitações HTTP para servidores remotos. A solicitação maliciosa é executada em nome do usuário
e herda sua identidade e permissões. Ataques CSRF são tão perigosos porque a maioria
solicitações para servidores remotos incluem credenciais e informações de sessão associadas a um
identidade do usuário, incluindo cookies de sessão. Usuários autenticados são particularmente atraentes para vic-
tims para invasores, uma vez que pode ser difícil para servidores remotos distinguir entre benignos e
solicitações maliciosas, desde que sejam enviadas da máquina da vítima. Ataques CSRF fazem
não permite que invasores acessem facilmente a resposta do servidor para a solicitação mal-intencionada. Portanto,
o objetivo principal de um ataque CSRF é enganar as vítimas para que enviem solicitações de mudança de estado para
servidores remotos. Alvos atraentes são solicitações que alteram as credenciais ou objetivos da vítima
perseguir algo.
Exemplo: Banco online No seguinte cenário de banco online, Alice deseja trans-
fer EUR para Bob usando um site de banco online que é vulnerável a um ataque CSRF . Um ser-
A solicitação inicial de um usuário autenticado Alice para o cenário mencionado pode ser semelhante a GET
https://myonlinebank.net/transaction?to=bob&value=50. Em uma primeira etapa, um invasor
pode criar um URL malicioso , como https://myonlinebank.et/transaction?to=attacker&value= e re-
coloque o destinatário pretendido da transação com a conta do invasor. A segunda etapa para
O ataque CSRF bem-sucedido exige que o invasor engane Alice para que envie a solicitação mal-intencionada
com seu navegador da web, por exemplo, enviando um e-mail de SPAM contendo a solicitação que Alice subse-
clica frequentemente. No entanto, os ataques CSRF não estão limitados a solicitações HTTP GET, mas também afetam
Solicitações POST, por exemplo, criando tags <form> maliciosas.
Muitos equívocos levam a contramedidas ineficazes. Ataques CSRF não podem ser pré-
exalado usando cookies secretos porque todos os cookies são enviados de uma vítima para o controle remoto
servidor. Além disso, o uso de HTTPS é ineficaz, desde que a solicitação maliciosa seja enviada de
a vítima, porque o protocolo não importa e o uso de solicitações POST para sensíveis
as informações são insuficientes, pois os invasores podem criar formulários HTML maliciosos com campos ocultos.
Para prevenir eficazmente ataques CSRF , é recomendado incluir tokens randomizados em sen-
solicitações importantes, por exemplo, adicionando-as aos cabeçalhos da solicitação. Os tokens devem ser únicos por
sessão e gerado com um gerador de número aleatório seguro para evitar que os invasores
prevendo-os. Os servidores não devem aceitar solicitações de clientes autenticados que não
inclua um token válido.
www.cybok.org
.. Erros de configuração do lado do servidor e componentes vulneráveis

Uma pilha de aplicativos da web consiste em vários componentes, incluindo servidores da web, aplicativos da web
estruturas de integração, servidores de banco de dados, sistemas de firewall e balanceadores de carga e proxies. No geral,
A segurança do aplicativo da web depende muito da segurança de cada um dos componentes envolvidos.
Um único componente inseguro costuma ser suficiente para permitir que um invasor acesse o aplicativo da web
e intensificar ainda mais seu ataque de dentro. É por isso que implantar e manter
um aplicativo da web seguro requer mais do que focar no código do próprio aplicativo. Cada
componente da pilha de aplicativos da web precisa ser configurado com segurança e mantido atualizado
(consulte a Seção .)
The Heartbleed Vulnerability Um exemplo famoso de uma vulnerabilidade crítica que afetou muitos
pilhas de aplicativos da web são Heartbleed [ 6] Heartbleed era uma vulnerabilidade amplamente
usou a biblioteca OpenSSL e fez com que os servidores da web vazassem informações armazenadas nos membros dos servidores da web
ory. Isso incluiu informações de certificado TLS , como chaves privadas, detalhes de criptografia de conexão,
e quaisquer dados comunicados pelo usuário e servidor, incluindo senhas, nomes de usuário e crédito
informações do cartão [ ] Para corrigir os sistemas afetados, os administradores tiveram que atualizar seu OpenSSL li-
braries o mais rápido possível e, idealmente, também revogar certificados e solicitar que os usuários alterem
suas senhas.
Conforme discutido anteriormente, o princípio do menor privilégio pode reduzir o ataque de um aplicativo da web
superfície tremendamente. As configurações adequadas de rewall e balanceador de carga servem como exemplos:
. . . Firewall
Para proteger um servidor da web, um firewall deve ser configurado para permitir o acesso apenas de fora
onde o acesso é necessário. O acesso deve ser limitado a portas como 8 e para solicitações HTTP
através da Internet e restringindo as portas de configuração do sistema para SSH e semelhantes para o interno
rede (cf. Área de conhecimento de segurança de rede (capítulo ) ).
. . . Balanceadores de carga
Um balanceador de carga é um componente amplamente implantado em muitos aplicativos da web. Balanceadores de carga
controlar o tráfego HTTP entre servidores e clientes e fornecer controle de acesso adicional para
recursos de aplicativos da web. Eles podem ser usados para direcionar solicitações e respostas a diferentes
servidores ou portas da web, equilibre a carga de tráfego entre vários servidores da web e proteja áreas
de um site com mecanismos de controle de acesso adicionais. A abordagem mais comum para
controlar o acesso é o uso de arquivos .htaccess. Eles podem restringir o acesso ao conteúdo no
servidor da web original e instrui os balanceadores de carga a exigir autenticação adicional.
Os balanceadores de carga também podem servir para fins de limitação de taxa. Eles podem limitar o tamanho da solicitação, permitido
métodos e caminhos de solicitação ou limites de tempo definidos. O principal uso da limitação de taxa é reduzir o
impacto potencialmente negativo de ataques de negação de serviço em um servidor web e impedir os usuários
de sistemas de spam, bem como restringir e prevenir comportamentos inesperados.
Além disso, os balanceadores de carga podem ser usados para fornecer conexões TLS seguras para aplicativos da web
cátions. Ao gerenciar TLS, os balanceadores de carga servem como um ponto de extremidade de conexão de rede para
a criptografia TLS e estabelecer novas conexões TLS com o serviço de aplicativo ou
conectar ao servidor de aplicativos da web usando HTTP simples. Se o servidor de aplicativos da web não for
hospedado na mesma máquina, o uso de conexões de rede simples pode vazar informações para o

www.cybok.org
Rede interna. No entanto, se o servidor de aplicativos da web não fornecer HTTPS propriamente dito, usando
um balanceador de carga como um ponto de extremidade TLS aumenta a segurança.
Erros de configuração de HTTPS Uma pedra angular da segurança da web e móvel é o correto e
configuração segura de HTTPS em servidores web. No entanto, Holz et al. [ ] descobriu que um signi cativo
número de sites populares implementam certificados inválidos com cadeias de certificados incompletos, emitidos
para o nome de host errado ou tempo de vida expirado. Em um estudo semelhante, Fahl et al. [ ] con rmou estes
descobertas e também perguntou aos operadores de sites as razões para implantar certificados inválidos. A maioria
os operadores não estavam cientes do uso de um certificado inválido ou usaram um propositalmente porque eles
não confiava na PKI da web. Krombholz et al. [ , ] conduziu um conjunto de estudos e descobriu
que os operadores têm dificuldade em configurar HTTPS corretamente, ou eles abrigam equívocos
sobre os recursos de segurança do HTTPS.
. . . Bancos de dados
Semelhante a balanceadores de carga e firewalls, muitos aplicativos da web incluem bancos de dados para armazenar
informações do usuário permanentemente. Muitas vezes, os bancos de dados são operados como um serviço adicional que é
hospedado em outro servidor. O servidor de aplicativos interage com o banco de dados por meio de bibliotecas
e APIs. É importante evitar vulnerabilidades de injeção no servidor. Além disso, erros
na implementação de bibliotecas de banco de dados ou permissões grosseiras exigidas pelo aplicativo
pode levar a vulnerabilidades.
Para reduzir o vetor de ataque, a maioria dos sistemas de banco de dados fornece gerenciamento de usuário, para limitar o usuário
privilégios para criar, ler, excluir ou modificar entradas em tabelas e em bancos de dados. Desta maneira
um banco de dados por aplicativo pode ser criado e determinados usuários com permissões somente leitura
pode ser usado pelo servidor de aplicativos.
Um aspecto importante para aumentar a segurança do banco de dados é a decisão sobre como armazenar os dados.
Criptografar dados antes do armazenamento no banco de dados pode ajudar. No entanto, especialmente para senhas
ou outras informações que só precisam ser comparadas para igualdade, hash antes que o armazenamento possa
aumentar tremendamente a segurança. No caso de vazamento de dados, as informações confidenciais permanecem
ilegível. Para armazenar senhas com segurança, desenvolvedores de aplicativos móveis e da web são recomendados
para usar uma função hash segura, como Argon [ ] ou PBKDF [ ] em combinação com
um sal específico de credencial criptograficamente forte. Um sal é um xed criptograficamente forte
valor aleatório de comprimento e precisa ser gerado novamente para cada conjunto de credenciais [ 6]
Os desenvolvedores de vazamentos de senha tendem a armazenar senhas simples, informações de cartão de crédito ou outros
informações confidenciais em bancos de dados em vez de criptografá-los ou hash (cf. o Human Fac-
tors Knowledge Area (Capítulo )) . Conseqüentemente, muitos vazamentos de bancos de dados de senha ou cartão de crédito
formação coloca os usuários em risco [ ] Navegadores modernos e gerenciadores de senha ajudam os usuários a evitar
senhas que fizeram parte de uma violação de dados anterior [ 8]
www.cybok.org
. CONCLUSÃO
Como mostramos, a segurança da web e móvel é um tópico amplo e diversificado que cobre muitas áreas
eas. Esta área de conhecimento enfatizou uma abordagem intersetorial, explorando as condições de segurança
conceitos e mecanismos que podem ser encontrados tanto na web quanto no mundo móvel. Portanto
baseia-se e amplia os insights de outra área de conhecimentos, em particular o Software
Área de Conhecimento de Segurança (Capítulo ), Área de Conhecimento de Segurança de Rede (Capítulo ), Huu-
Man Factors Área de Conhecimento (Capítulo) , Sistemas Operacionais e Conhecimento de Virtualização
Área (Capítulo ), Área de Conhecimento de Direitos Online e Privacidade (Capítulo), Autenticação, Au-
Área de conhecimento (Capítulo ) de torização e responsabilidade (AAA ) e a camada física e
Área de Conhecimento de Telecomunicações (Capítulo )
Mostramos que, devido à disponibilidade onipresente e ao uso de aplicativos da web e móveis

e dispositivos, prestar atenção aos seus problemas de segurança é crucial para a segurança geral da informação.
Discutimos as tecnologias da web que constroem o núcleo da segurança da web e móvel, descrito
suas características e ilustrou como eles são diferentes de outros ecossistemas.
Mais tarde, dividimos a discussão em aspectos do lado do cliente e do lado do servidor. Em particular, este Knowl-
A edge Area tem se concentrado em ataques e defesas que prevaleciam em clientes da web e móveis
e servidores e que dominou as discussões nos últimos anos.
Seção Referências
. Conceitos e abordagens fundamentais

. . Appi cation [ , ]
. . Webi cação [ , , 6]
. . Lojas de aplicativos [6, 6, 66]
. . Sandboxing [6, 68, 6, ]
. . Controle de acesso baseado em diálogo de permissão [ , 8]
. .6 Web PKI e HTTPS [6, , , ]
. . Autenticação [8, 8]
. .8 Cookies [8]
. . Senhas e alternativas [8, 8, ]
. . Atualizações de software frequentes [ 8, ]
. Vulnerabilidades e atenuações do lado do cliente
. . Phishing e clickjacking [ , , , 6]
. . Armazenamento do lado do cliente [ ]
. . Ataques Físicos [ , ]
. Vulnerabilidades e atenuações do lado do servidor
. . Vulnerabilidades de injeção [ 8, , , , ]
. . Erros de configuração do lado do servidor e componentes vulneráveis [ , , , 8]
LEITURA ADICIONAL
Os recursos a seguir fornecem uma visão mais profunda sobre a segurança da web e móvel, bem como
orientações e recomendações para prevenir e lidar com as vulnerabilidades apresentadas
e discutido acima.
www.cybok.org
O Projeto OWASP e Wiki

The Open Web Application Security Project (OWASP) é uma instituição de caridade internacional sem fins lucrativos
organização abrangente fornecendo informações práticas sobre aplicativos e segurança da web. Financia
muitos projetos, incluindo pesquisas como o OWASP TOP, livros, CTFs e um wiki contêm
descrições detalhadas, recomendações e listas de verificação para vulnerabilidades e segurança
Medidas. O wiki principal pode ser encontrado em https://www.owasp.org/.
Mozilla Developer Network

Um recurso abrangente fornecido pela Mozilla cobrindo padrões abertos da web, incluindo
conselhos de segurança e comportamento de plataforma cruzada para APIs Javascript, bem como HTML e CSS
especificações. Ele pode ser encontrado em https://developer.mozilla.org
Desenvolvedores Android
A documentação oficial do ecossistema de desenvolvimento Android, incluindo anúncios de segurança
vice para armazenamento do lado do cliente, webviews, permissões, bancos de dados Android e conexão de rede
ções. Ele também inclui informações para versões desatualizadas do sistema operacional e o Google
Processo de atualização do jogo. Disponível em https://developer.android.com
Página 542
www.cybok.org
Página 543
Capítulo 6
Ciclo de vida seguro do software
Laurie Williams North Carolina State University
www.cybok.org
INTRODUÇÃO
O objetivo desta área de conhecimento do Ciclo de Vida do Software Seguro é fornecer uma visão geral de
processos de desenvolvimento de software para a implementação de software seguro desde a concepção do
software para o uso operacional do software. Esta implementação pode envolver nova codificação
bem como a incorporação de bibliotecas e componentes de terceiros. O objetivo desta visão geral
é para uso em cursos acadêmicos na área de segurança de software; e para orientar os profissionais da indústria
profissionais que desejam usar um ciclo de vida de software seguro.
A Área de Conhecimento de Segurança de Software (Capítulo ) fornece uma visão geral estruturada de
desenvolvimento e codificação de software e as categorias conhecidas de implementação de software
vulnerabilidades e de técnicas que podem ser usadas para prevenir ou detectar tais vulnerabilidades
ou para mitigar sua exploração. Em contraste, esta área de conhecimento do ciclo de vida do software seguro
concentra-se nos componentes de um processo de desenvolvimento de software abrangente para prevenir
e detectar defeitos de segurança e responder em caso de exploração.
Esta área de conhecimento começará com uma história de modelos de ciclo de vida de software seguro. Seção
fornece exemplos de três processos prescritivos de ciclo de vida de software seguro; a Microsoft
Ciclo de vida de desenvolvimento seguro, pontos de contato e SAFECode. A seção discute como esses
processos podem ser adaptados em seis domínios específicos: agile / DevOps, mobile, cloud computing,
internet das coisas, veículos rodoviários e cartão de comércio eletrônico / pagamento. A seção fornece informações
em três estruturas para avaliar o processo de ciclo de vida de software seguro de uma organização.
CONTENTE
6 MOTIVAÇÃO
[ 8, , , , , , , , 6]
Historicamente, e às vezes atualmente, as organizações concentraram suas estratégias de segurança em

o nível do sistema de rede, como com paredes resistentes, e adotaram uma abordagem reativa para
segurança de ware, usando uma abordagem comumente referida como 'penetrar e corrigir'. [ ] Com
esta abordagem, a segurança é avaliada quando o produto é concluído por meio de testes de penetração
tentativa de ataques conhecidos; ou vulnerabilidades são descobertas após o lançamento, quando as organizações
são vítimas de um ataque ao software implantado. Em qualquer caso, as organizações reagem por
encontrar e corrigir a vulnerabilidade por meio de um patch de segurança. As seguintes deficiências são prováveis
para ser mais prevalente com uma abordagem predominantemente reativa à segurança cibernética:
• As violações custam caro. Com base em um estudo de empresas em países, em 8 a

Instituto Poneman [ ] relataram que uma violação custa, em média,. milhões de dólares americanos
nos Estados Unidos e. milhões de dólares americanos no Oriente Médio. As violações eram o
menos caro na Índia e no Brasil, mas esses países ainda gastam uma média de 0,8
milhões e. milhões de dólares americanos por violação, respectivamente. Perda de reputação causada por
uma violação é difícil de quantificar.
• Os invasores podem encontrar e explorar vulnerabilidades sem serem notados. Baseado em um

estudo de empresas em países, em 8 o Instituto Poneman [ ] relatado
que o tempo médio para identificar que uma violação ocorreu foi de dias, e o tempo médio
tempo para encontrar e xa vulnerabilidade uma vez que a violação foi detectada foi um adicional de 6
dias.
Ciclo de vida do software seguro KA | Outubro Página 8
www.cybok.org
• Os patches podem introduzir novas vulnerabilidades ou outros problemas. Patches de vulnerabilidade são
considerado urgente e pode ser apressado, potencialmente introduzindo novos problemas para um sistema
tem. Por exemplo, os primeiros patches da Microsoft para o Meltdown chip aw introduziu um
vulnerabilidade ainda mais séria no Windows . A nova vulnerabilidade permitiu que os invasores
para ler a memória do kernel muito mais rápido e para escrever sua própria memória, e pode permitir um
invasor para acessar todos os processos de computação em nível de usuário em execução em uma máquina.
• Frequentemente, os patches não são aplicados pelos clientes. Usuários e administradores de sistema podem ser
relutante em aplicar patches de segurança. Por exemplo, o heartbleed altamente divulgado vul-
A nerabilidade no OpenSSL permite que os invasores explorem sistemas vulneráveis de forma fácil e silenciosa,
roubar senhas, cookies, cripto-chaves privadas e muito mais. A vulnerabilidade era
relatado em abril; mas em janeiro, uma varredura revelou, acessível pela Internet
dispositivos permaneceram sem patch [ ] Assim que uma vulnerabilidade é relatada publicamente, os invasores
formular um novo mecanismo para explorar a vulnerabilidade com o conhecimento de que muitos
as organizações não adotarão o x.
Em 8, McGraw [ ] defendeu ir além da abordagem de penetração e correção baseada

sobre seu trabalho em um esforço de pesquisa financiado pela DARPA, investigando a aplicação de software
engenharia para a avaliação de vulnerabilidades de software. Ele afirmou que o rigor pró-ativo
nossa análise de software deve desempenhar um papel cada vez mais importante na avaliação e prevenção
vulnerabilidades em aplicativos com base no fato bem conhecido de que ocorrem violações de segurança
devido a erros no design e codificação do software. Em, Viega e McGraw publicaram o
primeiro livro sobre o desenvolvimento de programas seguros, Building Secure Software [ 8], com foco em
prevenindo a injeção de vulnerabilidades e reduzindo o risco de segurança por meio de uma integração de
segurança em um processo de desenvolvimento de software.
No início, os invasores se tornaram mais agressivos, e a Microsoft era o foco disso

agressão com exposição de fragilidades de segurança em seus produtos, principalmente na Internet
Serviços de Informação (IIS) Gartner, uma empresa líder em pesquisa e consultoria que raramente
aconselha seus clientes a evitar softwares específicos, aconselhou as empresas a pararem de usar o IIS. Dentro
resposta às preocupações do cliente e montagem de má imprensa, o então CEO da Microsoft, Bill Gates,
enviou o memorando Trustworthy Computing [ ] a todos os funcionários em janeiro de. O
O memorando também foi amplamente divulgado na Internet. Um trecho do memorando de nes Trustwor-
tua computação:
'Computação confiável é a maior prioridade para todo o trabalho que estamos fazendo. Nós
deve levar a indústria a um nível totalmente novo de confiabilidade em computação ...
Computação confiável é a computação tão disponível, confiável e segura quanto
eletricidade, água e telefonia '.
O memorando da Trustworthy Computing causou uma mudança na empresa. Duas semanas depois, a Microsoft
anunciou o atraso do lançamento do Windows .NET Server [ ] para garantir uma segurança adequada
revisão (referido como o Windows Security Push), conforme exigido pelo Trustworthy da Microsoft
Iniciativa de computação descrita neste memorando. Em, funcionários da Microsoft Howard e Le
Blanc [ ] publicou publicamente uma segunda edição de um livro sobre como escrever código seguro para prevenir
vulnerabilidades, para detectar erros de design e implementação, e para melhorar o código de teste e
documentação. A primeira edição foi leitura obrigatória para todos os membros do Windows
equipe durante o Push.
https://meltdownattack.com/ Meltdown permite que os hackers contornem uma barreira entre os aplicativos e o computador
memória para roubar dados sensíveis.
https://www.cyberscoop.com/microsoft-meltdown-patches-windows- -memory-management /
http://heartbleed.com/
Ciclo de vida do software seguro KA | Outubro Página
www.cybok.org
Durante os anos seguintes, a Microsoft mudou seu processo de desenvolvimento para construir
produtos por meio de uma revisão abrangente de seu processo de desenvolvimento desde o plano inicial
durante o fim da vida útil do produto. Seus produtos continham comprovadamente menos vulnerabilidades
[ ] Após o uso interno do processo, a Microsoft codificou e contribuiu com seu estágio em
processo de desenvolvimento ternal, o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft (SDL) para o com
comunidade através de seu livro intitulado The Security Development Lifecycle [ ] em 6. Fiel a
A intenção original de Gates, o Microsoft SDL, forneceu a base para a tecnologia da informação
tecnologia, fornecendo o primeiro ciclo de vida abrangente e prescritivo documentado.
Também em 6, McGraw publicou o primeiro livro sobre as melhores práticas de segurança de software [ 6]
Conforme discutido no restante desta área de conhecimento, as organizações construíram sobre a base
estabelecido pela Microsoft e pela Viega e McGraw [ 8, ]
6 CICLO DE VIDA DE SOFTWARE PRESCRIPTIVE SECURE

PROCESSOS
[8 , , , 8, , , 6, , 8, , , , , , , , 6,
, 8, , 6 , 6 , 6 , 6 , 6 , 6 , 66 , 6 , 68 , 6, ]
Processos de ciclo de vida de software seguro são abordagens proativas para construir segurança em um produto
uct, tratando a 'doença' de software inseguro e mal projetado na fonte, em vez de 'ap-
usar um band-aid para interromper os sintomas por meio de uma abordagem reativa de penetração e patch.
Esses processos trabalham a segurança do software profundamente em todo o processo de desenvolvimento do produto
e incorporar pessoas e tecnologia para resolver e prevenir problemas de segurança de software. Esta
seção fornecerá informações sobre três processos proeminentes de ciclo de vida de software seguro e
em seguida, reflita sobre as semelhanças entre eles na Tabela 6..
6.. Processos de Ciclo de Vida de Software Seguro

Três processos de ciclo de vida de software seguro prescritivos exemplares são resumidos nesta seção
ção Os processos são prescritivos no sentido de que recomendam explicitamente as práticas de software. O
três processos foram escolhidos porque as práticas desses processos são integradas e
cobrem um amplo espectro de fases do ciclo de vida, desde os requisitos de software até a liberação / descompressão
gestão e manutenção de software. Dois desses processos foram identificados de forma sistemática
estudo de mapeamento [ ] sobre abordagens de segurança em ciclos de vida de desenvolvimento de software. Assim sendo,
as práticas abrangem a prevenção de defeitos de segurança, a detecção de defeitos de segurança e
a mitigação de defeitos de segurança quando um produto está no campo. Os três também foram escolhidos
devido à sua maturidade em termos do número de anos que existiram e em termos de seus
ampla aceitação na indústria. Como será discutido na Seção. , nenhum 'melhor' seguro
o processo de ciclo de vida do software existe. Os praticantes devem considerar a incorporação de práticas de
cada um desses processos em seu próprio processo de software seguro.
www.cybok.org
6.. . Ciclo de vida de desenvolvimento de segurança da Microsoft (SDL)
Conforme discutido na Seção 6., A Microsoft usou um processo de desenvolvimento interno, o Security
Ciclo de Vida de Desenvolvimento (SDL), para melhorar a segurança de seus produtos. Howard e Lipner
[ ] divulgou um instantâneo desse processo em 6. Desde então, a Microsoft tem continuado
foi criado para desenvolver seu SDL e fornecer recursos atualizados para a comunidade [ ], Incluindo
um maior foco nos requisitos de conformidade que estão sendo impostos ao setor.
Atualmente [ ], o Microsoft SDL contém práticas que são enumeradas abaixo. Para
cada uma das práticas, técnicas para implementar a prática podem ser mencionadas embora
o SDL não prescreve a técnica específica.
. Fornece treinamento . Uma gama de profissionais, como desenvolvedores, engenheiros de serviço,

gerentes de programa, gerentes de produto e gerentes de projeto, participam do desenvolvimento
gerenciamento de produtos seguros, ao mesmo tempo que trata das necessidades de negócios e agrega valor ao usuário
Os desenvolvedores e arquitetos de software devem compreender as abordagens técnicas para prevenção
identificação e detecção de vulnerabilidades. Toda a organização de desenvolvimento deve ser cog-
nisant da perspectiva, objetivos e técnicas do atacante; e do negócio impli-
cações de não construir produtos seguros.
Muitas vezes, a educação formal desses profissionais não inclui segurança cibernética. Addi-
opcionalmente, vetores de ataque, ferramentas de segurança, linguagens de programação seguras e experiências
estão em constante evolução, portanto, o conhecimento e o material do curso devem ser atualizados. Em andamento
O treinamento em segurança cibernética é essencial para organizações de software.
. Requisitos de segurança definidos . Os requisitos de segurança devem ser definidos durante o início
fases de projeto e planejamento inicial. Fatores que influenciam esses requisitos incluem o
requisitos funcionais específicos do sistema, a conformidade legal e da indústria
requisitos, padrões internos e externos, incidentes de segurança anteriores e
ameaças.
Foram desenvolvidas técnicas para o desenvolvimento sistemático de requisitos de segurança.

Por exemplo, Engenharia de Requisitos de Qualidade de Segurança (QUADRADO) [ 6] é uma etapa de nove
processo que ajuda as organizações a criar segurança nos estágios iniciais da produção
ciclo da vida. Casos de abuso, como será discutido na Seção. . bullet, são outros meios
de especificar os requisitos de segurança. van Lamsweerde estendeu o Keep All Objectives
Satis ed (KAOS) framework para linguagem de especificação de requisitos baseados em objetivos para in-
incluir antimodelos [ 6 ] Um antimodelo é construído abordando obstáculos maliciosos
cles (chamados de anti-metas) configurados por invasores para ameaçar os objetivos de segurança de um sistema. A
obstáculo nega os objetivos existentes do sistema. Secure i * [6 ] estende a modelagem i *
estrutura com modelagem e análise de trocas de segurança e alinha os requisitos de segurança
com outros requisitos.
Os requisitos de segurança devem ser continuamente atualizados para refletir as mudanças na função necessária
nacionalidade, padrões e o cenário de ameaças.
. Relatórios de métricas definidas e conformidade . Lord Kelvin é citado como tendo declarado: 'Se você puder
não medir, não dá para melhorar '. A equipe de gestão deve compreender e
ser responsabilizado por níveis mínimos aceitáveis de segurança usando métricas de segurança
[ ] Um subconjunto dessas métricas pode ser definido como indicadores-chave de desempenho (KPIs) para
relatórios de gestão. O rastreamento de defeitos deve rotular claramente os defeitos de segurança e
itens de trabalho de segurança como tal para permitir a priorização precisa, gestão de risco, rastreamento
e relatórios do trabalho de segurança. Além disso, os produtos cada vez mais devem cumprir
www.cybok.org
com os padrões regulatórios, como o Payment Card Industry Data Security Standard
(PCI DSS), ou o Regulamento geral de proteção de dados da UE [ ] (GDPR), que pode im-
apresentam etapas de processo e métricas adicionais para conformidade, relatórios e auditorias.
. Executar modelagem de ameaças . Por meio do uso de modelagem de ameaças [, 6], equipes con
examinar, documentar e discutir as implicações de segurança dos projetos no contexto de seus
ambiente operacional planejado e de forma estruturada. As equipes devem considerar
as motivações de seus adversários e os pontos fortes e fracos dos sistemas para
defender contra os cenários de ameaça associados. Uma abordagem é considerar o () o
interatores mal-intencionados e benevolentes com o sistema; () o design do sistema e
seus componentes (ou seja, processos e armazenamentos de dados), () os limites de confiança do sistema
tem; e () o fluxo de dados do sistema dentro e através dos limites de confiança de / para
seus interatores. As ameaças podem ser enumeradas usando uma abordagem sistemática de consideração -
cada componente do sistema em relação ao STRIDE (spoo ng, adulteração, repúdio,
Divulgação de informações, negação de serviço, elevação de privilégio) [ ] ameaças:
(a) Falsificação de identidade . As ameaças de spoofing permitem que um invasor se faça passar por outro usuário ou
permitir que um servidor não autorizado se faça passar por um servidor válido.
(b) Adulteração de dados . Ameaças de falsificação de dados envolvem modificação maliciosa de

dados.
(c) Repúdio . Ameaças de repúdio estão associadas a usuários que negam desempenho
uma ação sem que outras partes tenham qualquer forma de provar o contrário.
(d) Divulgação de informações . Ameaças de divulgação de informações envolvem a exposição de

formação para indivíduos que não deveriam ter acesso a ela.
(e) Negação de serviço . Uma negação de serviço (DoS) ataque nega serviço a usuários válidos por
tornando o sistema indisponível ou inutilizável.
(f) Elevação de privilégio . Um usuário sem privilégios obtém acesso privilegiado e, portanto,
tem acesso suficiente para comprometer ou destruir o sistema.
A modelagem de ameaças ajuda a equipe a enumerar as ameaças, para que o design do sistema possa
ser fortificado e os recursos de segurança podem ser selecionados. Além de STRIDE, outros modelos
existem para formular modelos de ameaças, como métodos6, incluindo árvores de ataque [ 6]
que são diagramas conceituais de ameaças aos sistemas e possíveis ataques para atingir
essas ameaças. Uma prática intimamente relacionada à modelagem de ameaças é a Análise de Risco Arquitetural
sis, como será discutido na seção. . bala .
Os jogos foram criados para ajudar as equipes na conduta colaborativa (e competitiva)

modelagem de ameaças:
(a) Elevação de privilégio
(b) Cartões de Segurança8
(c) Poker de proteção [ 6 ]

https://www.pcisecuritystandards.org/
https://eugdpr.org/
6https://insights.sei.cmu.edu/sei_blog/ 8 / / Threat-Modeling -available-methods.html
https://www.usenix.org/conference/ gse / summit-program / presentation / shostack
8https://securitycards.cs.washington.edu/
www.cybok.org
. Estabelecer requisitos de design . Os requisitos de design orientam a implementação de 'se-

recursos de cura '(ou seja, recursos que são bem projetados com relação à segurança). Adição-
aliado, a arquitetura e o design devem ser resistentes a ameaças conhecidas no
ambiente operacional.
O design de recursos seguros envolve obedecer aos princípios de segurança atemporais definidos
apresentado por Saltzer e Schroeder [8] e reformulado por Viega e McGraw [ 8] dentro
. Os oito princípios de Saltzer e Schroeder são:
• Economia de mecanismo . Mantenha o design do sistema tão simples e pequeno quanto

possível.
• Padrões à prova de falhas . Baseie as decisões de acesso em permissões em vez de exclusão;

a condição padrão é falta de acesso e o esquema de proteção identifica
condições sob as quais o acesso é permitido. Projete um mecanismo de segurança para que um
a falha seguirá o mesmo caminho de execução da proibição da operação.
• Mediação completa . Cada acesso a cada objeto deve ser verificado para autorização
ção
• Design aberto . O design não deve depender da ignorância dos invasores, mas
em vez da posse de chaves ou senhas.
• Separação de privilégios . Um mecanismo de proteção que requer duas chaves para desbloquear
é mais robusto do que aquele que requer uma única chave quando duas ou mais decisões
deve ser feito antes de o acesso ser concedido.
• Menor privilégio . Cada programa e cada usuário deve operar usando o mínimo
de privilégios necessários para concluir o trabalho.
• Mecanismo menos comum . Minimize a quantidade de mecanismos comuns a

mais de um usuário e dependente de todos os usuários.
• Aceitabilidade psicológica . A interface humana deve ser projetada para facilitar a

usar para que os usuários apliquem rotineira e automaticamente os mecanismos de forma correta e
com segurança.
Dois outros princípios de design seguro importantes incluem o seguinte:
• Defesa em profundidade . Fornece várias camadas de controles de segurança para fornecer

dância no caso de uma violação de segurança.
• Design para atualização . A segurança do software deve ser projetada para mudanças, como
para patches de segurança e alterações de propriedades de segurança.
Os requisitos de design também envolvem a seleção de recursos de segurança, como criptografia

phy, autenticação e registro para reduzir os riscos identificados por meio da modelagem de ameaças.
As equipes também realizam ações para reduzir a superfície de ataque do design do sistema. O ataque
superfície, um conceito introduzido por Howard [ ] em, pode ser considerado a soma
dos pontos onde os invasores podem tentar inserir dados ou extrair dados de um sistema
[ , 8]
Em, o IEEE Center for Secure Design [ ] enumerou os dez principais projetos de segurança
aws e orientações fornecidas sobre técnicas para evitá-los. Essas diretrizes são
do seguinte modo:
(a) Ganhe ou dê, mas nunca assuma confiança.

www.cybok.org
(b) Use um mecanismo de autenticação que não possa ser ignorado ou adulterado.
(c) Autorize após a autenticação.
(d) Separe estritamente os dados e as instruções de controle, e nunca processe as instruções de controle
ções recebidas de fontes não confiáveis.
(e) Definir uma abordagem que garanta que todos os dados sejam explicitamente validados.
(f) Use a criptografia corretamente.
(g) Identificar dados confidenciais e como eles devem ser tratados.
(h) Sempre considere os usuários.
(i) Entenda como a integração de componentes externos muda sua superfície de ataque.
(j) Seja flexível ao considerar mudanças futuras em objetos e atores.
6. Defina e use padrões de criptografia . O uso de criptografia é um importante de-

recurso de assinatura de um sistema para garantir que dados confidenciais de segurança e privacidade sejam protegidos
de divulgação não intencional ou alteração quando é transmitido ou armazenado. No entanto, um
escolha incorreta no uso de criptografia pode tornar a proteção pretendida fraca ou
ineficaz. Os especialistas devem ser consultados sobre o uso de padrões de criptografia claros que
fornecer especificações sobre cada elemento da implementação de criptografia e sobre o uso
de apenas bibliotecas de criptografia devidamente avaliadas. Os sistemas devem ser projetados para permitir que o
bibliotecas de criptografia para serem facilmente substituídas, se necessário, no caso de a biblioteca quebrar
por um invasor, como foi feito para o Data Encryption Standard (DES) por meio de 'Deep
Crack ' , uma busca de força bruta de todas as chaves possíveis projetadas por Paul Kocher, presidente
dente de pesquisa de criptografia.
. Gerenciar o risco de segurança do uso de componentes de terceiros . A grande maioria dos soft-
Os projetos de ware são construídos usando componentes de terceiros proprietários e de código aberto. O
Grupo de serviços de auditoria Black Duck On-Demand [ ] conduziu auditorias de código aberto em
mais, aplicativos comerciais e componentes de código aberto encontrados em% dos
aplicativos com uma média de componentes por aplicativo. Cada um desses componentes
nents podem ter vulnerabilidades na adoção ou no futuro. Uma organização deve
ter um inventário preciso de componentes de terceiros [ 66], use continuamente uma ferramenta
para fazer a varredura de vulnerabilidades em seus componentes e ter um plano para responder quando uma nova vulnerabilidade
nerabilidades são descobertas. Ferramentas proprietárias e disponíveis gratuitamente podem ser usadas para identificar
tificar as dependências dos componentes do projeto e verificar se há algum conhecido, divulgado publicamente
fechado, vulnerabilidades nesses componentes.
8. Use ferramentas aprovadas . Uma organização deve publicar uma lista de ferramentas aprovadas e seus
verificações e configurações de segurança associadas, como opções e avisos do compilador / vinculador.
Os engenheiros devem usar a versão mais recente dessas ferramentas, como versões do compilador e
aproveite as vantagens das novas funções e proteções de análise de segurança. Freqüentemente, o resultado
O software tant deve ser compatível com as versões anteriores.
. Realizar teste de segurança de análise estática (SAST) . As ferramentas SAST podem ser usadas para uma
revisão do código de segurança acoplado para encontrar instâncias de padrões de codificação inseguros e para ajudar
certifique-se de que as políticas de codificação seguras estão sendo seguidas. SAST pode ser integrado ao
commit e pipeline de implantação como uma porta de check-in para identificar vulnerabilidades a cada vez
o software é construído ou empacotado. Para aumentar a eficiência, as ferramentas SAST podem ser integradas em
https://w.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/ 8 6_eff_des_faq.html
www.cybok.org
o ambiente do desenvolvedor e ser executado pelo desenvolvedor durante a codificação. Algumas ferramentas SAST
detectar certos bugs de implementação, como a existência de inseguros ou outros banidos
funções e substituir automaticamente por (ou sugerir) alternativas mais seguras conforme o desenvolvimento
oper está codificando ativamente. Consulte também a Área de Conhecimento de Segurança de Software (Seção ..)
. Executar teste de segurança de análise dinâmica (DAST) . DAST realiza verificação em tempo de execução
de software compilado ou empacotado para verificar a funcionalidade que só é aparente quando
todos os componentes estão integrados e funcionando. DAST muitas vezes envolve o uso de um conjunto de pré-
ataques construídos e strings malformadas que podem detectar corrupção de memória, privilégio do usuário
problemas, ataques de injeção e outros problemas críticos de segurança. Ferramentas DAST podem empregar
fuzzing , uma técnica automatizada de entrada de casos de teste inválidos e inesperados conhecidos
em um aplicativo, geralmente em grande volume. Semelhante ao SAST , o DAST pode ser executado pelo desenvolvedor
oper e / ou integrado ao pipeline de construção e implantação como um portão de check-in. DAST
pode ser considerado um teste de penetração automatizado. Veja também a Segurança do Software
Área de Conhecimento (Seção ..)
. Realize o teste de penetração . O teste de penetração manual é um teste de caixa preta de uma execução
sistema operacional para simular as ações de um invasor. O teste de penetração é muitas vezes per-
formado por profissionais de segurança qualificados, que podem ser internos a uma organização ou
consultores, simulando oportunisticamente as ações de um hacker. O objetivo de um
teste de penetração é descobrir qualquer forma de vulnerabilidade - de pequena implementação
bugs nos principais problemas de design resultantes de erros de codificação, falhas de configuração do sistema,
design aws ou outras deficiências de implantação operacional. Os testes devem tentar ambos
uso indevido não autorizado e acesso aos ativos alvo e violações das premissas.
Um recurso amplamente referenciado para a estruturação de testes de penetração é o OWASP Top
Riscos de segurança de aplicativos da Web mais críticos . Como tal, o teste de penetração pode encontrar
a mais ampla variedade de vulnerabilidades, embora geralmente menos eficiente em comparação com
SAST e DAST [ ] Os testadores de penetração podem ser chamados de hackers de chapéu branco ou
hackers éticos. No modelo de penetração e patch, o teste de penetração foi o único
linha de análise de segurança antes de implantar um sistema.
. Estabeleça um Processo Padrão de Resposta a Incidentes . Apesar de um ciclo de vida de software seguro,
as organizações devem estar preparadas para ataques inevitáveis. As organizações devem proativamente
preparar um Plano de Resposta a Incidentes (IRP) O plano deve incluir quem contatar em
caso de uma emergência de segurança, estabeleça o protocolo para mitigação de vulnerabilidade eficiente,
para resposta e comunicação do cliente e para a rápida implantação de um x. O
O IRP deve incluir planos para o código herdado de outros grupos dentro da organização
e para código de terceiros. O IRP deve ser testado antes de ser necessário. Lições aprendidas
por meio de respostas ao ataque real deve ser fatorado de volta no SDL.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
www.cybok.org
6.. . Pontos de toque
O consultor internacional de segurança de software, Gary McGraw, forneceu sete Software Security
Pontos de toque [ 6] codificando uma vasta experiência industrial com a construção de produtos seguros
ucts. McGraw usa o termo ponto de contato para se referir às melhores práticas de segurança de software que
pode ser incorporado a um ciclo de vida de software seguro. McGraw diferencia vulnerabilidades
que são bugs de implementação e aqueles que são erros de design [ ] . Bugs de implementação
são erros localizados, como buffer over ow e erros de validação de entrada, em um único pedaço de
código, tornando a localização e a compreensão mais fáceis. Os problemas de design são problemas sistêmicos em
o nível de design do código, como tratamento de erros e sistemas de recuperação que falham em um
remediar a moda ou os sistemas de compartilhamento de objetos que por engano incluam problemas de confiança transitiva
6] [
Kuhn et al. [66] analisou os dados de vulnerabilidade 8 - 6 do US National Vulnera-
Banco de dados de mobilidade (NVD) e descobriu que 6% das vulnerabilidades eram bugs de implementação.
Os sete pontos de contato ajudam a prevenir e detectar erros e falhas.
Esses sete pontos de contato são descritos abaixo e são fornecidos em ordem de eficácia
com base na experiência de McGraw com a utilidade de cada prática ao longo de muitos anos, portanto
prescritivo:
. Revisão de código (ferramentas) .
A revisão de código é usada para detectar bugs de implementação. A revisão manual do código pode ser usada,
mas requer que os auditores tenham conhecimento sobre vulnerabilidades de segurança antes
eles podem examinar o código com rigor. 'Revisão de código com uma ferramenta' (também conhecido como o uso de estática
ferramentas de análise ou SAST) tem se mostrado eficaz e pode ser usado por engenheiros
que não possuem conhecimento especializado em segurança. Para uma discussão mais aprofundada sobre a análise estática,
veja a seção. . bala .
. Análise de risco arquitetônico .
Análise de risco arquitetônico, que também pode ser referida como modelagem de ameaça (consulte a Seção
ção . bullet), é usado para prevenir e detectar falhas de design. Designers e arquitetos
fornecer uma visão de alto nível do sistema de destino e documentação para suposições, e
identificar possíveis ataques. Por meio da análise de risco arquitetônico, os analistas de segurança descobrem
e classificar os problemas de arquitetura e design para que a mitigação possa começar. Por exemplo, análise de risco
sis pode identificar um possível tipo de ataque, como a capacidade de os dados serem interceptados e
leitura. Essa identificação levaria os designers a olhar para todos os tráfegos de seu código
permite ver se a interceptação era uma preocupação e se a proteção adequada (ou seja, criptografar
ção) estava em vigor. Essa revisão que a análise solicitou é o que revela o design
aws, como dados confidenciais são transportados em claro.
Nenhum sistema pode ser perfeitamente seguro, então a análise de risco deve ser usada para priorizar a segurança
esforços de segurança e vincular as preocupações em nível de sistema às medidas de probabilidade e impacto que
importa para a empresa que está desenvolvendo o software. A exposição ao risco é calculada por multiplicação
a probabilidade de ocorrência de um evento adverso pelo custo associado a esse
evento [ 6 ]
McGraw propõe três etapas básicas para a análise de risco arquitetônico:
• Análise de resistência de ataque . A análise de resistência ao ataque usa uma lista de verificação / sistemática
abordagem de considerar cada componente do sistema em relação às ameaças conhecidas , como é
feito na modelagem de ameaças da Microsoft discutida na Seção. . bala . Em formação
http://nvd.nist.gov
www.cybok.org
sobre ataques conhecidos e padrões de ataque são usados durante a análise, identificando
riscos na arquitetura e compreensão da viabilidade de ataques conhecidos. Ameaça
modelagem com a incorporação de ataques baseados em STRIDE, conforme discutido na Seção
. . bullet, é um exemplo de processo para realizar análise de resistência a ataques.
• Análise de ambigüidade . A análise de ambigüidade é usada para capturar a atividade criativa re-
quis descobrir novos riscos. A análise de ambiguidade requer dois ou mais experientes
analistas que realizam atividades de análise separadas em paralelo no mesmo sistema.
Através da unificação da compreensão da análise múltipla, as divergências entre
os analistas podem descobrir ambigüidade, inconsistência e novos erros.
• Análise de fraqueza . A análise de fraqueza é focada na compreensão do risco relacionado

a problemas de segurança em outros componentes de terceiros (consulte a Seção.. marcador). O
ideia é entender as suposições feitas sobre software de terceiros e
o que acontecerá quando essas suposições falharem.
A identificação, classificação e mitigação de riscos é um processo contínuo por meio do software

ciclo de vida, começando com a fase de requisitos.
. Teste de penetração .
O teste de penetração pode ser orientado pelo resultado da análise de risco arquitetônico (Veja
Seção . . bala ). Para uma discussão mais aprofundada sobre o teste de penetração, consulte a seção. . ,
bala .
. Teste de segurança baseado em risco .
O teste de segurança deve abranger duas estratégias: () teste da funcionalidade de segurança

com técnicas de teste funcional padrão; e () teste baseado em risco com base em
padrões de aderência e resultados de análise de risco arquitetônico (consulte a Seção.. marcador), e
casos de abuso (consulte a Seção.. marcador). Para aplicativos da web, teste de função de segurança
A nacionalidade pode ser orientada pelo OWASP Application Security Ver cation Standard (ASVS)
Padrão aberto de projeto para teste de controles técnicos de segurança de aplicativos. ASVS também
fornece aos desenvolvedores uma lista de requisitos para um desenvolvimento seguro.
Orientando testes com conhecimento da arquitetura e construção de software, comum

ataques, e a mentalidade do invasor é extremamente importante. Usando os resultados de archi-
análise de risco estrutural, o testador pode se concentrar adequadamente nas áreas do código onde ocorre um ataque
probabilidade de sucesso.
A diferença entre o teste baseado em risco e o teste de penetração é o nível do

abordagem e o momento do teste. O teste de penetração é feito quando o software é
completo e instalado em ambiente operacional. Os testes de penetração são externos,
testes de caixa preta. O teste de segurança baseado em risco pode começar antes que o software seja concluído
e até mesmo pré-integração, incluindo o uso de testes de unidade de caixa branca e stubs. Os dois são
semelhantes no sentido de que ambos devem ser guiados por análise de risco, casos de abuso e
requisitos de segurança.
. Casos de abuso .
Este ponto de contato codifica "pensar como um invasor". Os casos de uso descrevem o sistema desejado
comportamento dele por atores benevolentes. Casos de abuso [ ] descrever o sistema ser-
haviour quando sob ataque por um ator malicioso. Para desenvolver casos de abuso, um analista
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Veri cation_Standard_Project # tab = Home

www.cybok.org
enumera os tipos de agentes mal-intencionados que seriam motivados a atacar o sistema

tem. Para cada mau ator, o analista cria um ou mais casos de abuso para a função
alidade que o mau ator deseja do sistema. O analista então considera a interação
entre os casos de uso e os casos de abuso para fortalecer o sistema. Considere um auto-
exemplo móvel. Um ator é o motorista do carro, e esse ator tem uma 'unidade de caso de uso
o carro '. Um ator malicioso é um ladrão de carros cujo caso de abuso é "roubar o carro". Este abuso
caso ameaça o caso de uso. Para evitar o roubo, um novo caso de uso 'bloquear o carro' pode ser
adicionado para mitigar o caso de abuso e fortalecer o sistema.
O erro humano é responsável por um grande número de violações. Os analistas de sistema devem
também considere as ações de usuários benevolentes, como ser vítima de um ataque de phishing,
que resultam em uma violação de segurança. Essas ações podem ser consideradas casos de uso indevido [ ]
e deve ser analisado de forma semelhante aos casos de abuso, considerando qual caso de uso o uso indevido
caso ameaça e o forti cação ao sistema para mitigar o caso de uso indevido.
Os ataques e atenuações identificados pela análise de casos de abuso e uso indevido podem ser
usado como entrada nos requisitos de segurança (Seção.. marcador.); teste de penetração
(Seção.. Marcador); e teste de segurança baseado em risco (Seção.. bullet).
6. Requisitos de segurança .
Para uma discussão mais aprofundada sobre os requisitos de segurança, consulte a Seção. . bala .
. Operações de segurança .
A segurança da rede pode ser integrada à segurança do software para aprimorar a postura de segurança.
Inevitavelmente, os ataques acontecerão, independentemente das aplicações dos outros pontos de contato.
Compreender o comportamento do invasor e o software que permitiu um ataque bem-sucedido é
uma técnica defensiva essencial. O conhecimento obtido pela compreensão dos ataques pode ser
realimentou os seis outros pontos de contato.
Os sete pontos de contato devem ser alternados várias vezes conforme o produto de software
uct evolui. Os pontos de contato também são agnósticos no processo, o que significa que as práticas podem ser
incluído em qualquer processo de desenvolvimento de software.
6.. . SAFECode
O Fórum de Garantia de Software para Excelência em Código (SAFECode) é uma organização sem fins lucrativos , global,
organização liderada pela indústria dedicada a aumentar a confiança nas informações e comunicações
produtos e serviços de tecnologia por meio do avanço da garantia de software eficaz
métodos. A missão do SAFECode é promover as melhores práticas para desenvolver e entregar
software, hardware e serviços mais seguros e confiáveis. A organização SAFECode pub-
ensina as 'Práticas fundamentais para o desenvolvimento de software seguro: elementos essenciais de um
programa de ciclo de vida de desenvolvimento seguro '[ 68] diretriz para promover a adoção em todo o setor
de práticas fundamentais de desenvolvimento seguro. As práticas fundamentais tratam de garantir
ance - a capacidade do software de resistir a ataques que tentam explorar o design ou implementar
erros de mentação. As oito práticas fundamentais delineadas em suas diretrizes são descritas
abaixo de:
. De nição de controle de segurança de aplicativos . SAFECode usa o termo Segurança de Aplicativo

Controles (ASC) para se referir aos requisitos de segurança (consulte a Seção.. marcador). De forma similar,
https://safecode.org/
www.cybok.org
NIST 8 - [] usa a frase controle de segurança para se referir à funcionalidade de segurança e

requisitos de garantia de segurança.
As entradas para ASC incluem o seguinte: princípios de design seguro (consulte a Seção.
bala ); práticas seguras de codificação; requisitos legais e da indústria com os quais o aplicativo
plicação precisa estar em conformidade (como HIPAA , PCI , GDPRou SCADA); políticas internas e
padrões; incidentes e outros feedbacks; ameaças e riscos. O desenvolvimento de ASC ser-
gins antes da fase de design e continua ao longo do ciclo de vida para fornecer
e controles acionáveis e ser responsivo às mudanças nos requisitos de negócios e
o ambiente de ameaças em constante evolução.
. Design . O software deve incorporar recursos de segurança para estar em conformidade com a segurança interna
práticas e leis ou regulamentos externos. Além disso, o software deve resistir a conhecidos
ameaças baseadas no ambiente operacional. (consulte a seção.. bullet.) Ameaça
modelagem (ver Seção.. marcador), revisões arquitetônicas e revisões de projeto podem ser
usado para identificar e resolver problemas de design antes de sua implementação no código-fonte.
O projeto do sistema deve incorporar uma estratégia de criptografia (ver Seção.. Bullet
6) para proteger dados confidenciais de divulgação ou alteração não intencional enquanto os dados são
em repouso ou em trânsito.
O projeto do sistema deve usar uma abordagem padronizada para identificar e acessar o homem
agement para realizar autenticação e autorização. A padronização fornece
consistência entre os componentes e orientações claras sobre como verificar a presença de
os controles adequados. Autenticar a identidade de um principal (seja um usuário humano, outro
serviço ou componente lógico) e verificar a autorização para executar uma ação são
controles fundamentais do sistema. Vários esquemas de controle de acesso foram desenvolvidos
optou para dar suporte à autorização: obrigatória, discricionária, baseada em função ou baseada em atributo.
Cada um deles tem vantagens e desvantagens e deve ser escolhido com base no projeto
características.
Os arquivos de registro fornecem as evidências necessárias na análise forense quando ocorre uma violação para mitigar
igate ameaças de repúdio. Em um aplicativo bem projetado, sistema e arquivos de registro de segurança
fornecem a capacidade de entender o comportamento de um aplicativo e como ele é usado em qualquer
momento, e para distinguir o comportamento do usuário benevolente do comportamento do usuário mal-intencionado.
Como o registro afeta os recursos do sistema disponíveis, o sistema de registro deve
ser projetado para capturar as informações críticas sem capturar o excesso de dados. Poli-
códigos e controles precisam ser estabelecidos em torno do armazenamento, prevenção de adulteração e monitoramento
arquivos de log de itoring. OWASP fornece recursos valiosos na concepção e implementação
exploração madeireira
.
. Práticas de codificação seguras . Vulnerabilidades de nível de código não intencionais são introduzidas por pro
erros de gramática. Esses tipos de erros podem ser evitados e detectados por meio de
o uso de padrões de codificação; selecionando os idiomas mais apropriados (e seguros),
estruturas e bibliotecas, incluindo o uso de seus recursos de segurança associados (consulte
Seção . . marcador 8); usando ferramentas de análise automatizadas (consulte a Seção.. marcadores e
); e revisar manualmente o código.
As organizações fornecem padrões e diretrizes para codificação segura, por exemplo:

https://cheatsheetseries.owasp.org/cheatsheets/Logging_Cheat_Sheet.html
https://www.owasp.org/images/e/e /OWASP_Logging_Guide.pdf
www.cybok.org
(a) OWASP Secure Coding Practices, Guia de Referência Rápida 6
(b) Diretrizes de codificação segura da Oracle para Java SE
(c) Instituto de Engenharia de Software (SEI) Padrões de Codificação Segura CERT 8
Cuidado especial também deve ser dado ao tratamento de erros imprevistos de uma forma controlada e
maneira elegante por meio de manipuladores de erros genéricos ou manipuladores de exceções que registram os eventos.
Se os manipuladores genéricos forem chamados, o aplicativo deve ser considerado como estando em um
estado inseguro de forma que a execução posterior não seja mais considerada confiável.
. Gerenciar riscos de segurança inerentes ao uso de componentes de terceiros . Veja a seção

. . bala .
. Teste e validação . Veja a seção. . marcadores - e seção. . marcadores, e

.
6. Gerenciar descobertas de segurança . As primeiras cinco práticas produzem artefatos que contêm ou geram
erar achados relacionados à segurança do produto (ou falta dela). As descobertas em
esses artefatos devem ser rastreados e ações devem ser tomadas para remediar a vulnerabilidade
bilidades, conforme estabelecido nos Critérios Comuns (consulte a Seção).
procedimento [ 6 ] Alternativamente, a equipe pode aceitar conscientemente o risco de segurança quando
o risco é considerado aceitável. A aceitação do risco deve ser rastreada, incluindo
uma classificação de gravidade; um plano de remediação, uma expiração ou um prazo de reavaliação; e a área
para revisão / validação.
Definições claras de gravidade são importantes para garantir que todos os participantes tenham
comunicar com uma compreensão consistente de um problema de segurança e seu impacto potencial.
Um possível ponto de partida é o mapeamento para os níveis de gravidade, atributos e limites
usado pelo Common Vulnerability Scoring System (CVSS) como –8. é crítico,
8. -. é alto, etc. Os níveis de gravidade são usados para priorizar as mitigações com base em
sua complexidade de exploração e impacto nas propriedades de um sistema.
. Resposta à vulnerabilidade e divulgação . Mesmo seguindo um ciclo de vida de software seguro -

cle, nenhum produto pode ser "perfeitamente seguro" devido à ameaça em constante mudança
paisagens. Vulnerabilidades serão exploradas e o software eventualmente será com-
prometido. Uma organização deve desenvolver uma resposta à vulnerabilidade e divulgação
para ajudar a conduzir a resolução de vulnerabilidades descobertas externamente e manter todos
partes interessadas informadas sobre o progresso. ISO fornece padrões comprovados da indústria para vul-
divulgação e manuseio de capacidade. Para evitar que as vulnerabilidades ocorram novamente em novos ou
produtos atualizados, a equipe deve realizar uma análise de causa raiz e alimentar as lições
aprendeu nas práticas de ciclo de vida de software seguro. Para uma discussão mais aprofundada, consulte a Sec-
ções. . marcador e. . bala .
8. Planejando a implementação e implantação de desenvolvimento seguro . Um saudável e

o ciclo de vida de desenvolvimento seguro maduro inclui as sete práticas acima, mas também um
integração dessas práticas no processo de negócios e em toda a organização,
incluindo gerenciamento de programa, gerenciamento de partes interessadas, planejamento de implantação,
indicadores e indicadores, e um plano de melhoria contínua. A cultura, experiência e
6https://www.owasp.org/images/ / 8 / OWASP_SCP_Quick_Reference_Guide_v.pdf
https://www.oracle.com/technetwork/java/seccodeguide- 6.html
8https://wiki.sei.cmu.edu/con uence / display / seccode / SEI + CERT + Coding + Standards
https: // www. rst.org/cvss/
https://www.iso.org/standard/ .html e https://www.iso.org/standard/ .html
www.cybok.org
nível de habilidade da organização precisa ser considerado ao planejar a implantação de um

cura o ciclo de vida do software. Com base na história passada, a organização pode responder melhor
a um mandato corporativo, a uma abordagem de onda de baixo para cima ou a uma série de
programas. Será necessário treinamento (ver Seção.. Marcador). A especificação do
ciclo de vida seguro do software da organização, incluindo as funções e responsabilidades que devem ser
ser documentado. Devem ser feitos planos para conformidade e integridade do processo (consulte a Seção
6)
6.. Comparando os modelos de ciclo de vida de software seguro

Em, De Win et al. [ ] comparou CLASP, SDL originalmente documentado da Microsoft [ ],
e pontos de contato (consulte a Seção.) com a finalidade de fornecer orientação sobre seus
alidades e a especi cidade da abordagem, e fazer sugestões para melhorias. O
autores mapearam as atividades possíveis de cada modelo de ciclo de vida em seis desenvolvimentos de software
fases opcionais: educação e sensibilização; início do projeto; análise e requisitos; ar-
projeto arquitetônico e detalhado; implementação e teste; e lançamento, implantação e
Apoio, suporte. As atividades levaram as práticas em Seções. . -. . em granularidade muito mais ner.
Os autores indicaram se cada modelo inclui cada uma das atividades e fornece
orientação sobre os pontos fortes e fracos de cada modelo. Os autores não encontraram nenhuma comunicação clara
preensivo 'vencedor' entre os modelos, então os profissionais podem considerar o uso de diretrizes para
as práticas refinadas desejadas de todos os modelos.
A Tabela 6. coloca as práticas das Seções. . -. . no desenvolvimento de seis software

fases utilizadas por De Win et al. [ ] Semelhante ao trabalho anterior [ ], os modelos demonstram
pontos fortes e fracos em termos de orientação para as seis fases de desenvolvimento de software.
Nenhum modelo pode ser considerado perfeito para todos os contextos. Especialistas em segurança podem personalizar um modelo
para suas organizações, considerando a disseminação de práticas para o desenvolvimento de seis softwares
fases.
www.cybok.org
Microsoft SDL Pontos de toque SAFECode
• Planejando o
Educação e
implementação e
conhecimento • Fornecer treinamento
implantação de seguro
desenvolvimento
• Definir métricas e
relatórios de conformidade
• Planejando o
Início do projeto • Definir e usar implementação e
criptografia implantação de seguro
padrões desenvolvimento
• Use ferramentas aprovadas
• De nir segurança
Análise e requisitos • Casos de abuso • Segurança do aplicativo
requisitos
• Executar ameaça • Requisitos de segurança definição de controle
modelagem
Arquitetônico e
• Estabelecer design • Risco arquitetônico
projeto detalhado • Projeto
requisitos análise
• Realizar análise estática

teste de segurança (SAST)
• Desempenho dinâmico
análise de segurança
• Codificação segura
teste (DAST)
• Revisão de código (ferramentas) práticas
Implementação • Realizar penetração
• Teste de penetração • Gerenciar risco de segurança
e testando testando
inerente ao uso de
• Segurança baseada em risco
• Definir e usar componentes de terceiros
testando
criptografia
• Teste e validação
padrões
• Gerenciar o risco de
usando terceiros
componentes
Liberação,
• Estabeleça um padrão
implantação e • Resposta à vulnerabilidade
resposta a incidentes • Operações de segurança
Apoio, suporte e divulgação
processar
Tabela 6.: Comparando os Modelos de Ciclo de Vida de Segurança de Software
www.cybok.org
6 ADAPTAÇÕES DO SOFTWARE SEGURO

CICLO DA VIDA
[ 68 , , , , , , 6, , 8, ]
Os modelos de ciclo de vida de software seguro discutidos na Seção 6.. pode ser integrado com qualquer
modelo de desenvolvimento de software e são agnósticos de domínio. Nesta seção, informações sobre seis
adaptações para proteger o ciclo de vida do software são fornecidas.
6.. Desenvolvimento Ágil de Software e DevOps

Metodologias ágeis e contínuas de desenvolvimento de software são altamente iterativas, com novos
funcionalidade fornecida aos clientes com frequência - potencialmente tão rapidamente quanto várias vezes
por dia ou tão 'lentamente' como a cada duas a quatro semanas.
As metodologias ágeis de desenvolvimento de software podem ser centradas em requisitos funcionais, com o
funcionalidade sendo expressa como histórias de usuário . SAFECode [ ] fornece software prático
orientação de segurança para profissionais ágeis. Esta orientação inclui um conjunto de 6 recomendações
histórias focadas em segurança que podem ser tratadas de forma semelhante à estória de usuário focada em funcionalidade
ries. Essas histórias são baseadas em problemas de segurança comuns, como os listados no
OWASP Top MostRiscos críticos de segurança de aplicativos da Web. As histórias são mapeadas para
Enumerações de fraqueza comum (CWEs) identificadores, conforme aplicável. O foco na segurança
as histórias são formuladas em um formato semelhante às histórias de funcionalidade (ou seja, como [parte interessada], eu quero
[nova funcionalidade] para que eu possa [objetivo]). Por exemplo, uma história com foco em segurança usando este para-
tapete é fornecido: Como garantia de qualidade, quero verificar se todos os usuários têm acesso ao
recursos que eles exigem e que estão autorizados a usar , que são mapeados para CWE-86 e CWE-
86 As histórias focadas na segurança são subdivididas em gerenciáveis e concretas
tarefas que pertencem às funções da equipe, incluindo arquitetos, desenvolvedores, testadores e segurança
especialistas, e são mapeados para SAFECode Fundamental Practices [ 68] Finalmente, operacional
as tarefas de segurança foram especi cadas por SAFECode. Essas tarefas não estão diretamente ligadas a histórias, mas
são tratados como trabalho de manutenção contínua (como, verificar continuamente a cobertura de estática
ferramentas de análise de código ) ou como um item que requer atenção especial (como rastreamento de bug de configuração
para rastrear vulnerabilidades de segurança ).
Com uma abordagem DevOps para o desenvolvimento de software, o desenvolvimento e as operações são totalmente integrados
rada para permitir a entrega rápida e contínua de valor aos usuários finais. Microsoft publicou
um modelo de ciclo de vida de software seguro DevOps [ ] que inclui atividades para operações engi-
neers fornecer feedback rápido e antecipado para a equipe para criar segurança nos processos de DevOps.
O modelo Secure DevOps contém oito práticas, incluindo oito das práticas no
Ciclo de vida de desenvolvimento de segurança da Microsoft discutido na seção. . :
. Fornece treinamento . O treinamento, conforme descrito na Seção. . marcador, deve incluir o

engenheiros de operações. O treinamento deve abranger vetores de ataque disponibilizados
através do pipeline de implantação.
. Requisitos de ne . Veja a seção. . bala .
. Relatórios de métricas definidas e conformidade . Veja a seção. . bala .

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://cwe.mitre.org/ ; CWE é uma lista desenvolvida pela comunidade de pontos fracos comuns de segurança de software. Isto
serve como uma linguagem comum, uma medida de medição para ferramentas de segurança de software e como base para fraquezas
esforços de identificação, mitigação e prevenção.
www.cybok.org
. Use Análise de Composição de Software (SCA) e governança . Ao selecionar ambos com

componentes comerciais e de código aberto de terceiros, a equipe deve compreender o im-
pacto que uma vulnerabilidade no componente pode ter na segurança geral do sistema
e considere realizar uma avaliação mais completa antes de usá-los. Programas
Análise de Composição (SCA) ferramentas, como WhiteSource, podem auxiliar no licenciamento de
postura, fornecer um inventário preciso de componentes e relatar quaisquer vulnerabilidades
com componentes referenciados. Veja também a Seção. . bala .
. Executar modelagem de ameaças . Veja a seção. . bala . A modelagem de ameaças pode ser per-
percebida como uma redução do ritmo rápido de DevOps. No entanto, os produtos que são implantados
rapidamente em um processo de implantação DevOps deve ter uma arquitetura geral definida
dentro do qual o processo DevOps faz alterações e adiciona recursos. Aquela arquitetura
deve ser modelado de ameaça, e quando a equipe precisa mudar a arquitetura, o
o modelo de ameaça também deve ser atualizado. Novos recursos que não possuem uma arquitetura
o impacto representa uma mudança nula no modelo de ameaça.
6. Use Ferramentas e Automação . Veja a seção. . marcadores 8 e. A equipe deve se preocupar

ferramentas totalmente selecionadas que podem ser integradas ao ambiente de desenvolvimento integrado do engenheiro
ronment (IDE) e fluxo de trabalho de forma que causem o mínimo de interrupção. O objetivo de usar
essas ferramentas são para detectar defeitos e vulnerabilidades e não sobrecarregar os engenheiros com
muitas ferramentas ou processos estranhos fora de sua experiência cotidiana de engenharia.
As ferramentas usadas como parte de um fluxo de trabalho DevOps seguro devem aderir ao seguinte
princípios:
(a) As ferramentas devem ser integradas na Integração / Entrega Contínua

(CI / CD) pipeline.
(b) As ferramentas não devem exigir conhecimentos de segurança além do que é transmitido pelo treinamento.
(c) As ferramentas devem evitar uma alta taxa de falsos positivos de problemas de relatório.
. Mantenha as credenciais seguras . Verificando credenciais e outros conteúdos confidenciais na fonte

les é necessário durante o pré-compromisso para reduzir o risco de propagação de
formação através do processo de CI / CD , como por meio de Infraestrutura como Código ou outro
scripts de implantação. Ferramentas, como CredScan , podem identificar vazamentos de credenciais, como
aqueles no código-fonte e arquivos de configuração. Alguns tipos de credenciais comumente encontrados
tials incluem senhas padrão, senhas embutidas em código, strings de conexão SQL e
Certi cados com chaves privadas.
8. Use o aprendizado e monitoramento contínuos . Sistemas rapidamente implantados frequentemente monitoram o

saúde de aplicativos, infraestrutura e redes por meio de instrumentação para garantir
os sistemas estão se comportando 'normalmente'. Esse monitoramento também pode ajudar a descobrir a segurança
e problemas de desempenho que são desvios do comportamento normal. Monitoramento é
também uma parte essencial do apoio a uma estratégia de defesa em profundidade e pode reduzir um
da organização Mean Time identificar (MTTI) e tempo médio para conter (MTTC) a
ataque.
https://www.whitesourcesoftware.com/
https://secdevtools.azurewebsites.net/helpcredscan.html

www.cybok.org
6.. Móvel
As preocupações de segurança para aplicativos móveis diferem do software de desktop tradicional em alguns aspectos importantes
formas, incluindo armazenamento local de dados, comunicação entre aplicativos, uso adequado de criptografia
APIs e comunicação de rede segura. O Projeto de Segurança Móvel OWASP [ ] é um
recursos para desenvolvedores e equipes de segurança para construir e manter aplicativos móveis seguros;
consulte também a Área de Conhecimento de Segurança da Web e Móvel (Capítulo ) .
Quatro recursos são fornecidos para ajudar no ciclo de vida do software seguro de aplicativos móveis:
. OWASP Mobile Application Security Veri cation Standard (MASVS) Requer segurança-
e Veri cação . O MASVS define um modelo de segurança de aplicativo móvel e listas
requisitos de segurança genéricos para aplicativos móveis. O MASVS pode ser usado por arquitetos,
desenvolvedores, testadores, profissionais de segurança e consumidores para definir e compreender
as qualidades de um aplicativo móvel seguro.
. Guia de teste de segurança móvel (MSTG) . O guia é um manual abrangente para

teste de segurança de aplicativos móveis e engenharia reversa para dispositivos móveis iOS e Android
testadores de segurança. O guia fornece o seguinte conteúdo:
(a) Um guia geral de teste de aplicativo móvel que contém um teste de segurança de aplicativo móvel-
metodologia e técnicas gerais de análise de vulnerabilidade conforme se aplicam a
segurança de aplicativos móveis. O guia também contém casos de teste técnico adicionais que
são independentes do sistema operacional, como autenticação e gerenciamento de sessão
, comunicações de rede e criptografia.
(b) Guias de teste dependentes do sistema operacional para teste de segurança móvel no An-
plataformas droid e iOS, incluindo noções básicas de segurança; casos de teste de segurança; reverso en-
técnicas de engenharia e prevenção; e técnicas e prevenção de adulteração.
(c) Casos de teste detalhados que mapeiam para os requisitos no MASVS.
. Lista de verificação de segurança de aplicativos móveis . A lista de verificação6 é usado para avaliações de segurança e
contém links para o caso de teste MSTG para cada requisito.
. Modelo de ameaça móvel . O modelo de ameaça [ ] fornece uma lista de verificação de itens que devem
ser documentado, revisado e discutido ao desenvolver um aplicativo móvel. Cinco
áreas são consideradas no modelo de ameaça:
(a) Arquitetura de aplicativo móvel . A arquitetura do aplicativo móvel descreve

recursos específicos do dispositivo usados pelo aplicativo, protocolos de transmissão sem fio,
meio de transmissão de dados, interação com componentes de hardware e outros ap-
plicações. A superfície de ataque pode ser avaliada por meio de um mapeamento para a arquitetura
ture.
(b) Dados móveis . Esta seção do modelo de ameaça define os dados do aplicativo
armazena, transmite e recebe. Os diagramas de fluxo de dados devem ser revisados para de-
termine exatamente como os dados são tratados e gerenciados pelo aplicativo.
(c) Identificação do agente de ameaça . Os agentes de ameaça são enumerados, incluindo humanos
e programas automatizados.
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide
6https://github.com/OWASP/owasp-mstg/tree/master/Checklists
www.cybok.org
(d) Métodos de ataque . Os ataques mais comuns utilizados por agentes de ameaça são de-
necessário para que os controles possam ser desenvolvidos para mitigar os ataques.
(e) Controles . Os controles para mitigar ataques são definidos.
6.. Computação em Nuvem

O surgimento da computação em nuvem traz riscos e desafios de segurança exclusivos. Em conjunto
com a Cloud Security Alliance (CSA), SAFECode forneceu um 'Práticas para Segurança
Desenvolvimento de Aplicativos em Nuvem '[ ] como um suplemento ao 'Fundamental
Diretriz de práticas para desenvolvimento seguro de software [ 68] discutido na Seção 6.. . -
consulte também a Área de Conhecimento de Segurança de Sistemas Distribuídos (Capítulo ) . A diretriz da nuvem
fornece recomendações adicionais de desenvolvimento seguro para lidar com seis ameaças exclusivas para
computação em nuvem e para identificar práticas específicas de design e implementação de segurança no
contexto dessas ameaças. Essas ameaças e práticas associadas são fornecidas:
. Ameaça: Multitenancy . A multilocação permite que vários consumidores ou locatários mantenham

uma presença no ambiente de um provedor de serviços em nuvem, mas de uma maneira onde o
putações, processos e dados (em repouso e em trânsito) de um inquilino são isolados
de e inacessível para outro inquilino. Práticas:
(a) Modele as interfaces do aplicativo em modelos de ameaça. Certifique-se de que a multilocação

ameaças, como divulgação de informações e elevação de privilégios são modeladas para
cada uma dessas interfaces, e garantir que essas ameaças sejam mitigadas no aplicativo
código de cação e / ou definições de configuração.
(b) Use um projeto de banco de dados de 'esquema separado' e tabelas para cada inquilino ao construir
aplicativos multilocatários em vez de depender de uma coluna 'TenantID' em cada tabela.
(c) Ao desenvolver aplicativos que alavancam a plataforma de um provedor de serviços em nuvem como
um serviço (PaaS) serviços, garantir que os serviços comuns sejam projetados e implantados em
uma forma que garante que a segregação do inquilino seja mantida.
. Tokenização de dados confidenciais . Uma organização pode não desejar gerar e armazenar
propriedade intelectual em um ambiente de nuvem que não está sob seu controle. Tokenização é um
método de remoção de dados confidenciais de sistemas onde eles não precisam existir ou
desassociar os dados do contexto ou da identidade que os torna sensíveis. O
os dados confidenciais são substituídos por um token para esses dados. O token é usado posteriormente para reingressar
os dados confidenciais com outros dados no sistema de nuvem. Os dados sensíveis são criptografados
e protegido dentro do sistema central de uma organização que pode ser protegido com
várias camadas de proteção e redundância apropriada para recuperação de desastres e negócios
continuidade. Práticas:
(a) Ao projetar um aplicativo em nuvem, determine se o aplicativo precisa ser processado

dados confidenciais e, em caso afirmativo, identificar qualquer regulamento organizacional, governamental ou setorial
informações que dizem respeito a esse tipo de dados confidenciais e avaliam seu impacto sobre o
design do aplicativo.
(b) Considere a implementação de tokenização para reduzir ou eliminar a quantidade de

dados que precisam ser processados e / ou armazenados em ambientes de nuvem.
https://cloudsecurityalliance.org/
www.cybok.org
(c) Considere o mascaramento de dados, uma abordagem que pode ser usada no teste de pré-produção e
depurar sistemas nos quais um conjunto de dados representativo é usado, mas não precisa
têm acesso a dados confidenciais reais. Esta abordagem permite o teste e depuração
isentos dos requisitos de proteção de dados sensíveis.
. Pools de computação confiáveis . Trusted Compute Pools são grupos físicos ou lógicos
sistemas de recursos / sistemas de computação em um data center que compartilham uma postura de segurança.
Esses sistemas fornecem verificação medida da infraestrutura de inicialização e tempo de execução
para lançamento medido e verificação de confiança. As medições são armazenadas em um confiável
localização no sistema (referido como Módulo de plataforma confiável (TPM)) e veri -
cação ocorre quando um agente, serviço ou aplicativo solicita a cotação de confiança do
TPM. Práticas:
(a) Garantir que a plataforma para o desenvolvimento de aplicativos em nuvem forneça medição de confiança
recursos e as APIs e serviços necessários para seus aplicativos para ambos
questionar e verificar as medidas da infraestrutura em que estão operando.
(b) Verifique as medidas de confiança como parte da inicialização de seu aplicativo

ou como uma função separada antes de iniciar o aplicativo.
(c) Auditar a confiabilidade dos ambientes em que seus aplicativos são executados usando o serviço de atestado
vícios ou recursos de atestado nativos de seu provedor de infraestrutura.
. Criptografia de dados e gerenciamento de chaves . A criptografia é o meio mais difundido de

proteger dados confidenciais em repouso e em trânsito. Quando a criptografia é usada, ambos os provedores
e os inquilinos devem garantir que os materiais da chave criptográfica associados sejam devidamente
gerado, gerenciado e armazenado. Práticas:
(a) Ao desenvolver um aplicativo para a nuvem, determine se a criptografia e a chave

recursos de gerenciamento precisam ser implementados diretamente no aplicativo ou
se o aplicativo pode aproveitar os recursos criptográficos e de gerenciamento de chaves
fornecido pelo ambiente PaaS .
(b) Certifique-se de que os recursos de gerenciamento de chave apropriados estão integrados ao

aplicativo para garantir o acesso contínuo às chaves de criptografia de dados, especialmente como
os dados se movem através das fronteiras da nuvem, como empresa para nuvem ou público para
nuvem privada.
. Autenticação e gerenciamento de identidade . Como um consumidor de autenticação, o aplicativo

cation pode precisar se autenticar no PaaS para acessar interfaces e serviços
fornecido pela PaaS. Como um provedor de autenticação, o aplicativo pode precisar de au-
em seguida, identifique os usuários do próprio aplicativo. Práticas:
(a) Os desenvolvedores de aplicativos em nuvem devem implementar os métodos de autenticação e

credenciais necessárias para acessar interfaces e serviços PaaS .
(b) Os desenvolvedores de aplicativos em nuvem precisam implementar métodos de autenticação apropriados

ods para seus ambientes (privado, híbrido ou público).
(c) Ao desenvolver aplicativos em nuvem para serem usados por usuários corporativos, desenvolvedores
deve considerar o suporte de Single Sign On (SSO) soluções.
6. Problemas de domínio compartilhado . Vários provedores de nuvem oferecem domínios que os desenvolvedores podem usar
para armazenar o conteúdo do usuário ou para preparar e testar seus aplicativos em nuvem. Como tal, estes
www.cybok.org
domínios, que podem ser usados por vários fornecedores, são considerados 'domínios compartilhados'
ao executar o script do lado do cliente (como JavaScript) e ao ler dados. Práticas:
(a) Certifique-se de que seus aplicativos em nuvem estejam usando domínios personalizados sempre que a nuvem
a arquitetura do provedor permite que você faça isso.
(b) Revise seu código-fonte para quaisquer referências a domínios compartilhados.
A Agência da União Europeia para a Cibersegurança (ENISA) [ ] conduziu um estudo aprofundado e profundo
análise dependente dos benefícios de segurança da informação e principais riscos de segurança da nuvem com-
colocando. A análise relata que as concentrações massivas de recursos e dados no
a nuvem apresenta um alvo mais atraente para os invasores, mas as defesas baseadas na nuvem podem ser mais
robusto, escalonável e econômico.
6.. Internet das coisas (IoT)
A Internet das Coisas (IoT) é utilizado em quase todos os aspectos de nossa vida diária, incluindo o
extensão em setores industriais e aplicações (ou seja, IOT industrial (IIoT)). Internet das coisas e IIoT con-
stitute uma área de rápido crescimento que apresenta desafios de segurança únicos. [Deste ponto em diante
incluímos IIoT quando usamos IoT.] Alguns deles são considerados no Sistema Ciber-Físico
tems Área de Conhecimento de Segurança (Capítulo ), mas consideramos especificamente o ciclo de vida do software
questões aqui. Os dispositivos devem ser provisionados com segurança, a conectividade entre esses dispositivos e
a nuvem deve ser segura e os dados armazenados e em trânsito devem ser protegidos. No entanto, o
os dispositivos são pequenos, baratos e com recursos limitados. Construir segurança em cada dispositivo pode não ser
considerada econômica pelo fabricante, dependendo do valor do dispositivo
e a importância dos dados que coleta. Uma IoTsolução baseada em muitas vezes tem um grande número de
dispositivos distribuídos geograficamente. Como resultado desses desafios técnicos, as preocupações com a confiança
existir com a IoT, a maioria dos quais atualmente não tem resolução e precisa de pesquisas.
No entanto, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) [ 6] recomenda
quatro práticas para o desenvolvimento de IoT segurasistemas baseados em
. Uso de identificação por radiofrequência (RFID) tags . Sensores e seus dados podem ser tam-
perecido com, excluído, descartado ou transmitido de forma insegura. Existem 'coisas' falsas no
Mercado. Identificadores únicos podem atenuar este problema anexando radiofrequência
Identi cação (RFID) tags para dispositivos. Os leitores ativam uma tag, fazendo com que o dispositivo amplie
lançar ondas de rádio dentro de uma largura de banda reservada para uso de RFID por governos internacionais
cionalmente. As ondas de rádio transmitem identificadores ou códigos que fazem referência a informações exclusivas
associado ao dispositivo.
. Não usar ou permitir o uso de senhas ou credenciais padrão . Dispositivos IoT são
muitas vezes não foi desenvolvido para exigir que os usuários e administradores alterem as senhas padrão
durante a configuração do sistema. Além disso, os dispositivos muitas vezes carecem de interfaces de usuário intuitivas para mudanças
credenciais de ing. As práticas recomendadas são exigir que as senhas sejam alteradas ou
design em interfaces intuitivas. Como alternativa, os fabricantes podem randomizar as senhas
por dispositivo em vez de ter um pequeno número de senhas padrão.
. Uso da descrição de uso do fabricante (LAMA) especificação . O fabricante

Descrição de uso (MUD ) 8 especificação permite que os fabricantes especifiquem
e padrões de tráfego de usuários esperados para reduzir a superfície de ameaça de um dispositivo IoT por re-
restringir as comunicações de / para o dispositivo para fontes e destinos pretendidos por
O manufatureiro.
8https://tools.ietf.org/id/draft-ietf-opsawg-mud- .html

www.cybok.org
. Desenvolvimento de um processo de atualização seguro . Em nãoSistemas IoT , as atualizações são geralmente

entregue por meio de um processo seguro no qual o computador pode autenticar o push de origem
patches e atualizações de recursos e configuração. Os fabricantes de IoT têm, gen-
geralmente, não é estabelecido um processo de atualização seguro, o que permite que os invasores consigam
conduzir um envio de man-in-the-middle de suas próprias atualizações maliciosas para os dispositivos. A IoT
A arquitetura de atualização de firmware fornece orientação sobre a implementação de um rmware seguro
arquitetura de atualização, incluindo regras rígidas que definem como os fabricantes de dispositivos devem operar
erate.
Além disso, o Departamento de Digital, Cultura, Mídia e Esporte do Reino Unido forneceu o Código
de prática para a segurança IoT do consumidor. Incluído no código de prática estão as diretrizes
para melhorar a segurança dos produtos de IoT do consumidor e serviços associados. Dois dos
as diretrizes se sobrepõem aos marcadores do NIST e acima. A lista completa de diretrizes inclui o seguinte
a seguir: () Sem senhas padrão; () Implementar uma política de divulgação de vulnerabilidade; ( ) Manter
software atualizado; () Armazenar com segurança credenciais e dados sensíveis à segurança; () Comuni-
cate com segurança (ou seja, use criptografia para dados confidenciais); (6) Minimize as superfícies de ataque expostas;
() Garantir a integridade do software (por exemplo, uso de inicialização segura); (8) Certifique-se de que os dados pessoais são pro
detectado (ou seja, de acordo com o GDPR); () Tornar os sistemas resilientes a interrupções; ( ) Monitor
dados de telemetria do sistema; () Facilitar para os consumidores a exclusão de dados pessoais; ( ) Faço
instalação e manutenção de dispositivos fáceis; e () Validar dados de entrada. Finalmente, a Microsoft
forneceu uma arquitetura de segurança da Internet das Coisas.
6.. Veículos rodoviários

Um hacker que comprometa o sistema de travagem ou direção de um veículo rodoviário conectado pode
fazer com que um passageiro ou motorista perca a vida. Ataques como esses foram demônios
estratificado, começando com a aquisição de um Ford Escape e um Toyota Prius por um hack de chapéu branco
ers Charlie Miller e Chris Valasek em . Os veículos comerciais conectados fazem parte de
a infraestrutura crítica em cadeias de suprimentos globais complexas. Em 8, o número de relatados
os ataques a veículos conectados aumentaram seis vezes mais do que o número de apenas três anos atrás
lier [ 8], devido ao aumento de veículos conectados e sua maior atratividade
como alvo de invasores [ ] Problemas mais amplos com sistemas ciber-físicos são abordados
na Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Capítulo ) .
A Administração Nacional de Segurança de Tráfego Rodoviário dos EUA (HTSA) de nes veículo cibernético rodoviário
segurança como a proteção de sistemas eletrônicos automotivos, redes de comunicação, con
algoritmos trol, software, usuários e dados subjacentes de ataques maliciosos, danos, unau-
acesso autorizado ou manipulação . O HTSA fornece quatro diretrizes para o setor automotivo
da indústria para consideração em seu ciclo de vida de desenvolvimento de software seguro:
. A equipe deve seguir um processo de desenvolvimento de produto seguro com base em um sistema
abordagem de engenharia com o objetivo de projetar sistemas livres de segurança irracional
riscos, incluindo aqueles de ameaças e vulnerabilidades de segurança cibernética em potencial.
. A indústria automotiva deve ter um processo documentado para responder a inci-

mossas, vulnerabilidades e explorações. Este processo deve abranger a avaliação de impacto, con-
https://tools.ietf.org/id/draft-moran-suit-architecture- .html
https://www.gov.uk/government/publications/code-of-practice-for-consumer-iot-security/code-of-practice-for-
consumer-iot-security
https://docs.microsoft.com/en-us/azure/iot-fundamentals/iot-security-architecture
https://www.wired.com/ / / hackers-remotely-kill-jeep-highway /
https://www.nhtsa.gov/crash-avoidance/automotive-cybersecurity#automotive-cybersecurity-overview
www.cybok.org
ações de entretenimento, recuperação e remediação, os testes associados, e devem incluir

a criação de funções e responsabilidades para fazê-lo. A indústria também deve estabelecer
Use métricas para avaliar periodicamente a eficácia de seu processo de resposta.
. A indústria automotiva deve documentar os detalhes relacionados à sua segurança cibernética

processo, incluindo os resultados da avaliação de risco, teste de penetração e organizações
decisões relacionadas à segurança cibernética. Documentos essenciais, como requisitos de segurança cibernética
mentos, deve seguir um protocolo de controle de versão robusto.
. Esses requisitos de segurança devem ser incorporados aos requisitos de segurança do produto-
mentos, conforme estabelecido na Seção. . marcador, Seção. . ponto 6 e seção. . bala
.:
(a) Limitar o acesso do desenvolvedor / depuração aos dispositivos de produção, como por meio de um
porta de depuração ou através de um console serial.
(b) Chaves (por exemplo, criptográficas) e senhas que podem fornecer informações não autorizadas, el-
nível de acesso a plataformas de computação de veículos deve ser protegido de
divulgação. As chaves não devem fornecer acesso a vários veículos.
(c) As características de diagnóstico devem ser limitadas a um modo específico de operação do veículo que
cumpre o propósito pretendido do recurso associado. Por exemplo, um diagnóstico
operação nóstica que pode desativar os freios individuais de um veículo pode ser restringida
operar apenas em baixas velocidades ou não desabilitar todos os freios ao mesmo tempo.
(d) A criptografia deve ser considerada uma ferramenta útil na prevenção de pessoas não autorizadas
recuperação e análise de rmware.
(e) Limitar a capacidade de modificar o rmware e / ou empregar técnicas de assinatura para torná-lo
mais desafiador para malware ser instalado em veículos.
(f) O uso de servidores de rede em ECUs de veículos deve ser limitado a função essencial-
alidade, e os serviços sobre essas portas devem ser protegidos para evitar o uso por pessoas não autorizadas
partidos aumentados.
(g) Técnicas de isolamento lógico e físico devem ser usadas para separar os processadores,
redes de veículos e conexões externas conforme apropriado para limitar e controlar o caminho
caminhos de vetores de ameaças externas para recursos ciberfísicos de veículos.
(h) O envio de sinais de segurança como mensagens em barramentos de dados comuns deve ser evitado,
mas quando usado deve empregar um esquema de autenticação de mensagem para limitar o pos-
sibilidade de spoo ng de mensagens.
(i) Um registro imutável de eventos suficiente para permitir a análise forense deve ser principal
tidos e examinados periodicamente por pessoal de manutenção qualificado para detectar
tendências de ataque cibernético.
(j) Os métodos de criptografia devem ser empregados em qualquer comunicação operacional baseada em IP
cação entre servidores externos e o veículo, não devendo aceitar
certificados.
(k) Planejar e projetar recursos que possam permitir mudanças no roteamento da rede
regras a serem propagadas rapidamente e aplicadas a um, um subconjunto ou todos os veículos
A Organização Internacional de Padronização (ISO) e a Society for Automative

https://www.iso.org/standard/ 8.html
www.cybok.org
Engenharia (SAE) A International está desenvolvendo em conjunto uma Norma internacional, ISO
Veículos rodoviários - engenharia de segurança cibernética 6. O padrão irá especificar os requisitos mínimos
sobre os processos e atividades de engenharia de segurança e definirá os critérios de avaliação. Ex-
plicitamente, o objetivo é fornecer um processo estruturado para garantir que a segurança cibernética seja projetada em
adiantado e integrado em todo o processo de ciclo de vida de hardware e software.
A adoção de um ciclo de vida de software seguro na indústria automotiva pode ser impulsionada por
islação, como por meio do US SPY Car Act ou do Intelligent and Con-
Veículos conectados (ICVs) iniciativa 8.
6 .6 Indústria de comércio eletrônico / cartão de pagamento

A capacidade de roubar grandes quantidades de dinheiro torna a indústria de cartões de pagamento (PCI) um es-
alvo especialmente atraente para invasores. Em resposta, o PCI criou os Padrões de Segurança
Conselho, um fórum global para o desenvolvimento contínuo, aprimoramento, armazenamento, disseminação,
e implementação de padrões de segurança para proteção de dados de contas. The Security Stan-
Conselho de Padrões estabeleceu o Padrão de Segurança de Dados (PCI DSS), que deve ser apoiado por
quaisquer organizações que lidam com cartões de pagamento, incluindo cartões de débito e crédito. PCI DSS con
contém requisitos que são um conjunto de controles de segurança que as empresas devem
implementar para proteger os dados do cartão de crédito. Esses requisitos específicos são incorporados ao
requisitos de segurança do produto, conforme estabelecido na Seção. . marcador, Seção. . marcador 6, e
Seção . . bala . Os requisitos são os seguintes:
. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão.
. Não use padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança
ters.
. Proteja os dados armazenados do titular do cartão.
. Criptografe a transmissão dos dados do portador do cartão em redes públicas abertas.
. Use e atualize regularmente o software antivírus.
6. Desenvolver e manter sistemas e aplicativos seguros, incluindo detecção e mitigação

bloquear vulnerabilidades e aplicar controles de mitigação.
. Restrinja o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa.
8. Atribua um ID exclusivo a cada pessoa com acesso ao computador.
. Restrinja o acesso físico aos dados do titular do cartão.
. Rastreie e monitore todo o acesso a recursos de rede e dados do titular do cartão.
. Teste regularmente os sistemas e processos de segurança.
. Mantenha uma política que trate da segurança da informação.

www.sae.org
6https://www.iso.org/standard/8.html
https://www.congress.gov/bill/ th-congress / senate-bill / 68
8http://icv.sustainabletransport.org/
https://searchsecurity.techtarget.com/de nition / PCI-DSS- -requirements
www.cybok.org
6 AVALIANDO O CICLO DE VIDA SEGURO DO SOFTWARE

[ 8 , 8]
As organizações podem desejar ou ser solicitadas a avaliar a maturidade de seu desenvolvimento seguro
ciclo da vida. Quatro abordagens de avaliação são descritas nesta seção.
6.. SAMM
O modelo de maturidade do Software Assurance (SAMM) é uma estrutura aberta para ajudar a organização
ções formular e implementar uma estratégia de segurança de software que é feita sob medida para o
riscos enfrentados pela organização. Os recursos são fornecidos para o SAMM para permitir que uma organização
ção para fazer o seguinte:
. De ne e meça as atividades relacionadas à segurança dentro de uma organização.
. Avalie suas práticas de segurança de software existentes.
. Crie um programa de segurança de software balanceado em iterações bem de nidas.
. Demonstrar melhorias em um programa de garantia de segurança.
Porque cada organização utiliza seu próprio processo de software seguro (ou seja, seu próprio sistema exclusivo
binação das práticas estabelecidas nas Seções e), o SAMM fornece uma estrutura para
descrever iniciativas de segurança de software de uma maneira comum. Os designers SAMM enumerados
atividades executadas por organizações em apoio aos seus esforços de segurança de software. Alguns ex-
atividades amplas incluem: construir e manter modelos de casos de abuso por projeto; especificar segurança
requisitos baseados em riscos conhecidos; e identificar a superfície de ataque do software. Estes ativos
As propriedades são categorizadas em uma das práticas de segurança. As práticas de segurança são mais
agrupados em uma das quatro funções de negócios. As funções de negócios e práticas de segurança
são como segue:
. Função empresarial: governança
(a) Estratégia e métricas
(b) Política e conformidade
(c) Educação e orientação
. Função empresarial: construção
(a) Avaliação de ameaças
(b) Requisitos de segurança
(c) Arquitetura segura
. Função Empresarial: Veri cação
(a) Revisão do projeto
(b) Revisão de código
(c) Teste de segurança
. Função de negócios: implantação

https://www.opensamm.org/ e https://www.owasp.org/images/6/6f/SAMM_Core_V - _FINAL.pdf
www.cybok.org
(a) Gerenciamento de vulnerabilidade
(b) Endurecimento do ambiente
(c) Capacitação operacional
As avaliações SAMM são realizadas por meio de autoavaliações ou por um consultor que escolhe
sen pela organização. As planilhas são fornecidas pelo SAMM para pontuar a avaliação,
fornecer informações para a organização sobre seu nível de maturidade atual:
•: Ponto de partida implícito que representa as atividades na Prática que está sendo não cumprida.
•: Compreensão inicial e provisão ad hoc da Prática de Segurança.
•: Aumentar a eficiência e / ou eficácia da Prática de Segurança.
•: Domínio abrangente das práticas de segurança em grande escala.
Avaliações podem ser realizadas periodicamente para medir as melhorias em uma organização
programa de garantia de segurança.
6.. BSIMM
Gary McGraw, Sammy Migues e Brian Chess desejavam criar um modelo descritivo do
estado da prática no ciclo de vida de desenvolvimento de software seguro. Como resultado, eles bifurcaram um
versão inicial do SAMM (ver Seção.) para criar a estrutura original do Edifício Se-
curity In Maturity Model (BSIMM) [ 8 , 8] dentro . Desde então, o BSIMM tem sido
usado para estruturar um estudo empírico de vários anos do estado atual de iniciação de segurança de software
tivas na indústria.
Porque cada organização utiliza seu próprio processo de software seguro (ou seja, seu próprio sistema exclusivo
binação das práticas estabelecidas nas Seções e), o BSIMM fornece uma estrutura para
descrever iniciativas de segurança de software de uma maneira comum. Com base em suas observações, o
Os designers da BSIMM enumeraram as atividades executadas por organizações em apoio aos seus
esforços de segurança de software. Alguns exemplos de atividades incluem: construir e publicar recursos de segurança
turas; usar ferramentas automatizadas junto com uma revisão manual; e integrar ferramentas de segurança de caixa preta
no processo de garantia de qualidade. Cada atividade está associada a um nível de maturidade e é
categorizado em uma das práticas. As práticas são agrupadas em uma de quatro
domínios. Os domínios e práticas são os seguintes:
. Domínio: Governança
(a) Estratégia e métricas
(b) Conformidade e política
(c) Treinamento
. Domínio: Inteligência
(a) Modelos de ataque
(b) Recursos e design de segurança
(c) Padrões e requisitos
. Domínio: pontos de contato do ciclo de vida de desenvolvimento de software seguro
(a) Análise de arquitetura
www.cybok.org
(b) Revisão de código
(c) Teste de segurança
. Domínio: implantação
(a) Teste de penetração
(b) Ambiente de software
(c) Gestão de configuração e gestão de vulnerabilidade
As avaliações BSIMM são realizadas por meio de entrevistas pessoais por profissionais de segurança de software
profissionais da Cigital (agora Synopsys) com líderes de segurança em uma empresa. Por meio das entrevistas, o
O rm obtém um scorecard sobre quais atividades de segurança de software o rm usa. Após
a rm completa as entrevistas, eles recebem informações comparando-se com
as outras organizações que foram avaliadas. Avaliações BSIMM foram realizadas
desde 8. Anualmente, os resultados gerais das avaliações de todas as rms são publicados, re-
Consultoria no BSIMM através de relatórios BSIMM. Desde que o estudo BSIMM começou em 8, 6
rms participaram da avaliação BSIMM , às vezes várias vezes, compreendendo 8
medições distintas. Para garantir a relevância contínua dos dados relatados, o BSIMM
relatar medições excluídas com mais de meses e relatadas em medidas distintas
mentos coletados de rms.
6.. Os Critérios Comuns
O objetivo deste Critério Comum (CC) é fornecer um veículo para reconhecimento internacional
nição de um produto de tecnologia da informação segura (TI) (onde o SAMM e o BSIMM eram
avaliações de um processo de desenvolvimento). O objetivo do CC é para produtos de TI que tenham
ganhou um certificado CC de um Organismo de Certificação / Validação autorizado (CB) a ser adquirido
ou usado sem necessidade de avaliação adicional. Os Critérios Comuns buscam fornecer fundamentos
pela confiança na confiabilidade dos julgamentos nos quais o certificado original foi baseado
exigindo que um OC que emite certificados de Critérios Comuns deve atender a alta e consistente
padrões. Um desenvolvedor de uma nova linha de produtos pode fornecer diretrizes para o desenvolvimento seguro
configuração e configuração desse produto. Esta diretriz pode ser enviada como uma proteção
Perfil (o padrão para produtos semelhantes que se seguem). Qualquer outro desenvolvedor pode adicionar ou
mude esta diretriz. Os produtos que ganham a certificação nesta linha de produtos usam a proteção
per l de ção como o delta contra o qual eles constroem.
Com base na avaliação do CB, um produto recebe um Nível de Garantia de Avaliação

(EAL) Um produto ou sistema deve atender aos requisitos de garantia específicos para atingir um determinado
lar EAL. Os requisitos envolvem a documentação do projeto, análise e penetração funcional ou
testando. O nível mais alto fornece a mais alta garantia de que a segurança principal do sistema
os recursos são aplicados de forma confiável. O EAL indica até que ponto o produto ou sistema foi
testado:
• EAL : testado funcionalmente . Aplica-se quando as ameaças à segurança não são consideradas graves. O
avaliação fornece evidências de que o sistema funciona de uma maneira consistente com sua
documentação e que fornece proteção útil contra ameaças identificadas.
• EAL : testado estruturalmente . Aplica-se quando as partes interessadas exigem baixo a moderado
segurança garantida de forma independente, mas o registro de desenvolvimento completo não é prontamente
https://www.commoncriteriaportal.org/ccra/index.cfm
www.cybok.org
disponíveis, como a proteção de um sistema legado.
• EAL : Testado e verificado metodicamente . Aplica-se quando as partes interessadas exigem um moderador
nível de segurança garantido de forma independente e uma investigação completa do sistema
e seu desenvolvimento, sem reengenharia substancial.
• EAL : Metodicamente projetado, testado e revisado . Aplica-se quando as partes interessadas exigem
moderada a alta segurança garantida de forma independente em produtos de commodities e são pré-
parados para incorrer em custos adicionais de engenharia específicos de segurança.
• EAL : semi-formalmente projetado e testado . Aplica-se quando as partes interessadas exigem alto,
segurança garantida de forma independente em um desenvolvimento planejado e exige um rigoroso de-
abordagem de desenvolvimento que não acarrete custos excessivos de segurança especializada
técnicas de engenharia.
• EAL 6: Projeto semiformalmente verificado e testado . Aplica-se ao desenvolver sistemas em

situações de alto risco em que o valor dos ativos protegidos justifica custos adicionais.
• EAL : Projeto formalmente verificado e testado . Aplica-se ao desenvolver sistemas em ex-

situações de risco extremamente alto e quando o alto valor dos ativos justifica o maior
custos.
O CC fornece um conjunto de requisitos de segurança funcional e de garantia de segurança. Esses

requisitos, conforme o caso, são incorporados aos requisitos de segurança do produto, como
disposto na seção. . marcador, Seção. . ponto 6 e seção. . bala .
6 ADOTANDO UM CICLO DE VIDA SEGURO DE SOFTWARE

[ 8 , 8 , 8]
Esta área de conhecimento forneceu uma miríade de práticas possíveis que uma organização pode incluir
em seu ciclo de vida de software seguro. Algumas dessas práticas, como as discutidas na Seção
, potencialmente se aplicam a qualquer produto. Outras práticas são de domínio específico, como aquelas dis-
xingado na seção.
As organizações que adotam novas práticas, muitas vezes gostam de aprender e adotar práticas que são
usado por organizações semelhantes a elas [ 8 ] Ao escolher quais práticas de segurança
para incluir em um ciclo de vida de software seguro, as organizações podem considerar olhar para o mais recente
BSIMM [ 8 , 8] resultados que fornecem informações atualizadas sobre a adoção de práticas
na indústria.
DISCUSSÃO
[8]
Este capítulo forneceu uma visão geral de três softwares seguros proeminentes e prescritivos
processos de ciclo de vida e seis adaptações desses processos que podem ser aplicados em um determinado
domínio. No entanto, o panorama da segurança cibernética em termos de ameaças, vulnerabilidades, ferramentas e
práticas está sempre evoluindo. Por exemplo, uma prática não foi mencionada em nenhum dos
esses nove processos é o uso de um programa de recompensa de bug para a identificação e resolução
de vulnerabilidades. Com um programa de recompensa por bug, as organizações compensam indivíduos e / ou
pesquisadores para encontrar e relatar vulnerabilidades. Esses indivíduos são externos ao

www.cybok.org
organização produtora do software e pode trabalhar de forma independente ou por meio de uma recompensa por bug
organização, como HackerOne .
Embora a maior parte desta área de conhecimento se concentre em práticas técnicas, o sucesso
a adoção dessas práticas envolve mudanças organizacionais e culturais em uma organização
ção A organização, começando pela liderança executiva, deve apoiar o treinamento extra,
recursos e etapas necessárias para usar um ciclo de vida de desenvolvimento seguro. Além disso, cada desenvolvimento
O oper deve cumprir sua responsabilidade de participar de tal processo.
Uma equipe e uma organização precisam escolher as práticas de segurança de software adequadas para
desenvolver um ciclo de vida de software seguro personalizado com base no caráter da equipe e da tecnologia
istics e sobre o risco de segurança do produto.
Embora este capítulo forneça práticas para o desenvolvimento de produtos seguros, as informações
curiosidade é muitas vezes devido a desincentivos econômicos [ 8 ] que leva as organizações de software a
escolha a rápida implantação e liberação de funcionalidade em vez da produção de produtos seguros
ucts. Como resultado, cada vez mais governos e grupos da indústria estão impondo segurança cibernética
padrões nas organizações como uma questão de conformidade legal ou como uma condição para ser
considerado fornecedor. Os requisitos de conformidade podem levar a uma adoção mais rápida de um de-
ciclo de vida do desenvolvimento. No entanto, essa adoção orientada para conformidade pode desviar os esforços de
os verdadeiros problemas de segurança, concentrando-se excessivamente nos requisitos de conformidade em vez de nos
a prevenção e detecção pragmática das preocupações de segurança mais arriscadas.
]
68
[
] ]
]
8
[ [
[ undamental
HowardSDL
Viega- HowardWSC
SAFECodeF
6. Motivação ccc
6. Processos de ciclo de vida de software seguros prescritivos
6.. Processos de Ciclo de Vida de Software Seguro cccc
6.. Comparando os modelos de ciclo de vida de software seguro
6. Adaptações do Ciclo de Vida do Software Seguro
6.. Desenvolvimento Ágil de Software e DevOps c
6.. Móvel
6.. Computação em Nuvem
6.. Internet das coisas (IoT)
6.. Veículos rodoviários
6. .6 Comércio eletrônico / Indústria de cartões de pagamento
6. Avaliando o Ciclo de Vida do Software Seguro
6. Adotando um Ciclo de Vida de Software Seguro
https://www.hackerone.com
www.cybok.org
LEITURA ADICIONAL
Criando software seguro: como evitar problemas de segurança da maneira certa

[ 8]
Este livro apresenta o termo segurança de software como uma disciplina de engenharia para a construção
segurança em um produto. Este livro fornece lições essenciais e técnicas especializadas para
profissionais de segurança que entendem o papel do software em problemas de segurança e para software
desenvolvedores que desejam construir um código seguro. O livro também discute a avaliação de risco,
operar testes de segurança e tampar brechas de segurança antes que o software seja enviado.
Escrevendo código seguro, segunda edição. [ ]

A primeira edição deste livro foi publicada internamente na Microsoft e sua leitura obrigatória
para todos os membros da equipe do Windows durante o envio de segurança do Windows. A segunda edição
foi disponibilizada publicamente no livro e fornece técnicas de codificação seguras para
evitar vulnerabilidades, para detectar erros de design e implementação, e para melhorar o teste
código e documentação.
Segurança de software: Criando segurança em [ 6]

Este livro discute sete práticas recomendadas de proteção de software, chamadas de pontos de contato. Também pro
fornece informações sobre os fundamentos e contextos de segurança de software para uma segurança de software
programa em uma empresa.
O ciclo de vida do desenvolvimento de segurança (livro original) [ ]

Este livro seminal fornece a base para os outros processos estabelecidos neste conhecimento
e foi customizado ao longo dos anos por outras organizações, como a Cisco . O livro
estabelece estágios para a integração de práticas em um ciclo de vida de desenvolvimento de software de modo que
o produto é mais seguro. Este livro está esgotado, mas pode ser baixado gratuitamente .
O Ciclo de Vida do Desenvolvimento de Segurança (Recursos Atuais da Microsoft) [ ]

Os Microsoft SDL são práticas usadas internamente para criar produtos e serviços seguros,
e atender aos requisitos de conformidade de segurança, introduzindo práticas de segurança em todo
todas as fases do processo de desenvolvimento. Esta página da web é uma versão continuamente atualizada de
o livro seminal [ ] com base na experiência crescente da Microsoft com novos cenários, como
como a nuvem, a Internet das Coisas (IoT) e Inteligência Arti cial (AI)
https://www.cisco.com/c/en/us/about/trust-center/technology-built-in-security.html#~stickynav=
https://blogs.msdn.microsoft.com/microsoft_press/ 6 / / / free-ebook-the-security-development-lifecycle /
www.cybok.org
Engenharia de segurança de software: um guia para gerentes de projeto [ 6 ]

Este livro é um guia de gerenciamento para selecionar entre o desenvolvimento de software de som
práticas que demonstraram aumentar a segurança e a confiabilidade de um produto de software
uct, tanto durante o desenvolvimento como posteriormente durante a sua operação. Além disso, este livro
discute a governança e a necessidade de uma abordagem dinâmica de gestão de risco para identificar
prioridades ao longo do ciclo de vida do produto.
Engenharia de segurança cibernética: uma abordagem prática para sistemas e software
Garantia [ 8 ]
Este livro fornece um tutorial sobre as melhores práticas para a construção de sistemas de software que exibem
segurança operacional superior e por considerar a segurança em todo o desenvolvimento do sistema
ciclos de vida de aquisição e operação. Este livro fornece sete princípios básicos de software como
segurança e mostra como aplicá-los de forma coerente e sistemática. Este livro aborda
tópicos importantes, incluindo o uso de padrões, requisitos de segurança de engenharia para ac-
Quiring COTS software, aplicando DevOps, análise de malware para antecipar futuro vulnerabili-
laços e planejamento de melhorias contínuas.
Práticas fundamentais da SAFECode para o desenvolvimento seguro de software: Es-

Elementos essenciais de um programa de ciclo de vida de desenvolvimento seguro, terceira edição
[ 68]
Oito práticas para o desenvolvimento seguro são fornecidas com base nas experiências dos membros
empresas da organização SAFECode.
Projeto de Ciclo de Vida de Desenvolvimento de Software Seguro da OWASP (S-SDLC)

8] [
Com base em um comitê de participantes da indústria, o Secure-Software Development Life-
Projeto de ciclo (S-SDLC) define um Ciclo de Vida de Desenvolvimento de Software Seguro padrão e pro-
oferece recursos para ajudar os desenvolvedores a saber o que deve ser considerado ou as melhores práticas em cada
fase de um ciclo de vida de desenvolvimento (por exemplo, fase de design / fase de codificação / fase de manutenção / etc.)
O comitê de participantes da indústria são membros do Open Web Application Security
Projeto (OWASP), uma organização internacional sem fins lucrativos focada na melhoria do
segurança do software de aplicativo da web. As primeiras contribuições do ciclo de vida do software seguro de
OWASP foi referido como o Processo de Segurança de Aplicativos Leve e Abrangente
(FECHO)
https://www.owasp.org/
www.cybok.org
Controles de segurança
O governo e as organizações de padrões forneceram controles de segurança para serem integrados em
um software ou sistema de vida seguro:
. A Trustworthy Software Foundation 6 fornece o Trustworthy Software Frame-

trabalho (TSFr) uma coleção de boas práticas, orientações existentes e padrões relevantes
nas cinco principais facetas da confiabilidade: Segurança; Confiabilidade; Disponibilidade; Resiliência;
e segurança. O objetivo do TSFr é fornecer um conjunto mínimo de controles de modo que,
quando aplicado, todo o software (independentemente das restrições de implementação) pode ser especificado
ed, realizado e usado de maneira confiável.
. Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) foi o autor do Sys-
tems Engenharia de Segurança Considerações sobre Resiliência Cibernética para a Engenharia [ 8 ]
estrutura (NIST SP 8 - 6). Esta estrutura fornece recursos sobre segurança cibernética
Conhecimento, habilidades e capacidade (KSAs), e tarefas para uma série de funções de trabalho para realizar
os resultados de resiliência cibernética identificados com base em uma perspectiva de engenharia de sistemas
tiva nos processos do ciclo de vida do sistema.
. O Instituto de Engenharia de Software (SEI) colaborou com organizações profissionais-

instituições, parceiros da indústria e instituições de ensino superior para desenvolver
currículos e materiais educacionais. Incluídos nestes materiais estão recursos para um
programa de garantia de software 8 para treinar profissionais para construir segurança e função correta
profissionalidade em software e sistemas.
. Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) fornecer recursos para software seguro
desenvolvimento:
(a) Desenvolvimento de aplicativos : recomendações para o desenvolvimento seguro, pro-
cura e implantação de aplicativos genéricos e específicos da plataforma.
(b) Desenvolvimento seguro e orientação de implantação : mais recomendações para

o desenvolvimento seguro, aquisição e implantação de produtos genéricos e de plataforma
aplicações específicas.
(c) O canal furado da codificação segura : uma discussão de como a segurança pode ser mais tecida
perfeitamente no processo de desenvolvimento, especialmente por desenvolvedores que não são
especialistas em segurança.
6https://tsfdn.org
https://tsfdn.org/ts-framework/
8https://www.sei.cmu.edu/education-outreach/curricula/software-assurance/index.cfm
https://www.ncsc.gov.uk/
https://www.ncsc.gov.uk/collection/application-development
https://www.ncsc.gov.uk/collection/developers-collection
https://www.ncsc.gov.uk/blog-post/leaky-pipe-secure-coding

www.cybok.org
Materiais de treinamento
Os materiais de treinamento estão disponíveis gratuitamente na Internet. Alguns sites incluem o seguinte:
. A Trustworthy Software Foundation fornece uma biblioteca de recursos de consciência mate-

riais e orientações direcionadas para aqueles que ensinam princípios de software confiáveis, aqueles
que procuram aprender sobre software confiável e aqueles que desejam garantir que o
o software que eles usam é confiável. Os recursos disponíveis incluem uma mistura de documentos
mentos, vídeos, animações e estudos de caso.
. Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) criou o NICE

Estrutura de força de trabalho de segurança cibernética [ 86] Este Framework fornece recursos sobre
Conhecimento, habilidades e capacidade de segurança cibernética (KSAs), e tarefas para uma série de trabalhos
papéis.
. O Instituto de Engenharia de Software (SEI) colaborou com organizações profissionais-

instituições, parceiros da indústria e instituições de ensino superior para desenvolver
currículos e materiais educacionais. Incluídos nestes materiais estão recursos para um
programa de garantia de software para treinar profissionais para construir segurança e funções corretas
profissionalidade em software e sistemas.
. SAFECode oferece cursos de treinamento de segurança de software gratuitos fornecidos via web on-demand
elencos .
https://tsfdn.org/resource-library/
https://www.sei.cmu.edu/education-outreach/curricula/software-assurance/index.cfm
https://safecode.org/training/
Página 577
Segurança de infraestrutura V
Página 579
578
Capítulo
Segurança de rede
Universidade Sanjah Jha de Nova Gales do Sul
www.cybok.org
INTRODUÇÃO
A onipresença da Internet nos permite conectar todos os tipos de dispositivos à rede e
obtenha acesso sem precedentes a uma ampla gama de aplicativos e serviços a qualquer hora, em qualquer lugar.
No entanto, nossa forte dependência da tecnologia de rede também a torna um alvo atraente para
usuários mal-intencionados que desejam comprometer a segurança de nossas comunicações e / ou
causar interrupções em serviços que são essenciais para nossa sobrevivência diária em um mundo conectado.
Neste capítulo, vamos explicar os desafios associados à proteção de uma rede sob um va-
variedade de ataques a uma série de tecnologias de rede e protocolos de segurança amplamente usados,
junto com desafios e soluções de segurança emergentes. Este capítulo tem como objetivo fornecer o necessário
formação necessária para compreender outras áreas do conhecimento, em particular a Segurança
Área de Conhecimento de Gestão de Operações e Incidentes (Capítulo 8), que tem uma visão mais holística
visão de segurança e trata dos aspectos operacionais. Uma compreensão de rede básica
pilha de protocolo e TCP/ IP suite é assumido. Livros básicos de rede explicam a diversão
princípios da camada ISO modelo OSI e protocolo da Internet [8 ] Ao considerar o
segurança da Internet e LAN sem fio (WLAN) tecnologias, às vezes pode ser instruído
objetivo de considerar como certos protocolos originais são concebidos sem ter segurança
em mente ou com más decisões de design de segurança. Isso não é apenas de interesse histórico: con
projetos temporários são freqüentemente limitados por seus predecessores por razões pragmáticas.
CONTENTE
. ARQUITETURA DE INTERNET
Um sistema complexo, como aplicativos distribuídos em execução em uma variedade de tecnologias de rede
tecnologias são mais bem compreendidas quando vistas como arquitetura em camadas. Figura . mostra o -
camada protocolo ISO pilha OSI e a interação entre as várias camadas. O modelo também
nos permite entender os problemas de segurança em cada camada e a interação entre eles.
A Internet é a arquitetura predominante hoje. No entanto, ele usa apenas cinco camadas do
pilha de protocolo na figura . ou seja, camadas - e camadas. As camadas de apresentação e sessão
mostrados na caixa pontilhada são opcionais na pilha do protocolo IP e algumas ou todas as funções
pode ser customizado de acordo com os requisitos do aplicativo. A segurança da rede requer criptografia
técnicas como chaves públicas e simétricas para criptografia e assinatura, bloqueio e transmissão
cifras, hashing e assinatura digital, conforme descrito na Área de Conhecimento de Criptografia
(Capítulo ) Faremos uma abordagem aplicada para entender como essas técnicas ajudam
construir uma rede segura.
. PROTOCOLOS DE REDE E VULNERABILIDADE

Normalmente, o Dolev-Yao [ 8] modelo formal adversarial é usado para uma análise formal de segurança
protocolos na literatura de pesquisa. O modelo Dolev-Yao assume que um adversário tem
controle completo sobre toda a rede e execuções simultâneas do protocolo entre
o mesmo conjunto de grupos -ou-mais pode ocorrer. O modelo Dolev-Yao descreve o pior
adversário possível: dependendo do contexto, adversários reais podem ter capacidades limitadas.
Este modelo é resumido em permitir que o adversário leia qualquer mensagem, evite a entrega
de qualquer mensagem, duplicar qualquer mensagem ou de outra forma sintetizar qualquer mensagem para a qual o
o adversário possui as chaves criptográficas relevantes (se houver).
Segurança de rede KA | Outubro Página
www.cybok.org
Cliente Servidor
Communicaëon
Rede
L7. Applicaüon Camada de aplicação L7. Applicaüon
L6. Presentaüon Camada de Presentação L6. Presentaüon
L5. Sessão Camada de Sessão L5. Sessão
L4. Transporte Camada de transporte L4. Transporte
L3. Rede Líquido. Camada L3. Rede L3. Rede Líquido. Camada L3. Rede
L2. Link de dados Camada D / L L2. Link de dados L2. Link de dados Camada D / L L2. Link de dados
L1. Fisica Phy. Camada L1. Fisica L1. Fisica Phy. Camada L1. Fisica
Caminho físico percorrido por dados
Caminho lógico percorrido por dados

Dispositivos de Rede
Figura . : Pilha de protocolo de camada
Examinamos alguns ataques de segurança de rede comuns para destacar a importância de

problemas de segurança de rede permanentes. Os personagens populares chamados Alice e Bob do se-
a literatura da curadoria deseja trocar mensagens com segurança. Em termos de informação e comunicação
contexto de infraestrutura de comunicação, podemos substituir Alice e Bob por servidores e clientes da Web,
dois clientes de e-mail, duas pessoas usando videoconferência e assim por diante. Os hackers, um bisbilhoteiro
dropper chamado Eve, e um atacante malicioso chamado Mallory estão esperando para comprometer seus
comunicações. Mensagens enviadas por Alice e Bob pela rede podem ser capturadas por Eva
usando ferramentas de detecção de pacotes. Isso permite que Eva inspecione cada pacote e, possivelmente, extraia con -
informações dentais, como senhas, detalhes de cartão de crédito e muitos outros tipos de
em formação. Tecnologias de rede de difusão, como WLAN ou modem a cabo,
relativamente fácil de farejar pacotes. O homem no meio ataca (MITM) é outro comum
ameaça à segurança onde Mallory, um invasor, se coloca entre Alice e Bob. Para a prova-
ple, um gateway / roteador / ponto de acesso comprometido, malware presente no dispositivo do usuário ou
servidor pode capturar potencialmente todos os pacotes sendo trocados entre as duas partes,
adicionar / modificar / excluir informações e realizar outras atividades maliciosas. A Negação de Ser-
vice (DoS) ataque é uma técnica em que um invasor envia uma avalanche de pacotes falsos para
um servidor. Isso manteria o servidor constantemente ocupado ou obstruiria o link de acesso.
na interrupção do serviço para usuários legítimos. Normalmente, um grande número de comprometidos
hosts (bots) são usados para lançar um ataque DoS distribuído , também conhecido como DDoS . DoS e MITM não são
disjuntar; muitos ataques DoS também são MITM, e vice versa. Mirai [ 88] é um exemplo de um
malware, encontrado pela primeira vez em 6, que lançou um ataque DDoS comprometendo o sistema baseado em Linux
dispositivos de consumo, também conhecidos como dispositivos de Internet das Coisas (IoT), como câmeras IP, medidores de utilitários,
roteadores domésticos e outros. Os dispositivos IoT foram transformados em bots, explorando autenticação fraca
configurações de autenticação, incluindo o uso de senhas padrão. Os bots foram então usados a partir de um
centro de comando e controle para atacar vários sites de alto perfil. O uso de dispositivos IoT
permitiu que os invasores circunavegassem as medidas de segurança tradicionais.
www.cybok.org
Em um ataque de spoo ng de IP, um invasor tenta se passar por um usuário autorizado criando um
pacote com um endereço IP forjado e ajustando alguns outros campos para torná-lo legítimo.
Tendo visto exemplos de ataques de rede, vamos agora examinar a segurança de cada
camada da pilha de protocolo.
. SEGURANÇA DA CAMADA DE APLICAÇÃO

Como exemplo de protocolo de segurança da camada de aplicativo, Alice e Bob desejam usar o e-mail. Em um
cenário simplista, Alice e Bob decidiriam usar um algoritmo de criptografia como AES
com uma chave de 8 ou 6 bits para criptografar suas mensagens. Isso atende aos requisitos de confidencialidade
pois a mensagem não pode ser decifrada por ninguém além de Alice e Bob. Contudo,
isso exigiria que Alice e Bob concordassem com uma chave compartilhada. Distribuir esta chave pela rede-
o trabalho torna a chave secreta um alvo fácil para Eve ou Mallory. Além disso, o cenário acima falha
para fornecer integridade e autenticação de origem. A mensagem pode ser alterada à medida que atravessa o
rede. Alice e Bob (neste caso, seus clientes de e-mail) devem usar medidas adicionais
para fornecer integridade de mensagem e autenticação de origem. Em uma variante dessa configuração, também é
provavelmente Alice e Bob não se importam com a confidencialidade de suas mensagens, mas eles
querem a garantia de que suas mensagens não serão adulteradas em trânsito. Alice poderia calcular
atrasar o hash de sua mensagem usando o algoritmo SHA- e enviá-lo para Bob. Ao receber este
mensagem, Bob iria recalcular o hash e verificar se há uma correspondência. No entanto, um
invasor em potencial pode facilmente substituir a mensagem genuína por uma forjada e
hash ing. Bob não sabe dizer se a mensagem enviada por Alice foi alterada desde o hash
fósforos. Uma solução possível para Alice é usar uma chave simétrica pré-negociada para criptografar
o hash. Bob agora descriptografa esse hash usando a chave simétrica pré-negociada e verifica
a integridade da mensagem recebida. Isso também autentica que a mensagem foi enviada por
alguém que compartilha uma chave com Bob, neste caso Alice.
Destacamos os desafios da distribuição de chaves pela rede. Veja a criptografia

Área de Conhecimento (Capítulo ) para obter detalhes sobre criptografia de chave pública. Vamos ignorar o con -
requisito de dentialidade no momento. Alice assina o hash de sua mensagem usando seu privado
chave. Bob então descriptografa a mensagem usando a chave pública de Alice. Isso permite uma verificação de integridade
e autenticação ao mesmo tempo, já que ninguém além de Alice conhece sua chave privada. Nós
evitou pré-negociação ou compartilhamento de chaves. Então, como Bob consegue a chave pública e a confiança de Alice
que Eve ou Mallory não estão usando uma chave pública / privada forjada para executar MITM? Nós provemos
uma breve introdução ao gerenciamento de chaves no contexto da criptografia de chave pública no próximo
seção, visto que é usado por vários protocolos de segurança de rede. O exemplo acima também
alcança o não repúdio, pois pode ser provado que o hash (ou em outros casos, o todo
mensagem) foi assinada pela chave privada de Alice e ela não podia negar esse fato.
.. Infraestrutura de chave pública

Infraestrutura de chave pública (PKI) fornece uma solução para registrar e gerenciar um trustwor-
tua chave pública. Agências governamentais ou organizações padrão apontam ou reconhecem registros
trars que emitem chaves e controlam os certificados públicos de entidades (indivíduos, servidores,
roteadores, etc.). Os registradores, um grande número dos quais são empresas privadas, eles próprios
um par de chaves públicas / privadas registradas com as partes interessadas relevantes para o domínio do aplicativo. O
A ideia é semelhante a registrar a placa do seu motor com uma autoridade. Alice gera um par
de chaves públicas / privadas para ela mesma usando seu computador. Ela então apresenta sua prova de identidade
para um dos registradores. O registrador então emite um certificado para Alice. Este certificado é
Segurança de rede KA | Outubro Página 6
www.cybok.org
assinado pela chave privada do registrador e pode ser verificado por qualquer um usando a chave pública do registrador
chave. Normalmente, a identidade de um usuário, a chave pública e as informações de CA são usadas como entrada para o hash
função. O hash é então assinado com o CAchave privada para produzir um Certificado de Chave Pública -
cate (PKC) Os campos no certificado incluem um identificador único / número de série, uma assinatura
algoritmo utilizado pela CA e o período de validade. O IETF RFC e ITU-X. Stan-
dardos prescreveram o formato e o padrão para o gerenciamento de PKI [8 ] Organizações podem
também gerenciam sua própria PKI privada. CAs também publicam uma lista de certificados revogados que têm
expirou ou foi revogado. A rede de confiança é um esquema alternativo onde os usuários podem
criar uma comunidade de partes confiáveis assinando certificados mutuamente sem a necessidade de um registro
istrar. Continuando com nosso exemplo de e-mail, Alice poderia enviar seu certificado para Bob junto com
sua mensagem de e-mail. Bob agora pode verificar a validade do certificado apresentado por Al-
gelo. Em nosso exemplo simples, Alice e Bob poderiam usar essas técnicas para construir um e-mail seguro
sistema. Muito boa privacidade (PGP) foi um dos primeiros sistemas de e-mail a propor o
abordagem de segurança descrita acima, embora usando a web de confiança para certificados. Geralmente,
para que os sistemas sejam compatíveis entre plataformas e entre fornecedores, aplicativos
os desenvolvedores usam o protocolo padrão da camada de aplicativo, o Simple Mail Transfer
Protocolo (SMTP) para trocar mensagens entre servidores de e-mail. O conteúdo em si é para-
emaranhados com base em um conjunto de padrões chamados Multipurpose Internet Mail Extensions (MIME) Como
os protocolos originais da Internet não tinham recursos de segurança, uma versão segura do SMIME foi desenvolvida
aberto para adicionar uma verificação de integridade e certificados ao cabeçalho do e-mail. As funções de
a verificação do certificado e a verificação da lista de revogação são realizadas automaticamente por Alice
e os agentes de correio de Bob.
O modelo de PKI existente enfrentou vários desafios, como evidenciado por uma série de documentos
casos comprovados em que as Autoridades de Certificação emitiram certificados por engano ou sob coerção
cion, ou através de sua própria infraestrutura sendo atacada. Nos últimos anos, temos visto muitos
soluções como a fixação de certificados e registros públicos imutáveis de certificados emitidos sendo
implementado para evitar que o modelo de confiança da PKI seja prejudicado. [ ]
.. Extensões de segurança DNS

A filosofia de design da Internet exige que as funções centrais da Internet sejam implementadas no
os roteadores de backbone devem ser simples, juntamente com outras funções de suporte a serem implantadas no
borda. Para a maioria das pessoas, a cognição humana significa que é mais fácil lembrar do host / servidor
nomes, por exemplo, cnn.com, em um endereço IP. . .XX. Roteamento de Internet e outros protocolos,
no entanto, funcione usando endereços IP. O IETF projetou um protocolo de camada de aplicativo,
o Sistema de Nomes de Domínio (DNS), que realiza a tradução entre um nome de host e
o endereço IP correspondente. Este mapeamento é realizado e mantido por uma hierarquia
de servidores de nomes. Houve uma série de ataques DDoS nos últimos anos [ ] Nós
fornecem uma visão geral dos ataques ao DNS. Em um MITM, Mallory pode se passar por um servidor DNS ,
retornar um endereço falso e desviar o tráfego para um servidor malicioso, permitindo que ele colete o usuário
senhas e outras credenciais. Um ataque de envenenamento de cache DNS , também conhecido como spoo ng DNS , permite
atacantes para plantar endereços falsos, desviando assim uma solicitação do usuário para servidores maliciosos. Como-
nunca, o design robusto e distribuído do DNS felizmente nos salvou de um colapso total
da Internet. Aprendendo com esses ataques, o IETF introduziu uma versão segura chamada DNS
Extensões de segurança (DNSSEC) DNSSEC usa técnicas semelhantes ao nosso exame de e-mail seguro-
ple acima, enviando uma resposta assinada pela chave privada de um servidor DNS . A autenticidade
dos registros DNS é comprovado pelo fato de que um servidor de resposta assina o registro usando seu
chave privada, que um solicitante pode verificar usando a chave pública correspondente. Além disso, um
a assinatura digital também fornece a integridade dos dados de resposta. Um leitor astuto pode notar

www.cybok.org
que a confidencialidade não é um problema signi cativo para esta transação. Mais de meia dúzia de IETF
RFCs cobrem DNSSEC. Um estudo de Chung et al. [ ] sugere que apenas% dos domínios usam
os mecanismos DNSSEC para segurança. Muito poucos registradores suportam DNSSEC e outros mecanismos
nismos, uma vez que a comunicação de informações DNSSEC tem várias vulnerabilidades de segurança. DDoS de-
cerca não faz parte do DNSSEC. Veremos os mecanismos de defesa no IDS/ IPS na seção .8.
.. Protocolo de transferência de hipertexto seguro (HTTPS)

O protocolo de camada de aplicação mais proeminente, o Hypertext Transfer Protocol (HTTP), estava
projetado sem quaisquer considerações de segurança. A popularidade do HTTP e sua ampla adoção
ção para e-commerce impôs requisitos de segurança estritos neste protocolo. Uma versão segura
chamado HTTPS foi introduzido usando serviços de segurança da camada de transporte, que al-
baixa o URL, conteúdo, formulários e cookies a serem criptografados durante a comunicação. Nós discutimos
os protocolos da camada de transporte seguro na próxima seção. Uma nova versão, HTTP . , tem mais
enriqueceu os recursos de segurança do HTTP . . Embora não seja obrigatório, a maioria dos navegadores oferece suporte
confidencialidade, criptografando dados. Novos recursos, como compactação de cabeçalho e fluxo de con
trol exige que os servidores mantenham informações de estado adicionais. Um invasor pode enviar um grande
número de quadros vazios ou minúsculos e manter o servidor ocupado processando cabeçalhos de quadros. Servidores
deve empregar um limite no número de conexões sendo processadas para limitar tal at-
tachas.
.. Segurança de protocolo de tempo de rede (NTP)

O Network Time Protocol [RFC] é um protocolo da camada de aplicação usado para sincronizar
dispositivos (hosts, servidor, roteadores etc.) em alguns milissegundos do Universal Coordenado
tempo (UTC) O protocolo é normalmente implementado como um modelo cliente-servidor ou um par
par um. No modelo cliente-servidor, o cliente envia uma solicitação usando UDP na porta e
recebe uma resposta de volta do servidor. Tal como acontece com outros protocolos de camada de aplicativo, NTP
está sujeito a ataques de repetição, DoS e MITM . Além disso, um invasor pode atrasar um pacote
entre o servidor cliente, distorcendo assim os cálculos de tempo. Em um ataque de amplificação DoS , um
o atacante pode enviar alguns bytes do comando MONLIST e fazer com que o servidor envie uma lista
dos últimos 6 clientes que fizeram uma solicitação NTP . Uma possível contramedida exigiria
restringindo o acesso a este comando apenas de hosts internos. A implementação mais recente
do daemon NTP ntpd) usa um modelo de segurança hierárquico implementando várias PKIs ,
assinaturas digitais e outros mecanismos de segurança de camada de aplicativo padrão.
. SEGURANÇA DA CAMADA DE TRANSPORTE

Na seção anterior, discutimos as maneiras pelas quais os aplicativos podem construir recursos de segurança
usando primitivas criptográficas. Dados enviados pelo TCP/ Protocolo IP não eram seguros
e, portanto, cada aplicativo teve que cuidar da própria segurança. Idealmente, se a camada de transporte
poderia fornecer mecanismos de confidencialidade, integridade e autenticação, a camada de aplicação
poderia ser aliviado da carga de segurança e usar os serviços da camada de transporte em seu lugar.
Isso também forneceria compatibilidade entre plataformas / fornecedores. Esses recursos são pro
fornecido por uma camada de calço entre as camadas de aplicação e transporte chamada Secure Sockets
Layer (SSL) Uma interface de programação de aplicativo padrão (API), semelhante à API de soquete, al-
permite que os aplicativos inicializem conexões seguras e enviem / recebam dados com segurança. IETF
começou a desenvolver o Transport Layer Security (TLS) pegando emprestado a maioria de suas ideias do
SSL . protocolo. Os navegadores mais proeminentes começaram a suportar o TLS mais recente
www.cybok.org
Alice (Receptor)
Bob (remetente)
Internet
Handshake TCP de 3 vias
Início do TLS Cliente Olá

Aperto de mão
Servidor Olá
Cer ° ficate
Servidor Hello Feito
ClientKeyExchange
ChangeCipherSpec
Finalizado
ChangeCipherSpec
Finalizado
Criptografado Aplicação de dados

Tráfego
Figura . : Aperto de mão TLS
. padronizado em 8. Nesta seção, nossas discussões se relacionarão a uma versão simplificada de

os recursos de segurança para entender os fundamentos do protocolo TLS . A sintaxe exata
e semântica dos protocolos e um rico conjunto de configurações são descritos em centenas de
páginas de RFCs.
Agora vamos trazer Alice (servidor) e Bob (cliente) de volta à ação. Alice está configurada com
seus pares de chave pública / privada, conforme descrito em . .. Vale ressaltar que alguns desses
técnicas básicas também são usadas em protocolos de segurança em outras camadas, que iremos discutir
neste capítulo. O protocolo TLS tem fases: handshake, derivação de chave e transferência de dados,
conforme mostrado na figura ..
.. Aperto de mão
. Primeiro Bob e Alice trocam as mensagens TCP SYN, SYNACK e ACK de três vias . Isto
deve-se notar que esta etapa não faz parte do TLS/ SSL.
. Bob então envia uma mensagem ClientHello para Alice junto com os pacotes de cifras (cifras e
as funções hash que ele suporta) e um nonce, um grande número aleatório, específico escolhido -
para esta execução do protocolo.
. Alice responde com uma mensagem de ServerHello junto com sua escolha dos pacotes de criptografia
(por exemplo, AES para confidencialidade, RSA para a chave pública, SHA para Message Authentica-
Código de ção (MAC)), um certificado contendo sua chave pública e um nonce. Além disso, ela
também pode solicitar o certificado do cliente e parâmetros para outras extensões TLS .
. Bob verifica a validade do certificado e tem certeza de que pertence a Alice. Ele inicia
a mensagem ClientKeyExchange. Isso pode usar uma variedade de métodos de troca de chaves, por exemplo,
RSA ou o Dif e-Hellman (e variantes) para estabelecer uma chave simétrica para o seguinte
sessão. Por exemplo, ao usar RSA, Bob poderia gerar um segredo pré-mestre de 8 bits
www.cybok.org
(PMS) e criptografá-lo com a chave pública de Alice obtida usando as etapas descritas acima
e envie para Alice.
. Bob envia um ClientCipherSpec e uma Mensagem Concluída sugerindo que o gerador de chave
ação e autenticação estão completas.
6. Alice também tem a chave compartilhada neste ponto. Ela responde com um ChangeCipherSpec e
uma mensagem finalizada para Bob.
. Bob descriptografa a mensagem com a chave simétrica negociada e executa uma mensagem
verificação de integridade.
Depois de completar com sucesso as etapas acima, um túnel seguro é estabelecido e o en-
os dados criptografados do aplicativo agora podem ser enviados, conforme mostrado na parte inferior da figura .. Os detalhes
do protocolo de troca e processamento de mensagens pode ser encontrado em [ 8 ]
.. Derivação de chave
O cliente nonce, servidor nonce e PMS são inseridos em uma função pseudo-aleatória para produzir
um segredo mestre. Todos os outros dados de chave para esta conexão são derivados deste segredo mestre
em conjunto com os parâmetros adicionais. As seguintes quatro chaves comuns são derivadas
em ambas as extremidades:
. Chave de criptografia de sessão para dados enviados de Bob para Alice (chave de criptografia do cliente).
. Chave de criptografia de sessão para dados enviados de Alice para Bob (chave de criptografia do servidor).
. Chave MAC da sessão para dados enviados de Bob para Alice ( chave MAC do cliente ).
. Chave MAC da sessão para dados enviados de Alice para Bob ( chave MAC do servidor ).
Bob e Alice derivam chaves separadas para criptografia e integridade em cada direção para melhorar
segurança. A geração dessas chaves efêmeras permite o sigilo de encaminhamento perfeito, pois essas chaves
não pode ser reutilizado em sessões futuras. Por exemplo, Eva poderia capturar todas as comunicações
entre Alice e Bob. Ela poderia fingir ser Bob e repetir a sequência de comandos
enviado por Bob no final do dia. Esse ataque é chamado de ataque de repetição de conexão . O TLS e
a maioria dos outros protocolos usa uma sessão específica, um número aleatório, para evitar esse ataque.
O algoritmo de geração de PMS usa um nonce na combinação. O ataque de repetição da conexão
falhar, pois Alice teria um conjunto de chaves diferente de Eva para a nova sessão devido a este novo
nonce.
.. Transferência de dados
TCP é um protocolo de transporte orientado a bytes onde os dados da camada de aplicação são enviados como um fluxo
de bytes. Os algoritmos de verificação de integridade requerem dados de comprimento fixo para um cálculo MAC . Se aplicável
cátions têm que coletar e passar dados de comprimento fixo para esses algoritmos, mais atrasos serão
incorridos. Portanto, o TLS define um formato de registro, conforme mostrado na figura . , onde o comprimento de
os dados enviados em cada registro podem ser indicados juntamente com o tipo de registro (dados ou controle).
Um MAC também é anexado ao final de cada registro. Por exemplo, se os dados são enviados de Bob
para Alice, a chave MAC da sessão para os dados enviados de Bob para Alice são usados para gerar este
MAC. Além disso, os dados mais o MAC são criptografados usando a chave de criptografia de sessão para dados
enviado de Bob para Alice.
www.cybok.org
0 byte 1 2 3 4
Tipo de conteúdo
Versão Comprimento
Carga útil
MAC
Preenchimento
(apenas cifras de bloco)
Figura . : Estrutura de registro TLS
Como o número de sequência TCP não é criptografado, um possível ataque MITM poderia simplesmente capturar
os segmentos TCP e troque os registros TLS entre esses segmentos. Um receptor iria
não ser capaz de detectar esse ataque, pois a integridade dos registros TLS permanece inalterada. O
O TLS fornece um mecanismo separado onde o remetente e o destinatário controlam o registro
número de sequência sem trocá-lo explicitamente. No entanto, os cálculos do MAC em ambos
termina usa este número de sequência na mistura. Qualquer reorganização de registros MITM falhará em um
verificação de integridade.
Tendo discutido os detalhes técnicos do TLS, agora consideramos como ele funciona no
presença de certos ataques. Em um ataque de detecção de senha, Eva captura alguns pacotes e
deseja obter senhas em HTTPS ou outro tráfego de aplicativo c. Como os dados do usuário são criptografados,
a senha não pode ser detectada. Em um ataque IP Spoo ng, Mallory usa endereços IP forjados
para enganar Bob fazendo-o aceitar dados falsos. Mallory deve estar na posse da chave secreta como
bem como o endereço IP forjado para ter sucesso. Um ataque MITM é evitado usando uma chave pública
certificados para autenticar os correspondentes.
Observamos que, em um ataque relacionado à camada de transporte denominado ataque DDoS SYN Flooding , um grupo
de máquinas atacantes continuam enviando mensagens TCP SYN para solicitar uma conexão e permitir que o
servidor alocar recursos. No entanto, este tipo de ataque pode ser tratado pelo TCP e, portanto,
não é duplicado no TLS. Uma defesa conhecida como SYN Cookies foi implementada em
muitos sistemas operacionais [RFC 8]. O servidor não abre uma conexão pela metade imediatamente
ao receber uma solicitação de conexão TCP . Ele seleciona um número de sequência inicial (ISN) usando um
função hash sobre endereços IP de origem e destino, números de porta do segmento SYN,
bem como um número secreto conhecido apenas pelo servidor. O servidor então envia ao cliente este ISN ,
também conhecido como Cookie, na mensagem SYNACK. Se o pedido for de um legítimo
remetente, o servidor recebe uma mensagem ACK com um novo número de sequência que é ISN mais
. Uma vez que a validação é feita, o servidor abre uma conexão TCP . Um remetente DDoS iria

www.cybok.org
ou não responde com ACK ou não tem o ISN correto em sua resposta. Portanto, não
Fontes TCP foram perdidas.
A versão atual do SSL (e TLS) evoluiu passando por vários ataques e

vulnerabilidades encontradas em versões anteriores. SSL ataques Stripping remover o uso de SSL/ TLS al-
juntos, modificando protocolos não criptografados que solicitam o uso do TLS. A BESTA
ataque explora o vetor de inicialização previsível do TLS . implementação devido ao uso de
o encadeamento de blocos de cifras (CBC) Isso permite que um invasor descriptografe partes de um pacote, por exemplo,
Cookies HTTP . Uma longa lista de ataques conhecidos e mitigação foi discutida na RFC. Vários
dessas vulnerabilidades também são atribuídas a uma implementação inadequada ou
compreensão do conjunto de protocolos em vez da falta de especificações adequadas. Por exemplo, o
Problema de projeto TLS de cálculo de MAC antes que a criptografia resulte em um canal lateral de temporização em
tática chamada ataque Treze da Sorte, que permite que os invasores descriptografem o texto cifrado arbitrário.
As contramedidas para este ataque incluem o uso de AES- Encriptação GCM , ou usando a criptografia primeiro
e então calcular a abordagem MAC [RFC 66].
.. Conexões UDP rápidas com a Internet (QUIC)

QUIC é um novo protocolo de transporte desenvolvido pelo Google para uma navegação mais rápida na web usando UDP
em vez de HTTP sobre TCP. O protocolo atualmente usa criptografia e autenticação proprietárias
ticação. Os sistemas de firewalls e IDS normalmente detectam o tráfego HTTP e executam pacotes profundos
inspeção, verificação de vírus e outras medidas de segurança. Embora o QUIC use o padrão
Portas HTTP , dispositivos de segurança não rastreiam este protocolo de camada de aplicativo no momento. Isto é
tratado como tráfego UDP regular c. Uma vez que o trabalho de padronização já está em andamento, é
provavelmente usará TLS. para transporte seguro.
Nesta seção, vimos vários mecanismos para proteger a comunicação ponta a ponta
canal por meio de protocolos de transporte. No entanto, se o conteúdo que está sendo transferido torna-se um acesso
para um invasor fora do canal de comunicação, eles podem comparar o volume do
material criptografado e fazer inferências. Como consequência, pode comprometer
confidencialidade da mensagem.
. SEGURANÇA DA CAMADA DE REDE

Embora a segurança da camada de aplicação e da camada de transporte ajudem a fornecer segurança ponta a ponta,
também há mérito em adicionar mecanismos de segurança à camada de rede. Primeiro, camada superior
mecanismos de segurança não protegem necessariamente os links de rede interna de uma organização de
tráfego malicioso c. Se e quando o tráfego malicioso for detectado nos hosts finais, é tarde demais, pois
a largura de banda já foi consumida. O segundo grande problema é que a camada superior
mecanismos de segurança descritos anteriormente (por exemplo, TLS) não ocultam cabeçalhos de IP. Isso torna o
Endereços IP dos hosts finais em comunicação visíveis para bisbilhoteiros.
Além disso, muitas organizações preferem que seu tráfego seja totalmente criptografado ao sair de sua rede.
trabalhos. No início da rede, várias redes privadas estavam em uso. No entanto, principal-
manter uma rede privada pode não ser rentável. Uma solução alternativa é fazer uso de
a Internet para conectar várias ilhas de redes privadas pertencentes a uma organização. Também,
empregadores e funcionários desejam um ambiente de trabalho flexível, onde as pessoas possam trabalhar
em casa, ou conecte-se de um quarto de hotel ou saguão de aeroporto sem comprometer sua segurança
ridade. Já determinamos que a Internet não é segura. O conceito de Virtual Private
Rede (VPN) na Internet pública requer um conjunto de mecanismos de segurança da camada de rede
www.cybok.org
que exploraremos nesta seção. Começamos nossa discussão com adições de segurança ao
protocolo IP da camada de rede denominado IPsec. Figura . mostra que um funcionário trabalhando de
casa acessa um servidor no trabalho, o cliente VPN em seu host encapsula datagramas IPv
em IPsec e criptografa a carga útil IPv contendo segmentos TCP ou UDP ou outras mensagens de controle
sábios. O gateway corporativo detecta o datagrama IPSec, descriptografa-o e decapsula-o
de volta ao datagrama IPv antes de encaminhá-lo ao servidor. Cada resposta do servidor
também é criptografado pelo gateway. Observamos que a criptografia não é obrigatória no IPsec. Figura
. é um dos vários modos de operação do IPsec. Por exemplo, pode haver duas empresas
redes, cada uma com seu próprio gateway IPsec se comunicando pela Internet aberta.
IP TCP / UDP Dados

Cabeçalho Cabeçalho Carga útil
Público
Internet IPSec
IP TCP / UDP Carga útil de dados
Cabeçalho Cabeçalho Cabeçalho
Compatível com IPSec

Criptografado
Roteador de gateway
Rede Empresarial
IP IPSec TCP / UDP Carga útil de dados
Cabeçalho Cabeçalho Cabeçalho
Criptografado
Compatível com IPSec

Hospedeiro
Rede doméstica
Figura . : Exemplo de interação cliente-servidor IPsec
Começamos com um exemplo simples que mostra a confidencialidade dos dados usando criptografia. Como-
sempre, o IPsec também fornece integridade de dados, autenticação de origem e prevenção de ataques de repetição.
Novamente, o conjunto de modos / configurações / padrões fornecidos pelo IPsec é extenso; interessado
os leitores devem acessar as RFCs IETF relevantes para obter os formatos e detalhes do protocolo.
O IPsec oferece suporte aos modos de operação de túnel e transporte. No modo de transporte, conforme mostrado
na figura . , o cabeçalho IP original é usado, mas o restante da carga útil é criptografado. Dentro
nosso exemplo de figura . , se o modo de transporte for usado, será necessário um endereço IPv roteável.
Isso pode ser alcançado se o endpoint estiver atrás de um NAT. Detalhes do NAT transversal podem ser encontrados
na RFC 6.
No resto desta seção, discutiremos o modo alternativo amplamente usado de encapsulamento em de-
cauda. Se os dispositivos de borda (roteadores / gateways) de duas redes são compatíveis com IPsec, o resto do
os servidores / hosts não precisam se preocupar com o IPsec. Os dispositivos de borda realizam o encapsulamento de
cada IP incluindo o cabeçalho. Isso cria virtualmente um túnel seguro entre as duas extremidades de
vícios. O dispositivo receptor de ponta, então, desencapsula o datagrama IPv e encaminha dentro
sua rede usando o encaminhamento de IP padrão. Outras configurações possíveis para um túnel podem in-
Volve um host compatível com IPsec e um gateway compatível com IPsec (como na figura .) Um túnel entre
www.cybok.org
dois hosts compatíveis com IPsec também são possíveis sem envolver roteadores de borda. O modo de tunelamento
continua a ser amplamente utilizado devido à sua simplicidade, uma vez que não requer suporte ao protocolo IPsec
nos hosts finais. Além disso, a negociação de chaves é simplificada, já que dois dispositivos de borda podem lidar com
conexões em nome de vários hosts em suas respectivas redes. Uma vantagem adicional
é que tudo, incluindo o endereço IP de origem / destino, é criptografado, tornando assim
análise de tráfego mais difícil. O ESPv permite usar o Traf c Flow Con dentiality (TFC) mecha-
nismos que adiciona preenchimento de comprimento arbitrário para ofuscar o padrão de tráfego e evitar evitar
ataques de análise estatística de tráfego. Kiral et al. [ ] relataram resultados experimentais explorando
preenchimento e várias outras técnicas, como framgementation de pacotes, introdução de arti -
atraso interpacote cial, inserção de pacotes fictícios para evitar a análise de tráfego.
Modo de transporte: Modo túnel:

Cabeçalho de IP original Novo Cabeçalho IP
Dados Dados
TCP TCP
Dados Dados
hdr hdr
IP original TCP IP original TCP

Dados Dados
hdr hdr hdr hdr
IP original ESP TCP ESP ESP ESP IP original TCP ESP ESP
Dados Dados
hdr hdr hdr trlr Auth hdr hdr hdr trlr Auth
novo IP ESP IP original TCP ESP ESP

hdr Dados
hdr hdr hdr trlr Auth
Figura . : Encapsulamento em modo de transporte e túnel
O IPsec oferece suporte a um conjunto de formatos para implementar a segurança. A carga útil de segurança de encapsulamento
(ESP) formato suporta confidencialidade usando pacotes IP criptografados, integridade de dados usando hash
funções e autenticação de origem. Se um aplicativo não exigir confidencialidade, ele pode
basta usar o cabeçalho de autenticação (AH) formato, que suporta integridade de dados e fonte
autenticação. O IETF RFC de nes o algoritmo de criptografia NULL com ESP para alcançar
o mesmo resultado. No total, temos quatro opções diferentes de comunicação: Modo de transporte
com ESP, Modo de transporte com AH, Modo túnel com ESP e modo túnel com AH. Desde a
Os túneis VPN são totalmente criptografados, o modo Túnel com ESP continua sendo o protocolo de escolha.
Duas entidades que participam da comunicação IPsec estabelecem Associação de Segurança (SA) para
cada direção do link. Essencialmente, uma série de variáveis são registradas em um banco de dados chamado
o banco de dados de associação de segurança (TRISTE) para pesquisa durante o processamento do protocolo IPsec, alguns-
o que é semelhante ao estado de conexão TCP . Algumas das informações do estado incluem o tipo
de criptografia usada (por exemplo, AES ou DES), a chave de criptografia, o tipo de verificação de integridade usada
(por exemplo, SHA- ou MD), a chave de autenticação e assim por diante. Uma janela anti-repetição também é usada
para determinar se um pacote AH ou ESP de entrada é uma repetição.
www.cybok.org
Quando um grande número de pontos de extremidade usa IPsec, a distribuição das chaves se torna um desafio.
A RFC 6 define o protocolo Internet Key Exchange (IKEv). Os leitores observarão um
semelhança entre TLS . e IKE, em que o IKE também requer um processo de handshake inicial para
negociar algoritmos criptográficos e outros valores, como nonces e trocar identidades
e certificados. Iremos pular os detalhes de uma complexa troca de protocolo de duas fases que
resulta no estabelecimento de uma quantidade chamada SKEYSEED. Esses SKEYSEEDs são usados para
gerar as chaves usadas durante uma sessão, conforme nos lembramos das SAs de IPsec. Notamos que o IKEv tem
evoluiu do IKEv, Internet Security Association e Key Management Protocol (ISAKMP),
e vários outros esforços anteriores. O ISAKMP é um framework que define os procedimentos para
autenticação do ponto de comunicação, criação e gerenciamento de associações de segurança,
e as técnicas de geração de chaves. Ele também pode fornecer mitigação de ameaças contra DoS e
ataque de repetição. De nido na RFC 8, ISAKMP também faz parte do IKEv para troca de chave.
.. Mascaramento de IP
Devido à falta de espaço de endereço IPv, Network Address Translation (NAT) foi designado
para que os endereços IP privados possam ser mapeados em um endereço IP externamente roteável pelo
Dispositivo NAT [8 ] Para um pacote IP de saída, o dispositivo NAT muda a fonte privada
Endereço IP para um endereço IP público do link de saída. Como consequência, ofusca o
endereço IP interno do mundo externo. Para um potencial invasor, os pacotes parecem ser
vindo do dispositivo NAT , não do host / servidor real por trás do dispositivo NAT .
.. Segurança IPv6
Nossas discussões sobre segurança até agora assumiram o uso de IPv. A escassez de IPv
endereços resultaram no desenvolvimento de um novo protocolo IPv6, já que o mecanismo NAT
vários aws. Como a adoção do IPv6 está aumentando gradualmente, devemos destacar os benefícios de segurança
e ts e desafios associados à implantação do IPv6. Por exemplo, o uso de 8 bits
espaço de endereço significa que os invasores precisam de muito mais tempo para verificar as portas, ao contrário do IPv,
onde todo o espaço de endereço pode ser verificado em algumas horas. Vários problemas de segurança
associado com ARP, que pode ser discutido posteriormente neste capítulo, desaparece como camada IPv6
endereços são derivados diretamente de endereços de camada sem qualquer necessidade de resolução de endereço
ção No entanto, isso permite que os invasores deduzam informações sobre o host / servidores que podem ser
útil ao lançar ataques. O uso da função hash para geração de endereço é recomendado
como técnica de mitigação. Além disso, o IPv6 permite um endereço gerado criptograficamente
(CGA) em que um endereço está vinculado a uma chave de assinatura pública. Isso ajuda na autenticação
entre roteadores para troca segura de mensagens. Inicialmente, o IPsec foi obrigatório para ser usado em
Redes IPv6, mas devido a dificuldades de implementação continua a ser uma recomendação. De várias
RFCs informativos da IETF e white papers específicos do fornecedor fornecem um tratamento abrangente
dos desafios de segurança do IPv6.
www.cybok.org
.. Segurança do protocolo de roteamento

Até agora, focamos principalmente na segurança dos dados enviados usando o TCP/ IP pro
suite tocol. No entanto, uma rede pode ser facilmente interrompida se os próprios roteadores forem
comprometidos ou aceitam mensagens de troca de roteamento espúrias de agentes mal-intencionados.
Primeiro, discutiremos os Protocolos de Gateway Interior (IGP) que são usados para troca
informações de roteamento dentro de um sistema autônomo (COMO), um ISP, por exemplo. Dois proeminentes
protocolos: Routing INformation Protocol (RASGARv) e abrir o caminho mais curto primeiro (OSPFv) são
em uso generalizado com ASs para redes IPv. O RIP mais recenteng e OSPFv versões sup-
porta IPv6. Esses protocolos não suportam segurança por padrão, mas podem ser configurados para suportar
autenticação baseada em texto simples ou autenticação baseada em MD. Autenticação de texto simples
envia uma chave secreta em texto não criptografado junto com as atualizações de roteamento, tornando-o fácil de ser detectado
por um analisador de pacotes. Uma opção mais segura usa o MD. Roteadores trocam mensagens di-
gest e um key-id junto com as atualizações de roteamento. O Key-id indica qual chave usar de um
lista de senhas. Isso evita o ataque do farejador. A autenticação pode evitar vários tipos de at-
aderências, como inserção de rota falsa ou modificação e adição de um vizinho desonesto. Adicionalmente,
os roteadores podem empregar filtragem de rotas para evitar a propagação da única rota legítima.
. . . Segurança do Border Gateway Protocol (BGP)
A Internet usa um sistema hierárquico onde cada AS é gerenciado por um ISP, troca de rota-
informações com outros ASs usando o Border Gateway Protocol (BGP) Veja RFC 6 e
RFC 6 para os detalhes do protocolo BGP . Depois de receber um IP pre x [8 ], o alcançável-
informações, de seu vizinho, o roteador verifica as informações recém-recebidas em relação
seu conhecimento armazenado para ver se há um caminho melhor para chegar a uma rede de destino. Está em-
a formação é atualizada localmente e propagada para seus vizinhos imediatos. O distribuído
sistema permite que as redes se alcancem globalmente.
Nos últimos anos, os ataques ao BGP foram vistos com a aparente intenção de interromper
Serviços do YouTube em todo o mundo. Toda a Internet sofreu uma interrupção em outro país devido
à configuração incorreta ou à publicidade maliciosa de atualizações falsas do BGP . De qualquer jeito,
isso destaca a falha de segurança no protocolo BGP . Esta vulnerabilidade surge porque
de falta de integridade e autenticação para mensagens BGP . Descreveremos alguns bem conhecidos
ataques ao protocolo BGP .
No que é conhecido como um ataque de sequestro de rota BGP , um roteador malicioso pode anunciar um IP
Pre x, dizendo que a melhor rota para um serviço é por meio de sua rede. Assim que o tráfego começar
a fluir por meio de sua rede, ele então escolherá descartar todos os pacotes para este serviço por um
uma variedade de razões, incluindo censura. Ele também pode ler todos os pacotes não criptografados.
Além disso. o invasor pode desviar o tráfego por meio de um AS desavisado, assim, de repente,
vincando sua carga. Em uma negação de serviço BGP (DoS) ataque , um roteador malicioso enviaria um
avalanche de tráfego BGP para uma vítima AS, enquanto mantém seu roteador de fronteira ocupado para que ele possa
não processa nenhuma atualização válida. O invasor também pode propagar atualizações BGP espúrias e
tabelas de roteamento corrompidas para evitar que o tráfego chegue ao destino pretendido.
A IETF está trabalhando atualmente em um padrão chamado BGPSec para abordar essas questões de segurança.
Este trabalho é baseado em uma proposta anterior denominada S-BGP [ ] O núcleo do esquema está no
uso de PKI para verificar as assinaturas dos vizinhos que enviam as atualizações. Dois vizinhos
os roteadores podem usar mecanismos IPsec para segurança ponto-a-ponto para trocar atualizações. Nós vamos
agora veja um exemplo simples em que um roteador BGP recebe um caminho ZZZ YYY XXX. O BGP
O roteador verifica a assinatura de AS XXX usando mecanismos PKI que aprendemos anteriormente. Isto
www.cybok.org
em seguida, verifica a assinatura gerada por YYY e posteriormente por ZZZ. Isso nos permite verificar
a origem e autenticidade de toda a cadeia de atualizações. No entanto, essa abordagem envolve grandes
despesas gerais. A verificação da assinatura tem um custo, implementando o BGPO segundo exigiria o
roteadores de borda para verificar um número maior de assinaturas na inicialização. Hardware criptográfico adicional
e a memória certamente ajudaria a manter o desempenho no caminho certo.
Apesar desses BGPSec e outros esforços de padronização, poucos roteadores implantam esses
mecanismos devido a custos adicionais e uma falta de benefícios de curto prazo, a menos que haja uma
sensus para comandar globalmente [ ] Os custos do mecanismo são uma barreira adicional, mas menor
para implantação generalizada. As propostas de segurança existentes do BGP sofrem de um padrão ecológico clássico
problema de nomic. Uma nova implantação de BGPSec beneficia principalmente (não implantação) outras operadoras
do que aqueles que implantam o mecanismo; assim, a recompensa do implantador está no futuro, enquanto o
as perdas de redes não implantadas são acumuladas antecipadamente.
.6 SEGURANÇA DA CAMADA DE LINK

Nesta seção, estamos concentrando nossa atenção na segurança das tecnologias de camada de link que
são relevantes para as implantações do usuário final / PC. Outras tecnologias de camada de link são abordadas em outros
áreas de conhecimento. Começaremos nossa discussão com o 8 proeminente. X Port-based Authen-
ticação seguida por problemas de segurança da camada de link em Ethernet comutada LAN e ambiente WLAN
mentos.
.6. IEEE 8. Autenticação baseada em porta X

O IEEE 8. X é uma autenticação baseada em porta para proteger redes com e sem fio.
Antes que um usuário possa acessar uma rede na camada de link, ele deve autenticar o switch ou ac-
ponto de acesso (AP) ao qual eles estão tentando se conectar, fisicamente ou por meio de um canal sem fio.
Como acontece com a maioria dos órgãos de padronização, este grupo tem seu próprio jargão. Figura
.6 mostra um típico
8 Configuração do X. Um usuário é chamado de suplicante e um switch ou AP é chamado de autenticador.
A arquitetura requer um servidor de autenticação (AuthS) que pode ser implementado usando
um dos protocolos existentes: serviço de usuário de discagem de acesso remoto (RADIUS), DIAMETER, Ker-
beros, Lightweight Directory Access Protocol (LDAP) ou Active Directory (AD), entre outros.
A função AS também pode ser colocada junto com o autenticador. Vamos agora considerar o RADIUS
como nosso exemplo AS. Normalmente, o AS e o autenticador são pré-configurados com uma configuração compartilhada
cret. Usando o protocolo RADIUS como exemplo, uma vez que uma solicitação do suplicante é recebida, o
autenticador envia uma mensagem de solicitação de acesso RADIUS ao servidor RADIUS, solicitando
autorização de acesso aos recursos.
O software suplicante está normalmente disponível em várias plataformas de sistema operacional ou também pode ser fornecido por
fornecedores de chipsets. Um suplicante (cliente) que deseja acessar uma rede deve usar o Extensível
Protocolo de autenticação (EAP) para se conectar ao AS por meio de um autenticador.
www.cybok.org
Authenmcator
Protegido
A infraestrutura
RADIUS, LDAP,
Diretório Acmve
Servidor..
Authenmcamon
Suplicante Suplicante Servidor
Figura .6: 8. Arquitetura de autenticação baseada em porta X
.6. . Protocolo de autenticação extensível (EAP)
O EAP é um cliente final para protocolo de servidor de autenticação. De suplicante a autentico

tor, ele é enviado através de protocolos de camada, ou seja, Extensible Authentication Protocol over LAN (EAPoL)
Não há necessidade de protocolos de camada superior. Como o autenticador está conectado ao AS usando
um link confiável com um segredo compartilhado, um protocolo de camada superior, como RADIUS / DIAMETER over
O UDP pode ser usado neste lado do link.
Quando um novo cliente (suplicante) é conectado a um autenticador, a porta do autenticador

é definido para o estado 'não autorizado', permitindo apenas 8. X traf c. Outro tráfego de camada superior, como
como TCP/ UDP está bloqueado. O autenticador envia o EAP-Solicitar identidade ao fornecedor
não posso. O suplicante responde com o EAP- pacote de resposta, que é encaminhado para o AS.
Isso normalmente inclui as credenciais do suplicante (nome de usuário e hash de senha). Sobre
verificação, o AS retorna uma das seguintes respostas: Aceitar Acesso, Rejeitar Acesso,
Acesse o Challenge para credenciais extras. Se o resultado for Aceitar acesso, o autenticador não
bloqueia a porta para permitir o tráfego da camada superior. Quando o suplicante faz logoff, o EAP-sair
para o autenticador define a porta para bloquear todos os nãoEAP traf c.
O envio das credenciais de um suplicante em texto simples é problemático por vários motivos. Para proteger
proteger contra qualquer espionagem, o EAP usa um túnel para autenticação e autorização
ção Uma ampla gama de protocolos de encapsulamento EAP está disponível. Segurança da camada de transporte EAP
(EAP-TLS), EAP para identidade de assinante GSM (EAP-SIM) e autenticação protegida por EAP
Protocolo (EAP-PEAP) são alguns dos exemplos para estabelecer um túnel seguro. EAP-PEAP ,
também conhecido como 'EAP dentro do EAP'é um dos protocolos mais populares. Se cavarmos mais fundo, seja-
antes que a porta seja desbloqueada, um processo complexo é usado para gerar uma chave de criptografia dinâmica
usando um aperto de mão -way. Essencialmente, todos esses protocolos estabelecem um túnel TLS , mas diferem
na escolha de algoritmos de hash, o tipo de credenciais usadas, se um certificado do lado do cliente é
usado, etc. A maioria dos protocolos usaria um certificado do lado do servidor.

www.cybok.org
EAP TLS
EAP
RADIUS / LDAP / .. EAP sobre LAN (EAPOL)
UDP / IP IEEE 802.11
Eixo
LAN com fio
Servidor RADIUS Autenticador

(Switch / AP)
Dispositivo wireless
Suplicante
Figura . : Protocolo de autenticação extensível (EAP)
Uma vez que o suplicante e o AS se autenticam mutuamente, eles juntos geram uma chave mestra (MK)
Como já discutimos, o autenticador tem desempenhado o papel de um relé até este
apontar. Durante este processo, o suplicante obtém uma Chave Mestra Pairwise (PMK) O AS também
deriva o mesmo PMK e o envia ao autenticador. Deste ponto em diante, o suplicante
e o autenticador usa o PMK para derivar a chave temporal (TK) usado para a criptografia de mensagem
ção e integridade. O processo de derivação de chave é semelhante ao que aprendemos no TLS anteriormente.
Iremos revisitar a geração de chaves e a relação entre as várias chaves em detalhes posteriormente em
a rede robusta e segura (RSN) seção.
.6. Ataque no switch Ethernet

Embora a literatura de pesquisa tenha se concentrado principalmente na segurança de camadas superiores, o Stuxnet
[ 6 ] ataque demonstrou que uma unidade USB de aparência inócua pode facilmente causar estragos
em uma rede local (LAN) ambiente sem a necessidade de uma conexão com a Internet.
A tecnologia Ethernet amplamente implantada é construída em torno de protocolos de autoaprendizagem e configuração.
Isso permite facilidade de gerenciamento, mas ao mesmo tempo apresenta várias vulnerabilidades de segurança
capacidades [ ] Fornecemos uma breve revisão de alguns dos ataques possíveis aqui.
Ataque de controle de acesso à mídia: ataque de envenenamento por switch
Os switches Ethernet continuam encaminhando entradas de tabela em uma memória endereçável de conteúdo (CAM)
À medida que um switch aprende sobre um novo host de destino, ele atualiza a tabela e para todos os comandos futuros
comunicações, esta entrada da tabela é consultada para encaminhar um quadro. Ao contrário de broadcast Ethernet ou
WLAN, esses quadros não estão acessíveis a hosts conectados a outras portas. No entanto, se o
switch não tem um mapeamento para um novo controle de acesso à mídia (MAC) endereço, ou seja, qual
porta para a qual encaminhar um novo quadro, ele carregará o quadro em todas as suas portas de saída. Um atacante
poderia criar vários quadros com endereços aleatórios para preencher um CAM inteiro. Isso seria
resultar na mudança de fluxo de todos os quadros de dados de entrada para todas as portas de saída, já que lá
www.cybok.org
não há espaço disponível para inserir um novo mapeamento. Isso torna o quadro disponível para o invasor
anexado a uma dessas portas. Como consequência, um ataque de fluxo de MAC também afetaria
todas as VLANs preenchendo seu CAM. No entanto, esse tipo de ataque exige que um invasor controle
um dispositivo que está diretamente conectado a um switch Ethernet ou possivelmente a algum usado, mas desconhecido
tomadas de parede Ethernet que ainda estão conectadas a uma porta. Mitigando este tipo de ataque
exigiria a autenticação e verificação dos endereços MAC de algum banco de dados local de
endereços legítimos antes de preencher a entrada da tabela de encaminhamento.
MAC Spoo ng: os ataques ocorrem quando um invasor escuta um link e detecta o MAC
endereço de um host de destino. Em seguida, ele se disfarça como um host legítimo, alterando o MAC de seu host
endereço para coincidir com o endereço MAC detectado recentemente . O invasor inundou a rede com
o endereço MAC recém-con gurado enquanto direciona o tráfego para si mesmo alterando a chave
encaminhamento de entrada da tabela. O switch agora é enganado para encaminhar os frames destinados ao
host de destino para o host de ataque.
O endereço MAC não foi projetado nem deve ser usado para fins de segurança. O 8. X, que
discutimos anteriormente, é um bom ponto de partida para prevenir o acesso de usuários não autorizados.
qualquer serviço em uma rede. Como um problema secundário, um usuário pode optar por falsificar seu MAC
endereço para proteger sua privacidade. Os sistemas operacionais mais populares suportam MAC
randomização de endereços para evitar que os dispositivos sejam rastreados com base em um endereço MAC.
Protocolo de resolução de endereço (ARP) Spoo ng: os ataques ocorrem quando um invasor envia uma mensagem falsa
Mensagem ARP em uma LAN, vinculando o endereço IP do alvo ao seu próprio endereço MAC . Uma vez
consegue comprometer a tabela ARP , começará a receber todos os dados pretendidos
para o endereço IP do alvo. ARP spoo ng também pode ser usado para ataques DoS populando
a tabela ARP com vários endereços IP correspondentes a um único endereço MAC de um alvo
servidor, por exemplo. Isso então redirecionaria o tráfego desnecessário para o destino, mantendo-o ocupado
processamento dessas mensagens. ARP Spoo ng também é útil em sequestro de sessão e MITM
ataques.
Na verdade, um esquema de mitigação estabeleceria limites no número de endereços que podem ser aprendidos
por porta em um switch. Alguns fornecedores usam um processo de verificação onde inspecionam o MAC
endereço e informações de endereço IP em pacotes ARP contra o MAC- Ligações IP contidas
em uma tabela de ligação confiável. Isso permite qualquer pacote ARP que não tenha uma entrada no
tabela de ligação a ser descartada. A tabela de ligação deve ser atualizada com frequência para evitar o bloqueio
atualizações legítimas.
Salto de VLAN :Ataques de salto de VLAN permitem que um host de ataque em uma VLAN obtenha acesso a
recursos em outras VLANs que normalmente seriam restritas. Existem dois métodos principais
de salto de VLAN : switch spoo ng e double tagging.
Em um ataque de switch spoo ng, um host de ataque personifica um switch de entroncamento respondendo
aos protocolos de tagging e trunking (por exemplo, IEEE 8. Q ou Dynamic Trunking Protocol) tipi-
normalmente usado em um ambiente de VLAN . O invasor agora consegue acessar o tráfego para vários
ple VLANs. Os fornecedores atenuam esses ataques por meio da configuração adequada do switch. Por exemplo, o
portas são atribuídas a uma função de entroncamento explicitamente e as outras são configuradas como portas de acesso
só. Além disso, qualquer protocolo de negociação automática de tronco pode ser desabilitado. Em uma dupla marcação em
aderência, um invasor consegue enviar seu quadro para mais de uma VLAN inserindo duas VLAN
tags para um quadro que ele transmite. No entanto, esse ataque não permite que eles recebam uma resposta.
Novamente, os fornecedores fornecem métodos de configuração recomendados para lidar com essas possíveis atitudes
tachas. Uma pesquisa abrangente de ataques e defesa Ethernet pode ser encontrada em [ ]e
cursos específicos do fornecedor.
www.cybok.org
. SEGURANÇA DE LAN SEM FIO

LAN sem fio são mais vulneráveis a riscos de segurança devido à natureza de transmissão da mídia,
o que simplifica a escuta. A privacidade equivalente com fio (WEP) protocolo, apesar de ser
obsoleto devido ao seu design aws, fornece várias lições importantes sobre como não projetar
um protocolo de segurança. O protocolo WEP foi projetado para fornecer integridade, confidencialidade e
autenticação. Ele usa um método de criptografia de chave simétrica onde o host compartilha uma chave com
um ponto de acesso usando métodos fora da banda, principalmente pré-instalação por um administrador ou um
usuário da rede doméstica. O remetente calcula um valor de verificação de integridade de -bit (ICV) usando um cíclico
Verificação de redundância (CRC) algoritmo sobre a carga útil. Uma chave compartilhada de bits combinada com um
Vetor de inicialização de -bit (4) é alimentado em um Gerador de Número Pseudo Aleatório (PRNG) tal
como uma cifra de fluxo RC. A carga útil de texto simples e o CRC do quadro são então combinados
com a sequência de chaves gerada pelo RC usando operação exclusiva ou bit a bit para criptografar
a moldura. Um novo IV é usado para cada quadro.
Para autenticação, os pontos de acesso (APs) anunciar por meio de quadros de beacon se a autenticação
cátion é necessário ou não. No entanto, nem todos os APss suportam esse recurso. Se a autenticação for
necessário, antes da associação, um host conectado a um AP receberia um nonce de 8 bits da
o AP. Ele criptografaria o nonce com a chave compartilhada e o enviaria de volta ao AP. O AP
iria descriptografar esta resposta com a chave compartilhada e verificar se ela corresponde ao nonce
enviado originalmente. O receptor extrairia o IV recebido em texto simples, a entrada IV e compartilhada
chave secreta para PRNG, obtenha um keystream, XOR o keystream com os dados criptografados para descriptografar
dados + ICV e finalmente verificar a integridade dos dados com o ICV.
O protocolo WEP tem vários problemas de design. Primeiro, o uso de um -bit IV introduz um fraco
24
ness no esquema em que 2 ou 6 milhões de IVs exclusivos podem ser exauridos em links de alta velocidade
em menos de horas. Dado que os IVs são enviados em texto simples, um bisbilhoteiro pode detectar facilmente
isso reutiliza e monta um ataque de texto simples conhecido. Usar o RC em WEP permite que o Fluhrer,
Martin e Shamir (FMS) ataques. No FMS, um invasor pode recuperar a chave em um RC en-
stream criptografado capturando um grande número de mensagens nesse stream [ 6] O linear
O algoritmo CRC é bom para detectar erros de link aleatórios, mas é uma escolha ruim para mal-intencionado
modificando a mensagem. Técnicas criptográficas fortes, como autenticação de mensagem
códigos e assinaturas, conforme discutido em protocolos de camada superior, são mais adequados para essa tarefa.
Dado o pobre design de segurança do WEP, a Wi-Fi Alliance assumiu o trabalho de proteção sem fio
redes. Um padrão provisório denominado Wi-Fi Protected Access (WPA) foi rapidamente desenvolvido
optou por compatibilidade de hardware com versões anteriores, enquanto o WPA estava sendo elaborado. WPA usa o
Protocolo de Integridade de Chave Temporal (TKIP), mas mantém o RC para compatibilidade. O Pré-Compartilhado
Chave (PSK), também conhecido como WPA-Pessoal, é semelhante ao WEP-Chave. No entanto, o PSK é usado
diferentemente, um nonce e PSK são hash para gerar uma chave temporal. Em seguida, um cryp-
A função de mistura gráfica é usada para combinar esta chave temporal, o MAC Temporal (TMAC),
e o contador de sequência resultando em uma chave para criptografia (8 bits) e outra chave para
integridade (6 bits). Como consequência, cada pacote é criptografado com uma chave de criptografia exclusiva
para evitar FMSataques de estilo. Além disso, o WPA estende o WEP IV para 8 bits, que é usado como um
contador de sequência de pacotes. Levaria anos para repetir o mesmo IV. Um pacote recebido
de ordem, seria descartado pela estação receptora. Vários novos campos incluem um novo Frame
Verificar sequência (FCS) campo, um CRC- checksum para correção de erros e uma função hash
com base no novo campo Michael (MIC) para uma verificação de integridade. O WPA teve sua própria participação
de ataques, conforme relatado na literatura [ ]
Os padrões WPA da aliança Wi derivados do IEEE 8. i padrões foram nalizados em
www.cybok.org
. O WPA depende de um hardware mais poderoso que suporta um modo de contador AES de 8 bits com
o protocolo de código de autenticação de mensagem de encadeamento de blocos de criptografia (CCMP) Esses métodos
são discutidos na Área de Conhecimento de Criptografia (Capítulo ). Ele também fornece um melhor
-way handshake e método de geração de chave temporária.
Em 8, um novo padrão WPA foi aceito para fazer uma transição gradual e, eventualmente, voltar
coloque o WPA . O WPA supera a falta de sigilo direto perfeito no WPA e no WPA .
O PSK é substituído por uma nova distribuição de chaves chamada Autenticação Simultânea de
Igual a (SAE) com base na troca de chaves IETF Dragon y. O modo WPA -Pessoal usa um
Criptografia de 8 bits, enquanto o WPA-Enterprise usa criptografia de bits.
.. Robust Security Network (RSN)

Uma seção anterior descreveu a evolução do WEP em WPA e WPA . No entanto, o
IEEE 8. Eu grupo de trabalho surgiu com a estrutura RSN para fornecer a forma mais forte
de segurança. Ele adota o 8. Mecanismos baseados em X para controle de acesso, conforme discutido acima.
A autenticação e a geração de chave são feitas por meio do EAP. Ele continua a usar o TKIP e
CCMP para várias funções criptográficas, como criptografia / descriptografia, verificação de integridade, como
bem como autenticação de origem e detecção de ataque de repetição. Stallings [8 ] fornece um bom
visão geral dos protocolos e padrões RSN .
Os mecanismos de derivação da chave RSN estão envolvidos até certo ponto, como pode ser visto na figura .8.
Forneceremos um resumo disso, como muitos outros protocolos (incluindo GSM celular) Segue
um esquema semelhante ao esquema de chave em pares fornece um mecanismo para gerar
chaves de sessão cada vez que um usuário inicia uma nova sessão.
Como ponto de partida, o dispositivo do usuário e o AP teriam uma chave pré-compartilhada (PSK) usando
métodos de banda. No entanto, esta não é uma solução escalonável e em uma configuração corporativa usando
o IEEE 8. X, uma chave de sessão mestre (MSK) normalmente é gerado durante a autenticação
Estágio. Com essas duas opções disponíveis, uma Chave Mestra Pairwise (PMK) pode ser gerado
das duas maneiras a seguir: usando o PSK como o PMK ou derivando o PMK do MSK
usando a função pseudo-aleatória (PRF) O PSK também usa os endereços de host e AP
ao gerar o PTK, fornecendo, assim, defesa adicional contra sequestro de sessão e
representação. Além disso, um nonce é usado na mistura para obter um bom material de codificação aleatória.
O PTK agora está dividido em três formas, gerando chaves separadas para cada função.
O RSN também atende a uma geração de chave de grupo onde um host pode se comunicar com uma
grupo de elenco, conforme mostrado na figura .. Esta chave é gerada pelo AP e distribuída com segurança
aos hosts associados usando as chaves de pares seguras derivadas acima. Esta chave de grupo pode ser
alterado periodicamente com base em uma variedade de políticas de rede. O Grupo Temporal Key gener-
método de ação não está definido nos padrões.

www.cybok.org
Confirma em
Chave
Caminho EAP Chave AAA
128 bits
≥ 256 bits
(Possível PRF usando

trunca on) Emparelhados HMAC-SHA-1 Emparelhados Criptografar
Chave mestra chave transitória Chave
256 bits 384 bits (CCMP) 128 bits
256 bits (TKIP)
Fora de- Pré-compartilhado

caminho da banda Chave
Temporal
256 bits Chave
128 bits
Componentes de PTK
Hierarquia de chaves em pares
Figura .8: Hierarquia de chaves de pares WLAN RSN
0,8 FERRAMENTAS DE DEFESA DE REDE

Idealmente, os ataques devem ser detectados o mais cedo possível, ou mesmo previstos antes de terem
iniciado para que eles possam ser evitados completamente. Discutiremos uma série de abordagens
que pode ser implementado em várias camadas da pilha de protocolo. Nós fornecemos uma breve visão geral
aqui. A implantação eficaz dessas ferramentas é abordada em detalhes nas Operações de Segurança
& Área de Conhecimento de Gerenciamento de Incidentes (Capítulo 8)
.8. Filtros de pacotes / firewalls

O termo ltro é usado para um conjunto de regras configuradas por um administrador para inspecionar um pacote
e realizar uma ação correspondente, por exemplo, deixar o pacote passar, descartar o pacote, descartar e gerar
erar uma notificação ao remetente por meio de mensagens ICMP . Os pacotes podem ser filtrados de acordo com
seus endereços de rede de origem e destino, tipo de protocolo (TCP , UDP , ICMP ) , TCP ou UDP
números de porta de origem / destino, bits de bandeira TCP (SYN / ACK), regras para tráfego de um host ou
sair da rede por meio de uma interface específica e assim por diante. Isso era típico do pacote inicial
ltros, que trabalharam na inspeção de campos de coletores. Esses filtros não mantiveram nenhum estado em
formação sobre os pacotes / ows / sessões a que pertenciam. Quanto mais poder de computação
e memória mais barata tornou-se disponível, a próxima geração de filtros de pacotes começou a rastrear
camada de transporte ow, uma cadeia de pacotes pertencentes a uma sessão, conhecida como filtros com estado .
Os filtros de pacotes, também conhecidos como sistema de firewall, podem ser colocados junto com roteadores ou implementados como
servidores especializados. Em ambos os casos, eles são guardiões, inspecionando todas as entradas / saídas
tráfego c. Os ltros são definidos com base em uma política de segurança da rede e os pacotes são tratados de acordo com
cordialmente. Embora os rewalls desempenhem um papel fundamental na proteção de uma rede, derrubar um rewall pode
potencialmente causar estragos em organizações que dependem de tecnologia de rede.
www.cybok.org
PRF usando
HMAC-SHA-1
Chave mestre de grupo Chave temporal de grupo
(Muda periodicamente ou se (Mudanças com base na política:

comprometido) disassocia on / deauthen ca on)
256 bits 40 bits, 104 bits (WEP)

128 bits (CCMP)
256 bits (TKIP)
Hierarquia de chave de grupo
Figura . : Hierarquia de chave de grupo WLAN RSN
.8. Gateway de Aplicativo (AG)

Como vimos antes, um firewall pode verificar regras com base no critério de filtragem usando TCP/ UDP
cabeçalhos de protocolo, números de porta, etc. No entanto, muitas organizações usam gate-
maneiras, também conhecidas como proxy de aplicativo, de realizar o controle de acesso, pois facilitam qualquer recuperação adicional
procedimentos de autenticação do usuário antes de uma sessão ser admitida. Esses AGs podem inspecionar em
formação da pilha de camada completa (Internet) ou camada OSI , exceto para bits criptografados. Dentro
uma configuração típica, o gateway de aplicativo usará os serviços de um firewall após a execução de auto
autenticação e aplicação de políticas. Tanto o AG quanto o rewall também estão co-localizados em muitos
implantações. Um cliente que deseja acessar um serviço externo se conectaria ao AG primeiro.
O AG solicitaria a autenticação dele antes de iniciar uma sessão com o externo
servidor. O AG agora estabeleceria a conexão com o destino agindo como um relé
em nome do cliente, essencialmente criando duas sessões: uma entre o cliente e o AG, e
um entre o AG e o destino.
Outra aplicação interessante de um AG é a terminação SSL . Um SSL de servidor da web de entrada

a conexão pode ser encerrada no AG, para que pudesse fazer o uso intensivo de recursos
criptografar / descriptografar e passar o tráfego não criptografado para os servidores de back-end. Isso permite
a carga de trabalho nesses servidores ocupados seja reduzida, além de implementar medidas de segurança
com certeza. Na prática, os AGs também são configurados para inspecionar o tráfego de saída criptografado onde
os clientes são con gurados com os respectivos certificados instalados no AG.
O nível de segurança mais alto fornecido por um AG vem às custas de hardware / software adicional
recursos de ware. Além disso, um AG pode desacelerar a conexão, como autenticação, política
verificações e manutenção de estado são realizadas para manter o controle de cada sessão que está ocorrendo
o AG. Outra complexidade envolvida com um AG é a necessidade de configurá-lo para cada aplicação
ou, possivelmente, ser implementados como vários servidores de aplicativos específicos.
www.cybok.org
.8. Gateway em nível de circuito (CG)

Um CG é um proxy que funciona como um relé para conexões TCP , permitindo, assim, hosts de um
Intranet corporativa para fazer conexões TCP pela Internet. CGs são normalmente co-localizados
com uma parede rewall. O CG mais usado hoje em dia é o SOCKS. Para aplicativos de usuário final, ele executa
de forma transparente, desde que os hosts sejam configurados para usar SOCKS no lugar de um soquete padrão
interface. Um CG é simples de implementar em comparação com um AG, pois não precisa entender
protocolos da camada de aplicação.
.8. Sistemas de detecção de intrusão (IDS)

O IDS pode fornecer informações valiosas sobre o comportamento anômalo da rede. No entanto, outro
técnicas complementares também são necessárias se todo o tráfego for criptografado. Semelhante a AGs, eles em
ver informações de camada superior e muitos mais atributos de sessões além do que um pacote
ltro ou parede podem servir. Um IDS monitoraria o tráfego de rede com a ajuda de agentes / sen-
detecta / monitora na rede e dispara alarmes quando detecta (ou pensa que tem) suspeita
atividade ciosa. Essencialmente, o IDS compararia o tráfego com o que considera normal
mau tráfego e, usando uma série de técnicas, geraria um alerta. Falsos alarmes são enormes
problema para administradores de rede / segurança, apesar de décadas de pesquisa. Por exemplo, falso
positivos podem ser gerados pelo IDS para hosts legítimos que realizam
comportamento que pode parecer malicioso. Vamos agora considerar uma situação em que um legítimo
domínio acessado com freqüência por hosts em uma rede torna-se temporariamente inacessível. O
consultas de DNS com falha para o mesmo domínio nesta instância seriam geradas para muitos hosts
e pode parecer suspeito, mas não deve ser considerado atividade maliciosa. Da mesma forma, um falso
negativo causaria a classificação da atividade maliciosa como benigna.
A seguir estão as duas categorias principais de IDS :
• Sistemas de detecção de intrusão baseados em assinatura comparam o tráfego monitorado com um

banco de dados contendo assinaturas de ameaças conhecidas semelhantes ao software de varredura de vírus. O
banco de dados deve ser continuamente atualizado, no entanto, ou não detectará novos tipos de at-
tachas. As assinaturas podem ser tão simples como um endereço IP de origem / destino ou conter muitos
outros cabeçalhos de protocolo, incluindo certos padrões na carga útil. Nós fornecemos um simples
exemplo de um código aberto IDS Snort abaixo.
alert tcp any any ->. 68. / 8

(conteúdo: "GET"; msg: "WWWGET foi detectado";
sid:; rev:; )
Neste exemplo simples, a ação é 'alerta'. A fonte é definida para qualquer fluxo TCP com
qualquer endereço. O destino é definido como. 68. / na porta 8. A regra está definida
para verificar se o pacote contém uma string 'GET' e, em seguida, gerar um alerta. O 'sid'
ou Snort Identi er refere-se à regra Snort usada. Snort fornece um longo conjunto de regras, mas
permite que os usuários definam seus próprios.
O IDS gera uma carga de trabalho pesada, pois precisa comparar um grande número de assinaturas.
A velocidade de detecção desempenha um papel fundamental na prevenção desses ataques. Vários sistemas implantados
sistemas de detecção paralelos e distribuídos que podem lidar com altas taxas de tráfego em grandes
redes e permitir a detecção online; outros exploram o paralelismo no nível do hardware em
a fim de superar os atrasos de processamento para que os pacotes e ows possam ser processados em
altas velocidades, proporcionando resultados mais rápidos. Muitas pesquisas também se concentraram em soluções mais rápidas
padrões ou correspondência de regras com o objetivo de reduzir atrasos no processamento de pacotes.
www.cybok.org
• Os sistemas de detecção de intrusão baseados em anomalias usam recursos estatísticos do tráfego normal
para comparar com o tráfego monitorado c. O critério para capturar o tráfego normal poderia
ser uso de largura de banda, protocolos, portas, taxa de chegada e burstiness [886] Por exemplo, um
uma grande porcentagem de varreduras de portas geraria um alerta. Os ataques podem ser detectados por
monitorar hosts ou redes quanto ao comportamento típico de diferentes ataques. Um link de destino
Ataque Ooding visa sobrecarregar um link específico na rede, desconectando assim
selecionar uma região de rede ou servidor selecionado da rede. Observando um aumento em
pacotes traceroute na rede podem indicar um fluxo de link de destino próximo
Ataque DDoS .
Apesar de usar técnicas de aprendizado de máquina, como regressão linear, rede neural
funciona, Deep Learning etc., que treina um classificador a partir de dados normais ou maliciosos e
use-o para identificar o mesmo comportamento em dados futuros, os falsos positivos desses sistemas
permanecer alto [ 8]
Outra forma de classificar IDSes é o ponto de monitoramento de comportamento malicioso. Um hospedeiro

Sistema de detecção de intrusão (HIDS) é executado em hosts individuais na rede. A maioria das varreduras de vírus
software teria este recurso onde eles também monitoram o tráfego de entrada e saída em
além da verificação de vírus usual. Isso pode ser particularmente útil se os anfitriões foram
comprometidos e fazem parte de um bot para atacar outros servidores / redes. Em contraste, uma rede
sistema de detecção de intrusão é implantado em locais estratégicos dentro da rede para monitorar
tráfego de entrada e saída de e para dispositivos em vários segmentos da rede.
.8. Um sistema de prevenção de intrusões (IPS)

Um IPS se distingue de um IDS porque pode ser configurado para bloquear ameaças potenciais
definindo critérios de filtragem em roteadores / switches em vários locais da rede.
Os sistemas IPS monitoram o tráfego em tempo real, descartando qualquer pacote malicioso suspeito, bloqueando
tráfego de endereços de origem maliciosos ou redefinição de conexões suspeitas. Na maioria dos casos,
um IPS também teria recursos de IDS . Vários IDSAs ferramentas / IPS geram um alerta para um spam
estágio de preparação, que é indicado por um aumento nas consultas DNS MX que os bots de spam geram
para descobrir um servidor de e-mail antes de enviar e-mails de spam.
O sistema IPS é pró-ativo e, em tese, deve funcionar de forma autônoma sem intervenção
de um administrador de segurança / rede. Por exemplo, ao inspecionar os cabeçalhos, se um sistema IPS
Se suspeitar que um e-mail não é seguro, isso pode impedir que ele seja encaminhado a um usuário final.
No entanto, o risco de bloquear o tráfego legítimo é um grande problema devido a falsos positivos ou
a configuração incorreta desses sistemas. Na prática, no entanto, os sistemas IPS são geralmente configurados para
detecte modos e comece a bloquear o tráfego apenas quando a confiança na incidência for verdadeira
positivo torna-se alto.
IDSOs fornecedores / IPS fornecem atualizações regulares de assinatura e as equipes de segurança terão que determinar
quais implantar, dependendo do ambiente de rede em que está implantado. IDS/ IPS pode
também ser software, implantado na camada de aplicativo em terminais estratégicos. Estes não
tem seu próprio sistema operacional, contando com o host, mas pode ser reajustado para oferecer suporte e proteger
o dispositivo específico em que é implantado.
Existem vários outros mecanismos de defesa de rede. Em ambientes altamente protegidos

como defesa ou infraestrutura crítica, um dispositivo conhecido como diodo de dados pode ser configurado
para permitir um fluxo seguro de dados em apenas uma direção. Por exemplo, uma barragem de água pode fornecer
informações sobre os níveis de água para as pessoas que vivem na vizinhança, mas pode restringir o envio
www.cybok.org
qualquer informação de volta para a rede de controle da barragem. Uma cobertura abrangente deste tópico
pode ser encontrado na Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes (Capítulo 8)
.8.6 Projeto de Arquitetura de Rede

Essas ferramentas de proteção de rede são mais eficazes quando implantadas em combinação, onde dif-
diferentes redes locais têm finalidades distintas e focalizadas. O design da rede deve ser equilibrado
as preocupações de custo e desempenho em relação aos benefícios da segmentação do tráfego, tanto quanto
possível. Um exemplo inicial foi a proteção de perímetro de rede. O perímetro da rede pro
ideia de proteção vem da técnica antiga de usar paredes como a Muralha de Adriano ou a
Grande Muralha para proteger uma cidade. No jargão de rede, uma zona chamada Zona Desmilitarizada
(DMZ), também conhecido como rede de perímetro, é criado. Todos os usuários externos não confiáveis são proibidos de
utilizando os serviços disponíveis nesta zona. Normalmente, o servidor público da web de uma organização e
DNS autoritativo residiria na DMZ. O resto da rede é dividido em vários
zonas de segurança por um arquiteto de segurança. Por exemplo, um banco de dados de pagamento seria implantado
para uma rede isolada. Cada zona é gerenciada por um ou mais dos sistemas IDS , IPS ou AG
com base na importância da informação / infraestrutura a ser protegida. Embora sem
qualquer controle rígido dos pontos de extremidade na rede, isso provou atingir menos separação
que o esperado.
. TÓPICOS DE SEGURANÇA DE REDE AVANÇADA
.. Rede definida por software, virtualização

Rede definida por software (SDN) tornou-se comum em data centers e outros
contextos para gerenciar e controlar a operação da rede. Na rede IP convencional,
os roteadores executam funções de roteamento e encaminhamento. No entanto, o SDN separa o
funcionalidade de encaminhamento de pacotes dos dispositivos de encaminhamento, ou seja, o plano de dados do controle
plano. A função de roteamento e outras informações são implementadas em um controlador centralizado.
Ao receber um novo pacote, o switch SDN solicita uma regra de encaminhamento do con
trollador. O switch então encaminha todos os pacotes subsequentes do fluxo usando esta regra. O
A arquitetura SDN oferece muitos novos recursos para melhorar a segurança para detecção de ameaças e
prevenção de ataques e fornece serviços de segurança inovadores [ , ]
Por exemplo, um ataque DDoS pode ser inferido pelo controlador central com mais precisão, e um
o aplicativo de mitigação de ameaças pode reprogramar dinamicamente as chaves no perímetro da rede
para soltar vacas de tráfego maliciosas. Um usuário em uma máquina infectada pode ser automaticamente roteado para
um servidor da web emitindo uma notificação de quarentena. Outro grupo de pesquisadores se concentrou em
proteger a própria plataforma SDN . Os controladores SDN usam um algoritmo de Spanning Tree (SPTA)
para atualizações de topologia. Em um ataque DoS , um adversário pode anunciar um link falso e forçar
o SPTA para bloquear portas legítimas. Hong et al. [ ] fornecem uma série de vetores de ataque em
implementações práticas de switch SDN .
Os comutadores SDN estão sujeitos a um ataque de canal lateral de temporização . Liu et al. [] apresentar vários em-
vetores de aderência. Um invasor pode enviar um pacote e medir o tempo que leva para a mudança
processar este pacote. Conforme discutido acima, para um novo pacote, o switch precisará buscar um
nova regra do controlador, resultando em atraso adicional sobre os fl uxos que já
ter regras instaladas no switch. Por exemplo, o invasor pode determinar se um ex
mudança entre um IDS e um servidor de banco de dados ocorreu, ou se um host visitou
www.cybok.org
um site específico. Uma possível contramedida introduziria atraso para os primeiros pacotes
conjuntos de todos os fluxos, mesmo que exista uma regra
] Os
[ switches SDN armazenam regras na memória cache
para pesquisas rápidas. As regras são normalmente eliminadas da memória após um tempo limite especificado
período ou removido devido a certas outras decisões de política. Liu et al. [ ] também descrevem poten-
ataques iniciais, observando o comportamento de remoção da regra de cache. Eles sugerem contramedidas
como uma configuração proativa de regras ou transformação da estrutura de regras (por exemplo, fusão) para tornar qualquer
inferência difícil. Zerkane et al. [ ] analisaram metodicamente e relataram SDN
vulnerabilidades.
Uma tendência recente em redes é o uso de Virtualização de Funções de Rede (NFV) O objetivo
é reduzir o capex e permitir a rápida introdução de novos serviços no mercado. Spe-
middleboxes de rede socializados, como rewalls, codificadores / decodificadores, DMZs e deep packet
unidades de inspeção são dispositivos normalmente fechados de caixa preta executando software proprietário [ ]
Os pesquisadores do NFV propuseram a implantação dessas caixas intermediárias inteiramente como virtualizadas
módulos de software e gerenciados por meio de APIs padronizadas e abertas. Esses módulos são chamados
Funções de rede virtual (VNFs) Um grande número de ataques possíveis diz respeito ao Virtual
Máquina (hipervisor), bem como funções virtuais de configuração. Lal et al. [ 6] fornecer uma mesa
dos problemas de segurança do NFV e as melhores práticas para solucioná-los. Por exemplo, um invasor pode
comprometer um VNF e gerar outros novos VNFs para alterar a configuração de uma rede por
bloqueando certas portas legítimas. Os autores sugerem introspecção do hipervisor e zona de segurança
como técnicas de mitigação. Yang et al. [ ] fornecem uma pesquisa abrangente sobre segurança
problemas em NFV.
.. Segurança da Internet das Coisas (IoT)

Conforme discutido anteriormente, o malware Mirai mostra como dispositivos IoT, como câmeras IP, podem
ser usado para lançar ataques DDoS graves . Por ser um campo voltado para aplicativos, os fornecedores preferem
'primeiro ao mercado' com o título resultante sendo de baixa prioridade. A outra razão é que a IoT dec
vícios são normalmente de baixo custo e têm capacidade limitada para participar de segurança avançada
protocolos, especialmente quando eles são limitados em recursos por meio de energia da bateria, etc. Trans-
Port Layer Security (TLS) e Datagrama TLS (DTLS) são os pilares da segurança da IoT . Promi-
nente IdC protocolos da camada de aplicação, quer adoptar TLS ou DTLS como a sua segurança no protocolo
combinação com criptografia de chave pública (PKC) ou uma chave pré-compartilhada (PSK) suite. Estes IoT
as estruturas de aplicativos atendem aos requisitos de segurança padrão semelhantes aos da Internet tradicional
formulários. Uma vez que o TLS requer uma conexão TCP , o DTLS é amplamente usado para banda limitada
largura e menor confiabilidade, pois não tem conexão e UDP-Sediada. Embora o DTLS seja projetado para
ser usado em dispositivos restritos com capacidade de comunicação limitada, o End-to-End (EE)
forma de comunicação do DTLS causa problemas de escalabilidade em aplicativos IoT de grande escala ,
especialmente sob padrões de baixa largura de banda, como IEEE 8. . . Dado o caráter emergente
características de heterogeneidade, energia e desempenho, escalabilidade, mobilidade e gerenciamento,
é óbvio que o PKC atual com uma infraestrutura de EE quase certamente não escalará para
acomodar aplicações IoT futuras [ 8] Comunicação EE causa comp não escalável
sobrecargas de comunicação e atrasos em aplicativos de grande escala. Além disso, a de-
vícios não são equipados com desempenho / memória adequados para processar recursos intensivos
Pacotes de PKC , resultando em degradação de desempenho / segurança.
www.cybok.org
]
] 8
8
[ ]
[ ]
[ 886
[
866
urose: aha
K Stallings:
T 6
. Arquitetura da InternetArquitetura da Internet X

. Protocolos de rede e vulnerabilidadeProtocolos de rede e vulnerabilidade X X
. Segurança da camada de aplicativoSegurança da camada de aplicativo X X
. Segurança da camada de transporteSegurança da Camada de Transporte X X
. Segurança da camada de redeSegurança da camada de rede X X
.6 Segurança da camada de linkSegurança da camada de link X X
. Segurança de LAN sem fioSegurança de LAN sem fio X X
.8 Ferramentas de defesa de redeFerramentas de defesa de rede X X
. Tópicos avançados de segurança de redeTópicos avançados de segurança de rede X

www.cybok.org
Página 607
Capítulo 8
Segurança de Hardware
Ingrid Verbauwhede KU Leuven
www.cybok.org
INTRODUÇÃO
A segurança de hardware cobre uma ampla gama de tópicos, desde computação confiável a circuitos de Trojan.
Para classificar esses tópicos, seguimos as diferentes camadas de abstração de hardware apresentadas por
o gráfico Y de Gajski & Kuhn. As diferentes camadas do processo de design de hardware serão apresentadas
produzido na seção 8.. Está ligado ao importante conceito de raiz de confiança e associado
modelos de ameaças no contexto da segurança de hardware. Em seguida, segue a seção 8. sobre medição
e avaliar a segurança do hardware. As próximas seções reduzem gradualmente o nível de abstração.
Seção 8. descreve plataformas seguras, ou seja, um sistema completo ou system-on-chip confiável
base de computação. A próxima seção 8. cobre o suporte de hardware para segurança de software: o que
características que um processador programável deve incluir para oferecer suporte à segurança do software. Esta seção é
intimamente relacionado à Área de Conhecimento de Segurança de Software (Capítulo ). Registrar nível de transferência
é o próximo nível de abstração abaixo, abordado na seção 8.. O foco neste nível é normalmente o
implementação eficiente e segura de algoritmos criptográficos para que possam ser mapeados
em ASIC ou FPGA. Esta seção está intimamente relacionada à Área de Conhecimento de Criptografia (Cap-
ter ). Todas as implementações também precisam de proteção contra ataques físicos, o mais importante
contra ataques de canal lateral e de falha. Ataques físicos e contramedidas são descritos
na seção 8.6. Seção 8. descreve as fontes de entropia no nível de abstração mais baixo, fechar
para a tecnologia CMOS . Inclui o projeto de geradores de números aleatórios e fisicamente
funções não clonáveis. A última seção técnica descreve aspectos relacionados ao hardware
processo de design em si. Este capítulo termina com a conclusão e uma visão geral do hardware
segurança.
8 CICLO DE DESIGN DE HARDWARE E SEU LINK PARA

SEGURANÇA DE HARDWARE
A segurança de hardware é um tópico muito amplo e muitos tópicos estão sob seu guarda-chuva. Nesta secção,
esses tópicos aparentemente não relacionados são agrupados e ordenados de acordo com os níveis de design de
abstração introduzida pelo gráfico Y de Gajski & Kuhn [ ] Enquanto Gajski e Kuhn propõem
uma abordagem geral ao design de hardware, neste capítulo é aplicada aos aspectos de segurança de
design de hardware e está vinculado a modelos de ameaças e à raiz de confiança associada.
8.. Breve histórico sobre o processo de design de hardware

Camadas de abstração de design são introduzidas no design de hardware para reduzir a complexidade do
Projeto. Conforme indicado em 8., o nível de abstração mais baixo que um designer considera são individuais
transistores ual no centro da figura. Esses transistores são compostos juntos para formar
portas lógicas básicas, como portas NAND, NOR ou ipops, chamadas de nível lógico. Indo um
camada de abstração para cima, no nível de transferência de registro, os portões são agrupados para formar módulos,
registradores, ALU's, etc, e seu funcionamento é sincronizado por um relógio. Esses módulos são então
composto para formar processadores, especificados por conjuntos de instruções, sobre os quais aplicativos e
algoritmos podem ser implementados.
Ao subir nas camadas de abstração, os detalhes das camadas subjacentes são ocultados. Isso reduz
complexidade de design em camadas de abstração mais altas. As camadas de abstração são representadas por
círculos concêntricos na figura 8.. Sobre esses círculos, o gráfico Y de Gajski & Kuhn apresenta
atividades de design, representadas por três eixos: um eixo comportamental, que descreve o comportamento ou o que
precisa ser implementado (também conhecido como especificações), um eixo estrutural que descreve como algo é
Segurança de hardware KA | Outubro Página 8
www.cybok.org
Domínio Comportamental Domínio Estrutural
Sistemas
Algoritmos
Processadores
Registrar transferências
ALUs, RAM, etc.
Lógica
Gates, ipops, etc.
Corrente electrica
Transistores
Layout do transistor
Layout de célula
Layout do módulo
Planos de chão
Partições físicas
Domínio Físico
Figura 8.: Gráfico Y de Gajski-Kuhn
implementado e um eixo físico, como os layouts são compostos juntos no portão, módulo,
chip, nível de placa. Uma atividade de design real é uma 'caminhada' por este espaço de design. Tipicamente
começa-se com as especificações no topo do domínio comportamental. Estas especificações
(= o que) são decompostos em componentes no mesmo nível de abstração (= como) se movendo
do eixo comportamental ao eixo estrutural. Um componente estrutural em uma abstração
nível torna-se um componente comportamental em um nível abaixo.
Como um exemplo de um passeio pelo espaço de design: Suponha que um designer de hardware seja solicitado
para implementar um protocolo de segurança leve e de baixo consumo de energia para uma Internet das Coisas (IoT) de
vice. Este designer receberá apenas especificações sobre o que precisa ser projetado: uma segurança
protocolo visa fornecer confidencialidade e integridade (= o quê) e um conjunto de criptografia
algoritmos (= componentes) para suportar o protocolo. Os cripto-algoritmos são fornecidos como um
especificação comportamental para o designer de hardware, que tem a opção de implementá-la como
um coprocessador dedicado, como um programa de montagem, ou apoiá-lo com um conjunto de instruções personalizadas
ções. Dependendo dos custos e volumes, a escolha de uma tecnologia CMOS alvo ou FPGA
plataforma é feita. Este nível comportamental será traduzido em uma transferência de registro mais detalhada
descrição do nível (por exemplo, VHDL ou Verilog). No nível de transferência de registro (RTL), as decisões precisam
a ser feito se esta for uma versão paralela ou sequencial, um design dedicado ou programável,
com ou sem contra-medidas contra ataques de canal lateral e de falha, etc.
Essencial para a divisão em camadas de abstração de design, é a criação de modelos sobre como
ponentes se comportam. Por exemplo, para simular o rendimento ou consumo de energia de uma unidade aritmética,
modelos de qualidade das portas subjacentes precisam estar disponíveis. Da mesma forma, o conjunto de instruções Ar-
arquitetura é um modelo de processador disponível para o programador.

www.cybok.org
8.. Raiz de confiança

No contexto da segurança, uma raiz de confiança é um modelo de um componente subjacente para o propósito
pose de avaliação de segurança. De acordo com Anderson [ ]: "Uma raiz de confiança é um componente
usado para realizar uma função de segurança, na qual um designer confia, mas da qual o responsável
a precisão não pode ser verificada explicitamente. "O designer usa um ou vários componentes para
estrutura uma função de segurança, que então define a base de computação confiável. É definido por
o grupo de computação confiável da seguinte forma: “Uma entidade pode ser confiável se sempre se comportar no
forma esperada para a finalidade pretendida. ” [ ]
Por exemplo, para um desenvolvedor de aplicativos, um Módulo de plataforma confiável (TPM) ou uma identidade de assinante
Módulo (SIM) são uma raiz de confiança que o desenvolvedor usa para construir um aplicativo de segurança.
Para o designer TPM , o TPM é a composição de componentes menores que são compostos
juntos para fornecer funcionalidade de segurança. Nas camadas de abstração de hardware mais baixas, básicas
as raízes da confiança são o armazenamento seguro da chave na memória ou a qualidade do True Random
Gerador de números.
A segurança do hardware é usada como um facilitador para a segurança do software e do sistema. Por esta razão,
o hardware fornece serviços básicos de segurança, como armazenamento seguro, isolamento ou atestado.
O software ou sistema considera o hardware como a base de computação confiável. E assim
do ponto de vista de um sistema ou aplicativo, o hardware deve se comportar como um componente confiável.
No entanto, a implementação de hardware pode violar a suposição de confiança. Por exemplo, circuitos de Trojan
ou ataques de canal lateral podem vazar a chave ou outros dados confidenciais para um invasor. Portanto, difícil
o próprio ware também precisa de segurança. Além disso, o hardware precisa de segurança em todas as camadas de abstração.
Portanto, em cada camada de abstração, um modelo de ameaça e suposições de confiança associadas precisam
para ser feito. Uma definição alternativa para uma raiz de confiança no contexto da abstração de design
camadas é, portanto: “Uma raiz de confiança é um componente em uma camada de abstração inferior, sobre a qual
o sistema depende de sua segurança. Sua confiabilidade não pode ser verificada ou é verificada
em uma camada de abstração de design de hardware inferior. "
8.. Modelo de ameaça

Um modelo de ameaça está associado a cada raiz de confiança. Ao usar uma raiz de confiança, é assumido
que o modelo de ameaça não seja violado. Isso significa que o modelo de ameaça também está vinculado ao
camadas de abstração de hardware. Se considerarmos uma raiz de confiança em uma determinada camada de abstração,
então, todos os componentes que constituem essa raiz de confiança também são considerados confiáveis.
Exemplo: os protocolos de segurança assumem que a chave secreta está armazenada de forma segura e não acessa
sível para o atacante. A raiz da confiança, na qual o protocolo se baseia, é a disponibilidade de
memória segura para guardar esta chave. Para o designer do protocolo, esta memória segura é uma cor preta
caixa. O designer de hardware deve decompor este requisito para uma memória segura em um
conjunto de requisitos em uma camada de abstração inferior. Que tipo de memória será usada? Em que
ônibus a chave vai viajar? Quais outros componentes de hardware ou software têm acesso ao
armazenar? Pode haver vazamentos de canal lateral?
Exemplo: é durante esta tradução dos requisitos da camada de abstração superior do protocolo
ou desenvolvedores de aplicativos de segurança em camadas de abstração mais baixas para os designers de hardware
que ocorrem muitas vulnerabilidades de segurança. Implementações de algoritmos criptográficos usados
a serem consideradas caixas pretas para o invasor: apenas entradas / saídas no nível do algoritmo são
disponível para montar ataques de criptanálise principalmente matemáticos. No entanto, com a aparência
ance de ataques de canal lateral (consulte a seção 8.6) essa suposição de caixa preta não é mais válida.
Levando em consideração o vazamento de canal lateral, o invasor tem as informações de nível de algoritmo
www.cybok.org
bem como o tempo extra, energia, informações eletromagnéticas observáveis de fora

do chip. Assim, o modelo do invasor muda da caixa preta para a caixa cinza. Ainda é assumido que
o invasor não conhece os detalhes dos internos, por exemplo, o conteúdo dos registradores-chave.
Exemplo: para processadores programáveis, o modelo entre hardware e software é tra-

tradicionalmente considerada a Arquitetura do Conjunto de Instruções (É UM) O ISA é o que é visível para o
programador de software e a implementação do ISA são deixados para o designer de hardware. O
ISA costumava ser considerado o limite de confiança para o designer de software. No entanto, com a descoberta
série de ataques de canal lateral de microarquitetura, como Specter, Meltdown, Foreshadow, este
O modelo ISA não é mais uma caixa preta, assim como informações micro-arquitetônicas e vazamentos são
disponível para o invasor [ ]
8.. Raiz de confiança, modelo de ameaça e camadas de abstração de design de hardware
A decomposição em camadas de abstração, em combinação com Electronic Design Automation

(EDA) ferramentas, é uma das principais razões que o crescimento exponencial da lei de Moore foi sus-
sustentável nas últimas décadas e ainda é. Esta abordagem funciona bem ao otimizar para
desempenho, área, energia ou consumo de energia. No entanto, para segurança de hardware, não existe tal
decomposição existe.
Neste capítulo, propomos organizar os diferentes tópicos de segurança de hardware, seus associados
modelos de ameaças atenuados e raiz de confiança de acordo com as camadas de abstração de design de hardware, como
não há nenhum outro corpo geral conhecido de conhecimento disponível para organizar os tópicos. Este ou-
ganização tem a vantagem de poder ser usada para identificar o estado da arte em diferentes
subtópicos de segurança de hardware. Por exemplo, no contexto específico de implementação de hardware
mentações de algoritmos criptográficos, o estado da arte é bem avançado e robusto
existem contramedidas para proteger as implementações criptográficas contra uma ampla gama de
ataques de canal lateral, conforme mostrado em detalhes na seção 8.. No entanto, no contexto do processo geral
segurança, por exemplo, para isolar dados relacionados ao processo ou para fornecer execução segura, nova segurança
perigos continuam a ser descobertos regularmente.
Na tentativa de ordenar os tópicos, a tabela 8. resume essa organização. O diferente ab-

camadas de estração são identificadas (primeira coluna) de uma perspectiva de hardware. O nível mais alto
(sistema e software) fica no topo da plataforma de hardware. Por exemplo, um designer de sistema assume
que uma plataforma segura está disponível. Assim, a plataforma segura é a raiz da confiança, fornecendo se-
funcionalidade curity. A segunda coluna descreve a funcionalidade fornecida pela raiz do
Confiar em. A terceira coluna descreve como essa funcionalidade pode ser implementada. Por exemplo, no
camada de abstração mais alta, isso pode ser fornecendo um Módulo de execução confiável ou um
elemento, etc. A quarta coluna descreve os modelos de ameaça e categorias de ataque naquele
camada de abstração. Por exemplo, no nível do sistema, o designer do sistema assume que eles receberão um
módulo que fornece isolamento, integridade, atestado, etc. A última coluna descreve
atividades de design nesta camada de abstração de design em particular.
Este exercício é repetido para cada camada de abstração e descrito em detalhes em cada um dos
seções seguintes.
No nível do processador, pode-se distinguir processadores programáveis de uso geral e

processadores específicos de domínio. Processadores de uso geral devem oferecer suporte a uma ampla gama de aplicativos
complicações, que infelizmente geralmente incluem vulnerabilidades de software. Recursos de hardware
são adicionados para resolver essas vulnerabilidades de software, como uma pilha de sombras ou medidas
para apoiar a integridade do fluxo de controle de hardware. Processadores específicos de domínio normalmente se concentram em
www.cybok.org
Nível de abstração Raiz de confiança - Estrutural (como) - Ameaças de exemplo Projeto HW típico
funcionalidade exemplos Atividades
Sistema e Plataformas seguras por exemplo, confiável suportar segurança

aplicativo Execução isolamento, integridade, aplicativo
(Zona de confiança, SGX, atestado,. . . desenvolvimento
TEE), HSM, Seguro
Elemento
Processador propósito geral por exemplo, pilha de sombraVulnerabilidades de SW ISA, HW / SW

co-design
Processador domínio específico Criptografia específica Ataques cronometrados Número constante

RTL de ciclos de relógio
Transferência de registro Criptografia específica Blocos de construção, Canal Lateral Síntese lógica
Ataque,
Lógica Resistência a SCA, Mascaramento, circuito Canal Lateral Ferramentas FPGA,

Alimentação, EM, falha estilos ataque, falha célula padrão
Projeto
Circuito e Fonte de entropia TRNG, PUF, Secure Temperatura, Simulações SPICE

tecnologia SRAM falhas
Fisica Tamper Escudos, sensores Sondagem, aquecimento Atividades de layout

Resistência
Tabela 8.: Camadas de abstração de design vinculadas a modelos de ameaças, raiz de confiança e atividades de design
uma funcionalidade limitada. Eles são normalmente desenvolvidos como coprocessadores em sistemas maiores
lasca. Exemplos típicos são coprocessadores para oferecer suporte à chave pública ou criptografia de chave secreta
algoritmos. O tempo no nível do processador é normalmente medido em ciclos de instrução.
Processadores de uso geral e de domínio específico são compostos em conjunto a partir de computadores
unidades operacionais, multiplicadores e ALU's, memória e interconexão. Esses módulos são normalmente
descrito no nível de transferência de registro: tempo constante e resistência contra canal lateral
ataques tornam-se o foco. O tempo neste nível é normalmente medido em ciclos de clock.
Multiplicadores, ALU, memórias, interconexão e infraestrutura de ônibus são criadas a partir de portões e
ip-ops no nível lógico. Neste nível de abstração de design, o foco está no vazamento através de
canais laterais, ataques elétricos, eletromagnéticos e de falha. O tempo é normalmente medido em
tempo absoluto (nsec) com base nas bibliotecas de células padrão disponíveis ou plataformas FPGA .
O projeto de fontes de entropia requer conhecimento e insights sobre o comportamento dos transis-
tores e a tecnologia subjacente de semicondutor de óxido de metal complementar (CMOS) .
design dessas primitivas de segurança de hardware é, portanto, posicionado no circuito e trans-
nível do sistor. Da mesma forma, o projeto de sensores e escudos contra adulteração física exige
uma visão da tecnologia. No nível do circuito e da tecnologia, é medido em tempo absoluto,
por exemplo, atraso nsec ou frequência de relógio GHz.
A tabela 8. não pretende ser completa. A ideia é ilustrar cada camada de abstração
com um exemplo. Nas próximas seções, os objetivos de segurança de hardware e suas ameaças associadas
os modelos serão discutidos em detalhes em relação e relevância para cada camada de abstração.
www.cybok.org
8 MEDINDO A SEGURANÇA DO HARDWARE

Dependendo do domínio de aplicação comercial, vários órgãos industriais e governamentais
organizações emitiram normas ou procedimentos de avaliação. Os mais conhecidos são
o FIPS - (e o FIPS mais antigo -), os Critérios Comuns (CC) avaliação e na
mundo financeiro da EMVCO. FIPS - concentra-se principalmente na segurança de implementação de
algoritmos criptográficos. Os critérios comuns são aplicáveis à segurança de TI em geral.
8.. FIPS -
FIPS - é um padrão NIST dos EUA usado para a avaliação de módulos criptográficos. FIPS -
define os níveis de segurança de a (sendo o mais baixo). O seguinte fornece uma descrição do
quatro níveis do ponto de vista da segurança do hardware físico. Ao lado dos requisitos físicos,
também existem funções, serviços e requisitos de autenticação (para obter mais detalhes, consulte [ ]e
outros KAs).
O nível de segurança requer apenas que um algoritmo criptográfico aprovado seja usado, por exemplo, AES ou
SHA-, mas não impõe requisitos de segurança física. Daí uma implementação de software
ção poderia atingir o nível. O nível requer um primeiro nível de evidência de violação. O nível também requer
a evidência de violação, mas no topo requer resistência à violação.
O NIST define adulteração como um ato intencional, mas não autorizado, resultando na modificação
de um sistema, componentes de sistemas, seu comportamento pretendido ou dados, [ ]
Evidência de adulteração significa que há uma prova ou testemunho de que adulterar um hardware
módulo aconteceu. Por exemplo, um selo quebrado indica que um dispositivo foi aberto. Um sensor de luz
pode observar que a tampa de um pacote de chips foi levantada.
A resistência à adulteração significa que, além das evidências de adulteração, são adicionados mecanismos de proteção
para o dispositivo. Por exemplo, por revestimento extra ou camadas densas de metal, é difícil sondar o registro principal
ters.
O nível aumenta os requisitos de modo que o módulo criptográfico possa operar em sistemas físicos
ambientes fisicamente desprotegidos. Neste contexto, os ataques físicos de canal lateral representam um
ameaça importante. Se algum desses componentes físicos depender de dados confidenciais sendo pro-
cesso, a informação vaza. Uma vez que o dispositivo está em operação normal, uma violação clássica
mecanismo de evidência não perceberá que o dispositivo está sob ataque. Veja mais adiante na seção 8.6.
8.. Critérios comuns e EMVCo
“Critérios comuns para avaliação de segurança de tecnologia da informação" é um padrão internacional
para segurança de produtos de TI (ISO/ IEC 8), em resumo conhecido como Critérios Comuns (CC) CC é um
procedimento muito genérico aplicável à avaliação de segurança de produtos de TI. Várias festas
estão envolvidos neste procedimento. O cliente definirá um conjunto de especificações de segurança para
seu produto. O fabricante projetará um produto de acordo com essas especificações. A
laboratório de avaliação independente verificará se o produto atende às reivindicações feitas na segurança
requisitos. Os organismos de certificação irão emitir uma certificação de que o procedimento foi correto
seguido e que o laboratório de avaliação de fato con rmou as afirmações feitas. O conjunto de segurança
as especificações são coletadas em um assim chamado perfil de proteção.
Dependendo da quantidade de esforço despendido na avaliação de segurança, o CC define diferentes

Níveis de garantia de avaliação (EALs) Ele varia de testes funcionais básicos, correspondentes
www.cybok.org
para EAL, para projeto formalmente verificado e testado, correspondendo ao EAL de nível mais alto. CC
subdivide ainda o processo de avaliação em várias classes, onde a maioria das classes
verifique a conformidade do dispositivo em teste. A ª classe (AVA) trata da vulnerabilidade real
avaliação de capacidade de carga. É a classe mais importante do ponto de vista de segurança de hardware, pois
procura por vulnerabilidades e testes associados. Irá atribuir uma classificação sobre a dificuldade de ex-
execute o teste, chamado de identificação, e o possível benefício que um invasor pode obter com o
penetração, chamada de exploração. A dificuldade é função do tempo necessário para realizar
o ataque, a experiência do invasor de leigo a vários especialistas, quanto conhecimento
a borda do dispositivo é necessária desde informações públicas simples até fontes de hardware detalhadas
código, o número de amostras necessárias e o custo e disponibilidade de equipamentos para realizar
o ataque, etc. Um alto nível de dificuldade resultará em uma pontuação alta e um alto nível de AVA
aula. A pontuação mais alta que se pode obter é um nível AVA de, que é necessário para obter um top
Pontuação EAL .
Seu uso está bem estabelecido no campo dos smartcards e elementos seguros à medida que são usados
em aplicações de telecomunicações, nanceiras e de identidade do governo. Também é usado na área de Hardware
Módulos de segurança, Módulos de plataforma confiável e alguns mais [ ] Para certas classes de
aplicativos conjuntos mínimos de requisitos são definidos em perfis de proteção. Existe
perfis de proteção para Módulo de plataforma confiável (TPM), Javacards, passaportes biométricos, SIM
cartões, elementos de segurança, etc.
Como a certificação vem de um único órgão, existem acordos entre os países para que
as certi cações em um país são reconhecidas em outros países. Como exceção EMVCo
é uma organização privada para definir as especificações para a interoperabilidade mundial de pagamentos
transações. Tem seu próprio procedimento de certificação semelhante ao CC.
Observe que o principal objetivo de uma avaliação de critérios comuns é verificar se um TI

produto entrega as reivindicações prometidas no per le. Isso não significa que não haja vul-
nerabilidades restantes. Uma boa introdução ao tópico pode ser encontrada em [ ] e uma lista de certificados
produtos em [ ]
8.. SESIP: padrão de avaliação de segurança para plataformas IoT

No contexto da avaliação de segurança da IoT , uma iniciativa recente é o SESIP Security Evaluation
esquema [ 6], atualmente na versão. . Dispositivos IoT são tipicamente 'coisas' pequenas e leves,
com acessibilidade limitada via internet. Vários níveis de modelo de ameaça para IoT são possíveis: de
apenas o acesso remoto à Internet, através de várias opções de ataque remoto de software, também físico
resistência ao ataque. Um conjunto abrangente de requisitos funcionais de segurança é definido: iden-
certificação e certificação, ciclo de vida do produto, comunicação segura, software e acesso físico
resistência à aderência, funcionalidade criptográfica, incluindo geração de números aleatórios e alguns
funcionalidade de conformidade para, por exemplo, fornecer armazenamento criptografado seguro ou tempo confiável.
Semelhante aos critérios comuns, o SESIP oferece vários níveis de garantia. O nível é o mais baixo
nível e consiste em uma autoavaliação. O nível mais alto do SESIP consiste em uma avaliação CC completa
uação semelhante a cartões inteligentes ou elementos seguros. Os níveis intermediários cobrem de um preto
teste de penetração de caixa em vez de teste de penetração de caixa branca com ou sem limitações de tempo.
www.cybok.org
8 PLATAFORMAS SEGURAS
Esta seção descreve os objetivos e o estado da arte em plataformas seguras. Neste alto nível
de abstração, o designer do sistema recebe um chip ou placa completa como computação confiável
base. Os designers do sistema assumem que a raiz confiável fornece um conjunto de criptográficas
funções, protegidas pelo hardware e software dentro do invólucro físico. Comum
para essas plataformas é que elas são peças autônomas de silício com uma política de acesso estrita. De-
dependendo da funcionalidade fornecida, a resistência à violação de hardware e os níveis de proteção,
e a interface de comunicação, essas plataformas seguras são usadas em diferentes aplicativos
campos (automotivo, nanceiro, telecomunicações). Três plataformas importantes são a Segurança de Hardware
Módulo (HSM), o Módulo de Identificação de Assinante ou SIM e o Módulo de Plataforma Confiável
(TPM) Estes são brevemente descritos a seguir.
8.. Módulo de Segurança de Hardware HSM

Um módulo HSM normalmente fornecerá operações criptográficas, por exemplo, um conjunto de chave pública e
algoritmos de chave secreta, juntamente com gerenciamento de chave seguro, incluindo geração segura,
armazenamento e exclusão de chaves. Essencial para HSMé que essas operações ocorrem em um ambiente endurecido
e ambiente resistente à violação. Um TRNG e uma noção de um relógio em tempo real geralmente também são
incluído. HSMsão usados principalmente em sistemas back-end de servidor para gerenciar chaves ou pagamento
sistemas, por exemplo, em sistemas bancários.
Um HSM é usado como um co-processador, conectado a um sistema host. Sua arquitetura tipicamente
inclui um microprocessador / microcontrolador, um conjunto de cripto co-processadores, volátil seguro e
memória não volátil, TRNG, relógio em tempo real e E / S. As operações ocorrem normalmente dentro de um
invólucro inviolável. Nas gerações anteriores, dentro do invólucro, vários componentes re-
lado em uma placa.
Recentemente, em alguns domínios de aplicação, como automotivo, a funcionalidade HSM não é mais
fornecido como um módulo autônomo, mas agora está integrado como um co-processador seguro em um maior
Sistema em um Chip (SoC) Na verdade, a lei de Moore permite maior integração em um SoC. o que
exatamente o que está coberto pela funcionalidade do HSM depende do domínio do aplicativo. Portanto,
a conformidade com os níveis de segurança também é avaliada por laboratórios de avaliação independentes especializados
de acordo com perfis de proteção específicos.
8.. Elemento seguro e cartão inteligente

Semelhante a um HSM, um Elemento Seguro e um cartão inteligente fornecem um conjunto de códigos criptográficos
goritmos, chave pública, chave secreta, HMAC, etc. junto com armazenamento seguro de chave, geração
e exclusão. As principais diferenças com um HSM são custo, tamanho e fator de forma. Eles são típicos
icamente implementado como um único circuito integrado e tem um formato muito menor
de cerca de cm a menos de cm. A principal diferença entre um cartão inteligente e um
elemento seguro está no fator de forma e nos diferentes mercados que atendem. Ele- seguro
mentos são um termo mais genérico, enquanto os cartões inteligentes têm o fator de forma muito específico de um
cartão bancário. Eles são produzidos em grandes volumes e precisam ser muito baratos porque são
usado para cartões SIM em telefones celulares e telefones inteligentes. Eles também são usados em cartões bancários,
cartões de acesso a sistemas de TV paga, carteiras de identidade nacionais e passaportes e, recentemente, em IOT de-
vícios, sistemas veiculares e assim por diante. A resistência à violação e a proteção física são essenciais
para proteger os elementos. Eles são um exemplo claro do que em um domínio de arquitetura de computador são
www.cybok.org
chamados de 'processadores específicos de domínio'. Existem perfis de proteção específicos, dependendo da aplicação
domínio de cação: nanceiro, automotivo, TV paga, etc.
Um elemento seguro embutido típico é um circuito integrado sem componentes externos.

Consiste em um pequeno microcontrolador com coprocessadores criptográficos, voláteis seguros e
armazenamento não volátil, TRNG, etc. I / O é geralmente limitado, por meio de um conjunto específico de pinos ou por meio de
uma conexão sem fio NFC . Construir um elemento seguro é um desafio para um hardware de de-
signatário, uma vez que é necessário combinar a segurança com os requisitos de não segurança de cir-
cuits: fator de forma pequeno (sem memória externa), baixo consumo de energia e / ou baixo consumo de energia em
combinação com resistência à violação e resistência contra ataques físicos, como
ataques de canal e falha (consulte a seção 8.6)
8.. Módulo de plataforma confiável (TPM)

O módulo TPM foi definido pelo Trusted Computing Group (TCG), um associado da indústria
ciação, para fornecer funções de segurança específicas para a plataforma de computador pessoal (PC). Mais
especificamente, o TPM é uma raiz de confiança embutida na plataforma do PC, de modo que o PC +Plataforma TPM
formulário pode se identificar e sua configuração atual e software em execução [ ] O TPM
fornece três raízes específicas de confiança: a raiz de confiança para medição (RTM), a raiz de
Trust for Storage (RTS), a raiz de confiança para relatórios (RTR) Além dessas três funções básicas
outras funções dos TPMs estão sendo usadas: acesso a funções criptográficas específicas,
armazenamento seguro de chaves, suporte para login seguro, etc.
O TPM é implementado como um módulo de segurança separado, bem como um elemento seguro, mas com
uma interface de barramento específica para uma plataforma de PC, por exemplo, por meio da interface de barramento LPC ou IC . Seu arqui-
tecture consiste no mínimo em um microcontrolador embutido, vários coprocessadores criptográficos,
armazenamento seguro volátil e não volátil para chaves raiz e um número aleatório verdadeiro de alta qualidade
gerador. Inclui motores de hardware para funções hash (SHA e SHA 6), chave pública
(RSA e ECC), chave secreta (AES) e cálculos HMAC . Uma vez que um TPM é um módulo separado,
a proteção física e a resistência à violação são essenciais para a segurança. Próximo ao seu escopo principal de
proteção de integridade, o TPM também tem aplicativos em criptografia de disco, gerenciamento de direitos digitais,
etc.
O TPM mais recente. versão amplia o escopo do aplicativo de PC orientado para também
suporte a rede, incorporado, automotivo, IoT, e assim por diante. Ele também fornece uma
abordagem possível na funcionalidade incluída. Quatro tipos de TPM são identificados: o dedicado
Circuito integrado 'elemento discreto' TPM fornece o mais alto nível de segurança. Um passo abaixo
no nível de proteção é o ' TPM integrado'como um módulo IP em um SoC maior. Os níveis mais baixos
de proteção são fornecidos pelo rmware e software TPM.
A adoção de TPMs evoluiu de forma diferente do que era originalmente o foco do TCG.
Originalmente, o foco principal era o suporte de uma inicialização segura e o software associado
pilha, para que uma medição completa do software instalado possa ser feita. O problema
é que a complexidade desta base de software completa cresce muito rapidamente, tornando-se muito difícil
para medir completamente todas as variações nas configurações válidas. Assim, os TPMs são menos usados para
proteger uma pilha de software completa até as camadas superiores de software. Ainda a maioria dos novos PCs
agora têm TPMs, mas eles são usados para proteger as chaves de criptografia, evitar reversão de rmware,
e auxiliar no processo de boot em geral.
A partir do TPM original, o Trusted Computing Group ampliou seu escopo e

agora tem grupos de trabalho em muitos aplicativos diferentes, como nuvem, sistemas incorporados,
IoT, celular, equipamento de rede e assim por diante, [ ]
Segurança de hardware KA | Outubro Página

www.cybok.org
8 SUPORTE DE HARDWARE PARA SEGURANÇA DE SOFTWARE EM

NÍVEL DE ARQUITETURA
No nível da plataforma segura, o módulo completo, ou seja, hardware e seus componentes embutidos
software, fazem parte da base de computação confiável. Um nível abaixo nas camadas de abstração,
presumimos que todo o hardware é confiável, enquanto o software não é mais confiável. Dentro-
ação, as vulnerabilidades do software são uma das principais fontes de falhas de segurança (consulte o Software
Área de Conhecimento de Segurança (Capítulo) ). Para prevenir a exploração ou mitigar os efeitos
de vulnerabilidades de software, uma grande variedade de modificações / adições de hardware ao processo
arquitetura sor foram propostas na literatura e foram incluídas em programas comerciais
cessores. Chamamos essa camada de abstração de limite de hardware / software: o hardware forma o
limite de confiança, enquanto o software não é mais confiável. Essas adições de segurança ao hardware
normalmente tem um custo em área extra e perda de desempenho.
Os objetivos de segurança mais importantes neste nível de abstração de design são apoiar a proteção
ção, isolamento e atestado para o software em execução em uma plataforma de processador [ 8], [ ],
[ ]
• Proteção: "Um conjunto de mecanismos para garantir que vários processos compartilhando o pro-
processador, memória ou dispositivos de E / S não podem interferir, intencionalmente ou não, com
uns aos outros lendo ou escrevendo os dados uns dos outros. Esses mecanismos também isolam
o sistema operacional do processo do usuário "[ 8] Em uma arquitetura de computador tradicional
tura, geralmente o kernel do sistema operacional faz parte da Trusted Computing Base (TCB), mas o resto de
o software não.
• Com o isolamento, um mecanismo de hardware é adicionado para controlar o acesso a peças de software
ware e dados associados. O isolamento separa duas partes: um módulo de software pode
precisa de proteção do software circundante é um caso. Portanto, um modelo protegido Ar-
arquitetura (PMA) fornece uma garantia de hardware de que um pedaço de software funciona incorretamente
derivado de influências externas indesejadas. O caso oposto, se quisermos limitar o
efeitos de software possivelmente contaminado em seu ambiente, ele será colocado em sandbox ou colocado
em um 'compartimento'. As arquiteturas de módulo protegido são uma solução apenas de hardware: o
OS não faz parte do TCB. Mais detalhes são descritos na seção 8..
• Com o atestado, há suporte de hardware para demonstrar a terceiros que o sistema

tem, por exemplo, o código instalado e / ou em execução em um processador, está em um estado particular. No-
o teste pode ser local ou remoto. Atestado local significa que um módulo de software
pode atestar seu estado para outro na mesma plataforma de computação. Atestado Remoto
significa que um terceiro, fora da plataforma de computação pode obter alguma garantia sobre
o estado de um processador.
No contexto da computação de uso geral, máquinas virtuais (VMs) e os hipervisores têm

foi introduzido para oferecer suporte a vários sistemas operacionais em um processador físico. Este shar-
O gerenciamento de recursos melhora a eficiência e a reutilização. No entanto, só pode ser realizado por um seguro
e compartilhamento eficiente de memória física: as máquinas virtuais só devem ter permissão para usar o
porções de memória física atribuídas a ele. A organização e os detalhes da memória virtual
estão fora do escopo de segurança de hardware e fazem parte dos Sistemas Operacionais e Virtualização
Área de conhecimento (capítulo) . O hardware oferece suporte à proteção, fornecendo informações privilegiadas
estruturas, registros de controle e status e, às vezes, suporte para vários threads paralelos.
No contexto de microcontroladores incorporados, sem sistema operacional e apenas um aplicativo
www.cybok.org
ção, o suporte de hardware pode ser limitado apenas ao suporte de nível de máquina. Proteção de memória
pode ser adicionado como um módulo de hardware opcional ao processador.
Outros objetivos de segurança mais avançados para oferecer suporte à segurança de software podem incluir:
• Armazenamento selado é o processo de empacotar código e / ou dados com certa configuração,

valores de processo ou status. Apenas sob a configuração correta (por exemplo, contador de programa
valor, nonce, chave secreta, etc.) os dados podem ser removidos. Raiz dinâmica de confiança em combi-
nação com um lançamento atrasado garante que, mesmo que o processador comece de um desconhecido
estado, ele pode inserir um trecho de código conhecido fixo e um estado conhecido. Isso normalmente requer
instruções especiais para entrar e sair da partição protegida.
• A proteção de memória refere-se à proteção de dados quando eles viajam entre os processos
unidade sor e a memória on-chip ou off-chip. Ele protege contra espionagem de ônibus ou
ataques de canal ou ataques de injeção de falha mais ativos.
• O controle de integridade é um mecanismo de segurança para evitar que ataques de malware sejam redirecionados
o fluxo de execução de um programa. No hardware, o fluxo de controle do programa é
comparado no tempo de execução com o fluxo de controle esperado do programa.
• A análise do fluxo de informações é um mecanismo de segurança para acompanhar o fluxo de dados confidenciais
enquanto viaja através dos diferentes componentes do processador, da memória para o cache
vários barramentos em arquivos de registro e unidades de processamento e vice-versa. Isso é importante em
o contexto de ataques de canal lateral físico e micro-arquitetônico.
Nas próximas subseções, um conjunto representativo de abordagens de hardware para abordar o

desafios de segurança de software são apresentados. Algumas técnicas de hardware tratam de vários
objetivos de saúde. Alguns são abordagens grandes e complexas, outros são hardware dedicado simples
recursos.
Como uma observação lateral: um grande corpo de conhecimento sobre abordagens apenas de software está disponível na literatura
ature. Principalmente, eles oferecem um nível mais fraco de segurança, pois não estão enraizados em uma raiz de hardware
de confiança. Por exemplo, para controle de integridade de fluxo, abordagens apenas de software podem instruir o software
código para verificar ramificações ou saltos, enquanto o suporte de hardware pode calcular MACs no y
e compare-os com os MACs associados armazenados.
8.. Trusted Execution Environment (TEE)
TEE foi originalmente uma iniciativa da Global Platform, um consórcio de empresas, para padronizar
ize uma parte do processador como uma parte segura e confiável. TEE desde então evoluiu e cobre em
geral, as modificações de hardware feitas aos processadores para fornecer isolamento e atestado
para aplicativos de software. Existe um grande corpo de conhecimento tanto do lado industrial quanto
bem como do lado acadêmico.
TEE é um conceito que fornece uma área segura do processador principal “para fornecer ponta a ponta
segurança, protegendo a execução de código autenticado, confidencialidade, autenticidade, pri-
vacy, integridade do sistema e direitos de acesso aos dados ”[ ] É importante que o TEE seja isolado
do chamado Rich Execution Environment (REE), que inclui o sistema operacional não confiável. O
o raciocínio por trás dessa divisão é que é impossível garantir uma execução segura e evitar
malware no mundo normal devido à complexidade do sistema operacional e todos os outros aplicativos executados-
ning lá. Os ricos recursos são acessíveis a partir do TEE, enquanto o oposto não é possível.
A Plataforma Global não especifica as especificações de como essas propriedades de segurança devem ser
implementado. Três opções principais de hardware são sugeridas. A opção assume que cada pro
www.cybok.org
componente do processador no IC pode ser dividido em uma parte confiável e uma parte rica, ou seja, o núcleo do processador,
os aceleradores de criptografia, a memória volátil e não volátil são todos divididos. Opção assume
que haja uma área separada de coprocessador seguro no SoC com um hardware bem de nido
interface com o resto do SoC. A opção pressupõe um coprocessador seguro fora do chip dedicado,
muito parecido com um elemento seguro.
A Plataforma Global também define um perfil de proteção baseado em Critérios Comuns (consulte a seção 8..)
para o TEE. Ele assume que o pacote do circuito integrado é uma caixa preta [ ] e assim
o armazenamento seguro é assumido pelo fato de que o ativo seguro permanece dentro do SoC. Segue-se
os procedimentos do pacote de garantia de critérios comuns EAL com alguns recursos extras. Isto
presta atenção extra à avaliação do gerador de números aleatórios e ao conceito de
tempo crescente monotônico.
8.. Coprocessador IBM 8 Secure

Um exemplo inicial, antes mesmo do aparecimento do TEE da Plataforma Global, é o IBM 8
processador seguro. A segurança física do hardware era essencial para este processador: ele continha um
placa com um processador de uso geral, DRAM, bateria separada - DRAM, Flash ROM ,
acelerador de criptografia (para DES), um gerador de números aleatórios e muito mais. Todos esses componentes
foram encerrados em uma caixa com medidas anti-violação e à prova de violação. Foi certificado
para FIPS -, nível naquele momento [ ]
8.. ARM Trustzone

ARM Trustzone é uma instância bem conhecida de um TEE. É parte de um sistema de ARM pro
cessores integrados ao System on a Chips (SoCs) usado principalmente para smartphones. O TEE
é a parte segura do processador e executa um sistema operacional confiável menor. Está isolado do
mundo não seguro, chamado Rich Execution Environment, que executa o rico sistema operacional não confiável.
O principal recurso de hardware para suportar essa divisão é o não seguro (NS) pedaço. O barramento AXI trans-
as ações são aprimoradas com um bit NS para que possa bloquear o acesso de recursos mundiais seguros
por recursos não seguros. Cada transação AXI vem com este conjunto de bits ou reset. Quando o
o processador é executado no modo seguro, então a transação vem com o bit NS definido para zero,
que dá acesso a recursos seguros e não seguros. Quando o processador é executado em
modo normal, ele só pode acessar recursos do mundo normal. Este conceito é estendido
para o nível e o cache de nível. Esses caches armazenam um bit de informação extra para indicar se o
o código pode ser acessado por um mestre seguro ou não seguro. Procedimentos especiais estão previstos para
pule de seguro para não seguro e vice-versa. Isso é suportado por um modo de monitor especial
que existe no mundo seguro.
A divisão aplicada pelo ARM Trustzone é, no entanto, uma divisão binária. Aplicativos de diferentes locais
dors podem coexistir no mundo seguro e, portanto, se um componente confiável violar o
segurança do sistema, a segurança não pode mais ser garantida. Para resolver este problema, protegido
arquiteturas de módulo são introduzidas.
Ambientes de execução confiáveis também estão sendo criados no contexto de código aberto, mais especificamente
icamente no contexto da arquitetura RISC-V.
www.cybok.org
8.. Arquiteturas de módulo protegido e soluções de co-design de HWSW

Se vários aplicativos de software quiserem ser executados na mesma plataforma, isolados uns dos outros,
então, o hardware precisa isolá-los uns dos outros em uma granularidade mais precisa. Isso pode
ser feito pelas chamadas arquiteturas de módulo protegido. A ideia básica é que um pequeno software
os módulos podem ser executados protegidos de todos os outros softwares em execução no processador. E porque
eles são pequenos, suas propriedades e comportamento podem ser veri cados mais detalhadamente. A proteção
é fornecido por recursos extras adicionados ao hardware em combinação com um extremamente pequeno
base de software confiável, se necessário. No projeto Flicker, o software TCB depende apenas
linhas de códigos, mas requer um chip TPM dedicado [ ] Tabela do trabalho de revisão de [ ],
fornece uma comparação detalhada de vários projetos de processador seguro de uso geral com
seu hardware e software TCB. O hardware TCB distingue entre o completo
placa-mãe como TCB, por exemplo, para uso de TPM , para pacote de CPU apenas para SGX e outros projetos.
O software TCB varia de um mundo totalmente seguro, como é o caso do TrustZone, a privi-
contêineres com pernas no caso de SGX ou um hipervisor, sistema operacional ou monitor de segurança confiável .
Ainda mais avançadas são as soluções com uma base de software zero confiável: apenas o hardware é
confiável. É o caso do projeto Sancus [ ] Ele implementa um contador de programa baseado
sistema de controle de acesso à memória. Hardware extra é fornecido para comparar o programa atual
contador com limites armazenados do módulo protegido. O acesso aos dados só é possível se
o contador do programa está na faixa correta da seção de código. Progresso do programa em
a seção de código também é controlada pelo hardware para que a entrada, o progresso e a saída corretos
do módulo pode ser garantido.
Extensão de proteção de software da Intel (SGX) também são um mecanismo de proteção em pequena granularidade.
Módulos de software de um aplicativo são colocados em enclaves de memória. Enclaves são de nidos em
o espaço de endereço de um processo, mas o acesso aos enclaves é restrito. Enclaves são criados, ini-
tializado e liberado por software de sistema possivelmente não confiável, mas operando no enclave pode
ser feito apenas pelo software do aplicativo. Minimizando o hardware extra para suportar SGX, e
especialmente evitar a degradação do desempenho é uma meta importante. Os detalhes do difícil
a microarquitetura de ware não foi divulgada: ainda assim, suas partes mais importantes são uma memória
unidade de criptografia, uma série de verificações de acesso à memória forçadas por hardware e memória segura
registros de intervalo [ ]
8.. Soluções leves e individuais

As soluções listadas acima são principalmente adequadas para computação de propósito geral, ou seja, para plataformas
no qual uma pilha de software complexa será executada. Na literatura, mais soluções são propostas para
fornecer soluções extremamente leves para atender a solicitações de segurança específicas. SMART é um
exemplo inicial: inclui uma pequena peça imutável de bootROM, considerada a raiz da confiança,
para suportar atestado remoto [ ]
Para se proteger contra ataques de software específicos, mais contramedidas individuais de hardware
foram introduzidos. Um exemplo é uma pilha de sombra de hardware: para evitar sobrecarga de buffer
ataques e para proteger a integridade do controle, os endereços de retorno são colocados na pilha e
a pilha de sombra. Quando uma função carrega um endereço de retorno, o hardware irá comparar o
endereço de retorno da pilha para a pilha de sombra. Eles devem concordar para um correto
Retorna.
Outro exemplo é a proteção de endereços de salto e retorno para evitar sobrecarga de buffer em
tachas e outros abusos de ponteiros. Uma opção simples, mas restritiva, é usar memória somente leitura,
que fixa o ponteiro. Uma nova técnica recente é o uso de autenticação de ponteiro. O au
www.cybok.org
O código de autenticação depende de primitivas criptográficas. Um desafio para esses algoritmos é que
eles devem criar a tag de autenticação com latência muito baixa para entrar no caminho crítico de um
microprocessador. As arquiteturas ARMV8-A usam, portanto, uma criptografia de baixa latência dedicada
algoritmo Qarma [ 6] Nesta abordagem, os bits não utilizados em um ponteiro de 6 bits são usados para armazenar
uma etiqueta. Esta tag é calculada com base em uma chave e no estado do programa, ou seja, endereço atual
e função. Essas marcas são calculadas e verificadas no y.
Técnica geral de software da área de distribuição de espaço de endereço ou canários de pilha: seu
o objetivo é dificultar a previsão do endereço de destino do salto. Uma descrição detalhada
pode ser encontrado na Área de Conhecimento de Segurança de Software (Capítulo ) .
8 DESIGN DE HARDWARE PARA CRIPTOGRÁFICO

ALGORITMOS NO NÍVEL RTL
Os recursos de hardware discutidos até agora são adicionados a plataformas de computação de uso geral,
ou seja, para um microprocessador ou microcontrolador programável. Propósito geral significa que um
plataforma é criada da qual o designer de hardware não conhece as aplicações futuras
que será executado nele. A flexibilidade, refletida no conjunto de instruções, é então importante. Um segundo
classe de processadores são processadores de domínio específico: eles têm programação limitada ou nenhuma
e projetado para uma ou uma pequena classe de aplicações.
8.. Processo de design de RTL para ASIC ou FPGA

Quando um processador dedicado é construído para um ou uma classe de algoritmos criptográficos, isso dá
muita liberdade para o designer de hardware. Normalmente, o designer de hardware irá, começando de
a descrição do algoritmo criptográfico, chegar a arquiteturas de hardware no Regis-
Nível de transferência ter (RTL) levando em consideração um conjunto de restrições. A área é medida pelo portão
contar no nível RTL . A taxa de transferência é medida em bits / s. O consumo de energia é importante para
para fins de resfriamento e medido em Watt. A energia, medida em Joule, é importante para a bateria
dispositivos operados. Muitas vezes é expresso na quantidade de operações ou quantidade de bits que podem
ser processado por unidade de energia. Portanto, o objetivo do projeto é maximizar as operações / Joule ou
bits / Joule. A resistência a ataques de canal lateral é medida pelo número de medidas
mentos ou amostras necessários para divulgar a chave ou outro material sensível. Flexibilidade e pró
A gramagem é difícil de medir e é normalmente imposta pelo aplicativo ou classe
de aplicativos que precisam ser suportados: o hardware suportará apenas um ou alguns algoritmos
ritmos, criptografia e / ou descriptografia, modos de operação, inicialização, requisitos para chave
armazenamento e assim por diante.
Uma arquitetura de hardware é normalmente descrita em uma linguagem de descrição de hardware, como
como Verilog de VHDL. A partir desta descrição, as duas plataformas de hardware mais importantes
os formulários disponíveis para um designer de hardware são ASIC e FPGA. Um aplicativo específico interno
circuito ralado (ASIC) é um circuito dedicado fabricado em silício. Depois de fabricado (cozido),
não pode mais ser modi cado. Um Field Programmable Gate Array (FPGA) é um tipo especial de
dispositivo programável: consiste em matrizes regulares de células de bits, que podem ser programadas por
meio de um fluxo de bits. Este bitstream especial programa cada célula para uma função específica, por exemplo, um
adição de um bit, um registrador, um multiplexador e assim por diante. Ao alterar o fluxo de bits, a função
alidade das mudanças FPGA . Do ponto de vista do Nível de Transferência de Registro (RTL) o real
processo de design para FPGA ou ASIC não difere muito. Opções de design semelhantes são
disponíveis: o designer pode decidir ir para arquiteturas seriais ou paralelas, fazendo uso de
www.cybok.org
vários truques de design para combinar o design com os requisitos. Os truques mais conhecidos são
usar pipelining para aumentar a capacidade ou desenrolar para reduzir a latência, multiplexação de tempo para
reduzir área, etc.
Do ponto de vista da implementação, neste nível de abstração de transferência de registro, um grande corpo de
conhecimento e um grande conjunto de automação de design eletrônico (EDA) existem ferramentas para mapear um aplicativo
cátion em uma plataforma FPGA ou ASIC [ ] Os resultados da implementação devem ser comparados, não
apenas no número de operações, mas também nos requisitos de memória (memória do programa e
memória de dados), requisitos de rendimento e latência, requisitos de energia e potência, banda
requisitos de largura e a facilidade com que as contra-medidas de ataque de canal lateral e falha
pode ser adicionado. Observe que este grande corpo de conhecimento existe para implementações que
foco na eficiência. No entanto, ao combinar eficiência com requisitos de segurança, como
execução em tempo constante ou outras contramedidas, há uma grande falta de suporte para EDA
ferramentas (ver seção 8.8)
8.. Algoritmos criptográficos em nível RTL

As implementações criptográficas são subdivididas em várias categorias, enumeradas abaixo. O
detalhes dos próprios algoritmos criptográficos são discutidos em Cryptography Knowl-
Área de borda (Capítulo ) Aqui, apenas observações relacionadas à implementação RTL são feitas. Dentro
esta seção apenas notas específicas para as implementações de hardware são feitas.
• Algoritmos de chave secreta: tanto as cifras de bloco quanto as cifras de fluxo resultam geralmente em compactação
e implementações rápidas. As cifras Feistel são escolhidas para projetos com áreas muito restritas
pois o hardware de criptografia e descriptografia é o mesmo. Este não é, por exemplo, o caso para o
Algoritmo AES para o qual a criptografia e a descriptografia requerem unidades diferentes.
• Chave secreta: algoritmos leves. Para dispositivos incorporados, ao longo dos anos, muitos
algoritmos de peso foram desenvolvidos e implementados, por exemplo, Present, Prince, Rect-
ângulo, cifra Simon ou Speck. O foco nesses casos é principalmente no custo da área. Contudo,
recentemente, o peso leve foi estendido para incluir também baixa potência, baixa energia e es-
especialmente baixa latência. A latência é definida como a diferença de tempo entre a entrada de texto simples
e a saída criptografada correspondente ou MAC. Ter uma latência curta é importante na vida real
sistemas de controle de tempo, automotivo, IoT industrial, mas também em criptografia de memória, controle
aplicativos de integridade, etc. Mais conhecimento virá da recente ligação do NIST em
criptografia leve [ ]
• Chave secreta: as cifras de bloco por si só não são diretamente aplicáveis em aplicativos de segurança
cátion. Eles precisam ser combinados com modos de operação para fornecer confidencialidade
ou integridade, etc. (consulte a Área de Conhecimento de Criptografia (Capítulo )). Neste contexto
implementações eficientes de esquemas de criptografia autenticados são necessárias: isto é
o tema da competição CAESAR [ 8] Do ponto de vista da implementação, o
natureza sequencial dos esquemas de criptografia autenticados torna muito difícil
obter altas taxas de transferência, pois o pipelining não pode ser aplicado diretamente.
• Os algoritmos de hash requerem normalmente uma área muito maior em comparação com os algoritmos de chave secreta.
Especialmente o algoritmo SHA e suas diferentes versões são grandes em área e lentos em
execução. Portanto, algoritmos hash leves são um tópico de pesquisa ativa.
• Uma importante aplicação de hardware de funções hash é a mineração de criptomoedas,

como Bitcoin, Etherium, Litecoin e outros, baseados em SHA, SHA 6, SHA, etc. Para
para obter os altos rendimentos necessários, o paralelismo maciço e o pipelining são aplicados. Esta
www.cybok.org
é, no entanto, limitado, pois os algoritmos hash são algoritmos recursivos e, portanto, há um

limite superior da quantidade de pipelining que pode ser aplicada [ ] Criptomoedas
fazem parte da tecnologia mais geral de livros-razão distribuídos, que é discutida em
a Área de Conhecimento de Segurança de Sistemas Distribuídos (Capítulo ) .
• A complexidade computacional dos algoritmos de chave pública é normalmente ou ordens de mag-

nitude maior do que a chave secreta e, portanto, sua implementação para pedidos mais lentos ou maiores.
Especialmente para implementações de RSA e curva elíptica, um grande corpo de conhecimento é
disponível, variando de compacto [ ] para rápido, para curvas clássicas e mais recentes [ ]
• Algoritmos resistentes a ataques de computadores quânticos, também conhecidos como algoritmo seguro pós-quântico
ritmos, são os algoritmos de próxima geração que requerem implementação em CMOS existentes
Tecnologia ASIC e FPGA . Gargalos computacionais são as grandes estruturas multiplicadoras
características, com / sem a Transformação Teórica Numérica, os grandes requisitos de memória
e os requisitos de números aleatórios que seguem distribuições específicas. Atualmente,
O NIST está realizando uma competição sobre criptografia pós-quântica [ ] Portanto, é esperado
que depois que os algoritmos forem decididos, as implementações em hardware seguirão.
• Atualmente, as implementações mais exigentes para algoritmos criptográficos são aquelas

usado em esquemas de criptografia homomórfica: a complexidade computacional, o tamanho do
os multiplicadores e especialmente os grandes requisitos de memória são os desafios para adicionar
vestir [ ]
8,6 ATAQUES DE CANAIS LATERAIS, ATAQUES DE FALHA E

MEDIDAS
Esta seção primeiro fornece uma visão geral dos ataques físicos em implementações de criptografia
algoritmos gráficos. A segunda parte discute uma ampla gama de contramedidas e alguns
problemas de pesquisa abertos. Ataques físicos, principalmente ataques de canal lateral e de falha, foram originados
Por fim, é uma grande preocupação para os desenvolvedores de pequenos dispositivos que estão nas mãos de invasores,
especialmente cartões inteligentes e sistemas de TV paga. A importância desses ataques e contra-
medidas está crescendo à medida que mais dispositivos eletrônicos são facilmente acessíveis no contexto do
IoT.
8,6. Ataques
No estado atual do conhecimento, os algoritmos criptográficos tornaram-se muito seguros contra
ataques matemáticos e criptanalíticos: este é certamente o caso de algoritmos que são
padronizados ou que receberam uma revisão extensa na literatura de pesquisa aberta. Cur-
Atualmente, o elo mais fraco é principalmente a implementação de algoritmos em hardware e software.
Vazamento de informações da implementação de hardware por meio de ataques de canal lateral e de falha.
É feita uma distinção entre ataques passivos ou de canal lateral e ataques ativos ou de falha.
Uma segunda distinção pode ser feita com base na distância do invasor ao dispositivo: em-
as tacadas podem ocorrer remotamente, perto do dispositivo, ainda não invasivas a ataques invasivos reais.
Mais detalhes sobre várias classes de ataques estão abaixo.
Ataques passivos de canal lateral Ataques gerais de canal lateral são observações passivas de um
plataforma de computação. Por meio de variações dependentes de dados de tempo de execução, consumo de energia
ção ou radiação eletromagnética do dispositivo, o invasor pode deduzir informações secretas
internals. Variações de tempo de execução, consumo de energia ou radiações eletromagnéticas
www.cybok.org
são normalmente captados nas proximidades do dispositivo, enquanto ele é operado em condições normais
dições. É importante observar que a operação normal do dispositivo não é perturbada. Desse modo
o dispositivo não está ciente de que está sendo atacado, o que torna esse ataque bastante poderoso [ ]
Ataques de canal lateral com base em variações no consumo de energia têm sido extensivamente estudados
Ied. Eles são executados perto do dispositivo com acesso à fonte de alimentação ou aos pinos de alimentação.
Faz-se uma distinção entre Análise de Potência Simples (SPA), Diferencial e Ordem Superior
Análise de potência (DPA) e ataques de modelo. No SPA, a ideia é primeiro estudar o alvo para
recursos que dependem da chave. Por exemplo, um alvo típico em tempo e ataques de poder são se-então-
senão ramificações que dependem de bits de chave. Em implementações de algoritmos de chave pública, como
como RSA ou ECC, o algoritmo é executado sequencialmente por todos os bits-chave. Quando o if-branch leva
mais ou menos tempo de computação do que o outro ramo, isso pode ser observado de fora do
lasca. Ataques SPA não estão limitados a algoritmos de chave pública, eles também foram aplicados a
algoritmos de chave secreta ou algoritmos para gerar números primos (caso precisem permanecer
segredo). Portanto, com o conhecimento do funcionamento interno do dispositivo, o SPA requer apenas a coleta
um ou alguns traços para análise.
Com DPA, o invasor coleta vários traços, variando de algumas dezenas para imagens desprotegidas
para milhões no caso de implementações de hardware protegidas. Nesta situação,
o invasor explora o fato de que o consumo instantâneo de energia depende do
dados que são processados. A mesma operação, dependendo da mesma subchave desconhecida,
resultar em diferentes perfis de consumo de energia se os dados forem diferentes. O atacante também
construiu um modelo estatístico do dispositivo para estimar o consumo de energia em função de
os dados e os diferentes valores da subchave. A análise estatística desses traços com base em
análise de correlação, informações mútuas e outros testes estatísticos são aplicados para correlacionar
os valores medidos para o modelo estatístico.
Ataques de canal lateral baseados em radiações eletromagnéticas foram reconhecidos desde o início
no contexto de comunicação militar e equipamento de rádio. Como reação, a OTAN e o
governos de muitos países emitiram TEMPEST [ ] Consiste em especificações sobre
a proteção do equipamento contra radiação eletromagnética não intencional, mas também contra
vazamento de informações por meio de vibrações ou som. Ataques de radiação eletromagnética podem
ser montado à distância, como explicado acima, mas também próximo ao integrado
o circuito. A sondagem eletromagnética no topo de um circuito integrado pode liberar muito localizada
informações de partes específicas de um IC usando um D stepper e ne sondas eletromagnéticas.
Assim, a avaliação eletromagnética tem a possibilidade de fornecer vazamento mais preciso
informações comparadas às medições de potência.
Ataques de temporização são outra subclasse de ataques de canal lateral [ ] Quando o tempo de execução
de um cálculo criptográfico ou de um programa que lida com dados confidenciais, varia em função de
os dados confidenciais, então essa diferença de tempo pode ser detectada pelo invasor. Um ataque de cronometragem
pode ser tão simples quanto um tempo de execução diferente dependente de chave de um if-branch versus um else-
ramificar em uma máquina de estado nito. Ataques de cache, que abusam da diferença de tempo entre um
acerto de cache e falha de cache são uma classe importante de ataques de temporização [ ], [ 6],.
Com um ataque de modelo, o invasor primeiro criará uma cópia ou modelo do dispositivo de destino
[ ] Este modelo é usado para estudar o comportamento do dispositivo para todos ou um grande conjunto de entradas
e valores de dados secretos. Uma ou algumas amostras do dispositivo alvo são então comparadas com o
modelos no banco de dados para deduzir informações secretas do dispositivo. Ataques de modelo
são normalmente usados quando o dispositivo original tem contramedidas contra várias execuções.
Por exemplo, pode haver um contador interno para registrar o número de tentativas malsucedidas. Os modelos podem ser
feito com base em tempo, energia ou informações eletromagnéticas. Como aprendizado de máquina e IA
www.cybok.org
as técnicas se tornam mais poderosas, assim como a possibilidade de ataque com ataques de modelo.
Microarquitetura de canais laterais As arquiteturas de processador são muito vulneráveis a temporização em
tachas. O problema do vazamento de informações e a dificuldade de confinamento entre os programas
já foi identi cado no início de [ 8] Variações de tempo posteriores em acertos e erros do cache
tornou-se uma classe importante de ataques temporais [ ] Recentemente, ganhando muita atenção estão
os ataques de canal lateral de microarquitetura, como Specter, Meltdown, Foreshadow. Eles
também se baseiam na observação das diferenças de tempo [ ][ ] A força do
ataques reside no fato de que eles podem ser montados remotamente a partir do software. Processo moderno
sors incluem várias técnicas de otimização para impulsionar o desempenho não apenas com caches,
mas também execução especulativa, execução fora de ordem, preditores de ramificação, etc. Quando múltiplos
processos executados na mesma plataforma de hardware, virtualização e outras técnicas de software
isola os dados das diferentes partes em locais de memória separados. No entanto, através do
execução de ordem ou execução especulativa (ou muitas outras variantes) o hardware do pro
cessador irá acessar locais de memória não destinados ao processo por meio dos chamados
instruções transitórias. Essas instruções são executadas, mas nunca confirmadas. Eles têm como-
já tocou em locais de memória, o que pode criar efeitos de canal lateral, como variações
em tempo de acesso e, portanto, vazamento de informações.
Ataques de falha ativos Ataques de falha são manipulações ativas de plataformas de computação de hardware
[ ] O resultado é que o próprio cálculo ou o fluxo de controle do programa é perturbado.
Com defeito ou nenhuma saída é liberada. Mesmo que nenhuma saída seja liberada ou o dispositivo se reinicie,
esta decisão pode vazar informações confidenciais. Um exemplo famoso é publicado em [ ]:
ele descreve uma implementação de assinatura RSA que faz uso do remanescente chinês
Teorema (CRT) Com uma assinatura de resultado defeituosa e outra correta, e alguns cálculos matemáticos simples
cálculos matemáticos, a chave de assinatura secreta pode ser derivada. Ataques de falha física podem ser um
falha de relógio simples, falha de energia, aquecimento ou resfriamento de um dispositivo. Estes requerem
próximos ao dispositivo, mas não invasivos.
Com o dimensionamento das memórias, mais superfícies de ataque aparecem. Um ataque muito específico à DRAM
memórias, é o ataque RowHammer [ 6, ] Repetindo a leitura de locais específicos
na memória DRAM , os locais vizinhos perderão seus valores. Assim, martelando certas
locais, os bits ips ocorrerão em locais próximos.
Com equipamentos mais caros, e com abertura da tampa do circuito integrado ou gravura
com o silício desativado, informações ainda mais detalhadas do circuito podem ser obtidas. Equipamento
que foi usado inclui falha óptica [ ], ataques de laser [ ] , Feixe de íons focalizado (FIB),
um microscópio eletrônico de varredura (SEM) e outro. Os últimos são normalmente equipamentos que têm
foi projetado para confiabilidade do chip e análise de falha. Este equipamento também pode ser usado ou
mal utilizado para engenharia reversa.
8,6. Contramedidas
Não há contramedidas genéricas que resistam a todas as classes de ataques de canal lateral. De-
pendente no modelo de ameaça (acesso remoto / local, passivo / ativo, etc.) e as suposições
feito na base de computação confiável (ou seja, o que é e o que não está incluído na raiz de confiança),
contramedidas foram propostas em vários níveis de abstração. O mais importante
as categorias estão resumidas abaixo.
Para resistir a ataques de temporização, o primeiro objetivo é fornecer hardware que execute o aplicativo
cátion ou programa em tempo constante independente de entradas secretas, chaves e estado interno. De-
dependendo da granularidade de tempo do equipamento de medição do invasor, tempo constante
www.cybok.org
as contramedidas também precisam ser mais refinadas. No nível de arquitetura do processador, con
tempo constante
um número significa
constante um número
de ciclos constante
de clock. deda
No nível instruções. Nocircuito,
lógica e do nível RTL , tempo
o tempo constante
constante significa
significa uma constante
profundidade lógica ou caminho crítico independente dos dados de entrada. No nível de instrução, tempo constante
pode ser obtido balanceando os caminhos de execução e adicionando instruções fictícias. Compartilhamento de
recursos, por exemplo, através de caches, tornam as implementações em tempo constante extremamente difíceis de
obtivermos.
No nível RTL , precisamos ter certeza de que todas as instruções rodam no mesmo número de clock
ciclos. operações fictícias ou portas fictícias, dependendo do nível de granularidade. Fornecendo
nível de RTL em tempo constante e descrições de nível de porta são, no entanto, um desafio como ferramentas de design,
ambos os compiladores de hardware e software, irão, por razões de desempenho, sintetizar o
operações fictícias ou lógica que foram adicionadas para equilibrar os cálculos.
Como muitos ataques de canal lateral dependem de um grande número de observações ou amostras,
sação é uma contramedida popular. É usado para proteger contra energia eletromagnética
e ataques de canal lateral de cronometragem. A randomização é uma técnica que pode ser aplicada no algoritmo
nível de ritmo: é especialmente popular para algoritmos de chave pública, que aplicam técnicas como
como cegueira escalar ou cegueira de mensagem [ ] Randomização aplicada na transferência de registro
e o nível do portão é chamado de mascaramento. Os esquemas de mascaramento randomizam os valores intermediários no
cálculos para que seu consumo de energia não possa mais ser vinculado ao sistema interno
cretas. Um grande conjunto de documentos sobre esquemas de mascaramento de nível de portão está disponível, variando de simples
Mascaramento booleano para implementar implementações que são comprovadas como seguras sob certos vazamentos
modelos de idade [ 6] A randomização tem sido eficaz na prática, especialmente como uma chave pública
medida de proteção de implementação. A proteção de algoritmos de chave secreta por mascaramento é
mais desafios. Alguns esquemas de mascaramento requerem uma grande quantidade de números aleatórios, outros
ers assumem modelos de vazamento que nem sempre correspondem à realidade. Neste contexto, romance
técnicas criptográficas resumidas sob o rótulo de criptografia resiliente de vazamento, são de-
veloped que são inerentemente resistentes contra ataques de canal lateral [ , 8] Nesta fase,
ainda há uma lacuna entre a teoria e a prática.
Esconder é outra grande classe de contra-medidas. A ideia é reduzir a relação sinal-ruído

tio reduzindo a intensidade do sinal. A blindagem no contexto do TEMPEST é um exemplo.
Da mesma forma, no nível do portão, reduzindo a assinatura de energia ou assinatura eletromagnética de stan-
células dard ou módulos lógicos, irão aumentar a resistência contra energia ou eletromagnética
ataques. Técnicas simples, como o uso de um relógio instável ou flutuante e um grande cabo de desacoplamento
pacitâncias também reduzirão a relação sinal-ruído.
Às vezes, as soluções para vazamento em um nível de abstração, por exemplo, canais de energia, podem ser
abordado em um nível de abstração diferente. Portanto, se houver o risco de uma chave de criptografia
vazamentos de um dispositivo embutido, um protocolo criptográfico que altera a chave em um suf -
suficientemente alta frequência, também evitará o vazamento de informações do canal lateral.
Processadores de uso geral, como CPUs , GPUs, e os microcontroladores não podem ser modificados
ed uma vez fabricado. Protegendo assim contra ataques micro-arquitetônicos após a fabricação
por meio de patches e atualizações de software é extremamente difícil e principalmente à custa de
desempenho reduzido [ ] As atualizações de microcódigo também são uma forma de software, ou seja, rmware
atualização e não uma atualização de hardware. A principal diferença é que a tradução do instruc-
ções para microcódigo é um segredo da empresa e, portanto, para o usuário, parece uma atualização de hardware.
Fornecer soluções genéricas para hardware programável é um desafio, pois é desconhecido antes -
mão qual aplicativo será executado. As soluções para este problema serão um esforço combinado entre
técnicas de hardware e software.
www.cybok.org
A proteção contra ataques de falha é feita no nível de transferência de registro, bem como no circuito
nível. Na RTL, a proteção contra ataques de falha é principalmente baseada na redundância, seja no espaço ou
no tempo e adicionando verificações com base na codificação, como verificações de paridade. O preço é caro
pois os cálculos são executados várias vezes. Um problema em adicionar redundância é que
aumenta a superfície de ataque dos canais laterais. Na verdade, devido aos cálculos redundantes, o
o atacante tem mais rastros disponíveis para executar o tempo, potência ou canal lateral eletromagnético
ataques [ ] No nível do circuito, os monitores do relógio ou da fonte de alimentação podem detectar desvios
das operações normais e disparar um alarme.
Muitos tipos de sensores de nível de circuito são adicionados aos circuitos integrados. Exemplos são sensores de luz
que detectam que a tampa de um pacote foi aberta. Sensores de malha de metal que são dispostos
em camadas de metal de nível superior podem detectar ataques de sondagem. Sensores de temperatura detectam aquecimento ou
resfriamento do circuito integrado. Sensores de antena para detectar sondas eletromagnéticas perto de
a superfície foi desenvolvida: esses sensores medem uma mudança nos campos eletromagnéticos.
E sensores que detectam manipulação da fonte de alimentação ou relógio podem ser adicionados ao dispositivo.
Observe que adicionar sensores para detectar manipulação ativa pode vazar novamente informações extras para
o atacante do canal lateral.
Contramedidas conjuntas contra ataques de canal lateral e de falha são desafiadoras e ativas
área de pesquisa.
8 BLOCOS DE EDIFÍCIO DE GERAÇÃO DE ENTROPIA: ALEATÓRIO

NÚMEROS, FUNÇÕES FISICAMENTE NÃO CLONÁVEIS
Fontes de entropia são essenciais para protocolos de segurança e privacidade. Nesta seção, dois importantes
fontes importantes de entropia relacionadas à tecnologia de silício são discutidas: gêneros de números aleatórios
toros e funções fisicamente impossíveis de clonar.
8.. Geração de número aleatório

A segurança e a privacidade contam com algoritmos e protocolos criptográficos robustos. Uma fonte de en-
tropy é essencial nestes protocolos: números aleatórios são usados para gerar chaves de sessão,
nonces, vetores de inicialização, para introduzir frescor, etc. Números aleatórios também são usados
para criar máscaras em contramedidas de mascaramento, compartilhamentos aleatórios em computação multipartidária,
provas de conhecimento zero, etc. Nesta seção, o foco está em dados aleatórios criptograficamente seguros
números usados em aplicativos de segurança. Números aleatórios também são usados fora da criptografia
raphy, por exemplo, em jogos, aplicativos de loteria, simulações estocásticas, etc.
Em geral, os números aleatórios são subdivididos em duas classes principais: o Pseudo Random Num-
ber Generator (PRNG) também chamado de Gerador de bits aleatórios determinísticos (DRBG) e o verdadeiro
Gerador de números aleatórios (TRNG) ou Gerador de bits aleatórios não determinísticos (NRBG) O
design, propriedades e testes de números aleatórios são descritos em detalhes por importantes padrões
dards, emitido nos EUA pelo NIST . O NIST emitiu o NIST8 - A para aleatório determinístico
geradores de número, o NIST8 - B para fontes de entropia e NIST8 - C para bit aleatório
construções de geração [ ], [ ][ ] Na Alemanha e, por extensão, na maior parte do
Europa, o BSI alemão emitiu dois padrões importantes: o AIS- para funcionalidade
classes e critérios de avaliação para geradores de números aleatórios determinísticos e o AIS-
para geradores físicos de números aleatórios [ , , ]
NIST8-C ainda não existe como padrão.

www.cybok.org
Um RNG ideal deve gerar todos os números com probabilidade igual. Em segundo lugar, esses números
deve ser independente dos números anteriores ou seguintes gerados pelo RNG, chamado para a frente
e sigilo para trás. As probabilidades são verificadas com testes estatísticos. Cada padrão -
inclui um grande conjunto de testes estatísticos com o objetivo de encontrar deficiências estatísticas. Não ser capaz
prever valores futuros ou derivar valores anteriores é importante não apenas em muitos aplicativos de segurança
plicações, por exemplo, quando isso é usado para geração de chave, mas também em muitos jogos e loterias
formulários.
Geradores de números pseudo-aleatórios são algoritmos determinísticos que geram uma sequência
de bits ou números que parecem aleatórios, mas são gerados por um processo determinístico. Desde uma
PRNG é um processo determinístico, quando começa com o mesmo valor inicial, então o mesmo
sequência de números será gerada. Portanto, é essencial que o PRNG comece com um
valor de inicialização diferente cada vez que o PRNG é iniciado. Esta semente inicial pode ser gerada
compensado por um número aleatório verdadeiro lento gerado ou, no mínimo, por um valor não repetido, por exemplo
conforme fornecido por um contador crescente monotônico. Um PRNG é denominado criptograficamente seguro se
o atacante, que aprende parte da sequência, não é capaz de computar qualquer anterior ou futuro
saídas. PRNGs criptograficamente seguros contam com algoritmos criptográficos para garantir isso
sigilo para a frente e para trás. O sigilo de encaminhamento requer, além disso, uma nova propagação regular para
troduzir novo frescor no gerador. RNG híbrido tem um adicional não determinístico
entrada para o PRNG.
PRNGs fornecem segurança condicional com base na complexidade computacional da base

algoritmos criptográficos. Veja a Área de Conhecimento de Criptografia (Capítulo ) para mais
detalhes. Em contraste, geradores de números aleatórios verdadeiros ideais fornecem segurança incondicional como
eles são baseados em fenômenos físicos imprevisíveis. Assim, sua segurança é garantida em
dependente do progresso em matemática e criptanálise.
O núcleo de um verdadeiro gerador de números aleatórios consiste em uma fonte de entropia, que é um
fenômenos físicos com comportamento aleatório. Em circuitos eletrônicos, fontes de ruído ou entropia são
geralmente com base em ruído térmico, jitter e metaestabilidade. Essas fontes de ruído nunca são per-
efeito: os bits que eles geram podem mostrar parcialidade ou correlação ou outras variações. Daí eles
não tem entropia total. Portanto, eles são normalmente seguidos por extratores de entropia ou con
dicionadores. Esses blocos de construção melhoram a entropia por bit de saída. Mas como a entropia
extrator são processos determinísticos, eles não podem aumentar a entropia total. Então, a saída
comprimento será menor que o comprimento de entrada.
Devido às condições ambientais, por exemplo, devido a variações de temperatura ou tensão, a qualidade
dos números gerados podem variar com o tempo. Portanto, os padrões descrevem
testes que devem ser aplicados no início e continuamente durante o processo de geração
números. Pode-se distinguir três categorias principais de testes. O primeiro é o fracasso total
teste, aplicado na fonte de entropia. Os segundos são testes de saúde online para monitorar o
qualidade dos extratores de entropia. Os terceiros são testes para os bits pós-processados. O
requisitos para esses testes são bem descritos nas diferentes normas e
livros de texto [ ]
O desafio de projetar TRNGs é, primeiro, fornecer uma prova clara e convincente de

fonte tropy, segundo o design de testes online que ao mesmo tempo são compactos e podem de-
detectar uma ampla gama de defeitos [ 6] O tópico de ataques, contra-medidas e sensores para
TRNGs, especialmente no contexto de IoT e dispositivos incorporados, é um tópico de pesquisa ativo.
www.cybok.org
8.. Funções fisicamente não clonáveis

De uma perspectiva de hardware, Funções Fisicamente Não Clonáveis (PUFs), são circuitos e tecnologia
técnicas para derivar características únicas de circuitos de silício, semelhantes à biometria humana [ ]
A fabricação de circuitos de silício resulta em variações de processo únicas que não podem ser
clonado fisicamente. A ideia básica dos PUFs é que essas características únicas de fabricação são
ampliados e digitalizados para que possam ser usados em aplicativos de segurança semelhantes ao uso de
impressões digitais ou outra biometria. Variações físicas e de processo, como uctuações de doping,
linhas ou larguras de borda de fios de interconexão, resultam em variações de tensões de limiar, transis-
dimensões de tor, capacitâncias, etc. Assim, são criados circuitos que são sensíveis a e amplificam
essas variações.
A principal aplicação de segurança para PUFs é derivar chaves específicas de dispositivos únicos, por exemplo, para uso
em um dispositivo IoT ou cartão inteligente. Tradicionalmente, este armazenamento de chaves exclusivas do dispositivo é feito em
memória não volátil, pois a chave deve permanecer no chip mesmo quando a alimentação é desligada.
A memória não volátil requer, no entanto, etapas extras de fabricação, o que torna os chips com
memória volátil custa mais do que os chips CMOS padrão regulares . Assim, PUFs são prometidos
como alternativa barata para memória não volátil segura, porque a impressão digital de silício exclusiva
está disponível sem as etapas extras de processamento. Na verdade, cada vez que a chave é necessária, ela pode
ser lido do PUF pós-processado e usado diretamente em protocolos de segurança. Eles também podem
substitua os fusíveis, que são grandes e seu estado é relativamente fácil de detectar ao microscópio.
A segunda aplicação de segurança é usar PUFs em aplicações de identificação, por exemplo, para acesso
controle ou rastreamento de mercadorias. A entrada para um PUF é chamada de desafio, a saída, a resposta.
O PUF ideal tem um número exponencial de pares únicos de resposta de desafio, exponencial em
o número de elementos do circuito. A singularidade dos PUFs é medida pela inter-distância
entre diferentes PUFs vendo o mesmo desafio. O PUF ideal tem respostas estáveis:
responde com a mesma resposta, ou seja, não há ruído nas respostas. Além disso, PUF re-
os patrocínios devem ser imprevisíveis e fisicamente impossíveis de clonar.
O PUF ideal infelizmente não existe. Na literatura, duas classes principais de PUFs são de-
ned, caracterizado pelo número de pares de desafio-resposta que podem gerar. Assim chamado
PUFs fracos são circuitos com um número nito de elementos, com cada elemento fornecendo um alto
quantidade de entropia. O número de pares possíveis de desafio-resposta cresce normalmente linear
com a área do circuito integrado. Portanto, eles são chamados de PUFs fracos. O mais conhecido
exemplo é o SRAM PUF [ 8] Esses PUFs são normalmente usados para geração de chaves. O cru
O material de saída do PUF não pode ser usado diretamente para a geração de chaves, pois as respostas do PUF são af-
afetados pelo ruído. Na verdade, as leituras subsequentes do mesmo PUF podem resultar em variações ligeiramente
com respostas barulhentas, normalmente até%. Assim, após a extração de entropia segue seguro
esboçar (semelhante à correção de erros) circuitos para eliminar o ruído e comprimir a entropia
para gerar uma chave de entropia completa [ ] O desafio para o designer de PUF é chegar a
variações de processo e circuitos que podem ser usados como material-chave, mas que não são sensíveis
para ruído transitório. Um segundo desafio é manter todos os módulos de pós-processamento compactos
para que o PUF de geração de chave possa ser incluído em dispositivos IoT incorporados .
A segunda classe são os chamados PUFs fortes. Neste caso, o número de desafios
pares de resposta aumentam, idealmente exponenciais, com a área de silício. O mais conhecido
exemplo é o árbitro PUF [ 6 ] Um pequeno número de elementos de silício são combinados,
por exemplo, para criar uma cadeia de multiplexadores ou comparadores, de modo que combinações simples de el-
ementos criam o grande espaço de desafio-resposta. Também neste caso, os efeitos do ruído em
os circuitos precisam ser levados em consideração. É prometido que PUFs fortes serão úteis em autenticação
aplicações de comunicação, por exemplo, para controle de acesso. Cada vez que um desafio é aplicado ao PUF, uma
www.cybok.org
uma resposta exclusiva para o chip será enviada. O verificador aceitará a resposta se puder ser
unicamente ligada ao provador. Isso requer que as respostas do PUF sejam registradas em uma forma de
um banco de dados previamente durante uma fase de inscrição.
O problema com PUFs fortes é que há uma forte correlação entre diferentes desafios
pares de resposta da maioria dos circuitos propostos na literatura. Portanto, todos esses circuitos estão quebrados
com técnicas de aprendizado de máquina [ 6 ] e não pode ser usado para fins de autenticação.
O problema fundamental é que operações muito básicas, principalmente lineares, são usadas para combinar
Elementos PUF , o que os torna alvos fáceis para ataques de aprendizado de máquina. Idealmente, estes
deve ser criptográfico ou outras operações computacionalmente difíceis resistentes ao aprendizado de máquina-
ing: infelizmente estes não podem tolerar ruído. Protocolos de segurança leves baseados em PUF são
uma área ativa de pesquisa.
8,8 PROCESSO DE DESIGN DE HARDWARE

Nesta seção, vários tópicos de segurança de hardware são descritos, os quais estão diretamente relacionados a
as camadas inferiores de abstração de design. Uma delas é a confiança no próprio processo de design de hardware.
Diretamente relacionado a isso, está o problema dos circuitos de Trojan. Também faz parte do design do hardware
processo são técnicas de nível de circuito para camuflagem, bloqueio lógico, etc.
8,8. Projeto e fabricação de circuitos integrados de silício

É importante observar que o próprio processo de design de hardware também precisa ser confiável. Ser-
por causa de sua complexidade de design, o design em cada camada de abstração depende do design eletrônico
Automação (EDA) Ferramentas. O design, fabricação, embalagem e teste de circuitos integrados de silício
cuits é um compromisso internacional: as fundições de silício estão localizadas principalmente na Ásia. Silício
ferramentas de design são mais desenvolvidas nos Estados Unidos, e testes e embalagens de silício geralmente ocorrem
No mundo todo. Para chips que acabam em infraestrutura crítica, como telecomunicações,
militar, aviação, confiança e verificação do ciclo completo do projeto são essenciais.
Uma vez que as fundições de silicone e a fabricação de máscaras são extremamente caras, poucos países e
as empresas ainda podem pagar por isso e uma grande consolidação foi e está ocorrendo no setor.
Para infraestrutura crítica, os governos exigem mais ferramentas e técnicas para aumentar o
confiabilidade desse processo de design internacional. Neste tópico, grandes projetos de pesquisa
são definidos para apresentar métodos e ferramentas para aumentar a confiabilidade do design
e, especialmente, para avaliar o risco de inserções de cavalos de Tróia durante o processo de design.
8,8. Circuitos de tróia

Os circuitos de Trojan são lógicas ou portas adicionadas a grandes circuitos integrados. Como eles não fazem parte do
funcionalidade especificada, são difíceis de detectar. Eles confiam no fato de que são extremamente
pequeno em comparação com o grande tamanho dos circuitos integrados e SoCs. Os circuitos de Trojan são
classificado de acordo com três critérios principais [ 6 , 6 ] O primeiro é o personagem físico
características do Trojan, ou seja, como o Trojan é inserido no circuito. Por exemplo, isso requer
modificações lógicas ou apenas modificações de layout. O segundo é o caractere de ativação
istic: o Trojan será ativado por um evento interno ou externo, etc. A terceira característica
classifica o tipo de ação realizada pelo Trojan, por exemplo, vazará informações ou destruirá
funcionalidade, etc. A área de conhecimento neste tópico é resumida em [ 6 , 6]
www.cybok.org
8,8. Técnicas de nível de circuito

Para evitar a inspeção visual, técnicas de camuflagem de nível de circuito são introduzidas [6 ] Esses
são células padrão ou outros módulos que têm a mesma aparência visual, ou parecem camuflados por
material extra aleatório. Isso é feito para evitar inspeção visual e engenharia reversa com base
na inspeção visual.
Outra técnica para evitar a perda de propriedade intelectual é o bloqueio lógico [ 6 ] Com isso
técnica, portas extras são adicionadas a um circuito com uma entrada secreta. Somente quando a chave correta é
aplicado às portas secretas, o circuito executará a funcionalidade correta. Este é um ativo
tópico de pesquisa com esquemas de bloqueio lógico sendo propostos e atacados, com solucionadores SAT
sendo uma ferramenta muito útil no ataque aos circuitos.
8,8. Segurança de nível de placa

Os circuitos integrados são colocados juntos nas placas de circuito da impressora (PCBs) Muitos dos ataques
e contra-medidas mencionadas antes para circuitos integrados, podem ser repetidas para PCBs
embora em uma escala diferente. Embora os circuitos integrados forneçam algum nível de proteção porque
eles são encapsulados em pacotes e usam tecnologias CMOS muito menores , PCBsão
menos complexo e um pouco mais fácil de acessar. Portanto, para PCBrevestimentos especiais, e
Podem ser fornecidos mecanismos de proteção mecânicos com evidência de violação e resistentes a violação.
Tem havido algumas preocupações de que os circuitos de Trojan também possam ser incluídos no nível da placa.
8,8. Tempo
O conceito de tempo e o conceito de sequência de eventos são essenciais em protocolos de segurança.
O TCG identifica três tipos de sequenciamento: um contador monotônico, um contador de carrapatos e
tempo confiável [ ] Um contador monotônico sempre aumenta, mas o tempo do relógio de parede entre
dois incrementos são desconhecidos. O contador de tiques aumenta com uma frequência definida. Só aumenta
quando a energia está ligada. Ao desligar, o contador de tiques será zerado. Portanto, o contador de carrapatos é
vinculado com um nonce e métodos são previstos para vincular isso com um relógio de parede real. Confiável
o tempo é o mais seguro. Certifica-se de que há um link entre o contador de carrapatos e o
hora do relógio de parede real. Do ponto de vista do hardware, exigirá memória não volátil, contadores,
cristais, energia contínua e um gerador de clock no chip. A conexão com uma parede real
o relógio exigirá sincronização e um canal de comunicação real.
A importância do tempo é colocada em um contexto mais amplo no Conhecimento de Segurança de Sistemas Distribuídos
Área de borda (Capítulo ) .
8 CONCLUSÃO
A segurança de hardware é um tópico muito amplo, cobrindo muitos tópicos diferentes. Neste capítulo, um
a classificação é feita com base nas diferentes camadas de abstração do design. Em cada abstração
camada, o modelo de ameaça, raiz de confiança e objetivos de segurança são identificados.
Por causa do crescimento da IoT, ponta e computação em nuvem, a importância da segurança do hardware
ridade está crescendo. No entanto, em muitos casos, a segurança do hardware está em conflito com outro desempenho
otimizações, como baixa energia ou condições limitadas de operação da bateria. Nestes circun-
posições, a otimização do desempenho é a tarefa de design mais importante. No entanto, também é o mais
causa importante de vazamento de informações. Este é o caso em todas as camadas de abstração: instrução
nível, nível de arquitetura e nível lógico e de circuito.
www.cybok.org
Outra tendência é que o hardware está se tornando mais 'suave'. Esta é uma tendência importante em
arquitetura do cessor, em que a funcionalidade FPGA é adicionada às arquiteturas do processador. A diversão-
A suposição fundamental de que o hardware é imutável se perde aqui. Isso criará um novo
classe de ataques.
Um último grande desafio para a segurança de hardware é a falta de ferramentas EDA para oferecer suporte à segurança de hardware
ridade. As ferramentas EDA são feitas para otimizar o desempenho e a segurança geralmente é deixada para trás.
Um desafio adicional é que é difícil medir a segurança e, portanto, difícil equilibrar
segurança versus otimizações de área, rendimento ou energia.
Segurança de hardware KA | Outubro Página 6 6
Página 633
Capítulo
Sistemas Ciber-Físicos
Segurança
Alvaro Cardenas University of California Santa Cruz
www.cybok.org
INTRODUÇÃO
Sistemas Ciber-Físicos (CPSs) são sistemas projetados que são construídos a partir de, e dependem de,
a integração perfeita de computação e componentes físicos. Enquanto con automático
sistemas trol como o regulador de vapor existem há vários séculos, é apenas no passado
décadas que a automação de infraestruturas físicas como a rede elétrica, sistemas de água,
ou reações químicas migraram de controles analógicos para computador integrado
controle, muitas vezes comunicando-se por meio de redes baseadas em computador. Além disso, novos avanços
em dispositivos médicos implantáveis, ou veículos autônomos autônomos estão aumentando o papel
de computadores no controle de sistemas ainda mais físicos.
Enquanto os computadores nos dão novas oportunidades e funcionalidades para interagir com o sistema físico
mundo físico, eles também podem permitir novas formas de ataques. O objetivo desta área de conhecimento
é fornecer uma visão geral do campo emergente da segurança CPS .
Em contraste com outras áreas de conhecimento dentro do CyBOK que podem rastrear as raízes de seu campo
de volta a várias décadas, o trabalho em segurança CPS é relativamente novo, e nossa comunidade
ainda não desenvolveu o mesmo consenso sobre as melhores práticas de segurança em comparação com a segurança cibernética
campos descritos em outros KAs. Portanto, neste documento, nos concentramos em fornecer uma visão geral
de tendências de pesquisa e características únicas neste campo.
CPSs são diversos e podem incluir uma variedade de tecnologias, por exemplo, controle industrial
os sistemas podem ser caracterizados por uma hierarquia de camadas de tecnologia (o modelo Purdue [ 66]).
No entanto, os problemas de segurança nas camadas superiores desta taxonomia estão mais relacionados a
problemas de segurança clássicos cobertos em outros KAs. Portanto, o escopo deste documento
concentra-se nos aspectos dos CPSs mais intimamente relacionados à detecção, controle e atuação
desses sistemas (por exemplo, as camadas inferiores do modelo Purdue).
O restante da área de conhecimento é organizado da seguinte forma. Na seção . nós fornecemos uma introdução
produção para CPSs e suas características únicas. Na seção . , discutimos crosscutting
questões de segurança em CPSs geralmente aplicáveis a vários domínios (por exemplo, a rede elétrica ou
sistemas de hicle); em particular, discutimos os esforços para prevenir, detectar e responder a
ataques. Na seção . , resumimos os desafios de segurança específicos em uma variedade de CPS
domínios, incluindo a rede elétrica, sistemas de transporte, veículos autônomos, robótica,
e dispositivos médicos implantáveis. Finalmente, na seção ., examinamos os desafios únicos
A segurança do CPS representa para reguladores e governos. Em particular, delineamos o papel do governo
incentivos para proteções de segurança para CPSs, e como a segurança do CPS se relaciona com os
segurança e condução da guerra.
CONTENTE
. SISTEMAS CIBERFÍSICOS E SUA SEGURANÇA

RISCOS
[ 6 , 68 , 6 ]
O termo Sistemas Ciber-Físicos (CPSs) surgiu há pouco mais de uma década como uma tentativa de
unificar os problemas comuns de pesquisa relacionados à aplicação de computador embarcado e
tecnologias de comunicação para a automação de sistemas físicos, incluindo aeroespacial,
automotivo, produção química, infraestrutura civil, energia, saúde, manufatura, novo
Segurança de sistemas ciber-físicos da KA | Outubro Página 6 8
www.cybok.org
materiais e transporte. CPSs são geralmente compostos por um conjunto de agentes interligados em rede
agindo com o mundo físico; esses agentes incluem sensores, atuadores, processamento de controle
unidades e dispositivos de comunicação, conforme ilustrado na Figura ..
O termo CPSs foi cunhado em 6 por Helen Gill da National Science Foundation (NSF)
nos Estados Unidos [ 6 ] Em seu anúncio do programa, a NSF delineou seu objetivo para
considerando vários setores (como água, transporte e energia) sob uma ótica unificada:
abstraindo das particularidades de aplicações específicas nestes domínios, o objetivo do
O programa CPS é revelar princípios científicos e de engenharia fundamentais transversais que
apoiar a integração de elementos cibernéticos e físicos em todos os setores de aplicativos.
Sensores
Atuadores
s1
a1 Fisica
s2
Sistema
a2 s3
a3 s4
Rede
c1 c2 c3
Controladores Distribuídos
Figura . : Arquitetura geral de sistemas ciber-físicos [ ]
Logo depois que o termo CPS foi cunhado, várias comunidades de pesquisa se reuniram para delinear e
entender como a pesquisa de segurança cibernética do CPS é fundamentalmente diferente quando comparada a
segurança cibernética de TI convencional. Devido à natureza transversal dos CPSs, o fundo
de documentos de posição de segurança antecipada de 6 até o uso do termo CPSs, variou de real
sistemas de tempo [ , ], para sistemas embarcados [ , ], teoria de controle [ ], e cy-
bersecurity [ 6 , , , 6, ]
Embora a pesquisa de segurança cibernética tenha sido considerada anteriormente em outras atividades físicas -
principais - mais notavelmente no Controle de Supervisão e Aquisição de Dados (SCADA) sistemas de
a rede elétrica [ 8] —Estes esforços anteriores concentraram-se na aplicação de sistemas cibernéticos de TI bem conhecidos-
melhores práticas de segurança para sistemas de controle. O que diferencia a posição inicial de segurança do CPS
papéis foi a sua natureza transversal com foco em uma perspectiva multidisciplinar para CPS se-
segurança (indo além da segurança de TI clássica). Por exemplo, enquanto a detecção de intrusão clássica
sistemas monitoram eventos puramente cibernéticos (pacotes de rede, informações do sistema operacional, etc.),
primeiros artigos CPSs trazendo elementos da teoria de controle [6 ] sugeriu que a detecção de intrusão
sistemas para CPSs também podem monitorar a evolução física do sistema e, em seguida, verificá-lo
contra um modelo da dinâmica esperada como forma de melhorar a detecção de ataques.
CPS está relacionado a outros termos populares, incluindo a Internet das Coisas (IoT), Indústria. , ou
a Internet das Coisas Industrial, mas como apontado por Edward Lee, o termo “CPS" é mais
Segurança de sistemas ciber-físicos da KA | Outubro Página 6
www.cybok.org
fundamental e durável do que todos estes, porque não faz referência direta a nenhum dos im-
abordagens de implementação (por exemplo, "Internet" na IoT) nem aplicações específicas (por exemplo, "Indústria" em
Indústria. ) Em vez disso, concentra-se no problema intelectual fundamental de conjugar o en-
tradições de engenharia dos mundos cibernético e físico [ 6 ]
O restante desta seção está organizado da seguinte forma: na Seção . ., apresentamos o geral adequado
laços do CPS, então na Seção . ., discutimos como os sistemas físicos têm sido tradicionalmente
protegido de acidentes e falhas, e como essas proteções não são suficientes para proteger
o sistema contra ataques cibernéticos. Analisamos esta seção discutindo a segurança e a prioridade
desocupar riscos em CPSs, juntamente com o resumo de alguns dos ataques mais importantes do mundo real
nos sistemas de controle na Seção . ..
.. Características do CPS
CPSs incorporam vários aspectos de sistemas embarcados, sistemas em tempo real, (com e sem fio)
rede e teoria de controle.
Sistemas Embarcados: Uma das características mais gerais dos CPSs é que, porque vários
dos computadores que fazem interface direta com o mundo físico (sensores, controladores ou atuadores
tores) executam apenas algumas ações específicas, eles não precisam do poder de computação geral de
computadores clássicos - ou mesmo sistemas móveis - e, portanto, tendem a ter limitações de
origens. Alguns desses sistemas embarcados nem mesmo executam sistemas operacionais, mas sim
executado apenas em rmware , que é uma classe específica de software que fornece controle de baixo nível
do hardware do dispositivo; dispositivos sem sistemas operacionais também são conhecidos como bare metal
sistemas. Mesmo quando os sistemas embarcados têm um sistema operacional, eles geralmente executam uma
versão inferior para se concentrar nas ferramentas mínimas necessárias para a plataforma.
Sistemas em tempo real: Para sistemas críticos de segurança, o tempo em que os cálculos são realizados
formado é importante para garantir a correção do sistema [ ] Em tempo real
linguagens de gramática podem ajudar os desenvolvedores a especificar os requisitos de tempo para seus sistemas, e
Sistema operacional em tempo real (RTOS) garantir o tempo para aceitar e concluir uma tarefa de
uma aplicação [ 8 ]
Protocolos de rede: outra característica dos CPSs é que esses sistemas embarcados
comunicar uns com os outros, cada vez mais em redes compatíveis com IP. Enquanto muitos críticos
infraestruturas, como sistemas de energia, têm usado comunicações seriais para monitorar
operações em seus sistemas SCADA , foi apenas nas últimas duas décadas que a informação
a troca entre as diferentes partes do sistema migrou das comunicações seriais
para redes compatíveis com IP. Por exemplo, o protocolo de comunicação serial Modbus foi re-
alugado pela Modicon em, e protocolos seriais subsequentes com mais recursos incluídos
IEC 6 8 - - e DNP no s. Todos esses protocolos seriais foram posteriormente adaptados para
redes IP de porta no final e início de s com padrões como Modbus /TCP, e
IEC 6 8 - - [ 8 , 8]
Sem fio: embora a maioria das comunicações de longa distância sejam feitas em redes com fio,
redes sem fio também são uma característica comum dos CPSs. Comunicações sem fio para
sistemas embarcados atraíram atenção significativa da comunidade de pesquisa no início
s na forma de redes de sensores . O desafio aqui é construir redes em cima de
links sem fio de baixa potência e com perdas, onde os conceitos tradicionais de roteamento, como o “salto
distância ”para um destino não são mais aplicáveis, e outras métricas de qualidade do link são mais
confiável, por exemplo, o número esperado de vezes que um pacote deve ser enviado antes de um trans-
missão é bem-sucedida. Embora a maior parte da pesquisa sobre redes de sensores sem fio tenha sido feita
www.cybok.org
em cenários abstratos, uma das primeiras aplicações de sucesso no mundo real dessas tecnologias
gies estava em grandes sistemas de controle de processo com o advento do WirelessHART, ISA e
ZigBee [ 8 , 8 ] Essas três tecnologias de comunicação foram desenvolvidas em cima de
o IEEE 8. . padrão, cuja versão original definia tamanhos de quadros tão pequenos que eles
não conseguiu transportar o cabeçalho dos pacotes IPv6. Uma vez que sistemas embarcados conectados à Internet
deverão crescer para bilhões de dispositivos nos próximos anos, fornecedores e organizações padrão
ções veem a necessidade de criar dispositivos embutidos compatíveis com IPv6. Para poder enviar IPv6
pacotes em padrões sem fio, vários esforços tentaram adaptar o IPv6 às redes incorporadas. A maioria
notavelmente a Força-Tarefa de Engenharia da Internet (IETF) lançou o esforço 6LoWPAN, originalmente
para definir um padrão para enviar pacotes IPv6 além do IEEE 8. . redes, e mais tarde para servir
como uma camada de adaptação para outras tecnologias embarcadas. Outros esforços populares da IETF incluem
o protocolo de roteamento RPL para redes de sensores IPv6 e CoAP para incorporação da camada de aplicativo
comunicações dedicadas [ 8 ] No espaço de IoT do consumidor , algumas conexões sem fio integradas populares
protocolos incluem Bluetooth, Bluetooth Low Energy (BLE), ZigBee e Z-Wave [ 86 , 8]
Controle: Finalmente, a maioria dos CPSs observa e tenta controlar variáveis no mundo físico.
Os sistemas de controle de feedback existem há mais de dois séculos, incluindo tecnologias como
o regulador de vapor, que foi introduzido em 88. A maior parte da literatura na teoria de controle em-
tenta modelar um processo físico com equações diferenciais e, em seguida, projetar um controlador
que satisfaz um conjunto de propriedades desejadas, como estabilidade e eficiência. Sistemas de controle
foram inicialmente projetados com detecção analógica e controle analógico, o que significa que a
A lógica trol foi implementada em um circuito elétrico, incluindo um painel de relés, que geralmente
controles de lógica ladder codificados . Os sistemas analógicos também permitiram a integração perfeita de
sinais de controle em um processo físico de tempo contínuo . A introdução do elétron digital
ics e o microprocessador, levou a trabalhar no controle de tempo discreto [ 88 ], como microprocessadores
e os computadores não podem controlar um sistema em tempo contínuo porque a detecção e a atuação
os sinais devem ser amostrados em intervalos de tempo discretos. Mais recentemente, o uso do computador
redes permitiram que os controladores digitais fiquem mais longe dos sensores e atuadores (por exemplo,
bombas, válvulas, etc.), e isso originou o campo dos sistemas controlados em rede [ 8 ]
Outra tentativa recente de combinar os modelos tradicionais de sistemas físicos (como diferentes
equações iniciais) e modelos computacionais (como máquinas de estado nito) são encapsulados no
campo de sistemas híbridos [ ] Os sistemas híbridos desempenharam um papel fundamental na motivação
para a criação de um programa de pesquisa CPS , pois eles eram um exemplo de como a combinação de mod-
els de computação e modelos de sistemas físicos podem gerar novas teorias que permitem
para raciocinarmos sobre as propriedades dos sistemas controlados ciberneticamente e fisicamente.
Tendo discutido essas características gerais dos CPSs, uma ressalva é que os CPSs são diversos,
e incluem veículos modernos, dispositivos médicos e sistemas industriais, todos com diferentes
padrões, requisitos, tecnologias de comunicação e restrições de tempo. Portanto, o
as características gerais que associamos aos CPSs podem não ser verdadeiras em todos os sistemas ou implementar
mentações.
Antes de discutirmos os problemas de segurança cibernética, descrevemos como os sistemas físicos operando
der sistemas de controle automático foram protegidos de acidentes e falhas naturais, e
como essas proteções contra adversários não maliciosos não são suficientes contra
atacantes (ou seja, atacantes que sabem que essas proteções estão em vigor e tentam contornar
ou abusar deles).
www.cybok.org
.. Proteções contra eventos naturais e acidentes

Falhas nos equipamentos de controle de infraestruturas físicas podem causar danos irreparáveis às
pessoas, o meio ambiente e outras infraestruturas físicas. Portanto, os engenheiros desenvolveram
optou por uma variedade de proteções contra acidentes e causas naturais, incluindo sistemas de segurança,
proteção, detecção de falhas e robustez .
Resposta de emergência da comunidade
Organizacional
Resposta
{ Resposta de emergência da planta
}
Proteção física (diques)
Resposta:
Proteção física (dispositivos de alívio) Prevenção e
Contenção
Físico
{
Automático
Ação automática: Bloqueio de segurança
Ao controle Desligamento do sistema ou emergência
Resposta
}
Alarmes críticos, supervisão do operador,
e intervenção manual
Operador
Controles básicos, alarmes de processo, Intervenção
e supervisão do operador Alarmes e
Projeto de processo
1
SP4 5
{
2
Regulatório 3
SP7
SP8 7
SP3 SP5
Ao controle SP9 8 Vapor

SP2
SP6
4
SP1
6
Figura . : Camadas de proteção para ICS de segurança crítica.
Segurança: O princípio básico recomendado pela norma geral de segurança para sistemas de controle
(IEC 6 8) é obter requisitos de uma análise de perigo e risco, incluindo a probabilidade
de uma determinada falha, e a consequência da falha, e então projetar o sistema de modo que o
os requisitos de segurança são atendidos quando todas as causas de falha são levadas em consideração. Este genérico
padrão tem servido como base para muitos outros padrões em indústrias específicas, por exemplo,
a indústria de processo (re nários, sistemas químicos, etc.) usa o padrão IEC 6 para projetar
um Sistema Instrumentado de Segurança (SIS) O objetivo de um SIS é prevenir um acidente, por exemplo,
ligar uma válvula de combustível sempre que um sensor de alta pressão dispara um alarme. Uma defesa mais geral
análise de segurança aprofundada usa camadas de proteção [ ], onde os perigos são mitigados por um
conjunto de camadas a partir de () alarmes básicos de baixa prioridade enviados para uma estação de monitoramento, para () o
ativação de sistemas SIS , para () salvaguardas de mitigação, como sistemas de proteção física
(por exemplo, diques) e () protocolos de resposta organizacional para uma resposta / evacuação de emergência da planta
uação. Figura . ilustra essas camadas de proteção de segurança.
Proteção: Um conceito relacionado à segurança é o da proteção nas redes de energia elétrica. Esses
os sistemas de proteção incluem,
• Proteção de Geradores: quando a frequência do sistema é muito baixa ou muito alta, o

gerador será automaticamente desconectado da rede elétrica para evitar
danos ao gerador.
• Redução de carga sob frequência (UFLS): se a frequência da rede elétrica for muito baixa,
a redução de carga controlada será ativada. Esta desconexão de porções do elétrico
sistema de distribuição é feito de forma controlada, evitando interrupções na segurança

www.cybok.org
cargas críticas como hospitais. UFLS é ativado em um esforço para aumentar a frequência de
rede elétrica e evitar que os geradores sejam desconectados.
• Proteção de sobrecorrente: se a corrente em uma linha for muito alta, um relé de proteção será acionado
gerou, abrindo a linha e evitando danos ao equipamento em cada lado das linhas.
• Proteção contra sobretensão / subtensão: se a tensão de um barramento for muito baixa ou muito alta, uma tensão
o relé será acionado.
Confiabilidade: Enquanto os sistemas de segurança e proteção tentam prevenir acidentes, outras abordagens
tente manter as operações mesmo após a ocorrência de falhas no sistema. Por exemplo, o
sistema elétrico é projetado e operado para satisfazer o chamado critério de segurança N, que
significa que o sistema pode perder qualquer um de seus componentes N (como um gerador, sub-
estação, ou linha de transmissão) e continuar operando com os transientes resultantes morrendo
para resultar em uma nova condição operacional de estado estacionário satisfatória, o que significa que o confiável
o fornecimento de energia elétrica continuará.
Tolerância a falhas: uma abordagem semelhante, mas baseada em dados para detectar e prevenir falhas se enquadra
o guarda-chuva da detecção de falhas, isolamento e recon guração (FDIR) [ ] Anomalias são
detectado usando um sistema de detecção baseado em modelo ou um sistema puramente baseado em dados; esta
parte do processo também é conhecida como detecção de dados inválidos . O isolamento é o processo de identificação
qual dispositivo é a fonte da anomalia, e recon guração é o processo de recuperação
da falha, geralmente removendo o sensor com defeito (se houver redundância de sensor suficiente
no sistema).
Controle robusto: finalmente, outro conceito relacionado é o controle robusto [ ] Ofertas de controle robustas
com o problema da incerteza na operação de um sistema de controle. Essas fontes de
as condições operacionais conhecidas podem vir do ambiente (por exemplo, rajadas de vento na op-
eração de aviões), ruído do sensor, dinâmica do sistema não modelado pelos engenheiros, ou
degradação dos componentes do sistema com o tempo. Sistemas de controle robustos geralmente levam o en-
velar as condições operacionais menos favoráveis e, em seguida, projetar algoritmos de controle para que
o sistema opera com segurança, mesmo na pior das hipóteses de incerteza.
Esses mecanismos não são suficientes para fornecer segurança: Antes do CPS, a segurança era a principal
campo de fluxo, havia muita confusão sobre segurança, proteção, tolerância a falhas e
controles robustos foram suficientes para proteger os CPSs de ataques cibernéticos. No entanto, como argumentado sobre um
Uma década atrás [ ], esses sistemas de proteção geralmente pressupõem que sejam independentes e não maliciosos
falhas e, na segurança, suposições de modelo incorretas são a maneira mais fácil para o anúncio
sário para contornar qualquer proteção. Desde então, houve vários exemplos que mostram por que
esses mecanismos não fornecem segurança. Por exemplo, Liu et al. [ ] mostrou como falha-
algoritmos de detecção (detecção de dados ruins) na rede elétrica podem ser contornados por um adversário
que envia dados incorretos que são consistentes com as configurações plausíveis da rede elétrica, mas em
ao mesmo tempo, está errado o suficiente dos valores reais para causar problemas ao sistema. UMA
exemplo semelhante para sistemas dinâmicos (sistemas com um componente de "tempo") considerados furtivos
ataques [ ] Estes são ataques que injetam pequenos dados falsos em sensores para que a falha
sistema de detecção não os identifica como anomalias, mas, por um longo período de tempo, estes
ataques podem conduzir o sistema a condições operacionais perigosas. Da mesma forma, o N- segurança
critério na rede de energia elétrica assume que se houver uma falha, todos os equipamentos de proteção
irá reagir conforme configurado, mas um invasor pode alterar a configuração do equipamento de proteção
na rede elétrica. Nesse caso, o resultado de uma falha de N na rede elétrica
ser completamente inesperado, pois o equipamento vai reagir de maneiras que não foram previstas pelo
operadores da rede elétrica, levando a potenciais falhas em cascata no sistema de energia em massa.
www.cybok.org
Finalmente, na seção . . ., descreveremos como os ataques do mundo real estão começando a atingir alguns
dessas proteções contra acidentes; por exemplo, o malware Triton especificamente direcionado
sistemas de segurança em um sistema de controle de processo.
Proteção vs. Segurança: A adição de novas defesas de segurança pode representar preocupações de segurança, para
exemplo, uma usina de energia foi desligada porque um computador reiniciou após um patch [ 6]
Atualizações de software e patches podem violar as certi cações de segurança e impedir a desautorização
aumento de usuários de acessar um CPS também pode impedir que os primeiros respondentes acessem o sistema
tem no caso de uma emergência (por exemplo, os paramédicos podem precisar de acesso a um dispositivo médico
que impede conexões não autorizadas). As soluções de segurança devem levar esses CPSs de segurança
em consideração ao projetar e implantar novos mecanismos de segurança.
.. Preocupações de segurança e privacidade

CPSs estão no centro de dispositivos de saúde, sistemas de energia, sistemas de armas e trans-
gerenciamento de portação. Sistemas de sistemas de controle industrial, em particular, desempenham funções vitais
ções em infraestruturas nacionais críticas, como distribuição de energia elétrica, petróleo e natural
distribuição de gás, tratamento de água e esgoto e sistemas de transporte inteligentes.
A interrupção desses CPSs pode ter um impacto significativo na saúde pública, segurança e
levar a grandes perdas econômicas.
Por exemplo, ataques à rede elétrica podem causar apagões, levando a casos interdependentes
efeitos do cading em outras infraestruturas críticas vitais, como redes de computadores, sistemas médicos
ou sistemas hídricos que criam efeitos econômicos e de segurança catastróficos em potencial em nosso
sociedade [ ] Ataques a veículos terrestres podem criar acidentes rodoviários [ 8], ataques a
Os sistemas GPS podem enganar os sistemas de navegação e fazer com que os motoristas cheguem ao destino desejado
pelo atacante [ ], e os ataques a drones de consumo podem permitir que os invasores roubem, causando acidentes
amolga ou liga secretamente câmeras e microfones para monitorar as vítimas [ ]
Supervisão/
Configuração
Controlador
Fisica
Atuadores Sensores
Processar
Figura . : Arquitetura Geral de um CPS.
Página 641
www.cybok.org
. . . Ataques contra CPSs
Em geral, um CPS tem um processo físico sob seu controle, um conjunto de sensores que relatam o
estado do processo para um controlador, que por sua vez envia sinais de controle para atuadores (por exemplo, um
válvula) para manter o sistema em um estado desejado. O controlador frequentemente se comunica com um
dispositivo de supervisão e / ou configuração (por exemplo, um sistema SCADA na rede elétrica, ou um dispositivo médico
programador de dispositivo) que pode monitorar o sistema ou alterar as configurações do controlador.
Essa arquitetura geral é ilustrada na Figura ..
Ataques em CPSs podem acontecer em qualquer ponto da arquitetura geral, conforme ilustrado na Figura
ure ., que considera oito pontos de ataque.
8
Supervisão/
Configuração
3
Controlador
4 2
5 6 1
Fisica
Atuadores Sensores
Processar
Figura . : Pontos de ataque em um CPS.
. Ataque representa um invasor que comprometeu um sensor (por exemplo, se os dados do sensor
não está autenticado ou se o invasor tiver o material chave para os sensores) e injeta
sinais falsos do sensor, fazendo com que a lógica de controle do sistema atue sobre os dados maliciosos.
Um exemplo desse tipo de ataque é considerado por Huang et al. [ ]
. Ataque representa um invasor no caminho de comunicação entre o sensor e

o controlador, que pode atrasar ou até mesmo bloquear completamente as informações do sen-
sors para o controlador, então o controlador perde a capacidade de observação do sistema (perda de visão),
fazendo com que ele opere com dados obsoletos . Exemplos desses ataques incluem negação de
ataques de serviço a sensores [ ] e ataques de dados obsoletos [ ]
. Ataque representa um invasor que comprometeu o controlador e envia

sinais de controle retos para os atuadores. Um exemplo desse ataque é o modelo de ameaça contra
considerado por McLaughlin [ ]
. Ataque representa um atacante que pode atrasar ou bloquear qualquer comando de controle, portanto
causando uma negação de controle para o sistema. Este ataque foi considerado como uma negação
de serviço para os atuadores [ ]
. Ataque representa um invasor que pode comprometer os atuadores e executar um contra

ação trol que é diferente da pretendida pelo controlador. Observe que este ataque é
diferente de um ataque que ataca diretamente o controlador, pois isso pode levar a zero dynam-
ataques ics . Esses tipos de ataques são considerados por Teixeira et al. [ ]
www.cybok.org
6. O ataque 6 representa um atacante que pode atacar fisicamente o sistema (por exemplo, fisicamente
destruindo parte da infraestrutura e combinando isso com um ataque cibernético). Esse tipo
de ataque cibernético e físico conjunto foi considerado por Amin et al. [ 6]
. Ataque representa um invasor que pode atrasar ou bloquear as comunicações de e para o

sistema de controle de supervisão ou dispositivos de configuração. Este ataque foi considerado
no contexto de sistemas SCADA [ ]
8. O ataque 8 representa um invasor que pode comprometer ou se passar pelo sistema SCADA
ou os dispositivos de configuração e enviar controle malicioso ou alterações de configuração
para o controlador. Esses tipos de ataques foram ilustrados pelos ataques ao
rede elétrica na Ucrânia, onde os invasores comprometeram os computadores na sala de controle
do sistema SCADA [ 8] e ataques em que o dispositivo de configuração de médicos
vícios foram comprometidos [ ]
Embora tradicionalmente a maioria dos ataques considerados aos CPSs tenham sido baseados em software, um
outra propriedade dos CPSs é que a integridade desses sistemas pode ser comprometida mesmo com
uma exploração baseada em computador no que tem sido referido como ataques de transdução [ ]
(esses ataques representam uma maneira física de injetar sinais falsos, conforme abordado por Ataque na Figura
ure . ) Ao direcionar a maneira como os sensores capturam dados do mundo real, o invasor pode injetar um
falsa leitura do sensor ou até mesmo uma falsa ação de atuação, pela manipulação do ambiente físico
em torno do sensor [ , ] Por exemplo, os invasores podem usar alto-falantes para afetar o
giroscópio de um drone [ ], explore antenas de recepção não intencionais nos fios que conectam
sensores para controladores [ ], use interferência eletromagnética intencional para causar um servo
(um atuador) para seguir os comandos do invasor [ ], ou injetar comandos de voz inaudíveis
para assistentes digitais [ ]
Além de problemas de segurança e relacionados à proteção , os CPSs também podem ter profundas implicações de privacidade
complicações não previstas pelos projetistas de novos sistemas. Warren e Brandeis declararam em seu
ensaio seminal 8 O direito à privacidade [ ] que viram uma ameaça crescente de invenções recentes
ções, como "fotografias instantâneas" que permitiam que as pessoas fossem fotografadas sem saber,
e novas indústrias de mídia, como jornais, que publicariam fotos sem seus
consentimento dos sujeitos. A ascensão das tecnologias CPS em geral, e IoT do consumidor em particular,
também desafiam as suposições culturais sobre privacidade.
Os dispositivos CPS podem coletar dados físicos de diversas atividades humanas, como eletricidade
soma, informações de localização, hábitos de direção e dados do biossensor em níveis sem precedentes
de granularidade. Além disso, a forma passiva de coleta deixa as pessoas geralmente inconscientes
de quanta informação sobre eles está sendo coletada. Além disso, as pessoas são amplamente
cientes de que tal coleta os expõe a possível vigilância ou alvos criminosos, como o
os dados coletados por empresas podem ser obtidos por outros atores por meio de uma variedade de
meios ilegais. Por exemplo, os fabricantes de automóveis estão coletando remotamente uma grande variedade
de dirigir dados de histórico de carros em um esforço para aumentar a confiabilidade de seus produtos. Dados
conhecidos por serem coletados por alguns fabricantes incluem velocidade, informações do hodômetro, cabine
temperatura, temperatura externa, status da bateria e faixa. Isso pinta um mapa muito detalhado
de hábitos de direção que podem ser explorados por fabricantes, varejistas, anunciantes, seguradoras de automóveis,
aplicação da lei e stalkers, para citar apenas alguns.
Tendo apresentado os riscos gerais e ataques potenciais aos CPSs , avaliamos nosso primeiro setor
descrição, descrevendo alguns dos ataques mais importantes do mundo real contra CPSs lançados por
atacantes maliciosos.
www.cybok.org
. . . Ataques do mundo real de alto perfil contra CPSs
Os sistemas de controle têm estado no centro de infraestruturas críticas, manufatura e indústria

plantas de teste por décadas e, no entanto, houve poucos casos confirmados de ataques cibernéticos
(aqui nos concentramos em ataques de adversários maliciosos, em oposição a ataques criados por re
pesquisadores para fins de ilustração).
Ataques não direcionados são incidentes causados pelos mesmos ataques que os computadores clássicos de TI
podem sofrer, como o worm Slammer, que visava indiscriminadamente o Windows
servidores, mas que inadvertidamente infectou a usina nuclear Davis-Besse [ ] afetando
a capacidade dos engenheiros de monitorar o estado do sistema. Outro ataque não direcionado ex-
amplo era um controlador sendo usado para enviar spam em uma planta de filtragem de água [ 6]
Ataques direcionados são aqueles em que os adversários sabem que estão visando um CPS, e lá-
Portanto, adapte sua estratégia de ataque com o objetivo de alavancar uma propriedade CPS específica . Nós olhamos em
em particular em ataques que tiveram um efeito no mundo físico, e não se concentre em ataques
usado para fazer o reconhecimento de CPSs (como Havex ou BlackEnergy [ ]).
O primeiro ataque relatado publicamente a um sistema SCADA foi o ataque a Maroochy

Sistema de controle de esgoto do Shire Council em Queensland, Austrália [ ], onde um empreiteiro
que queria ser contratado para um cargo permanente mantendo o sistema utilizado comercialmente
rádios disponíveis e software SCADA roubado para fazer seu laptop parecer uma estação de bombeamento
ção Durante um mês, o atacante causou mais de, galões de
água de esgoto a ser lançada em parques, rios e terrenos de hotéis, causando a perda de vida marinha,
e comprometendo a saúde pública. O incidente custou ao conselho municipal US $ 6, em reparos, moni-
tortura, limpezas e segurança extra, e a empresa contratante gastou $, devido ao
incidente [ ]
Nas duas décadas desde o ataque ao Condado de Maroochy, houve outros ataques confirmados
em CPSs [ , , , , , 6, , 8, ] No entanto, nenhum outro ataque
demonstrou as novas ameaças sofisticadas que os CPSs enfrentam, como o worm Stuxnet (descobrir
ered in) visando o programa de enriquecimento nuclear em Natanz, Irã [ 8] Stuxnet inter-
solicitações aceitas para ler, escrever e localizar blocos em um controlador lógico programável (PLC)
Ao interceptar essas solicitações, o Stuxnet foi capaz de modificar os dados enviados e retornados
de, o PLC, sem o conhecimento do operador do PLC . A variante de ataque mais popular
do Stuxnet consistia em enviar velocidades de rotação incorretas para motores que acionam centrífugas
enriquecendo o urânio, fazendo com que as centrífugas quebrassem e precisassem ser substituídas.
Como resultado, o equipamento de centrifugação teve que ser substituído regularmente, diminuindo a quantidade de
Urânio enriquecido que a fábrica de Natanz foi capaz de produzir.
Dois outros ataques con rmados de alto perfil contra CPSs foram em dezembro e 6 at-
tacadas contra a rede elétrica ucraniana [ , ] Esses ataques causaram quedas de energia e
ilustram claramente a evolução dos vetores de ataque. Enquanto os ataques alavancaram um controle remoto
programa de acesso que os atacantes tinham nos computadores dos sistemas SCADA da distribuição
empresas de energia e, como tal, um humano estava envolvido tentando enviar comandos maliciosos,
os ataques em 6 foram mais automatizados graças ao malware Industroyer [ ] que
tinha conhecimento dos protocolos de controle industrial que essas máquinas usam para se comunicar e
pode criar pacotes maliciosos automaticamente.
O exemplo mais recente na corrida armamentista de criação de malware visando sistemas de controle
Há ataques relatados anteriormente aos sistemas de controle [ 8] mas não há nenhuma informação pública corroborando
esses incidentes e a veracidade de alguns ataques anteriores foi questionada.
www.cybok.org
é o malware Triton [ ] (descoberto no Oriente Médio) que visava à segurança

sistemas em sistemas de controle industrial. Foi responsável por pelo menos um processo de fechamento
baixa. Stuxnet, Industroyer e Triton demonstram uma clara corrida armamentista em ataques de CPS.
para ser patrocinado pelo estado. Esses ataques terão um impacto profundo na forma como os conflitos cibernéticos
evoluirá no futuro e terá um papel essencial em como as guerras podem ser travadas, conforme discutimos
na última seção deste capítulo.
. SEGURANÇA DE CROSSCUTTING
[ , , 6]
A primeira etapa para proteger o CPS é identificar os riscos que esses sistemas podem ter e, em seguida,
priorize como lidar com esses riscos com uma abordagem de defesa em profundidade. Avaliação de risco
consiste em identificar ativos em um CPS [ ], compreendendo sua exposição de segurança e im-
implementar contramedidas para reduzir os riscos a níveis aceitáveis [ 8, 8, , ,
] O teste de penetração é talvez a maneira mais comum de entender o nível de risco
do sistema e pode ser usado para projetar uma estratégia de gerenciamento e correção de vulnerabilidade.
A cadeia de abastecimento também é outro fator de risco, discutido mais adiante no Gerenciamento de Risco e
Área de Conhecimento de Governança (Capítulo ) .
Uma nova área nos CPSs é identificar os atuadores ou sensores que dão ao invasor o máximo
controlabilidade do CPS se eles estiverem comprometidos [ , , , , ] e depois
priorizar a proteção desses dispositivos.
Uma vez que os riscos tenham sido identificados, uma abordagem geral de defesa em profundidade inclui a prevenção,
mecanismos de detecção e mitigação. Nesta seção, examinamos os esforços transversais de segurança
para prevenir, detectar e mitigar ataques, e a próxima seção examinará domínios específicos do CPS
como a rede elétrica e sistemas de transporte inteligentes. Esta seção é dividida em três
partes () evitando ataques (Seção . .), () detectando ataques (Seção . .), e ( )
ataques atenuantes (Seção .)
.. Prevenindo Ataques
A maneira clássica de proteger os primeiros sistemas de controle baseados em computador era tê-los
isolado da Internet e das redes corporativas dos proprietários de ativos. Como negócio
as práticas mudaram e as razões de eficiência criaram mais interconexões de sistemas de controle
com outras redes de tecnologia da informação, o conceito de isolamento de zona de sub-rede foi
adotado por várias indústrias CPS , principalmente no setor de energia nuclear. Esta rede
o isolamento é geralmente implementado com a ajuda de rewalls e diodos de dados [ 6]
Por outro lado, existem várias maneiras de quebrar a lacuna de ar, incluindo ataques internos , ou
adicionar nova conectividade à rede por meio de dispositivos móveis. Portanto, para evitar ataques em
CPSs modernos, designers e desenvolvedores devem seguir as mesmas melhores práticas de segurança que
sistemas de TI clássicos; ou seja, eles precisam seguir um ciclo de vida de desenvolvimento seguro para minimizar
vulnerabilidades de software, implementar mecanismos de controle de acesso e fornecer criptografia forte
proteções gráficas junto com um sistema de gerenciamento de chaves seguro [ ]
Embora as melhores práticas de segurança dos sistemas clássicos de TI possam fornecer os mecanismos necessários
para a segurança dos sistemas de controle, esses mecanismos por si só não são suficientes para a defesa
em profundidade de CPSs. Nesta seção, discutiremos como, ao compreender as interações de
o sistema CPS com o mundo físico, devemos ser capazes de
www.cybok.org
. compreender melhor as consequências de um ataque.
. desenvolver novos algoritmos de detecção de ataques.
. projetar novos algoritmos e arquiteturas resilientes a ataques.
No restante desta subseção, vamos nos concentrar em ilustrar os desafios para a implementação
melhores práticas clássicas de segurança de TI em CPSs, incluindo o fato de que vários CPSs são
colocados de sistemas legados, são operados por dispositivos incorporados com recursos limitados, e
enfrentam novas vulnerabilidades, como ataques analógicos.
Protegendo sistemas legados: O ciclo de vida dos dispositivos CPS pode ser uma ordem de magnitude maior
do que servidores de computação regulares, desktops ou sistemas móveis. Os consumidores esperam que seus
carros duram mais do que seus laptops, os hospitais esperam que os equipamentos médicos durem mais de uma década,
os ativos da maioria dos sistemas de controle industrial duram pelo menos anos [ 8], e a maioria de
esses dispositivos não serão substituídos até que sejam totalmente depreciados. Alguns desses dispositivos eram
projetado e implantado assumindo um ambiente confiável que não existe mais. Além disso,
mesmo se esses dispositivos foram implantados com mecanismos de segurança no momento, novas vulnerabilidades
laços eventualmente surgirão e se os dispositivos não forem mais suportados pelo fabricante,
então eles não serão corrigidos. Por exemplo, depois que a vulnerabilidade Heartbleed foi descoberta
ered, os principais fabricantes empurraram atualizações para mitigar este problema; no entanto, a maioria embed-
dispositivos que monitoram ou controlam o mundo físico não serão corrigidos (corrigindo alguns
sistemas críticos de segurança podem até violar sua certificação de segurança). Portanto, mesmo se um fornecedor usasse
OpenSSL para criar um canal de comunicação seguro entre dispositivos CPS originalmente, eles
também precisa considerar o suporte do dispositivo por um longo período.
Portanto, para evitar ataques em CPSs , temos que lidar com () projetar sistemas onde
a segurança pode ser continuamente atualizada e () adaptando as soluções de segurança para o legado existente
sistemas [ ]
Alguns dispositivos não podem ser atualizados com esses novos padrões de segurança e, portanto, uma
Uma maneira de adicionar segurança a redes legadas é adicionar um bump-in-the-wire [ ] Normalmente um
bump-in-the-wire é um dispositivo de rede usado para adicionar integridade, autenticação e con
dentialidade para pacotes de rede trocados entre dispositivos legados. O dispositivo legado, portanto
envia pacotes não criptografados e não autenticados e o dispositivo de rede os encapsulará
através de um canal seguro para outro sistema bump-in-the-wire na outra extremidade da comunicação
canal de comunicação que remove as proteções de segurança e fornece o pacote inseguro
para o destino final. Observe que um bump-in-the-wire só pode proteger o sistema contra
partes confiáveis em uma rede, mas se o ponto final estiver comprometido, um bump-in-the-wire não
seja eficaz.
Um conceito semelhante foi proposto para dispositivos sem fio, como dispositivos médicos implantáveis.
Como alguns desses dispositivos sem fio se comunicam por canais inseguros, os invasores podem
ouvir ou injetar pacotes maliciosos. Para evitar isso, um escudo sem fio [ ] pode ser usado perto
os dispositivos vulneráveis. A blindagem sem fio obstruirá qualquer tentativa de comunicação com o vulcão
dispositivos neráveis, exceto aqueles de dispositivos autorizados pelo proprietário da blindagem. Sem fio
escudos também foram propostos para outras áreas, como a proteção da privacidade dos consumidores
usando dispositivos BLE [ ] Devido à sua natureza perturbadora, não está claro se os escudos sem fio
vai encontrar aplicações práticas em aplicações de consumidor.
Segurança leve: embora vários dispositivos incorporados suportem criptografia clássica, para
alguns dispositivos o desempenho de algoritmos criptográficos em termos de consumo de energia,
ou latência, pode não ser aceitável [ ] Para criptografia simétrica, o NIST tem planos para o

www.cybok.org
padronização de um portfólio de algoritmos criptográficos leves [ ] e o atual

A competição do CAESAR por um padrão de criptografia autenticado está avaliando o desempenho
de seus envios em dispositivos com recursos limitados [ ] Para algoritmos de chave pública, Ellip-
A criptografia de curva tic geralmente oferece o melhor equilíbrio entre desempenho e garantia de segurança
antees, mas outros algoritmos leves de chave pública podem ser mais apropriados, dependendo de
os requisitos do sistema [ 6] Quando se trata de explorar a mitigação, as soluções são
menos claro. Os dispositivos mais profundamente incorporados não têm suporte para prevenção de execução de dados,
randomização de layout de espaço de endereço, canários de pilha, suporte de memória virtual ou criptografia-
geradores de números aleatórios icamente seguros. Além disso, os dispositivos system-on-chip não têm como
expandir sua memória, e os requisitos em tempo real podem representar limitações no uso de vírus
memória real. No entanto, existem alguns esforços para fornecer ao sistema operacional integrado uma melhor mitigação de exploração
Ferramentas [ ]
Microkernels seguros: Outra abordagem de segurança do sistema operacional é tentar provar formalmente a segurança
do kernel. O projeto de sistemas operacionais seguros com provas formais de segurança é um
esforço que remonta ao Livro Laranja [ ] Porque a crescente complexidade do código em
kernels monolíticos tornam difícil provar que os sistemas operacionais estão livres de vulnerabilidades,
arquiteturas de microkernel que fornecem um núcleo mínimo de funcionalidade de um sistema operacional
tem estado em ascensão. Um exemplo de tal sistema é o microkernel seL, que é
notável porque várias propriedades de segurança foram verificadas por máquina com provas formais
de segurança [ ] Programa HACMS da DARPA [ 8] usou este microkernel para construir um quad
helicóptero com fortes garantias de proteção e segurança [ 8]
Prevenção de ataques de transdução: conforme apresentado na seção anterior, ataques de transdução
representam uma das novas maneiras em que a segurança CPS é diferente da segurança de TI clássica.
Sensores são transdutores que traduzem um sinal físico em elétrico, mas estes sen-
sors às vezes têm um acoplamento entre a propriedade que desejam medir e outra
sinal analógico que pode ser manipulado pelo invasor. Por exemplo, as ondas sonoras podem
afetam os acelerômetros em dispositivos vestíveis e os fazem relatar valores de movimento incorretos
ues [ ], e as ondas de rádio podem enganar os marcapassos para desabilitar os choques de estimulação [ 6] Secu-
contra-medidas de segurança para evitar esses ataques incluem a adição de filtros melhores em sensores,
proteção aprimorada de sinais externos, detecção de anomalias e fusão de sensores [ ] Algum
propostas específicas incluem: fazer furos de forma diferente em uma placa de circuito para deslocar o ressonante
frequência fora da faixa do sensor, adicionando trincheiras físicas ao redor de placas contendo
alto-falantes para reduzir o acoplamento mecânico, usando panos de micro fibra para isolamento acústico, im-
inserir filtros passa-baixa que cortam os sinais acoplados e amplificadores seguros que impedem
corte de sinal [ , ]
.. Detectando Ataques
A detecção de ataques pode ser feita observando o estado interno de um dispositivo CPS , monitorando
a interação entre dispositivos para detectar atividades anômalas, ou mesmo usando fora de banda
canais.
Na primeira categoria, o Atestado Remoto é um campo que tem recebido atenção significativa para
detectar malware em sistemas incorporados porque eles geralmente não têm malware forte
próprias proteções [ 6 , 6 , 6 , 6] A comprovação remota depende da verificação
do estado interno atual (por exemplo, RAM) de um dispositivo não confiável por um verificador confiável. Existem
três variantes de atestado remoto: atestado baseado em software, atestado assistido por hardware
ção e atestação híbrida. O atestado baseado em software não depende de nenhuma segurança especial
hardware no dispositivo, mas tem garantias de segurança fracas e geralmente requer wireless
www.cybok.org
intervalo entre o verificador e o dispositivo que está sendo verificado. Em contraste, attes baseados em hardware
(por exemplo, atestado com o apoio de um TPM, TrustZone ou SGX) fornece mais forte
segurança, mas requer hardware seguro dedicado em dispositivos CPSs , que por sua vez aumenta
seu custo, que pode não ser acessível em alguns sistemas embarcados de baixo custo. Hybrid ap-
os proaches tentam encontrar um meio-termo, reduzindo os requisitos de hardware seguro
enquanto supera as limitações de segurança de abordagens puramente baseadas em software [ , 6]
Os requisitos mínimos de hardware seguro incluem um local seguro para armazenar a chave secreta,
e o código seguro que tem acesso exclusivo a essa chave. Um desafio para a comprovação híbrida é o
fato de que precisa ser ininterrupta e atômica (tem que ser executado do início ao
final), e o (até agora) relativamente longo (- segundos [ , 6 ]) medição segura de em-
a memória em leito pode não ser aplicável para aplicativos de tempo real essenciais para a segurança. Além disso
para o trabalho acadêmico, a indústria também está desenvolvendo padrões para aumentar a segurança de
sistemas com requisitos mínimos de silício. Por exemplo, o Trusted Computing Group
(TCG) Mecanismo de composição de identificador de dispositivo (DADOS) está trabalhando na combinação de hardware simples
capacidades para estabelecer uma identidade forte, atestar software e política de segurança e auxiliar na de-
ploying atualizações de software. Nalizamos nossa descrição de atestado, apontando que a maioria
das propostas práticas para trabalho de atestado para inicialização, mas criando tempo de execução prático
soluções de certificação continuam sendo um desafio difícil.
Detecção de invasão de rede: a segunda categoria de soluções para detecção de ataques depende
no monitoramento das interações dos dispositivos CPS . Em contraste com os sistemas clássicos de TI, onde
modelos de estado finito simples de comunicações de rede irão falhar, os CPSs exibem comparativamente
comportamento de rede mais simples: os servidores mudam com menos frequência, há uma rede mais estável
topologia, uma população de usuários menor, padrões de comunicação regulares e redes hospedam um
menor número de protocolos. Portanto, sistemas de detecção de intrusão, detecção de anomalias também
goritmos e controles de acesso de lista branca são mais fáceis de projetar e implantar do que no clássico
Sistemas de TI [ 66] Se o designer CPS puder dar uma especificação do comportamento pretendido de
a rede, então qualquer tráfego não especificado pode ser classificado como uma anomalia [ 6 ] Porque
a maioria das comunicações em redes CPS são entre máquinas (sem interação humana
prevenção), acontecem de forma automática e periódica e, dada a sua regularidade,
padrões de comunicação podem ser capturados por modelos de estado finito como Deterministic Finite Au-
tomata [ 68, 6 ] ou via cadeias de Markov em tempo discreto [ , ] Enquanto a rede especifica
cation é em geral mais fácil em ambientes CPS quando comparado a TI, ainda é notoriamente
difícil de manter.
Detecção de Ataque Baseada na Física: A principal distinção dos sistemas de controle com relação a
outros sistemas de TI é a interação do sistema de controle com o mundo físico. Em contraste
para trabalhar na detecção de intrusão CPS que se concentra no monitoramento de padrões “cibernéticos”, outra linha
de estudos de trabalho como o monitoramento dos valores do sensor (e da atuação) a partir de observações físicas,
e sinais de controle enviados para atuadores, podem ser usados para detectar ataques; esta abordagem é usual
almente chamado de detecção de ataque baseada na física [ ] Os modelos das variáveis físicas no
sistema (suas correlações no tempo e no espaço) pode ser puramente orientado por dados [ ], ou com base em
modelos físicos do sistema [ ] Existem duas classes principais de anomalias físicas:
anomalias históricas e anomalias de leis físicas .
Anomalias históricas: identifique a configuração física que não vimos antes. Um típico ex
suficiente é colocar limites no comportamento observado de uma variável [ ] Por exemplo, se durante
a fase de aprendizagem, um nível de água em um tanque está sempre entre m e m, então se a água
nível sempre vai acima ou abaixo desses valores, podemos disparar um alerta. Modelos de aprendizado de máquina
do comportamento histórico das variáveis também pode capturar correlações históricas destes
variáveis. Por exemplo, eles podem capturar o fato de que quando o tanque de um nível de água está alto,
www.cybok.org
o nível de água de um segundo tanque no processo é sempre baixo [ ] Um problema com o histórico
O problema é que eles podem gerar um grande número de alarmes falsos.
Anomalias de Direito Físico: Uma abordagem complementar às observações históricas que podem
ter menos alarmes falsos, é criar modelos da evolução física do sistema. Para
exemplo, temos um sensor que monitora a altura de uma bola quicando, então sabemos que
esta altura segue as equações diferenciais das leis da mecânica de Newton. Assim, se um
sensor relata uma trajetória que não é plausível, dadas as leis da física, podemos imediatamente
identificar que algo não está certo com o sensor (uma falha ou um ataque). Da mesma forma, o físico
propriedades dos sistemas hídricos (dinâmica dos fluidos) ou da rede elétrica (leis eletromagnéticas) podem ser
usado para criar modelos de série temporal que podemos usar para confirmar que os comandos de controle
enviadas para o campo foram executadas corretamente e que as informações provenientes dos sensores são
consistente com o comportamento esperado do sistema. Por exemplo, se abrirmos uma entrada
válvula, devemos esperar que o nível de água no tanque suba, caso contrário, podemos ter
um problema com o controle, atuador ou sensor. Modelos da evolução física do
sistema demonstrou ser melhor em limitar o impacto de curto prazo de ataques furtivos
(ou seja, ataques em que o invasor cria um sinal malicioso que está dentro da margem de erro
de nossos modelos físicos) [ ] No entanto, se o ataque persistir por muito tempo e conduzir
o sistema para uma região insegura, selecionando cuidadosamente uma trajetória fisicamente plausível, então
modelos históricos podem ajudar na detecção deste estado anteriormente invisível [ 6]
Além da física do sistema que está sendo controlado, os dispositivos (como atuadores) têm
dinâmica também, e essas propriedades físicas também podem ser usadas para monitorar a
haviour de dispositivos [ ]
Detecção fora de banda: Outra maneira de monitorar passivamente o sistema físico é por meio
canais fora de banda [ 8] Por exemplo, Distributed Intrusion De-
proteção [ ] monitora as emissões de radiofrequência de uma subestação da rede elétrica para
verifique se há comutação de disjuntor malicioso, mudanças de tap do transformador ou qualquer ação
vação de proteção de relés sem a solicitação direta enviada do servidor SCADA . O básico
ideia é correlacionar comandos de controle enviados pelo servidor SCADA , com a radiofrequência
emissões observadas na subestação. Uma desvantagem potencial dessa abordagem é que o ataque
ers podem lançar ataques de RF imitando a ativação de uma variedade de sistemas elétricos, que podem
fazer com que os analistas de segurança percam a confiança na veracidade dos alertas.
Detecção ativa: além de monitorar passivamente um CPS, um sistema de detecção de intrusão
tem pode consultar ativamente dispositivos para detectar anomalias em como os dispositivos respondem a estes
missões [ 8 ] Além de uma consulta de rede, o sistema de detecção de intrusão também pode enviar um
desafio físico para mudar o comportamento físico do sistema. Esta abordagem também é conhecida
como atestado físico [ , 8 , 8], onde um sinal de controle é usado para alterar o físico
mundo, e em resposta, espera ver as mudanças feitas no mundo físico refletidas em
os valores do sensor. Por exemplo, podemos enviar sinais para alterar a topologia de rede do
rede elétrica para ver se os sensores relatam esta mudança esperada [ 8 ], use uma mudança no campo
de visão de uma câmera para detectar câmeras de vigilância hackeadas [ 8 ], ou use uma marca d'água
sinal em um algoritmo de controle [ 8 ] O conceito de detecção ativa está relacionado à pesquisa sobre
defesa de alvo móvel aplicada a sistemas ciberfísicos [86, 8, 88, 8 ] Contudo,
tanto a detecção ativa quanto a defesa móvel do alvo podem impor perturbações desnecessárias
em um sistema por sua mudança do mundo físico para fins de segurança. Portanto, estes
as técnicas podem ser muito invasivas e caras. Consequentemente, a praticidade de alguns desses
abordagens é incerto.
www.cybok.org
.. Ataques atenuantes
A maioria dos esforços para mitigar falhas em CPSs tem se concentrado na segurança e confiabilidade (o
proteção do sistema contra falhas aleatórias e / ou independentes). Mitigação de ataque é
uma extensão das proteções de segurança e confiabilidade para quando as falhas nos sistemas não são
criado ao acaso pela natureza, mas por um adversário.
A mitigação de ataques está relacionada ao conceito de sistemas de controle resilientes , definidos como aqueles
que mantêm a consciência do estado e um nível aceito de normalidade operacional em resposta a
perturbações, incluindo ameaças de natureza inesperada e maliciosa [ ]
Existem dois tipos principais de tecnologias de mitigação: i) proativas e ii) reativas. Proativo
a mitigação considera as opções de design implantadas no CPS antes de qualquer ataque. No outro
Por outro lado, as respostas reativas só têm efeito depois que um ataque foi detectado, e eles voltam
con gure o sistema online para minimizar o impacto do ataque. Nós primeiro descrevemos
abordagens proativas.
Controle conservador: uma das primeiras ideias para mitigar o impacto dos ataques era op-
erar o sistema com margens de segurança suficientes para que se um ataque ocorresse, seria
mais difícil para o invasor alcançar uma região insegura. Uma ideia intuitiva para este tipo de controle
algoritmo é usar computação multipartidária (MPC) para projetar uma estratégia de controle que preveja
que um ataque acontecerá a partir da próxima etapa de tempo [ ] e, portanto, planeja um ótimo
controle a ação que tentará manter o sistema seguro se o ataque acontecer. Operando um
CPS conservadoramente geralmente vem com o custo de operação abaixo do ideal e custos extras quando
o sistema não está sob ataque.
Estimativa Resiliente: Algoritmos de estimativa resiliente tentam obter este estado de um sistema,
mesmo se um subconjunto de sensores estiver comprometido [ , ] A ideia básica é usar o conhecimento
borda de um CPS e as correlações de todos os valores do sensor. Com redundância suficiente no sensor
medições, um algoritmo de estimativa resiliente pode rejeitar tentativas de ataques e ainda obter
uma estimativa precisa do estado. Esta ideia é semelhante aos códigos de correção de erros nas informações do
ory, onde um subconjunto dos bits transmitidos pode ser corrompido, mas o código de correção de erro
reconstrói a mensagem original. A desvantagem, no entanto, é que nem todos os CPSs terão um
variedade de sensores correlacionados para verificar a consistência de outros, portanto, esta abordagem depende
nas propriedades do sistema.
Fusão do sensor: algoritmos de estimativa resiliente geralmente assumem uma variedade de sensores multimodais
sors para alcançar suas garantias de segurança. Esta também é a ideia por trás da fusão de sensores, onde
sensores de diferentes tipos podem ajudar a “con rmar” a medição de outros sensores [ , ,
] Um exemplo básico de fusão de sensores em sistemas automotivos é verificar se ambos
As leituras do LiDAR e as medições da câmera relatam observações consistentes.
Sensores virtuais: quando usamos sistemas de detecção de anomalias de leis físicas , temos, na verdade, um
modelo da evolução física do sistema. Portanto, uma maneira de atenuar os ataques ao
sensores de um CPS é usar um modelo físico do sistema para chegar ao sen-
valores sor que podem então ser fornecidos ao algoritmo de controle [ , 6, 6] Removendo
um valor de sensor com seu valor esperado obtido a partir do modelo do sistema, estamos efetivamente
controlar um sistema usando o controle de malha aberta, o que pode funcionar a curto prazo, mas pode ser
arriscado como uma solução de longo prazo, pois todos os modelos físicos não são perfeitos, e o erro entre
o mundo real e a simulação do modelo podem aumentar com o tempo. Outra consideração importante
eração ao projetar sensores virtuais como um mecanismo de resposta de ataque, é avaliar o
segurança do sistema sempre que o sistema for ativado devido a um falso alarme [ ]

www.cybok.org
Restringir a atuação: Um princípio semelhante de operação conservadora é fisicamente con

sobrecarregar os atuadores de um CPS para que, se o invasor tiver sucesso em obter acesso ao
sistema, ele é restrito na rapidez com que pode alterar a operação do sistema. Esta abordagem
pode garantir, por exemplo, a segurança dos sistemas de pelotão de veículos, mesmo quando o atacante
tem controle total de um dos veículos [ ]
Reinicializações inerciais: Outra ideia para mitigar ataques é reinicializar e diversificar o sistema conforme
com a maior frequência possível para que os invasores não consigam obter controle persistente do sistema
tem [ 8, ] A ideia básica é que uma reinicialização completa do software do sistema fará com que o
o sistema inicializa novamente em um estado confiável, eliminando a presença de um invasor. Isto exige
o sistema deve ter uma base de computação confiável que pode inicializar o sistema em um estado seguro
onde o malware ainda não foi carregado. No entanto, desligar um sistema que está em operação é um
ação potencialmente perigosa, e não está claro se esta proposta será prática.
Compensação de controle reativo: quando os sensores ou controladores estão sob ataque, novas ações
são gerados a fim de manter a segurança do sistema. Inspirado na literatura sobre falhas
controle tolerante , uma ideia é tentar estimar o sinal de ataque e, em seguida, gerar um
ação compensatória para eliminá-lo [ 6 ] O problema com essa abordagem é que ela não
considere adversários estratégicos; no entanto, as abordagens da teoria dos jogos podem abordar essa limitação
uma
ção Em modelos teóricos de jogo, um atacante compromete um conjunto de sinais de controle u k ∈ R ma
d
e o defensor usa os controladores restantes u k ∈ R md
para implantar uma ação de defesa. O
o jogo entre o atacante e o defensor pode ser simultâneo (soma zero ou minimax
jogos) [ 6 , 6 , 6] ou sequencial (por exemplo, jogo Stackelberg) [ 6 , 6 , 6 6] Um de
o desafio da teoria dos jogos é que, para modelar e comprovar resultados, a formulação
precisa ser simplificado e, além disso, os modelos precisam adicionar uma série de suposições extras
isso pode não funcionar na prática.
Ações de controle seguro: Outra abordagem reativa é mudar ou até mesmo prevenir um potencial
ação de controle malicioso de agir no sistema. A ideia de ter uma alta garantia
Controlador (HAC) como um backup para um controlador de alto desempenho (HPC) antecede o trabalho no CPS
segurança, e foi proposto como um mecanismo de segurança para evitar complexos e difíceis de verificar
HPCs de conduzir o sistema a estados inseguros [6 ] Um mais recente e orientado para a segurança
abordagem é usar o conceito de um monitor de referência para verificar se a ação de controle resultará
em qualquer comportamento inseguro antes de poder entrar no campo [ ] A abordagem proposta
2
depende de um controlador de controladores (C ), que medeia todos os sinais de controle enviados pelo con
2
troller ao sistema físico. Em particular, existem três propriedades principais que C tentativas
para reter:) segurança (a abordagem não deve introduzir novos comportamentos inseguros, ou seja, ao operar
ações são negados o controle 'automatizado' sobre a planta, isso não deve levar a planta a um
comportamento inseguro); ) segurança (as garantias de mediação devem ser mantidas sob todos os ataques permitidos
pelo modelo de ameaça); e) desempenho (os sistemas de controle devem cumprir os prazos em tempo real
enquanto impõe uma sobrecarga mínima).
Todas as propostas de segurança para prevenir, detectar e responder a ataques apresentadas em

esta seção é geralmente aplicável a CPSs. No entanto, existem propriedades exclusivas de cada
Aplicativo CPS que pode fazer a diferença na maneira como essas soluções são implementadas. Avançar-
mais, algumas propriedades exclusivas de um domínio CPS específico podem levar a novas soluções (como
o princípio de toque para acessar proposto para dispositivos médicos implantáveis [6 8]). Na próxima
seção, mudamos o foco das descrições gerais e abstratas do CPS para as de domínio específico
problemas e soluções.
www.cybok.org
. DOMÍNIOS CPS
[ , 6 , 6 , 6 , 6 , 6 , 6 , 6]
Tendo apresentado os princípios gerais para proteger CPSs, nesta seção, discutiremos o domínio-
problemas de segurança específicos para CPSs. Em particular, nos concentramos em sistemas de controle industrial,
redes de energia elétrica, sistemas de transporte, veículos, robôs, dispositivos médicos e
sumer IoT.
.. Sistemas de controle industrial

Os sistemas de controle industrial representam uma ampla variedade de sistemas de tecnologia da informação em rede
tems conectados ao mundo físico [ 6 6] Dependendo da aplicação, estes controlam
sistemas também são chamados de Sistemas de Controle de Processo (PCSs) na indústria química, ou Dis-
Sistemas de controle tributados (DCSs) se os dispositivos usados para supervisão e controle forem adquiridos
usando uma arquitetura monolítica.
Os sistemas de controle são geralmente compostos por um conjunto de agentes em rede, consistindo de sensores,
atuadores, unidades de processamento de controle, como controladores lógicos programáveis (PLCs), Remoto
Unidades Terminais (RTUs) e dispositivos de comunicação. Por exemplo, a indústria de petróleo e gás
usa sistemas de controle integrados para gerenciar operações de refino em sites de fábrica, monitorando remotamente
para a pressão e o fluxo de gasodutos, e controlar o fluxo e as vias de transmissão de gás
sion. As concessionárias de água podem monitorar remotamente os níveis dos poços e controlar as bombas dos poços; monitor
vazões, níveis de tanques ou pressão em tanques de armazenamento; monitorar pH, turbidez e cloro residual;
e controlar a adição de produtos químicos à água.
Figura . : Camadas inferiores de sistemas de controle industrial [6 ]
Os sistemas de controle têm uma hierarquia em camadas [ 66], que pode ser usado para segmentação de rede
e para garantir o controle de acesso. Figura . mostra uma ilustração das camadas inferiores deste
hierarquia.
As camadas superiores operam usando principalmente a tecnologia da informação tradicional: computadores, operação
sistemas de gerenciamento e software relacionado. Eles controlam o sistema de logística de negócios, que
envelhece o cronograma básico de produção da planta, uso de material, níveis de envio e estoque, e
também planta o desempenho e mantém históricos de dados para análises orientadas a dados (por exemplo,
manutenção).
A camada de controle de supervisão é onde o Controle de Supervisão e Aquisição de Dados (SCADA)

sistemas e outros servidores se comunicam com equipamentos de controle remoto como programáveis
Controladores lógicos (PLCs) e unidades terminais remotas (RTUs) A comunicação entre
www.cybok.org
servidores em uma sala de controle e esses equipamentos de controle é feito por meio de um Controle de Supervisão
Rede (SCN)
O controle regulatório é feito na camada inferior, que envolve a instrumentação no campo, como
como sensores (termômetros, tacômetros, etc.) e atuadores (bombas, válvulas, etc.). Enquanto tra-
tradicionalmente, esta interface tem sido analógica (por exemplo, - miliamperes), o número crescente de
sensores e atuadores, bem como sua inteligência e capacidades aumentadas, deram origem
para novas redes de comunicação de campo (FCNs) onde os PLCs e outros tipos de controladores
interface com caixas de entrada / saída remotas ou diretamente com sensores e atuadores usando novos
Protocolos industriais baseados em Ethernet como ENIP e PROFINET, e redes sem fio como Wire-
lessHART. Várias topologias em anel também foram propostas para evitar um único ponto de falha
para essas redes, como o uso de anel de nível de dispositivo (DLR) sobre ENIP.
Redes SCN e FCN representam Transferência Oblivious (OT) redes, e eles têm diferentes
requisitos de comunicação e diferentes protocolos de rede industrial. Embora o SCN possa tolerar
com atrasos de até a ordem de segundos, o FCN normalmente requer uma ordem de magnitude menor
atrasos de comunicação, normalmente permitindo comunicações entre dispositivos com um período de
nós.
A detecção de intrusão é um tópico de pesquisa popular para a proteção de sistemas de controle, e

clui usando monitores de segurança de rede adaptados a protocolos industriais [ 66, 68, 6,
, , 6 , 6 8] e detecção de anomalias com base na física [ , , , ,6,
6 ] A camada onde monitoramos a física do sistema pode ter um impacto significativo
sobre os tipos de ataques que podem ser detectados [ 6 ]
Em particular, o adversário pode comprometer e lançar ataques de () SCADA

servidores [ 6 ], () controladores / PLCs [ 6 ], () sensores [ ], e () atuadores [ 6], e
cada um desses ataques pode ser observado em diferentes camadas do sistema.
A maior parte do trabalho de monitoramento de segurança de rede para sistemas de controle industrial implantou
sistemas de detecção de intrusão de rede no SCN. No entanto, se um sistema de detecção de anomalias
é implantado apenas na rede de controle de supervisão, em seguida, um PLC comprometido pode enviar ma-
nipulou dados para a rede de campo, enquanto fingia relatar que tudo estava normal de volta
para a rede de controle de supervisão. No ataque Stuxnet, o invasor comprometeu um PLC
uma
(Siemens) e enviou um sinal de controle manipulado u (que era diferente do original
a = u). Após a recepção de u um
nal u, ou seja, u , os conversores de frequência aumentaram periodicamente e
diminuiu as velocidades do rotor bem acima e abaixo de seus níveis de operação pretendidos. Enquanto o
o status dos conversores de frequência y foi então retransmitido de volta para o PLC, o PLC comprometido
relatou um valor manipulado y a = y para o centro de controle (alegando que os dispositivos estavam operando
operando normalmente). Um ataque semelhante foi realizado contra o controlador da Siemens [6 ],
onde os invasores capturaram segundos de variáveis de sensor válidas no PLC, e depois reproduzido
continuamente durante o ataque, garantindo que os dados enviados através do SCN
aos monitores SCADA pareceria normal [6 ] Um estudo sistemático da detectabilidade de
vários ataques ICS (ataques de controlador, sensor ou atuador) foram dados por Giraldo et al. [6 ],
e a recomendação final é implantar monitores de sistema na rede de campo, bem como
na rede de supervisão e em diferentes loops do sistema de controle.
Além da detecção de ataques, evitar que o sistema atinja estados inseguros também é
uma área ativa de pesquisa [ , 6 , 6 6 , 6 , 6 8] A ideia básica é identificar que
uma ação de controle pode causar um problema no sistema e, portanto, um monitor de referência
evitar que este sinal de controle alcance o sistema físico. Outras áreas de pesquisa incluem
a adaptação da segurança em sistemas legados [ , 6] e malware em controle industrial
www.cybok.org
dispositivos [ 6 , 6] Uma pesquisa concisa de pesquisa em segurança ICS foi fornecida por Kroto l e
Gollmann [ 6 ], e as análises das práticas de ponta no campo da segurança ICS incluem
o trabalho de Knowles et al. e Cherdantseva et al. [ , 6]
Um problema para estudar sistemas de controle industrial é a diversidade de plataformas, incluindo o

diversidade de dispositivos (diferentes fabricantes com diferentes tecnologias) e aplicações
(água, sistemas químicos, óleo e gás, etc.). Portanto, um dos grandes desafios neste espaço
é a reprodutibilidade dos resultados e a generalidade dos bancos de teste de controle industrial [ 6 ]
.. Redes de energia elétrica

Na virada do século, a Academia Nacional de Engenharia dos Estados Unidos selecionou os melhores engenheiros
novas conquistas do século XX (as conquistas que mais aprimoraram as pessoas
qualidade de vida) e no topo desta lista, estava a rede elétrica [ 6 ] Em aproximadamente
anos desde o seu início, as redes elétricas ampliaram as linhas de transmissão para bilhões
pessoas ao redor do mundo, levando luz, refrigeração e muitos outros serviços básicos para as pessoas
ple em todo o mundo.
A rede elétrica tem três partes principais: () geração, () transmissão e () distribuição.

A energia elétrica é gerada onde for conveniente e econômica e, em seguida, é transmitida
em altas tensões (kV- kV), a fim de minimizar as perdas de energia - a energia elétrica é
igual a tensão vezes a corrente elétrica (P = VI), (e dada uma potência constante, alta tensão
linhas têm menos corrente elétrica) e, portanto, há menos energia perdida na forma de calor quanto a corrente
se move através das linhas de transmissão. Geograficamente, um sistema de distribuição está localizado em um
região menor, portanto, as perdas de energia são menos preocupantes, enquanto a segurança (prevenção de acidentes,
res, eletrocussões, etc.) é mais importante, pois eles são operados em tensões mais baixas.
O sistema de transmissão é uma rede redundante interconectada que abrange grandes regiões
(geralmente um país). Grandes usinas de geração e a rede de transmissão (as duas primeiras
partes da rede elétrica) são geralmente chamados de Sistema de Energia em Massa , e esta energia em massa
O sistema é responsável pelo fornecimento confiável de eletricidade a grandes áreas. Uma interrupção em
a rede elétrica em massa pode causar um apagão em nível de país que exigiria vários dias de
um período de blackstart para reiniciar o sistema. Em contraste, os sistemas de distribuição (a terceira parte do
da rede) são muito menores, suas redes são radiais (não redundantes), e uma falha em seus
O sistema geralmente causa apenas uma interrupção localizada (por exemplo, um apagão em uma vizinhança). Isso é
a razão pela qual a maioria dos esforços do governo e da indústria priorizou a criação de padrões
para segurança no sistema de energia em massa [ 6 ]
Uma das linhas de trabalho mais populares relacionadas à segurança de sistemas de potência é o estudo
de ataques de injeção de dados falsos, a fim de fazer com que os algoritmos na rede elétrica funcionem mal
ter. O mais popular desse tipo de ataque são os ataques de injeção de dados falsos contra
estimativa de estado. Na rede elétrica, os operadores precisam estimar os ângulos de fase x k do
potência medida ow y k na rede de transmissão. Conforme mencionado na seção sobre CPS
segurança, algoritmos de detecção de dados ruins foram feitos para detectar falhas de sensor aleatórias, não estratégias
ataques gic, e como Liu et al. [ , 6 6] mostrado, é possível que um invasor crie
sinais do sensor que não irão disparar um alarme (validação experimental no software usado pelo
setor de energia foi posteriormente con rmado [ 6 ]). Tem havido uma quantidade significativa de seguidores
pesquisa com foco na injeção de dados falsos para estimativa de estado na rede elétrica, incluindo
o trabalho de Dán e Sandberg [ 6 8], que estudam o problema de identificar o melhor k
sensores para proteger a fim de minimizar o impacto dos ataques, e Kosut et al. [6 ], quem
considere os invasores tentando minimizar o erro introduzido na estimativa, e os defensores com
www.cybok.org
um novo algoritmo de detecção que tenta detectar ataques de injeção de dados falsos. Trabalho posterior
inclui [ , 8 , 6 , 6 , 6]
. . . Tabelas inteligentes
Embora a arquitetura da rede elétrica atual tenha servido bem por muitos anos, há um crescimento
necessidade de modernizar as redes elétricas do mundo para atender aos novos requisitos e ad-
vantagem das novas tecnologias. Essa modernização inclui a integração de fontes renováveis
fontes de energia, a implantação de medidores inteligentes, a troca de eletricidade entre
somadores e a grade, etc. Figura .6 ilustra alguns desses conceitos. A justificativa para
modernizar a rede elétrica inclui os seguintes motivos:
Bulk Generation Transmissão Distribuição

Renovável
Energia
Integração
Renovável
Ampla área
Monitoramento
Não Inteligente
Renovável Fasor Relés
Medição
Grande Capacidade
Unidade
Baterias
Clientes
Renovável
Medidor inteligente
Energia
Energia
Baterias
Gestão
Fluxo de eletricidade unilateral
Medidor inteligente Sistemas
Fluxo de eletricidade bidirecional
Inteligente
Eletrodomésticos
Veículos Plug-in
Figura .6: Modernização da rede elétrica [ 6 ]
Eficiência: Um dos principais impulsionadores dos programas de smart grid é a necessidade de fazer mais
uso eficiente do ativo circulante. O pico de demanda por eletricidade está crescendo a cada ano e
então as empresas de serviços públicos precisam gastar mais dinheiro a cada ano em novas usinas de energia e seus
infraestruturas associadas. No entanto, a demanda de pico é necessária apenas 6% do tempo e
portanto, o equipamento necessário para atender a essa demanda de pico permanecerá ocioso pelo resto do
Tempo.
Um dos objetivos da rede inteligente é mudar a rede de acompanhamento de carga para modelagem de carga
dando incentivos aos consumidores para reduzir o consumo de eletricidade nos horários de pico
exigem. Reduzir a demanda de pico - além de aumentar a estabilidade da rede - pode permitir
concessionárias para adiar ou evitar a construção de novas usinas. O controle ou incentivo
as ações usadas para moldar a carga geralmente são chamadas de Resposta à Demanda .
www.cybok.org
A eficiência também trata da integração das fontes de geração novas e renováveis, como
como energia eólica e solar com o objetivo de reduzir a pegada de carbono.
Confiabilidade: O segundo objetivo principal da modernização da rede elétrica é a confiabilidade, especialmente em
a camada de distribuição (a camada de transmissão é mais confiável). Ao implantar novos sensores e
atuadores em toda a rede elétrica, os operadores podem receber dados precisos em tempo real sobre
o status da rede elétrica, que permite melhor consciência situacional, detecção mais rápida de
falhas (ou ataques) e melhor controle do sistema, resultando em menos interrupções. Por exemplo,
a implantação de medidores inteligentes está permitindo que as concessionárias de distribuição identifiquem automaticamente o
local e fonte de uma interrupção.
Escolha do consumidor: O terceiro objetivo é resolver a falta de transparência do poder atual
rede fornece aos consumidores. Atualmente, a maioria dos consumidores recebe apenas atualizações mensais sobre
seu uso de energia. Em geral, os consumidores não sabem seu consumo de eletricidade e
preços que estão pagando em horários diferentes do dia. Eles também não são informados sobre
outro aspecto importante de seu consumo, como a proporção de eletricidade que foi
gerado por meio de recursos renováveis. Essas informações podem ser usadas para moldar o uso
padrão (ou seja, a carga). Um dos objetivos da rede inteligente é oferecer aos consumidores dados em tempo real
e análises sobre seu uso de energia. Aparelhos inteligentes e sistemas de gerenciamento de energia irão
automatizar residências e empresas de acordo com as preferências do consumidor, como redução de custos
ou certificando-se de que mais energia renovável seja consumida.
Para atingir esses objetivos, as principais iniciativas associadas à rede inteligente são os anúncios
infraestrutura avançada de medição, resposta à demanda, automação de transmissão e distribuição,
recursos energéticos distribuídos e integração de veículos elétricos.
Embora a modernização da rede elétrica traga muitas vantagens, também pode criar uma nova ameaça
vetores. Por exemplo, ao aumentar a quantidade de informações do consumidor coletadas, novos
formas de ataque se tornarão possíveis [ 6 ] As tecnologias de smart grid podem ser usadas para inferir
a localização e o comportamento dos usuários, incluindo se eles estão em casa, a quantidade de energia que
eles consomem e o tipo de dispositivos que possuem [ 6 , 6 6]).
Além de novas ameaças à privacidade, outro novo ataque potencial foi referido como load-
alterando o ataque . Ataques de alteração de carga foram previamente estudados em sistemas de demanda-resposta
tems [ 6 , 6 , 8 , 6 , 6 , 6 , 6] Os programas de resposta à demanda fornecem um novo mecanismo
nismo para controlar a demanda de eletricidade para melhorar a estabilidade da rede elétrica e eficiência energética -
ciência. Em sua forma básica, os programas de resposta à demanda fornecem incentivos (por exemplo, via dinâmica
preços) para os consumidores reduzirem o consumo de eletricidade durante as horas de ponta. Atualmente, estes
programas são usados principalmente por grandes consumidores comerciais e agências governamentais gerenciam
em grandes campi e edifícios, e sua operação é baseada em sinais de incentivo informais
por meio de chamadas telefônicas pela concessionária ou pelo provedor de resposta à demanda (por exemplo, uma empresa como
Enel X) pedindo ao consumidor que reduza seu consumo de energia durante os horários de pico. Como
esses programas se tornam mais difundidos (visando consumidores residenciais) e automatizados
(dando aos serviços públicos ou empresas de resposta à demanda a capacidade de controlar diretamente a carga de seus
clientes remotamente) a superfície de ataque para ataques de alteração de carga aumentará. Os ataques
propostas consideram que o adversário obteve acesso ao controle remoto da empresa
carrega e pode alterar uma grande quantidade de carga para afetar o sistema de energia e causar
ineficiências para o sistema, lucros econômicos para o invasor ou causa potencialmente suficiente
carga muda para alterar a frequência da rede elétrica e causar apagões em grande escala.
Os sistemas de demanda-resposta podem ser generalizados por mercados de energia transativos, onde pro-
consumidores (consumidores com capacidade de geração e armazenamento de energia) podem negociar energia com
uns aos outros, trazendo seus próprios desafios de privacidade e segurança [ 6 ]
www.cybok.org
Mais recentemente Soltan et al. [6 ] estudou o mesmo tipo de ataques de alteração de carga, mas quando o
invasor cria um botnet em grande escala com centenas de milhares de dispositivos IoT de alta energia
(como aquecedores de água e condicionadores de ar). Com um botnet tão grande, o invasor pode causar
(i) instabilidades de frequência, (ii) falhas de linha e (iii) aumento dos custos operacionais. Um trabalho de acompanhamento
por Huang et al. [6 ] mostrou que a criação de um blecaute do sistema - o que exigiria um blackout
período inicial de vários dias para reiniciar a rede - ou até mesmo um apagão de uma grande porcentagem do
A rede de energia em massa pode ser muito difícil em parte porque a rede de energia tem várias proteções
para carregar alterações, incluindo rejeição de carga de subfrequência.
.. Sistemas de transporte e veículos autônomos

As aplicações veiculares modernas aproveitam os recursos onipresentes de detecção e atuação para
provar as operações de transporte [ 6 6] graças a tecnologias como telefones inteligentes [ 6],
sensoriamento participativo [ 6 8], e redes de comunicação sem fio [ 6] Função moderna-
alidades incluem controle de fluxo de tráfego com medição de rampa em rampas de acesso e sinalização
planos de transferência em cruzamentos sinalizados para reduzir o congestionamento; Gestão de demanda que fo-
incentivos à redução do excesso de tráfego nos horários de pico; Gestão de incidentes que visa
recursos para aliviar os pontos críticos de incidentes; e informações do viajante que são usadas para reduzir
o tempo de reserva do viajante, ou seja, o tempo extra que os viajantes devem contabilizar ao planejar viagens.
Embora esta coleção em grande escala de dados de sensores possa permitir várias vantagens sociais,
também levanta questões de privacidade significativas. Para lidar com essas preocupações emergentes de privacidade de
dados do sensor, muitas técnicas foram propostas, incluindo privacidade diferencial [ 6]
Embora a privacidade seja uma preocupação importante para esses sistemas, infelizmente não é a única
1. Vulnerabilidades generalizadas, como as dos sensores de tráfego [ , 66 , 66] posso
ser prontamente explorado [ 66 , 66 , 66 , 66] Por exemplo, Wang et al. [ 66] mostrou que
invasores podem injetar dados falsos em serviços de crowdsourcing para causar congestionamento de tráfego falso
alarmes e falsos acidentes, acionando os serviços para redirecionar automaticamente o tráfego.
Problemas semelhantes podem ser encontrados em voos comerciais. Não são apenas os aviões sendo mod-
ernizado ao introduzir potencialmente novos vetores de ataque ao tentar atacar o sistema aviônico
tems através da rede de entretenimento [ 666], mas os sistemas de tráfego aéreo também podem ser vulneráveis
capaz de ataques. Uma nova tecnologia que complementa (ou potencialmente substitui) os sistemas de radar
é a Transmissão de Vigilância Dependente Automática (ADS-B) sistema. ADS-B consiste em ar-
aviões que compartilham suas coordenadas de GPS entre si e com sistemas de controle de tráfego aéreo, mas
esses sistemas atualmente não são autenticados e criptografados, apresentando segurança e privacidade
problemas [ 66 ]
. . . Veículos terrestres, aéreos e marítimos
Problemas de software nos sensores de veículos podem causar falhas notórias, como o Ariane
acidente de foguete [ 668], que foi causado por software no sistema de navegação inercial desligado
para baixo, fazendo com que sinais incorretos sejam enviados aos motores. Com avanços na fabricação
e sensores modernos, estamos começando a ver a proliferação de veículos não tripulados (UVs) dentro
mercado consumidor, bem como em outras indústrias. Dispositivos que estavam disponíveis apenas para
agências governamentais diversificaram suas aplicações, desde a gestão agrícola
ment para mapeamento aéreo e transporte de carga [ 66 ] De todos os UVs disponíveis no
mercado comercial (veículos aéreos, terrestres e marítimos), veículos aéreos não tripulados parecem ser
o tipo mais popular com um projetado. mercado global de bilhões de dólares em [6 ]
A expansão de veículos aéreos não tripulados aumentou as preocupações com segurança e privacidade. Dentro

www.cybok.org
geral, há uma falta de padrões de segurança para drones e foi demonstrado que eles são
vulnerável a ataques que visam os elementos cibernéticos e / ou físicos [ 6 , 6] A partir de
do ponto de vista da privacidade, os drones podem permitir que os usuários espionem os vizinhos [ 6 , 6], e habilitar
paternidade literal de helicóptero [ 6 ]
Ataques que acessam remotamente o drone de outra pessoa (por exemplo, um vizinho) para tirar fotos ou vídeos,
roubar drones sem fio (por exemplo, um invasor em um veículo pode assumir o controle de um drone e solicitar que ele
seguir o veículo) e derrubar um drone operado por outra pessoa (o que pode levar a
acusações como manuseio incorreto de um drone em público, o que por sua vez resultou em perigo imprudente -
convicções de mentira) [ ]
Os UVs têm vários sensores que os ajudam a avaliar seus ambientes físicos, como ac-
celerômetros, giroscópios, barômetros, GPS e câmeras. Embora confie nos dados do sensor com-
qualquer forma de validação provou ser uma troca eficaz, a fim de manter a eficácia
demandas de ciência de sistemas em tempo real, não é uma prática sustentável à medida que os UVs se tornam mais
penetrante. Ataques de transdução em sensores mostraram que acelerômetros, giroscópios,
e até mesmo câmeras usadas por drones para estabilização podem ser facilmente atacadas, fazendo com que o drone
funcionar mal, falhar ou mesmo ser assumido pelo invasor [ , , 6]
Mesmo em muitos navios de guerra operacionais, o monitoramento remoto de equipamentos agora é feito com uma
LAN com fio por sistemas como o Sistema Integrado de Avaliação de Condições (ICAS) [ 6 6]
ICAS são geralmente instalados com conexões para controladores lógicos programáveis externos
(PLCs), que são usados no Controle de Supervisão e Aquisição de Dados (SCADA) sistemas para di-
retire o movimento do equipamento de controle que realiza a manipulação real do de-
vícios no navio, como dispositivos de propulsão e direção (leme) [ 6 6 , 6] Portanto, o
a operação segura de navios está altamente relacionada à segurança dos sistemas de controle industrial.
Para veículos terrestres, uma das áreas de interesse é a segurança da Rede de Área do Controlador
(POSSO) O sistema CAN é um barramento de transmissão serial projetado pela Bosch em 8 para permitir o
comunicação de unidades de controle elétrico (ECUs) em carros. Exemplos de ECUs incluem freio
sistemas, o módulo de cronometragem central, unidades de controle telemático, controle de engrenagem e controle do motor.
O protocolo CAN , no entanto, não possui nenhum mecanismo de segurança e, portanto, um atacante
quem pode entrar no barramento CAN em um veículo (por exemplo, por meio de um exploit local ou remoto) pode falsificar
qualquer ECU para ignorar a entrada dos motoristas e desabilitar os freios ou desligar o motor [6 8]
Portanto, a pesquisa considerou maneiras de retro t mecanismos de segurança leves para CAN
sistemas [ 6 ], ou como detectar mensagens CAN falsificadas com base nos caracteres da camada física
características do sinal [ 68 ] (perfis de nível de tensão, tempo, frequência de mensagens, etc.).
No entanto, a segurança de alguns desses sistemas permanece em questão [ 68 ]
Os veículos autônomos também enfrentarão novas ameaças, por exemplo, um veículo malicioso em um
um pelotão automatizado pode fazer com que o pelotão se comporte de forma errática, potencialmente causando acidentes
dentes [ 68 ] Finalmente, novas funcionalidades, como um interruptor de eliminação remoto, podem ser abusadas por invasores,
por exemplo, um invasor desativou remotamente centenas de veículos em Austin, Texas, deixando
seus proprietários sem transporte [ 68 ]
www.cybok.org
.. Robótica e Manufatura Avançada

A segurança na fabricação tem sido por muitos anos uma parte da segurança da infraestrutura crítica, mas,
conforme o processo de fabricação se tornou mais sofisticado, as ameaças aumentaram. Wells
et al. [6 ] dão uma visão de alto nível sobre as preocupações desta indústria. Eles também mencionam que
técnicas de controle de qualidade tradicionalmente usadas na indústria de manufatura podem ser aproveitadas
para detectar ataques.
Os ataques podem ter como alvo a integridade estrutural (escala, indentação ou vértice) ou integridade do material
(resistência, rugosidade ou cor) dos produtos manufaturados [ 68 ] Testes físicos, por ex-
testes amplos e não destrutivos, como inspeção visual, medida de peso, medida de dimensão,
Varredura a laser D, interferometria, raio-X, TC e testes mecânicos destrutivos como o emprego
as propriedades de tração e rendimento do material podem nos ajudar na detecção de ataques.
Os sistemas robóticos em linhas de montagem automatizadas também podem ser usados para criar peças danificadas ou
causar problemas de segurança [ 68 ] Acidentes de segurança com robôs datam de, quando um trabalhador
na Ford Motor Company foi morto por um robô. Conforme apontado por PW Singer, o trabalhador da Ford
pode ter sido o primeiro, mas ele estaria longe de ser o último, já que robôs mataram vários outros
pessoas [ 686] Além da fabricação, as armas robóticas também apresentam desafios significativos. Para
exemplo, em uma falha de software em um sistema antiaéreo com dois canhões começou
anel centenas de tiros altamente explosivos e, quando eles foram esvaziados, nove soldados
estavam mortos e quatorze gravemente feridos [ 686] Discutiremos mais tarde neste documento como
novos avanços nas CPSs podem mudar a maneira como as nações travam guerras futuras.
.. Dispositivos médicos
Devido aos seus riscos de segurança e privacidade, os dispositivos médicos incorporados são outro domínio do CPS
que tem recebido atenção significativa na literatura.
Embora não seja um ataque, o erro de software do Therac- é um dos mais conhecidos classi-
exemplos de como os problemas de software podem prejudicar e até matar pessoas. O Therac- era
uma máquina de terapia de radiação controlada por computador que deu overdoses massivas de radiação para
pacientes resultando em mortes e ferimentos [ 68 ] Nossa preocupação aqui é se esses problemas não são
acidental, mas malicioso?
Dispositivos Médicos Implantáveis Modernos (IMDs) incluem marcapassos, descongeladores, neurostimu-

latores e sistemas de distribuição de drogas. Esses dispositivos geralmente podem ser consultados e reprogramados
por um médico, mas isso também abre esses dispositivos para ameaças de segurança e privacidade, em particular
quando um invasor pode personificar o dispositivo usado pelo médico para modificar as configurações de
IMDs.
Rushanan et al. [6 ] e Camara et al. [ 688] descrevem os tipos de adversários que medi-
dispositivos de calibração estarão sujeitos, incluindo a capacidade de espionar todos os canais de comunicação
(passivo) ou ler, modificar e injetar dados (ativo). A fim de mitigar possíveis ataques no
interface de telemetria, eles propõem autenticação (por exemplo, biométrica, limite de distância, fora de
canais de banda, etc.), e o uso de um dispositivo vestível externo que permite ou nega ac-
cesso ao dispositivo médico dependendo se este dispositivo extra vestível está presente. Dentro
além da prevenção, eles também discutem a detecção de ataques, observando padrões para distinguir
entre o comportamento seguro e o inseguro.
Em particular, uma nova proposta para estudar a autenticação adequada do programador com o IMD
é o princípio de toque para acessar [6 8 , 68] A ideia básica é que o paciente tenha uma biometria
sinal (como o tempo entre os batimentos cardíacos) que só deve estar disponível para outros dispositivos
www.cybok.org
em contato direto com o paciente. Esta informação “secreta” é então usada pelo programador
e o IMD como uma senha difusa para inicializar sua associação de segurança.
Um desafio importante é ter certeza de que o sinal biométrico usado para dar acesso via toque
de acesso , não é observável remotamente. No entanto, os batimentos cardíacos podem ser inferidos com informações laterais
mação incluindo uma webcam [ 6 ], e um laser infravermelho [ 6]
A segurança vai além dos dispositivos implantáveis. Como infra-estrutura de software e computador de saúde
tura introduzir novas tecnologias, a indústria precisará aumentar seus esforços de segurança. Médico
dados são um alvo principal para roubo e violações de privacidade e ataques de negação de serviço na forma
de ransomware [ 6 ]
. .6 A Internet das Coisas

Internet das coisas do consumidor (IoT) dispositivos são encontrados em todos os lugares: em nossas casas como voz-
dispositivos assistentes, dispositivos inteligentes de automação residencial, aparelhos inteligentes e sistemas de vigilância
tems; na área da saúde como tecnologia vestível, incluindo dispositivos tness e monitoramento de saúde
dispositivos; na educação, incluindo brinquedos educativos para crianças ligados à Internet; e para entrar
entretenimento, incluindo dispositivos Wi-Fi controlados remotamente.
À medida que nossas vidas se tornam mais dependentes desses sistemas, sua segurança tornou-se um importante
preocupação crescente e crescente. A segurança desses dispositivos depende da integridade do software
e rmware que executam e os mecanismos de segurança que implementam.
Novos vetores de ataque tornam os dispositivos IoT atraentes para os criminosos, como agentes mal-intencionados usando
Dispositivos IoT para orquestrar negação de serviço distribuída maciça (DDoS) ataques (o Mirai
botnet) [68 , 6], invasores que comprometeram um tanque sh para penetrar na rede interna
de um cassino [ 6 ], ou invasores exigindo ransomware de um hotel para permitir que seus
convidados entram em seus quartos [ ]
Um grande número de dispositivos IoT incluídos em grandes botnets IoT [68 , 6] incluem Internet-
câmeras conectadas. Câmeras conectadas à Internet deram origem a vários relatos de
acesso autorizado por invasores [ 6 ], e feeds de vídeo de várias câmeras estão disponíveis abertamente
capaz on-line e detectável por meio de plataformas de indexação da web IoT , como Shodan [6 6], poten-
comprometendo parcialmente a privacidade dos consumidores que não verificam a configuração padrão
mecanismos. As ameaças à IoT vão além do medo da privacidade e de ataques DDoS . Vulnerabilidades em
produtos IoT de consumo , incluindo drones, câmeras IoT , brinquedos inteligentes para crianças e objetos íntimos
dispositivos podem levar não apenas a invasões de privacidade, mas também a danos físicos (drones sendo
usado para prejudicar pessoas), abuso e assédio [ 6 ] Compreendendo as consequências de
esses novos tipos de abusos físicos e mentais exigirão o envolvimento de pessoas mais sociais
cientistas e estudiosos do direito para nos ajudar a definir uma estrutura sobre como raciocinar sobre eles.
Uma área que tem atraído atenção significativa da comunidade de pesquisa é a segurança
de assistentes digitais ativados por voz. Por exemplo, os pesquisadores alavancaram o microfone não
linearidades para injetar comandos de voz inaudíveis para assistentes digitais [ ] Outro trabalho recente
inclui o uso de novos ataques como "agachamento de voz" ou "disfarce de voz" para assumir
aplicativos controlados por voz [ 6 8] Por exemplo, o consumidor pode querer abrir o aplicativo
cação “Capital One”, mas um invasor pode disponibilizar um aplicativo chamado “Capital Won”
e o assistente pessoal controlado por voz pode abrir a segunda funcionalidade. Na “voz
mascarando ”ataque, um aplicativo invasor pode permanecer no controle do sistema e pré-
tendem a seguir os comandos do consumidor para abrir outras funcionalidades, embora na realidade
está personificando as funcionalidades desejadas.
www.cybok.org
Várias das soluções de segurança para IoT de consumidor propuseram a ideia de ter um centro
hub seguro IoT tralizado que medeia as comunicações entre dispositivos IoT em uma casa,
e a Internet [ 6 ] Um dos problemas de depender de um dispositivo externo para mediar a IoT
comunicações é que as conexões entre o dispositivo IoT e os servidores em nuvem podem ser
criptografado e, portanto, este hub precisará tomar decisões de segurança com tráfego criptografado
c[ ] Por outro lado, as comunicações criptografadas de ponta a ponta também podem evitar con
consumidores auditem seus dispositivos IoT para garantir que não estão violando suas expectativas de privacidade
tações. Uma opção para resolver este problema é pedir ao fornecedor do dispositivo IoT para divulgar
sua chave (e girar sua chave) para um terceiro confiável (chamado de "auditor") que pode descriptografar e
mostrar os resultados aos proprietários dos dados [ ]
Em suma, a proliferação de dispositivos IoT vulneráveis está aumentando a segurança e a privacidade

preocupações, ao mesmo tempo que torna os dispositivos IoT atraentes para os invasores. Inseguranças nestes dispositivos
variam de implementações inseguras por design (por exemplo, dispositivos que têm backdoors para problemas
bleshooting) à sua incapacidade de aplicar atualizações de software para patch rmware vulnerável. Um
dos maiores problemas para melhorar a segurança da IoT e CPSs é que as forças de mercado
não incentivar os fornecedores a competir por melhor segurança. Na próxima seção, discutiremos o
causas desta falta de segurança e algumas soluções potenciais.
. POLÍTICA E ASPECTOS POLÍTICOS DA SEGURANÇA CPS

[ 686 , , ]
Nesta seção final do artigo, resumimos alguns dos esforços liderados pela indústria e pelo governo
fortes para tentar melhorar a segurança dos CPSse como aproveitar o novo campo de segurança CPS
para ataques e guerras.
.. Incentivos e regulamentação
A maioria das indústrias no domínio CPS raramente viu ataques sabotando seus processos físicos.
cesso, em parte porque os ataques CPS são difíceis de monetizar pelos criminosos. Além de ser
raros, os ataques aos CPSs não são relatados abertamente, e essa falta de dados atuariais leva a um baixo
estimativas de risco de qualidade; como o Departamento de Energia dos EUA (Corça) declarado em seu fornecimento de energia
Roteiro de segurança cibernética de sistemas [ ]: “Fazendo um forte caso de negócios para a segurança cibernética
os investimentos são complicados pela dificuldade de quantificar o risco em um ambiente de () rapidamente
mudando, () ameaças imprevisíveis, () com consequências que são difíceis de demonstrar. ”
Em resumo, os incentivos de mercado por si só são insuficientes para melhorar a postura de segurança dos CPSs ,
e, como resultado, nossas infraestruturas CPS permanecem bastante vulneráveis a ataques de computador e
com práticas de segurança que estão décadas atrás das práticas recomendadas de segurança atuais usadas em
domínios de TI corporativos. Esta falha do mercado para melhorar a segurança dos CPSs resultou em
vários pedidos de intervenção governamental [ , 6, ]
Regulamento: A obrigatoriedade de padrões de segurança cibernética que as indústrias de CPS devem seguir é um
possível intervenção governamental, e há algum precedente para essa ideia. Antes ,
a North American Electric Reliability Corporation (NERC) padrões meramente sugeridos para
os operadores de sistemas de energia nos EUA, mas após o apagão de agosto, regulamentações que
eram opcionais agora são obrigatórios [ 6 ] No entanto, as indústrias de CPS recuaram
contra a regulamentação, argumentando que as regulamentações (por exemplo, obrigando a conformidade com a segurança específica
padrões) irão sufocar a inovação, e que mais regulamentação tende a criar uma cultura de conformidade
segurança em vez de uma cultura de segurança .

www.cybok.org
Alguns estados dos Estados Unidos estão começando a controlar a regulamentação; por exemplo, recentemente
proposto pelo Senado da Califórnia Bill SB - tornará a Califórnia o primeiro estado dos EUA com um
Lei de segurança cibernética IoT - começando em, qualquer fabricante de um dispositivo que se conecta “diretamente
ou indiretamente "para a Internet deve equipá-la com recursos de segurança" razoáveis ", projetados para
impedir o acesso não autorizado, modificação ou divulgação de informações.
A Agência da União Europeia para a cibersegurança propôs a Rede e Informação da UE Se-

diretiva curity [ 8] como a primeira parte da legislação de cibersegurança em toda a UE, em que os operadores
de serviços essenciais, como os descritos neste KA, devem estar em conformidade com esses novos conjuntos
de padrões.
Outra alternativa para impor a regulamentação de forma ampla é usar o "poder do governo de
bolsa ”, exigindo padrões de segurança cibernética apenas para empresas que desejam fazer negócios
com o governo. O objetivo seria que, uma vez que as melhores práticas de segurança fossem desenvolvidas
para atender aos padrões de trabalho com o governo, eles se espalharão para outros mercados
e produtos. Essa abordagem é um equilíbrio razoável entre incentivos e regulamentação. Apenas
Os fornecedores de CPS e IoT que trabalham com o governo federal terão que seguir segurança específica
padrões, mas uma vez que eles são implementados, os mesmos padrões de segurança irão beneficiar outros
mercados onde reutilizam as tecnologias.
Uma das exceções notáveis à falta de regulamentação é a indústria de energia nuclear. Porque
da natureza altamente crítica de segurança desta indústria, a energia nuclear é altamente regulamentada em geral,
e em padrões de segurança cibernética em particular, com processos como o Office for Nuclear
Regulamento (ONR) Princípios de avaliação de segurança no Reino Unido [ ]
Incentivos: uma forma complementar de estimular as empresas a melhorar suas pos- segurança cibernética
ture é que os governos fomentem um mercado de ciber-seguro para proteção CPS . Então, ao invés
de pedir às empresas que sigam padrões específicos, os governos exigiriam que as empresas tivessem
ciberseguro para suas operações [ , , , ] Existe uma visão popular de que
Em certas condições, a indústria de seguros pode incentivar investimentos em proteção [ ]
A ideia é que os prêmios cobrados pelas seguradoras reflitam o sistema cibernético
postura de segurança das empresas CPS ; se uma empresa segue boas práticas de segurança cibernética, o
os prêmios de seguro seriam baixos, caso contrário, os prêmios seriam muito caros (e
isso, em princípio, incentivaria a empresa a investir mais em proteções de segurança cibernética).
Não está claro se este mercado de seguro cibernético crescerá organicamente, ou se precisaria ser
mandatada pelo governo.
Não está claro se os incentivos do governo para melhorar a segurança nos CPSs exigirão primeiro uma catástrofe
ciberataque trófico, mas parece que, no futuro, a escolha não será mais entre
regulamentação governamental e nenhuma regulamentação governamental, mas entre regulamentação governamental inteligente
regulamentação e regulamentação estúpida] [
www.cybok.org
.. Cyber-Con ict
As redes de computadores permitem uma extensão à maneira como interagimos com outras pessoas e qualquer conflito
no mundo real , terá sua representação no ciberespaço; incluindo (ciber-) crime, ativismo,
intimidação, espionagem e guerra [ ]
Os cibercriminosos comprometem os computadores em qualquer lugar que possam encontrá-los (mesmo em sistemas de controle
tems). Esses ataques podem não ser direcionados (ou seja, eles não têm a intenção de prejudicar
sistemas de controle), mas podem causar efeitos colaterais negativos: sistemas de controle infectados com mal-
ware pode operar de forma inadequada. O mais famoso ataque não direcionado a sistemas de controle
ocorreu em, quando o worm Slammer afetou o sistema computadorizado de monitoramento de segurança
na usina nuclear Davis-Besse, nos Estados Unidos. Enquanto a planta não estava conectada a
a Internet, o worm entrou na rede da fábrica por meio de um computador infectado de um contratado.
conectado por telefone diretamente à rede da planta, contornando assim o rewall [ ] UMA
exemplo mais recente de um ataque não direcionado ocorreu em 6, quando um sistema de computador
que gerenciava as operações de tratamento de água de uma planta de filtragem de água perto de Harrisburgh Pen-
sylvania, foi comprometida e usada para enviar spam e redistribuir software ilegal [ 6]
Mais recentemente, o ransomware também foi usado para atacar CPSs, como o ataque ao austríaco
hotel [ ], em que os hóspedes não conseguiram ativar as chaves do quarto até que o hotel pagasse
o resgate.
Funcionários insatisfeitos são uma das principais fontes de ataques de computador direcionados contra sistemas de controle
tems [ , , ] Esses ataques são importantes do ponto de vista da segurança porque
eles são causados por insiders: indivíduos com acesso autorizado a computadores e redes
usado por sistemas de controle. Portanto, mesmo se os sistemas tivessem autenticação e autorização adequadas
ção, bem como a pouca informação disponível publicamente sobre eles, os ataques de insiders ainda estariam
seja possível. Como funcionários insatisfeitos geralmente agem sozinhos, as consequências potenciais
de seus ataques podem não ser tão prejudiciais quanto o dano potencial causado por organizações maiores
grupos como terroristas e Estados-nação.
Terroristas e ativistas são outra ameaça potencial aos sistemas de controle. Enquanto não houver
evidências concretas de que terroristas ou ativistas visaram sistemas de controle por meio de ataques cibernéticos,
há uma ameaça crescente de tal ataque no futuro.
Os estados nacionais estão estabelecendo unidades militares com experiência em segurança de computadores para qualquer futuro
con itos. Por exemplo, os EUA estabeleceram o Cyber Command [ ] para conduzir espectro total
operações (capacidades ofensivas) em, e vários outros países também anunciaram
maiores esforços ao mesmo tempo. O papel das redes de computadores na guerra tem sido um tópico
de discussão acadêmica desde 8 [ 6], e os CPSs estão desempenhando uma diferença fundamental na
como as guerras são travadas, a partir de unidades robóticas e veículos não tripulados apoiando soldados no
campo, para discussões de ciberguerra [ ]
Além de terra, ar, mar e espaço, o ciberespaço é agora considerado por muitas nações como um
teatro de conflito adicional. Os tratados internacionais desenvolveram o direito internacional público
a respeito de dois princípios fundamentais do direito da guerra () jus ad bellum o direito de travar uma guerra, e
() jus in bellum conduta aceitável em tempo de guerra. Duas fontes consideraram como a lei de
guerra se aplica ao ciberespaço [ ]: () O Manual de Tallinn e () a Fala de Koh.
O manual de Tallinn é um estudo não vinculativo do centro cooperativo de defesa cibernética da OTAN de
celência, sobre como a lei da guerra se aplica a conflitos cibernéticos, e o discurso de Koh foi um discurso
dada por Harold Koh, um consultor jurídico do Departamento de Estado dos EUA, que explicou como os
prega o direito internacional aplicado ao ciberespaço. Ambas as fontes concordam que um motivo importante
autorizar o uso da força ( jus ad bellum ) em resposta a uma operação cibernética, é quando o
www.cybok.org
os efeitos físicos de um ataque cibernético são comparáveis aos efeitos cinéticos de outros conflitos armados,
por exemplo, quando um ataque de computador desencadeia o derretimento de uma usina nuclear, abre uma barragem
rio ou desativa o controle do tráfego aéreo. O argumento é que os efeitos de qualquer um desses ataques
são semelhantes à aparência de um ataque de míssil de um inimigo. Em contraste, quando há
nenhum dano físico, o problema de determinar quando um ataque cibernético pode ser considerado um uso de
a força do inimigo não foi resolvida, portanto, ataques cibernéticos à infraestrutura financeira ou eleitoral
de uma nação pode não limpar a barra para ser considerada um ato de guerra.
Uma vez que as nações estão envolvidas na guerra, a questão é como alavancar os ataques de computador de uma forma
isso é consistente com a conduta aceitável em tempo de guerra ( jus in bellum ). A norma convencional
é que os ataques devem distinguir entre objetivos militares e não militares. Objeto militar
Os objetivos podem incluir esforços de combate, apoio à guerra e esforços de sustentação da guerra. O problema em
atacar infraestruturas críticas é que algumas das infraestruturas que suportam esses esforços
estão em uso duplo tanto pelos militares quanto pela população civil. Por exemplo, um grande per-
porcentagem de comunicações militares nos EUA usam redes civis em algum momento, e o
a rede elétrica oferece suporte a infraestruturas militares e civis.
Outro fator a considerar na concepção de ataques CPS é que a "lei da guerra" em geral pro
Hibita ataques incontroláveis ou imprevisíveis, em particular aqueles que negam a população civil.
ção de objetos indispensáveis, como comida ou água. Embora as armas físicas tenham um limite
área geográfica de impacto, as armas cibernéticas podem ter efeitos colaterais mais incontroláveis; para
Por exemplo, os worms podem se replicar e escapar de sua rede alvo pretendida e infectar civis em
frestruturas. Portanto, as nações terão que testar exaustivamente qualquer arma cibernética para minimizar
consequências imprevisíveis.
Em suma, qualquer conflito futuro no mundo físico terá tecnologias capacitadoras no mundo cibernético
mundo, e pode-se esperar que os ataques a computadores tenham um papel fundamental em conflitos futuros. Lá
é uma grande área cinzenta sobre quais tipos de ataques de computador podem ser considerados um ato de
força, e um desafio futuro será projetar ataques cibernéticos que visem apenas objetivos militares
e minimizar os efeitos colaterais civis. Ao mesmo tempo, a atribuição de ataque no ciberespaço irá
ser mais difícil, e os estados-nação podem ser capazes de se safar com operações de sabotagem sem
enfrentando consequências. É responsabilidade da comunidade internacional projetar novos
estruturas para cobrir conflitos cibernéticos e para os Estados-nação delinearem novas doutrinas que abranjam
como conduzir operações cibernéticas com efeitos colaterais físicos.
Finalmente, a ciberguerra também está relacionada à discussão na última seção sobre ciberseguro.
Por exemplo, após o ciberataque NotPetya em [ 8], várias empresas que tinham comprado
perseguiram proteções de ciber-seguro procuraram obter ajuda de suas seguradoras para
cobrir parte de suas perdas. No entanto, algumas seguradoras negaram as alegações citando uma guerra
exclusão que protege as seguradoras de serem sobrecarregadas com custos relacionados a danos de guerra.
Desde então, as seguradoras têm aplicado a isenção de guerra para evitar reclamações relacionadas ao digital
ataques . Este tipo de dano colateral de ataques cibernéticos pode ser mais comum no
futuro, e apresenta um desafio para as indústrias de seguros em sua busca para quantificar o risco de
eventos de grande escala correlacionados.
https://www.nytimes.com/ / / /technology/cyberinsurance-notpetya-attack.html
www.cybok.org
.. Práticas e padrões da indústria

Nós nalizamos o CPS Security KA referenciando vários esforços da indústria e do governo para
melhorando a segurança dos CPSs. Existem vários esforços industriais e liderados pelo governo para
melhorar a segurança dos sistemas de controle. Um dos padrões de segurança mais importantes em
este espaço começou com a Arquitetura do Conjunto de Instruções (É UM) padrão ISA , que mais tarde
tornou-se um padrão dos EUA com ANSI 6 e, finalmente, um padrão internacional de cibersegurança
para sistemas de controle conhecidos como IEC 6 [ ]
Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) tem diretrizes para segurança
melhores práticas para TI geral na Publicação Especial 8 -. As agências federais dos EUA devem atender
NIST SP 8 -, mas a indústria em geral (e a indústria lidando com o governo dos EUA em
particular) usa essas recomendações como base para sua postura de segurança. Endereçar
a segurança de sistemas de controle em particular, NIST também publicou um guia para industrial
Sistema de Controle (ICS) Segurança [ 6], uma diretriz para a segurança da rede inteligente no NIST-IR 6 [ ],
e uma diretriz para segurança e privacidade de IoT [ ] Embora essas recomendações não sejam
executáveis, eles podem fornecer orientação para analisar a segurança da maioria das empresas de serviços públicos. UMA
esforço mais recente é a estrutura de segurança cibernética do NIST para proteger a infraestrutura crítica,
que foi iniciado por uma ordem executiva do então presidente dos Estados Unidos, Obama [ ], como um esforço
para melhorar a postura de segurança de infraestruturas críticas.
Outro notável esforço liderado pela indústria para proteger infraestruturas críticas é o Norte
American Electric Reliability Corporation (NERC) padrões de segurança cibernética para sistemas de controle
tems [ 6 ] . O NERC está autorizado a fazer cumprir essas normas, e é esperado
que todas as concessionárias de eletricidade que operam o sistema de energia em massa na América do Norte são totalmente compatíveis
com esses padrões.
Todos esses padrões são gerais e flexíveis. Em vez de prescrever uma tecnologia específica,
soluções, eles fornecem uma visão geral de alto nível da variedade de tecnologias de segurança disponíveis (por exemplo,
autenticação, controle de acesso, segmentação de rede, etc.) e, em seguida, fornecer um conjunto de
procedimentos para proteger os sistemas, começando com () coleta de dados para identificar o ataque sur-
face de um determinado sistema (isso inclui um procedimento básico de enumeração de rede que busca
enumerar todos os dispositivos e serviços disponíveis na rede do proprietário do ativo), () construir-
criar uma política de segurança com base na superfície de ataque do sistema e () implantar a segurança
contramedidas, incluindo segmentação de rede ou monitoramento de segurança de rede.
Além desses padrões gerais de segurança para sistemas de controle, as indústrias que de-
velar e manter protocolos de controle industrial específicos, como os usados para SCADA, por exemplo,
IEC, ou aqueles na indústria de processo, por exemplo, PROFINET, também lançaram padrões e
documentação para proteção de redes industriais. Lembre-se de que a maioria desses proto-industriais
cols foram desenvolvidos antes que a segurança fosse uma preocupação urgente para os sistemas de controle industrial,
portanto, os links de comunicação não foram autenticados ou criptografados. O novo padrão
IEC 6 destina-se a orientar os proprietários de ativos sobre como implantar uma rede segura para autenticar
e criptografar links de rede, e outras organizações lançaram suporte semelhante, como,
fornecendo extensões de segurança para PROFINET. Em vez (ou além) de usar esses
recomendações de segurança da camada de aplicação final, alguns operadores podem preferir usar
proteções de segurança de camada de redes IP, incluindo TLS e IPSec.
No domínio IoT, ETSI, a Organização Europeia de Padrões desenvolveu o primeiro globalmente

padrão de segurança aplicável para o consumidor IoT . ETSI TS 6 estabelece uma base de segurança
linha para produtos de consumo conectados à Internet e fornece uma base para futura certificação de IoT.
https://www.pro bus.com/download/pi-white-paper-security-extensions-for-pro net /
www.cybok.org
Este padrão se baseia estreitamente no Código de Prática para Segurança de IoT do Consumidor do Reino Unido [ ]
Outro padrão IoT mais específico da Internet Engineering Task Force (IETF) para IoT de-
vícios é a descrição de uso do fabricante (LAMA) padrão [ ] O objetivo deste padrão
é automatizar a criação de listas brancas de rede , que são usadas por administradores de rede
para bloquear qualquer conexão não autorizada pelo dispositivo. Outros padrões de segurança de IoT em desenvolvimento
operados pela IETF incluem protocolos para segurança de comunicações, controle de acesso, restrição
comunicações e atualizações de rmware e software [ ]
Todos esses esforços e padrões da indústria têm essencialmente três objetivos: () criar consciência
de questões de segurança em sistemas de controle, () ajudar os operadores de sistemas de controle e segurança de -
cers projetar uma política de segurança, e () recomendar mecanismos básicos de segurança para prevenção
(autenticação, controles de acesso, etc), detecção e resposta a violações de segurança. Para o
a maior parte dos esforços da indústria para proteger os CPSs são baseados nos mesmos princípios técnicos
de sistemas gerais de Tecnologia da Informação. Portanto, as melhores práticas da indústria estão por trás
práticas recomendadas gerais de segurança de TI e a pesquisa de segurança CPS mais recente discutida em
este KA. Esperamos que na próxima década a pesquisa de segurança CPS se torne madura o suficiente para
começar a ter um impacto nas práticas da indústria.
CONCLUSÕES
Como a tecnologia continua a integrar computação, rede e elementos de controle em novos
sistemas ciber-físicos, também precisamos treinar uma nova geração de engenheiros, cientistas da computação
entistas e cientistas sociais para serem capazes de capturar a natureza multidisciplinar da segurança do CPS ,
como ataques de transdução. Além disso, conforme as tecnologias por trás da segurança CPS amadurecem, alguns
deles se tornarão as melhores práticas aceitas pelo setor, enquanto outros podem ser esquecidos. Dentro
8, uma das áreas com maior impulso é a indústria de segurança de rede,
itoring (detecção de intrusão) em redes físicas cibernéticas. Várias empresas start-up no
EUA, Europa e Israel oferecem serviços de perfil e caracterização de redes industriais, para
ajudar os operadores a entender melhor o que é permitido e o que deve ser bloqueado. No outro
Por outro lado, existem outras áreas de pesquisa de segurança do CPS que estão apenas começando a ser analisadas, como o
trabalhar na mitigação de ataques e, em particular, na resposta a alertas de detecção de intrusão
sistemas.
Estamos apenas no ponto de partida para a pesquisa de segurança CPS , e as próximas décadas trarão
novos desafios à medida que continuamos a integrar coisas físicas com recursos de computação.
www.cybok.org
Outro
dashandbook
. Sistemas Ciber-Físicos e seus Riscos de Segurança

. . Características do CPS c [6]
. . Proteções contra eventos naturais e acidentes [ 68 ]
. . Preocupações de segurança e privacidade [6]
. Segurança Transversal
. . Prevenindo Ataques c6, c [ ]
. . Detectando Ataques c8 [ ]
. . Ataques atenuantes [ 6]
. Domínios CPS
. . Sistemas de controle industrial [6]
. . Redes de energia elétrica c [6,6]
. . Sistemas de transporte e veículos autônomos c 6, c [6,6]
. . Robótica e Manufatura Avançada [6]
. . Dispositivos médicos c [6]
. .6 A Internet das Coisas [ ]
. Política e Aspectos Políticos da Segurança CPS
. . Incentivos e regulamentação [ ]
. . Cyber-Con ict [ 686 , ]
. . Práticas e padrões da indústria [6]
Página 667
Capítulo
Segurança da Camada Física
e telecomunicações
Srdjan Čapkun ETH Zurique

www.cybok.org
INTRODUÇÃO
Esta área de conhecimento é uma revisão dos tópicos mais relevantes na segurança da camada física sem fio.
O fenômeno físico utilizado pelas técnicas apresentadas nesta Área do Conhecimento é o
radiação de ondas eletromagnéticas. As frequências consideradas a seguir consistem no
espectro inteiro que varia de alguns Hertz a frequências além da luz visível
(espectro óptico). Esta área de conhecimento cobre conceitos e técnicas que exploram o
forma como esses sinais se propagam através do ar e outros meios de transmissão. É organizado
em seções que descrevem mecanismos de segurança para métodos de comunicação sem fio como
bem como algumas implicações de emanações de radiofrequência não intencionais.
Uma vez que a maioria das frequências usadas para comunicação sem fio residem na especificação de radiofrequência
trum e siga as bem compreendidas leis da teoria de propagação de rádio, a maioria deste
A área de conhecimento é dedicada a conceitos de segurança com base em aspectos físicos de rádio fre-
transmissão de freqüência. O capítulo, portanto, começa com uma explicação dos fundamentos
conceitos e técnicas principais que foram desenvolvidos para fazer uso da comunicação sem fio
camada catiônica para confidencialidade, integridade, controle de acesso e comunicação secreta. Esses
técnicas usam principalmente propriedades de modulações de camada física e propagação de sinal para
aumentar a segurança dos sistemas.
Depois de apresentar esquemas para proteger o canal wireless, a Área de Conhecimento continua
faz uma revisão das questões de segurança relacionadas à camada física sem fio, com foco naquelas
aspectos que tornam os sistemas de comunicação sem fio diferentes dos sistemas com fio. Mais não
tably, interferência de sinal, aniquilação de sinal e resiliência de interferência. A seção sobre jamming
é seguido por uma revisão das técnicas capazes de realizar a identificação de dispositivos físicos
(ou seja, impressão digital do dispositivo), extraindo características exclusivas do dispositivo (analógico)
circuitos.
Depois disso, o capítulo continua a apresentar abordagens para realizar distância segura
medições e posicionamento seguro com base em ondas eletromagnéticas. Protocolos para dis-
medições de resistência e posicionamento são projetados para impedir ameaças no físico
camada, bem como a camada lógica. Esses vetores de ataque são abordados em detalhes, juntamente com
estratégias de defesa e os requisitos para a verificação da posição segura.
Em seguida, a área de conhecimento cobre emanações sem fio não intencionais de dispositivos como
de monitores de computador e resume os ataques de canal lateral sem fio estudados na literatura.
Isso é seguido por uma análise sobre spoo ng de sensores analógicos. Emissões não intencionais são
em sua natureza diferente dos sistemas de comunicação sem fio, especialmente porque estes
as interações não são estruturadas. Eles não são projetados para transportar informações, no entanto, eles
também usam - ou podem ser afetados por - ondas eletromagnéticas.
Finalmente, após ter tratado os conceitos fundamentais de segurança física sem fio, este
A área de conhecimento apresenta uma seleção de tecnologias de comunicação existentes e discute
seus mecanismos de segurança. Explica as opções de design e destaca as possíveis deficiências
ao referir-se aos princípios descritos nas seções anteriores. Incluem-se exemplos de
comunicação próxima e comunicação sem fio na indústria de aviação, seguida por
as considerações de segurança das redes celulares. Segurança dos sistemas de navegação global e
de sistemas de posicionamento terrestre é coberto por último, uma vez que os objetivos de segurança de tais sistemas
são diferentes dos sistemas de comunicação e estão principalmente relacionados ao posicionamento de spoo ng re-
silêncio.
KA Segurança da Camada Física e Telecomunicações | Outubro Página 6
www.cybok.org
CONTENTE
. ESQUEMAS DE CAMADA FÍSICA PARA CONFIDENCIALIDADE,

INTEGRIDADE E CONTROLE DE ACESSO
[ , 6, , 8, , ]
Proteger redes sem fio é um desafio devido ao meio de transmissão compartilhado que torna
é fácil para adversários remotos espionar, modificar e bloquear a comunicação entre
dispositivos. No entanto, a comunicação sem fio também oferece algumas oportunidades únicas. Sinal de rádio
nais são afetados por reflexão, difração e espalhamento, todos os quais contribuem para uma com-
comportamento multi-caminho plex de sinais comunicados. A resposta do canal, medida em
o receptor, pode, portanto, ser modelado como tendo uma frequência e posição dependente aleatória
componentes. Além disso, dentro do curto espaço de tempo e na ausência de interferência, com
as partes comunicantes irão medir as respostas do canal altamente correlacionadas. Essas respostas podem
portanto, ser usado como aleatoriedade compartilhada, indisponível para o adversário, e formar uma base de
comunicação segura.
Deve-se notar que a criptografia moderna fornece muitos protocolos diferentes para as-
garantir a confidencialidade, integridade e autenticidade dos dados transmitidos por meio de sinais de rádio. Se
as partes que se comunicam estão associadas umas às outras ou compartilham um segredo mútuo, criptográfico
protocolos gráficos podem efetivamente estabelecer comunicação segura, fazendo uso de criptografia
material de keying togrraphic. No entanto, se a mera troca de informações não for o único objetivo de um
sistema sem fio (por exemplo, em um sistema de posicionamento), ou se nenhum segredo pré-compartilhado estiver disponível, criptografar
protocolos gráficos operando em camadas superiores da pilha de protocolo não são suficientes e
construções de camada física podem ser soluções viáveis. Os principais esquemas da camada física são pré-
enviado nas seguintes seções.
.. Estabelecimento-chave com base na reciprocidade do canal

A aleatoriedade da camada física de um canal sem fio pode ser usada para derivar um segredo compartilhado.
Uma das principais premissas de segurança dos esquemas de estabelecimento de chaves da camada física é que
o invasor está localizado a pelo menos meio comprimento de onda de distância das partes que se comunicam. Ac-
de acordo com a teoria da comunicação sem fio, pode-se presumir que o canal do invasor
as medições serão descorrelacionadas daquelas calculadas pelas partes comunicantes se
eles estão separados por pelo menos meio comprimento de onda. O invasor, portanto, provavelmente não terá acesso
à aleatoriedade secreta medida. Se o invasor injetar sinais durante as principais
, o sinal que ele transmite, devido às distorções do canal, será medido de forma diferente em
comunicando as partes, resultando em desacordo importante.
Os esquemas de estabelecimento de chaves da camada física operam da seguinte maneira. As partes comunicantes
(Alice e Bob) primeiro trocam pacotes de dados pré-acordados e não secretos. Cada parte então mede
assegura a resposta do canal sobre os pacotes recebidos. O acordo principal é, então, tipicamente
executado em três fases.
Fase de quantização: Alice e Bob criam uma série temporal de propriedades de canal que são medidos
sobre os pacotes recebidos. Propriedades de exemplo incluem RSSI e CIR. Qualquer propriedade
que se acredita não ser observável pelo invasor pode ser usado. O tempo medido se-
ries são então quantizados por ambas as partes de forma independente. Esta quantização é normalmente baseada em
limites fixos ou dinâmicos.
www.cybok.org
Fase de reconciliação de informações: uma vez que a fase de quantização pode resultar em discordância
sequências de Alice e Bob, eles precisam reconciliar suas sequências para corrigir qualquer
erros. Isso normalmente é feito aproveitando códigos de correção de erros e tecnologia de ampliação de privacidade
niques. A maioria dos esquemas usa algoritmos simples de passagem de nível para quantização e não usa
técnicas de codificação. No entanto, se a derivação principal usa métodos baseados nos estados do canal
cujas distribuições não são necessariamente simétricas, métodos de quantização mais sofisticados
ods, como aproximar os fenômenos de desvanecimento do canal como uma fonte Gaussiana, ou (multi-
nível) a codificação é necessária [ ]
Fase de verificação chave: nesta última fase, as partes comunicantes con rmam que estabeleçam
lida uma chave secreta compartilhada. Se esta etapa falhar, as partes precisam reiniciar o estabelecimento da chave.
A maioria das pesquisas em técnicas da camada física tem se preocupado com a escolha de
propriedades do canal e da técnica de quantização. Mesmo se a chave da camada física estabelecer
técnicas de mentais parecem atraentes, muitas delas têm se mostrado vulneráveis ao ac-
adversários ativos, fisicamente distribuídos e com várias antenas. No entanto, em uma série de cenários
iOS onde os dispositivos são móveis e onde o invasor é restrito, eles podem ser valiosos
substituição ou aprimoramento de técnicas tradicionais de estabelecimento de chave pública.
.. Abordagens suportadas por MIMO: cegamento ortogonal, força zero
Inicialmente, as técnicas de estabelecimento de chave de camada física foram propostas no contexto de

dispositivos de antena. No entanto, com o surgimento de dispositivos MIMO e formação de feixes,
pesquisadores propuseram aproveitar esses novos recursos para proteger ainda mais a comunicação
ção Duas técnicas básicas que foram propostas neste contexto são cegamento ortogonal e
forçando zero. Ambas as técnicas visam permitir que o transmissor envie con -
dados dentais para o receptor pretendido, enquanto evita que o invasor co-localizado receba
esses dados. Embora isso possa parecer inviável, uma vez que, assim como o destinatário pretendido, o
o invasor pode receber todos os pacotes transmitidos. No entanto, os sistemas MIMO permitem que os transmissores
'direcione' o sinal para o receptor pretendido. Para que a formação do feixe seja eficaz, o trans-
mitter precisa saber algumas informações de canal para os canais de suas antenas para o
antenas do receptor. Conforme descrito em [ ], esses canais são considerados secretos
do atacante. Em Zero-Forcing, o transmissor conhece os canais para o re- pretendido
ceiver, bem como para o atacante. Isso permite que o transmissor codifique os dados de modo que
pode ser medido no receptor, enquanto o invasor não mede nada relacionado aos dados.
Em muitos cenários, presumir o conhecimento do canal para os invasores não é realista. Dentro
Cegamento ortogonal, o transmissor não conhece o canal para o atacante, mas conhece o
canais para o receptor. O transmissor então codifica os dados da maneira que o receptor
pode decodificar os dados, enquanto o invasor receberá dados misturados com ruído aleatório. O
o invasor, portanto, não pode decodificar os dados. A fim de se comunicar com segurança, a transmissão
O receptor e o receptor não precisam compartilhar segredos. Em vez disso, o transmissor só precisa
para saber (ou medir) os canais para os receptores pretendidos. Como a chave da camada física estabelecida
técnicas de fixação, essas técnicas têm se mostrado vulneráveis a várias antenas e
atacantes fisicamente distribuídos. Eles também foram mostrados como vulneráveis a texto simples conhecido
ataques.
www.cybok.org
.. Capacidade de sigilo
A capacidade de sigilo é um conceito teórico da informação que tenta determinar o máximo
taxa má em que um canal sem fio pode ser usado para transmitir informações confidenciais sem
contando com criptografia de camada superior, mesmo se houver um intruso presente. Um resultado famoso
por Shannon [ ] diz que, para um adversário com poder de computação ilimitado, condição-
transmissão totalmente segura só pode ser alcançada se uma cifra one-time-pad for usada para criptografar o
informações transmitidas. No entanto, Wyner mais tarde mostrou que se o canal do invasor ligeiramente
degrada a informação, ou seja, o canal é ruidoso, a capacidade de sigilo pode sim ser pos-
ativo sob certas condições [ ] Isso significa que é possível transmitir uma mensagem secreta
sem vazar qualquer informação para um bisbilhoteiro. Csiszár e Korner estenderam o de Wyner
resultado, mostrando que a capacidade de sigilo é diferente de zero, a menos que o canal do adversário (fio-
tap channel) é menos barulhento do que o canal que transporta a mensagem do legítimo
transmissor para o receptor [ ] Esses resultados teóricos foram refinados para o concreto
modelos de canal, assumindo um certo tipo de ruído (por exemplo, Gaussiano) e layout de canal (por exemplo,
SIMO e MIMO) Os pesquisadores conseguiram derivar expressões matemáticas explícitas
e limites, mesmo quando se leva em consideração fenômenos complexos, como desbotamento, que é
presente em canais sem fio [ ]
Uma implementação prática do conceito de capacidade de sigilo pode ser alcançada principalmente por nós-
os dois métodos descritos acima. As partes comunicantes estabelecem um segredo
extrair recursos do canal sem fio (consulte . .) ou eles se comunicam com
uns aos outros usando estratégias de codificação e transmissão inteligentes, possivelmente contando com
várias antenas (ver . .) Portanto, o estudo da capacidade de sigilo pode ser entendido como
a estrutura teórica da informação para o estabelecimento de chaves e MIMO-segurança suportada
mecanismos no contexto da comunicação sem fio.
.. Jamming amigável
Semelhante à cegueira ortogonal, os esquemas de interferência amigável usam interferência de sinal gerada
colaborando com dispositivos para evitar que um invasor se comunique com o protegido
dispositivo, ou para evitar que o invasor escute mensagens enviadas por dispositivos protegidos
vícios. O Friendly Jamming pode, portanto, ser usado tanto para confidencialidade quanto para controle de acesso.
Ao contrário do Orthogonal Blinding, o Friendly Jamming não aproveita o conhecimento do canal
para o receptor. Se um dispositivo de colaboração (ou seja, o jammer amigável) deseja evitar que não seja autorizado
A comunicação aumentada com o dispositivo protegido irá travar o receptor do dispositivo protegido
vice. Se quiser evitar espionagem, ele transmitirá sinais de interferência nas proximidades de
o dispositivo protegido. Impedir a comunicação com um dispositivo protegido não requer nenhum recurso especial
suposições sobre a localização dos dispositivos de colaboração. No entanto, protegendo contra beirais-
cair requer que o bisbilhoteiro seja incapaz de separar os sinais dos protegidos
dispositivo daqueles originados no dispositivo de colaboração. Para que isso aconteça, o canal de
o dispositivo protegido para o invasor não deve ser correlacionado ao canal da col-
dispositivo de trabalho para o invasor. Para garantir isso, o dispositivo protegido e o colaborador
o dispositivo precisa ser normalmente colocado a menos da metade do comprimento de onda de uma portadora. Esta suposição
baseia-se no fato de que, em teoria, um invasor com várias antenas que tenta distinguir
o sinal de interferência do sinal alvo requer que os dois transmissores sejam separados por
mais da metade de um comprimento de onda. No entanto, a deterioração do sinal é gradual e foi demonstrado
que sob algumas condições, um invasor com várias antenas será capaz de separar esses sinais
e recuperar as mensagens transmitidas.
O bloqueio amigável foi originalmente proposto para a proteção desses implantes médicos (por exemplo,
www.cybok.org
marcapassos já implantados) que não têm capacidade para realizar operações criptográficas.
A ideia principal era que o dispositivo colaborador (ou seja, 'o escudo') seria colocado em torno do
pescoço do usuário, próximo ao marca-passo. Este dispositivo, então, receberia e congestionaria simultaneamente
toda a comunicação do implante. O escudo seria então capaz de encaminhar o recebido
mensagens para qualquer outro dispositivo autorizado usando técnicas criptográficas padrão.
.. Usando camada física para proteger a integridade dos dados

A pesquisa sobre o uso da camada física para segurança não se limita apenas à proteção de
confidencialidade dos dados. A camada física também pode ser aproveitada para proteger a integridade dos dados. Isso é il-
ilustrado pelo seguinte cenário. Supondo que duas entidades (Alice e Bob) compartilhem uma
canal de comunicação de rádio mon, mas não compartilhe nenhum segredo ou material de autenticação
(por exemplo, chaves compartilhadas ou chaves públicas autenticadas), como podem as mensagens trocadas entre
essas entidades podem ser autenticadas e como sua integridade pode ser preservada na presença de um
atacante? Aqui, por integridade da mensagem, queremos dizer que a mensagem deve ser protegida contra
qualquer modificação maliciosa, e por autenticação de mensagem queremos dizer que deve ser claro
quem é o remetente da mensagem.
Uma técnica básica que foi proposta neste contexto são os códigos de integridade , uma modulação
esquema que fornece um método para garantir a integridade (e uma base para autenticação) de
uma mensagem transmitida por um canal público. Os códigos de integridade baseiam-se na observação de que, em
uma configuração móvel e em um ambiente rico em vários caminhos, é difícil para o invasor aniquilar
sinais escolhidos aleatoriamente.
Os códigos de integridade pressupõem uma transmissão sincronizada entre o transmissor e um receptor,

bem como o receptor sabendo que está ao alcance do transmissor. Para transmitir uma mensagem
sábio, o remetente codifica a mensagem binária usando um código unidirecional (por exemplo, um Manchester
código), resultando em uma proporção conhecida de s e s dentro de uma mensagem codificada (para Manchester
código, o número de s e s serão iguais). Esta mensagem codificada é então transmitida usando
chaveamento on-off, de modo que cada um seja transmitido como uma ausência de sinal e cada um como um
sinal. Para decodificar a mensagem e verificar sua integridade, o receptor simplesmente mede o en-
ergia do sinal. Se a energia em um intervalo de tempo estiver acima de um limite fixo, o bit é interpretado
como a e se estiver abaixo de um limite, é interpretado como a. Se a proporção de bits e cor-
responde ao esquema de codificação, a integridade da mensagem é validada. Códigos de integridade
suponha que o receptor saiba quando o transmissor está transmitindo. Isso significa que seu
a comunicação precisa ser programada ou o transmissor precisa estar sempre transmitindo.
. .6 Baixa probabilidade de interceptação e comunicação oculta

Os sinais LPI são sinais difíceis de detectar para o destinatário indesejado. O sim-
A forma mais simples de LPI é a comunicação em potência reduzida e com alta direcionalidade. Desde a
tal comunicação limita o alcance e a direção da comunicação, mais sofisti-
técnicas indicadas foram desenvolvidas: Frequency Hopping, Direct Sequence Spread Spectrum
e chilrear. No salto de frequência, o emissor e o receptor saltam entre diferentes fre-
canais de freqüência, assim, tentando evitar a detecção. No Espectro de Espalhamento de Sequência Direta, o
sinal de formação é modulado com um sinal digital de alta taxa (e, portanto, alta largura de banda), portanto
espalhando-se por uma ampla banda de frequência. Finalmente, chirps são varreduras de frequência de alta velocidade
que carregam informações. A sequência de salto ou sequência chirp constitui um segredo compartilhado
entre o receptor e o transmissor. Isso permite que o receptor legítimo recombine o sinal
enquanto um bisbilhoteiro é incapaz de fazê-lo.
KA Segurança da Camada Física e Telecomunicações | Outubro Página 6 6
www.cybok.org
A comunicação secreta é parasita e aproveita as transmissões legítimas e esperadas para

habilitar comunicação não observável. Normalmente, essa comunicação se esconde dentro do ex-
desvios esperados e tolerados do sinal de sua forma nominal. Um exemplo proeminente
é a incorporação de bits comunicados nos erros de modulação.
. JAMMING E RESILIENTE A JAMMING

COMUNICAÇÃO
[ , 6]
O congestionamento de comunicação é uma interferência que impede o (s) receptor (es) de sucesso
reconhecer e decodificar com sucesso a mensagem transmitida. Acontece quando o jammer
injeta um sinal que, quando combinado com a transmissão legítima, impede o receptor
extrair as informações contidas na transmissão legítima. Jamming pode ser
cirúrgico e afeta apenas o preâmbulo da mensagem, evitando assim a decodificação, ou pode ser abrangente
abrangente e visa afetar todos os símbolos na transmissão.
Dependendo de seu comportamento, os bloqueadores podem ser classificados como constantes ou reativos . Constante
os bloqueadores transmitem permanentemente, independentemente da transmissão legítima. Atolamento reativo
os mers são mais ágeis quando percebem a transmissão e, em seguida, bloqueiam. Isso permite que eles salvem
energia, bem como para não ser detectado. A força do jammer é normalmente expressa em termos de
potência de saída e sua eficácia como a razão de interferência para sinal no receptor. Além
uma certa razão de interferência para sinal, o receptor não será capaz de decodificar a informação
contido no sinal. Esta proporção é específica para receptores particulares e esquemas de comunicação.
Os principais parâmetros que influenciam o sucesso do bloqueio são a potência de transmissão do
jammer e transmissor benigno, seus ganhos de antena, frequência de comunicação e seus re-
distâncias específicas até o receptor benigno. Esses parâmetros determinarão o bloqueio para
relação do sinal.
As contramedidas contra o bloqueio envolvem ocultar do adversário quais frequências

são usados para comunicação em que momento. Esta incerteza força o adversário a bloquear um
porção mais ampla do espectro e, portanto, enfraquece seu impacto sobre os trans legítimos
missão, reduzindo efetivamente a proporção de interferência para sinal. As técnicas mais comuns incluem
Chirp, FHSS e DSSS. Normalmente, essas técnicas dependem de chaves secretas pré-compartilhadas, nas quais
caso, chamamos a comunicação de 'coordenada'. Recentemente, para permitir a resiliência de interferência no cenário
narios em que as chaves não podem ser pré-compartilhadas (por exemplo, transmissão), FHSS e DSSS não coordenados
esquemas também foram propostos.
.. Técnicas de Espectro de Espalhamento Coordenado

Técnicas de espectro de propagação coordenada são contramedidas de interferência predominantes em uma série de
ber de aplicações civis e militares. Eles são usados não apenas para aumentar a resiliência a congestionamentos
ming, mas também para lidar com a interferência de dispositivos vizinhos. A propagação é usada na prática
todas as tecnologias de comunicação sem fio, por exemplo, 8. , celular, Bluetooth, satélite global
sistemas de posicionamento lite.
Técnicas de espalhamento espectral são normalmente eficazes contra bloqueadores que não podem cobrir o
todo o espectro de comunicação em todos os momentos. Essas técnicas fazem um remetente espalhar um sinal
final em toda a banda disponível de frequências de rádio, o que pode exigir um considerável
quantidade de energia. A capacidade do invasor de impactar a transmissão é limitada pelo
www.cybok.org
Ted Frequency Hopping (transmissor)
M : = m, sig (m), ...
M1M2 M3 Ml
M1 H2 … Ml
(ECC) m1 m2 ml
Figura . : Em UFH, a vinculação do fragmento protege contra o ataque de inserção de mensagem.
ganho de processamento da comunicação de espalhamento espectral. Este ganho é a razão pela qual
interferência pode ser suprimida em relação ao sinal original e é calculada como uma razão de
a largura de banda de radiofrequência do sinal espalhado para a banda de informação não espalhada (banda base)
largura.
As técnicas de espalhamento espectral usam sequências geradas aleatoriamente para espalhar sinais de informação
nals em uma banda mais ampla de frequências. O sinal resultante é transmitido e, em seguida, difundido
nos receptores, correlacionando-o com a sequência de espalhamento. Para que isso funcione, é essencial
que o transmissor e o receptor compartilham a mesma sequência secreta de propagação. Em FHSS, esta
sequência é o conjunto de frequências centrais e a ordem em que o transmissor e o receptor
alternar entre eles em sincronia. Em DSSS, o sinal de dados é modulado com o espalhamento
seqüência; este processo mistura efetivamente o sinal da portadora com a sequência de propagação, assim
aumentando a largura de banda de frequência do sinal transmitido. Este processo permite tanto
interferências de banda estreita e banda larga devem ser suprimidas no receptor. A menos que o jammer
pode adivinhar o código de espalhamento, seu sinal de interferência será espalhado no receptor, enquanto
a transmissão legítima será difundida, permitindo sua detecção. O segredo do
códigos de espalhamento são, portanto, cruciais para a resiliência de congestionamento de sistemas de espectro de espalhamento.
É por isso que uma série de sistemas civis que usam a disseminação com códigos de disseminação públicos,
como o GPS e 8. b, permanecem vulneráveis a bloqueios.
.. Técnicas de Espectro de Espalhamento Descoordenado

Em aplicações de transmissão e em aplicações em que a comunicação não pode ser antecipada
conforme programado, ainda há a necessidade de proteger essa comunicação de bloqueios.
Para lidar com tais cenários, técnicas de espalhamento espectral descoordenadas foram propostas: UFH
e UDSSS. Essas técnicas permitem a comunicação de transmissão anti-jamming sem pré-
segredos compartilhados. O salto de frequência descoordenado depende do fato de que, mesmo se o remetente
saltos de uma maneira que não é coordenada com o receptor, a taxa de transferência deste canal
ser diferente de zero. Na verdade, se o receptor for banda larga, ele pode recuperar todas as mensagens transmitidas.
ted pelo remetente. O UFH , entretanto, apresenta novos desafios. Dado que o remetente e o
receptor não são sincronizados e fragmentos de mensagens curtas são transmitidos dentro de cada salto
não são autenticados, o invasor pode injetar fragmentos que fazem a remontagem do
pacotes inviáveis. Para evitar isso, o UFH inclui esquemas de ligação de fragmentos que tornam isso
remontagem possível, mesmo sob envenenamento.
O UDSSS segue o princípio do DSSS em termos de difusão de dados usando se-

quences. No entanto, em contraste com o DSSS anti-jamming, onde a sequência de propagação é secreta
e compartilhado exclusivamente pelos parceiros de comunicação, em UDSSS, um conjunto público de divulgação
sequências é usado pelo remetente e pelos receptores. Para transmitir uma mensagem, o remetente repete
www.cybok.org
edly seleciona uma nova sequência de distribuição selecionada aleatoriamente do conjunto público e espalha
a mensagem com esta sequência. Portanto, UDSSS não requer fragmentação de mensagem
no remetente nem remontagem da mensagem nos destinatários. Os receptores gravam o sinal em
o canal e espalhar a mensagem aplicando sequências do conjunto público, usando um
abordagem de tentativa e erro. Os receptores não estão sincronizados com o início do remetente
mensagem e, portanto, gravar por (pelo menos) duas vezes o tempo de transmissão da mensagem. Após o sam-
pling, o receptor tenta decodificar os dados no buffer usando sequências de código do
definido e aplicando um protocolo de janela deslizante.
.. Aniquilação de sinal e ofuscamento

Ao contrário do bloqueio, onde o objetivo principal do invasor é impedir que as informações sejam
decodificado no receptor, a aniquilação do sinal suprime o sinal no receptor por introdução
interferência destrutiva. O objetivo do atacante é inserir um sinal que cancele o
sinal do transmissor legítimo na antena do receptor. Isso normalmente significa que o
o atacante irá gerar um sinal idêntico ao da transmissão legítima, apenas com um diferente
polaridade. Ataques de interferência normalmente aumentam a energia no canal e, portanto, são mais fáceis
mais detectado do que a aniquilação do sinal, o que reduz a energia normalmente abaixo do limite
de detecção de sinal.
O objetivo de ofuscar é semelhante ao bloqueio e aniquilação de sinal no sentido de que o

O atacante visa impedir que o receptor decodifique um sinal legítimo. No entanto, ao invés
de interferir com o sinal adicionando ruído excessivo ao canal ou cancelando o
sinal (ou seja, aniquilação de sinal), o invasor emite seu próprio sinal ao mesmo tempo e durante
sombreia o sinal legítimo. Como resultado, o receptor registra apenas o sinal adversário
que muitas vezes é ordens de magnitude mais altas em amplitude do que o sinal legítimo. Prático
Ataques de ofuscamento mostraram-se eficazes contra a modulação QPSK [ ] e mais
recentemente contra sistemas LTE celulares [ 8]
A ofuscação de sinais maliciosos não pode apenas enganar o receptor para uma decodificação diferente
dados do que o pretendido, ele também pode ser usado para alterar quaisquer propriedades físicas que o receptor possa
extrair durante a recepção do sinal, como ângulo de chegada ou hora de chegada. Ofuscando
ataques têm se mostrado particularmente eficazes contra sistemas que dependem de
propriedades da camada, incluindo sistemas de posicionamento e alcance.
. IDENTIFICAÇÃO DE CAMADA FÍSICA

[ ]
Técnicas de identificação de camada física permitem a identificação de dispositivos sem fio por
características únicas de seus circuitos analógicos (rádio); este tipo de identificação também é
referido como Impressão digital de rádio. Mais precisamente, a identificação do dispositivo da camada física é o
processo de impressão digital do circuito analógico de um dispositivo, analisando a comunicação do dispositivo
comunicação na camada física com o objetivo de identificar um dispositivo ou uma classe de dispositivos.
Este tipo de identificação é possível devido a imperfeições de hardware no circuito analógico
introduzido no processo de fabricação. Essas imperfeições são remotamente mensuráveis como
eles aparecem nos sinais transmitidos. Enquanto fabricação e controle de qualidade mais precisos
poderia minimizar tais artefatos, muitas vezes é impraticável devido à produção significativamente maior
custos.
Os sistemas de identificação de dispositivos de camada física visam identificar (ou verificar a identidade de)
www.cybok.org
dispositivos ou suas classes de afiliação, como seu fabricante. Esses sistemas podem ser visualizados
como sistemas de reconhecimento de padrões tipicamente compostos por: uma configuração de aquisição para adquirir sinais
nais de dispositivos sob identificação, também referidos como sinais de identificação, uma característica ex-
módulo de tração para obter informações relevantes de identificação dos sinais adquiridos, também
referido como impressões digitais, e uma correspondência de impressão digital para a comparação de impressões digitais e notify-
sistema de aplicação solicitando a identificação dos resultados da comparação. Tipicamente,
Existem dois módulos em um sistema de identificação: um para inscrição e um para identificação
ção Durante a inscrição, os sinais são capturados de cada dispositivo ou de cada (conjunto de) classe
dispositivo (s) representativo (s) considerado (s) pelo sistema de aplicação. Impressões digitais obtidas de
o módulo de extração de características são então armazenados em um banco de dados (cada ngerprint pode ser vinculado
com alguma forma de ID exclusivo que representa o dispositivo ou classe associada). Durante a identificação
ção, impressões digitais obtidas a partir dos dispositivos sob identificação são comparadas com a referência
ngerprints armazenados durante a inscrição. A tarefa do módulo de identificação pode ser dupla: ei-
reconhecer (identificar) um dispositivo ou sua classe de afiliação entre muitos dispositivos registrados ou
classes (: N comparações) ou verifique se a identidade ou classe de um dispositivo corresponde a uma identidade reivindicada
ou classe (: comparação).
O módulo de identificação usa métodos estatísticos para realizar a correspondência do dedo

impressões. Esses métodos são classificadores treinados com técnicas de aprendizado de máquina durante o
fase de inscrição. Se o módulo tem que verificar uma comparação:, o classificador é referido
como binário. Ele tenta verificar um sinal recém-adquirido contra um padrão de referência armazenado estabelecido
lished durante a inscrição. Se o classificador realiza uma comparação: N, por outro lado,
tenta encontrar o padrão de referência em uma base de dados que melhor corresponda com o adquirido
sinal. Muitas vezes, esses classificadores são projetados para retornar uma lista de candidatos classificados de acordo com
a uma métrica de similaridade ou probabilidade que denota a confiança de uma correspondência.
.. Dispositivo sob identificação

A identificação do dispositivo da camada física é baseada na impressão digital do circuito analógico de de-
vícios observando sua comunicação de rádio. Conseqüentemente, qualquer dispositivo que use rádio com
A comunicação pode estar sujeita à identificação da camada física. Até agora, foi demonstrado que um
número de dispositivos (ou classes de dispositivos) pode ser identi cado usando a identificação da camada física.
Estes incluem VHF analógico, Bluetooth, WiFi, RFID e outros transmissores de rádio.
Embora o que permite que um dispositivo ou uma classe de dispositivos sejam identificados de forma única entre outros
dispositivos ou classes de dispositivos é conhecido por ser devido a imperfeições introduzidas no manual
fase de fabricação do circuito analógico, os componentes do dispositivo real que causam estes têm
nem sempre foram claramente identificados em todos os sistemas. Por exemplo, os sistemas de identificação VHF são
com base na exclusividade dos sintetizadores de frequência dos transmissores (osciladores locais), enquanto em
Sistemas RFID , alguns estudos apenas sugeriram que o sistema de identificação proposto pode
dependem de imperfeições causadas pelas antenas e bombas de carga do dispositivo RFID . Identificando
os componentes exatos podem se tornar mais difíceis quando se considera a decomposição relativamente complexa
vícios. Nestes casos, é comum a identificação em todo o circuito analógico, ou em um específico
sub-circuito, a causa das imperfeições. Por exemplo, IEEE 8. transceptores foram identificados
ed considerando recursos relacionados à modulação; a causa dos artefatos de hardware pode ser então
localizado no subcircuito modulador dos transceptores. Conhecer os componentes que fazem
dispositivos exclusivamente identificáveis podem ter implicações relevantes para ataques e aplicações
ções, o que torna a investigação de tais componentes um importante problema aberto e
direção de pesquisa.
www.cybok.org
.. Sinais de identificação
Considerando dispositivos que se comunicam por meio de sinais de rádio, ou seja, enviam dados de acordo com
alguma especificação e protocolo definidos, a identificação na camada física visa extrair
obter características únicas dos sinais de rádio transmitidos e usar essas características
para distinguir entre diferentes dispositivos ou classes de dispositivos. Definimos sinais de identificação
como os sinais que são coletados para fins de identificação. As características do sinal são
principalmente com base na observação e extração de informações das propriedades do transmitido
sinais, como amplitude, frequência ou fase durante um determinado período de tempo. Essas janelas de tempo
pode cobrir diferentes partes dos sinais transmitidos. Principalmente, distinguimos entre dados e
partes não relacionadas a dados. As partes de dados dos sinais se relacionam diretamente aos dados (por exemplo, preâmbulo, mi-
transmissão damble, carga útil), o que leva a propriedades relacionadas aos dados consideradas, como
erros de modulação, amplitude do preâmbulo (midâmbulo), frequência e fase, transformação espectral
mações. Partes de sinais não relacionadas a dados não estão associadas à transmissão de dados. Exame-
Os valores incluem os transientes de ativação, regiões quase transientes, sinais de rajada de RF . Estes foram
usado para identificar transceptores sem fio ativos (IEEE 8., 8..) e transponders passivos
(ISO HF RFID).
As características extraídas dos sinais de identificação são chamadas de recursos. Aqueles podem ser
pressuposto ou inferido. Os recursos predefinidos estão relacionados a características de sinal bem conhecidas.
Esses podem ser classificados como in-speci cation e out-speci cation. As especificações são usadas para
controle de qualidade e descrição das tolerâncias a erros. Exemplos de características especificadas
incluem erros de modulação, como deslocamento de frequência, deslocamento de origem I / Q, magnitude e fase
erros, bem como parâmetros relacionados ao tempo, como a duração da resposta. Exemplos de
as características fora de especificação incluem distorção do clock e a duração do transiente de ativação.
Diferentemente das características predefinidas, onde as características consideradas são conhecidas em ad-
vance antes da gravação dos sinais, dizemos que as características são inferidas quando são ex-
extraído de sinais, por exemplo, por meio de algumas transformações espectrais, como Rápida
Transformada de Fourier (FFT) ou Transformada Wavelet Discreta (DWT), sem conhecimento a priori de
uma característica de sinal específica. Por exemplo, transformações wavelet foram aplicadas em
transientes de ativação de sinal e diferentes regiões de sinal relacionadas aos dados. O transformado de Fourier
também foi usada para extrair recursos do transiente de ativação e de outras tecnologias
respostas específicas do dispositivo. Os recursos predefinidos e inferidos podem estar sujeitos a mais
análise estatística para melhorar a sua qualidade e poder de distinção.
.. Impressões digitais do dispositivo

As impressões digitais são conjuntos de recursos (ou combinações de recursos, que são usados para identificar
vícios. As propriedades que os ngerprints precisam apresentar para alcançar uma implementação prática
mentações são (semelhantes às da biometria):
. Universalidade. Cada dispositivo (no espaço de dispositivo considerado) deve ter o

recursos.
. Singularidade. Dois dispositivos não devem ter as mesmas impressões digitais.
. Permanência. As impressões digitais obtidas devem ser invariáveis ao longo do tempo.
. Capacidade de cobrança. Deve ser possível capturar os sinais de identificação com os existentes
equipamentos (disponíveis).
Ao considerar a identificação da camada física de dispositivos sem fio, consideramos ainda:
www.cybok.org
. Robustez. Impressões digitais não devem estar sujeitas, ou pelo menos, devem ser avaliadas
no que diz respeito aos aspectos ambientais externos que influenciam diretamente os sinais coletados
nal como interferência de rádio devido a outros sinais de rádio, materiais circundantes, recepção de sinal
ções, absorção, etc., bem como aspectos de posicionamento como a distância e orientação
entre os dispositivos sob identificação e o sistema de identificação. Além disso, n-
gerprints deve ser robusto para aspectos relacionados ao dispositivo, como temperatura, nível de tensão e
nível de poder. Muitos tipos de robustez podem ser aceitáveis para uma identificação prática
sistema. Geralmente, a obtenção de recursos robustos ajuda na construção de identificações mais confiáveis
sistemas de cação.
6. Dependência de dados. As impressões digitais podem ser obtidas a partir de recursos extraídos de um
padrão de bits (parte relacionada aos dados do sinal de identificação) transmitido por um dispositivo sob
identificação (por exemplo, o ID reivindicado enviado em um quadro de pacote). Esta dependência tem particular
implicações extremamente interessantes se as impressões digitais puderem ser associadas a ambos os dispositivos
e dados transmitidos por esses dispositivos. Isso pode fortalecer a autenticação e ajudar
evitar ataques de repetição.
.. Ataques na identificação da camada física

A grande maioria dos trabalhos de pesquisa tem se concentrado na exploração de extração de características e correspondência
técnicas de identificação para identificação de dispositivos da camada física. Apenas recentemente, a segurança dessas tecnologias
niques começaram a ser abordados. Diferentes estudos mostraram que seu sistema de identificação
pode ser vulnerável a ataques de escalada se o conjunto de sinais usados para construir o dispositivo
ngerprint não é cuidadosamente escolhido. Este ataque consiste em enviar repetidamente sinais para o
sistema de identificação de dispositivo com modificações que melhoram gradualmente a pontuação de similaridade
entre esses sinais e um sinal alvo genuíno. Eles também demonstraram que
abordagens baseadas podem ser facilmente desabilitadas bloqueando a parte transitória do sinal enquanto
ainda permitindo uma comunicação confiável. Além disso, os ataques de personificação na modulação-
técnicas de identificação com base foram desenvolvidas e mostraram que o software de baixo custo definido
rádios, bem como geradores de sinal de ponta podem ser usados para reproduzir recursos de modulação
atua e personifica um dispositivo de destino com uma taxa de sucesso de -%. Tecnologia baseada em modulação
niques são vulneráveis à representação com alta precisão, enquanto as técnicas baseadas em transientes
provavelmente serão comprometidos apenas a partir da localização do dispositivo de destino. Os autores apontaram
fora que isso se deve principalmente à presença de efeitos de canal sem fio no dispositivo considerado
impressões digitais; portanto, o canal precisava ser levado em consideração para uma im-
personação.
Geralmente, esses ataques podem ser divididos em dois grupos: repetição de sinal (P) configuração e repetição de recurso
ataques . Em um ataque de replay de sinal, o objetivo do invasor é observar a identificação analógica
sinais de um dispositivo alvo, capturá-los em uma forma digital (amostragem digital) e, em seguida, transmitir
(reproduzir) esses sinais para o sistema de identificação por algum meio apropriado. O
o invasor não modifica os sinais de identificação capturados, ou seja, o sinal analógico e
a carga útil de dados é preservada. Este ataque é semelhante à reprodução de mensagens no Dolev-Yao
modelo no qual um invasor pode observar e manipular informações atualmente no ar em
vontade. Ao contrário dos ataques de replay de sinal, onde o objetivo do ataque é reproduzir o que foi capturado
sinais de identificação em sua totalidade, recurso de replay attack cria, modi ca ou compõe
sinais de identificação que reproduzem apenas as características consideradas pelo sistema de identificação.
A representação analógica dos sinais forjados pode ser diferente, mas os recursos devem
ser o mesmo (ou pelo menos muito semelhante).

www.cybok.org
. LIMITAÇÃO DE DISTÂNCIA E POSICIONAMENTO SEGURO

[ , , , , , , 6, ]
Protocolos de medição de distância segura (ou seja, limite de distância) foram propostos para abordar
a questão da verificação da proximidade entre dispositivos (sem fio). Seu uso é amplo e
varia desde a prevenção de ataques de retransmissão até a habilitação do posicionamento seguro.
Proteger a medição de distância requer protocolos seguros na camada lógica e uma distância
técnica de medição resiliente a ataques da camada física. Para atacar a medição de distância,
um invasor pode explorar as fraquezas da camada de dados e da camada física de medição de distância
técnicas e protocolos de segurança. Ataques de camada de dados podem ser, em grande medida, evitados por
implementação de protocolos de limitação de distância. No entanto, os ataques da camada física são significativos
preocupação, uma vez que podem ser executados independentemente de qualquer primitivo criptográfico de camada superior
que é implementado.
.. Protocolos de limitação de distância

Os protocolos de medição de distância segura visam prevenir o encurtamento e aumento da distância
ataques mentais. Quando eles apenas evitam o encurtamento da distância, eles também são chamados de distância
protocolos delimitadores, onde no final do protocolo um limite superior seguro na distância é
calculado. Esses protocolos são normalmente executados com diferentes suposições de confiança. Dispositivos
medir a distância (normalmente denominado verificador e provador) pode ser mutuamente confiável, no qual
caso o protocolo visa prevenir a manipulação de distância por um invasor externo. Se um de
os dispositivos, o provador, não são confiáveis, ele tentará manipular a distância medida. Outro
os cenários incluem o provador não confiável sendo ajudado por terceiros para trapacear em sua distância.
A literatura sobre limites de distância descreve quatro tipos principais de ataques 'fraudes' correspondentes a
os cenários acima: fraude à distância, fraude ma, fraude terrorista e sequestro à distância.
As primeiras investigações de protocolos de delimitação de distância começaram com o trabalho de Beth e

Desmedt [ ], e por Brands e Chaum [ ] Esses protocolos, bem como muitos que
seguidos, são projetados como protocolos criptográficos de desafio-resposta com RTT de vôo medido
certeza. Um dos principais insights de Brands e Chaum foi minimizar o processamento
no provador para que o provador não trapaceie em sua distância para o verificador. Ou seja, este pro
tocol requer que o provador calcule apenas um único bit XOR durante a fase crítica de tempo de
o protocolo. Isso se traduz em fortes garantias de segurança, desde que o provador não possa
implementar um XOR mais rápido do que o assumido pelo verificador. Hancke e Kuhn [ 8] propôs um
protocolo alternativo que usa a seleção de registro como uma função de processamento do provador. Este design
reduz o número de etapas de protocolos, permitindo que o verificador e o provador concordem previamente com
os nonces que serão usados na troca de protocolo. Muitos protocolos seguiram estes dois
projetos, principalmente abordando outros tipos de fraudes (especialmente fraude terrorista), bem como o
robustez à perda de mensagens, desempenho em termos de tempo de execução do protocolo e privacidade
de medição de distância.
www.cybok.org
.. Técnicas de medição de distância

Estabelecer proximidade requer estimar a distância física entre dois ou mais fios
menos entidades. Normalmente, a distância é estimada observando as mudanças no sinal
propriedades físicas finais (por exemplo, amplitude, fase) que ocorrem conforme o sinal se propaga ou por
estimar o tempo necessário para o sinal viajar entre as entidades.
Um sinal de rádio sofre uma perda na intensidade do sinal à medida que viaja pelo meio. O
quantidade de perda ou atenuação na força do sinal é proporcional ao quadrado da dis-
tance viajou. A distância entre o transmissor e o receptor pode, portanto, ser calculada
lated com base na equação de perda de caminho de espaço livre. Na realidade, o sinal experimenta
perdas devido à sua interação com os objetos no ambiente que são difíceis de contabilizar
para com precisão. Isso afeta diretamente a precisão da distância calculada e, portanto,
modelos avançados, como o desvanecimento de Rayleigh e modelos de perda de caminho de distância de registro são normalmente
usado para melhorar a precisão da estimativa de distância. Etiquetas de detecção de proximidade baseadas em Bluetooth
(por exemplo, Apple iBeacon e Passive Keyless Entry and Start Systems) usam a força do
sinal Bluetooth recebido, também conhecido como Indicador de Força do Sinal Recebido (RSSI)
valor como uma medida de proximidade.
Alternativamente, os dispositivos podem medir a distância entre eles estimando a fase

diferença entre um sinal de onda contínua recebido e um sinal de referência local. A necessidade
para manter o controle do número de ciclos inteiros decorridos é eliminado usando sinais de dif-
frequências diferentes normalmente referidas como variação baseada em fase de portadora múltipla. Devido ao seu baixo
complexidade e baixo consumo de energia, o intervalo baseado em fase é usado em vários comerciais
produtos.
Finalmente, o tempo que as ondas de rádio levam para viajar de um ponto a outro pode ser usado para
medir a distância entre os dispositivos. Em RFestimativa de distância baseada em RTT
a distância d entre duas entidades é dada por d = (t rx −t tx ) × c, onde c é a velocidade da luz, t tx
e t rx representam o tempo de transmissão e recepção, respectivamente. O tempo medido de
O vôo pode ser tanto de ida como de ida e volta. Tempo de voo só de ida
a medição requer que os relógios das entidades de medição estejam perfeitamente sincronizados. O
erros devido a relógios incompatíveis são compensados na medição do tempo de voo de ida e volta
mento.
A medição precisa da distância depende em grande parte da capacidade do sistema de estimar o

hora de chegada e as características físicas do próprio sinal de radiofrequência. O alcance
a precisão é aproximadamente proporcional à largura de banda do sinal de alcance. Dependendo do
nível necessário de precisão, sistemas de medição de distância baseados em tempo de voo usam
Impulse-Radio Ultra Wideband (IR-UWB) ou Chirp-Spread Spectrum (CSS) sinais. IR-UWB
sistemas fornecem precisão de nível de centímetro, enquanto a precisão dos sistemas CSS é da ordem
de - m. Há uma série de sistemas sem fio disponíveis comercialmente que usam chirp e
Tempo de voo de ida e volta UWB para medição de distância hoje.
www.cybok.org
.. Ataques de camada física na medição segura de distância

Com a crescente disponibilidade de sistemas de rádio definidos por software de baixo custo, um invasor pode
escutar, modificar, compor e (re) reproduzir sinais de rádio com facilidade. Isso significa que o at-
tacker tem controle total do canal de comunicação sem fio e, portanto, é capaz de
manipular todas as mensagens transmitidas entre as duas entidades. Em RSSI- com base na distância es-
estimativa, um invasor pode manipular a distância medida, manipulando o recebido
força do sinal no verificador. O invasor pode simplesmente amplificar o sinal transmitido pelo
provador antes de retransmiti-lo ao verificador. Isso resultará em uma estimativa de distância incorreta em
o verificador. As soluções disponíveis comercialmente garantem proteção contra ataques de retransmissão simplesmente
reduzindo ou atenuando a potência do sinal transmitido. No entanto, um invasor pode trivialmente
contornar tais contramedidas usando amplificadores de ganho mais alto e antenas receptoras.
Da mesma forma, um invasor também pode manipular a distância estimada entre o verificador e o
provador em sistemas que usam a propriedade de fase ou frequência do sinal de rádio. Por exemplo,
o invasor pode explorar a propriedade mensurável máxima de dis-
sistemas de medição de distância e executar ataques de redução de distância. A média máxima
distância alcançável, ou seja, o maior valor de distância d max que pode ser estimado usando uma fase
sistema de proximidade baseado, depende diretamente da fase mensurável máxima. Dado que o
o valor da fase varia de a π e, em seguida, reverte, a distância máxima mensurável também
rola após um certo valor. Um invasor pode aproveitar essa distância máxima mensurável
propriedade do sistema para executar o ataque de relé decrescente de distância. Durante o
ataque, o atacante simplesmente retransmite (amplia e encaminha) o sinal de interrogação do verificador
para o provador. O provador determina a fase do sinal de interrogação e retransmite um
sinal de resposta que está bloqueado em fase com o sinal de interrogação do verificador. O atacante então
recebe o sinal de resposta do provador e o encaminha para o verificador, porém com um tempo de de-
colocar. O atacante escolhe o tempo de atraso de forma que as diferenças de fase medidas alcancem
seu valor máximo de e rola. Em outras palavras, o atacante foi capaz de provar ao
verifique se o comprovador está próximo (por exemplo, m de distância), embora o comprovador esteja longe
do verificador.
Em tempo de voo (ToF) com base em sistemas de alcance, a distância é estimada com base no tempo
decorrido entre o verificador transmitir um pacote de alcance e receber uma confirmação
ment de volta do provador. A fim de reduzir a distância medida, um invasor deve de-
aumentar o tempo de ida e volta do sinal. Com base na implementação, um invasor pode
reduza a distância estimada em um sistema de alcance baseado no tempo de voo de mais de uma maneira.
Dado que os sinais de rádio viajam à velocidade da luz, uma diminuição ns na estimativa de tempo
pode resultar em uma redução da distância de cm.
O primeiro tipo de ataque na variação do tempo de voo alavanca a natureza previsível dos dados
contidos nos pacotes de alcance e de confirmação. Uma série de intervalos de tempo de combate
sistemas de integração usam pacotes de dados pré-definidos para variação, tornando trivial para um invasor pré-
dict e geram seu próprio sinal de alcance ou reconhecimento. Um invasor pode transmitir o
pacote de confirmação mesmo antes de receber o pacote de alcance do desafio. Várias obras
mostraram que o padrão de fato para IR-UWB, IEEE 8. . um não faz automaticamente
fornecem segurança contra ataques que diminuem a distância. Dentro [ ] foi mostrado que um atacante
pode potencialmente diminuir a distância medida em até metros, prevendo o
dados de preâmbulo e carga útil com mais de% de precisão, mesmo antes de receber todo o
símbolo. Em um ataque de 'cigarra', o atacante transmite continuamente um pulso com uma potência maior
do que o do provador. Isso degrada o desempenho dos receptores baseados em detecção de energia,
resultando na redução das medições de distância. A fim de prevenir tais ataques, é
www.cybok.org
importante evitar dados predefinidos ou fixos durante a fase crítica da distância

esquema de estimativa.
Além de ter o pacote de resposta dependente do sinal de desafio, a forma como

esses dados de desafio e resposta são codificados nos sinais de rádio e afetam a garantia de segurança
taxas fornecidas pelo sistema de alcance ou localização. Um invasor pode prever o bit (cedo
detectar) mesmo antes de receber o símbolo completamente. Além disso, o invasor pode aproveitar
a propriedade de robustez dos receptores modernos e transmitir sinal arbitrário até o correto
símbolo é previsto. Uma vez que o bit é previsto (por exemplo, detecção precoce), o invasor para de trans-
acertar o sinal arbitrário e passar a transmitir o bit correspondente ao previsto
símbolo, ou seja, o atacante 'se compromete' com o símbolo previsto, comumente conhecido como tardia
mit. Nesse cenário, o invasor não precisa esperar que toda a série de pulsos seja recebida
antes de detectar os dados sendo transmitidos. Depois de apenas um período de tempo, o invasor seria
capaz de prever corretamente o símbolo.
Conforme descrito anteriormente, os sistemas de tempo de ida e volta de ida e volta são implementados usando chirp
ou sinais de banda ultralarga de rádio de impulso. Devido aos seus longos comprimentos de símbolo, ambos implementam
ções têm se mostrado vulneráveis a ataques de detecção precoce e confirmação tardia. Dentro do estojo
de sistemas baseados em chirp, um invasor pode diminuir a distância em mais de 6 me em
alguns cenários até m. Embora os pulsos IR-UWB sejam de curta duração (normalmente
- ns longo), os símbolos de dados são normalmente compostos de uma série de pulsos UWB . Além disso,
IEEE 8. . um padrão IR-UWB permite comprimentos de símbolo longos, variando de ns a tão grandes
como 8 µs. Portanto, mesmo o menor comprimento de símbolo de ns permite que um invasor reduza o
distância em até m executando ataques de detecção precoce e confirmação tardia. Assim,
é claro que, a fim de garantir a proximidade e proteger um sistema de proximidade sem fio contra
ataques de detecção precoce e confirmação tardia, é necessário manter o comprimento do símbolo tão curto quanto
possível.
O projeto de uma camada física para medição de distância segura permanece um tópico em aberto. Contudo,
a pesquisa até agora produziu alguns princípios orientadores para seu design. Apenas rádio RTT com
A modulação UWB de pulso ou multipulso mostrou ser segura contra a camada física
ataques. Como resultado, o IEEE 8. . z grupo de trabalho iniciou a padronização de um novo
camada física para medição de distância segura UWB .
A primeira tentativa de formalizar os requisitos para medição de distância segura com base em
a hora de chegada (ToA) de mensagens transmitidas podem ser encontradas em [ ] Dito presentes de trabalho
uma definição formal de Códigos de Hora de Chegada da Mensagem (MTACs), o núcleo primitivo na con-
construção de sistemas para medição segura de ToA . Se implementado corretamente, os MTACs fornecem
a capacidade de resistir a ataques de redução e ampliação em medições de distância. Isto é
mostrado que sistemas baseados em modulação UWB podem ser implementados de modo que o
os requisitos de segurança são atendidos e, portanto, constituem exemplos de esquemas MTAC .

www.cybok.org
x
V1 V2
P P
V3
Figura . : Se a localização computada do provador estiver no triângulo de verificação, os verificadores

concluir que este é um local correto. Para falsificar a posição do provador dentro do triângulo, o
o invasor precisaria reduzir pelo menos um dos limites de distância.
.. Posicionamento Seguro
Os sistemas de posicionamento seguro permitem que as âncoras de posicionamento (também chamadas de verificadores) calculem o
posição correta de um nó (também chamado de provador) ou permitir que o provador determine o seu próprio
posicione corretamente apesar das manipulações do atacante. Isso significa que o invasor não pode
convencer os verificadores ou o provador de que o provador está em uma posição diferente de sua
posição verdadeira. Isso também é chamado de resiliência de spoo ng. Uma propriedade relacionada é a de seguro
verificação de posição, o que significa que os verificadores podem verificar a posição de um não confiável
provador. Geralmente, presume-se que os verificadores são confiáveis. Nenhuma restrição é imposta ao
atacante, pois controla totalmente o canal de comunicação entre os provadores e os verificadores.
A análise de técnicas de posicionamento de transmissão, como GNSS , mostrou que tal tecnologia
técnicos são vulneráveis a spoo ng se o invasor controlar os sinais na antena do
Receptor GNSS .
Este tipo de abordagem foi proposto para resolver este problema: Multilateração verificável
e Posicionamento seguro com base em estações ocultas .
A multilateração verificável depende da medição / limitação de distâncias seguras. É con-

sistemas de medições de distância limitada ao provador de pelo menos três verificadores (em D) e
quatro verificadores (em D) e de cálculos subsequentes realizados pelos verificadores ou por um centro
sistema tral. A multilateração verificável foi proposta para abordar o posicionamento seguro
e verificação de posição. No caso de posicionamento seguro, o provador é confiável e ma a-
o limite de distância resiliente à fraude é executado entre o comprovador e cada um dos verificadores. O
verificadores formam triângulos de verificação / pirâmides triangulares (em D) e verificam a posição de
o provador dentro do triângulo / pirâmide. Para o atacante enganar um provador de posição
P a P 'dentro de um triângulo / pirâmide, o atacante precisaria reduzir pelo menos um dos dis-
limites de distância que são medidos para P. Isso decorre da geometria do triângulo / pirâmide.
Uma vez que o limite de distância evita ataques de redução de distância, Multilateration verificável
ventila ataques spoo ng dentro do triângulo / pirâmide. O invasor só pode falsificar P para P 'que
está fora do triângulo / pirâmide, fazendo com que o provador e os verificadores rejeitem o cálculo
posição. Ou seja, os verificadores e o provador só aceitam as posições que estão dentro do
área de cobertura, de nida como a área coberta pelos triângulos / pirâmides de verificação. Dado
isso, quando o provador é confiável, a multilateração verificável é resiliente a todas as formas de falsificação
pelo atacante. Cuidado adicional precisa ser dado ao gerenciamento de erros e ao
cálculo da posição quando os erros de medição de distância são levados em consideração.
Quando usado para verificação de posição, a Multilateração Verificável é executada com um provador não confiável.
Cada verificador executa um protocolo de delimitação de distância resiliente à fraude à distância com o comprovador. Sediada
nos limites de distância obtidos, os verificadores computam a posição dos provadores. Se esta posição
www.cybok.org
(dentro de alguns limites de erro de distância e posição) cai dentro do triângulo / pirâmide de verificação
no meio, os verificadores o aceitam como válido. Dado que o provador não é confiável, ele pode ampliar qualquer
das distâncias medidas, mas não pode reduzi-las, uma vez que isso é evitado pelo uso de
protocolos de delimitação de distância. Como no caso de posicionamento seguro, a geometria do tri-
o ângulo / pirâmide impede então o provador de reivindicar uma posição falsa. Ao contrário do caso de
posicionamento seguro, a verificação de posição é vulnerável a ataques de clonagem, em que o provador
compartilha sua chave para seus clones. Esses clones podem então ser colocados estrategicamente para os verificadores
e falsifique qualquer posição aumentando as distâncias para cada verificador individual. Este ataque pode ser
possivelmente endereçado por hardware resistente à violação ou impressão digital do dispositivo.
Outra abordagem para garantir o posicionamento e a verificação da posição é prevenir o invasor

de spooing deterministicamente a posição computada, tornando as posições do veri-
ers imprevisíveis para o invasor (um provador malicioso ou um invasor externo). Veri er
as posições podem, portanto, ser ocultadas ou os verificadores podem ser móveis. Quando os verificadores estão ocultos
eles devem apenas ouvir os beacons enviados pelos nós para não divulgar suas posições. Sobre
recebendo os beacons, as estações base calculam a localização dos nós com TDOA e verificam
se este local for consistente com as diferenças de tempo.
. COMPROMETIR EMANAÇÕES E SENSOR

SPOOFING
[ , ,6, , , , , , ]
Dispositivos eletrônicos emitem ondas eletromagnéticas na forma de sinais de rádio e áudio, pro-
aquecer e criar vibração, tudo o que poderia se correlacionar com informações confidenciais que
os dispositivos processam ou armazenam. Tais emanações, ou mais geralmente referidas como canal lateral
nels, são prevalentes e têm sido extensivamente estudados.
O spoo ng do sensor remoto é o oposto (físico) de emanações comprometedoras. Em vez de

espionando o vazamento eletromagnético, um invasor injeta sinais que falsificam o valor
medido por um sensor ou receptor e, portanto, (adversamente) afeta o sistema contando com o
leituras e medições do sensor. Isso é particularmente crítico em autônomos e outros
sistemas ciber-físicos que têm consequências diretas na segurança das pessoas ao redor
ple e infraestrutura.
.. Emanações comprometedoras
No contexto militar, técnicas de exploração e proteção contra emissão indesejada
em sistemas de comunicação datam da Segunda Guerra Mundial e ao longo do tempo foram col-
selecionado em um termo abrangente denominado TEMPEST. A primeira demonstração pública de baixo custo em-
aderências em sistemas comerciais usando emanações comprometedoras foi feito em 8 por Wim
van Eck [ 6] Este ataque demonstrou que as informações exibidas em monitores CRT podem
ser interceptado com sucesso a uma distância de centenas de metros. Esta demonstração
estimulou pesquisas sobre as fontes de tais emanações, bem como sobre medidas de proteção.
Ele também destacou que não apenas as informações de vazamento de emissões de rádio. Em geral, existem quatro
categorias de tais emanações: acústica, óptica, térmica e eletromagnética.
Estudos detalhados das fontes e características que levam a tais compromissos foram
desenvolvido ao longo dos anos, e em várias ocasiões, foi demonstrado que comprometer
emanações de monitores analógicos e digitais resultaram da transmissão de informações
www.cybok.org
através de cabos de vídeo analógico e através de interface serial digital de alta velocidade (DVI) cabos.
No entanto, trabalhos mais recentes mostram que tais emanações não se restringem a cabos e, a
agravar a situação, as emissões comprometedoras não são necessariamente causadas por análogos ou
monitores digitais apenas.
Alguns ataques descritos na pesquisa mostraram que sons de alta frequência causados por vibração
de componentes eletrônicos (capacitores e bobinas) no circuito de regulação de tensão do computador
pode ser usado para inferir fatores primos e, portanto, derivar chaves de criptografia RSA . Soa ema-
dados a partir do pressionamento de teclas em um teclado foram usados para inferir o que o usuário está digitando. O resultado
as vibrações podem, por exemplo, ser detectadas pelo acelerômetro de um telefone localizado nas proximidades. Fi-
finalmente, reflexos de diferentes objetos nas proximidades de telas de computador, como colheres,
frascos e retina do usuário foram usados para inferir as informações exibidas em um display.
A crescente disponibilidade de telefones que integram sensores de alta qualidade, como câmeras,
microfones e acelerômetros tornam mais fácil montar ataques bem-sucedidos, já que não há
o equipamento de sensor congelado precisa ser colocado secretamente no lugar.
Para evitar emissões de sinal indesejadas, os dispositivos podem ser mantidos à distância, podem ser blindados e
sinais que são transmitidos devem ser filtrados a fim de remover componentes de alta frequência
isso pode refletir a atividade de comutação no circuito. Além disso, geralmente é aconselhável colocar um
fio de retorno próximo ao fio de transmissão para evitar exploração da corrente de retorno.
Em geral, fios e sistemas de comunicação com informações confidenciais devem ser
separados (com intervalo de ar) de sistemas não confidenciais.
.. Compromisso de sensor
Sensores analógicos demonstraram ser particularmente vulneráveis a ataques de spoo ng. Semelhante
comprometer emanações, sensor spoo ng depende do tipo de fenômeno físico
ena o sensor captura. Pode ser acústica, ótica, térmica, mecânica ou eletromagnética.
Hoje em dia, muitos dispositivos eletrônicos, incluindo carros autônomos, dispositivos médicos e
sistemas de controle de loop, apresentam sensores analógicos que ajudam a observar o ambiente e fazer
decisões de forma totalmente autônoma. Esses sistemas são equipados com proteções sofisticadas
mecanismos de instalação para evitar acesso não autorizado ou comprometimento por meio da comunicação do dispositivo
interfaces de catião, como criptografia, autenticação e controle de acesso. Infelizmente, quando
se trata de dados coletados por sensores, o mesmo nível de proteção muitas vezes não está disponível ou
difícil de alcançar, uma vez que as interações adversas com um sensor podem ser difíceis de modelar e pré-
dict. Como resultado, EMI não intencional e especialmente intencional direcionado a sensores analógicos
pode representar uma ameaça realista para qualquer sistema que dependa de leituras obtidas de um afetado
sensor.
EMI tem sido usado para manipular a saída de dispositivos médicos, bem como para comprometer
sistemas de alcance ultrassônico. A pesquisa mostrou que dispositivos eletrônicos de consumo equipados
com microfones são especialmente vulneráveis à injeção de sinais de áudio fabricados [ 6 ]
Sinais ultrassônicos foram usados para injetar comandos de voz silenciosos, e ondas acústicas foram usadas
para afetar a saída de acelerômetros MEMS . Com base em acelerômetros e sistemas intericiais
em MEMS são, por exemplo, amplamente usados em drones (de consumo) e multicópteros
Sem dúvida, os ataques de detecção de sensor ganharam muita atenção e provavelmente impactarão
muitos dispositivos ciberfísicos do futuro. Os designers de sistemas, portanto, devem tomar muito cuidado e
proteger sensores analógicos de entrada adversária, pois um invasor pode desencadear uma decisão crítica
na camada de aplicação de tal dispositivo, expondo-o a EMI intencional. Potencial de
www.cybok.org
as estratégias de cerca incluem, por exemplo, blindagem (analógica) dos dispositivos, sinal de medição
contaminação usando várias métricas ou acomodando monitores EMI dedicados para detectar
e leituras de sensor suspeitas.
Uma estratégia promissora que segue a abordagem de quantificar a contaminação do sinal para detectar
O spoo ng do sensor EMI é apresentado em [ ] A saída do sensor pode ser ligada e desligada ac-
de acordo com um padrão desconhecido para o invasor. EMI adversário nos fios entre o sensor
e o circuito convertendo a leitura em um valor digital, ou seja, o ADC, pode ser detectado durante
os tempos em que o sensor está desligado, uma vez que a saída do sensor deve estar em um nível conhecido. Caso haja
são uctuations nas leituras, um ataque é detectado. Essa abordagem é pensada para ser
especialmente eficaz quando usado para proteger sensores passivos energizados ou não. Tem
demonstrou frustrar com sucesso ataques EMI contra um microfone e um
sistema de sensor de ature. A única modificação necessária é a adição de um interruptor eletrônico
que pode ser operado pela unidade de controle ou microcontrolador para ligar e desligar o sensor. UMA
esquema de detecção de spoo ng de sensor semelhante pode ser implementado para sensores ativos, como
sensores ultrassônicos e infravermelhos, incorporando um mecanismo semelhante a uma resposta de desafio em
o processo de aquisição de medição [ ] Um sensor ativo geralmente tem um elemento emissor
e um elemento receptor. O emissor libera um sinal que é refletido e capturado pelo re-
ceiver. Com base nas propriedades do sinal recebido, o sensor pode inferir informações sobre
a entidade ou o objeto que refletiu o sinal. O emissor pode ser desligado aleatoriamente e
durante esse tempo, o receptor não deve ser capaz de registrar nenhum sinal de entrada. Por outro lado,
um ataque é detectado e a leitura do sensor é descartada.
.6 SEGURANÇA DA CAMADA FÍSICA DE SELEÇÃO

TECNOLOGIAS DE COMUNICAÇÃO
[ 8, , 6 , 6]
Esta seção apresenta os mecanismos de segurança de uma seleção de comunicações sem fio existentes
técnicas de aplicação que estão em uso hoje. O foco principal está nas construções de segurança da camada física
bem como qualquer falta dela. As técnicas de comunicação que são discutidas em detalhes são
comunicação próxima, redes de comunicação de tráfego aéreo, redes celulares e globais
sistemas de navegação por satélite.
.6. Comunicação próxima (NFC)

A comunicação próxima geralmente se refere a protocolos de comunicação sem fio entre
dois pequenos dispositivos eletrônicos (portáteis). O padrão é usado para pagamento sem contato e
sistemas de pagamento móvel em geral. NFC-dispositivos habilitados também podem trocar informações de identidade-
informações, como cartões-chave, para controle de acesso e parâmetros de negociação para estabelecer um sub
conexão sem fio sequente de alta largura de banda usando protocolos mais capazes.
O NFC foi projetado para transmitir e receber dados apenas a uma distância de alguns centímetros.
Mesmo se os protocolos criptográficos de camada superior forem usados, os protocolos NFC vanilla não oferecem
cura a comunicação e não pode garantir que dois dispositivos de comunicação são, de fato, apenas
a uma curta distância um do outro. NFC é vulnerável a espionagem, ataques man-in-the-middle e
ataques de retransmissão de mensagens.
Mesmo hoje em dia, o NFC padrão é implantado em contextos críticos de segurança devido ao pressuposto
que os dispositivos de comunicação estão próximos. A pesquisa mostrou, no entanto, que este
www.cybok.org
suposição não pode ser verificada de forma confiável usando protocolos NFC . A distância pode ser feita al-
mais arbitrariamente grande, retransmitindo mensagens entre NFCdispositivos habilitados. O ataque funciona
da seguinte forma: os dispositivos NFC benignos são levados a acreditar que estão se comunicando com
uns aos outros, mas na verdade estão trocando dados com um smartphone modificado. Um adversário
pode colocar estrategicamente um smartphone ao lado de cada dispositivo NFC benigno enquanto os smartphones
eles próprios usam um método de comunicação que pode cobrir longas distâncias, como WiFi. Eles
simplesmente encaminhe as mensagens que os dispositivos benignos estão enviando uns aos outros. Tal ataque
também é referido como um ataque de buraco de minhoca, em que as partes comunicantes são enganadas para que
supondo que eles estão mais próximos do que realmente são. Este é um problema que não pode ser resolvido
usando técnicas na camada lógica ou na camada de dados.
Obviamente, a maioria dos ataques descritos podem ser mitigados protegendo os dispositivos NFC ou
aprimore o protocolo com autenticação de dois fatores, por exemplo. Tais mecanismos não
transferir decisões relevantes de segurança para o usuário de um sistema NFC . Contramedidas
que não impõem sobrecarga ao usuário podem ser categorizados em métodos de camada física e
o aumento com identificadores específicos de contexto ou dispositivo [ 8]
O aumento do protocolo envolve dispositivos NFC sensíveis ao contexto que incorporam informações de localização
no sistema NFC para verificar a proximidade. A detecção de localização pode ser implementada com
a ajuda de uma variedade de serviços diferentes, cada um com sua própria precisão e granularidade. Vigarista-
ceivable são, por exemplo, GNSS/ GPS com base na verificação de proximidade ou aproveitando o ID da célula
da estação base da qual o dispositivo NFC está atualmente mais próximo, a fim de inferir uma noção de
proximidade.
Os métodos da camada física que foram sugeridos na literatura de pesquisa são restritos no tempo
ções e delimitação de distância. Aplicar restrições de tempo estritas nas mensagens de protocolo
pode ser entendido como uma forma rudimentar de delimitação de distância. Conforme discutido na Seção. , dis-
limite de distância determina um limite superior na distância física entre duas comunicações
dispositivos interessantes. Embora o limite de distância seja considerado a abordagem mais eficaz, ele ainda
continua a ser mostrado se o limite de distância segura pode ser implementado na prática para pequenas
NFCdispositivos habilitados.
.6. Redes de comunicação de tráfego aéreo

Ao longo de diferentes fases de voo, a aviação comercial e não comercial usa vários
tecnologias de comunicação sem fio para trocar informações com autoridades da aviação sobre
tanto no solo quanto entre os veículos aerotransportados. Freqüentemente, os sistemas legados ainda estão em uso e
a segurança nunca fez parte do projeto de tais sistemas.
Embora novas propostas sugiram a revisão desses sistemas e a integração total de medidas de segurança
segurança na camada de dados, como criptografia e autenticação de mensagens, comunicação de tráfego aéreo
redes de comunicação não são usadas apenas para transmissão de informações, mas também para extrair
recursos de camada do sinal para realizar o posicionamento de localização da aeronave.
Um exemplo proeminente é ADS-B. Um transponder ADS-B periodicamente (ou quando solicitado)

transmite as informações de posição da aeronave, como coordenadas, que foram obtidas
através de um receptor GNSS integrado. A maioria das versões do ADS-B só oferece suporte não autenticado
mensagens e, portanto, esta tecnologia sofre de ataques ativos e passivos, ou seja,
descartando, modificando, injetando e bloqueando mensagens. É, por exemplo, possível prevenir
a localização de uma aeronave de ser rastreada pelo Controle de Tráfego Aéreo (ATC) simplesmente bloqueando o re-
mensagens específicas. Da mesma forma, um adversário pode criar aviões fantasmas emitindo
www.cybok.org
mensagens do transponder. Um invasor sofisticado pode até distorcer totalmente a visão que o ATC tem
em seu espaço aéreo.
Multilateração
de ADS-B não (MLAT) pode
autenticado e, ser vista como
portanto, uma tecnologia
geralmente que atenua
é implementado algumas com
em conjunto das deficiências
ADS-B . MLAT
não depende da informação transmitida encapsulada na mensagem, mas faz uso
da constelação física e geométrica entre o transmissor (ou seja, o transponder de
aeronave) e vários receptores. Os sistemas MLAT extraem propriedades da camada física do
mensagens recebidas. A hora de chegada de uma mensagem é gravada em diferentes regiões co-localizadas
receptores e, usando a velocidade de propagação do sinal, a localização do transpon-
der pode ser estimado. As técnicas de multilateração inferem a localização da aeronave, mesmo que a
tendas das mensagens ADS-B estão incorretas e, portanto, MLAT fornece um meio de verificação cruzada
as informações de localização divulgadas pelo transponder da aeronave.
Embora o MLAT ofereça segurança adicional com base nas propriedades da camada física, um anúncio distribuído
versário ainda pode manipular mensagens ADS-B . Além de alterar as informações de localização,
um invasor pode modificar ou injetar sinais que afetam a medição do tempo de chegada no re-
ceivers. Se o invasor tiver acesso a várias antenas distribuídas e for capaz de coordenar
emissão de sinal adversário com precisão, ataques semelhantes aos do ADS-B padrão são viáveis
ble. No entanto, quanto mais receptores usados para gravar os sinais, mais difíceis esses ataques
vir a ser. Infelizmente, o MLAT nem sempre é uma solução eficaz na aviação como um recurso estratégico
A colocação do receptor é crucial e os cálculos de tempo de chegada podem ser suscetíveis a caminhos múltiplos
interferência [ ]
.6. Redes Celulares

As redes celulares fornecem comunicação de voz, dados e mensagens por meio de uma rede de
estações base, cada uma cobrindo uma ou mais células. As disposições de segurança dessas redes
são regidos principalmente pelos padrões que foram adotados na Associação GSM e posteriormente em
o Plano de Parceria de Terceira Geração (GPP)
Redes 'GSM' de segunda geração (G) foram introduzidas durante os anos e restritas
seus serviços para mensagens de voz e texto. Redes G eram capazes de transportar dados via
um serviço de dados comutados por circuito (CSD) que operava de maneira semelhante ao dial-up
modems, apenas através de redes celulares. O desenvolvimento de e-mail e serviços da web resultou
na necessidade de velocidades e serviços aprimorados
GPP melhorou o padrão G GSM com serviço de dados comutados por pacote, resultando no Gen-
Geral Packet Radio Service (GPRS). Como o GSM , o GPRS fez uso do Registro de localização residencial
(HLR), um componente responsável pelo gerenciamento e autenticação da chave do assinante
ção No entanto, GPRS melhorou GSM adicionando o Nó de Suporte Serving GPRS (SGSN) para
roteamento de tráfego de dados e gerenciamento de mobilidade para melhor entrega de tráfego de dados. Terceira Geração-
ção (G) de redes celulares, também conhecidas como Sistemas Universais de Telecomunicações Móveis
(UMTS), introduziu uma série de melhorias nas redes G, incluindo aprimoramento de segurança
mentos, bem como velocidades e capacidades aumentadas de uplink e downlink. Quarta Geração
(G) redes celulares, também conhecidas como Long Term Evolution (LTE) introduziu um aumento adicional
em velocidades e capacidades de transmissão.
Uma das principais propriedades de segurança que as redes celulares visam proteger é a confidencialidade
da comunicação do link entre a estação móvel e a estação base e corrigir
cobrança. A segurança das redes celulares evoluiu com as gerações de rede, mas todos os
erações têm o mesmo conceito abrangente. Os assinantes são identificados por meio de seu (Universal)
www.cybok.org
Módulos de identidade do assinante, sua identidade internacional de assinante móvel (IMSI) número e
sua chave secreta relacionada. IMSI e as chaves são usadas para autenticar assinantes, bem como para
gerar os segredos compartilhados necessários para proteger a comunicação com a rede celular.
Segurança G focada na confidencialidade do link sem fio entre a estação móvel

e a estação base. Isso foi alcançado por meio da autenticação por meio de uma resposta de desafio
protocolo, autenticação G e acordo de chave (AKA) Este protocolo é executado a cada vez
quando uma estação móvel inicia uma operação faturável. G AKA alcançou autenticação baseada
em uma chave de longo prazo K i compartilhada entre o cartão SIM do assinante e a rede. Esta chave é
usado pela rede para autenticar o assinante e derivar uma chave de sessão K c . Isso é
feito dentro de um protocolo de resposta de desafio, executado entre o SGSN e o celular
estação. Antes da execução do protocolo, o SGSN recebe do HLR o K c , um
valor RAND e uma resposta esperada XRES. Ambos K c e XRES são gerados dentro
o HLR baseado em RAND e K i . Quando a estação móvel tenta se autenticar no
rede é enviado RAND. Para autenticar, a estação móvel combina sua chave de longo prazo K i
(armazenado em seu cartão SIM ) com o RAND recebido para gerar RES e K c . A estação móvel
envia RES para o SGSN que o compara com XRES. Se os dois valores coincidirem, o celular
estação
qual é autenticada
a estação na rede.
móvel está O SGSN
conectada então
a fim envia o Ka estação
de proteger c para a estação base para
móvel para a estação base sem fio
link.
G AKA ofereceu proteção muito limitada. Ele usava um tamanho de chave inadequado (6 a 6 bits) e um áudio fraco
algoritmos de autenticação e geração de chave (A, A e A8) que foram, uma vez lançados, quebrados,
permitindo espionagem e falsificação de mensagens. Além disso, AKA foi projetado para fornecer
autenticação apenas unilateral da estação móvel para a rede. Uma vez que a rede não
autenticar nas estações móveis, isso permitiu ataques por estações base falsas, violando usuários
privacidade de localização e confidencialidade de sua comunicação.
A fim de resolver as deficiências de segurança do G, as redes G introduziram o novo G Authenti-

cátion e acordo de chave (G AKA) procedimentos. G AKA substituiu o fraco criptográfico
algoritmos que foram usados em G e forneceram autenticação mútua entre a rede
e as estações móveis. Como em G, o objetivo do protocolo é a autenticação (agora mu-
tual) da rede e da estação móvel. A entrada no protocolo é uma chave secreta K
compartilhado entre o HLR e o assinante. O resultado do protocolo são duas chaves, o
a chave de criptografia / confidencialidade CK e a chave de integridade IK. A geração de duas chaves al-
baixa a rede e a estação móvel para proteger a integridade e confidencialidade de seus
comunicação usando duas chaves diferentes, de acordo com as práticas de segurança comuns. CK e IK
têm 8 bits cada, o que é considerado adequado.
A autenticação e a derivação da chave são realizadas da seguinte forma. O HLR primeiro gera o
desafio aleatório RAND, a partir dele a resposta esperada XRES, as teclas CK e IK e
o token de autenticação AUTN. Em seguida, ele envia esses valores para o SGSN. O SGSN envia o
RAND, bem como o AUTN para a estação móvel (também denominado como Equipamento do Usuário (UE)),
que então usará sua chave de longo prazo K para gerar a resposta RES e verificar se AUTN
foi gerado pelo HLR. O AUTN é da chave compartilhada e o contador mantido por
tanto o HLR quanto a estação móvel. Ao receber o RES da estação móvel, SGSN
irá compará-lo com o XRES e se eles corresponderem, irá encaminhar o CK e IK para a base
estação. A base e a estação móvel agora podem usar essas chaves para proteger suas comunicações.
G, no entanto, ainda não resolveu as vulnerabilidades nas redes da operadora. CK e

IK são transmitidos entre diferentes entidades na rede. Eles são transmitidos entre
SGSN e a estação base associada, bem como entre diferentes estações base durante o mês

www.cybok.org
bilidade. Isso permite que os invasores de rede gravem essas chaves e, portanto, bisbilhotem no wireless
conexões.
G (LTE) a arquitetura de segurança preservou muitos dos principais elementos das redes G e G,
mas teve como objetivo abordar as deficiências de G em termos de proteção da rede interna
tráfego através da proteção de links de rede e redistribuição de funções diferentes. Para ex-
amplo, o armazenamento de chaves de longo prazo foi movido do HLR para o Home Subscriber Server
(HSS) O gerenciamento de mobilidade foi movido do SGSN para o Mobility Management Engine
(MME)
A arquitetura de segurança G evolui G, mas segue um conjunto semelhante de princípios e entidades. G

apresenta uma nova versão do contrato de autenticação e chave (AKA) protocolos que eram
projetado para resolver os problemas encontrados em G, no entanto, com sucesso misto [ 6 ]
.6. Segurança GNSS e ataques spoo ng

GNSS como GPS e Galileo fornecem serviço de navegação global através de satélites que são
orbitando a Terra aproximadamente, km acima do solo. Os satélites estão equipados com
relógios atômicos de alta precisão que permitem que os satélites permaneçam sincronizados. Satélites
transmitir mensagens de navegação nas frequências centrais de. MHz (L) e 0,6 MHz
(EU ). A propagação de sequência direta é usada para permitir a aquisição e proteger o transporte de sinais
ing essas mensagens de ataques de spoo ng e jamming. Os códigos civis são públicos e, portanto,
portanto, não oferecem tal proteção, enquanto os códigos militares e de interesse especial são mantidos con -
dential. As mensagens de navegação transportam dados, incluindo informações do relógio de satélite, as efemérides
(informações relacionadas à órbita do satélite) e o almanaque (o orbital do satélite e o relógio em
formação). As mensagens de satélite são transmitidas e a recepção de mensagens de quatro
de mais satélites permitirá que um receptor calcule sua posição. Este cálculo de posição é
com base na trilateração. O receptor mede os tempos de chegada dos sinais de satélite, con
os converte em distâncias (pseudo-intervalos) e, em seguida, calcula sua posição, bem como seu relógio
compensado em relação aos relógios dos satélites.
Um ataque de spoo ng de sinal de GPS é um ataque de camada física em que um invasor transmite especial
sinais de rádio criados oficialmente que são idênticos aos sinais de satélite autênticos. GPS civil é fácil
extremamente vulnerável a ataques de spoo ng de sinal. Isso se deve à falta de qualquer autenticação de sinal
e os códigos de difusão publicamente conhecidos para cada satélite, esquemas de modulação e dados
estrutura. Em um ataque de spoo de sinal, o objetivo de um invasor pode ser forçar um alvo
receptor para (i) calcular uma posição incorreta, (ii) calcular um tempo incorreto ou (iii) interromper o
receptor. Devido à baixa potência do sinal de satélite legítimo no receptor, o invasor
sinais de spoo podem obscurecer trivialmente os sinais autênticos. Em um ataque de spoo ng, o GPS
receptor normalmente bloqueia (adquire e rastreia) no sinal mais forte do invasor, portanto, ignora
sinais de satélite.
Um invasor pode influenciar a posição do receptor e a estimativa de tempo de duas maneiras: (i) por manipulação
ulating o conteúdo das mensagens de navegação (por exemplo, a localização de satélites, navegação
hora de transmissão da mensagem) e / ou (ii) modificando a hora de chegada da mensagem de navegação
sábios. O invasor pode manipular o tempo de chegada do receptor mudando temporariamente o
sinais de mensagem de navegação durante a transmissão dos sinais de spoo ng. Podemos classificar spoof-
ataques baseados em quão síncrono (no tempo) e consistente (com relação ao conteúdo
das mensagens de navegação) os sinais de spoo ng são em comparação com o GPS legítimo
sinais atualmente sendo recebidos na verdadeira localização do receptor.
Conteúdo da mensagem não coerente e modificado: neste tipo de ataque, os sinais do atacante
www.cybok.org
Figura . : Ataque de aquisição uniforme em GPS. O spoo ng alinha seu sinal com o legítimo
sinalizar imate e aumentar lentamente a potência de transmissão. Uma vez que o receptor trava no atacante
sinal, ele começa a manipulá-lo.
não estão sincronizados e contêm dados de mensagens de navegação diferentes em comparação com o
sinais autênticos. Atacantes que usam geradores de sinal GPS para executar o ataque de spoo ng
normalmente se enquadram nesta categoria. Um invasor com um pouco de know-how pode executar uma falsificação
de ataque usando esses simuladores devido à sua baixa complexidade, portabilidade e facilidade de uso.
Alguns geradores de sinais de GPS avançados são até capazes de gravar e reproduzir sinais,
entretanto, não em tempo real. Em outras palavras, o atacante usa o simulador para gravar em um par-
determinado momento em um determinado local e, posteriormente, reproduzi-lo. Uma vez que eles são reproduzidos posteriormente, o
os sinais do invasor não são coerentes e contêm dados de mensagem de navegação diferentes dos
sinais legítimos que estão sendo recebidos.
Conteúdo da mensagem não coerente, mas não modificado: neste tipo de ataque, a mensagem de navegação
os conteúdos sage dos sinais de spoo ng transmitidos são idênticos aos sinais GPS legítimos
atualmente sendo recebido. No entanto, o invasor muda temporariamente o sinal de spoo ng assim
manipular o tempo de chegada do sinal de spoo no receptor alvo. Por exemplo, atacantes
capaz de gravação em tempo real e reprodução de sinais de GPS se enquadram nesta categoria, pois
terá o mesmo conteúdo de navegação que o dos sinais GPS legítimos , porém deslocados
em tempo. A localização ou deslocamento de tempo causado por tal ataque no receptor alvo depende
no tempo de atraso introduzido pelo atacante e devido ao tempo de propagação do
sinal retransmitido. O invasor pode pré-calcular esses atrasos e falsificar um receptor
para um local desejado.
Conteúdo da mensagem coerente, mas modificado : O invasor gera sinais de spoo ng que são
sincronizado com os sinais de GPS autênticos . No entanto, o conteúdo da mensagem de navegação
os sábios não são os mesmos dos sinais autênticos vistos atualmente. Por exemplo, Fase-
Os sintetizadores de sinais coerentes são capazes de gerar sinais de spoo ng com o mesmo código
fase como o sinal de GPS legítimo ao qual o receptor de destino está atualmente travado. Adição-
aliado, o invasor modifica o conteúdo da mensagem de navegação em tempo real (e com min-
atraso interno) e reproduz para o receptor alvo. Uma variedade de receptores GPS comerciais foram
mostrou ser vulnerável a este ataque e, em alguns casos, até causou danos permanentes
para os receptores.
Conteúdo da mensagem coerente e não modificado : aqui, o invasor não modifica o conteúdo
da mensagem de navegação e está completamente sincronizado com os sinais GPS autênticos . Até
embora o receptor trave nos sinais de spoo do invasor (devido ao poder mais alto), há
não há mudança na localização ou hora computada pelo receptor alvo. Portanto, este não é um
ataque em si, mas é um primeiro passo importante na execução do ataque de controle contínuo.
O ataque de aquisição uniforme é considerado um dos ataques mais fortes da literatura. Em um
maioria dos aplicativos, o receptor alvo já está travado no satélite GPS legítimo
www.cybok.org
sinais lite. As principais etapas são destacadas na Figura . . O objetivo de um atacante é forçar
o receptor para parar de rastrear os sinais GPS autênticos e bloquear os sinais de spoo ng
sem causar qualquer interrupção de sinal ou perda de dados. Isso ocorre porque o receptor alvo pode
potencialmente detectar o ataque com base na perda abrupta do sinal GPS . Em uma aquisição perfeita
ataque, primeiro, o invasor transmite sinais de spoo ng que são sincronizados com o legítimo
sinais de satélite e estão em um nível de potência inferior aos sinais de satélite recebidos. O receptor
ainda está travado nos sinais de satélite legítimos devido à alta potência e, portanto, há
nenhuma mudança na rota dos navios. O invasor, então, aumenta gradualmente o poder da falsificação
sinais até que o receptor alvo pare de rastrear o sinal autêntico e trave no
sinais de spoo. Observe que, durante esta aquisição, o receptor não vê nenhuma perda de bloqueio,
em outras palavras, a aquisição foi perfeita. Mesmo que o receptor alvo agora esteja travado
para o atacante, ainda não há mudança na rota, pois os sinais de spoo ng são coerentes
com os sinais de satélite legítimos, bem como não há modificação no conteúdo do
mensagem de navegação em si. Agora, o invasor começa a manipular o sinal de spoo ng tal
que o receptor calcula uma localização falsa e começa a alterar seu curso. O atacante pode
introduza lentamente uma mudança temporal dos sinais legítimos ou manipule diretamente o
conteúdo da mensagem de navegação para lentamente desviar o curso do navio para um destino hostil.
Se um invasor controla todos os sinais que chegam à (s) antena (s) do receptor, o receptor pode-
não detecta spoo ng. No entanto, se o ataque for remoto e o invasor não puder controlar totalmente o
sinais no receptor, técnicas de detecção de anomalias podem ser usadas para detectar spoo ng. Em par-
particular, controle de ganho automático (AGC) valores, força do sinal recebido (RSS) de indivíduo
satélites, valores de fase da portadora, níveis de ruído estimados, número de satélites visíveis, todos
pode ser usado para detectar spoo ng. Particularmente interessantes são as técnicas baseadas em rastreamento e
análise de picos de autocorrelação que são usados para a detecção de sinais GNSS . Distorção,
o número e o comportamento ao longo do tempo desses picos podem ser usados para detectar até mesmo o mais
ataques sofisticados de aquisição contínua.
A detecção de spoo de GNSS pode ser melhorada se os sinais de spoo ng forem simultaneamente re-
recebido por vários receptores. Isso pode ser usado para a detecção de spoo ng, bem como para
localização de spoofer. Se os receptores sabem suas distâncias mútuas (por exemplo, são colocados em xed
distâncias), o spoofer precisa preservar essas distâncias ao realizar o spoo ng-
aderência. Quando um único spoofer transmite seus sinais, isso resultará na falsificação de todos os receptores
para a mesma posição, permitindo a detecção. Esta técnica de detecção básica pode ser
generalizado para vários receptores, permitindo até a detecção de spoofers distribuídos.
Finalmente, o spoo ng GNSS pode ser dificultado por meio da autenticação e ocultação de GNSS
sinais. Embora atualmente os sistemas GNSS civis não suportem autenticação, assinatura digital
naturezas, bem como assinaturas baseadas em hash, como TESLA podem ser adicionadas para prevenir o at-
tacker de gerar sinais GNSS . Isso, no entanto, não evitaria todos os ataques de spoo ng
uma vez que o invasor ainda pode atrasar seletivamente as mensagens de navegação e, portanto, modificar o
posição computada. Este ataque pode ser evitado pelo uso de propagação com chave atrasada
divulgação. Mesmo esta abordagem ainda não previne totalmente contra spoo de banda larga
receptores que são capazes de retransmitir a banda de frequência GNSS completa entre locais.
Os sinais de GPS militares são autenticados e também tentam alcançar baixa probabilidade de interceptação
como resiliência de interferência por meio do uso de códigos secretos de propagação. Esta abordagem evita alguns
dos ataques de spoo ng, mas ainda não consegue impedir totalmente os ataques de registro e retransmissão. Além disso,
esta abordagem não se adapta bem, pois os códigos secretos de disseminação precisam ser distribuídos para todos
receptores pretendidos, aumentando a probabilidade de seu vazamento e reduzindo a usabilidade.
Em conclusão, embora as contramedidas recentemente propostas e implantadas tornem mais dife-
www.cybok.org
culto para o invasor falsificar sistemas GNS como GPS, atualmente nenhuma medida impede totalmente
spoo ng sob modelos de atacantes fortes. Esta é uma área de pesquisa ativa.
CONCLUSÃO
Como mostramos nesta área de conhecimento, a camada física sem fio apresenta ambos os desafios
desafios e oportunidades. Os desafios normalmente vêm da natureza da transmissão sem fio
comunicação e de não ser protegida contra confidencialidade e integridade viola-
ções. A camada física geralmente é independente do aplicativo. Oportunidades derivam do estocástico
natureza do canal, bem como de sua robustez às manipulações refinadas. Sob dif-
Para diferentes modelos de invasores, a camada física pode oferecer suporte a soluções seguras e altamente utilizáveis.

A tabela abaixo lista o material de referência que serve de base para este capítulo e
explica como se relaciona com os diferentes tópicos. Sempre que possível, as referências são mais di-
divididos em subtópicos.

www.cybok.org
Chave Outro
Tópico
referências referências
. Esquemas de camada física para confidencialidade, integridade e controle de acesso

[6,6,
[ 6, ,
. . Estabelecimento-chave com base na reciprocidade do canal 6 , 66 ,
8]
6 , 68]
[6, ,
. . Abordagens suportadas por MIMO: cegamento ortogonal, força zero [ 6, ]
, ]
[ , , [ , ,
. . Capacidade de sigilo
, ] , 6]
[ , 8,
. . Jamming amigável [ , 6]
, 8]
. . Usando camada física para proteger a integridade dos dados [ 6, ] [8]
[8,8,
. .6 Baixa probabilidade de interceptação e comunicação oculta [ 6]
8]
[ 8 , 86 ,
. Comunicação Resiliente a Jamming e Jamming [ , 6]
8 , 88]
[8, ,
. Identificação da camada física [ ]
]
. Limite de distância e posicionamento seguro

[ 8, ,
[ , ,
. . Protocolos de limitação de distância , ,
]
, 6]
[ , 8,
. . Técnicas de medição de distância [ , ]
, 8]
[ ,8,
[ ][ ,
. . Ataques de camada física na medição segura de distância 8,8,
, ]
8]
[8,86,
. . Posicionamento Seguro [ 6] 8,88,
8]
. Comprometendo Emanações e Sensor Spoo ng
[ , , [8,8,
. . Emanações comprometedoras , , 8,8,
] 8]
[ , , [ , ,
. . Compromisso de sensor 6, , 8,86,
] 8]
.6 Segurança da camada física de tecnologias de comunicação selecionadas

[88,8,
.6. Comunicação próxima (NFC) [ 8]
8]
[ 66 , 8 ,
.6. Redes de comunicação de tráfego aéreo [ ]
8 , 8]
[8,8,
.6. Redes Celulares [6]
8 6]
[8,88,
.6. Segurança GNSS e ataques spoo ng [6] 8,8,
8]
www.cybok.org
RECONHECIMENTOS
O autor gostaria de agradecer especialmente a Marc Roeschlin por sua valiosa contribuição. Graças a Aan-
jhan Ranganathan, Davide Zanetti, Boris Danev, Christina Popper, Kasper Rasmussen e Nils
Tippenhauer por permitir a reprodução de textos e figuras selecionados de suas publicações
neste documento.
www.cybok.org
Página 697
Apêndice VI
Página 699
698
Bibliografia
[] A. Rashid, G. Danezis, H. Chivers, E. Lupu, A. Martin, M. Lewis e C. Peersman,

“Scoping the cyber security body of knowledge”, IEEE Security & Privacy , vol. 6, não. ,
pp. 6–, 8. [Online]. Disponível: https://doi.org/. / MSP. 8
[] J. Hallett, R. Larson e A. Rashid, “Espelho, espelho, na parede: O que estamos ensinando

o Shopping? Caracterizando o foco das estruturas curriculares de segurança cibernética, ”em 8
Workshop USENIX sobre Avanços na Educação em Segurança, ASE 8, Baltimore, MD, EUA,
8 de agosto . [Online]. Disponível:
https://www.usenix.org/conference/ase 8 / presentation / hallett
[] P. Bourque, RE Fairley et al. , Guia para o corpo de conhecimento da engenharia de software

(SWEBOK (R)): Versão. . IEEE Computer Society Press,.
[] HM Government, UK, “National cyber security strategy 6–,” 6. [Online].

Disponível: https://www.gov.uk/government/publications/national-cyber-security-
estratégia- 6-to-
[] Grupo de Coordenação de Segurança Cibernética ETSI / CEN / CENELEC (CSCG) e ENISA,

“Definição de lacunas e sobreposições de segurança cibernética na padronização”, ENISA, Relatório,
Dez. [Conectados]. Disponível:
https://www.enisa.europa.eu/publications/de nition-of-cybersecurity
[6] ISO / IEC, “Tecnologia da informação - técnicas de segurança - segurança da informação

sistemas de gestão - visão geral e vocabulário, ”ISO / IEC, -: 8, 8.
[] D. Gollmann, Computer Security , ed. Wiley,.
[8] JH Saltzer e MD Schroeder, “A proteção da informação no computador

systems, ” Proceedings of the IEEE , vol. 6, não. , pp. 8–8,. [Conectados].
Disponível: https://doi.org/. / PROC. .
www.cybok.org
[] A. Kerckhoffs, “La cryptographie militaire,” Journal des sciences militaires , vol. ,

88
[] R. Ross, M. McEvilley e JC Oren, “Engenharia de segurança de sistemas: Considerações

para uma abordagem multidisciplinar na engenharia de sistemas seguros confiáveis, ”
NIST, Tech. Rep. NIST.SP.8-6 Volume, 6 de novembro. [Online]. Disponível:
https://doi.org/ .6 8 / NIST.SP.8 - 6 v
[] J. Razão, A contribuição humana: atos inseguros, acidentes e recuperações heróicas .

CRC Press, 8.
[] W. Pieters e A. van Cleeff, “O princípio da precaução em um mundo digital

dependências ”, IEEE Computer , vol. , não. 6, pp. - 6,.
[] R. Anderson e T. Moore, “The economics of information security,” Science , vol.

, não. , pp. 6–6, 6.
[] R. Anderson, “Por que a segurança da informação é hard-ponto de vista econômico”, em th

Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC), - dezembro
, New Orleans, Louisiana, USA , pp. 8–6.
[] DY Huang, H. Dharmdasani, S. Meiklejohn, V. Dave, C. Grier, D. McCoy, S. Savage,

N. Weaver, AC Snoeren e K. Levchenko, "Botcoin: Monetizing stolen Cycles," em
º Simpósio Anual de Segurança de Sistemas Distribuídos e Redes, NDSS, San
Diego, Califórnia, EUA, - 6 de fevereiro ,.
[6] P. Pearce, V. Dave, C. Grier, K. Levchenko, S. Guha, D. McCoy, V. Paxson, S. Savage,

e GM Voelker, “Caracterizando a fraude de cliques em larga escala no ZeroAccess,” em ACM
Conferência SIGSAC sobre Segurança de Computadores e Comunicações (CCS) . ACM,,
pp. -.
[] C. Kanich, C. Kreibich, K. Levchenko, B. Enright, GM Voelker, V. Paxson e

S. Savage, “Spamalytics: an empirical analysis of spam marketing conversion”, em
Anais da 8 Conferência ACM sobre Computador e Comunicações
Security, CCS 8, Alexandria, Virginia, USA, outubro -, 8 , 8, pp. -.
[8] C. Herley e DAF Florêncio, “Ninguém vende ouro pelo preço da prata: Desonestidade,
incerteza e a economia subterrânea ”, no 8º Workshop Anual sobre o
Economics of Information Security, WEIS, University College London, Inglaterra,
Reino Unido, junho -,, .
[] E. van de Sandt, “Deviant security: The technical computer security practices of

cibercriminosos ”, Ph.D. dissertação, Departamento de Ciência da Computação, Universidade de
Bristol, Reino Unido,.
[] C. Rossow, D. Andriesse, T. Werner, B. Stone-Gross, D. Plohmann, CJ Dietrich, e

H. Bos, “SoK: P PWNED-modelando e avaliando a resiliência de ponto a ponto
botnets ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE,, pp. -.
[] H. Berghel, "Hiding data, forensics, and anti-forensics", Commun. ACM , vol. , não. ,
pp. -,.
[] S. Goldwasser e S. Micali, "criptografia probabilística", J. Comput. Syst. Sci. , vol. 8,

não. , pp. -, 8. [Conectados]. Disponível:
https://doi.org/. 6 / - (8) -
bibliografia | Outubro Página 6
www.cybok.org
[] DE Bell e LJ LaPadula, “Secure computer systems: Mathematical foundations,”

The MITER Corporation, Bedford MA, Tech. Rep. ESD-TR- - 8 de novembro.
[] KJ Biba, "Consideração de integridade para sistemas de computador seguros", The MITER

Corporation, Bedford, MA, Tech. Rep. ESD-TR- 6-, MTR-, abril.
[] DD Clark e DR Wilson, “Uma comparação de computador comercial e militar

políticas de segurança ”, em Proceedings of the 8 IEEE Symposium on Security and
Privacidade, Oakland, Califórnia, EUA, abril -, 8 , 8, pp. 8 -. [Conectados].
Disponível: https://doi.org/. / SP. 8
[6] JA Goguen e J. Meseguer, "Políticas de segurança e modelos de segurança", em 8 IEEE

Simpósio sobre Segurança e Privacidade, Oakland, CA, EUA, 6, 8 , 8, 8 de abril , pp.
-.
[] M. Burrows, M. Abadi e RM Needham, "A Logic of authentication", em

Proceedings of the 12 ACM Symposium on Operating System Principles, SOSP
8, The Wigwam, Litch eld Park, Arizona, EUA, Dezembro -6, 8 , 8, pp. -.
[Conectados]. Disponível: https://doi.org/. / 8. 8
[8] D. Dolev e AC Yao, "Sobre a segurança dos protocolos de chave pública", IEEE Transactions on
Teoria da Informação , vol. , não. , pp. 8–8. [Conectados]. Disponível:
https://doi.org/. / TIT. 8,66
[] PYA Ryan, SA Schneider, MH Goldsmith, G. Lowe e AW Roscoe, Modeling

e análise de protocolos de segurança . Addison-Wesley-Longman,.
[] M. Abadi e C. Fournet, "Valores móveis, novos nomes e comunicação segura", em

Registro da Conferência do POPL: O 8º Simpósio ACM SIGPLAN-SIGACT sobre
Princípios de Linguagens de Programação, Londres, Reino Unido, janeiro - ,,, pp.
-. [Conectados]. Disponível: https://doi.org/. / 6. 6
[] “Isabelle,” https://isabelle.in.tum.de/, acessado: - -.
[] “FDR - o verificador de refinamento CSP,” https://www.cs.ox.ac.uk/projects/fdr/ ,

acessado: - -.
[] “Provador Tamarin,” http://tamarin-prover.github.io/, acessado: - -.
[] “Provador: verificador de protocolo criptográfico no modelo formal,”

https://prosecco.gforge.inria.fr/personal/bblanche/proverif/, acessado: - -.
[] “Cryptoverif: verificador de protocolo criptográfico no modelo computacional,”

https://prosecco.gforge.inria.fr/personal/bblanche/cryptoverif/, acessado:
- -.
[6] “Easycrypt: Computer-aided cryptographic provas,” https://www.easycrypt.info/trac/ ,

acessado: - -.
[] M. Abadi e P. Rogaway, “Reconciling two views of cryptography (the

solidez computacional da criptografia formal), ” J. Cryptology , vol. , não. , p. ,
. [Conectados]. Disponível: https://doi.org/. / s - - -
[8] K. Bhargavan, B. Blanchet e N. Kobeissi, "Veri ed models and reference

implementações para o TLS. candidato padrão, ”em Simpósio IEEE sobre
Segurança e Privacidade, SP, San Jose, CA, EUA, maio - 6 ,,, pp.
8 -. [Conectados]. Disponível: https://doi.org/. / SP. . 6

www.cybok.org
[] O. Renn, "O papel da percepção de risco para a gestão de risco", Engenharia de confiabilidade e
Segurança do sistema , vol. , não. , pp. - 6, 8, Percepção de risco versus análise de risco.
[Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/S 8
[] P. Slovic, “Perception of risk,” Science , vol. 6, não. , pp. 8 - 8, 8. [Conectados].

Disponível: https://science.sciencemag.org/content/ 6 / / 8
[] O. Renn, Governança de risco: enfrentando a incerteza em um mundo complexo . Springer,

8
[] D. Hillson, "Estendendo o processo de risco para gerenciar oportunidades", Internacional

Journal of Project Management , vol. , não. , pp. -,. [Conectados].
Disponível: http://www.sciencedirect.com/science/article/pii/S 6 86 6
[] B. Schneier, Beyond Fear: Thinking Sensably About Segurança em um mundo incerto .

Berlim, Heidelberg: Springer-Verlag,.
[] “ALARP“ num relance ",” acessado: - 6-. [Online]. Disponível:

http://www.hse.gov.uk/risk/theory/alarpglance.htm
[] “Publicação especial 8 do NIST - - gerenciamento de risco de segurança da informação”, acessado em:

- -. [Conectados]. Disponível:
https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication8 - .pdf
[6] “ISO.IEC: 8 - gestão de riscos - diretrizes,” acessado: - - 6. [Online].

Disponível: https://www.iso.org/obp/ui#iso:std:iso:: ed-: v: en
[] “Diretiva NIS,” acessado: - -. [Conectados]. Disponível:

https://eur concepts/eli/dir/ 6/8 / oj
[8] NCSC, “Princípios da diretiva NIS,” acessado: - -. [Conectados]. Disponível:

https://www.ncsc.gov.uk/guidance/table-view-principles-and-related-guidance
[] W. Brun e KH Teigen, "Verbal probabilities: Ambiguous, context-dependente, or

Ambas?" Comportamento Organizacional e Processos de Decisão Humana , vol. , não. , pp.
-, 88. [Online]. Disponível:
http://www.sciencedirect.com/science/article/pii/ 888 6
[] P. Slovic, B. Fischhoff e S. Lichtenstein, Rating the Risks . Boston, MA: Springer

US, 8, pp. -. [Conectados]. Disponível:
https://doi.org/. / 8- - 8 - 68- _
[] A. O'Hagan, CE Buck, A. Daneshkhah, JR Eiser, PH Garthwaite, DJ Jenkinson,

JE Oakley e T. Rakow, Uncertain Judgments: Eliciting Expert Probabilities .
Chichester: John Wiley, 6. [Online]. Disponível: http://oro.open.ac.uk/ 8 /
[] NCSC, “Orientação para gerenciamento de risco”, acessado em: - -. [Conectados]. Disponível:
https://www.ncsc.gov.uk/collection/risk-management-collection?curPage=
/ coleção / coleção-gerenciamento-risco / tópicos-essenciais / risco-introdução-
gerenciamento-cyber-segurança-orientação
[] S. Liu, “A internet das coisas (IoT) * unidades instaladas por categoria de a

(em bilhões), ”Statista, Tech. Rep.,. [Conectados]. Disponível: https: //
www.statista.com/statistics/ / internet-of-things-installed-based-by-category
bibliografia | Outubro Página 6 6
www.cybok.org
[] “Relatório do governo do Reino Unido - assegurando resiliência cibernética em saúde e cuidados: 8 de outubro
atualização, ”acessado: - -. [Conectados]. Disponível: https://www.gov.uk/government/
publicações / securing-cyber-resilience-in-health-and-care-october- 8-update
[] “Índice global de segurança cibernética,” acessado: - -. [Conectados]. Disponível:

https://www.itu.int/en/ITU-D/Cybersecurity/Pages/global-cybersecurity-index.aspx
[6] “Índice de preparação cibernética,” acessado: - -. [Conectados]. Disponível:

http://www.potomacinstitute.org/academic-centers/cyber-readiness-index
[] E. Millstone, P. Van Zwanenberg, C. Marris, L. Levidow e H. Torgersen, “Science in

disputas comerciais relacionadas a riscos potenciais: estudos de caso comparativos. ” Técnica IPTS
série de relatórios EUR EN, Centro Comum de Pesquisa da Comissão Europeia / IPTS
Instituto de Estudos de Prospectiva Tecnológica, Bruxelas / Luxemburgo ,.
[8] B. Rohrmann e O. Renn, "Pesquisa de percepção de risco - uma introdução",

Percepção de risco intercultural: uma pesquisa de estudos empíricos , pp. -,.
[] B. Fischhoff, S. Lichtenstein, P. Slovic, S. Derby e R. Keeney, risco aceitável .

Cambridge University Press, New York, NY, 8.
[6] A. Sasse e I. Flechais, Segurança utilizável: por que precisamos dela ? Como conseguimos isso? Dentro:
Cranor, LF e Gar nkel, S, (eds.) Segurança e Usabilidade: Projetando sistemas seguros
que as pessoas podem usar. Sebastopol, EUA: O'Reilly,.
[6] D. Weirich e MA Sasse, "Pretty good persuasion: A primeira etapa para a eficácia
segurança de senha no mundo real ”, em Proceedings of the Workshop on New
Security Paradigms , ser. NSPW '. New York, NY, USA: ACM,, pp. -.
[Conectados]. Disponível: http://doi.acm.org/. / 8. 8
[6] W. Leiss, “Documento de orientação da OCDE para comunicação de risco para risco químico
gestão," .
[6] S. Dekker, Just culture: Balancing safety and accountability, nd edition . CRC Press,
.
[6] A. Jaquith, Security Metrics: Replacing Fear, Incertainty, and Doubt . Pearson
Educação, .
[6] MA Sasse, The Cyber Security Body of Knowledge . University of Bristol,, ch.
Fatores humanos, versão. . [Conectados]. Disponível: https://www.cybok.org/
[66] IRGC, “Introdução ao framework de governança de risco do IRGC, versão revisada.

Lausanne: centro internacional de governança de risco da EPFL ”.
[6] RE Lundgren e AH McMakin, Princípios de Comunicação de Risco . IEEE,.

[Conectados]. Disponível: https://ieeexplore.ieee.org/document/6 8
[68] L. Cox, “O que há de errado com matrizes de risco?” Análise de risco: uma publicação oficial do
Society for Risk Analysis , vol. 8, pp. -, 8.
[6] J. Rasmussen, “Habilidades, regras e conhecimento; sinais, sinais e símbolos e outros

distinções em modelos de desempenho humano ”, transações IEEE em sistemas, homem e
cibernética , não. , pp. - 66, 8.
[] Joint Task Force Transformation Initiative, “Security and privacy controls for federal
www.cybok.org
sistemas de informação e organizações ”, Instituto Nacional de Padrões e

Tecnologia, tecnologia. Rep. Publicação especial 8 -, Revisão,.
[] “ISO.IEC: 8 tecnologia da informação - técnicas de segurança - informação

gerenciamento de riscos de segurança ”, acessado: - -. [Conectados]. Disponível:
https://www.iso.org/standard/ 8.html
[] NCSC, “Avaliação de risco baseada em componentes”, acessado em: - -. [Conectados].

Disponível:
/ coleção / coleção de gerenciamento de risco / abordagens baseadas em sistema de componentes /
compreensão-componente-orientado-gerenciamento de risco
[] ——, “Avaliação de risco orientada pelo sistema,” acessado: - -. [Conectados]. Disponível:

/ coleção / coleção de gerenciamento de risco / abordagens baseadas em sistema de componentes /
compreensão-sistema-orientado-gerenciamento de risco
[] DS Herrmann, guia completo para métricas de segurança e privacidade: medição

Conformidade regulamentar, resiliência operacional e ROI , st ed. Boston, MA, EUA:
Publicações Auerbach,.
[] A. Shostack, Threat Modeling: Designing for Security , st ed. Wiley Publishing,.
[6] S. Rass, "Sobre gerenciamento de risco teórico do jogo (parte três) - modelagem e
formulários," .
[] J. Jones, uma introdução à análise de fator de risco da informação (FAIR) . Risco

Management Insight,.
[8] “O que é feira aberta?” acessado: - 6-. [Conectados]. Disponível:

https://blog.opengroup.org/ / / / what-is-open-fair /
[] B. Schneier, "Attack trees" , diário do Dr. Dobb , vol. , não. , pp. -,.
[8] “Comparação do método de avaliação de risco,” acessado: - 6-. [Conectados]. Disponível:

https://www.sisainfosec.com/americas/blogs/comparison-between-iso- -
oitava-nist-sp-8 - /
[8] N. Leveson, Engenharia de um mundo mais seguro: Pensamento de sistemas aplicado à segurança . MIT
Aperte, .
[8] “TOGAF,” acessado: - -. [Conectados]. Disponível:

https://www.opengroup.org/togaf
[8] Grupo aberto, “TOGAF - avaliação de risco,” acessado: - 6-. [Conectados]. Disponível:
https://pubs.opengroup.org/architecture/togaf -doc / arch / chap .html
[8] “Modelagem de dependência”, acessado: - -. [Conectados]. Disponível:

https://publications.opengroup.org/c
[8] P. Burnap, Y. Cherdantseva, A. Blyth, P. Eden, K. Jones, H. Soulsby e K. Stoddart,

“Determinando e compartilhando dados de risco em sistemas interdependentes distribuídos,”
Computer , vol. , não. , pp. -, abril.
[86] “SABSA,” acedido em: - -. [Conectados]. Disponível: https://sabsa.org/
www.cybok.org
[8] A. Jones e D. Ashenden, Risk Management for Computer Security: Protecting Your
Ativos de rede e informações . Newton, MA, EUA: Butterworth-Heinemann,.
[88] T. Atlantic, “The Obama doctrine,” acesso: - 6-. [Conectados]. Disponível: https:
//www.theatlantic.com/magazine/archive/ 6 / / the-obama-doctrine / /
[8] A. Shostack, ““ Pense como um invasor "é um erro opt-in,” acessado: - 6-.
[Conectados]. Disponível: https:
//adam.shostack.org/blog/ 6 / / think-like-an-attacker-is-an-opt-in-engano /
[] H. Debar, The Cyber Security Body of Knowledge . University of Bristol,, ch.

Operações de segurança e gerenciamento de iniciativa, versão. . [Conectados]. Disponível:
https://www.cybok.org/
[] “ISO.IEC - gerenciamento de incidentes de segurança da informação,” acessado: - -.

[Conectados]. Disponível: https://www.iso.org/standard/6 .html? Browse = tc
[] NCSC, “etapas para gerenciamento de incidentes”, acessado: - -. [Conectados]. Disponível:

https://www.ncsc.gov.uk/collection/ -steps-to-cyber-security? curPage =
/ collection / -steps-to-cyber-security / the- -steps / gestão de incidentes
[] Y. Hou, J. Such e A. Rashid, "Understanding security requirements for industrial

cadeias de suprimento do sistema de controle ", em Proceedings of the International Workshop on
Engenharia de Software para Sistemas Ciber-Físicos Inteligentes , ser. SEsCPS '.
Piscataway, NJ, EUA: IEEE Press,, pp. -. [Conectados]. Disponível:
https://doi.org/. / SEsCPS. . 6
[] BA Sabbagh e S. Kowalski, "Uma estrutura sociotécnica para modelagem de ameaças a

cadeia de suprimentos de software ”, IEEE Security Privacy , vol. , não. , pp. -, julho.
[] J. Goldsmith e T. Wu, Who Controls the Internet? Ilusões de um mundo sem fronteiras .
New York, NY: Oxford University Press, 6.
[6] OW Holmes, The Common Law . Boston: Little, Brown and Company, 88.
[] JP Barlow. (6) Uma Declaração de Independência do Ciberespaço. [Conectados].

Disponível: https://www.eff.org/cyberspace-independence
[8] L. Lessig, Código: Versão. . Livros básicos, 6.
[] C. Millard e R. Carolina, “Commercial transaction on the global information

infraestrutura: uma perspectiva europeia ”, The John Marshall Journal of Information
Technology & Privacy Law , vol. , não. , pp. 6 -, 6.
[] DR Johnson e D. Post, "Law and Borders – The Rise of Law in Cyberspace,"

Stanford Law Review , vol. 8, pp. 6-, 6.
[] C. Reed, Internet law: text and materials , nd ed. Cambridge University Press, .
[] “Relatório do Grupo de Especialistas Governamentais sobre Desenvolvimentos na Área de

Informação e Telecomunicações no Contexto da Segurança Internacional, ”
Relatório A / 68/8, Assembleia Geral das Nações Unidas,.
[] “Grupo de Especialistas Governamentais em Desenvolvimentos no Campo da Informação e

Telecomunicações no Contexto da Segurança Internacional, ”Relatório A / /,
Assembleia Geral das Nações Unidas, .

www.cybok.org
[] MN Schmitt, Ed., Tallinn Manual. sobre o Direito Internacional Aplicável ao Cibernético

Warfare . Cambridge University Press, .
[] D. van der Linden e A. Rashid, “The Effect of Software Warranties on

Cybersecurity, ” ACM SIGSOFT Software Engineering Notes , vol. , não. , pp. -,
8
[6] “Relatório do Alto Comissariado para os Direitos Humanos sobre o Direito à Privacidade no
Digital Age, ”A / HRC / /, Nações Unidas, 8.
[] D. Rowland, U. Kohl, e A. Charlesworth, Information Technology Law , th ed.

Londres: Routledge,.
[8] A. Murray, Lei de Tecnologia da Informação: a Lei e a Sociedade , ed. Oxford

University Press, 6.
[] I. Walden, Computer Crimes and Digital Investigations , nd ed. Oxford: Oxford

[] TJ Holt, AM Bossler e KC Seigfried-Spellar, Cybercrime and Digital Forensics:

Uma introdução , nd ed. Routledge: Taylor e Francis, 8.
[] J. Clough, Principles of Cybercrime , nd ed. Cambridge University Press, .
[] “American Banana Co. v. United Fruit Co.” US (US S.Ct),.
[] "Estados Unidos v. Alcoa", 8 F. d 6 (d Cir. Sentado por designação do US S.Ct ),

.
[] "Wood Pulp", Col. 88, 88.
[] JJ Friedberg, “A convergência do direito em uma era de integração política: a madeira
caso da celulose e a doutrina dos efeitos da Alcoa ”, University of Pittsburgh Law Review ,
vol. , pp. 8 - 6,.
[6] “Foreign Corrupt Practices Act,” US Statutes, vol. , pp. -,.
[] “Diretiva / / UE do Parlamento Europeu e do Conselho de

Dezembro sobre o combate ao abuso sexual e exploração sexual de crianças
e pornografia infantil, e substituindo a Decisão-Quadro do Conselho / 68 / JHA, ”
Jornal Oficial da União Europeia , vol. L, pp. -,.
[8] “PROTECT Act,” US Statutes, vol. , pp. 6 -6,.
[] “LICRA v. Yahoo! Inc & Yahoo France, ”(Tribunal de Grande Instance de Paris, maio
), afirmado em LICRA & UEJF v. Yahoo! Inc e Yahoo France (Tribunal de Grande
Instance de Paris, novembro),.
[] () Convenção sobre Crime Cibernético. Série de Tratados Europeus 8. Concelho Europeu.

//www.coe.int/en/web/conventions/full-list/-/conventions/rms/ 68 8 6
[] “Diretiva / / UE do Parlamento Europeu e do Conselho de agosto

sobre ataques contra sistemas de informação e substituição do Council Framework
Decisão / / JHA, ” Jornal Oficial da União Europeia , vol. L 8, pp. 8–,
.
www.cybok.org
[] “Regulamento (UE) 6/6 do Parlamento Europeu e do Conselho de abril

6 sobre a proteção de pessoas físicas no que diz respeito ao tratamento de pessoal
dados e sobre a livre circulação de tais dados, e revogando a Diretiva / 6 / CE, ”
Jornal Oficial da União Europeia , vol. L, pp. –88, 6.
[] “Google Spain SL, Google Inc. v. AEPD, Mario Costeja González,” C- /,

ECLI: EU: C::,.
[] “Diretrizes / 8 sobre o escopo territorial do GDPR (Artigo) - Versão para

consulta pública ”, European Data Protection Board, 8.
[] K. Kopel, “Operation Seizing Our Sites: How the Federal Government is Taking
Nomes de domínio sem aviso prévio ”, Berkeley Technology Law Journal , vol. 8, pp.
8 -,.
[6] J. Mellyn, “Reach out and Touch Someone: The Growing Use of Domain Name
Seizure as a Vehicle for Extraterritorial Enforcement of US Law ”, Georgetown
Jornal de Direito Internacional , vol. , pp. - 6,.
[] AM Froomkin, “When We Say US (tm), We Mean It!” Houston Law Review , vol. ,
não. , pp. 8–88,.
[8] “Libyan Arab Foreign Bank v. Bankers Trust Co,” [8] QB 8, 8.
[] R. Cranston, E. Avgouleas, K. Van Zwieten e T. Van Sante, Principles of Banking

Lei , ed. Oxford: Oxford University Press, 8.
[] R. McLaughlin, “Autorizações para operações de aplicação da lei marítima,”

Revista Internacional da Cruz Vermelha , vol. 8, não. , pp. 6 -, 6.
[] “Twentieth Century Fox and others v. British Telecommunications plc,” [] EWHC

8,.
[] PM Connorton, “Tracking terrorist nancing through SWIFT: when US subpoenas

e a lei de privacidade estrangeira colide ”, Fordham Law Review , vol. 6, pp. 8 -,.
[] “No caso de um mandado de busca em uma determinada conta de e-mail controlada e

Mantido pela Microsoft Corporation, ”8 F. d, d Cir, 6.
[] "Stored Communications Act", codi cado em 8 USC et seq, 86.
[] “NOTA DE CASO: Privacidade - Lei de Comunicações Armazenadas - Segundo Circuito Detém Isso
O governo não pode obrigar um provedor de serviços de Internet a produzir
Informações armazenadas no exterior. - Microsoft Corp. v. Estados Unidos, 8 F. d (d
Cir. 6), ” Harvard Law Review , vol. , pp. 6 - 6, 6.
[6] “Estados Unidos v. Microsoft Corporation,” No. -; 8 US ___, 8 S.Ct 86 (US

S.Ct), 8.
[] “Comprehensive Study on Cybercrime (Draft)”, United Nations Office on Drugs and

Crime, fevereiro.
[8] "Nota de orientação T-CY #: Acesso transfronteiriço aos dados (artigo)," T-CY (),
Conselho da Europa, Comitê de Convenção de Crime Cibernético (T-CY), dezembro.
[] “Acesso transfronteiriço e jurisdição: quais são as opções?” T-CY ()

(provisório), Conselho da Europa, Comitê de Convenção de Crime Cibernético (T-CY), Ad-hoc
Subgrupo sobre jurisdição e acesso transfronteiriço aos dados, 6 de dezembro.
www.cybok.org
[] “Relatório ECRI sobre a Federação Russa (quinto ciclo de monitoramento),” europeu

Comissão contra o Racismo e a Intolerância (ECRI), março. [Conectados].
Disponível: https://rm.coe.int/ fth-report-on-the-russian-federation / 68 a
[] P. Mell e T. Grance, "The NIST De nition of Cloud Computing," Special Publication

8 -, NIST,.
[] (8) Orientação de segurança na nuvem:. Localização física e jurisdição legal. Nacional

Cyber Security Center (Reino Unido). [Conectados]. Disponível:
https://www.ncsc.gov.uk/collection/cloudsecurity/implementing-the-cloud-
princípios de segurança / proteção e resiliência de ativos # físico
[] C. Millard, “Forced Localization of Cloud Services: Is Privacy the Real Driver?” IEEE
Cloud Computing , vol. , não. , pp. -,.
[] A. Chander e UP Lê, “Data Nationalism,” Emory LJ , vol. 6, pp. 6 -,.
[] A. Savelyev, “Novos regulamentos de localização de dados pessoais da Rússia: um passo em frente ou um

sanção autoimposta? ” Computer Law & Security Review , vol. , não. , pp. 8–,
6
[6] S. Livingston e G. Greenleaf, “Data localization in China and other APEC

jurisdições ”, Privacy Laws & Business International Report , vol. , pp. - 6, 6.
[] AD Mitchell e J. Hepburn, “Don't Fence Me In: Reforming Trade and Investment

Law to Better Facilitar Transferência de Dados Cross-Border ”, Yale JL & Tech. , vol. , pp.
8 -,.
[8] “Regulamento (UE) 8/8 do Parlamento Europeu e do Conselho de

8 de novembro sobre uma estrutura para o livre fluxo de dados não pessoais no
União Européia ”, Jornal Oficial da União Européia , vol. L, pp. -68, 8.
[] SD Warren e LD Brandeis, “The Right to Privacy,” Harvard Law Review , vol. ,

não. , pp. -, 8.
[] “Declaração Universal dos Direitos Humanos”, Nações Unidas, 8.
[] “Carta dos Direitos Fundamentais da União Europeia”, Jornal Oficial da

União Europeia , vol. C, pp. - 6,.
[] “Constituição dos EUA, Emenda IV,”.
[] “Olmstead v. Estados Unidos”, US 8 (US S.Ct), 8.
[] "Katz v. Estados Unidos", 8 US (US S.Ct), 6.
[] “Halford v. The United Kingdom,” (6 /) ([] EHRR,.
[6] () Guia de Direito Internacional e Vigilância (.). Privacidade Internacional.

[Conectados]. Disponível: https://privacyinternational.org/sites/default/ les / - /
Guia% to% International% Law% e% Surveillance% ..pdf
[] Representante Especial do Secretário-Geral para a questão dos direitos humanos e

corporações transnacionais e outras empresas de negócios, “Princípios Orientadores sobre
Empresas e Direitos Humanos: Implementando as Nações Unidas "Proteger, Respeitar
and Remedy "Framework", Nações Unidas,.
[8] “Smith v. Maryland,” EUA (US S.Ct),.
www.cybok.org
[] AM Rutkowski, "International Signals Intelligence Law: Provisions and History",

Lawfare Research Paper Series , vol. , pp. - 88,.
[6] N. Jupillat, “From the Cuckoo's Egg to Global Surveillance: Cyber Espionage that
Becomes Prohibited Intervention, ” North Carolina Journal of International Law ,
vol. , pp. - 88, 6.
[6] J. Hurwitz, "Encryption Congress mod (Apple + CALEA)," Harvard Journal of Law &
Tecnologia , vol. , pp. -,.
[6] HIPCAR, “Interception of Communications: Model Policy Guidelines & Legislative

Textos ”, União Internacional de Telecomunicações,.
[6] “Resolução do Conselho de janeiro sobre a interceptação legal de

telecomunicações ”, Jornal Oficial das Comunidades Europeias , vol. C, pp.
–6,.
[6] () Interceptação legal. ETSI. [Conectados]. Disponível:

https://www.etsi.org/technologies/lawfulinterception
[6] L. Sacharoff, “Unlocking the Fifth Amendment: Passwords and Encrypted Devices,”
Fordham Law Revue , vol. 8, pp. -, 8.
[66] MJ Weber, "Warning-Weak Password: The Courts 'Indecipherable Approach to

Encryption and the Fifth Amendment, ” University of Illinois Journal of Law , pp.
- 86, 6.
[6] “Investigatory Powers Act 6,” Reino Unido, 6.
[68] "Mapp v. Ohio," 6 US 6 (US S.Ct), 6.
[6] () R -v- Coulson e outros: Observações de condenação do Sr. Justice Saunders.

[Conectados]. Disponível: https://www.judiciary.uk/wp-content/uploads/ / /
sentencing-remarks-mr-jsaunders-rv-coulson-others.pdf
[] "Manual sobre legislação europeia de proteção de dados", Agência da União Europeia para
Direitos Fundamentais, 8.
[] () GDPR: diretrizes, recomendações, melhores práticas. Dados Europeus

Placa de proteção. [Conectados]. Disponível: https://edpb.europa.eu/our-work-tools/
general-guidance / gdpr-guidelinesrecommendations-best-Practices_en
[] R. Carolina. () Por que a UE emitiu relativamente poucas adequações de proteção de dados

Determinações? Uma resposta. Lawfare. [Conectados]. Disponível:
https://www.lawfareblog.com/why-eu-has-issued-relatives-few-data-protection-
adequaçãodeterminações-resposta
[] “Diretiva (UE) 6/68 do Parlamento Europeu e do Conselho de abril

6 sobre a proteção de pessoas físicas no que diz respeito ao tratamento de pessoal
dados pelas autoridades competentes para fins de prevenção, investigação,
detecção ou repressão de infrações criminais ou a execução de penalidades criminais,
e sobre a livre circulação de tais dados, e revogação da Decisão-Quadro do Conselho
8 / / JHA, ” Jornal Oficial da União Europeia , vol. L, pp. 8-, 6.
[] (8) D. : Relatório de revisão sobre a Diretiva 6/68 destinada ao sistema judiciário.

INtrodução da reforma da proteção de dados ao sistema judicial (INFORM).
[Conectados]. Disponível: http://informproject.eu/wp-content/uploads/ 8 / /D..pdf
www.cybok.org
[] (8) D. Relatório de revisão sobre a Diretiva (UE) 6/68 voltada para o jurídico
praticantes. INtrodução da reforma da proteção de dados ao sistema judicial
(INFORMAR). [Conectados]. Disponível:
http://informproject.eu/wp-content/uploads/ 8 / /D..pdf.
[6] “Breyer v. Alemanha,” Processo C-8 /, 6.
[] M. Elliot, K. O'Hara, C. Raab, CM O'Keefe, E. Mackey, C. Dibben, H. Gowans,

K. Purdam e K. McCullagh, “Functional anonymisation: Personal data and the
ambiente de dados ”, Computer Law & Security Review , vol. , pp. -, 8.
[8] S. Stalla-Bourdillon e A. Knight, “Anonymous Data v. Personal Data - False Debate:
Uma perspectiva da UE sobre anonimato, pseudonimização e dados pessoais ”,
Wisconsin International Law Journal , vol. , não. , pp. 8-, 6.
[] “ISO / IEC: Tecnologia da informação - Técnicas de segurança - Privacidade

estrutura," .
[8] “Guia para a proteção da confidencialidade de informações de identificação pessoal”,

Publicação especial 8 -, NIST,.
[20] PM Schwartz e DJ Solove, “Reconciling Personal Information in the United

States and European Union, ” California Law Review , vol. , não. , pp. 8 - 6,.
[8] MJ Wiebe, “Aplicando a Lei de Proteção à Privacidade do Vídeo à Tecnologia Moderna [Ellis
v. Cartoon Network, Inc., 8 F. d (th Cir.)], ” Washburn Law Journal ,
vol. , pp. 6 -, 8.
[8] “In re Nickelodeon Consumer Privacy Litig.” 8 F. d 6, 8 (d Cir. 6), cert

negado , S.Ct. 6 (), 6.
[8] “Eichenberger v. ESPN, Inc.” 8 6 F. d (th Cir.),.
[8] () Guia para proteção de dados. Information Commissioner's Office (Reino Unido). [Conectados].
Disponível: https://ico.org.uk/for-organisations/guide-to-data-protection
[86] Projeto INFORM. [Conectados]. Disponível: http://informproject.eu
[8] “UK Data Protection Act 8,” Reino Unido, 8.
[88] “Schrems v. Data Protection Commissioner,” Processo C 6 /, ECLI: EU: C:: 6,

.
[8] “Orientações / 8 sobre derrogações do artigo sob o Regulamento 6/6,”

Conselho Europeu de Proteção de Dados, 8.
[] E. Preston e P. Turner, “The Global Rise of a Duty to Disclose Information Security

Breaches, ” The John Marshall Journal of Information Technology & Privacy Law ,
vol. , pp. -,.
[] N. Robinson, V. Horvath, J. Cave, AP Roosendaal e M. Klaver, “Dados e segurança

violações e estratégias de cibersegurança na UE e suas contrapartes internacionais ”,
União Européia, .
[] A. Daly, “A introdução da legislação de notificação de violação de dados na Austrália: A

visão comparativa ”, Computer Law & Security Review , vol. , pp. -, 8.
www.cybok.org
[] "Wm Morrison Supermarkets PLC v. Various Claimants," [8] EWCA Civ,

8
[] R. Broadhurst, "Cybercrime: the human factor", R. Leukfeldt e T. Holt, Eds.

Routledge, a ser publicado, cap. Exploração e imagens de abuso sexual infantil
Materiais [Conectados]. Disponível: https://ssrn.com/abstract= 8
[] () Lei de Uso Indevido de Computador. [Conectados]. Disponível:

https://www.legislation.gov.uk/ukpga/ / 8 / contents
[6] “Lei de Fraude e Abuso de Computador”, codi cado em 8 USC § et seq.
[] OS Kerr, Computer Crime Law , th ed. Oeste, 8.
[8] () Mapa de assinaturas e rati cações do Tratado 8. Concelho Europeu. [Conectados].

Disponível: https://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/
8 / assinaturas? P_auth = x nTJy r
[] OS Kerr, “Cybercrime's Scope: Interpreting Access and Authorization in Computer

Misuse Statutes, ” New York University Law Review , vol. 8, pp. 6– 668,.
[] ——, "Norms of Computer Trespass", Columbia Law Review , vol. 6, não. , pp.
- 8, 6.
[] "Estados Unidos v. Nosal ( Nosal II )," 8 F. d (th Cir.), 6.
[] “Estados Unidos v. Drew,” FRD (CD Cal.),.

[] “The Code for Crown Prosecutors,” Director of Public Prosecutions (UK), 8.
[] R. Carolina, "Legal Aspects of Software Protection Devices," Computer Law e

Relatório de segurança , vol. , pp. 88–, julho-agosto.
[] GJ Edwards, “Self-Help Repossession of Software: Should Repossession Be

Disponível no Artigo B do UCC, ” University of Pittsburgh Law Review , vol. 8, pp.
6 - 88,.
[6] N. Schmidle, "Digital Vigilantes," The New Yorker, 8 de maio.
[] S. Curry, "Hack-Back: Vigilantism In The Connected World" , Forbes , janeiro.

[Conectados]. Disponível: https://www.forbes.com/sites/samcurry/ / / / hack-back-
vigilantismo-no-mundo-conectado / # ca a
[8] () As empresas devem se arriscar na ofensiva cibernética? Beira. [Conectados].

Disponível:
http://www.brinknews.com/should-companies-risk-going-on-the-cyber-offensive/
[] H. Beale, Ed., Chitty on Contracts , ed. Sweet & Maxwell, 8.
[] “Diretiva / / CE do Parlamento Europeu e do Conselho de 8 de junho

sobre certos aspectos jurídicos dos serviços da sociedade da informação, em particular
comércio electrónico, no mercado interno (Directiva sobre comércio electrónico), ”
Jornal Oficial das Comunidades Europeias , vol. L 8, pp. - 6,.
[] "Fair and Accurate Credit Transactions Act of", United States Statutes at Large,
vol. , p. ,.
[] “Diretiva (UE) / 66 do Parlamento Europeu e do Conselho de

Novembro sobre os serviços de pagamento no mercado interno, que altera as directivas
www.cybok.org
/ 6 / EC, / / EC e / 6 / EU e Regulamento (UE) No /, e

Diretiva de revogação ”, Jornal Oficial das Comunidades Européias , vol. L, pp.
-,.
[] “Uniform Commercial Code, Article A,” The American Law Institute e o

Conferência Nacional de Comissários sobre Leis Estaduais Uniformes.
[] “Regulamento (CE) nº 8 do Parlamento Europeu e do Conselho de

8 de junho sobre a lei aplicável às obrigações contratuais (Roma I), ” Jornal Oficial
das Comunidades Européias , vol. L, pp. 6–6, 8.
[] "Umpqua Bank, et al v. Target Corp, (reclamação)," MDL No. - (PAM / JJK), Fed
Dist Minnesota, (reclamação conduzida em agosto).
[6] "Dittman, et al v. UPMC," No. WAP, 6 A. d 6 (Pa S.Ct), 8.
[] “The TJ Hooper,” 6 F. d, d Cir,.
[8] RA Epstein, "The Path to" The TJ Hooper ": The Theory and History of Custom in the
Law of Tort ”, The Journal of Legal Studies , vol. , não. , pp. - 8,.
[] “Estados Unidos v. Caroll Towing”, F. d 6, d Cir.,.
[] PJ Kelley, "The Carroll Towing Company Case and the Teaching of Tort Law", Saint
Louis University Law Journal , vol. , pp. - 8,.
[] “Restatement (Third) of Torts: Products Liability,” American Law Institute,.
[] “Diretiva do Conselho de 8 de julho sobre a aproximação das leis, regulamentos e

disposições administrativas dos Estados-Membros relativas à responsabilidade por defeitos
produtos (8 / / CEE), ” Jornal Oficial das Comunidades Europeias , vol. L, pp.
-, 8.
[] “Avaliação da Diretiva 8 / / CEE do Conselho de 8 de julho sobre a aproximação de

a responsabilidade por produtos defeituosos, ”Comissão Europeia, 8.
[] "Responsabilidade por tecnologias digitais emergentes", SWD (8), Comissão Europeia,

8
[] "Barnett v. Chelsea & Kensington Hospital [6]," QB 8, 6.
[6] “Dillon v. Twin State Gas & Elec. Co. ” 8 NH, New Hampshire,.
[] "Wagon Mound (No.) [6] UKPC," Privy Council, 6.

[8] "Hedley Byrne & Co Ltd v. Heller & Partners Ltd", [6] AC 6, 6.
[] “Regulamento (CE) nº 86 / do Parlamento Europeu e do Conselho de

Julho sobre a lei aplicável às obrigações extracontratuais (Roma II), ” Oficial
Jornal da União Europeia , vol. L, pp. -,.
[] “WIPO Copyright Treaty,” World Intellectual Property Organization, Geneva, 6.
[] SP Calandrillo e EM Davison, “The Dangers of the Digital Millennium Copyright

Act: Muito Barulho por Nada ”, William and Mary Law Review , vol. , pp. -,
8
[] AJ Menezes, PC Van Oorschot e SA Vanstone, Manual de

criptografia . CRC press,.

www.cybok.org
[] G. Vetter, "Patenting Cryptographic Technology," Chicago-Kent Law Review , vol. 8,

pp. - 6,.
[] L. Khansa e CW Zobel, "Avaliando inovações em segurança em nuvem", Journal of

Computer Information Systems , vol. , não. , pp. - 6,.
[] TL James, L. Khansa, DF Cook, O. Bruyaka e KB Keeling, “Usando

análise de texto baseada em rede para analisar tendências nas inovações de segurança da Microsoft, ”
Computadores e Segurança , vol. 6, pp. –6,.
[6] "Uniform Trade Secrets Act," Uniform Law Commission, National Conference of
Commissioners on Uniform State Laws, 8.
[] JH Pooley, MA Lemley e PJ Toren, “Understanding the Economic Espionage

Ato de 6 ”, Tex. Intell. Prop. LJ , vol. , pp. -, 6.
[8] “Diretiva (UE) 6 / do Parlamento Europeu e do Conselho de 8 de junho

6 sobre a proteção de know-how não divulgado e informações de negócios (comércio
segredos) contra a sua aquisição, uso e divulgação ilegais ”, Jornal Oficial da
a União Europeia , vol. L, pp. - 8, 6.
[] PricewaterhouseCoopers, “A escala e o impacto da espionagem industrial e roubo de

segredos comerciais através do cyber, ”Comissão Europeia, 8.
[] DS Levine e CB Seaman, "The DTSA at One: An Empirical Study of the First

Ano de litígio sob a Lei de Defesa dos Segredos Comerciais, ” Wake Forest Law Review ,
vol. , pp. - 6, 8.
[] J. Lane, "NTP, Inc. v. Research in Motion, Ltd .: Inventions Are Global, But Politics Are
Ainda local - um exame da caixa do BlackBerry ”, Berkeley Tech. LJ , vol. , pp.
-, 6.
[] P. Samuelson e S. Scotchmer, "The Law and Economics of Reverse Engineering,"

Yale Law Journal , vol. , pp. - 66,.
[] PJ Weiser, "The Internet, Innovation, and Intellectual Property Policy," Columbia

Law Review , vol. , pp. –6,.
[] P. Samuelson, “Anticircumvention Rules: Threat to Science,” Science , vol. , não.

, pp. 8–,.
[] C. Zieminski, "Game Over for Reverse Engineering: How the DMCA and Contracts
Have Affected Innovation, ” Journal of Technology Law & Policy , vol. , pp. 8 -,
8
[6] “Diretiva / / CE do Parlamento Europeu e do Conselho de abril

sobre a proteção legal de programas de computador ”, Of cial Journal of the European
Union , vol. L, pp. 6–,.
[] P. Samuelson, "Freedom to Tinker", Theoretical Inquiries in Law , vol. , não. , pp.

6–6, 6.
[8] R. Verdult e FD Garcia, “Cryptanalysis of the Megamos Crypto automotivo

imobilizador, ” USENIX; login , vol. , não. 6, pp. -,.
[] "Volkswagen Aktiengesellschaft vs Garcia, et al," [] EWHC 8 (Ch),.
www.cybok.org
[] R. Carolina e KG Paterson. () Megamos Crypto, Responsible Disclosure,

e o efeito de refrigeração de Volkswagen Aktiengesellschaft vs Garcia, et al. [Conectados].
Disponível: http://www.origin.co.uk/download/ /
[] R. Verdult, FD Garcia e B. Ege, “Dismantling Megamos Crypto: Wirelessly

Lockpicking a Vehicle Immobilizer, ”em nd { USENIX } Simpósio de Segurança
( { USENIX } Segurança) ,, pp. 68 -.
[] “Convenção de Berna para a Proteção de Obras Literárias e Artísticas (conforme alterada em

8 de setembro,), ”.
[] "Prince plc v. Prince Sports Groups," [8] FSR, 8.
[] G. Sartor, "Providers Liability: From the eCommerce Directive to the Future",

Parlamento Europeu, .
[] K. Perset, "The Economic and Social Role of Internet Intermediaries" , OCDE,

Diretoria de Ciência, Tecnologia e Indústria, Documentos de Economia Digital da OCDE ,.
[6] T. Verbiest, G. Spindler e GM Riccio. () Estudo sobre a responsabilidade da internet

intermediários. [Conectados]. Disponível: http://dx.doi.org/. / ssrn. 6
[] MB Kaya, “A regulamentação dos intermediários da Internet sob a lei turca: Existe um

equilíbrio delicado entre direitos e obrigações? ” Revisão de legislação e segurança da informática ,
vol. , p. -,.
[8] “Lei Modelo UNCITRAL sobre Comércio Eletrônico com Guia para Promulgação 6 com
artigo adicional bis conforme adotado em 8, ”Nações Unidas,.
[] AM Froomkin, “The Essential Role of Trusted Third Parties in Electronic

Commerce ”, Oregon Law Review , vol. , pp. -, 6.
[6] S. Mason, Electronic Signatures in Law , th ed. Universidade de Londres, Escola de

Estudo Avançado, Instituto de Estudos Jurídicos Avançados,.
[6] “Diretrizes de Assinatura Digital: Infraestrutura Legal para Autoridades de Certificação e

Secure Electronic Commerce ”, American Bar Association, 6.
[6] “Diretiva / / CE do Parlamento Europeu e do Conselho de

Dezembro sobre uma estrutura comunitária para assinaturas eletrônicas ”, Oficial
Jornal da União Europeia , vol. L, pp. -,.
[6] “Regulamento (UE) nº / do Parlamento Europeu e do Conselho de

Julho, sobre identi cação eletrônica e serviços de confiança para transações eletrônicas em
mercado interno e revogação da Directiva / / CE, ” Jornal Oficial do
União Europeia , vol. L, pp. -,.
[6] S. Room, Butterworths Data Security Law & Practice . LexisNexis,.
[6] DW Arner, J. Barberis e RP Buckey, “FinTech, RegTech, and the

Reconceptualization of Financial Regulation, ” Northwestern Journal of International
Law & Business , vol. , pp. -,.
[66] MG Porcedda, “Patching the patchwork: avaliando o quadro regulatório da UE

sobre violações de segurança cibernética ”, Computer Law & Security Review , vol. , pp. - 8,
8
www.cybok.org
[6] “Diretiva (UE) 6/8 do Parlamento Europeu e do Conselho de 6 de julho

6 sobre medidas para um alto nível comum de segurança de rede e
sistemas de informação em toda a União ”, Jornal Oficial da União Europeia , vol. eu
, pp. -, 6.
[68] “The Network and Information Systems Regulations 8,” SI 8 No 6, 8.
[6] D. Thaw, “The Ef cacy of Cybersecurity Regulation,” Georgia State University Law
Review , vol. , pp. 8 -,.
[] “Regulamento (UE) / 88 do Parlamento Europeu e do Conselho de abril

na ENISA (Agência da União Europeia para a Cibersegurança) e na informação
e certificação e revogação de segurança cibernética de tecnologia de comunicações
Regulamento (UE) No 6 / (Lei de Segurança Cibernética), ” Jornal Oficial da Europa
Union , vol. L, pp. –6,.
[] "Código de Prática para Segurança de IoT do Consumidor", Governo do Reino Unido: Departamento de
Digital, Culture, Media & Sport, 8.
[] “TS 6 V. . Cyber Security for Consumer Internet of Things ”, ETSI,.
[] “Junger v. Daley”, F. d 8 (6ª Cir.),.
[] JR Roig, "Decoding First Amendment Coverage of Computer Source Code in the

Age of YouTube, Facebook, and the Arab Spring, ” NYU Annual Survey of American
Lei , vol. 68, pp. -,.
[] “Cyber and International Law in the st Century”, discurso proferido em Chatham

House, Royal Institute for International Affairs, Procurador-Geral do Reino Unido, Jeremy
Wright, QC, MP, 8 de maio. [Online]. Disponível: https://www.gov.uk/government/
discursos / cyber-and-international-law-in-the-st-century
[6] IY Liu, “A doutrina de devida diligência sob o Manual de Tallinn. , ” Lei da Informática e
Security Review , vol. , p. -,.
[] C. Lotrionte, “Countering State-Patrocinado por Espionagem Econômica sob

Direito Internacional ”, North Carolina Journal of International Law and Commercial
Regulamento , vol. , não. , pp. -,.
[8] ——, “Reconsiderando as consequências para o Cyber Hostil Patrocinado pelo Estado
Operations Under International Law ”, The Cyber Defense Review , vol. , não. , pp.
-, 8.
[] M. Libicki, "The Coming of Cyber Espionage Norms", em ª Internacional

Conferência sobre Cyber Con ict (CyCon) . IEEE,, pp. -.
[8] “Manual do Serviço Conjunto da Lei do Conflito Armado”, Publicação do Serviço Conjunto
8, Ministério da Defesa do Reino Unido,.
[8] “Manual de Leis de Guerra do Departamento de Defesa”, Departamento de Defesa dos EUA, dezembro
6
[8] "Law of Armed Con ict Deskbook", Departamento de Direito Internacional e Operacional,
Centro Jurídico e Escola do Juiz Advogado Geral do Exército dos Estados Unidos
(TJAGLCS),.
www.cybok.org
[8] P. Pascucci, “Distinction and Proportionality in Cyberwar: Virtual Problems with a

Real Solution ”, Minnesota Journal of International Law , vol. 6, não. , pp. - 6,
.
[8] M. Dark, R. Epstein, L. Morales, T. Countermine, Q. Yuan, M. Ali, M. Rose e

N. Harter, "A Framework for Information Security Ethics Education," in th
Colóquio para Educação em Segurança de Sistemas de Informação - Universidade de Maryland , vol. ,
6, pp. -.
[8] História ACM. Association for Computing Machinery. [Conectados]. Disponível:

https://www.acm.org/about-acm/acm-history
[86] “Código de Ética e Conduta Profissional da ACM,” Association for Computing

Máquinas, 8.
[8] Usando o Código. Association for Computing Machinery. [Conectados]. Disponível:

https://ethics.acm.org/code-of-ethics/using-the-code/
[88] () Empresas Credenciadas - Regiões e Serviços. Crest (Internacional). [Conectados].

Disponível: https://www.crest-approved.org/accredited-companies/index.html
[8] “Código de conduta do CREST para indivíduos qualificados no CREST (versão 8.),” Crest (GB)
Ltd., 6.
[] AM Matwyshyn, A. Cui, AD Keromytis e SJ Stolfo, “Ethics in Security

Vulnerability Research ”, em IEEE Security & Privacy . IEEE Computer Society,
Março / abril, pp. 6 -.
[] A. Maurushat, Divulgação de vulnerabilidades de segurança: questões legais e éticas .

Springer,.
[] “The Equities Process,” National Cyber Security Center (UK), 8. [Online]. Disponível:
https://www.gchq.gov.uk/information/equities-process
[] "Responsible Release Principles for Cyber Security Vulnerabilities", australiano

Diretoria de Sinais,. [Conectados]. Disponível: https://www.asd.gov.au/publications/
Responsible-Release-Principles-for-Cyber-Security-Vulnerabilities.pdf
[] "Vulnerabilities Equities Process ( versão redigida divulgada 6 sob FOIA) ,"

Agência de Segurança Nacional (EUA). [Conectados]. Disponível:
https://www.eff.org/ les / 6 / / 8 / - _vep_ 6.pdf
[] () EFF v. NSA, ODNI - Vulnerabilidades FOIA. Electronic Frontier Foundation.

[Conectados]. Disponível: https://www.eff.org/cases/eff-v-nsa-odni-vulnerabilities-foia
[6] N. Asokan, “Ethics in Information Security,” IEEE Security & Privacy , maio / junho.
[] “Recompensas de bugs: Working Towards a Fairer and Safer Marketplace,” CREST, 8.

//www.crest-approved.org/wp-content/uploads/CREST-Bug-Bounties- 8.pdf
[8] M. Goldstein, A. Stevenson e L. Picker, “Hedge Fund and Cybersecurity Firm Team
Up to Short-Sell Device Maker, ” The New York Times , 8 de setembro 6.
[] “ISO / IEC: Tecnologia da Informação - Técnicas de segurança - Vulnerabilidade

divulgações ”.

www.cybok.org
[] “ISO / IEC: Tecnologia da informação - Técnicas de segurança - Vulnerabilidade

processos de manuseio, ”.
[] “Divulgação coordenada de vulnerabilidade: a diretriz,” National Cyber Security Center

(NL), 8.
[] "Coordenação de divulgação de vulnerabilidade NCSC", National Cyber Security Center (UK),

8. [Online]. Disponível:
https://www.ncsc.gov.uk/blog-post/ncsc-vulnerability-disclosure-co-ordination
[] D. Feldman, "The Nature of Legal Scholarship," Modern Law Review , vol. , pp.
8–, 8.
[] GA Spann, "Baby M and the Cassandra Problem", Georgetown Law Journal , vol. 6,
pp. -, 8.
[] K. Takayanagi, "Contact of the Common Law with the Civil Law in Japan," O
American Journal of Comparative Law , vol. , pp. 6–6,.
[6] C. Reed e A. Murray, Rethinking the Jurisprudence of Cyberspace . Edward Elgar

Publicação, 8.
[] SM Solaiman, “Personalidade jurídica de robôs, corporações, ídolos e chimpanzés: a

busca pela legitimidade ”, Arti cial Intelligence and Law , vol. , não. , pp. -,.
[8] P. Cerka, J. Grigiene e G. Sirbikyte, “É possível conceder personalidade jurídica a

sistemas de software de inteligência artificial? ” Computer Law & Security Review , vol. ,
não. , pp. 68–6,.
[] ——, "Responsabilidade por danos causados por inteligência artificial", Lei da Informática e Segurança
Review , vol. , não. , pp. 6–8,.
[] D. Gerard, Attack of the Foot Blockchain: Bitcoin, Blockchain, Ethereum & Smart
Contratos ,.
[] “Responsabilidade Criminal: Insanidade e Automatismo. Um Documento de Discussão - Resumo para

não especialistas ”. [Conectados]. Disponível: http:
//www.lawcom.gov.uk/app/uploads/ / 6 / insanity_discussion_summary.pdf
[] “Regulamento (UE) nº / do Parlamento Europeu e do Conselho de
Dezembro sobre a jurisdição e o reconhecimento e execução de sentenças em
assuntos civis e comerciais ”, Jornal Oficial da União Europeia , vol. L, pp.
-,.
[] L. Kasdan, Diretor, “Silverado,” FILM, Columbia Pictures, EUA, 8.
[] AM Froomkin, “Wrong Turn in Cyberspace: Using ICANN to Route around the APA
e a Constituição ”, Duke Law Journal , vol. , pp. - 8,.
[] RH Weber, “'Rosa é uma rosa, é uma rosa é uma rosa' - e o código e a lei?”
Computer Law & Security Review , vol. , pp. - 6, 8.
[6] () Lista de URLs. Internet Watch Foundation. [Conectados]. Disponível:

https://www.iwf.org.uk/become-a-member/services-for-members/url-list
[] “Resposta conjunta da sociedade civil ao guia de discussão sobre um protocolo adicional para
a Convenção de Budapeste sobre Crimes Cibernéticos ”, The Electronic Frontier Foundation (EFF),
European Digital Rights (EDRi), Association for Civil Rights (ADC), Derechos
www.cybok.org
Digitales, Elektronisk Forpost Norge (EFN), IPANDETEC, Karisma Foundation,

OpenMedia, Panoptykon Foundation, RD: Red en Defensa de los Derechos Digitales,
Samuelson-Glushko Clínica Canadense de Política e Interesse Público da Internet (CIPPIC),
SonTusDatos (Artículo, AC) e TEDIC, 8 de junho. [Online]. Disponível: https:
//www.eff.org/ les / 8/8 / / globalcoalition-civilsociety-t-cy_ 8 6- nal.pdf
[8] D. Beyleveld e R. Brownsword, Consent in the Law . Hart,.
[] “Convenção para a Proteção dos Direitos Humanos e Liberdades Fundamentais

(Convenção Europeia sobre Direitos Humanos), ”Conselho da Europa,.
[] “Explicações relacionadas com a Carta dos Direitos Fundamentais”, Jornal Oficial do

União Europeia , vol. C, pp. -,.
[] “Carpenter v. US,” 8 US ___, 8 S.Ct. 6 (US S.Ct), 8.
[] “Divulgação da aplicação da lei e demandas de dados do cliente, Anexo Legal:

Visão geral dos poderes legais ”, Vodafone Group Plc,. [Conectados]. Disponível:
https://www.vodafone.com/content/dam/vodafone-images/sustainability/drf/pdf/
vodafone_drf_law_enforcement_disclosure_legal_annexe_ 6.pdf
[] (6) Canary Watch - One Year Later. Electronic Frontier Foundation. [Conectados].
Disponível: https://www.eff.org/deeplinks/ 6 / / canary-watch-one-year-later
[] "Brady v. Maryland," US 8 (US S.Ct), 6.
[] M. Mourby, E. Mackey, M. Elliot, H. Gowans, SE Wallace, J. Bell, H. Smith, S. Aidinlis,

e J. Kaye, “Os dados 'pseudonimizados' são sempre dados pessoais? Implicações do
GDPR para pesquisa de dados administrativos no Reino Unido, ” Computer Law & Security Review ,
vol. , pp. -, 8.
[6] L. Rocher, JM Hendrickx e Y.-A. de Montjoye, “Estimando o sucesso de

re-identi cações em conjuntos de dados incompletos usando modelos generativos, ” Nature
Communications , vol. , não. 6,. [Conectados]. Disponível:
https://doi.org/. 8 / s 6 - - -
[] J. Joerling, “Data Breach Noti cation Laws: An Argument for a Comprehensive

Federal Law to Protect Consumer Data, ” Washington University Journal of Law &
Política , vol. , pp. 6 - 88,.
[8] "R v. Gold and Schifreen", [88] AC 6, [88] Crim LR (HL), 88.
[] B. Sterling, The Hacker Crackdown: Law and Disorder on the Electronic Frontier .
Bantam Books,. [Conectados]. Disponível:
https://github.com/bdesham/the-hacker-crackdown
[] C. Stoll, O Ovo do Cuco: Rastreando um Espião no Labirinto da Espionagem Computadorizada .

Doubleday, 8.
[] “Estatutos do Crime Informático”, Conferência Nacional de Legislaturas Estaduais. [Conectados].

Disponível: http://www.ncsl.org/research/telecommunications-and-information-
tecnologia / hacking-and-unauthorized-access-laws.aspx
[] SW Brenner, “State Cybercrime Legislation in the United States of America: A

Survey ”, Richmond Journal of Law and Technology , vol. , não. , pp. 8– ?,.
[Conectados]. Disponível: http://scholarship.richmond.edu/jolt/vol / iss /
www.cybok.org
[] () A equipe da BBC expõe o risco de crimes cibernéticos. BBC. [Conectados]. Disponível:

http://news.bbc.co.uk/ / hi / programs / click_online / 8 6.stm
[] M. Perrow. () Clique no experimento de botnet. [Conectados]. Disponível:

https://www.bbc.co.uk/blogs/theeditors/ / /click_botnet_experiment.html
[] R. Carolina. () Opinião: As consequências imprevistas do botnet da BBC Click

crime. [Conectados]. Disponível: https://www.computerweekly.com/opinion/Opinion-The-
consequências-imprevistas-de-cliques-da-BBC-crime-botnet
[6] ——. () Opinião: BBC Click explorou os pobres e vulneráveis do mundo. [Conectados].
Disponível: https://www.computerweekly.com/opinion/Opinion-BBC-Click-exploited-
mundos-pobres-e-vulneráveis
[] “Guidelines Manual,” United States Sentencing Commission, 8 de novembro.

https://www.ussc.gov/guidelines/ 8-guidelines-manual-annotated
[8] D. Etcovitch e T. van der Merwe, "Coming in from the Cold: A Safe Harbor from the
CFAA and the DMCA § for Security Researchers, ”Research Publication No.
8-, Berkman Klein Centre, 8.
[] U. Kinis, “From Responsible Disclosure Policy (RDP) para o Estado Regulado

Procedimento de divulgação de vulnerabilidade responsável (doravante - RVDP): o letão
abordagem ”, Computer Law & Security Review , vol. , pp. 8–8.
[] “Palsgraf v. Long Island Railroad Co.” 8 NY, 6 NE, (NY Ct of Appeals),

8
[] "Cooney v. Escolas Públicas de Chicago," NE d (Illinois Appellate Ct, st District,

), recurso negado NE d 6 (Illinois S.Ct,),.
[] J. De Bruyne e J. Werbrouck, "Merging self-driving cars with the law", Computer

Law & Security Review , vol. , pp. -, 8.
[] NE Vellinga, “Dos testes à implantação de carros autônomos: Legal

desafios para os formuladores de políticas no futuro, ” Computer Law & Security Review ,
vol. , p. 8 –86,.
[] T. Mackie, “Provando responsabilidade por acidentes de veículos altamente automatizados em

Australia, ” Computer Law & Security Review , vol. , p. -, 8.
[] S. Pettypiece e E. Dexheimer, “Target Reaches $ 6 Million Agreement With Visa

Over Breach ” , Bloomberg , 8 de agosto.
[6] J. Stempel e N. Bose, “Target in $. milhões de liquidação com bancos sobre dados
violação ” , Reuters , dezembro.
[] "Análise do Impacto Econômico da Cláusula de Risco de Desenvolvimento, conforme fornecido por

Diretiva 8 / / EEC sobre responsabilidade por produtos defeituosos ”, Comissão Europeia,
Ares () - / /, Fondazione Rosselli,.
[8] FD Prager, "The In uence of Mr. Justice Story on American Patent Law", o
American Journal of Legal History , vol. , pp. - 6, 6.
[] “Ungar v. Sugg,” (8) RPC, 8.
www.cybok.org
[] C. Yang, "The BlackBerry Widow's Tale" , Bloomberg , 8 de dezembro. [Conectados].

Disponível:
https://www.bloomberg.com/news/articles/ - - 8 / the-blackberry-widows-tale
[] P. Samuelson, “Intellectual Property and the Digital Economy: Why the
Regulamentações anti-evasão precisam ser revisadas, ” Berkley Technology Law
Journal , vol. , pp. - 66,.
[] “Haberman v. Jackel International,” [] FSR 68,.
[] () Woodhull Freedom Foundation et al. v. Estados Unidos. Fronteira Eletrônica

Fundação. [Conectados]. Disponível:
https://www.eff.org/cases/woodhull-freedom-foundation-et-al-v-united-states
[] R. Romano. () Uma nova lei destinada a coibir o tráfico sexual ameaça o futuro de
a internet como a conhecemos. [Conectados]. Disponível: https://www.vox.com/culture/ 8 / /
/ 6 / fosta-sesta-backpage- -internet-freedom
[] S. Mason, "Documentos assinados ou executados com assinaturas eletrônicas na lei inglesa",

Computer Law & Security Review , vol. , pp. -, 8.
[6] JE Cohen, "The Zombie First Amendment," William and Mary Law Review , vol. 6,
pp. - 8,.
[] B. Lee, "Where Gutenberg Meets Guns: The Liberator, D -print Weapons, and the
Primeira Emenda ”, North Carolina Law Review , vol. , pp. -,.
[8] ET Jensen, “The Tallinn Manual. : Destaques e percepções ”, Georgetown Journal

de Direito Internacional , vol. 8, pp. - 8, 6.
[] P. Wilson, "O mito do direito internacional humanitário" , Assuntos Internacionais , vol. ,

não. , pp. 6 -,.
[6] "Glossário de termos-chave de segurança de informações", NISTIR 8 (revisão), nacional

Instituto de Padrões e Tecnologia,.
[6] J. Markoff, "Engenheiros da Apple, se De ant, Estariam em Sincronização com Código de Ética", o
New York Times , 8 de março 6.
[6] "Estados Unidos v. Arthur Andersen LLP," F. d 8 (th Cir), revertido por [ 6 ],
.
[6] “Arthur Andersen LLP v. Estados Unidos,” US 6 6 (US S.Ct),.
[6] A. Whitten e JD Tygar, “Por que Johnny não consegue criptografar: Uma avaliação de usabilidade do PGP
. . ” em USENIX Security Symposium , vol. 8,.
[6] S. Ruoti, J. Andersen, S. Heidbrink, M. O'Neill, E. Vaziripour, J. Wu, D. Zappala, e

KE Seamons, “" Estamos na mesma página ": Um estudo de usabilidade de e-mail seguro usando
pares de usuários novatos ”, nos Anais da 6 Conferência CHI sobre Fatores Humanos
em Computing Systems, San Jose, CA, USA, maio -, 6 , 6, pp. 8–8.
[66] S. Ruoti, J. Andersen, T. Hendershot, D. Zappala e KE Seamons, “Private

Correio eletrónico . : E-mail seguro simples e fácil de usar ”, nos Anais do th
Simpósio anual sobre software e tecnologia de interface de usuário, UIST 6, Tóquio,
Japão, 6, 6 e 6 de outubro , pp. 6 -.
www.cybok.org
[6] S. Ruoti, J. Andersen, T. Monson, D. Zappala e KE Seamons, “A comparative

estudo de usabilidade de gerenciamento de chaves em e-mail seguro ”, no Décimo Quarto Simpósio em
Privacidade e segurança utilizáveis, SOUPS 8, Baltimore, MD, EUA, agosto -, 8 ,
8, pp. -.
[68] A. Adams e MA Sasse, "Os usuários não são o inimigo", Comunicações da ACM ,
vol. , não. , pp. - 6,.
[6] A. Naiakshina, A. Danilova, E. Gerlitz, E. von Zezschwitz e M. Smith, “" Se você quiser, eu
pode armazenar a senha criptografada. "um estudo de campo de armazenamento de senha com freelance
desenvolvedores ”, em Proceedings of the ACM SIGCHI Conference on Human Factors
in Computing Systems, CHI,, Glasgow, UK, May -,, .
[] A. Naiakshina, A. Danilova, C. Tiefenau, M. Herzog, S. Dechand e M. Smith, “Why

os desenvolvedores erram no armazenamento de senhas ?: Um estudo qualitativo de usabilidade, ”em
Proceedings of the ACM SIGSAC Conference on Computer and Communications
Security, CCS, Dallas, TX, USA, outubro - novembro ,,, pp.
- 8.
[] DM Ashenden, L. Coles-Kemp e K. O'Hara, “Por que deveria ?: Cibersegurança, o
segurança do estado e a insegurança do cidadão, ” Politics & Governance , vol. 6,
não. , pp. - 8, 8.
[] SE Schechter, R. Dhamija, A. Ozment e I. Fischer, “The emperor's new security

indicadores, ”em Simpósio IEEE sobre Segurança e Privacidade (S&P), maio
, Oakland, Califórnia, EUA , pp. –6.
[] ME Zurko, C. Kaufman, K. Spanbauer e C. Bassett, “Você já teve que fazer

abra sua mente? O que as observações dos usuários fazem quando confrontados com uma decisão de segurança ”, na 8ª
Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC), - dezembro
, Las Vegas, NV, EUA , pp. - 8.
[] S. Egelman, LF Cranor e JI Hong, “Você foi avisado: um estudo empírico de

a eficácia dos avisos de phishing do navegador da web ”, em Proceedings of the 8
Conferência sobre Fatores Humanos em Sistemas Computacionais, CHI 8, 8, Florença, Itália,
Abril -, 8 , 8, pp. 6 -.
[] P. Kumaraguru, S. Sheng, A. Acquisti, LF Cranor e JI Hong, “Teaching Johnny

não cair no phishing ”, ACM Trans. Internet Techn. , vol. , não. , pp.: -:,.
[6] C. Herley, “More is the answer,” IEEE Security & Privacy , vol. , não. , pp. -,
.
[] MA Sasse, S. Brostoff e D. Weirich, “Transformando o 'elo mais fraco' - um

abordagem de interação humano / computador para segurança utilizável e eficaz, ” BT
Technology Journal , vol. , não. , pp. -,.
[8] SL P eeger, MA Sasse e A. Furnham, “Do elo mais fraco a herói da segurança:
Transformando o comportamento de segurança da equipe ”, Journal of Homeland Security and Emergency
Management , vol. , não. , pp. 8 -,.
[] R. Reeder, EC Kowalczyk e A. Shostack, “Ajudando os engenheiros a projetar o NEAT

avisos de segurança ”, em Proceedings of the Symposium On Usable Privacy and Security
(SOUPS), Pittsburgh, PA ,.
www.cybok.org
[8] R. Biddle, S. Chiasson e PC Van Oorschot, “Graphical passwords: Learning from

os primeiros doze anos ”, ACM Computing Surveys (CSUR) , vol. , não. , p. ,.
[8] F. Monrose e MK Reiter, "Senhas gráficas," Segurança e usabilidade , pp.

- 6,.
[8] S. Chiasson, A. Forget, R. Biddle e PC van Oorschot, “In uencing users to

melhores senhas: pontos de clique com indicação persuasivos ”, em Proceedings of the nd British
Conferência Anual do Grupo HCI sobre Pessoas e Computadores: Cultura, Criatividade,
Volume de interação . British Computer Society, 8, pp. -.
[8] R. Jhawar, P. Inglesant, N. Courtois e MA Sasse, “Make mine a quadruple:

Reforçando a segurança da autenticação gráfica de pino único ”, na Rede e
Segurança do Sistema (NSS), ª Conferência Internacional sobre . IEEE, pp. 8–88.
[8] S. Uellenbeck, M. Dürmuth, C. Wolf e T. Holz, “Quantificando a segurança de

senhas gráficas: O caso dos padrões de desbloqueio do Android ”, em Proceedings of the
ACM SIGSAC Conference on Computer & Communications Security , ser. CCS '.
New York, NY, USA: ACM,, pp. 6 -. [Conectados]. Disponível:
http://doi.acm.org/. / 88. 6
[8] B. Ur, PG Kelley, S. Komanduri, J. Lee, M. Maass, ML Mazurek, T. Passaro, R. Shay,

T. Vidas, L. Bauer, N. Christin e LF Cranor, “How does your password measure
pra cima? o efeito dos medidores de força na criação de senhas ”, nos Anais do dia
Simpósio de segurança USENIX, Bellevue, WA, EUA, 8-,,, pp. 6–8.
[86] M. Golla e M. Dürmuth, "Sobre a precisão dos medidores de força de senha", em

Proceedings of the 8 ACM SIGSAC Conference on Computer and Communications
Segurança, CCS 8, Toronto, ON, Canadá, outubro -, 8 , 8, pp. 6 - 8.
[8] J. Foer, Moonwalking with Einstein: The Art and Science of Remembering Everything .
Penguin Books,.
[88] M. Steves, D. Chisnell, A. Sasse, K. Krol, M. Theofanos e H. Wald, “Report:

Estudo diário de autenticação ”, Instituto Nacional de Padrões e Tecnologia, Tech.
Rep.,.
[8] G. Sauer, J. Lazar, H. Hochheiser e J. Feng, “Towards A universally usable human

prova de interação: Avaliação de estratégias de conclusão de tarefa, ” TACCESS , vol. , não. ,
pp.: -:,.
[] E. Bursztein, A. Moscicki, C. Fabry, S. Bethard, JC Mitchell e D. Jurafsky, “Easy

faz: mais CAPTCHAs utilizáveis ”, na Conferência CHI sobre Fatores Humanos em Computação
Systems, CHI ', Toronto, ON, Canadá - 6 de abril - maio ,,, pp. 6 - 6 6.
[] C. Fidas, AG Voyiatzis e NM Avouris, “Sobre a necessidade de uma interface amigável

CAPTCHA, ”em Proceedings of the International Conference on Human Factors in
Computing Systems, CHI, Vancouver, BC, Canada, maio - ,,, pp.
6 - 6 6.
[] O. Riva, C. Qin, K. Strauss e D. Lymberopoulos, “Autenticação progressiva:

Decidindo quando autenticar em telefones celulares ”, nos Anais do USENIX
Security Symposium, Bellevue, WA, USA, 8-,,, pp. - 6 de agosto .
[] A. Beautement, MA Sasse e M. Wonham, “O orçamento de conformidade: gerenciamento
www.cybok.org
comportamento de segurança nas organizações ”, em Proceedings of the 8 New Security

Oficina de Paradigmas . ACM, pp. - 8.
[] S. Furnell e K.-L. Thomson, “Reconhecendo e abordando a 'fadiga da segurança',”

Computer Fraud & Security , vol. , não. , pp. -,.
[] K. Holtzblatt e H. Beyer, Contextual design: Design for life . Morgan Kaufmann,

6
[6] I. Kirlappos, S. Parkin e MA Sasse, “Shadow security as a tool for the learning
organização ”, ACM SIGCAS Computers and Society , vol. , não. , pp. -,.
[] BE Litzky, KA Eddleston e DL Kidder, “O bom, o mau e o equivocado:

Como os gerentes incentivam inadvertidamente comportamentos desviantes ”, Academy of
Management Perspectives , vol. , não. , pp. -, 6.
[8] KM Ramokapane, A. Rashid e JM Such, “" Eu me sinto estúpido, não posso deletar ... ": Um estudo
das práticas de exclusão de nuvem dos usuários e estratégias de enfrentamento ”, no décimo terceiro Simpósio
em Privacidade e segurança utilizáveis, SOUPS, Santa Clara, CA, EUA, julho -,. ,
, pp. - 6.
[] KM Ramokapane, A. Mazeli e A. Rashid, “Pule, pule, pule, aceite !!!: Um estudo sobre
a usabilidade do fabricante do smartphone forneceu recursos padrão e do usuário
privacidade ”, em Proceedings of Privacy Enhancing Technologies (PoPETS) ,.
[] K. Greene, JM Franklin e JM Kelsey, “Toque em, toque fora: teclados na tela e

entrada de senha móvel ”, NIST, Tech. Rep.,.
[] W. Melicher, D. Kurilova, SM Segreti, P. Kalvani, R. Shay, B. Ur, L. Bauer, N. Christin,

LF Cranor e ML Mazurek, “Usabilidade e segurança de senhas de texto em dispositivos móveis
dispositivos ”, em Proceedings of the 6 CHI Conference on Human Factors in Computing
Systems, San Jose, CA, EUA, maio -, 6 , 6, pp. -.
[] K. Krol, E. Philippou, E. De Cristofaro e MA Sasse, ““ Eles trouxeram o horrível

coisa do anel de chave! ", analisando a usabilidade da autenticação de dois fatores no Reino Unido online
bancário ”, ArXiv Preprint ArXiv:. ,.
[] B. Craggs e A. Rashid, “Smart cyber-physics systems: Beyond usable security to

ergonomia de segurança desde o projeto ”, no rd IEEE / ACM International Workshop on Software
Engenharia para Sistemas Ciber-Físicos Inteligentes, SEsCPS @ ICSE, Buenos Aires,
Argentina, maio ,,, pp. -.
[] I. Kirlappos e MA Sasse, “Security education against phishing: A modest

proposta para um grande repensar, ” IEEE Security & Privacy , vol. , não. , pp. -,.
[] SA Naqvi, R. Chitchyan, S. Zschaler, A. Rashid e M. Südholt, “Documento cruzado

análise de dependência para integração de sistema a sistema ”, em Foundations of Computer
Programas. Tendências e técnicas futuras para o desenvolvimento, o Workshop de Monterey
8, Budapeste, Hungria, setembro - 6, 8, Revised Selected Papers , 8, pp.
- 6.
[6] E. Hollnagel, “Is safety a subject for science?” Safety Science , vol. 6, pp. -,
.
[] C. Perrow, “Organização para reduzir as vulnerabilidades da complexidade,” Journal of
Contingencies and Crisis Management , vol. , não. , pp. -,.

www.cybok.org
[8] D. Kahneman, Thinking, Fast and Slow . Penguin Books,.
[] M. Beyer, S. Ahmed, K. Doelemann, S. Arnell, S. Parkin, A. Sasse e N. Passingham,

“Conscientizar é apenas o primeiro passo”, Hewlett Packard Enterprise, Tech. Rep.,.
[] R. Wash, "Folk models of home computer security", em Proceedings of the Sixth

Simpósio sobre privacidade e segurança utilizáveis . ACM,, p. .
[] J. Nicholson, LM Coventry e P. Briggs, “Introducing the cybersurvival task:

Avaliar e abordar as crenças da equipe sobre a proteção cibernética eficaz ”, em
Décimo quarto Simpósio sobre Privacidade e Segurança Utilizáveis, SOUPS 8, Baltimore, MD,
EUA, agosto -, 8. , 8, pp. -.
[] S. Frey, A. Rashid, P. Anthonysamy, M. Pinto-Albuquerque e SA Naqvi, “The good,

o ruim e o feio: um estudo de decisões de segurança em sistemas ciberfísicos
game, ” IEEE Transactions on Software Engineering , vol. , não. , pp. - 6,.
[] E. Wenger, Comunidades de prática: Aprendizagem, significado e identidade . Cambridge

jornal universitário, .
[] A. Joinson e L. Piwek, “Tecnologia e a formação de socialmente positivo

behaviors, ” Beyond Behavior Change: Key Issues, Interdisciplinary Approaches and
Future Directions , vol. , 6.
[] T. Denning, A. Lerner, A. Shostack e T. Kohno, “Control-alt-hack: the design and

avaliação de um jogo de cartas para conscientização e educação em segurança de computador ”, em
ACM SIGSAC Conference on Computer and Communications Security, CCS ', Berlin,
Alemanha, novembro -8,,, pp. - 8.
[6] C. Bravo-Lillo, LF Cranor, JS Downs e S. Komanduri, “Bridging the gap in

avisos de segurança de computador: uma abordagem de modelo mental, ” IEEE Security & Privacy ,
vol. , não. , pp. 8–6,.
[] LJ Camp, “Modelos mentais de privacidade e segurança,” IEEE Technol. Soc. Mag. , vol. 8,
não. , pp. - 6,.
[8] D. Florêncio, C. Herley e A. Shostack, “FUD: a plea for intolerance”, Commun. ACM ,
vol. , não. 6, pp. -,.
[] B. McSweeney e M. Bill, Segurança, identidade e interesses: uma sociologia do internacional

relações . Cambridge University Press, vol. 6
[] P. Roe, "The 'value' of positive security," Review of International Studies , vol. , não. ,
pp. -, 8.
[] S. Fahl, M. Harbach, T. Muders, L. Baumgärtner, B. Freisleben e M. Smith, “Why

Eve e Mallory adoram Android: uma análise da segurança SSL (in) do Android ”, em
Proceedings of the ACM Conference on Computer and Communications
Segurança , ser. CCS '. New York, NY, USA: ACM,, pp. –6. [Conectados]. Disponível:
http://doi.acm.org/. / 8 6. 8
[] M. Green e M. Smith, “Os desenvolvedores não são o inimigo !: A necessidade de segurança utilizável
APIs, ” IEEE Security & Privacy , vol. , não. , 6.
[] P. Dunphy, J. Vines, L. Coles-Kemp, R. Clarke, V. Vlachokyriakos, P. Wright,

J. McCarthy e P. Olivier, “Understanding the experience-centeredness of privacy
www.cybok.org
e tecnologias de segurança ”, em Proceedings of the New Security Paradigms

Workshop . ACM, pp. 8-.
[] CP Heath, PA Hall e L. Coles-Kemp, “Holding on to dissensus: Participatory

interações em design de segurança ”, Strategic Design Research Journal , vol. , não. , pp.
6 - 8, 8.
[] A. Beautement, I. Becker, S. Parkin, K. Krol e MA Sasse, “Segurança produtiva: A

metodologia escalonável para analisar os comportamentos de segurança dos funcionários ”, em décimo segundo
Simpósio sobre privacidade e segurança utilizáveis, SOUPS 6, Denver, CO, EUA, junho
-, 6 , 6, pp. -.
[6] ME Zurko e RT Simon, "Segurança centrada no usuário", em Proceedings of the 6

workshop sobre Novos paradigmas de segurança . ACM, 6, pp. -.
[] W. Enck, D. Octeau, P. McDaniel e S. Chaudhuri, “A study of android application

segurança ”, em Proceedings of the USENIX Conference on Security , ser. SEC '.
Berkeley, CA, EUA: USENIX Association,, pp. -. [Conectados]. Disponível:
http://dl.acm.org/citation.cfm?id= 8 6. 8 88
[8] Y. Acar, M. Backes, S. Fahl, D. Kim, ML Mazurek e C. Stransky, “You get where
que você está procurando: O impacto das fontes de informação na segurança do código ”, em Segurança
e Privacidade (SP), 6 Simpósio IEEE diante . IEEE, 6, pp. 8 -.
[] T. Lopez, TT Tun, AK Bandara, M. Levine, B. Nuseibeh e H. Sharp, “An anatomy

de conversas de segurança em pilha sobre o uxo ”, em Proceedings of the st International
Conferência sobre Engenharia de Software: Engenharia de Software na Sociedade, ICSE,
Montreal, QC, Canadá, maio - ,,, pp. -.
[] S. Arzt, S. Nadi, K. Ali, E. Bodden, S. Erdweg e M. Mezini, “Para seguro

integração de software criptográfico, ”em Simpósio Internacional ACM sobre
Novas ideias, novos paradigmas e reflexões sobre programação e software, em diante!
, Pittsburgh, PA, EUA, outubro - ,,, pp. -.
[] S. Nadi, S. Krüger, M. Mezini e E. Bodden, “Jumping through hoops: why do java

os desenvolvedores lutam com APIs de criptografia? ” em Proceedings of the 8th
Conferência Internacional sobre Engenharia de Software, ICSE 6, Austin, TX, EUA, maio
-, 6 , 6, pp. - 6.
[] S. Krüger, S. Nadi, M. Reif, K. Ali, M. Mezini, E. Bodden, F. Göpfert, F. Günther,

C. Weinert, D. Demmler e R. Kamath, “CogniCrypt: suporte aos desenvolvedores no uso
criptografia ”, em Proceedings of the nd IEEE / ACM International Conference on
Engenharia de software automatizada, ASE, Urbana, IL, EUA, outubro - novembro
, ,, Pp. - 6.
[] LNQ Do, K. Ali, B. Livshits, E. Bodden, J. Smith e ER Murphy-Hill, “Just-in-time

análise estática ”, nos Anais do 6º Simpósio Internacional ACM SIGSOFT
on Software Testing and Analysis, Santa Bárbara, CA, EUA, julho - ,,, pp.
-.
[] N. Patnaik, J. Hallett, e A. Rashid, “Usabilidade cheiros: Uma análise dos desenvolvedores '
luta com bibliotecas de criptografia ”, no décimo quinto simpósio sobre privacidade e segurança utilizáveis
(SOUPS), Santa Clara, EUA . Associação USENIX,.
[] DD Caputo, SL P eeger, MA Sasse, P. Ammann, J. Offutt e L. Deng, “Barriers
www.cybok.org
para segurança utilizável? três estudos de caso organizacionais ”, IEEE Security & Privacy , vol. ,
não. , pp. -, 6.
[6] JM Haney, M. Theofanos, Y. Acar e SS Prettyman, “" Tornamos isso um grande negócio em
a empresa ": mentalidades de segurança em organizações que desenvolvem criptografia
produtos ”, no Décimo Quarto Simpósio sobre Privacidade e Segurança Utilizáveis, SOUPS 8,
Baltimore, MD, EUA, agosto -, 8. , 8, pp. -.
[] R. Stevens, D. Votipka, EM Redmiles, C. Ahern, P. Sweeney e ML Mazurek, “The

batalha por Nova York: um estudo de caso de modelagem de ameaças digital aplicada na empresa
nível, ”em th USENIX Security Symposium, USENIX Security 8, Baltimore, MD, EUA,
Agosto -, 8. , 8, pp. 6–6.
[8] Assembleia Geral da ONU, "Declaração universal dos direitos humanos", 8 de dezembro,
artigo . [Conectados]. Disponível:
https://www.un.org/en/udhrbook/pdf/udhr_booklet_en_web.pdf
[] SD Warren
Computadores
e LD Brandeis,
, DG Johnson
"O direito
e JW
à privacidade",
Snapper, Eds.em
Wadsworth
Questões Publ.
ÉticasCo.,
no Uso
8. de
[] A. Rouvroy e Y. Poullet, "O direito à autodeterminação informativa e a

valor do autodesenvolvimento: reavaliando a importância da privacidade para a democracia ”, em
Reinventando a proteção de dados? , S. Gutwirth, Y. Poullet, P. De Hert, C. de Terwangne, e
S. Nouwt, Eds. Springer Holanda,.
[] AF Westin, Privacidade e Liberdade . Ateneu, 6.
[] PE Agre e M. Rotenberg, Eds., Technology and Privacy: The New Landscape .

MIT Press, 8.
[] Comissão Europeia, “Regulamento (UE) 6/6 do Parlamento Europeu e

do Conselho de 6 de abril sobre a proteção de pessoas físicas em relação a
o tratamento de dados pessoais e a livre circulação de tais dados, e
que revoga a Diretiva / 6 / CE (Regulamento Geral de Proteção de Dados), ” Jornal Oficial
da União Europeia , 6.
[] G. Danezis e S. Gürses, “Uma revisão crítica de anos de tecnologia de privacidade,”

Culturas de vigilância: uma sociedade de vigilância global? ,.
[] S. Gürses e C. Diaz, "Two tales of privacy in online social networks," IEEE Security
and Privacy , vol. , não. , pp. -,.
[6] H. Nissenbaum, "Privacidade como integridade contextual", Washington Law Review ,.
[] G. Acar, C. Eubank, S. Englehardt, M. Juárez, A. Narayanan e C. Díaz, “The web

nunca se esquece: mecanismos de rastreamento persistentes na natureza ”, em ACM SIGSAC
Conferência sobre Segurança de Computadores e Comunicações ,.
[8] N. Borisov, I. Goldberg e EA Brewer, “Comunicação oficial ou, por que não
para usar PGP ”, em WPES . ACM,.
[] J. Camenisch e A. Lysyanskaya, “Um sistema eficiente para não transferíveis

credenciais anônimas com revogação de anonimato opcional ”, em Avanços em
Criptologia - EUROCRYPT ,.
[] D. Chaum, "Blind signatures for untraceable Payments", em CRYPTO , 8.
bibliografia | Outubro Página
www.cybok.org
[] C. Dwork e A. Roth, “Os fundamentos algorítmicos da privacidade diferencial,” Found.

Trends Theor. Comput. Sci. ,.
[] M. Marlinspike, “Advanced cryptographic ratcheting).” [Conectados]. Disponível:

https://whispersystems.org/blog/advanced-ratcheting/
[] A. Narayanan e V. Shmatikov, "De-anonymizing social networks," in IEEE

Simpósio sobre Segurança e Privacidade (S&P) ,.
[] F. Shirazi, M. Simeonovski, MR Asghar, M. Backes e C. Díaz, “A survey on routing

em protocolos de comunicação anônima ”, ACM Comput. Surv. , 8.
[] D. Adrian, K. Bhargavan, Z. Durumeric, P. Gaudry, M. Green, JA Halderman,

N. Heninger, D. Springall, E. Thomé, L. Valenta, B. VanderSloot, E. Wustrow,
S. Zanella-Béguelin e P. Zimmermann, “Imperfect forward secrecy: how
Dif e-Hellman falha na prática ”, Commun. ACM ,.
[6] “A versão do protocolo Transport Layer Security (TLS). , ”RFC 8 6, 8.
[] MW Lucas, PGP & GPG: Email for the Practical Paranoid , st ed. Sem Starch Press,
6
[8] C. Alexander e I. Goldberg, “Autenticação de usuário aprimorada em off-the-record

mensagens ”, em WPES ,.
[] N. Unger e I. Goldberg, “Melhoria nas trocas de chaves autenticadas fortemente negáveis

para mensagens seguras ” , PoPETs , 8.
[6] Open Whisper Systems, "Signal Protocol library for Java / Android". [Conectados].
Disponível: https://github.com/signalapp/libsignal-protocol-java
[6] K. Cohn-Gordon, CJF Cremers, B. Dowling, L. Garratt e D. Stebila, “A formal

análise de segurança do protocolo de mensagem de sinal ”, no IEEE European Symposium on
Segurança e privacidade, EuroS & P ,.
[6] E. Hesamifard, H. Takabi, M. Ghasemi e RN Wright, “Privacy-preserving machine
aprendizagem como serviço ” , PoPETs , 8.
[6] DX Song, DA Wagner e A. Perrig, “Técnicas práticas para pesquisas sobre

dados criptografados ”, no Simpósio IEEE sobre Segurança e Privacidade ,.
[6] N. Borisov, G. Danezis e I. Goldberg, "DP: Um serviço de presença privada" , PoPETs ,

.
[6] P. Mittal, FG Olumo n, C. Troncoso, N. Borisov e I. Goldberg, “PIR-Tor: Scalable

comunicação anônima usando recuperação de informação privada, ”em th USENIX
Simpósio de segurança ,.
[66] RR Toledo, G. Danezis e I. Goldberg, "Lower-cost ∈-private information retrieval",

PoPETs , 6.
[6] W. Aiello, Y. Ishai e O. Reingold, “Transferência alheia a preços: Como vender digital
mercadorias ”, em Advances in Cryptology - EUROCRYPT ,.
[68] J. Camenisch, M. Dubovitskaya, e G. Neven, “Unlinkable prices oblivious transfer

com carteiras recarregáveis ”, em Criptografia Financeira e Segurança de Dados ,.

www.cybok.org
[6] P. Mishra, R. Poddar, J. Chen, A. Chiesa, e RA Popa, “Oblix: An eficiente esquecido

índice de pesquisa, ”em 8 Simpósio IEEE sobre Segurança e Privacidade, SP 8 , 8.
[] S. Sasy, S. Gorbunov e CW Fletcher, “Zerotrace: Oblivious memory primitives

da intel SGX, ”em º Simpósio Anual de Segurança de Redes e Sistemas Distribuídos,
NDSS , 8.
[] RA Popa, CMS Red eld, N. Zeldovich e H. Balakrishnan, “CryptDB: proteger

confidencialidade com processamento de consulta criptografada ”, em Proceedings of the Twenty-Third
ACM Symposium on Operating Systems Principles , ser. SOSP '. Nova York, NY,
EUA: ACM,, pp. 8-. [Conectados]. Disponível:
[] F. Kerschbaum, "Freqüência ocultando criptografia de preservação de ordem", na Conferência ACM

em Segurança de Computadores e Comunicações ,.
[] K. Lewi e DJ Wu, "Encriptação reveladora da ordem: Novas construções, aplicações,

e limites inferiores ”, na Conferência ACM sobre Segurança de Comunicações e Computadores ,
6
[] V. Bindschaedler, P. Grubbs, D. Cash, T. Ristenpart e V. Shmatikov, “The tao of

inferência em bancos de dados protegidos por privacidade ” , PVLDB , 8.
[] P. Grubbs, M. Lacharité, B. Minaud e KG Paterson, “Pump up the volume:

Reconstrução prática de banco de dados a partir de vazamento de volume em consultas de intervalo ”, no ACM
Conferência sobre Segurança de Computadores e Comunicações , 8.
[6] P. Grubbs, T. Ristenpart e V. Shmatikov, “Por que seu banco de dados criptografado não é
seguro ”, no HotOS ,.
[] M. Naveed, S. Kamara e CV Wright, “Inference attack on property-preserving

bancos de dados criptografados ”, em ACM Conference on Computer and Communications
Segurança ,.
[8] H. Corrigan-Gibbs e D. Boneh, “Prio: Private, robust, and scalable computation of

estatísticas agregadas ”, na INDE ,.
[] L. Melis, G. Danezis e ED Cristofaro, “Eficient private statistics with succinct

esboços ”, em NDSS , 6.
[8] DW Archer, D. Bogdanov, Y. Lindell, L. Kamm, K. Nielsen, JI Pagter, NP Smart,

e RN Wright, “De chaves a bancos de dados - aplicações do mundo real de segurança
computação multipartidária ”, Comput. J. , 8.
[8] Á. Kiss, J. Liu, T. Schneider, N. Asokan e B. Pinkas, “Private set intersection for
tamanhos de conjuntos desiguais com aplicativos móveis ” , PoPETs ,.
[8] M. Nagy, ED Cristofaro, A. Dmitrienko, N. Asokan e A. Sadeghi, “Eu te conheço ?:

Eficientes e que preservam a privacidade de protocolos e aplicativos amigos comuns ”, em
Conferência Anual de Aplicativos de Segurança de Computadores, ACSAC ,.
[8] S. Nagaraja, P. Mittal, C. Hong, M. Caesar e N. Borisov, “Botgrep: Finding PP bots
com análise estruturada de gráficos ”, no Simpósio de Segurança USENIX ,.
[8] P. Baldi, R. Baronio, ED Cristofaro, P. Gasti e G. Tsudik, “Countering GATTACA:

teste eficiente e seguro de genomas humanos totalmente sequenciados ”, na Conferência ACM
em Segurança de Computadores e Comunicações, CCS ,.
www.cybok.org
[8] ED Cristofaro e G. Tsudik, “Practical private set intersection protocolos with linear
complexidade ”, em Criptografia Financeira ,.
[86] MJ Freedman, K. Nissim e B. Pinkas, “Eficiente correspondência privada e conjunto

intersecção ”, em EUROCRYPT ,.
[8] B. Pinkas, T. Schneider, C. Weinert e U. Wieder, "Eficiente PSI baseado em circuito via
hashing do cuco ”, em EUROCRYPT () , 8.
[88] J. Balasch, A. Rial, C. Troncoso, B. Preneel, I. Verbauwhede e C. Geuens, “PrETP:

Preços de pedágio eletrônico com preservação da privacidade ”, no Simpósio de Segurança USENIX ,.
[8] A. Rial e G. Danezis, “Privacy-preserving smart metering,” in WPES ,.
[] H. Corrigan-Gibbs, D. Boneh e D. Mazières, “Riposte: An anonymous messaging

sistema que lida com milhões de usuários ”, em Simpósio IEEE sobre Segurança e Privacidade,
SP ,.
[] C. Hazay e K. Nissim, “Eficiente definir operações na presença de mal-intencionados

adversários ”, em Public Key Cryptography ,.
[] J. Camenisch, “Concepts about privacy-preserving attribute-based credentials -

tornando prática a autenticação com credenciais anônimas ”, em Privacidade e Identidade
Management , ser. IFIP Advances in Information and Communication Technology,
.
[] M. Koning, P. Korenhof, G. Alpár e J.-H. Hoepman, “The ABC of ABC: An analysis

de credenciais baseadas em atributos à luz da proteção de dados, privacidade e identidade, ”
HotPETS ,.
[] J. Camenisch, S. Hohenberger, M. Kohlweiss, A. Lysyanskaya e M. Meyerovich,

“Como vencer as clonewars: autenticação anônima periódica n vezes eficiente”, em
ª Conferência ACM sobre Segurança de Computadores e Comunicações, CCS , 6.
[] R. Henry e I. Goldberg, “Pensando dentro da caixa BLAC: protocolos mais inteligentes para mais rápido
lista negra anônima ”, no Workshop anual da ACM sobre Privacidade no Eletrônico
Sociedade, WPES ,.
[6] PP Tsang, MH Au, A. Kapadia e SW Smith, “Blacklistable anonymous

credenciais: bloqueio de usuários que se comportam mal sem ttps ”, em ACM Conference on
Segurança de computadores e comunicações, CCS ,.
[] J. Camenisch, M. Drijvers e J. Hajny, “Scalable revocation scheme for anonymous

credenciais com base em provas não vinculáveis n vezes ”, em ACM no Workshop on Privacy em
a Sociedade Eletrônica, WPES , 6.
[8] IBM, “Identity mixer”. [Conectados]. Disponível:

https://www.zurich.ibm.com/identity_mixer/
[] Privacy by Design Foundation, “IRMA: I Reveal My Attributes.” [Conectados]. Disponível:

https://privacybydesign.foundation/irma-explanation/
[] E. Ben-Sasson, A. Chiesa, C. Garman, M. Green, I. Miers, E. Tromer e M. Virza,

“Zerocash: Pagamentos anônimos descentralizados de Bitcoin,” no Simpósio IEEE em
Segurança e Privacidade, SP ,.
www.cybok.org
[] I. Miers, C. Garman, M. Green e AD Rubin, “Zerocoin: Anonymous distribudo

e-cash from Bitcoin, ”in IEEE Symposium on Security and Privacy, SP ,, pp.
-.
[] E. Ben-Sasson, A. Chiesa, E. Tromer e M. Virza, “Succinct non-interativo zero

conhecimento para uma arquitetura von neumann ”, em o Simpósio de Segurança USENIX ,
.
[] Y.-A. de Montjoye, CA Hidalgo, M. Verleysen e VD Blondel, “Unique in the

multidão: os limites da privacidade da mobilidade humana ”, Scientific Reports ,.
[] N. Homer, S. Szelinger, M. Redman, D. Duggan, W. Tembe, J. Muehling, JV Pearson,

DA Stephan, SF Nelson e DW Craig, “Resolvendo indivíduos contribuindo rastreio
quantidades de DNA a misturas altamente complexas usando genotipagem snp de alta densidade
microarrays ”, PLOS Genetics , 8.
[] P. Golle e K. Partridge, "Sobre o anonimato dos pares casa / local de trabalho", em

Computação Pervasiva ,.
[6] L. Sweeney, “Achieving k-anonymity privacy protection using generalization and

supressão ”, International Journal of Uncertainty, Fuzziness and Knowledge-Based
Sistemas ,.
[] A. Machanavajjhala, J. Gehrke, D. Kifer e M. Venkitasubramaniam, “diversidade-l:

Privacidade além do anonimato ”, na Conferência Internacional sobre Engenharia de Dados, ICDE ,
6
[8] N. Li, T. Li e S. Venkatasubramanian, “t-closeness: Privacy beyond k-anonymity

e l-diversidade ”, no ICDE . IEEE Computer Society,.
[] K. El Emam e FK Dankar, "Protecting Privacy Using k-Anonymity," Journal of the

American Medical Informatics Association , 8.
[] B. Gedik e L. Liu, “Protegendo a privacidade do local com k-anonimato personalizado:

Arquitetura e algoritmos, ” IEEE Transactions on Mobile Computing , 8.
[] M. Stegelmann e D. Kesdogan, “Gridpriv: A smart metering architecture offer

k-anonimato ”, em Trust, Security and Privacy in Computing and Communications
(TrustCom) ,.
[] E. Balsa, C. Troncoso e C. Díaz, "OB-PWS: pesquisa na web privada baseada em ofuscação",

no Simpósio IEEE sobre Segurança e Privacidade ,.
[] A. Gadotti, F. Houssiau, L. Rocher e Y. de Montjoye, “Quando o sinal está no

ruído: os limites do ruído pegajoso do dif x ” , CoRR , vol. abs / 8. 6, 8.
[] B. Hoh, M. Gruteser, H. Xiong e A. Alrabady, “Preserving privacy in GPS traces via

camuflagem consciente de incertezas ”, na ACM Conference on Computer e
Segurança das comunicações, CCS ,.
[] K. Chatzikokolakis, C. Palamidessi e M. Stronati, “A preditivo

mecanismo diferencialmente privado para rastreamentos de mobilidade ”, em Privacy Enhancing
Technologies - th International Symposium, PETS ,.
[6] R. Chow e P. Golle, "Faking contextual data for fun, pro t, and privacy," in ACM
Workshop sobre Privacidade na Sociedade Eletrônica, WPES ,.
www.cybok.org
[] ST Peddinti e N. Saxena, “Sobre a privacidade da pesquisa na web com base em consulta

ofuscação: um estudo de caso de trackmenot ”, no International Symposium Privacy
Enhancing Technologies PETS ,.
[8] JL Raisaro, J. Troncoso-Pastoriza, M. Misbach, JS Sousa, S. Pradervand,

E. Missiaglia, O. Michielin, B. Ford e J.-P. Hubaux, “Medco: Enabling secure and
exploração de preservação de privacidade de dados clínicos e genômicos distribuídos ”, IEEE / ACM
transações em biologia computacional e bioinformática , 8.
[] JJ Kim, “Um método para limitar a divulgação em microdados com base em ruído aleatório e
transformação ”, em Anais da seção sobre métodos de pesquisa por levantamento .
American Statistical Association, 86.
[] WE Yancey, WE Winkler e RH Creecy, “Avaliação de risco de divulgação em

proteção perturbativa de microdados ”, em Inference Control in Statistical Databases,
Da teoria à prática ,.
[] C. Dwork, "privacidade diferencial", em ICALP () , ser. Notas de aula em ciência da computação,

6
[] S. Oya, C. Troncoso e F. Pérez-González, “Is geoindistinguishability what you are

procurando por?" em WPES ,.
[] S. Meiser e E. Mohammadi, “Tight on budget ?: Tight bounds for r-fold

privacidade diferencial aproximada ”, em ACM SIGSAC Conference on Computer e
Segurança das comunicações , 8.
[] K. Chatzikokolakis, ME Andrés, NE Bordenabe e C. Palamidessi, “Broadening

o escopo da privacidade diferencial usando métricas ”, em Privacy Enhancing Technologies ,
.
[] K. Bonawitz, V. Ivanov, B. Kreuter, A. Marcedone, HB McMahan, S. Patel, D. Ramage,

A. Segal e K. Seth, “Practical secure aggregation for privacy-preserving machine
aprendizagem ”, na Conferência ACM sobre Segurança de Comunicações e Computadores ,.
[6] ME Andrés, NE Bordenabe, K. Chatzikokolakis e C. Palamidessi,

“Geoindistinguibilidade: privacidade diferencial para sistemas baseados em localização”, em
Proceedings of the ACM SIGSAC conference on Computer & Communications
segurança . ACM,, pp. -.
[] JM Abowd, "The US census bureau adota privacidade diferencial", em KDD , 8.
[8] SE Oh, S. Li e N. Hopper, “Fingerprinting keywords in search queries over Tor,”

PoPETs , vol. ,.
[] AM White, AR Matthews, KZ Snow e F. Monrose, “Phonotactic

reconstrução de conversas voip criptografadas: Hookt on fon-iks, ”em IEEE
Simpósio sobre Segurança e Privacidade, S&P ,.
[] G. Danezis e C. Diaz, "Uma pesquisa de canais de comunicação anônimos",

Microsoft Research, Tech. Rep. MSR-TR- 8-, 8.
[] R. Dingledine, N. Mathewson e PF Syverson, “Tor: The second-generation onion

roteador ”, no Simpósio de Segurança USENIX ,.
[] A. Johnson, C. Wacek, R. Jansen, M. Sherr e PF Syverson, “Users get routed:
www.cybok.org
correlação de tráfego no Tor por adversários realistas ”, em ACM SIGSAC Conference on

Segurança de computadores e comunicações ,.
[] D. Chaum, “Untraceable electronic mail, return address, and digital pseudonyms,”

Comum. ACM , 8.
[] AM Piotrowska, J. Hayes, T. Elahi, S. Meiser e G. Danezis, “The Loopix

sistema de anonimato ”, no Simpósio de Segurança USENIX , Segurança USENIX ,.
[] G. Danezis e I. Goldberg, "Sphinx: A compact and comprovably secure mix format," in

Simpósio IEEE sobre Segurança e Privacidade (S&P) ,.
[6] G. Acar, M. Juárez, N. Nikiforakis, C. Diaz, S. Gürses, F. Piessens e B. Preneel,

“FPDetective: dusting the web for ngerprinters,” em Conferência ACM SIGSAC sobre
Segurança de computadores e comunicações ,.
[] A. Vastel, P. Laperdrix, W. Rudametkin e R. Rouvoy, “FP-STALKER: tracking

navegador ngerprint evolutions, ”in IEEE Symposium on Security and Privacy, SP , 8.
[8] N. Nikiforakis, A. Kapravelos, W. Joosen, C. Kruegel, F. Piessens e G. Vigna,

“Monstro Cookieless: Explorando o ecossistema de ngerprinting de dispositivo baseado na web,”
no Simpósio IEEE sobre Segurança e Privacidade ,.
[] P. Laperdrix, B. Baudry e V. Mishra, “FPRandom: Randomizing core browser

objetos para quebrar técnicas avançadas de impressão de dispositivos ”, em ESSoS ,.
[] F. Roesner, T. Kohno e D. Wetherall, “Detecção e defesa contra terceiros

rastreamento na web ”, no Simpósio USENIX sobre Projeto de Sistemas em Rede e
Implementação, INDE ,.
[] L. Olejnik, M. Tran e C. Castelluccia, "Selling off user privacy at leilão", em

Simpósio de Segurança de Rede e Sistema Distribuído, NDSS ,.
[] H. Zang e J. Bolot, “O anonimato de dados de localização não funciona: uma grande escala
estudo de medição ”, na Conferência sobre Computação Móvel e Redes,
MOBICOM,, pp. - 6.
[] J. Pang e Y. Zhang, "Deepcity: A feature learning framework for mining location

check-ins ”, em Conference on Web and Social Media, ICWSM ,.
[] S. Gambs, M. Killijian e MN del Prado Cortez, “Mostre-me como você se move e eu vou
dizer quem você é ”, Trans. Privacidade de dados ,.
[] G. Zhong, I. Goldberg e U. Hengartner, “Louis, Lester e Pierre: Três protocolos

para privacidade de localização ”, em Privacy Enhancing Technologies ,.
[6] A. Narayanan, N. Thiagarajan, M. Lakhani, M. Hamburg e D. Boneh, “Localização

privacidade por meio de teste de proximidade privado ”, em NDSS ,.
[] Z. Lin, DF Kune e N. Hopper, “Eficiente teste de proximidade privada com GSM

esboços de localização ”, em Criptografia Financeira ,.
[8] M. Li, K. Sampigethaya, L. Huang e R. Poovendran, “Swing & swap: user-centric

abordagens para maximizar a privacidade do local ”, em WPES , 6.
[] J. Krumm, "Ataques de inferência em trilhas de localização", em Pervasive ,.
www.cybok.org
[] M. Gruteser e D. Grunwald, “Anonymous use of location-based services through

camuflagem espacial e temporal ”, em MobiSys ,.
[] J. Krumm, “Realistic driving trips for location privacy,” in Pervasive ,.
[] A. Acquisti, I. Adjerid e L. Brandimarte, “Desaparecido em segundos: os limites da privacidade

transparência e controle ”, IEEE Security Privacy ,.
[] M. Madejski, M. Johnson e S. M Bellovin, “The failure of online social network

configurações de privacidade ”, Columbia University, Tech. Rep. CUCS- -,.
[] H. Harkous, K. Fawaz, R. Lebret, F. Schaub, KG Shin e K. Aberer, “Polisis:

Análise automatizada e apresentação de políticas de privacidade usando aprendizado profundo ”, em
Simpósio de Segurança USENIX , 8.
[] J. Bonneau, J. Anderson e L. Church, “Privacy suites: shared privacy for social

redes ”, em Simpósio sobre privacidade e segurança utilizáveis, SOUPS ,.
[6] J. Lin, B. Liu, NM Sadeh e JI Hong, “Modeling users 'mobile app privacy
preferências: Restaurando a usabilidade em um mar de configurações de permissão ”, em Simpósio em
Privacidade e segurança utilizáveis, SOUPS ,.
[] Q. Ismail, T. Ahmed, K. Caine, A. Kapadia e MK Reiter, “Permitir ou não

permitir, essa é a questão de usabilidade: Crowdsourcing de privacidade de aplicativos móveis
configurações de permissão, ” PoPETs ,.
[8] World Wide Web Consortium (WC), “Platform for Privacy Preferences (PP),”.
[Conectados]. Disponível: https://www.w.org/PP
[] L. Cranor, M. Langheinrich e M. Marchiori, “linguagem de troca de preferência de APP

. (APPEL.), ”World Wide Web Consortium, Working Draft
WD-P P-preferências-,.
[6] J. Byun e N. Li, “Controle de acesso baseado em propósito para proteção de privacidade em relacionamento
sistemas de banco de dados ”, VLDB J. , 8.
[6] G. Karjoth, M. Schunter e M. Waidner, “Plataforma para práticas de privacidade empresarial:

Gerenciamento de dados de clientes habilitado para privacidade ”, em Privacy Enhancing Technologies,
PET ,.
[6] S. Wilson, F. Schaub, R. Ramanath, NM Sadeh, F. Liu, NA Smith e F. Liu,

“Anotações de crowdsourcing para políticas de privacidade de sites: pode realmente funcionar?” dentro
WWW , 6.
[6] H. Liu, P. Maes e G. Davenport, "Desvendando o tecido do gosto das redes sociais", Int.
J. Semantic Web Inf. Syst. , 6.
[6] Y. Wang, PG Leon, K. Scott, X. Chen, A. Acquisti e LF Cranor, “Privacy nudges
para mídias sociais:
Conferência, WWW,,um pp.estudo
6 -. exploratório no Facebook ”, na International World Wide Web
[6] A. Acquisti, I. Adjerid, R. Balebako, L. Brandimarte, LF Cranor, S. Komanduri, PG

Leon, N. Sadeh, F. Schaub, M. Sleeper, Y. Wang e S. Wilson, “Nudges for privacy
e segurança: compreender e ajudar as escolhas dos usuários online ”, ACM Comput.
Surv. ,.
www.cybok.org
[66] T. Paul, D. Puscher e T. Strufe, “Melhorando a usabilidade das configurações de privacidade em

facebook, ” CoRR , vol. abs / .6 6,.
[6] D. Biswas e V. Niemi, “Transforming privacy policies to auditing speci cations,” em

HASE ,.
[68] D. Froelicher, P. Egger, JS Sousa, JL Raisaro, Z. Huang, C. Mouchet, B. Ford, e

J.-P. Hubaux, “UnLynx: A descentralized system for privacy-oriented data sharing,”
PoPETs ,.
[6] CA Neff, "A veri able secret shuf e and its application to e-vote," in ACM
Conferência sobre Segurança de Computadores e Comunicações . ACM,.
[] S. Khattak, T. Elahi, L. Simon, CM Swanson, SJ Murdoch e I. Goldberg, “SoK:

Entendendo os sistemas de resistência à censura ” , PoPETs , 6.
[] DJ Solove, ““ Não tenho nada a esconder "e outros mal-entendidos sobre privacidade”, San
Diego Law Review ,.
[] J. Benaloh, RL Rivest, PYA Ryan, PB Stark, V. Teague e PL Vora, “End-to-end

verificabilidade ” , CoRR , vol. abdômen/ . 8,.
[] D. Boneh e P. Golle, "Mistura quase totalmente correta com aplicativos para votação", em
Conferência ACM sobre Segurança de Computadores e Comunicações, CCS ,.
[] M. Jakobsson, A. Juels e RL Rivest, “Making mix nets robust for electronic

votação por verificação parcial aleatória ”, no Simpósio de Segurança USENIX ,.
[] A. Fujioka, T. Okamoto e K. Ohta, “Um esquema de votação secreto prático para larga escala
eleições ”, em AUSCRYPT ,.
[6] B. Adida, "Helios: Web-based open-audit vote," in USENIX Security Symposium ,

8
[] A. Kiayias, M. Korman e D. Walluck, “Um sistema de votação na Internet que oferece suporte ao usuário
privacidade ”, na Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC 6) , 6.
[8] A. Juels, D. Catalano, e M. Jakobsson, "Coercion-resistente às eleições eletrônicas," em

Rumo a eleições confiáveis ,.
[] MR Clarkson, S. Chong e AC Myers, “Civitas: Toward a secure vote system,”

dentro 8 Simpósio IEEE sobre Segurança e Privacidade (S&P) , 8.
[8] J. Berg, “The dark side of e-petitions? Explorando assinaturas anônimas ”.
[8] C. Diaz, E. Kosta, H. Dekeyser, M. Kohlweiss e G. Nigusse, “Privacy preserving

petições eletrônicas ”, Identity in the Information Society , 8.
[8] A. Sonnino, M. Al-Bassam, S. Bano e G. Danezis, “Coconut: Threshold issuance

credenciais de divulgação seletiva com aplicativos para livros-razão distribuídos ” , CoRR , vol.
abs / 8. , 8. [Online]. Disponível: http://arxiv.org/abs/ 8.
[8] MC Tschantz, S. Afroz, anonymous e V. Paxson, “SoK: Towards grounding

circunvenção da censura no empirismo ”, no IEEE Symposium on Security and Privacy,
SP , 6.
[8] R. Newman, “The Church of Scientology vs. anon.penet. . ” [Conectados]. Disponível:

http://www.spaink.net/cos/rnewman/anon/penet.html
www.cybok.org
[8] R. Anderson, "The eternity service", em Proceedings of Pragocrypt '6 , 6.
[86] I. Clarke, O. Sandberg, B. Wiley e TW Hong, “Freenet: A Distributed anonymous

sistema de armazenamento e recuperação de informações ”, no Workshop on Design Issues in
Anonimato e Inobservabilidade ,.
[8] G. Tian, Z. Duan, T. Baumeister e Y. Dong, "A traceback attack on freenet", em

INFOCOM ,.
[88] S. Roos, F. Platzer, J. Heller e T. Strufe, "Inferring of ofuscated values in Freenet", em

NetSys ,.
[8] B. Levine, M. Liberatore, B. Lynn, e M. Wright, "Detecção estatística de

downloaders in freenet, ”em IWPE @ SP ,.
[] M. Waldman e D. Mazières, “Tangler: um sistema de publicação resistente à censura

com base em emaranhados de documentos ”, em ACM Conference on Computer e
Segurança das comunicações ,.
[] HM Moghaddam, B. Li, M. Derakhshani e I. Goldberg, “SkypeMorph: protocolo

ofuscação para pontes Tor ”, na ACM Conference on Computer and Communications
Segurança ,.
[] Z. Weinberg, J. Wang, V. Yegneswaran, L. Briesemeister, S. Cheung, F. Wang e

D. Boneh, "StegoTorus: a camou age proxy for the Tor anonymity system", em ACM
Conferência sobre Segurança de Computadores e Comunicações ,.
[] A. Houmansadr, C. Brubaker e V. Shmatikov, “O papagaio está morto: Observando

comunicações de rede não observáveis ”, no IEEE Symposium on Security and Privacy ,
.
[] C. Brubaker, A. Houmansadr e V. Shmatikov, “Cloudtransport: Using cloud storage

para redes resistentes à censura ”, em Privacy Enhancing Technologies ,.
[] D. Fi eld, C. Lan, R. Hynes, P. Wegmann e V. Paxson, “Blocking-resistente

comunicação através de fronting de domínio, ” PoPETs ,.
[6] R. McPherson, A. Houmansadr e V. Shmatikov, “CovertCast: Using live streaming

para fugir da censura na Internet ” , PoPETs , 6.
[] O Projeto Tor, “Tor Pluggable Transports,”. [Conectados]. Disponível:

https://obfuscation.github.io/
[8] J. Karlin, D. Ellard, AW Jackson, CE Jones, G. Lauer, D. Mankins e WT Strayer,

“Encaminhamento de chamariz: em direção à comunicação com a Internet desbloqueável ”, em FOCI ,.
[] E. Wustrow, S. Wolchok, I. Goldberg e JA Halderman, “Telex: Anticensorship in

a infraestrutura de rede ”, no Simpósio de Segurança USENIX ,.
[6] C. Bocovich e I. Goldberg, “Assegurar assimetria e implantabilidade para roteamento chamariz

sistemas, ” PoPETs , 8.
[6] M. Nasr, H. Zolfaghari e A. Houmansadr, “The waterfall of liberty: Decoy Routing

evasão que resiste a ataques de roteamento ”, em ACM Conference on Computer e
Segurança das comunicações ,.
[6] S. Gürses, C. Troncoso e C. Diaz, "Engineering privacy by design reloaded," in

Conferência de Privacidade em Amsterdã ,.
www.cybok.org
[6] I. Wagner e D. Eckhoff, "Técnica de métricas de privacidade: uma pesquisa sistemática", ACM
Comput. Surv. , 8.
[6] J. Hoepman, "Estratégias de design de privacidade - (resumo estendido)," em º IFIP TC

Conferência Internacional, SEC ,.
[6] M. Sikorski e A. Honig, Practical Malware Analysis: A Hands-On Guide to

Dissecando software malicioso . Sem Starch Press,.
[6 6] W. Stallings e L. Brown, Computer Security: Principles and Practice, th Edition .

Pearson, 8 anos.
[6] McAfee, “A execução de malware sem arquivo com o PowerShell é mais fácil do que você pode imaginar,”
. [Conectados]. Disponível: https://www.mcafee.com/enterprise/en-us/assets/
solution-briefs / sb- leless-malware-execution.pdf
[6 8] ars TECHNICA, “Uma onda de malware invisível e infalível está infectando bancos em todo o
globo ”. [Conectados]. Disponível: https:
//arstechnica.com/information-technology/ / / a-rash-of-invisible- leless-
malware-is-infecting-banks-around-the-globe /? comments = & post = 866
[6] Lockheed Martin, “The cyber kill chain.” [Conectados]. Disponível:

https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
[6] MITER, “Base de conhecimento ATT & CK.” [Conectados]. Disponível: https://attack.mitre.org
[6] N. Stephens, J. Grosen, C. Salls, A. Dutcher, R. Wang, J. Corbetta, Y. Shoshitaishvili,

C. Kruegel e G. Vigna, "Driller: Aumentando a penetração através de simbólicos seletivos
execução." no Simpósio de Segurança de Sistema Distribuído e de Rede (NDSS) ,
6
[6] Y. Shoshitaishvili, R. Wang, C. Salls, N. Stephens, M. Polino, A. Dutcher, J. Grosen,

S. Feng, C. Hauser, C. Kruegel et al. , “Sok: estado da arte da guerra: ofensiva
técnicas em análise binária ”, em 6 Simpósio IEEE sobre Segurança e Privacidade (SP) .
IEEE, 6, pp. 8–.
[6] P. Godefroid, MY Levin e DA Molnar, “Automated whitebox fuzz testing,” in The

Simpósio de Segurança de Rede e Sistema Distribuído (NDSS) , 8.
[6] V. Chipounov, V. Kuznetsov e G. Candea, “SE: A platform for in vivo multi-path

análise de sistemas de software ”, ACM Sigplan Notices , vol. 6, não. , pp. 6 - 8,
.
[6] SK Cha, T. Avgerinos, A. Rebert e D. Brumley, “Unleashing mayhem on binary

código ”, no Simpósio IEEE sobre Segurança e Privacidade (SP) . IEEE,, pp. 8 -.
[6 6] DA Ramos e DR Engler, “Under-constrained symbolic verification: Correctness

verificando o código real. ” em USENIX Security Symposium,, pp. –6.
[6] C. Kreibich, N. Weaver, C. Kanich, W. Cui e V. Paxson, “GQ: Practical contenção

para medir sistemas de malware modernos ”, em Proceedings of the ACM SIGCOMM
conferência sobre conferência de medição da Internet . ACM,, pp. -.
[6 8] A. Dinaburg, P. Royal, M. Sharif e W. Lee, “Ether: malware analysis via hardware

virtualization extensions ”, em Proceedings of th ACM conference on Computer
e segurança das comunicações . ACM, 8, pp. –6.
www.cybok.org
[6] A. Moser, C. Kruegel e E. Kirda, “Explorando múltiplos caminhos de execução para malware
análise ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE,.
[6] D. Kirat, G. Vigna e C. Kruegel, “Barecloud: Bare-metal analysis-based evasive

detecção de malware. ” no Simpósio de Segurança USENIX,, pp. 8 -.
[6] M. Sharif, A. Lanzi, J. Gif n e W. Lee, “Automatic reverse engineering of malware

emuladores, ”em o Simpósio IEEE sobre Segurança e Privacidade . IEEE, pp.
-.
[6] S. Mariani, L. Fontana, F. Gritti e S. D'Alessio, “PinDemonium: a DBI-based generic

desempacotador para executáveis do Windows ”, no Black Hat USA 6 , 6.
[6] E. Kenneally, M. Bailey e D. Maughan, “A framework for entendendo e

aplicando princípios éticos na pesquisa de rede e segurança ”, no Workshop on Ethics
em Pesquisa em Segurança de Computadores (WECSR ') ,.
[6] MK Shankarapani, S. Ramamoorthy, RS Movva e S. Mukkamala, “Malware

detecção usando sequências de chamadas de montagem e API ”, Journal in computer virology ,
vol. , não. , pp. -,.
[6] M. Bailey, J. Oberheide, J. Andersen, ZM Mao, F. Jahanian e J. Nazario,

“Classificação e análise automatizada de malware da Internet,” in International
Workshop sobre avanços recentes na detecção de intrusão . Springer,, pp. 8–.
[6 6] M. Zalewski, “American fuzzy lop.” [Conectados]. Disponível:

http://lcamtuf.coredump.cx/a /
[6] I. Yun, S. Lee, M. Xu, Y. Jang e T. Kim, “QSYM: A Practice Concolic Execution
motor adaptado
Simpósio , 8. para difusão híbrida ”, em Proceedings of the USENIX Security
[6 8] C. Cadar e K. Sen, "Simbólica execução para teste de software: Três décadas depois,"
em Comunicações da ACM ,.
[6] D. Brumley, I. Jager, T. Avgerinos e EJ Schwartz, “BAP: A binary analysis

plataforma ”, na Conferência Internacional sobre Verificação Auxiliada por Computador . Springer,
.
[6] C. Cadar, D. Dunbar e DR Engler, "KLEE: Unassisted and automatic generation of

testes de alta cobertura para programas de sistemas complexos ”, no 8º Simpósio USENIX em
Projeto e implementação de sistemas operacionais , vol. 8, 8, pp. -.
[6] D. Song, D. Brumley, H. Yin, J. Caballero, I. Jager, MG Kang, Z. Liang, J. Newsome,

P. Poosankam e P. Saxena, “BitBlaze: A new approach to computer security via
análise binária ”, na Conferência Internacional sobre Segurança de Sistemas de Informação .
Springer, 8, pp. -.
[6] M. Böhme, V.-T. Pham, M.-D. Nguyen e A. Roychoudhury, “Directed greybox

fuzzing, ”em Proceedings of the ACM SIGSAC Conference on Computer and
Segurança das comunicações . ACM,, pp. -.
[6] V. Kuznetsov, J. Kinder, S. Bucur e G. Candea, “Eficiente estado fundindo em simbólico

execução ”, ACM Sigplan Notices , vol. , não. 6, pp. -,.
[6] T. Avgerinos, A. Rebert, SK Cha e D. Brumley, “Enhancing symbolic execute
www.cybok.org
with veritesting ”, nos Anais da 6ª Conferência Internacional de Software

Engenharia . ACM, pp. 8-.
[6] “O emulador de unicórnio”. [Conectados]. Disponível: https://www.unicorn-engine.org/
[6 6] “O emulador QEMU.” [Conectados]. Disponível: https://www.qemu.org/
[6] “O emulador de bochs.” [Conectados]. Disponível: http://bochs.sourceforge.net/
[6 8] “O VirtualBox.” [Conectados]. Disponível: https://www.virtualbox.org/
[6] “O KVM.” [Conectados]. Disponível: https://www.linux-kvm.org/
[6] “O VMware.” [Conectados]. Disponível: https://www.vmware.com/
[6] “O VMware ESXi.” [Conectados]. Disponível:

https://www.vmware.com/products/esxi-and-esx.html/
[6] “O Hyper-V.” [Conectados]. Disponível:

https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/
[6] “O Xen.” [Conectados]. Disponível: https://www.xenproject.org/
[6] P. Royal, “Entrapment: Tricking malware with transparent, scalable malware

análise ”, palestra na Black Hat.
[6] T. Raffetseder, C. Kruegel e E. Kirda, "Detecting system emulators", em

Conferência Internacional sobre Segurança da Informação . Springer,, pp. - 8.
[6 6] E. Cozzi, M. Graziano, Y. Fratantonio e D. Balzarotti, “Understanding Linux

Malware ”, no IEEE Symposium on Security & Privacy , 8.
[6] N. Miramirkhani, MP Appini, N. Nikiforakis e M. Polychronakis, “Spotless

sandboxes: evitando sistemas de análise de malware usando artefatos de desgaste ”, em
Simpósio IEEE sobre Segurança e Privacidade (SP) . IEEE,, pp. -.
[6 8] JT Bennett, N. Moran e N. Villeneuve, “Poison ivy: Assessing damage and

extraindo inteligência ”, FireEye Threat Research Blog ,.
[6] W. Cui, V. Paxson, N. Weaver e RH Katz, "Replay adaptativo independente de protocolo

da caixa de diálogo do aplicativo. ” em NDSS , 6.
[6] J. Caballero e D. Song, “Automatic protocol reverse-engineering: Message format

extração e inferência semântica de campo ” , Redes de Computadores , vol. , não. , pp.
-,.
[6] M. Sharif, V. Yegneswaran, H. Saidi, P. Porras e W. Lee, “Eureka: A framework for

permitindo a análise estática de malware ”, no European Symposium on Research in Computer
Segurança . Springer, 8, pp. 8-.
[6] C. Linn e S. Debray, "Ofuscação de código executável para melhorar a resistência a

desmontagem estática ”, em Proceedings of th ACM conference on Computer and
segurança das comunicações . ACM,, pp. -.
[6] MI Sharif, A. Lanzi, JT Gif n e W. Lee, “Impeding malware analysis using

ofuscação condicional de código ”, em NDSS , 8.

www.cybok.org
[6] A. Moser, C. Kruegel e E. Kirda, "Limites de análise estática para detecção de malware",
na Conferência de Aplicativos de Segurança de Computadores,. ACSAC. Vigésima terceira
Anual . IEEE,, pp. -.
[6] G. Bonfante, J. Fernandez, J.-Y. Marion, B. Rouxel, F. Sabatier e A. Thierry,

“Codisasm: desmontagem concática em escala média de binários automodificantes com
instruções de sobreposição ”, nos Anais da nd ACM SIGSAC Conference on
Segurança de computadores e comunicações . ACM, pp. - 6.
[6 6] “Vmprotect.” [Conectados]. Disponível: https://vmpsoft.com
[6] RR Branco, GN Barbosa e PD Neto, “Visão científica, mas não acadêmica

de tecnologias anti-depuração, anti-desmontagem e AntiVM de malware, ”em
Tecnologias anti-desmontagem e anti-VM, Black Hat USA Conference ,.
[6 8] A. Vasudevan e R. Yerraballi, “Cobra: Fine-grained malware analysis using stealth

localizadas-execuções ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE, 6.
[6] C. Willems, T. Holz e F. Freiling, “Rumo à análise dinâmica de malware automatizada

using CWSandbox, ” IEEE Security & Privacy , vol. , não. ,.
[66] F. Peng, Z. Deng, X. Zhang, D. Xu, Z. Lin e Z. Su, "X-Force: Force-executing binary
programas para aplicativos de segurança ”, no Simpósio de Segurança USENIX
(Segurança USENIX , pp. 8–8.
[66] L.-K. Yan, M. Jayachandra, M. Zhang e H. Yin, “VE: Combining hardware

virtualização e simulação de software para malware transparente e extensível
análise ”, ACM Sigplan Notices , vol. , não. , pp. - 8,.
[66] P. Royal, M. Halpin, D. Dagon, R. Edmonds e W. Lee, “Polyunpack: Automating the

extração de código oculto de malware de descompactação ”, em Computer Security
Applications Conference, 6. ACSAC '6. nd Annual . IEEE, 6, pp. 8 -.
[66] P. Fogla, MI Sharif, R. Perdisci, OM Kolesnikov e W. Lee, “Polymorphic blending

ataques ”, em USENIX Security , 6.
[66] D. Denning e PG Neumann, Requisitos e modelo para IDES-a em tempo real

sistema especialista em detecção de intrusão . SRI International, 8.
[66] HS Javitz e A. Valdes, "O componente estatístico NIDES: Descrição e

justi cation ” , Contrato , vol. , não. -C, p. ,. [Conectados]. Disponível:
http://www.csl.sri.com/papers/statreport/
[666] K. Ilgun, R. Kemmerer e P. Porras, "Análise de transição de estado: uma intrusão baseada em regras
abordagem de detecção ”, IEEE Transactions on Software Engineering , vol. , não. , pp.
8 -,.
[66] V. Paxson, "Bro: um sistema para detecção de intrusos de rede em tempo real", Computador
redes , vol. , não. -, pp. - 6,.
[668] G. Gu, R. Perdisci, J. Zhang e W. Lee, "BotMiner: Clustering analysis of network

tráfego para detecção de botnet independente de protocolo e estrutura ", em Proceedings of
o º Simpósio de Segurança USENIX (Security '8) , 8.
[66] W. Lee, SJ Stolfo e KW Mok, “Uma estrutura de mineração de dados para intrusão de edifícios
modelos de detecção ”, em Proceedings of the IEEE Symposium on Security and
Privacidade . IEEE,, pp. -.
Página 740
www.cybok.org
[6] D. Wagner e P. Soto, "Mimetismo ataques em sistemas de detecção de intrusão baseados em host,"
em Proceedings of th ACM Conference on Computer and Communications
Segurança . ACM, pp. - 6.
[6] R. Perdisci, D. Dagon, W. Lee, P. Fogla e M. Sharif, “Misleading worm signature

geradores usando injeção de ruído deliberada ”, em 6 Simpósio IEEE sobre Segurança e
Privacidade (S&P '6) . IEEE, 6, pp. –Pp.
[6] A. Kantchelian, JD Tygar e AD Joseph, “Evasão e endurecimento da árvore

classi cadores de conjunto, ” arXiv preprint arXiv:. 8 ,.
[6] G. Cleary, M. Corpin, O. Cox, H. Lau, B. Nahorney, D. O'Brien, B. O'Gorman, J.-P. Poder,
S. Wallace, P. Wood e C. Wueest, “Relatório de ameaças à segurança da Internet,” Symantec, Tech.
Rep., 8.
[6] M. Antonakakis, R. Perdisci, D. Dagon, W. Lee e N. Feamster, “Building a dynamic

sistema de reputação para DNS, ”in USENIX security symposium,, pp. -.
[6] C. Kolbitsch, E. Kirda e C. Kruegel, "O poder da procrastinação: detecção e

mitigação de código malicioso de paralisação de execução ”, em Proceedings of the 8th ACM
conferência sobre segurança informática e de comunicações . ACM, pp. 8-6.
[6 6] K. Wang e SJ Stolfo, "detecção de intrusão de rede baseada em carga útil anômala", em

Workshop Internacional sobre Avanços Recentes na Detecção de Intrusão . Springer,,
pp. -.
[6] P. Szor, The Art of Computer Virus Research and Defense . Symantec Press,,
CH. Técnicas avançadas de evolução de código e kits geradores de vírus de computador.
[6 8] K. Stevens e D. Jackson, “Zeus banking trojan report,” Atlanta: SecureWorks ,.
[6] N. Falliere e E. Chien, "Zeus: King of the bots", Symantec, Tech. Segurança do representante
Resposta, . [Conectados]. Disponível:
https://www.symantec.com/content/dam/symantec/docs/security-center/white-
papers / security-response-zeus-king-of-bots- -en.pdf
[68] B. Krebs, "Federais para acusar o suposto autor de trojan SpyEye." [Conectados]. Disponível:
https://krebsonsecurity.com/ / / feds-to-charge-alegado-spyeye-trojan-author /
#mais-
[68] D. Gilbert, “Inside SpyEye: How the Russian hacker behind the bilhões-dollar malware
foi retirado ”, outubro, International Business Times. [Conectados]. Disponível:
https://www.ibtimes.com/inside-spyeye-how-russian-hacker-behind-billion-dollar-
malware-foi-retirado-
[68] M. Antonakakis, T. April, M. Bailey, M. Bernhard, E. Bursztein, J. Cochran,

Z. Durumeric, JA Halderman, L. Invernizzi, M. Kallitsis et al. , “Compreendendo o
Mirai botnet, ”no Simpósio de Segurança USENIX , pp. -.
[68] S. Forrest, SA Hofmeyr, A. Somayaji e TA Longstaff, “A sense of self for UNIX

processos ”, em Segurança e Privacidade, 6. Procedimentos., 6 Simpósio IEEE diante .
IEEE, 6, pp. - 8.
[68] S. Hao, A. Kantchelian, B. Miller, V. Paxson e N. Feamster, “Predator: proactive

reconhecimento e eliminação de abuso de domínio no momento do registro ”, em Proceedings
www.cybok.org
da 6 Conferência ACM SIGSAC sobre Segurança de Computadores e Comunicações .

ACM, 6, pp. 68–.
[68] C. Rossow, "Ampli cation hell: Revisiting network protocol for DDoS abuse." dentro
NDSS ,.
[686] DY Huang, D. McCoy, MM Aliapoulios, VG Li, L. Invernizzi, E. Bursztein,

K. McRoberts, J. Levin, K. Levchenko e AC Snoeren, “Tracking ransomware
ponta a ponta, ”em Tracking Ransomware End-to-end . Simpósio IEEE sobre Segurança e
Privacidade, 8.
[68] Y. Ji, S. Lee, M. Fazzini, J. Allen, E. Downing, T. Kim, A. Orso e W. Lee, "Enabling
investigação de ataque de host cruzado eficiente com marcação de fluxo de dados eficiente e
rastreamento, ”em Simpósio de Segurança USENIX . Associação USENIX, 8, pp.
-.
[688] G. Gu, P. Porras, V. Yegneswaran, M. Fong e W. Lee, "BotHunter: Detecting

infecção de malware por meio de correlação de diálogo orientada por IDS ”, em Proceedings of the 6th
Simpósio de Segurança USENIX (Segurança ') , agosto.
[68] C. Kolbitsch, PM Comparetti, C. Kruegel, E. Kirda, X.-y. Zhou e X. Wang,

“Detecção de malware eficaz e eficiente no host final”, na segurança USENIX
simpósio , pp. - 66.
[6] M. Antonakakis, R. Perdisci, Y. Nadji, N. Vasiloglou, S. Abu-Nimeh, W. Lee, e

D. Dagon, “From throw-away traf c to bots: Detecting the rise of DGA-based
malware ”, no simpósio de segurança USENIX , vol. ,.
[6] A. Krizhevsky, I. Sutskever e GE Hinton, “ImageNet classi cation with deep

redes neurais convolucionais ”, em Advances in neural information processing
sistemas ,, pp. -.
[6] W. Xu, D. Evans e Y. Qi, “Feature squeezing: Detecting adversarial examples in

redes neurais profundas ”, arXiv preprint arXiv:. ,.
[6] M. McCoyd e D. Wagner, “Background class defence against adversarial

exemplos, ”em 8 Workshops de Segurança e Privacidade do IEEE (SPW) . IEEE, 8, pp.
6–.
[6] Y. Cao e J. Yang, "Para fazer os sistemas esquecerem com o desaprendizado da máquina", em
Simpósio IEEE sobre Segurança e Privacidade . IEEE,, pp. 6 - 8.
[6] N. Carlini e D. Wagner, "Para avaliar a robustez das redes neurais", em

Simpósio IEEE sobre Segurança e Privacidade . IEEE,, pp. -.
[6 6] D. Bahdanau, K. Cho e Y. Bengio, "Neural machine translation by joint learning to

alinhar e traduzir ”, pré-impressão arXiv arXiv:. ,.
[6] W. Guo, D. Mu, J. Xu, P. Su, G. Wang e X. Xing, “LEMNA: Explaining deep learning
aplicativos de segurança baseados em
Segurança de computadores e comunicações (CCS '8) , 8.
[6 8] N. Dalvi, P. Domingos, S. Sanghai, D. Verma e outros, "Classificação adversária",

em Anais da décima conferência internacional ACM SIGKDD sobre Conhecimento
descoberta e mineração de dados . ACM, pp. - 8.
www.cybok.org
[6] R. Jordaney, K. Sharad, SK Dash, Z. Wang, D. Papini, I. Nouretdinov, e

L. Cavallaro, “Transcend: Detecting concept drift in malware classi cation models,”
em Anais do 6º Simpósio de Segurança USENIX ,.
[] Y. Nadji, M. Antonakakis, R. Perdisci, D. Dagon e W. Lee, “Beheading hydras:

Realizando remoções eficazes de botnet ”, em Proceedings of the ACM SIGSAC
Conferência sobre Segurança de Computadores e Comunicações . ACM,, pp. -.
[] S. Alrwais, X. Liao, X. Mi, P. Wang, X. Wang, F. Qian, R. Beyah e D. McCoy, “Under

a sombra do sol: Compreendendo e detectando hospedagem à prova de balas em
redes de provedores de serviços legítimos ”, no Simpósio IEEE sobre Segurança e Privacidade .
IEEE,, pp. 8–8.
[] S. Alrabaee, P. Shirani, M. Debbabi e L. Wang, “On the viaibility of malware

atribuição de autoria ”, no Simpósio Internacional sobre Fundamentos e Prática de
Segurança . Springer, 6, pp. 6–.
[] Y. Chen, P. Kintis, M. Antonakakis, Y. Nadji, D. Dagon, W. Lee e M. Farrell,

“Limites financeiros inferiores do abuso de publicidade online”, na conferência internacional sobre
Detecção de invasões e malware e avaliação de vulnerabilidade . Springer, 6,
pp. -.
[] Y. Nadji, M. Antonakakis, R. Perdisci e W. Lee, “Understanding the prevalência and

uso de planos alternativos em malware com jogos em rede ”, em Anais do dia
Conferência Anual de Aplicativos de Segurança de Computadores . ACM,, pp. -.
[] M. Konte, N. Feamster e J. Jung, “Fast ux service networks: Dynamics and roles
na hospedagem de golpes on-line ”, Georgia Institute of Technology, Tech. Rep., 8.
[6] T. Holz, C. Gorecki, K. Rieck e FC Freiling, “Measuring and detectecting fast- ux

redes de serviço. ” em NDSS , 8.
[] FBI New York Field Of ce, "Operação fantasma clique: International cyber ring that
infectou milhões de computadores desmontados ”, abril. [Conectados]. Disponível:
https://www.fbi.gov/news/stories/international-cyber-ring-that-infected-millions-of-
desmontado por computadores
[8] W. Meng, R. Duan e W. Lee, "DNS changer remediation study," in M AAWG th

Assembleia Geral ,.
[] Ação Civil Nº:: cv O (JCC / IDD), Microsoft Corporation v. Dominique Alexander

Piatti, Dotfree Group SRO John Does -, Controlando um botnet de computador assim
prejudicando a Microsoft e seus clientes . TRIBUNAL DE DISTRITO DOS ESTADOS UNIDOS PARA O
DISTRITO LESTE DE VIRGÍNIA, fevereiro.
[] B. Bartholomew e JA Guerrero-Saade, “Agite seus falsos ags!” [Conectados].

Disponível: https://securelist.com/wave-your-false- ags / 6 /
[] M. McGuire e S. Dowling, “Cyber crime: A review of the evidencias,” Summary of Key

Resultados e implicações. Home Of ce Research Report , vol. ,.
[] NE Willard, Cyberbullying e ameaças cibernéticas: respondendo ao desafio do online

agressão social, ameaças e angústia . Research Press,.
[] H. Glickman, “The Nigerian“ ”advance fee scams: prank or peril?” canadense
www.cybok.org
Journal of African Studies / La Revue Canadienne Des ÉTudes Africaines , vol. , não. ,
pp. 6 - 8,.
[] N. Christin, “Viajando pela Rota da Seda: Uma análise de medição de um grande anônimo
mercado online ”, na Conferência internacional sobre a World Wide Web (WWW) . ACM,
, pp. -.
[] R. Dhamija, JD Tygar e M. Hearst, "Why phishing works", em Proceedings of the

Conferência SIGCHI sobre Fatores Humanos em sistemas de computação . ACM, 6, pp.
8 -.
[6] B. Stone-Gross, M. Cova, L. Cavallaro, B. Gilbert, M. Szydlowski, R. Kemmerer,

C. Kruegel e G. Vigna, "Your botnet is my botnet: analysis of a botnet takeover", em
ACM SIGSAC Conference on Computer and Communications Security (CCS) . ACM,
, pp. 6–6.
[] T. Jordan e P. Taylor, Hacktivismo e guerras cibernéticas: Rebeldes com uma causa? Routledge,
.
[8] K. Zetter, Countdown to Zero Day: Stuxnet e o lançamento do primeiro digital do mundo
arma . Livros da Broadway,.
[] S. Zannettou, T. Caul eld, W. Setzer, M. Sirivianos, G. Stringhini e J. Blackburn,

“Quem deixou os trolls sairem? no sentido de compreender os trolls patrocinados pelo Estado ” , CoRR , vol.
abs / 8. , 8. [Online]. Disponível: http://arxiv.org/abs/ 8.
[] M. Kjaerland, “Uma classificação de incidentes de segurança de computador com base em

dados de ataque, ” Journal of Investigative Psychology and Offender Pro ling , vol. , não. ,
pp. -,.
[] R. Leukfeldt, E. Kleemans e W. Stol, “A typology of cybercriminal networks: from

versáteis de baixa tecnologia a especialistas em alta tecnologia ” , Crime, Law, and Social Change , pp.
-,.
[] K. Thomas, D. Huang, D. Wang, E. Bursztein, C. Grier, TJ Holt, C. Kruegel, D. McCoy,

S. Savage e G. Vigna, “Dependências de enquadramento introduzidas pelo underground
comoditização ”, em Workshop on the Economics of Information Security ,.
[] B. Stone-Gross, T. Holz, G. Stringhini e G. Vigna, “A economia subterrânea de

spam: a perspectiva de um botmaster de coordenar campanhas de spam em grande escala, ”
LEET , vol. , pp. -,.
[] C. Grier, K. Thomas,
caracteres V. Paxson
ou menos ”, noseAnais
M. Zhang, “@ spam: the
da ª Conferência underground
ACM on
sobre Computador e
segurança das comunicações . ACM,, pp. -.
[] G. Stringhini, C. Kruegel e G. Vigna, “Detecting spammers on social networks,” em

Anais da 6ª conferência anual de aplicativos de segurança de computador . ACM,
, pp. -.
[6] E. Bursztein, B. Benko, D. Margolis, T. Pietraszek, A. Archer, A. Aquino, A. Pitsillidis,

e S. Savage, "Fraude artesanal e extorsão: sequestro manual de contas no
selvagem ”, em ACM SIGCOMM Conference on Internet Measurement Conference (IMC) .
ACM, pp. - 8.
www.cybok.org
[] J. Clough, “Um mundo de diferença: a convenção de budapeste do crime cibernético e o

desafios de harmonização ”, Monash UL Rev. , vol. , p. 6 8,.
[8] C. Kershaw, S. Nicholas e A. Walker, “Crime in England and Wales / 8:

Resultados da pesquisa de crime britânica e crimes registrados pela polícia, ” Home Office
Boletim Estatístico , vol. , não. 8, 8.
[] Y. Jewkes, Handbook of Internet Crime . Routledge,, ch. Polícia Pública e

Crime na Internet.
[] D. Chatzakou, N. Kourtellis, J. Blackburn, E. De Cristofaro, G. Stringhini e A. Vakali,

“Aves malvadas: Detectando agressão e bullying no Twitter”, em Proceedings of the
ACM na conferência de ciências da web . ACM,, pp. -.
[] R. Slonje e PK Smith, “Cyberbullying: Another main type of bullying?”

Scandinavian Journal of Psychology , vol. , não. , pp. -, 8.
[] RM Kowalski e SP Limber, "Electronic bullying between middle school students",

Journal of Adolescent Health , vol. , não. 6, pp. S –S,.
[] J. Suler, "The online disinhibition effect," Cyberpsychology & Behavior , vol. , não. , pp.
- 6,.
[] AN Joinson, “Disinhibition and the internet,” in Psychology and the Internet .

Elsevier,, pp. -.
[] GE Hine, J. Onaolapo, E. De Cristofaro, N. Kourtellis, I. Leontiadis, R. Samaras,

G. Stringhini e J. Blackburn, "Kek, cucks e deus imperador Trump: A
estudo de medição do fórum politicamente incorreto do chan e seus efeitos na web ”,
em Conferência Internacional sobre Web e Mídias Sociais (ICWSM) . AAAI,.
[6] P. Snyder, P. Doer er, C. Kanich e D. McCoy, “Fifteen minutes of indesejado fame:
Detectando e caracterizando doxing, ”em Proceedings of the Internet
Conferência de medição . ACM,, pp. -.
[] D. Chatzakou, N. Kourtellis, J. Blackburn, E. De Cristofaro, G. Stringhini e A. Vakali,

“O ódio não é binário: estudar o comportamento abusivo de #gamergate no Twitter”, em
Anais da 8ª conferência ACM sobre hipertexto e mídias sociais . ACM,,
pp. 6 -.
[8] D. Freed, J. Palmer, DE Minchala, K. Levy, T. Ristenpart e N. Dell, “Digital

tecnologias e violência entre parceiros íntimos: uma análise qualitativa com múltiplas
stakeholders, ” Proceedings of the ACM on Human-Computer Interaction , vol. , não.
CSCW, p. 6,.
[] D. Freed, J. Palmer, D. Minchala, K. Levy, T. Ristenpart e N. Dell, ““ A stalker's

paraíso ”: Como abusadores de parceiros íntimos exploram tecnologia”, em ACM SIGCHI
Conferência sobre Fatores Humanos em Sistemas Computacionais (CHI) , 8.
[] A. Mishra e D. Mishra, "Cyber stalking: a challenge for web security," in Cyber

Guerra e terrorismo cibernético . IGI Global, pp. 6–6.
[] B. Wittes, C. Poplin, Q. Jurecic e C. Spera, "Sextortion: Cybersecurity, teenagers,

e assalto sexual remoto ”, Center for Technology at Brookings. Https: // www.
Brookings. Edu / wp-content / uploads / 6 / / sextortion -. Pdf. Acessado , vol. 6,
6
www.cybok.org
[] H. Whittle, C. Hamilton-Giachritsis, A. Beech e G. Collings, “A review of online

aliciamento: características e preocupações ”, Aggression and Violent Behavior , vol. 8,
não. , pp. 6 -,.
[] J. Wolak, D. Finkelhor e K. Mitchell, “Está sempre conversando online com pessoas desconhecidas
arriscado? Distinguir estilos de interação online em uma amostra nacional da Internet juvenil
usuários ”, Cyberpsychology & Behavior , vol. , não. , pp. -, 8.
[] A. Rashid, P. Greehwood e J. Walkerdine, "Technological solutions to offending",

em Compreender e prevenir a exploração sexual infantil online . Routledge,
, pp. -.
[] C. May-Chahal, C. Mason, A. Rashid, J. Walkerdine, P. Rayson e P. Greenwood,

“Salvaguardando as infâncias dos ciborgues: Incorporando o comportamento on / of ine das crianças
nas práticas de serviço social cotidiano ”, British Journal of Social Work , vol. , não. , pp.
6–6,.
[6] M. Latapy, C. Magnien e R. Fournier, “Quantifying pedophile activity in a large

PP system, ” Information Processing & Management , vol. , não. , pp. 8-6,
.
[] C. Peersman, C. Schulze, A. Rashid, M. Brennan e C. Fischer, “iCOP: live forensics

para revelar mídia criminosa até então desconhecida em redes PP ”, Digital Investigation ,
vol. 8, pp. –6, 6.
[8] C. Guitton, “Uma revisão do conteúdo disponível nos serviços ocultos do Tor: O caso
contra o desenvolvimento posterior ”, Computers in Human Behavior , vol. , não. 6, pp.
8 - 8,.
[] J. Huang, G. Stringhini e P. Yong, “Pare de brincar com meu coração:

Entendendo os golpes de namoro online ”, na Conferência Internacional sobre Detecção de
Intrusões e malware e avaliação de vulnerabilidade . Springer, pp. 6–6.
[] M. Dittus, J. Wright e M. Graham, “Platform criminalism: The'last-mile'geography

da cadeia de suprimentos do mercado darknet ”, em Proceedings of the 8 World Wide Web
Conferência na World Wide Web . Conferências Internacionais na World Wide Web
Comitê Diretor, 8, pp. - 86.
[] MT Whitty e T. Buchanan, "The online romance scam: A serious cybercrime",

Cyberpsychology, Behavior, and Social Networking , vol. , não. , pp. 8 - 8,.
[] Y. Park, D. McCoy e E. Shi, "Understanding craigslist rental scams," in International

Conferência sobre Criptografia Financeira e Segurança de Dados . Springer, 6, pp. -.
[] M. Edwards, G. Suarez-Tangil, C. Peersman, G. Stringhini, A. Rashid e M. Whitty,

“The geography of online dating fraud,” no Workshop on Technology and Consumer
Proteção . IEEE, 8.
[] C. Herley, “Por que os golpistas nigerianos dizem que são da Nigéria?” em Workshop sobre
a Economia da Segurança da Informação (WEIS) ,.
[] P. Syverson, R. Dingledine e N. Mathewson, “Tor: The second generation onion

roteador ”, em Usenix Security ,.
[6] S. Nakamoto, “Bitcoin: a peer-to-peer electronic cash system,” online, 8.

www.cybok.org
[] K. Soska e N. Christin, “Measuring the longitudinal evolution of the online

ecossistema de mercado anônimo ”, em USENIX Security Symposium,, pp.
- 8.
[8] M. Abu Rajab, J. Zarfoss, F. Monrose e A. Terzis, “A multifaceted approach to

entendendo o fenômeno do botnet ”, em Proceedings of the 6th ACM SIGCOMM
conferência sobre medição na Internet . ACM, 6, pp. -.
[] B. Krebs, nação do spam: a história interna do crime cibernético organizado - a partir da epidemia global
para sua porta da frente . Sourcebooks, Inc.,.
[6] S. Hinde, “Spam: the evolution of a nuisance,” Computers & Security , vol. , não. 6, pp.
- 8,.
[6] BS McWilliams, reis do Spam: a verdadeira história por trás dos vendedores ambulantes que empurram
pornografia, pílulas e% * @) # ampliações . "O'Reilly Media, Inc.",.
[6] G. Stringhini, O. Hohlfeld, C. Kruegel e G. Vigna, "The harvester, the botmaster,

e o spammer: sobre as relações entre os diferentes atores do spam
paisagem ”, em Proceedings of th ACM symposium on Information, computer and
segurança das comunicações . ACM, pp. - 6.
[6] D. McCoy, A. Pitsillidis, G. Jordan, N. Weaver, C. Kreibich, B. Krebs, GM Voelker,

S. Savage e K. Levchenko, “Pharmaleaks: Understanding the business of online
programas de afiliados farmacêuticos ”, no Simpósio de Segurança USENIX . USENIX
Associação,, pp. -.
[6] D. Samosseiko, “The Partnerka — O que é, e por que você deveria se importar,” em Proc. de
Virus Bulletin Conference ,.
[6] N. Spirin e J. Han, "Pesquisa sobre detecção de spam na web: princípios e algoritmos",
Acm Sigkdd Explorations Newsletter , vol. , não. , pp. –6,.
[66] X. Han, N. Kheir e D. Balzarotti, “Phisheye: Live monitoring of sandboxed phishing

kits ”, na Conferência ACM SIGSAC sobre Segurança de Comunicações e Computadores (CCS) .
ACM, 6, pp. -.
[6] T. Moore e R. Clayton, “Examining the impact of website take-down on phishing,”

em Anais dos grupos de trabalho anti-phishing e pesquisadores anuais do eCrime
cimeira . ACM,, pp. -.
[68] ——, “Pesquisa do mal: compromisso e recompromisso de hosts da Internet para phishing,”
em Conferência Internacional sobre Criptografia Financeira e Segurança de Dados . Springer,
, pp. 6–.
[6] J. Onaolapo, E. Mariconti e G. Stringhini, “O que acontece depois de você ser pwnd:
Compreendendo o uso de credenciais de webmail que vazaram na natureza ”, em Proceedings of
a 6 Conferência de Medição da Internet . ACM, 6, pp. 6 -.
[] H. Binsalleeh, T. Ormerod, A. Boukhtouta, P. Sinha, A. Youssef, M. Debbabi e

L. Wang, “On the analysis of the zeus botnet crimeware toolkit,” in Annual
Conferência Internacional sobre Privacidade, Segurança e Confiança (PST) . IEEE,, pp. - 8.
[] A. Haslebacher, J. Onaolapo e G. Stringhini, “Todas as suas cartas pertencem a nós:

Entendendo os fóruns de carding on-line ”, em Electronic Crime Research (eCrime),
Simpósio APWG em diante . IEEE,, pp. -.
www.cybok.org
[] N. Scaife, C. Peeters e P. Traynor, “Tema o ceifeiro: caracterização e rápido

detecção de skimmers de cartão, ”em Simpósio de Segurança USENIX (Segurança USENIX
8) , 8, pp. -.
[] M. McCormick, “Roubo de dados: uma ameaça interna prototípica,” em Insider Attack and Cyber
Segurança . Springer, 8, pp. –68.
[] Enfermeira JR, O. Buckley, PA Legg, M. Goldsmith, S. Creese, GR Wright e

M. Whitty, “Understanding Insider Ameaça: A Framework for Characterizing Ataques,” in
Workshops de segurança e privacidade do IEEE . IEEE,, pp. - 8.
[] S. Hao, K. Borgolte, N. Nikiforakis, G. Stringhini, M. Egele, M. Eubanks, B. Krebs e

G. Vigna, "Drops for stuff: An analysis of reshipping mule scams," in ACM SIGSAC
Conferência sobre Segurança de Comunicações e Computadores (CCS) . ACM, pp.
8 -.
[6] A. Bouveret, Cyber Risk for the Financial Sector: A Framework for Quantitative
Avaliação . Fundo Monetário Internacional, 8.
[] S. Pastrana e G. Suarez-Tangil, “Uma primeira olhada no malware de mineração de criptografia

ecossistema: uma década de riqueza irrestrita ”.
[8] RK Konoth, E. Vineti, V. Moonsamy, M. Lindorfer, C. Kruegel, H. Bos e G. Vigna,

“MineSweeper: um olhar aprofundado sobre a mineração de criptomoeda drive-by e sua defesa,”
na ACM SIGSAC Conference on Computer and Communications Security (CCS) .
ACM, 8, pp. -.
[] J. Rüth, T. Zimmermann, K. Wolsing e O. Hohlfeld, “Digging into browser-based

mineração de criptografia ”, em ACM SIGCOMM Internet Measurement Conference (IMC) . ACM,
8, pp. - 6.
[8] G. O'Gorman e G. McDonald, Ransomware: Uma ameaça crescente . Symantec

Corporation,.
[8] AL Young e M. Yung, "Criptovirologia: O nascimento, negligência e explosão de

ransomware ”, Communications of the ACM , vol. 6, não. , pp. - 6,.
[8] DY Huang, MM Aliapoulios, VG Li, L. Invernizzi, E. Bursztein, K. McRoberts,

J. Levin, K. Levchenko, AC Snoeren e D. McCoy, “Tracking ransomware
ponta a ponta, ”no Simpósio IEEE sobre Segurança e Privacidade . IEEE, 8, pp. 6 8–6.
[8] A. Kharraz, W. Robertson, D. Balzarotti, L. Bilge e E. Kirda, “Cutting the gordian

nó: Uma olhada nos bastidores dos ataques de ransomware ”, na Conferência Internacional sobre
Detecção de invasões e malware e avaliação de vulnerabilidade (DIMVA) .
Springer,, pp. -.
[8] M. Karami, Y. Park e D. McCoy, “Teste de estresse dos booters: Understanding and
minando os negócios de serviços de DDoS ”, em Proceedings of the th International
Conferência na World Wide Web . ACM, 6, pp. -.
[8] B. Brevini, A. Hintz, e P. McCurdy, Beyond WikiLeaks: implicações para o futuro de

comunicação, jornalismo e sociedade . Springer,.
[86] M. Conway, "Cyberterrorism: Hype and reality," Information Warfare: Separating Hype
Da Realidade , pp. -,.
www.cybok.org
[8] TJ Holt, M. Stonhouse, J. Freilich e SM Chermak, “Examining ideologicamente

ataques cibernéticos motivados realizados por grupos de extrema esquerda, ” Terrorism and Political
Violência , vol. , pp. -,.
[88] S. Milan, Routledge Companion to Alternative and Community Media . Londres:

Routledge,, ch. O ativismo como prática radical da mídia.
[8] L. Goode, "Anonymous and the political ethos of hacktivism," Popular

Comunicação , vol. , não. , pp. –86,.
[] G. Greenwald, nenhum lugar para se esconder: Edward Snowden, a NSA e a vigilância dos EUA
estado . Macmillan,.
[] H.-j. Woo, Y. Kim e J. Dominick, “Hackers: Mililities or merry pranksters? Um conteúdo

análise de páginas da web desfiguradas ”, Media Psychology , vol. 6, não. , pp. 6–8,.
[] AK Al-Rawi, “Cyber warriors in the middle east: The case of the syrian electronic
exército ”, Public Relations Review , vol. , não. , pp. - 8,.
[] D. Maimon, A. Fukuda, S. Hinton, O. Babko-Malaya e R. Cathey, “Sobre a relevância

de plataformas de mídia social na previsão do volume e padrões de desfiguração da web
ataques ”, em Big Data (Big Data), IEEE International Conference on . IEEE,,
pp. 668–6.
[] L. Bilge e T. Dumitras, “Antes que soubéssemos: um estudo empírico de ataques de dia zero
no mundo real ”, nos Anais da conferência ACM sobre Computador e
segurança das comunicações . ACM, pp. 8–8.
[] MB Line, A. Zand, G. Stringhini e R. Kemmerer, “Ataques direcionados contra

sistemas de controle industrial: a indústria de energia está preparada? ” em Proceedings of the
2º Workshop sobre Segurança da Rede de Energia Inteligente . ACM,, pp. -.
[6] R. Langner, "Stuxnet: Dissecting a cyberwarfare weapon," IEEE Security & Privacy ,
vol. , não. , pp. -,.
[] J. Slay e M. Miller, "Lessons Learn from the Maroochy Water Breach", em Critical
Proteção de infraestrutura , vol. /. Springer Boston, novembro, pp.
–8.
[8] S. Le Blond, A. Uritesc, C. Gilbert, ZL Chua, P. Saxena e E. Kirda, “A look at
ataques direcionados através da lente de uma ONG. ” no Simpósio de Segurança USENIX .
Associação USENIX,, pp. - 8.
[] D. Alperovitch et al. , Revelado: operação sombreada RAT . McAfee, vol. .
[8] A. Badawy, E. Ferrara e K. Lerman, “Analisando os traços digitais da política

manipulação: A campanha do Twitter de 6 interferências russas ”, em 8 IEEE / ACM
Conferência Internacional sobre Avanços em Análise de Redes Sociais e Mineração
(ASONAM) . IEEE, 8, pp. 8–6.
[8] K. Starbird, A. Arif, T. Wilson, K. Van Koevering, K. Ye mova e D. Scarnecchia,

“Ecossistema ou eco-sistema? explorando o compartilhamento de conteúdo em mídias alternativas
domínios ”, na Décima Segunda Conferência Internacional da AAAI sobre Web e Mídias Sociais , 8.
[8] S. Zannettou, T. Caul eld, E. De Cristofaro, M. Sirivianos, G. Stringhini, e

J. Blackburn, “Disinformation warfare: Understanding state-patrocinado trolls on
www.cybok.org
Twitter e sua influência na web ”, em Companion Proceedings of The World

Conferência na Wide Web . ACM, pp. 8–6.
[8] S. Zannettou, M. Sirivianos, J. Blackburn e N. Kourtellis, “The web of false

informações: boatos, notícias falsas, hoaxes, clickbait e várias outras travessuras, ”
Journal of Data and Information Quality (JDIQ) , vol. , não. , p. ,.
[8] K. Levchenko, A. Pitsillidis, N. Chachra, B. Enright, M. Félegyházi, C. Grier,

T. Halvorson, C. Kanich, C. Kreibich, H. Liu et al. , “Trajetórias de clique: ponta a ponta
análise da cadeia de valor do spam ”, no IEEE Symposium on Security and Privacy . IEEE,
, pp. - 6.
[8] N. Provos, D. McNamee, P. Mavrommatis, K. Wang, N. Modadugu et al. , “O fantasma em

o navegador: Análise de malware baseado na web ” , HotBots , vol. , pp. -,.
[8 6] B. Stone-Gross, C. Kruegel, K. Almeroth, A. Moser e E. Kirda, “FIRE: nding rogue

redes ”, na Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC) . ACM,
, pp. -.
[8] C. Grier, L. Ballard, J. Caballero, N. Chachra, CJ Dietrich, K. Levchenko,

P. Mavrommatis, D. McCoy, A. Nappa, A. Pitsillidis et al. , “Fabricação
compromisso: o surgimento de exploit-as-a-service ", em Proceedings of the ACM
conferência sobre segurança informática e de comunicações . ACM, pp. 8–8.
[8 8] J. Caballero, C. Grier, C. Kreibich e V. Paxson, "Measuring pay-per-install: the

comoditização da distribuição de malware ”, no Simpósio de Segurança USENIX . USENIX
Associação,, pp. -.
[8] B. Stone-Gross, R. Abman, RA Kemmerer, C. Kruegel, DG Steigerwald, e

G. Vigna, "A economia subterrânea do software antivírus falso", no Workshop sobre
Economia da Segurança e Privacidade da Informação (WEIS) . Springer,, pp. - 8.
[8] S. Meiklejohn, M. Pomarole, G. Jordan, K. Levchenko, D. McCoy, GM Voelker, e

S. Savage, “A stful of bitcoins: caracterizando pagamentos entre homens sem
nomes ”, em ACM SIGCOMM Internet Measurement Conference (IMC) . ACM, pp.
-.
[8] P. Knight, “ILOVEYOU: vírus, paranóia e o ambiente de risco,” O

Sociological Review , vol. 8, não. S, pp. -,.
[8] K. Krombholz, H. Hobel, M. Huber e E. Weippl, “Advanced social engineering

ataques ”, Journal of Information Security and Applications , vol. , pp. -,.
[8] DY Wang, M. Der, M. Karami, L. Saul, D. McCoy, S. Savage e GM Voelker,

“Pesquisa + apreensão: a eficácia das intervenções em campanhas de SEO,” no ACM
SIGCOMM Internet Measurement Conference (IMC) . ACM,, pp. -.
[8] M. Cova, C. Kruegel e G. Vigna, “Detection and analysis of drive-by-download

ataques e código JavaScript malicioso ”, em Proceedings of the th International
Conferência sobre a World Wide Web , ser. WWW '. New York, NY, USA: ACM,, pp.
8 -. [Conectados]. Disponível: http://doi.acm.org/. / 6.
[8] A. Zarras, A. Kapravelos, G. Stringhini, T. Holz, C. Kruegel e G. Vigna, “The dark

becos da avenida madison: Compreendendo anúncios maliciosos ”, em Proceedings
da Conferência sobre a Conferência de Medição da Internet . ACM, pp.
- 8.

www.cybok.org
[8 6] M. Konte, R. Perdisci e N. Feamster, “Aswatch: An as reput system to expor

ases de hospedagem à prova de balas ”, na ACM SIGCOMM Computer Communication Review ,
vol. , não. . ACM, pp. 6–6 8.
[8] CY Cho, J. Caballero, C. Grier, V. Paxson e D. Song, “Insights from the inside: A
visão do gerenciamento de botnets da in ltration ” , LEET , vol. , pp. -,.
[8 8] C. Kreibich, C. Kanich, K. Levchenko, B. Enright, GM Voelker, V. Paxson, e

S. Savage, “Spamcraft: An inside look at spam campaign orchestration,” in LEET .
Associação USENIX,.
[8] S. Yadav, AKK Reddy, AN Reddy e S. Ranjan, “Detecting algorithmically

gerou ataques de ux de domínio com análise de tráfego de DNS ”, IEEE / Acm Transactions on
Networking , vol. , não. , pp. 66 - 6,.
[8] J. Lusthaus, Industry of Anonymity: Inside the Business of Cybercrime . Harvard

[8] J. Iedemska, G. Stringhini, R. Kemmerer, C. Kruegel e G. Vigna, “The tricks of the

comércio: o que torna as campanhas de spam bem-sucedidas? ” em Segurança e Privacidade
Workshops (SPW), IEEE . IEEE,, pp. –8.
[8] M. Motoyama, K. Levchenko, C. Kanich, D. McCoy, GM Voelker e S. Savage, “Re:

CAPTCHAs-Compreender os serviços CAPTCHA-Resolvendo em um contexto econômico, ”em
Simpósio de Segurança USENIX , vol. . Associação USENIX,, p. .
[8] K. Thomas, D. McCoy, C. Grier, A. Kolcz e V. Paxson, “Traf cking fraudulent

contas: O papel do mercado clandestino no spam e abuso do Twitter ”, em
Simpósio de Segurança USENIX . Associação USENIX,, pp. -.
[8] E. De Cristofaro, A. Friedman, G. Jourjon, MA Kaafar e MZ Sha q, “Paying for

curtidas ?: Entendendo o Facebook como a fraude usando honeypots ”, em ACM SIGCOMM
Conferência de medição da Internet (IMC) . ACM, pp. - 6.
[8] G. Stringhini, G. Wang, M. Egele, C. Kruegel, G. Vigna, H. Zheng e BY Zhao,

“Siga o verde: crescimento e dinâmica nos mercados de seguidores do Twitter”, no ACM
SIGCOMM Internet Measurement Conference (IMC) . ACM, pp. 6 - 6.
[8 6] M. Motoyama, D. McCoy, K. Levchenko, S. Savage e GM Voelker, “Dirty jobs: The

papel de mão-de-obra autônoma em abuso de serviço da web ”, no Simpósio de Segurança USENIX .
Associação USENIX,, pp. -.
[8] D. Florêncio e C. Herley, “Phishing and money mules,” in International Workshop on

Perícia e segurança da informação (WIFS) . IEEE,, pp. -.
[8 8] R. Anderson, C. Barton, R. Böhme, R. Clayton, MJ Van Eeten, M. Levi, T. Moore, e

S. Savage, “Measuring the cost of cybercrime,” in Workshop on the economics of
segurança e privacidade da informação (WEIS) . Springer,, pp. 6 -.
[8] T. Moore e N. Christin, "Cuidado com o intermediário: análise empírica de

bitcoin-exchange risk, ”na Conferência Internacional sobre Criptografia Financeira e
Segurança de dados . Springer,, pp. -.
[8] K. Moeller, R. Munksgaard e J. Demant, "Flow my FE, o vendedor disse: Explorando

trocas violentas e fraudulentas de recursos em criptomercados para drogas ilícitas ”,
American Behavioral Scientist , vol. 6, não. , pp. -,.
www.cybok.org
[8] EM Hutchins, MJ Cloppert e RM Amin, “Intelligence-driven computer

defesa de rede informada por análise de campanhas adversárias e invasão de morte
chains, ” Leading Issues in Information Warfare & Security Research , vol. , não. , p. 8,
.
[8] PJ Brantingham, PL Brantingham et al. , Criminologia ambiental . sábio
Publicações Beverly Hills, CA, 8.
[8] DN Khey e VA Sainato, “Examinando os correlatos e a distribuição espacial de

violação de dados organizacionais nos Estados Unidos ”, Security Journal , vol. 6, não. , pp.
6 - 8,.
[8] S. Hinduja e B. Kooi, “Curtailing cyber and information security vulnerabilities

por meio da prevenção situacional do crime ”, Security Journal , vol. 6, não. , pp. 8 -,
.
[8] T. Rid e B. Buchanan, "Atribuindo ataques cibernéticos", Journal of Strategic Studies ,

vol. 8, não. -, pp. -,.
[8 6] A. PAdmos,
https://github.com/arnepadmos/resources/tree/master/methodologies/model,
.
[8] LP Swiler e C. Phillips, "Um sistema baseado em gráfico para análise de vulnerabilidade de rede",
Sandia National Labs., Albuquerque, NM (Estados Unidos), Tech. Rep., 8.
[8 8] JP McDermott, “Teste de penetração da rede de ataque,” em NSPW,, pp. -.
[8] B. Farinholt, M. Rezaeirad, P. Pearce, H. Dharmdasani, H. Yin, S. Le Blond, D. McCoy,

e K. Levchenko, “To catch a ratter: Monitorando o comportamento do DarkComet amador
Operadores RAT na natureza ”, em 8º Simpósio IEEE sobre Segurança e Privacidade (SP) .
Ieee, pp. - 8.
[8] B. Cheswick, “Uma noite com Berferd em que um biscoito é atraído, suportado e
estudou ”, no Simpósio de Segurança USENIX,, pp. -.
[8] D. Moore, C. Shannon et al. , “Código-vermelho: um estudo de caso sobre a propagação e as vítimas de um
worm da Internet ”, em Proceedings of the nd ACM SIGCOMM Workshop on Internet
medição . ACM, pp. - 8.
[8] A. Dwyer, "The NHS cyber-attack: A look at the complex environment conditions of
WannaCry ”, RAD Magazine , vol. , 8.
[8] LE Cohen e M. Felson, “Mudança social e tendências da taxa de criminalidade: uma atividade de rotina
abordagem (), ”em Classics in Environmental Criminology . CRC Press, 6, pp.
-.
[8] RV Clarke e DB Cornish, “Modeling offenders 'decision: A framework for

pesquisa e política ”, Crime and Justice , vol. 6, pp. - 8, 8.
[8] RVG Clarke, Prevenção do crime situacional . Criminal Justice Press Monsey, NY,
.
[8 6] MR Albert, “E-comprador, cuidado: por que a fraude de leilão online deve ser regulamentada”,
American Business Law Journal , vol. , não. , pp. –6,.
www.cybok.org
[8] H. Liu, K. Levchenko, M. Félegyházi, C. Kreibich, G. Maier, GM Voelker, e

S. Savage, “Sobre os efeitos da intervenção em nível de registrador,” in LEET ,.
[8 8] DB Cornish, “A análise processual da ofensa e sua relevância para a situação

prevenção ”, Crime Prevention Studies , vol. , pp. - 6,.
[8] R. Wortley, A. Sidebottom, N. Tilley e G. Laycock, Routledge Handbook of Crime

Ciência . Routledge, 8.
[8] D. Huang, K. Thomas, C. Grier, D. Wang, E. Burztein, T. Holt, C. Kruegel, D. McCoy,

S. Savage e G. Vigna, “Dependências de enquadramento introduzidas pelo underground
comoditização ”, em Workshop on the Economics of Information Security ,.
[8] JP Anderson et al. , “Monitoramento e vigilância de ameaças à segurança do computador”,

Relatório técnico, James P. Anderson Company, Fort Washington, Pennsylvania, Tech.
Rep., 8.
[8] DE Denning, "Um modelo de detecção de intrusão", IEEE Transactions on Software

Engenharia , não. , pp. -, 8.
[8] MC Huebscher e JA McCann, "Uma pesquisa de computação autônoma - graus,
modelos e aplicações ”, ACM Computing Surveys (CSUR) , vol. , não. , p. , 8.
[8] S. Axelsson, "A falácia da taxa básica e a dificuldade de detecção de intrusão", ACM
Trans. Inf. Syst. Secur. , vol. , não. , pp. 86–, agosto.
[8] A. Patel, M. Taghavi, K. Bakhtiyari e JC Júnior, “Uma detecção de intrusão e

sistema de prevenção em computação em nuvem: uma revisão sistemática, ” Journal of network and
aplicativos de computador , vol. 6, não. , pp. -,.
[8 6] M. Egele, T. Scholte, E. Kirda e C. Kruegel, “Uma pesquisa sobre dinâmica automatizada

técnicas e ferramentas de análise de malware ”, pesquisas de computação ACM (CSUR) , vol. ,
não. , p. 6,.
[8] R. Sommer e A. Feldmann, “Net ow: Information loss or win?” em Proceedings of

o nd ACM SIGCOMM Workshop on Internet Measurment . ACM, pp.
-.
[8 8] R. Hofstede, P. Čeleda, B. Trammell, I. Drago, R. Sadre, A. Sperotto e A. Pras, “Flow

monitoramento explicado: da captura de pacotes à análise de dados com fluxo de rede e ip x, ”
IEEE Communications Surveys & Tutorials , vol. 6, não. , pp. - 6,.
[8] X. Yin, W. Yurcik, M. Treaster, Y. Li e K. Lakkaraju, “Vis owconnect: net ow

visualizações de relacionamentos de link para consciência situacional de segurança ”, em
Procedimentos do Workshop ACM sobre Visualização e Mineração de Dados para
Segurança do computador . ACM, pp. 6–.
[86] MF Umer, M. Sher e Y. Bi, "detecção de intrusão baseada em fluxo: técnicas e

desafios ”, Computers & Security , vol. , pp. 8–,.
[86] T. Deshpande, P. Katsaros, S. Basagiannis e SA Smolka, “Formal analysis of the

Ataque de amplificação de largura de banda DNS e suas contramedidas usando probabilística
verificação de modelo ”, em Engenharia de Sistemas de Alta Garantia (HASE), IEEE th
Simpósio internacional em diante . IEEE,, pp. 6 - 6.
[86] M. Anagnostopoulos, G. Kambourakis, P. Kopanos, G. Louloudakis e S. Gritzalis,
www.cybok.org
“Ataque de amplificação de DNS revisitado,” Computers & Security , vol. , pp. - 8,

.
[86] A. Herzberg e H. Shulman, “DNS authentication as a service: preventing

ataques de amplificação ”, em Proceedings of the Annual Computer Security
Conferência de aplicativos . ACM, pp. 6–6.
[86] R. van Rijswijk-Deij, A. Sperotto e A. Pras, “DNSSEC e seu potencial para DDoS
ataques: um estudo de medição abrangente ”, em Proceedings of the
Conference on Internet Measurement Conference . ACM, pp. - 6.
[86] L. Bilge, S. Sen, D. Balzarotti, E. Kirda e C. Kruegel, “Exposure: A passive DNS

serviço de análise para detectar e relatar domínios maliciosos, ” ACM Transactions on
Segurança da Informação e do Sistema (TISSEC) , vol. 6, não. , p. ,.
[866] A. Ramachandran, D. Dagon e N. Feamster, “Can DNS-based blacklists keep up

com bots? ” no CEAS . Citeseer, 6.
[86] J. Czyz, M. Kallitsis, M. Gharaibeh, C. Papadopoulos, M. Bailey e M. Karir, “Taming

o gorila de 8 libras: A ascensão e declínio dos ataques DDoS NTP ”, em Proceedings of
a Conferência sobre a Conferência de Medição da Internet . ACM, pp.
- 8.
[868] M. Kührer, T. Hupperich, C. Rossow e T. Holz, “Exit from hell? reduzindo o impacto
de amplificação de ataques DDoS. ” no Simpósio de Segurança USENIX,, pp. -.
[86] N. Feamster, J. Jung e H. Balakrishnan, “Um estudo empírico da rota dos bogons
anúncios, ” ACM SIGCOMM Computer Communication Review , vol. , não. , pp.
6 -,.
[8] A. Ramachandran e N. Feamster, “Understanding the network-level behavior of

spammers, ”em ACM SIGCOMM Computer Communication Review , vol. 6, não. .
ACM, 6, pp. -.
[8] E. Biersack, Q. Jacquemart, F. Fischer, J. Fuchs, O. Thonnard, G. Theodoridis,

D. Tzovaras e P.-A. Vervier, “Visual analytics for BGP monitoring and pre x
hijacking identi cation, ” IEEE Network , vol. 6, não. 6,.
[8] J. Schlamp, R. Holz, Q. Jacquemart, G. Carle e EW Biersack, “Heap: confiável

avaliação de ataques de sequestro de bgp ”, IEEE Journal on Selected Areas in
Communications , vol. , não. 6, pp. 8-86, 6.
[8] V. Chandola, A. Banerjee e V. Kumar, “Anomaly detecção: uma pesquisa”, ACM

pesquisas de computação (CSUR) , vol. , não. , p. ,.
[8] G. Portokalidis, A. Slowinska e H. Bos, “Argos: an emulator for ngerprinting

ataques de dia zero para honeypots anunciados com geração automática de assinatura ”, em
ACM SIGOPS Operating Systems Review , vol. , não. . ACM, 6, pp. -.
[8] X. Chen, H. Bos e C. Giuffrida, “Codearmor: Virtualizing the code space to counter
ataques de divulgação ”, em Segurança e Privacidade (EuroS & P), IEEE Europeu
Simpósio em diante . IEEE,, pp. -.
[8 6] M. Roesch et al. , “Snort: detecção de intrusão leve para redes.” em Lisa ,

vol. , não. ,, pp. - 8.
www.cybok.org
[8] S. Patton, W. Yurcik e D. Doss, “An achilles 'heel in signature-based ids: Squealing
falsos positivos no snort ”, em Proceedings of RAID , vol. . Citeseer,.
[8 8] E. Albin e NC Rowe, “Uma comparação experimental realista dos Suricata e

Sistemas de detecção de intrusão Snort ”em Advanced Information Networking e
Workshops de Aplicações (WAINA), 6ª Conferência Internacional em . IEEE,
, pp. -.
[8] JJ Davis e AJ Clark, “Pré-processamento de dados para intrusão de rede baseada em anomalias
detecção: A review, ” Computers & Security , vol. , não. 6-, pp. -,.
[88] MH Bhuyan, DK Bhattacharyya e JK Kalita, “Detecção de anomalia de rede:

métodos, sistemas e ferramentas ”, pesquisas e tutoriais de comunicações IEEE , vol. 6, não. ,
pp. - 6,.
[88] T. Cruz, L. Rosa, J. Proença, L. Maglaras, M. Aubigny, L. Lev, J. Jiang e P. Simoes,

“Uma estrutura de detecção de cibersegurança para controle de supervisão e aquisição de dados
systems, ” IEEE Transactions on Industrial Informatics , vol. , não. 6, pp. 6–6,
6
[88] G. Dini, F. Martinelli, A. Saracino e D. Sgandurra, “MADAM: uma anomalia multinível

detector de malware para Android ”, na Conferência Internacional de Métodos Matemáticos,
Modelos e arquiteturas para segurança de redes de computadores . Springer, pp.
-.
[88] M. Almgren, H. Debar e M. Dacier, “Uma ferramenta leve para detecção de servidor web
ataques. ” em Proceedings of NDSS ,.
[88] E. Tombini, H. Debar, L. Mé, e M. Ducassé, “Uma combinação serial de anomalia e

idses de uso indevido aplicados ao tráfego http, ”em Computer Security Applications Conference,
. º Anual . IEEE,, pp. 8–.
[88] J. McHugh, "Testando sistemas de detecção de intrusão: Uma crítica dos 8 e

Avaliações do sistema de detecção de intrusão DARPA realizadas pelo laboratório Lincoln, ”
ACM Trans. Inf. Syst. Secur. , vol. , não. , pp. 6 -, novembro.
[886] TTT Nguyen e G. Armitage, “Uma pesquisa de técnicas para o tráfego da Internet
classificação usando aprendizado de máquina, ” IEEE Communications Surveys Tutorials ,
vol. , não. , pp. 6–6, Quarto 8.
[88] B. Kolosnjaji, A. Zarras, G. Webster e C. Eckert, “Deep learning for classi cation of
sequências de chamada do sistema de malware ”, em Australasian Joint Conference on Arti cial
Inteligência . Springer, 6, pp. -.
[888] SM Tabish, MZ Sha q e M. Farooq, “Malware detecção usando estatística

análise de conteúdo de arquivo de nível de byte ”, em Anais do ACM SIGKDD Workshop sobre
CiberSegurança e Informática de Inteligência . ACM,, pp. -.
[88] P. Laskov e N. Šrndić, “detecção estática de pdf malicioso com javascript

documentos ”, em Proceedings of the Annual Computer Security Applications
Conferência . ACM, pp. - 8.
[8] D. Maiorca, I. Corona e G. Giacinto, “Olhar para o saco não basta para encontrar o
bomba: uma evasão de métodos estruturais para detecção de arquivos pdf maliciosos ”, em
Anais do 8º Simpósio ACM SIGSAC sobre Informação, Computador e
www.cybok.org
[8] E. Gandotra, D. Bansal e S. Sofat, “Malware analysis and classi cation: A survey,”
Journal of Information Security , vol. , não. , p. 6,.
[8] A.-D. Schmidt, F. Peters, F. Lamour, C. Scheel, SA Çamtepe e S. Albayrak,

“Monitorando smartphones para detecção de anomalias”, Redes e Aplicativos Móveis ,
vol. , não. , pp. - 6,.
[8] MV Mahoney e PK Chan, “Uma análise do laboratório DARPA / Lincoln

dados de avaliação para detecção de anomalias de rede ”, no International Workshop on Recent
Avanços na detecção de intrusão . Springer,, pp. -.
[8] U. Franke e J. Brynielsson, “Cyber situational awareness – a sistemática review of

a literatura ”, Computers & Security , vol. 6, pp. 8–,.
[8] R. Lippmann, JW Haines, DJ Fried, J. Korba e K. Das, “The DARPA off-line

avaliação de detecção de intrusão ” , Redes de computadores , vol. , não. , pp. -,
.
[8 6] MA Erlinger e M. Wood, “Intrusion Detection Message Exchange Requirements,”

RFC 66, março. [Conectados]. Disponível: https://rfc-editor.org/rfc/rfc 66.txt
[8] B. Feinstein, D. Curry e H. Debar, “The Intrusion Detection Message Exchange

Formato (IDMEF), ”RFC 6, março. [Conectados]. Disponível:
https://rfc-editor.org/rfc/rfc 6.txt
[8 8] G. Matthews e B. Feinstein, "The Intrusion Detection Exchange Protocol (IDXP)",

RFC 6, março. [Conectados]. Disponível: https://rfc-editor.org/rfc/rfc 6.txt
[8] J. Steinberger, A. Sperotto, M. Golling e H. Baier, “How to exchange security

eventos? visão geral e avaliação de formatos e protocolos ”, em Rede Integrada
Management (IM), IFIP / IEEE International Symposium on . IEEE, pp.
6 - 6.
[] H. Debar e A. Wespi, "Agregação e correlação de alertas de detecção de intrusão", em

Workshop Internacional sobre Avanços Recentes na Detecção de Intrusão . Springer,,
pp. 8 -.
[] F. Cuppens e A. Miege, “Correlação de alerta em uma detecção de intrusão cooperativa

framework, ”em Proceedings of the IEEE Symposium on Security and Privacy .
IEEE,, p. .
[] OS Saydjari, “Defesa cibernética: arte para a ciência,” Communications of the ACM , vol. ,
não. , pp. -,.
[] P. Ning, Y. Cui e DS Reeves, “Construindo cenários de ataque através da correlação

de alertas de intrusão ”, nos Anais da ª Conferência ACM sobre Computador e
[] J. Zhou, M. Heckman, B. Reynolds, A. Carlson e M. Bishop, “Modeling network

alertas de detecção de intrusão para correlação ”, ACM Transactions on Information and
Segurança do Sistema (TISSEC) , vol. , não. , p. ,.
[] B. Morin, L. Mé, H. Debar e M. Ducassé, “Um modelo baseado em lógica para apoiar o alerta
correlação na detecção de intrusão ”, Information Fusion , vol. , não. , pp. 8 -,
.
www.cybok.org
[6] A. Valdes e K. Skinner, "Probabilistic alert correlação," in International Workshop

sobre avanços recentes na detecção de intrusão . Springer,, pp. –68.
[] K. Julisch e M. Dacier, “Alarmes de detecção de intrusão de mineração para acionáveis
conhecimento ”, nos Anais da Oitava Conferência Internacional ACM SIGKDD sobre
Descoberta de conhecimento e mineração de dados . ACM, pp. 66–.
[8] X. Liao, K. Yuan, X. Wang, Z. Li, L. Xing e R. Beyah, “Acing the IOC game: Toward
descoberta e análise automática de inteligência contra ameaças cibernéticas de código aberto ”, em
Segurança . ACM, 6, pp. - 66.
[] J. Mirkovic e P. Reiher, “A taxonomy of DDoS attack and DDoS defense

mecanismos ”, SIGCOMM Comput. Comum. Rev. , vol. , não. , pp. -, abril.
[] T. Peng, C. Leckie e K. Ramamohanarao, “Survey of network-based defence

mecanismos contra os problemas dos e ddos ”, ACM Computing Surveys
(CSUR) , vol. , não. , p. ,.
[] N. Hachem, H. Debar e J. Garcia-Alfaro, “HADEGA: A novel MPLS-based

solução de mitigação para lidar com ataques de rede ”, em Performance Computing e
Communications Conference (IPCCC), IEEE st International . IEEE, pp.
- 8.
[] R. Sahay, G. Blanc, Z. Zhang e H. Debar, “ArOMA: An SDN autonomic DDoS

mitigation framework, ” Computers & Security , vol. , pp. 8 -,.
[] S. Mauw e M. Oostdijk, "Foundations of attack trees", na Conferência Internacional

sobre Segurança da Informação e Criptologia . Springer, pp. 86-8.
[] X. Ou, S. Govindavajhala e AW Appel, “Mulval: A logic-based network security

analisador. ” em USENIX Security Symposium , vol. 8. Baltimore, MD,.
[] R. Bohme, G. Schwartz et al. , “Modeling cyber-insurance: Towards a unifying

estrutura." em WEIS ,.
[6] A. Motzek, G. Gonzalez-Granadillo, H. Debar, J. Garcia-Alfaro e R. Möller,

“Seleção de planos de resposta pareto-eficientes com base em dados financeiros e operacionais
avaliações ”, EURASIP Journal on Information Security , vol. , não. , p. ,.
[] E. Zio, “Engenharia de confiabilidade: velhos problemas e novos desafios,” confiabilidade

Engenharia e Segurança do Sistema , vol. , não. , pp. -,.
[8] J. Campos, P. Sharma, E. Jantunen, D. Baglee e L. Fumagalli, “Os desafios de

estruturas de segurança cibernética para proteger os dados necessários para o desenvolvimento de tecnologias
manutenção ”, Procedia CIRP , vol. , pp. -, 6.
[] L. Spitzner, "Honeypots: Catching the insider fear," em Computer Security

Conferência de aplicativos,. Processos. º Anual . IEEE,, pp. -.
[] R. Pang, V. Yegneswaran, P. Barford, V. Paxson e L. Peterson, “Characteristics of

radiação de fundo da Internet ”, em Proceedings of the ACM SIGCOMM conference
na medição da Internet . ACM,, pp. -.
[] K.-KR Choo, “O cenário de ameaças cibernéticas: desafios e pesquisas futuras

direções, ” Computadores e Segurança , vol. , não. 8, pp. -,.

www.cybok.org
[] E. Nunes, A. Diab, A. Gunn, E. Marin, V. Mishra, V. Paliath, J. Robertson, J. Shakarian,

A. Thart e P. Shakarian, “Darknet and deepnet mining for proactive cybersecurity
inteligência contra ameaças ”, pré-impressão do arXiv arXiv: 6. 8 8 , 6.
[] H. Haughey, G. Epiphaniou, H. Al-Khateeb e A. Dehghantanha, “Adaptive traf c

ngerprinting para inteligência de ameaças darknet ”, Cyber Threat Intelligence , pp. -,
8
[] C. Miles, A. Lakhotia, C. LeDoux, A. Newsom e V. Notani, “Virusbattle:

Análise de malware de última geração para melhor inteligência de ameaças cibernéticas ”, em Resilient
Control Systems (ISRCS), th International Symposium on . IEEE,, pp. –6.
[] S. Samtani, K. Chinn, C. Larson e H. Chen, “Portal de ativos de hackers Azsecure: Cyber

inteligência de ameaças e análise de malware ”, em Intelligence and Security Informatics
(ISI), 6 IEEE Conference on . Ieee, 6, pp. -.
[6] S. Qamar, Z. Anwar, MA Rahman, E. Al-Shaer e B.-T. Chu, “Data-driven analytics

para inteligência de ameaças cibernéticas e compartilhamento de informações ”, Computers & Security , vol. 6,
pp. - 8,.
[] JM Ahrend, M. Jirotka e K. Jones, “On the colaborative Practices of cyber
analistas de inteligência de ameaças para desenvolver e utilizar ameaças e defesa tácitas
conhecimento ”, em Consciência Situacional Cibernética, Análise e Avaliação de Dados
(CyberSA), 6 Conferência Internacional On . IEEE, 6, pp. -.
[8] C. Wagner, A. Dulaunoy, G. Wagener e A. Iklody, “Misp: The design and

implementação de uma plataforma de compartilhamento de inteligência contra ameaças colaborativa ”, em
Proceedings of the 6 ACM on Workshop on Information Sharing and Collaborative
Segurança . ACM, 6, pp. - 6.
[] MR Endsley, "Rumo a uma teoria da consciência da situação em sistemas dinâmicos", Human

fatores , vol. , não. , pp. –6,.
[] GP Tadda, "Measuring performance of cyber situação awareness systems," in

Fusão de informações, 8ª Conferência Internacional . IEEE, 8, pp. –8.
[] S. Mathew, S. Upadhyaya, M. Sudit e A. Stotz, “Situation awareness of multistage

ataques cibernéticos por fusão de eventos semânticos ”, na Conferência de Comunicações Militares,
-MILCOM . IEEE,, pp. 86–.
[] P. Cichonski, T. Millar, T. Grance e K. Scarfone, “Incidente de segurança do computador

guia de manuseio, ” NIST Special Publication , vol. 8, não. 6, pp. -,.
[] A. Ahmad, J. Hadgkiss e AB Ruighaver, “Equipes de resposta a incidentes - desafios em

apoiando a função de segurança organizacional ”, Computers & Security , vol. , não. ,
pp. 6–6,.
[] IA Tøndel, MB Line e MG Jaatun, “Incidente de segurança da informação

gestão: prática atual conforme relatado na literatura, ” Computadores e segurança ,
vol. , pp. -,.
[] R. Baskerville, P. Spagnoletti e J. Kim, “Incident-cented information security:

Gerenciando um equilíbrio estratégico entre prevenção e resposta, ” Informações e
gestão , vol. , não. , pp. 8–,.
www.cybok.org
[6] E. Casey, Digital Evidence and Computer Crime: Forensic Science, Computers and the
Internet , ed. Academic Press,, iSBN: 8-68.
[] Parlamento do Reino Unido. () Ato de uso indevido do computador. [Conectados]. Disponível:

https://www.legislation.gov.uk/ukpga/ / 8 / contents
[8] D. Goodstein, Reference Manual on Scienti c Evidence: Third Edition . Nacional

Academies Press,, cap. How Science Works, pp. -. [Conectados]. Disponível:
https://www.fjc.gov/sites/default/ les / / SciMan D .pdf
[] A Comissão de Direito. () Provas periciais em processos criminais na Inglaterra

e País de Gales. [Conectados]. Disponível:
https://www.lawcom.gov.uk/project/expert-evidence-in-criminal-proceedings/
[] K. Kent, S. Chevalier, T. Grance e H. Dang, “Guia para integração forense

técnicas de resposta a incidentes ”, Instituto Nacional de Padrões e Tecnologia,
Tech. Publicação especial do representante 8 -86, 6. [Online]. Disponível:
http://csrc.nist.gov/publications/nistpubs/8 -86 / SP8 -86.pdf
[] Ato Abrangente de Controle do Crime de 8. [Conectados]. Disponível:

https://www.ncjrs.gov/App/publications/Abstract.aspx?id= 6
[] 8 § Código dos EUA - Fraude e atividades relacionadas em conexão com computadores.

[Conectados]. Disponível: https://www.law.cornell.edu/uscode/text/ 8 /
[] D. Goodstein, Reference Manual on Scienti c Evidence: Third Edition . Nacional

Academies Press,, cap. How Science Works, pp. -. [Conectados]. Disponível:
https://www.fjc.gov/sites/default/ les / / SciMan D .pdf
[] Regulador de ciência forense. () Códigos de prática e conduta, apêndice: Digital

serviços forenses FSR-C-. [Conectados]. Disponível:
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/
attach_data / le / /. 8. 8_FSR-C- _Digital_forensics.pdf
[] ISO / IEC. () Requisitos gerais ISO / IEC para a competência de teste
e laboratórios de calibração. [Conectados]. Disponível:
https://webstore.iec.ch/preview/info_isoiec% Bed. % Den.pdf
[6] G. Palmer. () Relatório do primeiro workshop de pesquisa forense digital (DFRWS).

[Conectados]. Disponível: https://www.dfrws.org/sites/default/ les / session- les /
a_road_map_for_digital_forensic_research.pdf
[] V. Roussev, "Hashing and data ngerprinting in digital forensics", IEEE Security

Privacidade , vol. , não. , pp. -, março, : . / MSP. ..
[8] S. Gar nkel, AJ Nelson e J. Young, “Uma estratégia geral para análise forense diferencial
análise ”, em The Proceedings of the Twelfth Annual Digital Forensic Researcg
Conferência (DFRWS) , pp. S –S, : . 6 / j.diin. . .. [Conectados].
Disponível: http://www.sciencedirect.com/science/article/pii/S 8 6 8X
[] P. Pirolli e S. Card, “Processos de Sensemaking de analistas de inteligência e possíveis

pontos de alavancagem conforme identificados por meio de análise de tarefa cognitiva ", em Proceedings of the
Conferência Internacional sobre Análise de Inteligência ,. [Conectados]. Disponível:
http://researchgate.net/publication/
www.cybok.org
[] JJ Thomas e KA Cook, Eds., Iluminando o caminho: a pesquisa e

agenda de desenvolvimento para análise visual . Departamento de Segurança Interna dos EUA,
Centro Nacional de Visualização e Análise (NVAC),.
[] E. Patterson, E. Roth e D. Woods, “Predicting vulnerabilities in

análise inferencial suportada por computador sob sobrecarga de dados, ” Cognição, Tecnologia
and Work , vol. , não. , pp. -,, : . / s - -8 -y.
[] P. Pirolli, Information Foraging Theory: Adaptive Interaction with Information . Oxford

University Press,, iSBN: 8-8.
[] G. Klein, B. Moon e R. Hoffman, “Making sense of sensemaking: Alternative

perspectivas ”, IEEE Intelligent Systems , vol. , não. , pp. -, 6, :
. / MIS. 6.
[] V. Roussev, C. Quates e R. Martell, “Real-time digital forensics and triage,” Digital

Investigação , vol. , não. , pp. 8–6,, : . 6 / j.diin. . ..
http://www.sciencedirect.com/science/article/pii/S 8 6
[] D. Farmer e W. Venema, Forensic Discovery , st ed. Addison-Wesley

Profissional,, iSBN: 8- 6 6.
[6] B. Carrier, File System Forensic Analysis , st ed. Addison-Wesley Professional,

, ISBN: 8-68.
[] J. von Neumann, "Primeiro esboço de um relatório sobre o EDVAC", IEEE Annals of the History of
Computing , vol. , não. , pp. -,, : . / 8. 8 8.
[8] S. Willassen, "Análise forense da memória interna do telefone móvel", em Advances in

Perícia digital . Springer,, pp. -, : . / - 8 - 6 - _ 6.
[Conectados]. Disponível: http: //dl.i p.org/db/conf/ip - / df / Willassen .pdf
[] IEEE. () IEEE. - - Porta de acesso de teste padrão IEEE e varredura de limite

arquitetura. [Conectados]. Disponível:
https://standards.ieee.org/standard/ _ - .html
[6] NVM Express. () Especificação de base expressa NVM, revisão. . [Conectados].

Disponível: https:
//nvmexpress.org/wp-content/uploads/NVM-Express- _ -. 6. -Rati ed.pdf
[6] J. Zaddach, A. Kurmus, D. Balzarotti, E.-O. Blass, A. Francillon, T. Goodspeed,

M. Gupta e I. Koltsidas, “Implementação e implicações de um disco rígido furtivo
backdoor, ”em Proceedings of the Annual Computer Security Applications
Conferência , ser. ACSAC ',, pp. - 88, : . / 6. 66.
[6] NIST. () Programa de teste de ferramenta forense de computador. [Conectados]. Disponível:

http://www.cftt.nist.gov/
[6] C. Stevens. () Formatação, clonagem e duplicação de mídia de formato avançado.
Artigo Técnico, Revisão. . [Conectados]. Disponível:
http://idema.org/wp-content/plugins/download-monitor/download.php?id=
[6] P. Chen, E. Lee, G. Gibson, R. Katz e D. Patterson, “Raid: High-performance,

armazenamento secundário confiável ”, ACM Computing Surveys , vol. 6, não. , pp. - 8 de junho
www.cybok.org
, : . / 6. 6 8. [Conectados]. Disponível:
http://doi.acm.org/. / 6. 6 8
[6] C. King e T. Vidas, “Análise empírica de retenção de dados de disco de estado sólido quando usado
com sistemas operacionais contemporâneos ”, em Anais do th Annual DFRWS
Conferência. DFRWS '. ,, pp. S –S, : . 6 / j.diin. . .. [Conectados].
Disponível: http://dfrws.org/ / procedures / - .pdf
[66] MH Ligh, A. Case, J. Levy e A. Walters, The Art of Memory Forensics: Detecting
Malware e ameaças na memória do Windows, Linux e Mac , st ed. Wiley,, iSBN:
8-88.
[6] J. Chow, B. Pfaff, T. Gar nkel, K. Christopher e M. Rosenblum, “Understanding

vida útil dos dados por meio de simulação de todo o sistema ”, em Proceedings of the USENIX Security
Simpósio,, pp. - 6. [Online]. Disponível: https://www.usenix.org/legacy/
publicações / biblioteca / procedimentos / sec / tech / chow / chow_html /
[68] J. Solomon, E. Huebner, D. Bem, e M. Szeżynska, “User data persistence in

memória física ”, Journal of Digital Investigation , vol. , não. , pp. 68–,, :
. 6 / j.diin. . .. [Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/S 8 6 8X
[6] S. Jeon, J. Bang, K. Byun e S. Lee, “Um método de recuperação de registro excluído para
Banco de dados SQLite, ” Personal and Ubiquitous Computing , vol. 6, não. 6, pp. -,
, : . / s - - 8-.
[] B. Wu, M. Xu, H. Zhang, J. Xu, Y. Ren e N. Zheng, A Recovery Approach for SQLite
Registradores de história de YAFFS . Springer Berlin Heidelberg,, pp. -, :
. / 8- -6 - 68 8- _.
[] NIST. () SHA- padrão: hash baseado em permutação e saída extensível

funções. Publicação FIPS, : .6 8 / NIST.FIPS. . [Conectados]. Disponível:
http://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS. .pdf
[] ——. (6) Biblioteca de referência de software nacional. [Conectados]. Disponível:

http://www.nsrl.nist.gov/
[] S. Gar nkel, A. Nelson, D. White e V. Roussev, “Using purpose-built functions and

hashes de bloco para permitir a análise forense de pequenos blocos e sub-leituras ”, em Proceedings of the
Décima Conferência Anual DFRWS. DFRWS '. ,, : . 6 / j.diin. . ..
[Conectados]. Disponível: http://dfrws.org/ / procedures / - .pdf
[] F. Breitinger, B. Guttman, M. McCarrin, V. Roussev e D. White, “Approximate

correspondência: Definição e terminologia ”, Instituto Nacional de Padrões e
Tecnologia, tecnologia. Publicação especial do representante 8 - 68,. [Conectados]. Disponível:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.8 - 68.pdf
[] V. Roussev e S. McCulley, "Forensic analysis of cloud-native artifacts," em

Proceedings of the Third Annual DFRWS Europe (DFRWS-EU) , 6, pp. S –S,
: . 6 / j.diin. 6...
[6] A. Broder, "Sobre a semelhança e contenção de documentos", em Compressão e

Complexity of Sequences , Jun, pp. -, : . / SEQUEN. 0,666.
[] Consórcio eCrypt-CSA, “Relatório de algoritmos, tamanho da chave e protocolos (8),”

http://www.ecrypt.eu.org/csa/documents/D. -FinalAlgKeySizeProt.pdf, 8.

www.cybok.org
[8] D. Kahn, The Codebreakers . Simon e Schuster, 6.
[] J. Katz e Y. Lindell, Introdução à Criptografia Moderna, Segunda Edição . CRC
Aperte, .
[8] NP Smart, Cryptography Made Simple , ser. Segurança e criptografia da informação.

Springer, 6.
[8] SD Galbraith, Mathematics of Public Key Cryptography . Universidade de Cambridge

Aperte, . [Conectados]. Disponível:
https://www.math.auckland.ac.nz/~sgal 8 / crypto-book / crypto-book.html
[8] O. Goldreich, The Foundations of Cryptography - Volume, Basic Techniques .

Cambridge University Press, .
[8] ——, The Foundations of Cryptography - Volume, Basic Applications . Cambridge

Jornal universitário, .
[8] AK Lenstra e HWL Jr., The Development of the Number Field Sieve , ser.
Notas de aula em matemática. Springer,.
[8] PQ Nguyen e B. Vallée, Eds., The LLL Algorithm - Survey and Applications , ser.
Segurança e criptografia da informação. Springer,.
[86] D. Welsh, Codes and Cryptography . Oxford University Press, 88.
[8] HM Heys, "Um tutorial sobre criptoanálise linear e diferencial",

https://www.engr.mun.ca/~howard/PAPERS/ldc_tutorial.pdf.
[88] E. BIham e O. Dunkelman, Techniques for Cryptanalysis of Block Ciphers , ser.

Segurança e criptografia da informação. Springer, 8.
[8] J. Daemen e V. Rijmen, The Design of Rijndael: AES - The Advanced Encryption
Standard , ser. Segurança e criptografia da informação. Springer,.
[] Consórcio eCrypt-II, “eSTREAM: The ECRYPT Stream Cipher Project,”

http://www.ecrypt.eu.org/stream/,.
[] Site KW, “Team Keccak,” https://keccak.team/, 8.
[] NIST-CSRC, “Técnicas de criptografia de bloco: modos de criptografia de bloco,”

https://csrc.nist.gov/Projects/Block-Cipher-Techniques/BCM, 8.
[] ——, "Post-quantum cryptography: Post-Quantum cryptography standardization,"

https://csrc.nist.gov/projects/post-quantum-cryptography/post-quantum-
criptografia-padronização, 8.
[] C. Boyd e A. Mathuria, Protocols for Authentication and Key Establishment , ser.

Segurança e criptografia da informação. Springer,. [Conectados]. Disponível:
https://doi.org/. / 8- -66 - -
[] R. Cramer, I. Damgård e JB Nielsen, Secure Multiparty Computation and Secret

Compartilhando . Cambridge University Press, . [Conectados]. Disponível:
http://www.cambridge.org/de/academic/subjects/computer-science/cryptography-
cryptology-and-coding / secure-multiparty-computation-and-secret-sharing? format =
HB & isbn = 8
www.cybok.org
[6] C. Hazay e Y. Lindell, Efient Secure Two-Party Protocols - Techniques and

Construções , ser. Segurança e criptografia da informação. Springer,. [Conectados].
Disponível: https://doi.org/. / 8- -6 - -8
[] S. Mangard, E. Oswald e T. Popp, ataques de análise de poder - revelando os segredos de

cartões inteligentes . Springer,.
[8] M. Joye e M. Tunstall, Eds., Fault Analysis in Cryptography , ser. Em formação

Segurança e criptografia. Springer,. [Conectados]. Disponível:
https://doi.org/. / 8- -6 - 6 6-
[] D. Sgandurra e E. Lupu, “Evolução de ataques, modelos de ameaças e soluções para

virtualized systems, ” ACM Computing Surveys , vol. 8, não. , pp. 6: - 6: 8, fevereiro
6. [Online]. Disponível: http://doi.acm.org/. / 8 6 6
[] GC Hunt e JR Larus, "Singularity: Rethinking the software stack", SIGOPS Oper.
Syst. Rev. , vol. , não. , pp. -, abril. [Conectados]. Disponível:
http://doi.acm.org/. / 8.
[] E. Perla e M. Oldani, A Guide to Kernel Exploitation: Attacking the Core . Syngress

Publicação,.
[] AS Tanenbaum e H. Bos, Sistemas operacionais modernos . Pearson,.
[] V. van der Veen, N. Dutt-Sharma, L. Cavallaro e H. Bos, “Memory errors: The past,
o presente e o futuro ”, em RAID , outubro. [Conectados]. Disponível:
http://www.few.vu.nl/~herbertb/papers/memerrors_raid .pdf
[] S. Boyd-Wickizer e N. Zeldovich, “Tolerating maliciosos device drivers in linux,” in

Proceedings of the USENIX Conference on USENIX Annual Technical
Conferência , ser. USENIXATC '. Berkeley, CA, EUA: USENIX Association,, pp.
-. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 8 8. 8 8
[] B. Grill, A. Bacs, C. Platzer e H. Bos, "Boas botas - uma análise em grande escala de
bootkits e novas maneiras de detê-los ”, em DIMVA , setembro. [Conectados]. Disponível:
http://www.cs.vu.nl/% Eherbertb / papers / bootkits_dimva .pdf
[6] Y. Kim, R. Daly, J. Kim, C. Fallin, JH Lee, D. Lee, C. Wilkerson, K. Lai e O. Mutlu,
“Inverter bits na memória sem acessá-los: um estudo experimental de DRAM
erros de perturbação ”, em Proceeding of the st Annual International Symposium on
Computer Architecuture , ser. ISCA '. Piscataway, NJ, EUA: IEEE Press,, pp.
6 -. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 66 6. 66 6
[] P. Wang, J. Krinke, K. Lu, G. Li e S. Dodier-Lazaro, “How double-fetch conditions

se transformam em vulnerabilidades de busca dupla: Um estudo de buscas duplas no kernel do Linux, ”em
Proceedings of the 6th USENIX Conference on Security Symposium , ser. SEC '.
Berkeley, CA, EUA: USENIX Association,, pp. - 6. [Online]. Disponível:
http://dl.acm.org/citation.cfm?id= 8.
[8] RNM Watson, "Explorando vulnerabilidades de simultaneidade em invólucros de chamada de sistema", em

Proceedings of the First USENIX Workshop on Offensive Technologies , ser. WOOT '.
Berkeley, CA, EUA: USENIX Association,, pp.: -: 8. [Conectados]. Disponível:
http://dl.acm.org/citation.cfm?id= 6. 8
[] F. Liu, Y. Yarom, Q. Ge, G. Heiser e RB Lee, "canal lateral de cache de último nível
www.cybok.org
ataques são práticos ”, em Segurança e Privacidade (SP), IEEE Symposium on . IEEE,

, pp. 6–6.
[] M. Lipp, M. Schwarz, D. Gruss, T. Prescher, W. Haas, A. Fogh, J. Horn, S. Mangard,

P. Kocher, D. Genkin, Y. Yarom e M. Hamburg, “Meltdown: Reading kernel memory
do espaço do usuário ”, em Proceedings of the USENIX Conference on Security
Simpósio , ser. SEC '8. Berkeley, CA, EUA: USENIX Association, 8, pp.
-. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id=. 6
[] P. Kocher, D. Genkin, D. Gruss, W. Haas, M. Hamburg, M. Lipp, S. Mangard,

T. Prescher, M. Schwarz e Y. Yarom, "Specter attack: Exploiting speculative
execução ”, ArXiv Preprint ArXiv: 8. , 8.
[] J. Van Bulck, M. Minkin, O. Weisse, D. Genkin, B. Kasikci, F. Piessens, M. Silberstein,

TF Wenisch, Y. Yarom e R. Strackx, “Foreshadow: Extracting the keys to the Intel
Reino SGX com execução fora de ordem transitória ", nos Proceedings of the th
Simpósio da Conferência USENIX sobre Segurança , ser. SEC '8. Berkeley, CA, EUA: USENIX
Association, 8, pp. - 8. [Online]. Disponível:
http://dl.acm.org/citation.cfm?id=.
[] S. van Schaik, A. Milburn, S. Österlund, P. Frigo, G. Maisuradze, K. Razavi, H. Bos, e

C. Giuffrida, "RIDL: Rogue Inight Data Load", em S&P , maio. [Conectados]. Disponível:
https://mdsattacks.com/ les / ridl.pdf
[] B. Gras, K. Razavi, H. Bos e C. Giuffrida, “Translation vazamento de reserva: derrotando

proteções de canal lateral de cache com ataques TLB ”, em USENIX Security , 8 de agosto.
[Conectados]. Disponível: https://www.vusec.net/download/?t=papers/tlbleed_sec 8.pdf
[] E. Bosman, K. Razavi, H. Bos e C. Giuffrida, “Dedup est machina: Memory

desduplicação como um vetor de exploração avançada ”, em IEEE Security & Privacy , maio
https://www.vusec.net/download/?t=papers/dedup-est-machina_sp 6.pdf
[6] P. Larsen e A.-R. Sadeghi, Eds., The Continuing Arms Race: Code-Reuse Attacks
e defesas . Nova York, NY, EUA: Association for Computing Machinery and
Morgan e Claypool, 8.
[] A. Kurmus, R. Tartler, D. Dorneanu, B. Heinloth, V. Rothberg, A. Ruprecht,

W. Schröder-Preikschat, D. Lohmann e R. Kapitza, "Attack surface metrics and
customização automatizada do kernel do sistema operacional em tempo de compilação ”, no NDSS . The Internet Society,.
http://dblp.uni-trier.de/db/conf/ndss/ndss .html # KurmusTDHRRSLK
[8] T. Jaeger, Operating System Security , st ed. Morgan e Claypool Publishers, 8.
[] DM Ritchie e K. Thompson, "The UNIX time-sharing system," Communications of

o ACM , vol. , não. , pp. 6 - julho. [Conectados]. Disponível:
[] M. Accetta, R. Baron, W. Bolosky, D. Golub, R. Rashid, A. Tevanian e M. Young,

“Mach: A new kernel Foundation for UNIX development,” Computer Science
Departamento Carnegie Mellon University, Tech. Rep., 86.
[] JN Herder, H. Bos, B. Gras, P. Homburg e AS Tanenbaum, “MINIX: A altamente
www.cybok.org
sistema operacional confiável e de auto-reparo ”, SIGOPS Oper. Syst. Rev. , vol. , não. , pp.
8–8, 6 de julho [Online]. Disponível: http://doi.acm.org/. /.
[] DR Engler, MF Kaashoek e J. O'Toole, Jr., “Exokernel: An operating system

arquitetura para gerenciamento de recursos em nível de aplicativo ”, em Proceedings of the
Décimo Quinto Simpósio ACM sobre Princípios de Sistemas Operacionais , ser. SOSP '. Novo
York, NY, USA: ACM,, pp. - 66. [Online]. Disponível:
[] IM Leslie, D. McAuley, R. Black, T. Roscoe, P. Barham, D. Evers, R. Fairbairns e

E. Hyden, “O design e implementação de um sistema operacional para apoiar
aplicativos de multimídia distribuídos ”, IEEE J.Sel. A. Commun. , vol. , não. , pp.
8 -, 6 de setembro. [Online]. Disponível: http://dx.doi.org/. /. 6 8
[] A. Madhavapeddy e DJ Scott, “Unikernels: Rise of the virtual library running

sistema ” , Queue , vol. , não. , pp.: -:, dez. [Conectados]. Disponível:
[] AS Tanenbaum, Sistemas Operacionais: Design e Implementação . Upper Saddle

River, NJ, EUA: Prentice-Hall, Inc., 8.
[6] A. Baumann, P. Barham, P.-E. Dagand, T. Harris, R. Isaacs, S. Peter, T. Roscoe,

A. Schüpbach e A. Singhania, “The multikernel: A new OS architecture for
sistemas multicore escaláveis ”, em Proceedings of the ACM SIGOPS Nd Symposium
em Princípios de Sistemas Operacionais , ser. SOSP '. New York, NY, USA: ACM,, pp.
-. [Conectados]. Disponível: http://doi.acm.org/. / 6. 6
[] Versão Unix, “chroot”, página de manual do chroot moderno

http://man.org/linux/man-pages/man /chroot..html,.
[8] P.-H. Kamp e RNM Watson, “Jails: con ning the onipotent root,” in
Proceedings of SANE , Maastricht, The Netherlands, May.
[] D. Merkel, “Docker: contêineres linux leves para desenvolvimento consistente e

implantação ”, Linux J. , vol. , não. , Março. [Conectados]. Disponível:
http://dl.acm.org/citation.cfm?id= 6. 6
[] R. Anderson, Engenharia de Segurança: um guia para a construção de distribuição confiável

sistemas . Wiley, 8 anos.
[] Departamento de Defesa dos Estados Unidos, Departamento de Defesa, Trusted Computer

Critérios de avaliação do sistema , ser. Rainbow Series. Dept. of Defense, 8, no.
. 8-STD. [Conectados]. Disponível:
https://books.google.nl/books?id=-KBPAAAAMAAJ
[] PG Neumann, Novas Soluções para Segurança Cibernética . MIT Press,, ch. Fundamental
Princípios de segurança.
[] D. Ferraiolo e D. Kuhn, "Role-based access controls," in Proceedings of the th
Conferência Nacional Anual de Segurança de Computadores . NSA / NIST,, pp. - 6.
[] HM Levy, sistemas de computador baseados em capacidade . Digital Press, 8.
[] PA Karger e RR Schell, “Trinta anos depois: Lessons from the multics security
avaliação ”, em Proceedings of the 8th Annual Computer Security Applications
www.cybok.org
Conferência , ser. ACSAC '. Washington, DC, EUA: IEEE Computer Society,,
pp. -. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 8. 8
[6] JH Saltzer, "Proteção e controle do compartilhamento de informações em multíplices",

Comunicações da ACM , vol. , não. , pp. 88–, julho. [Conectados].
Disponível: http://doi.acm.org/. / 6. 6 6
[] RC Daley e PG Neumann, "Um sistema de arquivo de uso geral para o secundário

storage ”, em Proceedings of the November – December, 6, Fall Joint Computer
Conferência, Parte I , ser. AFIPS '6 (Outono, parte I). New York, NY, USA: ACM, 6, pp.
-. [Conectados]. Disponível: http://doi.acm.org/. / 6 8. 6
[8] S. Smalley, C. Vance e W. Salamon, “Implementing SELinux as a linux security

módulo ”, NAI Labs Report , vol. , não. , p. ,.
[] R. Spencer, S. Smalley, P. Loscocco, M. Hibler, D. Andersen e J. Lepreau, “The

pergunte a arquitetura de segurança: Suporte de sistema para diversas políticas de segurança ”, em
Proceedings of the 8th Conference on USENIX Security Symposium - Volume 8 , ser.
SSYM '. Berkeley, CA, EUA: USENIX Association,, pp. -. [Conectados].
Disponível: http://dl.acm.org/citation.cfm?id=.
[] P. Efstathopoulos, M. Krohn, S. VanDeBogart, C. Frey, D. Ziegler, E. Kohler,

D. Mazieres, F. Kaashoek e R. Morris, “Labels and event process in the
sistema operacional de amianto ”, em ACM SIGOPS Operating Systems Review , vol. ,
não. . ACM,, pp. -.
[] N. Zeldovich, S. Boyd-Wickizer, E. Kohler e D. Mazières, “Making information ow

explícito em HiStar ”, em Proceedings of theth symposium on Operating systems design
e implementação . Associação USENIX, 6, pp. 6 - 8.
[] M. Krohn, A. Yip, M. Brodsky, N. Cliffer, MF Kaashoek, E. Kohler e R. Morris,

“Controle de fluxo de informações para abstrações de sistema operacional padrão”, em ACM SIGOPS Operating
Systems Review , vol. , não. 6. ACM,, pp. -.
[] JB Dennis e EC Van Horn, “Programming semantics for multiprogrammed

computations, ” Communications of the ACM , vol. , não. , pp. -, 66.
[] SJ Mullender e AS Tanenbaum, “O projeto de um sistema distribuído baseado em capacidade

sistema operacional ”, The Computer Journal , vol. , não. , pp. 8-, 86.
[] WB Ackerman e WW Plummer, “Uma implementação de um multiprocessamento

sistema de computador ”, em Proceedings of the First ACM Symposium on Operating System
Princípios , ser. SOSP '6. New York, NY, USA: ACM, 6, pp. -. . [Conectados].
Disponível: http://doi.acm.org/. / 8 .8 666
[6] R. Fabry, "A visão do usuário sobre as capacidades", Relatório Trimestral do ICR. Instituto dos EUA de Chicago
for Computer Research, pp. páginas C-C8, 6 de novembro.
[] RM Needham e RD Walker, “O computador cambridge CAP e sua proteção

sistema ”, em Proceedings of the Sixth ACM Symposium on Operating Systems
Princípios , ser. SOSP '. New York, NY, USA: ACM,, pp. -. [Conectados].
Disponível: http://doi.acm.org/. / 8 .8 6
[8] W. Wulf, E. Cohen, W. Corwin, A. Jones, R. Levin, C. Pierson e F. Pollack, “HYDRA:

o kernel de um sistema operacional multiprocessador, ” Communications of the ACM ,
www.cybok.org
vol. , não. 6, pp. -, junho. [Conectados]. Disponível:

[] G. Klein, K. Elphinstone, G. Heiser, J. Andronick, D. Cock, P. Derrin, D. Elkaduwe,

K. Engelhardt, R. Kolanski, M. Norrish, T. Sewell, H. Tuch e S. Winwood, “seL:
verificação formal de um kernel do sistema operacional ”, em Proceedings of the ACM SIGOPS Nd
Simpósio sobre Princípios de Sistemas Operacionais , ser. SOSP '. Nova York, NY, EUA:
ACM,, pp. -. [Conectados]. Disponível:
[] RNM Watson, J. Anderson, B. Laurie e K. Kennaway, “Capsicum: Practical

capacidades para UNIX ”, em Proceedings of the USENIX Conference on Security , ser.
Segurança USENIX '. Berkeley, CA, EUA: USENIX Association,, pp. -. [Conectados].
Disponível: http://dl.acm.org/citation.cfm?id= 8. 8
[] F. Güntsch, “Logischer entwurf eines digitalen rechnergerätes mit mehreren

asynchron laufenden trommeln und automatischem schnellspeicherbetrieb Logical
Projeto de um computador digital com vários tambores rotativos assíncronos e
Operação automática de memória de alta velocidade ”, Ph.D. dissertação, Technische
Universität Berlin,.
[] T. Killburn, “One-level storage system,” IRE Transactions on Electronic Computers , vol.

EC-ll, no. , 6 de abril.
[] RC Daley e JB Dennis, "Memória virtual, processos e compartilhamento em MULTICS,"

Comunicações da ACM , vol. , não. , pp. 6–, maio de 68. [Online].
Disponível: http://doi.acm.org/. / 6. 6
[] Oracle, “M: Próxima geração SPARC.” [Conectados]. Disponível: https://www.hotchips.org/

wp-content / uploads / hc_archives / hc 6 / HC 6-dias -epub / HC 6. -8-Big-Iron-
Servers-epub / HC 6. .8 -Next_Gen_SPARC_Phillips-Oracle-FinalPub.pdf
[] ARM, “Arm a-pro le architecture developers 8: Armv8. -uma." [Conectados]. Disponível:

https://community.arm.com/developer/ip-products/processors/b/processors-ip-
blog / posts / arm-a-pro le-architecture- 8-developers-armv8 a
[6] J. Götzfried, M. Eckert, S. Schinzel e T. Müller, "Cache attack on intel SGX," em

Proceedings of the European Workshop on Systems Security , ser. EuroSec '.
New York, NY, USA: ACM,, pp.: -: 6. [Conectados]. Disponível:
[] U. Frisk, “Direct memory attack the kernel”, 6 de agosto. [Online]. Disponível:

https://archive.org/details/youtube-fXthwl6ShOg
[8] AT Markettos, C. Rothwell, BF Gutstein, A. Pearce, PG Neumann, SW Moore,

e RNM Watson, “Thunderclap: Explorando vulnerabilidades no sistema operacional
Proteção IOMMU via DMA de periféricos não confiáveis ”, em Proceedings of the
Simpósio de Segurança de Sistemas Distribuídos e de Rede (NDSS) , fevereiro.
[] A. Milburn, H. Bos e C. Giuffrida, “SafeInit: Comprehensive and Practical

Mitigation of Uninitialized Read Vulnerabilities ”, em NDSS , fevereiro. [Conectados].
Disponível: https://www.vusec.net/download/?t=papers/safeinit_ndss .pdf
[6] E. Bosman e H. Bos, "Framing signs-a return to portable shellcode," in IEEE

Simpósio sobre Segurança e Privacidade . IEEE,, pp. - 8.
www.cybok.org
[6] E. Baccelli, O. Hahm, M. Gunes, M. Wahlisch e TC Schmidt, “RIOT OS: Towards

IEEE Conference on Computer
um sistema operacional para a internet das coisas ”, em
Workshops de comunicação (INFOCOM WKSHPS),, pp. –8.
[6] Equipe PaX, “Design e implementação de PAGEEXEC,”.
[6] M. Abadi, M. Budiu, U. Erlingsson e J. Ligatti, "Control- ow Integrity", em

Proceedings of th ACM Conference on Computer and Communications Security ,
Ser. CCS '. New York, NY, USA: ACM,, pp. -. [Conectados]. Disponível:
http://doi.acm.org/. /. 6
[6] Equipe PaX, “Randomização do layout do espaço de endereço,”

https://pax.grsecurity.net/docs/aslr.txt (Patch originalmente lançado em),.
[6] E. Goktas, E. Athanasopoulos, H. Bos e G. Portokalidis, “Fora de controle:
Superando a integridade do controle ”, em IEEE Security & Privacy , dezembro. [Conectados].
Disponível: http://www.cs.vu.nl/% Eherbertb / papers / outofcontrol_sp .pdf
[66] M. Castro, M. Costa e T. Harris, “Securing software by enforcing data ow

integridade ”, nos Anais do ª Simpósio de Projeto de Sistemas Operacionais e
Implementação , ser. OSDI '6. Berkeley, CA, EUA: USENIX Association, 6, pp.
- 6. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 8. 8
[6] E. Bauman, G. Ayoade e Z. Lin, “Uma pesquisa sobre monitoramento baseado em hipervisor:
Abordagens, aplicações e evoluções ”, ACM Comput. Surv. , vol. 8, não. , pp.
: -:, agosto. [Conectados]. Disponível: http://doi.acm.org/. /
[68] R. Natan, Implementing Database Security and Auditing . Elsevier Science,.

[Conectados]. Disponível: https://books.google.nl/books?id= WIP cbtSEC
[6] J. Forristal, “NT web technology vulnerabilities,” Phrack Magazine , vol. 8, não. , Dez.
8, publicado como rain.forest.puppy.
[] E. Mykletun, M. Narasimha e G. Tsudik, “Authentication and Integrity in

bancos de dados terceirizados ”, Trans. Armazenamento , vol. , não. , pp. - 8, 6 de maio. [Online].
Disponível: http://doi.acm.org/. / 6.
[] C. Cachin, R. Guerraoui e L. Rodrigues, Introdução ao Reliable and Secure

Programação distribuída . Springer,.
[] K. Birman, Sistemas Distribuídos Confiáveis . Springer,.
[] P. Verissimo e L. Rodriques, Sistemas Distribuídos para Arquitetos de Sistemas . Kluwer,

.
[] A. Tannenbaum e M. Steen, Distributed Systems: Principles & Paradigms .

Prentice Hall,.
[] M. Steen e A. Tannenbaum, Distributed Systems . Prentice Hall,.
[6] B. Hartman, D. Flinn e K. Beznosov, Enterprise Security with EJB and CORBA .
Wiley,.
[] N. Lynch, Distributed Algorithms . Morgan Kaufmann, 6.
[8] P. Eugster, P. Felber, R. Guerraoui e A.-M. Kermarrec, “As muitas faces de

publicar / assinar, ” ACM Computing Surveys , vol. , não. , pp. -,.

www.cybok.org
[] M. Ripeanu, "Peer-to-peer architecture case: Gnutella network," in Peer-to-Peer

Computing,, pp. -.
[8] Y. Chawathe, S. Ratnasamy, L. Breslau, N. Lanham e S. Shenker, “Making

Sistemas PP tipo Gnutella escaláveis, ”em Proc. de aplicativos, tecnologias,
Arquiteturas e protocolos para comunicações de computador , ser. SIGCOMM. ACM,
, pp. - 8.
[8] I. Stoica et al., “Chord: A scalable peer-to-peer lookup service for internet
aplicações ”, In Proc. SIGCOMM , pp. - 6,.
[8] A. Rowstron e P. Druschel, "Pastry: Scalable, descentralized object location, and

roteamento para sistemas ponto a ponto em grande escala, ” Proc. Middleware , pp. -,.
[8] B. Zhao, L. Huang, J. Stribling, S. Rhea, A. Joseph e J. Kubiatowicz, “Tapestry: A

sobreposição resiliente em escala global para implantação de serviço ”, IEEE Journal on Selected Areas
em Communications , vol. , não. , pp. -, Jan.
[8] P. Maymounkov e D. Mazières, “Kademlia: A peer-to-peer information system

com base na métrica XOR, ” In Proc. IPTPS , pp. - 6,.
[8] B. Cohen, “BitTorrent protocol speci cation,” BitTorrent, Tech. Rep., 8. [Online].
Disponível: http://www.bittorrent.org/beps/bep_ .htm
[86] B. Yang e H. Garcia-Molina, "Comparing hybrid peer-to-peer systems", Proc. de

VLDB , pp. 6 -,.
[8] L. Garcés-Erice, EW Biersack, KW Ross, P. Felber e G. Urvoy-Keller, “Hierárquico

sistemas ponto a ponto ”, Parallel Processing Letters , vol. , não. , pp. 6–6,.
[88] F. Swiderski e W. Snyder, Threat Modeling . Springer,.
[8] A. Avizienis, J.-C. Laprie, B. Randell e C. Landwehr, “Conceitos básicos e
taxonomia de computação confiável e segura, ” IEEE Transactions on Dependable
Secure Computing , vol. , não. , pp. -, janeiro.
[] C. Esposito e M. Ciampi, "On security in publish / subscribe services: A survey,"

Pesquisas e tutoriais de comunicação do IEEE , vol. , não. ,.
[] A. Uzunov, “Uma pesquisa de soluções de segurança para sistemas de publicação / assinatura distribuídos,”
Computadores e Segurança , vol. 6, pp. -, 6.
[] A. Walters, D. Zage e C. Rotaru, “Uma estrutura para mitigar ataques contra

mecanismos de adaptação baseados em medição em sobreposição multicast não estruturada
redes ”, IEEE / ACM Trans on Networking , vol. 6, não. 6, pp. - 6, 8 de dezembro.
[] T. Isdal, M. Piatek e A. Krishnamurthy, “Privacy preserving PP data sharing with

Oneswarm, ” SIGCOMM ,.
[] J. Seibert, X. Sun, C. Nita-Rotaru e S. Rao, "Towards securing data delivery in

streaming ponto a ponto ”, em Proc. Sistemas e redes de comunicação
(COMSNETS),, pp. -.
[] R. Barra de Almeida, J. Miranda Natif, A. Couto da Silva e A. Borges Vieira,

“Ataques de poluição e branqueamento em um sistema de transmissão ao vivo PP: Análise e
contra-ataque ”, em IEEE Intl. Conf on Communications (ICC) , junho, pp.
6–.
www.cybok.org
[6] J. Liang, N. Naoumov e K. Ross, “The Index Poisoning Attack in PP File Sharing
Systems, ”em INFOCOM , 6, pp. -.
[] N. Naoumov e K. Ross, "Explorando sistemas PP para ataques DDoS", em ACM

Procedimentos de sistemas de informação escaláveis , 6.
[8] D. Li, J. Wu e Y. Cui, "Defending against buffer map cheating in DONet-like PP

streaming ”, IEEE Trans. Multimedia , vol. , não. , pp. -, abril.
[] JR Douceur, "The sybil attack", em Intl. Workshop sobre sistemas ponto a ponto .
Springer-Verlag,, pp. - 6.
[] A. Singh et al., "Ataques Eclipse em redes de sobreposição: Ameaças e defesas," Proc.

INFOCOM , pp. -, 6.
[] F. DePaoli e L. Mariani, "Dependability in peer-to-peer systems", IEEE Internet

Computing , vol. 8, não. , pp. –6, julho.
[] G. Gheorghe, R. Lo Cigno e A. Montresor, “Security and privacy issues in PP

streaming systems: A survey, ” Peer-to-Peer Networking and Applications , vol. , não. ,
pp. -,.
[] G. Urdaneta, G. Pierre e MV Steen, "Uma pesquisa de técnicas de segurança DHT," ACM

Comput. Surv. , vol. , não. , pp. 8: –8:,.
[] Y.-K. Kwok, "Autonomic peer-to-peer systems: Incentive and security issues," in

Autonomic Computing and Networking , Y. Zhang, LT Yang, e MK Denko, Eds.
Springer,, pp. - 6.
[] S. Androutsellis-Theotokis e D. Spinellis, “A survey of peer-to-peer content

tecnologias de distribuição ”, ACM Computing Surveys , vol. 6, não. , pp. -, dez.
.
[6] D. Wallach, "A survey of peer-to-peer security issues," in Software Security - Theories
and Systems , ser. Notas de aula em Ciência da Computação. Springer, vol. 6, pp.
-.
[] B. Hartman, D. Flinn e K. Beznosov, Mastering Web Services Security . Wiley,

.
[8] M. Reiter, “How to secure replicate servers,” ACM Trans. Linguagem de programação
Systems , pp. Vol. 6,, 86–,.
[] M. Vukolic, "Quorum systems: Applications to storage & consensus", Morgan

Claypool ,.
[] P. Viotti e M. Vukolic, “Consistency in non-transactional Distributed Storage
systems ”, ACM Computing Surveys , vol. , não. , 6.
[] P. DuBois e M. Prefácio By-Widenius, MySQL . Publicação de novos pilotos,.
[] https://www.microsoft.com/en-us/sql-server.
[] https://www.mongodb.com.
[] M. Burrows, "O serviço de bloqueio chubby para sistemas distribuídos fracamente acoplados", em
Anais do Simpósio sobre Desenho e Implementação de Sistemas Operacionais .
Associação USENIX, 6, pp. -.
www.cybok.org
[] Y. Saito e M. Shapiro, "Optimistic replication", ACM Computing Surveys (CSUR) ,

vol. , não. , pp. –8,.
[6] G. DeCandia, D. Hastorun, M. Jampani, G. Kakulapati, A. Lakshman, A. Pilchin,

S. Sivasubramanian, P. Vosshall e W. Vogels, “Dynamo: amazon's high available
armazenamento de valor-chave ”, em ACM SIGOPS operating systems review , vol. , não. 6. ACM,
, pp. -.
[] A. Lakshman e P. Malik, “Cassandra: um sistema de armazenamento estruturado descentralizado,”

ACM SIGOPS Operating Systems Review , vol. , não. , pp. -,.
[8] F. Schneider, “Implementando serviços tolerantes a falhas usando a máquina de estado

abordagem: um tutorial, ” ACM Computing Surveys , p. (),.
[] E. Brewer, “CAP: Doze anos depois: Como as regras mudaram,” IEEE Computer , pp.
-, fevereiro
[] L. Lamport, “Paxos tornado simples,” ACM SIGACT News ,.
[] T. Chandra, R. Griesemer e J. Redstone, “Paxos feito ao vivo: Uma engenharia

perspectiva ”, Proc. de ACM PODC ,.
[] D. Ongaro e J. Ousterhout, "Em busca de um algoritmo de consenso compreensível",

na Conferência Técnica Anual da USENIX (USENIX ATC) , pp. -.
[] L. Lamport, R. Shostak e M. Pease, "The byzantine generals problem," ACM

Transações em Linguagens e Sistemas de Programação , p. (), 8.
[] MJ Fischer, NA Lynch e MS Paterson, “Impossibility of Distributed

consenso com um processo defeituoso ”, Yale Univ, Dept of CS, Tech. Rep., 8.
[] R. Kotla, L. Alvisi, M. Dahlin, A. Clement e E. Wong, “Zyzzyva: Speculative

tolerância a falhas bizantinas ”, ACM SIGOPS Operating Systems Review , vol. , não. 6, pp.
- 8,.
[6] M. Castro e B. Liskov, "Practical byzantine fault tolerance and proactive recovery",
ACM Transactions on Computer Systems (TOCS) , vol. , não. , pp. 8–6,.
[] Y. Zhang, Z. Zheng e MR Lyu, "BFTCloud: A byzantine fault tolerance framework

para computação em nuvem de recursos voluntários ”, em IEEE Conf. em Cloud Computing , pp.
-.
[8] M. Castro e B. Liskov, “Practical byzantine faut tolerance,” Proc. de OSDI , pp.
-,.
[] M. Platania, D. Obenshain, T. Tantillo, Y. Amir e N. Suri, “On choose server- or

soluções do lado do cliente para BFT, ” ACM Comput. Surv. , vol. 8, não. , pp. 6: –6:, 6.
[] P. Manadhata e J. Wing, "An attack surface metric", IEEE Trans Software

Engineering , vol. , não. , pp. - 86, maio.
[] G. Hogben e M. Dekker, “Pesquisa e análise de parâmetros de segurança em SLAs de nuvem

em todo o setor público europeu ”, Rede Europeia e Segurança da Informação
Agência, tecnologia. Rep.,.
[] Comitê Técnico ISO / IEC JTC / SC, “Tecnologia da Informação - segurança

técnicas - código de prática para controles de segurança da informação baseado em iso / iec
www.cybok.org
para serviços em nuvem ”, International Organization for Standardization, Tech. Rep.

ISO / IEC:, dezembro.
[] A. Bessani et al, "Armazenamento seguro em uma nuvem de nuvens", ACM Eurosys , pp. - 6,.
[] G. Karame et al, “Reconciliando os requisitos funcionais e de segurança na multilocação

nuvens ”, Proc. de SCC ,.
[] B. Lampson, "Protection," Operating Systems Review , pp. 8, 8–,.
[6] T. Zhang, Y. Zhang e RB Lee, “Cloudradar: A real-time side-channel attack

sistema de detecção em nuvens ”, em Proceedings of Research in Attacks, Intrusions, e
Defenses - th International Symposium, RAID 6 , 6, pp. 8–.
[] E. Androulaki et al, “Hyperledger fabric: A Distributed Operating System for

bockchains permitidos ”, ACM Eurosys , 8.
[8] A. Gencer, S. Basu, I. Eyal, R. van Renesse e E. Sirer, “Descentralização em Bitcoin

and Ethereum networks ”, Financial Cryptography and Data Security Conference , 8.
[] E. Heilman, A. Kendler, A. Zohar e S. Goldberg, “Eclipse attack on Bitcoin's

rede ponto a ponto, ” USENIX Security Symposium , pp. -,.
[] L. Lessig, Código: E outras leis do ciberespaço . ReadHowYouWant.com,.
[] DF Sterne, “Sobre a palavra-chave 'política de segurança',” em Proceedings. Computador IEEE

Simpósio da Sociedade sobre Pesquisa em Segurança e Privacidade . IEEE,, pp. -.
[] B. Lampson, M. Abadi, M. Burrows e E. Wobber, “Authentication in Distributed

sistemas: Teoria e prática, ” ACM Transactions on Computer Systems , vol. ,
não. , pp. 6 -, novembro.
[] J. Park e R. Sandhu, "The UCON ABC usage control model," ACM Transactions on
Segurança da Informação e do Sistema (TISSEC) , vol. , não. , pp. 8–,.
[] RS Sandhu, D. Ferraiolo e R. Kuhn, “The NIST model for role based access
controle: Rumo a um padrão unificado ”, em Proceedings of th ACM Workshop on Role
Controle de acesso baseado em julho, pp. –6.
[] FB Schneider, "Políticas de segurança aplicáveis ", ACM Transactions on Information

Segurança de sistemas , vol. , não. , pp. -, fevereiro.
[6] MC Libicki, “Cyberspace is not a war ghting domain,” ISJLP , vol. 8, pág. ,.
[] R. Kissel, Revisão: Glossário de termos-chave de segurança da informação . Diane Publishing,

.
[8] J. Crampton e J. Sellwood, “Path conditions and principal matching: a new

abordagem ao controle de acesso ", em Anais do th ACM symposium on Access
modelos e tecnologias de controle . ACM, pp. 8-8.
[] P. Loscocco e S. Smalley, “Integrando suporte flexível para políticas de segurança no

sistema operacional Linux. ” na Conferência Técnica Anual da USENIX, FREENIX Track ,
, pp. -.
[] F. Mayer, D. Caplan e K. MacMillan, SELinux , por exemplo: usando segurança aprimorada

Linux . Pearson Education, 6.

www.cybok.org
[] S. Smalley e R. Craig, "Security Enhanced (SE) Android: Bringing exible MAC to

Android ”, em NDSS , vol. ,, pp. - 8.
[] N. Condori-Fernández e, VNL Franqueira, e R. Wieringa, “Relatório da pesquisa

de controle de acesso baseado em funções (RBAC) na prática ”, Center for Telematics e
Tecnologia da Informação, Universidade de Twente, Tech. Rep. TR-CTIT- - 6,.
[] VC Hu, D. Ferraiolo, R. Kuhn, AR Friedman, AJ Lang, MM Cogdell, A. Schnitzer,

K. Sandlin, R. Miller, K. Scarfone et al. , “Guia para controle de acesso baseado em atributo
(ABAC) de nição e considerações (rascunho), ” publicação especial do NIST , vol. 8, não.
6,.
[] L. Gong, M. Dageforde e GW Ellison, Inside Java Platform Security , nd ed.

Leitura, MA: Addison-Wesley,.
[] BA La Macchia, S. Lange, M. Lyons, R. Martin e KT Price, .NET Framework

Segurança . Boston, MA: Addison-Wesley Professional,.
[6] N. Hardy, “The confused deputy,” Operating Systems Reviews , vol. , não. , pp.
6–8, 88.
[] AP Felt, E. Ha, S. Egelman, A. Haney, E. Chin e D. Wagner, “Permissões do Android:

Atenção, compreensão e comportamento do usuário ”, em Proceedings of the Eighth
Simpósio sobre privacidade e segurança utilizáveis , ser. SOUPS '. Nova York, NY, EUA:
ACM,, pp.: -:. [Conectados]. Disponível:
[8] R. Moan e I. Kawahara, “Superdistribution: An electronic Infrastructure for the

economia do futuro ”, Transactions of Information Processing Society of Japan ,
vol. 8, não. , pp. 6 -,.
[] MC Mont, S. Pearson e P. Bramhall, "Rumo à gestão responsável de

identidade e privacidade: políticas pegajosas e serviços de rastreamento executáveis “, em th
Workshop Internacional sobre Banco de Dados e Aplicativos de Sistemas Especialistas.
Processos. IEEE,, pp. - 8.
[6] E. Brickell, J. Camenisch e L. Chen, “Direct anonymous attestation,” in

Actas da ª conferência ACM sobre segurança informática e de comunicações .
ACM,, pp. -.
[6] M. Salah, R. Philpott, S. Srinivas, J. Kemp e J. Hodges, “FIDO UAF arquitetônico

visão geral ”, FIDO Alliance, Tech. Rep., 8 de fevereiro, rascunho.
[6] E. Rissanen, “eXtensible access control markup language (XACML),” Oasis, Tech.
Rep. Xacml-. -core-spec-os-en,, versão. .
[6] E. Rissanen, H. Lockhart e T. Moses, “Xacml v. administração e delegação

versão do perfil. , ” Committee Draft , vol. ,.
[6] “Critérios de Avaliação de Sistema de Computadores Confiáveis do DoD,” Departamento de Defesa dos EUA,
8, DOD. 8-STD.
[6] Ú. Erlingsson e FB Schneider, "IRM enforcement of Java stack inspect," in

Proceedings of the IEEE Symposium on Security and Privacy , pp.
6–.
www.cybok.org
[66] TF Lunt, DE Denning, RR Schell, M. Heckman e WR Shockley, “The seaview

modelo de segurança ”, IEEE Transactions on Software engineering , vol. 6, não. 6, pp.
–6,.
[6] DFC Brewer e MJ Nash, "The Chinese Wall security policy", em Proceedings of
o 8 Simpósio IEEE sobre Segurança e Privacidade , 8, pp. 6–.
[68] MA Harrison, WL Ruzzo e JD Ullman, "Proteção em sistemas operacionais",

Comunicações da ACM , vol. , não. 8, pp. 6 -, 6 de agosto.
[6] N. Li, BN Grosof e J. Feigenbaum, "Delegação lógica: Uma abordagem baseada em lógica para
autorização distribuída ”, ACM Transactions on Information and System Security
(TISSEC) , vol. 6, não. , pp. 8–,.
[] M. Abadi, M. Burrows, BW Lampson e GD Plotkin, “A calculus for access

controle em sistemas distribuídos ”, ACM Transactions Programming Language Systems ,
vol. , não. , pp. 6–,. [Conectados]. Disponível:
https://doi.org/. / 8.
[] M. Blaze, J. Feigenbaum e J. Lacy, "Gestão de confiança descentralizada", em

Proceedings of the 6 IEEE Symposium on Security and Privacy , 6, pp. 6 -.
[] J. DeTreville, "Binder, a logic-based security language," in Proceedings IEEE

Simpósio sobre Segurança e Privacidade . IEEE,, pp. -.
[] S. Stamm, B. Sterne e G. Markham, “Reining in the web with content security

política ”, em Anais da ª conferência internacional na rede mundial de computadores .
ACM,, pp. -.
[] V. Goyal, O. Pandey, A. Sahai e B. Waters, “Attribute-based encryption for
controle de acesso refinado de dados criptografados ”, em Proceedings of the th ACM
conferência sobre segurança informática e de comunicações . ACM, 6, pp. 8-8.
[] ITU-T, “X () ISO / IEC -8: / Cor: 6, Diretório: chave pública e

estrutura de certificado de atributo [CORRIGENDO TÉCNICO], ”6.
[6] M. Wong e W. Schlitt, "Sender policy framework (SPF) para autorizar o uso de
domínios no e-mail, versão ”, RFC 8, Tech. Rep., 6.
[] L. Weichselbaum, M. Spagnuolo, S. Lekies e A. Janc, “CSP está morto, viva CSP!

sobre a insegurança das listas de permissões e o futuro da política de segurança de conteúdo ”, em
Segurança . ACM, 6, pp. 6–8.
[8] A. Van Kesteren, "Cross-origin resource sharing", WC Working Draft,

http: //www.w .org / TR / / REC-cors- 6 / ,.
[] J. Bethencourt, A. Sahai e B. Waters, “Ciphertext-policy attribute-based

criptografia, ”em Simpósio IEEE sobre segurança e privacidade (SP ') . IEEE, pp.
-.
[8] WC Garrison, A. Shull, S. Myers e AJ Lee, "Sobre a praticidade de

aplicando criptograficamente políticas de controle de acesso dinâmico na nuvem ”, em 6
Simpósio IEEE sobre Segurança e Privacidade (SP) . IEEE, 6, pp. 8–8 8.
[8] CM Ellison, B. Frantz, BW Lampson, R. Rivest, B. Thomas e T. Ylönen, “SPKI
www.cybok.org
teoria do certificado ” , RFC , vol. 6, pp. -,. [Conectados]. Disponível:

https://doi.org/. 8 / RFC 6
[8] O. Bandmann, M. Dam e BS Firozabadi, "Delegação restrita", em Proceedings

Simpósio IEEE sobre Segurança e Privacidade . IEEE,, pp. -.
[8] RM Needham e MD Schroeder, “Usando criptografia para autenticação em grande

redes de computadores ”, Communications of the ACM , vol. , não. , pp. -,
8
[8] JG Steiner, BC Neuman e JI Schiller, “Kerberos: An authentication service for

sistemas de rede aberta. ” na Conferência Winter 88 de Usenix . Citeseer, 88, pp.
-.
[8] H. Lockhart e B. Campbell, “Security assertion markup language (SAML) v.

visão geral técnica ”, OASIS Committee Draft , vol. , pp. - 6, 8.
[86] D. Hardt, “The OAuth. estrutura de autorização ”, solicitações de comentários na Internet,

Editor RFC, RFC 6, outubro. [Conectados]. Disponível:
http://www.rfc-editor.org/rfc/rfc6 .txt
[8] G. Lowe, "Quebrando e corrigindo o protocolo de chave pública needham-schroeder usando fdr,"
em Workshop Internacional de Ferramentas e Algoritmos para Construção e Análise
de sistemas . Springer, 6, pp. - 66.
[88] PA Grassi, ME Garcia e JL Fenton, "Diretrizes de identidade digital", especial do NIST

publicação , vol. 8, pp. 6 -,.
[8] SK Modi, SJ Elliott, J. Whetsone e H. Kim, “Impact of age groups on ngerprint

desempenho de reconhecimento, ”em Workshop IEEE sobre identificação automática
Advanced Technologies , junho, pp. -.
[] L. Ghiani, D. Yambay, V. Mura, S. Tocco, GL Marcialis, F. Roli e S. Schuckcrs,

“Competição de detecção de vitalidade Livdet ngerprint,” em Internacional
Conferência sobre Biometria (ICB) . IEEE,, pp. –6.
[] RD Labati, A. Genovese, E. Muñoz, V. Piuri, F. Scotti e G. Sforza, “Biometric

reconhecimento no controle automatizado de fronteiras: uma pesquisa ”, ACM Computing Surveys (CSUR) ,
vol. , não. , p. , 6.
[] LM Mayron, “Biometric authentication on mobile devices.” Segurança e privacidade IEEE ,

vol. , não. , pp. -,.
[] MS Obaidat, I. Traore, e I. Woungang, Biometric-Based Physical and

Sistemas de segurança cibernética . Springer,.
[] R. Joyce e G. Gupta, "Identity authentication based on keystroke latencies",

Comunicações da ACM , vol. , não. , pp. 68–6,.
[] F. Monrose e AD Rubin, "Keystroke dynamics as a biometric for authentication,"

Future Generation Computer Systems , vol. 6, não. , pp. -,.
[6] M. Ammar, Y. Yoshida e T. Fukumura, “Uma nova abordagem eficaz para on-line
verificação de assinaturas usando recursos de pressão ”, IEEE Transactions on Systems,
Man and Cybernetics , vol. SMC-6, no. , pp. -, 86.
www.cybok.org
[] A. Armando, R. Carbone, L. Compagna, J. Cuellar e L. Tobarra, “Análise formal de

SAML. logon único do navegador da web: quebrando o logon único baseado em SAML para
Google apps, ”em Proceedings of the 6th ACM workshop on Formal Methods in
engenharia de segurança . ACM, 8, pp. -.
[8] N. Sakimura, J. Bradley, M. Jones, B. de Medeiros e C. Mortimore, “OpenID

conecte o núcleo. incorporando conjunto de erratas, ” The OpenID Foundation, speci cation ,
.
[] W. Li e CJ Mitchell, “Security issues in OAuth. Implementações de SSO, ”em

Conferência Internacional sobre Segurança da Informação . Springer,, pp. -.
[] D. Fett, R. Küsters e G. Schmitz, “Uma análise de segurança formal abrangente de

OAuth. , ”Em Proceedings of the 6 ACM SIGSAC Conference on Computer e
Segurança das comunicações . ACM, 6, pp. -.
[] R. Seggelmann, M. Tüxen e MG Williams, "Segurança da camada de transporte (TLS) e

extensão de pulsação de segurança da camada de transporte de datagrama (DTLS) ”, Internet Engineering
Força Tarefa (IETF), Tech. Rep. RFC 6,. [Conectados]. Disponível:
https://doi.org/. 8 / RFC6
[] TY Woo e SS Lam, “Verificando protocolos de autenticação: Metodologia e

exemplo, ”em Conferência Internacional sobre Protocolos de Rede . IEEE, pp.
6–.
[] G. Lowe, "A hierarchy of authentication speci cations", em Proceedings th

Workshop de fundamentos de segurança de computador . IEEE,, pp. -.
[] S. Meier, B. Schmidt, C. Cremers e D. Basin, "The TAMARIN prover for the

análise simbólica de protocolos de segurança ”, na International Conference on Computer
Verificação auxiliada . Springer, pp. 6 6–.
[] B. Blanchet, “Modelagem e verificação de protocolos de segurança com o cálculo pi aplicado

e ProVerif, ” Foundations and Trends ® in Privacy and Security , vol. , não. -, pp.
-, 6.
[6] M. Abadi, “Two facets of authentication,” in Proceedings. o computador IEEE

Workshop de fundamentos de segurança (Cat. Nº 8 TB 8) . IEEE, 8, pp. -.
[] M. Bishop, Segurança informática: Arte e ciência. . Westford, MA: Addison

Wesley Professional,.
[8] W. Stallings, L. Brown, MD Bauer e AK Bhattacharjee, Segurança do computador:

princípios e prática . Upper Saddle River, NJ, EUA: Pearson Education,.
[] B. Schneier e J. Kelsey, "Secure audit logs to support computer forensics", ACM

Transactionsoin Information and System Security (TISSEC) , vol. , não. , pp. - 6,
.
[] D. Ma e G. Tsudik, "A new approach to secure logging," ACM Transactions on

Armazenamento (TOS) , vol. , não. , p. ,.
[] R. Sommer e V. Paxson, “Outside the closed world: On using machine learning for
detecção de intrusão de rede, ”em Simpósio IEEE sobre segurança e privacidade . IEEE,
, pp. - 6.
www.cybok.org
[] S. Eskandarian, E. Messeri, J. Bonneau e D. Boneh, “Certi cate Transparency with

privacidade ”, Proceedings on Privacy Enhancing Technologies , vol. , não. , pp.
-,.
[] S. Sinclair e SW Smith, “O que há de errado com o controle de acesso no mundo real?”

IEEE Security & Privacy , vol. 8, não. , pp. -,.
[] L. Szekeres, M. Payer, T. Wei e D. Song, "Sok: Eternal war in memory", em

Proceedings of the IEEE Symposium on Security and Privacy , ser. SP '.
Washington, DC, EUA: IEEE Computer Society,, pp. 8–6. [Conectados]. Disponível:
http://dx.doi.org/. / SP. .
[] W. Du, Computer Security: A hands-on Approach ,.
[6] B. Chess e J. West, Secure Programming with Static Analysis , st ed.

Addison-Wesley Professional,.
[] M. Dowd, J. McDonald e J. Schuh, The Art of Software Security Assessment:

Identificação e prevenção de vulnerabilidades de software . Addison-Wesley Professional,
6
[8] B. Goetz, J. Bloch, J. Bowbeer, D. Lea, D. Holmes e T. Peierls, Java Concurrency in

Pratique . Addison-Wesley Longman, Amsterdam, 6.
[] M. Egele, D. Brumley, Y. Fratantonio e C. Kruegel, "Um estudo empírico de

uso incorreto de criptografia em aplicativos Android ”, em Proceedings of the ACM
SIGSAC Conference on Computer & Communications Security , ser. CCS '. ACM,
, pp. –8.
[] P. Kocher, “Ataques temporais em implementações de Dif e-Hellman, RSA, DSS e

outros sistemas ”, em Proceedings of the 6th Annual International Cryptology
Conference on Advances in Cryptology , ser. CRYPTO '6. Springer-Verlag, 6, pp.
-.
[] M. Abadi, "Proteção em traduções de linguagem de programação", em Proceedings of the

th International Colloquium on Automata, Languages and Programming , ser. ICALP
'8. London, UK, UK: Springer-Verlag, 8, pp. 868-88.
[] BC Pierce, Types and Programming Languages , st ed. The MIT Press,.
[] L. Cardelli, "Type systems", em The Computer Science and Engineering Handbook ,

, pp. 8–6.
[] Software Engineering Institute - Carnegie Mellon University, “SEI CERT C coding

padrão: Regras para desenvolver sistemas seguros, confiáveis e protegidos, ”6.
[] IEEE Computer Society, P. Bourque e RE Fairley, Guide to the Software

Corpo de conhecimento em engenharia (SWEBOK ®) , ed. Los Alamitos, CA, EUA: IEEE
Computer Society Press,.
[6] “SPARK,” http: //www.spark- .org / about, acessado: 8- -.
[] H. Hosoya, J. Vouillon e BC Pierce, “Regular expression types for xml,” ACM

Trans. Programa. Lang. Syst. , vol. , não. , pp. 6–, janeiro.
[8] A. Sabelfeld e AC Myers, “Language-based information- ow security,” IEEE J.Sel.

A. Commun. , vol. , não. , pp. -, 6 de setembro.
www.cybok.org
[] MS Miller, “Composição robusta: Rumo a uma abordagem unificada para controle de acesso e
controle de simultaneidade ”, Ph.D. dissertação, Johns Hopkins University, Baltimore,
Maryland, EUA, 6 de maio.
[] F. Long, D. Mohindra, RC Seacord, DF Sutherland, e D. Svoboda, The CERT

Oracle Secure Coding Standard para Java , st ed. Addison-Wesley Professional,.
[] MISRA Ltd, MISRA-C: Diretrizes para o uso da linguagem C em Critical

Systems , Motor Industry Software Reliability Association Std., Outubro. [Conectados].
Disponível: www.misra.org.uk
[] EJ Schwartz, T. Avgerinos e D. Brumley, “Tudo que você sempre quis saber sobre
análise dinâmica de manchas e execução simbólica direta (mas pode ter ficado com medo
to ask), ”em Proceedings of the IEEE Symposium on Security and Privacy , ser. SP
'. Washington, DC, EUA: IEEE Computer Society,, pp. -.
[] JC Reynolds, "Separation logic: A logic for shared mutable data structure," in

Proceedings of the Annual IEEE Symposium on Logic in Computer Science , ser.
LICS '. Washington, DC, EUA: IEEE Computer Society,, pp. -.
[] B. Livshits, M. Sridharan, Y. Smaragdakis, O. Lhoták, JN Amaral, B.-YE Chang, SZ

Guyer, UP Khedker, A. Møller e D. Vardoulakis, “Em defesa da robustez: A
manifesto ”, Commun. ACM , vol. 8, não. , pp. - 6 de janeiro.
[] P. Larsen, A. Homescu, S. Brunthaler e M. Franz, “SoK: Automated software

diversidade ”, em Proceedings of the IEEE Symposium on Security and Privacy , ser.
SP '. Washington, DC, EUA: IEEE Computer Society,, pp. 6–.
[6] P. Holzinger, S. Triller, A. Bartel e E. Bodden, “Um estudo aprofundado de mais de dez
anos de exploração java ”, nos Anais da 6 ACM SIGSAC Conference on
Segurança de computadores e comunicações , ser. CCS '6, 6, pp. -.
[] B. Parno, JM McCune e A. Perrig, “Bootstrapping trust in commodity

computadores ”, em Proceedings of the IEEE Symposium on Security and Privacy , ser.
SP '. Washington, DC, EUA: IEEE Computer Society,, pp. -.
[8] J. Viega e G. McGraw, Building Secure Software: How to Avoid Security Problems
o caminho certo . Addison-Wesley Professional,.
[] M. Howard, D. LeBlanc e J. Viega, Pecados Capitais da Segurança do Software:

Falhas de programação e como corrigi-las , st ed. Nova York, NY, EUA: McGraw-Hill,
Inc.,.
[] C. Collberg e J. Nagra, Surreptitious Software: Ofuscation, Watermarking, and

Adulteração de proteção de software , st ed. Addison-Wesley Professional,
.
[] Google, “Manage ash in your users 'Chrome browsers,”. [Conectados]. Disponível:

https://support.google.com/chrome/a/answer/ 8 8
[] OWASP, “OWASP cheat sheet series,”. [Conectados]. Disponível:

https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series
[] R. Fielding, J. Gettys, J. Mogul, H. Frystyk, L. Masinter, P. Leach e T. Berners-Lee,

“Protocolo de transferência de hipertexto - HTTP /. , ”Solicitações de comentários na Internet, rede
www.cybok.org
Grupo de Trabalho, RFC 6 6, junho. [Conectados]. Disponível:

https://www.ietf.org/rfc/rfc 6 6.txt
[] Y. Acar, M. Backes, S. Bugiel, S. Fahl, P. McDaniel e M. Smith, “SoK: Lessons

aprendi com a pesquisa de segurança do Android para plataformas de software aplicadas ”, em 6 IEEE
Simpósio sobre Segurança e Privacidade (SP) , 6 de maio, pp. -.
[] T. Berners-Lee, L. Masinter e M. McCahill, “Uniform Resource Locators (URL),”

Solicitações de comentários na Internet, Grupo de Trabalho de Rede, RFC 8, dezembro
. [Conectados]. Disponível: https://www.ietf.org/rfc/rfc 8.txt
[6] WC, “HTML. , ”Dez. [Conectados]. Disponível: https://www.w.org/TR/html /
[] “Especificação de linguagem Ecmascript,” agosto. [Conectados]. Disponível:

https: // tc .es / ecma 6 /
[8] AP Felt, E. Chin, S. Hanna, D. Song e D. Wagner, “Permissões do Android

desmistificado ”, em Proceedings of the 8th ACM Conference on Computer and
Segurança das comunicações , ser. CCS '. New York, NY, USA: ACM,, pp.
6 –6 8. [Online]. Disponível: http://doi.acm.org/. / 6. 6
[] E. Rescorla, “HTTP over TLS,” Internet Requests for Comments, RFC Editor, RFC
8 8 de maio. [Conectados]. Disponível: http://www.rfc-editor.org/rfc/rfc 8 8.txt
[] J. Bonneau, C. Herley, PC v. Oorschot e F. Stajano, “The quest to replace
senhas: uma estrutura para avaliação comparativa da autenticação da web
esquemas ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE, maio. [Conectados].
Disponível: https:
//www.microsoft.com/en-us/research/publication/the-quest-to-replace-passwords-
uma estrutura para avaliação comparativa de esquemas de autenticação da web /
[] E. Enge, “Mobile VS. Uso da área de trabalho em, ”. [Conectados]. Disponível: https:
//www.per cientdigital.com/insights/our-research/mobile-vs-desktop-usage-study
[] M. Oltrogge, E. Derr, C. Stransky, Y. Acar, S. Fahl, C. Rossow, G. Pellegrino, S. Bugiel,

e M. Backes, “A ascensão do desenvolvedor cidadão: Avaliando o impacto de segurança de
geradores de aplicativos online, ”em 8 Simpósio IEEE sobre Segurança e Privacidade, SP 8,
Proceedings, - May 8, San Francisco, California, USA , May 8, pp. 6–6.
[Conectados]. Disponível: https://doi.org/. / SP. 8
[] M. Zalewski, The Tangled Web: A Guide to Securing Modern Web Applications , st ed.
São Francisco, CA, EUA: No Starch Press,.
[] M. Belshe, R. Peon e M. Thomson, “Hypertext Transfer Protocol Version

(HTTP /), ”Solicitações de comentários da Internet, Força-Tarefa de Engenharia da Internet (IETF),
RFC, maio. [Conectados]. Disponível: https://tools.ietf.org/html/rfc
[] I. Fette e A. Melnikov, "The websocket protocol," Internet Requests for Comments,

Editor RFC, RFC 6, dezembro. [Conectados]. Disponível:
http://www.rfc-editor.org/rfc/rfc6 .txt
[6] E. Leung, “Aprenda a estilizar HTML usando CSS,” agosto. [Conectados]. Disponível:
https://developer.mozilla.org/en-US/docs/Learn/CSS
[] Fundação Node.js, “Node.js,”. [Conectados]. Disponível: https://nodejs.org/en/
[8] “Webassembly. , ”. [Conectados]. Disponível: https://webassembly.org/

www.cybok.org
[] Google, “Android Developer Documentation - WebView,”. [Conectados]. Disponível:

https://developer.android.com/reference/android/webkit/WebView
[6] P. Mutchler, A. Doupé, J. Mitchell, C. Kruegel e G. Vigna, "A Large-Scale Study of

Mobile Web App Security, ”em Proceedings of the Mobile Security Technologies
Workshop (MoST) , maio.
[6] M. Georgiev, S. Jana e V. Shmatikov, “Breaking and xing origin-based access

controle em estruturas híbridas de aplicativos web / móveis ” , simpósio NDSS , vol. ,
pp. -,.
[6] ——, "Repensando a segurança de aplicativos de sistema baseados na web", em Proceedings of the
ª Conferência Internacional sobre a World Wide Web , ser. WWW '. República e
Cantão de Genebra, Suíça: Direção de conferências internacionais na World Wide Web
Committee,, pp. 66-6. [Online]. Disponível:
https://doi.org/. / 6. 66
[6] H. Lockheimer, “Android e segurança,”. [Conectados]. Disponível:

http://googlemobile.blogspot.com/ / /android-and-security.html
[6] Apple Inc., “Diretrizes para análise da App Store,”. [Conectados]. Disponível:
https://developer.apple.com/app-store/review/guidelines/
[6] Desenvolvedores Android, “Assine seu aplicativo | Desenvolvedores Android, ”. [Conectados]. Disponível:
https://developer.android.com/studio/publish/app-signing
[66] DC Nguyen, E. Derr, M. Backes e S. Bugiel, “Short text, large effect: Measuring
o impacto das avaliações dos usuários na segurança e privacidade de aplicativos Android ”, em Proceedings of the
Simpósio IEEE sobre Segurança e Privacidade, maio . IEEE, maio. [Conectados].
Disponível: https://publications.cispa.saarland/ 8 /
[6] A. Barth, C. Reis, C. Jackson e equipe do Google Chrome, “The security architecture
do navegador chromium ”, 8 de janeiro. [Online]. Disponível:
http://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf
[68] HJ Wang, C. Grier, A. Moshchuk, ST King, P. Choudhury e H. Venter, "The

construção de sistema operacional multi-principal do navegador da web Gazelle ", em Proceedings of the
8ª Conferência sobre o Simpósio de Segurança USENIX , ser. SSYM '. Berkeley, CA, EUA:
Associação USENIX,, pp. -. [Conectados]. Disponível:
http://dl.acm.org/citation.cfm?id= 8 68. 8
[6] Google, “Chrome sandbox,”. [Conectados]. Disponível: https:

//chromium.googlesource.com/chromium/src/+/master/docs/design/sandbox.md
[] ——, “sandbox do aplicativo Android,”. [Conectados]. Disponível:

https://source.android.com/security/app-sandbox
[] A. Barth, “The web origin concept,” Internet Requests for Comments, RFC Editor, RFC
6 de dezembro. [Conectados]. Disponível: http://www.rfc-editor.org/rfc/rfc6 .txt
[] Projetos TC, "Documento de Design de Isolamento de Site". [Conectados]. Disponível:

https://www.chromium.org/developers/design-documents/site-isolation
[] M. West, “Atribuição inicial para o registro de diretivas de política de segurança de conteúdo,”

Solicitações de comentários na Internet, Google, Inc., RFC 6, 6 de janeiro.
www.cybok.org
[] ME Acer, E. Stark, AP Felt, S. Fahl, R. Bhargava, B. Dev, M. Braithwaite, R. Sleevi,

e P. Tabriz, “Where the wild warnings are: Root cause of Chrome HTTPS
erros de certificado ”, em Proceedings of the ACM SIGSAC Conference on Computer
e Segurança das Comunicações , ser. CCS '. New York, NY, USA: ACM,, pp.
-. [Conectados]. Disponível: http://doi.acm.org/. / 6.
[] AP Felt, A. Ainslie, RW Reeder, S. Consolvo, S. Thyagaraja, A. Bettes, H. Harris,

e J. Grimes, "Improving SSL Warnings: Comprehension and Adherence", em
Conferência sobre Fatores Humanos e Sistemas Computacionais ,.
[6] J. Hodges, C. Jackson e A. Barth, "HTTP Strict Transport Security (HSTS)",

Solicitações de comentários na Internet, Editor RFC, RFC 6, novembro. [Conectados].
Disponível: http://www.rfc-editor.org/rfc/rfc6 .txt
[] “HTTPS em todos os lugares”, 8 de março. [Online]. Disponível:

https://www.eff.org/https-everywhere
[8] Acesso, “O elo mais fraco da cadeia: Vulnerabilidades na autoridade de certificação SSL
sistema e o que deve ser feito sobre eles ”. [Conectados]. Disponível:
https://www.accessnow.org/cms/assets/uploads/archive/docs/
Weakest_Link_in_the_Chain.pdf
[] Google - Equipe de Transparência de Certi cados, “Transparência de certificados,”. [Conectados].

Disponível: https: //www.certi cate-transparency.org/
[8] J. Reschke, "The 'Basic' HTTP Authentication Scheme," Internet Requests for
Comentários, Internet Engineering Task Force (IETF), RFC 6, setembro.
[Conectados]. Disponível: https://tools.ietf.org/html/rfc 6
[8] M. Harbach, E. Von Zezschwitz, A. Fichtner, A. De Luca e M. Smith, “It's a hard

vida de bloqueio: um estudo de campo do comportamento de (des) bloqueio e percepção de risco do smartphone ”, em
Anais da Décima Conferência USENIX sobre Privacidade e Segurança Utilizáveis , ser.
SOUPS '. Berkeley, CA, EUA: USENIX Association,, pp. -. [Conectados].
Disponível: http://dl.acm.org/citation.cfm?id= 8 8. 8
[8] A. De Luca, E. von Zezschwitz, NDH Nguyen, M.-E. Maurer, E. Rubegni, MP

Scipioni e M. Langheinrich, "Back-of-device authentication on smartphones", em
Proceedings of the SIGCHI Conference on Human Factors in Computing Systems , ser.
CHI '. New York, NY, USA: ACM,, pp. 8 - 8. [Online]. Disponível:
[8] A. Barth, "mecanismo de gerenciamento de estado Http," Internet Requests for Comments,
Editor RFC, RFC 6 6, abril. [Conectados]. Disponível:
http://www.rfc-editor.org/rfc/rfc6 6.txt
[8] S. Calzavara, R. Focardi, M. Squarcina e M. Tempesta, “Surviving the web: A

jornada para a segurança da sessão da web ”, ACM Comput. Surv. , vol. , não. , pp.: -:,
Março. [Conectados]. Disponível: http://doi.acm.org/. / 8
[8] Instituto Nacional de Padrões e Tecnologia (NIST), EUA, “NIST Special

Publicação 8 -6 B - Diretrizes de identidade digital, ”. [Conectados]. Disponível:
https://pages.nist.gov/8 -6 - / sp8 -6 b.html
[86] National Cyber Security Center (NCSC), Reino Unido, “Administração de senha para o sistema
www.cybok.org
os Proprietários," . [Conectados]. Disponível:

https://www.ncsc.gov.uk/collection/passwords/updating-your-approach
[8] PG Inglesant e MA Sasse, “O verdadeiro custo das políticas de senha inutilizáveis:

Uso de senha na natureza ”, nos Anais da Conferência SIGCHI sobre Humanos
Fatores em Sistemas Computacionais , ser. CHI '. New York, NY, USA: ACM,, pp.
8 -. [Conectados]. Disponível: http://doi.acm.org/. / 6. 8
[88] S. Komanduri, R. Shay, PG Kelley, ML Mazurek, L. Bauer, N. Christin, LF Cranor,

e S. Egelman, “Of passwords and people: Measuring the effect of
políticas de composição de senha ”, em Proceedings of the SIGCHI Conference on Human
- 6. [Conectados]. Disponível: http://doi.acm.org/. / 8.
[8] B. Ur, F. Al eri, M. Aung, L. Bauer, N. Christin, J. Colnago, LF Cranor, H. Dixon,

P. Emami Naeini, H. Habib, N. Johnson e W. Melicher, “Design and Evaluation of a
medidor de senha baseado em dados ”, em Proceedings of the CHI Conference on Human
- 86. [Online]. Disponível: http://doi.acm.org/. /. 6
[] S. Egelman, A. Sotirakopoulos, I. Muslukhov, K. Beznosov e C. Herley, “Does my

senha sobe para onze ?: O impacto dos medidores de senha na seleção de senha, ”
em Proceedings of the SIGCHI Conference on Human Factors in Computing Systems ,
Ser. CHI '. New York, NY, USA: ACM,, pp. - 88. [Online]. Disponível:
[] SG Lyastani, M. Schilling, S. Fahl, M. Backes e S. Bugiel, “Better managed than

memorizado? Estudar o impacto dos gerentes na força e na reutilização de senhas ”, em
º Simpósio de Segurança USENIX (USENIX Security 8) . Baltimore, MD: USENIX
Association, 8 de agosto, pp. -. [Conectados]. Disponível:
https://www.usenix.org/conference/usenixsecurity 8 / presentation / lyastani
[] M. View, J. Rydell, M. Pei e S. Machani, “TOTP: Time-Based One-Time Password

Algoritmo ”, RFC 6 8, maio. [Conectados]. Disponível:
https://rfc-editor.org/rfc/rfc6 8.txt
[] D. Balfanz, A. Czeskis, J. Hodges, JJC Jones, MB Jones, A. Kumar, A. Liao,

R. Lindemann e E. Lundberg, “Web authentication: An API for accessing public
credenciais principais ”, https: //www.w .org / TR / webauthn- /,.
[] D. Hardt, “The OAuth. Estrutura de autorização, ”Solicitações de Internet para

Comentários, Internet Engineering Task Force (IETF), RFC 6, outubro. [Conectados].
Disponível: https://tools.ietf.org/html/rfc6
[] N. Sakimura, J. Bradley, M. Jones, B. de Medeiros e C. Mortimore, “Openid

conecte o núcleo. , ”. [Conectados]. Disponível:
https://openid.net/specs/openid-connect-core- _.html
[6] W. Li e CJ Mitchell, “Analisando a segurança da implementação do Google de

OpenID connect ”, em Proceedings of the International Conference on Detection of
Intrusões e malware e avaliação de vulnerabilidade - Volume , ser. DIMVA
6. Berlin, Heidelberg: Springer-Verlag, 6, pp. - 6. [Online]. Disponível:
https://doi.org/. / 8- - - 66 - _ 8
www.cybok.org
[] S. Fahl, S. Dechand, H. Perl, F. Fischer, J. Smrcek e M. Smith, “Ei, NSA: Fique

longe do meu mercado! Futuros mercados de aplicativos de promoção contra invasores poderosos. ” dentro
ACM Conference on Computer and Communications Security , G.-J. Ahn, M. Yung e
N. Li, Eds. ACM,, pp. -. [Conectados]. Disponível:
http://dblp.uni-trier.de/db/conf/ccs/ccs .html # FahlDPFSS
[8] E. Derr, S. Bugiel, S. Fahl, Y. Acar e M. Backes, “Keep me updated: An empírico
estudo de capacidade de atualização de biblioteca de terceiros no Android ”, em Proceedings of the ACM
SIGSAC Conference on Computer and Communications Security , ser. CCS '. Novo
York, NY, USA: ACM,, pp. 8 -. [Conectados]. Disponível:
[] T. Lauinger, A. Chaabane, S. Arshad, W. Robertson, C. Wilson e E. Kirda, “Thou

não dependerá de mim: analisando o uso de bibliotecas JavaScript desatualizadas no
web, ”em º Simpósio Anual de Segurança de Sistemas Distribuídos e Redes, NDSS
, San Diego, Califórnia, EUA, 6 de fevereiro - março de ,. [Conectados]. Disponível:
https://www.ndss-symposium.org/ndss / ndss- -programme / tu-deverás-não-
depend-me-analysis-use-outdated-javascript-libraries-web /
[] P. Kumaraguru, S. Sheng, A. Acquisti, LF Cranor e J. Hong, “Teaching Johnny not

cair no phishing ”, ACM Trans. Internet Technol. , vol. , não. , pp.: -:, junho.
[Conectados]. Disponível: http://doi.acm.org/. /. 6
[] P. Kumaraguru, J. Cranshaw, A. Acquisti, L. Cranor, J. Hong, MA Blair e T. Pham,

“School of phish: A real-world assessment of anti-phishing training,” in Proceedings of
o º Simpósio sobre Privacidade e Segurança Utilizáveis , ser. SOUPS '. Nova York, NY,
EUA: ACM,, pp.: -:. [Conectados]. Disponível:
[] Z. Dou, I. Khalil, A. Khreishah, A. Al-Fuqaha e M. Guizani, “SoK: A sistemática

revisão da detecção de phishing baseada em software ”, IEEE Communications Surveys
Tutoriais , vol. , não. , pp. - 8, Quarto Quarto.
[] F. Callegati e M. Ramilli, “Amedrontado por links,” IEEE Security Privacy , vol. , não. 6, pp.
- 6 de novembro
[] T. Espiner, “Adobe aborda o ash player 'clickjacking' aw”, 8 de outubro. [Online].

Disponível:
https://www.cnet.com/news/adobe-addresses- ash-player-clickjacking- aw /
[] G. Maone, “NoScript - Bloqueador de JavaScript / Java / Flash para uma experiência mais segura do Firefox! -
o que é? - InformAction, ”. [Conectados]. Disponível: https://noscript.net/
[6] S. Tang, N. Dautenhahn e ST King, “Fortifying web-based applications

automaticamente ”, em Proceedings of the 8th ACM Conference on Computer e
Segurança das comunicações , ser. CCS '. New York, NY, USA: ACM,, pp. 6–6 6.
[] Mozilla e colaboradores individuais, “API de armazenamento da Web,”. [Conectados]. Disponível:

https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
[8] ——, “API IndexedDB,”. [Conectados]. Disponível:

https://developer.mozilla.org/en-US/docs/Web/API/IndexedDB_API
[] J. Manico, D. Righetto e P. Ionescu, “JSON web token for Java. Trapaça OWASP
www.cybok.org
folha série, ”. [Conectados]. Disponível: https://cheatsheetseries.owasp.org/

cheatsheets / JSON_Web_Token_Cheat_Sheet_for_Java.html
[] Mozilla e colaboradores individuais, “Window.sessionStorage,”. [Conectados].

Disponível:
https://developer.mozilla.org/en-US/docs/Web/API/Window/sessionStorage
[] AJ Aviv, K. Gibson, E. Mossop, M. Blaze e JM Smith, “Smudge ataca

telas sensíveis ao toque do smartphone ”, em Anais da ª Conferência USENIX sobre
Offensive Technologies , ser. WOOT '. Berkeley, CA, EUA: USENIX Association,
, pp. -. [Conectados]. Disponível:
http://dl.acm.org/citation.cfm?id=.
[] M. Eiband, M. Khamis, E. von Zezschwitz, H. Hussmann e F. Alt, “Understanding

ombro sur ng in the wild: Stories from users and observers, ”in Proceedings of the
CHI Conference on Human Factors in Computing Systems , ser. CHI '. Novo
York, NY, EUA: ACM,, pp. - 6. [Conectados]. Disponível:
http://doi.acm.org/. /. 6 6
[] E. Gabrilovich e A. Gontmakher, "The homograph attack", Communications of the

ACM , vol. , não. , pp. 8–, fevereiro. [Conectados]. Disponível:
[] F. Quinkert, T. Lauinger, WK Robertson, E. Kirda e T. Holz, “Não é o que parece
como: ataques de medição e registos defensivos de domínios homográficos “, em th
Conferência IEEE sobre Comunicações e Segurança de Rede, CNS, Washington,
DC, EUA, junho - ,,, pp. - 6. [Conectados]. Disponível:
https://doi.org/. / CNS. 0,88 6
[] S. Aonzo, A. Merlo, G. Tavella e Y. Fratantonio, “Ataques de phishing em modernos

Android, ”em Proceedings of the 8 ACM SIGSAC Conference on Computer e
Segurança das comunicações , ser. CCS '8. New York, NY, USA: ACM, 8, pp.
88–8. [Conectados]. Disponível: http://doi.acm.org/. /. 8
[6] Y. Fratantonio, C. Qian, S. Chung e W. Lee, “Manto e adaga: De dois

permissões para completar o controle do ciclo de feedback da IU ”, em Proceedings of the IEEE
Simpósio sobre Segurança e Privacidade (Oakland) , San Jose, CA, maio.
[] J. Reardon, Á. Feal, P. Wijesekera, AEB On, N. Vallina-Rodriguez e S. Egelman,

“Maneiras de vazar seus dados: uma exploração de como os aplicativos evitam o Android
sistema de permissões ”, no 8º Simpósio de Segurança USENIX (Segurança USENIX) .
Santa Clara, CA: USENIX Association, agosto, pp. 6–6. [Conectados]. Disponível:
https://www.usenix.org/conference/usenixsecurity / presentation / reardon
[8] OWASP, “Top - A -Injection,”. [Conectados]. Disponível:

https://www.owasp.org/index.php/Top_ - _A -Injection
[] ——, “Blind SQL Injection,”. [Conectados]. Disponível:

https://www.owasp.org/index.php/Blind_SQL_Injection
[] Oracle Corporation, “Prepared SQL Statement Syntax,”. [Conectados]. Disponível:

https://dev.mysql.com/doc/refman/8. /en/sql-syntax-prepared-statements.html
[] Grupo de desenvolvimento global do PostgreSQL, “PostgreSQL: Documentação::
www.cybok.org
PREPARE, ”. [Conectados]. Disponível:

https://www.postgresql.org/docs/current/sql-prepare.html
[] DHS e CISA, “CVE - vulnerabilidades e exposições comuns,”. [Conectados].

Disponível: https://cve.mitre.org/
[] J. Reschke, “Use of the Content-Disposition Header Field in the Hypertext Transfer

Protocol (HTTP), ”Internet Request for Comments, Internet Engineering Task Force
(IETF), RFC, junho. [Conectados]. Disponível: https://tools.ietf.org/html/rfc6 66
[] “Cross-site scripting”, abril. [Conectados]. Disponível:

https://developer.mozilla.org/en-US/docs/Glossary/Cross-site_scripting
[] A. Barth, C. Jackson e JC Mitchell, “Robust defenses for cross-site request

falsificação ”, nos Anais da ª Conferência ACM sobre Computador e
Segurança das comunicações , ser. CCS '8. New York, NY, USA: ACM, 8, pp. –88.
[Conectados]. Disponível: http://doi.acm.org/. /. 8
[6] I. Sinopse, “The heartbleed bug,” http://heartbleed.com/,.
[] Z. Durumeric, F. Li, J. Kasten, J. Amann, J. Beekman, M. Payer, N. Weaver, D. Adrian,

V. Paxson, M. Bailey e JA Halderman, "The matter of Heartbleed", em
Proceedings of the Conference on Internet Measurement Conference , ser. IMC
'. New York, NY, USA: ACM,, pp. - 88. [Online]. Disponível:
[8] Z. Su e G. Wassermann, “A essência dos ataques de injeção de comando na web

aplicações ”, em Conference Record of the rd ACM SIGPLAN-SIGACT Symposium
sobre Princípios de Linguagens de Programação , ser. POPL '6. New York, NY, USA: ACM,
6, pp. - 8. [Conectados]. Disponível: http://doi.acm.org/. /.
[] M. Van Gundy e H. Chen, “Noncespaces: Using randomization to destroy cross-site

ataques de script ”, Comput. Secur. , vol. , não. , pp. 6–6 8 de junho. [Conectados].
Disponível: http://dx.doi.org/. 6 / j.cose. . .
[] R. Holz, L. Braun, N. Kammenhuber e G. Carle, “The SSL landscape: A completo

análise do X. PKI usando medições ativas e passivas ”, em Proceedings
da ACM SIGCOMM Conference on Internet Measurement Conference , ser.
IMC '. New York, NY, USA: ACM,, pp. -. [Conectados]. Disponível:
http://doi.acm.org/. / 688 6. 688 6
[] S. Fahl, Y. Acar, H. Perl e M. Smith, “Why Eve e Mallory (also) love webmasters:
Um estudo sobre as causas básicas de erros de configuração de SSL ”, em Proceedings of the th ACM
Simpósio sobre Segurança da Informação, Computação e Comunicações , ser. ASIA CCS
'. New York, NY, USA: ACM,, pp. -. [Conectados]. Disponível:
[] K. Krombholz, W. Mayer, M. Schmiedecker e E. Weippl, ““ Não tenho ideia do que sou

fazendo "- sobre a usabilidade de implantação de HTTPS," no 6º Simpósio de Segurança USENIX
(USENIX Security) , agosto, p. 8. [Online]. Disponível:
https://publications.cispa.saarland/ 6 /
[] K. Krombholz, K. Busse, K. Pfeffer, M. Smith e E. von Zezschwitz, ““ If HTTPS were

seguro, eu não precisaria do FA "- modelos mentais de usuário final e administrador de HTTPS,”
em S&P , maio. [Conectados]. Disponível: https://publications.cispa.saarland/ 88 /
www.cybok.org
[] A. Biryukov, D. Dinu, D. Khovratovich e S. Josefsson, “The memory-hard Argon

hash de senha e função de prova de trabalho ”, Internet Engineering Task Force,
Internet-Draft draft-irtf-cfrg-argon - 8 de outubro, trabalho em andamento. [Conectados].
Disponível: https://datatracker.ietf.org/doc/html/draft-irtf-cfrg-argon - 8
[] S. Josefsson, “PKCS #: Teste de Função de Derivação de Chave Baseada em Senha (PBKDF)

Vetores, ”RFC 6, janeiro. [Conectados]. Disponível:
https://rfc-editor.org/rfc/rfc6 .txt
[6] OWASP, “OWASP - password storage cheat sheet,”. [Conectados]. Disponível: https:
//cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
[] Colaboradores da Wikipedia, "Lista de violações de dados - Wikipedia, a enciclopédia livre",

. [Conectados]. Disponível: https://en.wikipedia.org/wiki/List_of_data_breaches
[8] K. Thomas, J. Pullman, K. Yeo, A. Raghunathan, PG Kelley, L. Invernizzi, B. Benko,

T. Pietraszek, S. Patel, D. Boneh e E. Bursztein, “Protecting accounts from
enchimento de credenciais com alerta de violação de senha ”, no 8º USENIX Security
Simpósio (Segurança USENIX) . Santa Clara, CA: USENIX Association, agosto,
pp. 6–. [Conectados]. Disponível:
https://www.usenix.org/conference/usenixsecurity / presentation / thomas
[] “Bill Gates: Trustworthy computing,”

https://www.wired.com/ / / bill-gates-trustworthy-computing /,.
[] M. Howard e S. Lipner, The Security Development Lifecycle . Redmond, WA, EUA:

Microsoft Press, 6.
[] Instituto Poneman, "8 cost of a data violação study: Global Overview", 8 de julho
conectados. [Conectados]. Disponível: https:
//securityintelligence.com/series/ponemon-institute-cost-of-a-data-breach- 8 /
[] G. McGraw, “Teste de segurança durante o desenvolvimento: por que devemos descartar

penetrate-and-patch, ” IEEE Aerospace and Electronic Systems Magazine , vol. ,
não. , pp. -, 8 de abril.
[] T. Greene, "Esse problema do Heartbleed pode ser mais difundido do que você pensa", janeiro
, conectados. [Conectados]. Disponível: https://www.networkworld.com/article/ 6 /
security / that-hearbleed-problem-may-be-mais-pervasive-than-you-think.html
Editores da eWeek, “Microsoft trustworthy computing timeline,” outubro, online.

https://www.eweek.com/security/microsoft-trustworthy-computing-timeline
[] M. Howard e DE Leblanc, Writing Secure Code , nd ed. Redmond, WA, EUA:

Microsoft Press,.
[6] G. McGraw, Software Security: Building Security In . Addison-Wesley Professional,

6
[] Microsoft, “The security development lifecycle,”

https://www.microsoft.com/en-us/securityengineering/sdl/,.
[8] “Projeto de ciclo de vida de desenvolvimento de software seguro Owasp,” https://www.owasp.org/
index.php / OWASP_Secure_Software_Development_Lifecycle_Project, 8.
www.cybok.org
[] P. Morrison, D. Moye, R. Pandita e L. Williams, “Mapping the eld of software life

ciclo de métricas de segurança ” , Tecnologia da Informação e Software , vol. , pp. 6 -,
http://www.sciencedirect.com/science/article/pii/S 8 8 6X
[] M. Howard, "Rechaçando ataques futuros reduzindo a superfície de ataque", MSDN Magazine ,

Fevereiro , . [Conectados]. Disponível:
https://msdn.microsoft.com/en-us/library/ms 8 .aspx
[] I. Arce, K. Clark-Fisher, N. Daswani, J. DelGrosso, D. Dhillon, C. Kern, T. Kohno,

C. Landwehr, G. McGraw, B. Schoen eld et al. , “Evitando a melhor segurança de software
design aws, ”IEEE Computer Society Center for Secure Design (CSD), Tech. Rep.,
.
[] Synopsys, “8 segurança de código aberto e análise de risco,” Synopsys Center for Open
Fonte de Pesquisa e Inovação, Tech. Rep., 8. [Online]. Disponível:
https://www.blackducksoftware.com/open-source-security-risk-analysis- 8
[] A. Austin, C. Holmgreen e L. Williams, "Uma comparação da eficiência e

eficácia das técnicas de descoberta de vulnerabilidade ”, Informação e Software
Tecnologia , vol. , não. , pp. - 88,. [Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/S 8
[] P. Hope, G. McGraw e AI Anton, “Casos de uso indevido e de abuso: ultrapassando

positivo ”, IEEE Security and Privacy , vol. , não. , pp. -, maio.
[] G. Sindre e AL Opdahl, "Eliciting security requirements by misuse cases," in

Anais da Conferência Internacional sobre Tecnologia de Orientação a Objetos
Linguagens e sistemas. TOOLS-Paci c , Nov, pp. -.
[6] K. Tuma, G. Calikli e R. Scandariato, “Análise de ameaças de sistemas de software: A

revisão sistemática da literatura ”, Journal of Systems and Software , vol. , 6 8.
[] PK Manadhata e JM Wing, "An attack surface metric", IEEE Trans. Softw. Eng. ,
vol. , não. , pp. - 86, maio. [Conectados]. Disponível:
http://dx.doi.org/. / TSE. .6
[8] C. Theisen, N. Munaiah, M. Al-Zyoud, JC Carver, A. Meneely e L. Williams,

“Definições de superfície de ataque: uma revisão sistemática da literatura,” Informações e software
Tecnologia , vol. , pp. -, 8. [Online]. Disponível:
http://www.sciencedirect.com/science/article/pii/S 8 8
[] NM Mohammed, M. Niazi, M. Alshayeb e S. Mahmood, “Exploring software

abordagens de segurança no ciclo de vida de desenvolvimento de software: um mapeamento sistemático
estudo ”, Comput. Ficar. Interfaces , vol. , não. C, pp. -, fevereiro. [Conectados].
Disponível: https://doi.org/. 6 / j.csi. 6..
[6] JH Allen, S. Barnum, RJ Ellison, G. McGraw e NR Mead, Segurança de software

Engenharia: um guia para gerentes de projeto (The SEI Series in Software Engineering) ,
st ed. Addison-Wesley Professional, 8.
[6] A. van Lamsweerde, "Elaboração de requisitos de segurança pela construção de

antimodelos intencionais ”, nos Anais da 6ª Conferência Internacional sobre
Engenharia de software , ser. ICSE '. Washington, DC, EUA: IEEE Computer Society,
www.cybok.org
, pp. 8–. [Conectados]. Disponível:

http://dl.acm.org.prox.lib.ncsu.edu/citation.cfm?id= 86.
[6] G. Elahi e E. Yu,”,“Uma
trade-offs abordagem
nos Anais orientada a objetivos
da 6ª Conferência para de
Internacional modelagem
Conceitose análise de segurança
Modelagem , ser. ER '. Berlin, Heidelberg: Springer-Verlag,, pp. -.
http://dl.acm.org.prox.lib.ncsu.edu/citation.cfm?id= 8 8. 8
[6] V. Saini, Q. Duan e V. Paruchuri, "Modelagem de ameaças usando árvores de ataque", J. Comput.
Sci. Coll. , vol. , não. , pp. -, 8 de abril. [Online]. Disponível:
http://dl.acm.org.prox.lib.ncsu.edu/citation.cfm?id=.
[6] L. Williams, A. Meneely e G. Shipley, “Protection poker: The new software security
"jogo" ;, ” IEEE Security Privacy , vol. 8, não. , pp. -, maio.
[6] G. McGraw, “The new killer app for security: Software Inventory,” Computer , vol. ,
não. , pp. 6–6, 8 de fevereiro.
[66] R. Kuhn, M. Raunak e R. Kacker, “Qual proporção de vulnerabilidades pode ser

atribuído a erros comuns de codificação ?: Cartaz, ”nos Anais do th Annual
Symposium and Bootcamp on Hot Topics in the Science of Security , ser. HoTSoS '8.
New York, NY, USA: ACM, 8, pp.: -:. [Conectados]. Disponível:
[6] NIST Computer Security, "Guide for conduzing risk assessments", National Institute
de Padrões e Tecnologia, Tech. Rep. Publicação especial 8 - Revisão,.
[Conectados]. Disponível: https://csrc.nist.gov/publications/detail/sp/8 - / rev- / nal
[68] SAFECode, “Práticas fundamentais para o desenvolvimento de software seguro: Essential

elementos de um programa de ciclo de vida de desenvolvimento seguro ”, SAFECode, Tech. Rep. Terceiro
Edição, 8 de março. [Online]. Disponível:
https://safecode.org/wp-content/uploads/ 8 / /
SAFECode_Fundamental_Practices_for_Secure_Software_Development_March_ 8.pdf
[6] Escritório Federal de Segurança da Informação, “Diretrizes para documentação do desenvolvedor

de acordo com a versão dos critérios comuns. , ”Escritório Federal de Segurança da Informação,
Tech. Versão do representante. ,. [Conectados]. Disponível:
https://www.commoncriteriaportal.org/ les / cc les /
CommonCriteriaDevelopersGuide_ _.pdf
[] BD Win, R. Scandariato, K. Buyens, J. Grégoire e W. Joosen, “On the secure

processo de desenvolvimento de software: Clasp, sdl e pontos de contato comparados, ” Informações
e Tecnologia de Software , vol. , não. , pp. -,, análise de dados detalhada
de práticas disponíveis online. [Conectados]. Disponível: lirias.kuleuven.be/ 6 6
[] SAFECode, “Histórias práticas de segurança e tarefas de segurança para desenvolvimento ágil

ambientes ”, SAFECode, Tech. Rep., Julho. [Conectados]. Disponível: http: //
safecode.org/wp-content/uploads/ 8 / / SAFECode_Agile_Dev_Security .pdf
[] Microsoft, “Secure devops,”

https://www.microsoft.com/en-us/securityengineering/devsecops,.
[] “Projeto de segurança móvel Owasp,”

https://www.owasp.org/index.php/OWASP_Mobile_Security_Project,.
www.cybok.org
[] T. Eston, “Projeto de segurança móvel OWASP - modelo de ameaça móvel,”. [Conectados].

Disponível: https://www.owasp.org/index.php/Projects/
OWASP_Mobile_Security_Project _-_ Mobile_Threat_Model
[] B. Sullivan, S. Tabet, E. Bonver, J. Furlong, S. Orrin e P. Uhley, “Practices for secure

desenvolvimento de aplicativos em nuvem ”, SAFECode, Tech. Rep., Dezembro. [Conectados].
Disponível: https://safecode.org/publication/SAFECode_CSA_Cloud_Final .pdf
[6] J. Voas, R. Kuhn, P. Laplante e S. Applebaum, “Inernet of things (iot) trust

preocupações ”, Instituto Nacional de Padrões e Tecnologia, Tech. Rascunho do representante, 8.
//csrc.nist.gov/publications/detail/white-paper/ 8 / / / iot-trust-concern / draft
[] ENISA, “Computação em nuvem: benefícios, riscos e recomendações para informação

segurança ”, ENISA, Tech. Rep.,. [Conectados]. Disponível: https://www.enisa.europa.eu/
publicações / cloud-computing-risk-assessment / at_download / fullReport
[8] Y. Vardi, “Onde a segurança cibernética automotiva está se encaminhando,”. [Conectados].

Disponível: https://thenextweb.com/contributors/ / / / where-cars-
cibersegurança-é-dirigida-em /
[] G. McGraw, “De mainframes a carros conectados: como o software dirige o
indústria automotiva ”, Security Ledger , vol. Agosto, 8 de agosto.
[8] G. McGraw, S. Migues e J. West, "Building security in maturity model",

https://www.bsimm.com/,.
[8] L. Williams, G. McGraw e S. Migues, “Prevenção de vulnerabilidade de segurança de engenharia,

detecção e resposta ”, IEEE Software , vol. , não. , pp. 6–8, 8 de setembro.
[8] GA Moore, Crossing the Chasm: Marketing and Selling Disruptive Products to
Clientes tradicionais . Harper Collins,.
[8] R. Anderson, “Por que a segurança da informação é difícil - uma perspectiva econômica,” em
Décima Sétima Conferência Anual de Aplicativos de Segurança de Computadores , dezembro, pp.
8–6.
[8] NR Mead e C. Woody, Cyber Security Engineering: A Practical Approach for

Systems and Software Assurance , st ed. Addison-Wesley Professional, 6.
[8] R. Ross, V. Pillitteri, R. Graubart, D. Bodeau e R. McQuaid, “Developing cyber

sistemas resilientes: uma abordagem de engenharia de segurança de sistemas ”, Instituto Nacional de
Padrões e tecnologia, tecnologia. Rascunho do representante (FPD) SP 8 - 6 Volume,.
[Conectados]. Disponível: https://csrc.nist.gov/publications/detail/sp/8 - 6 / vol- / draft
[86] W. Newhouse, S. Keith, B. Scribner e G. Witte, “National Initiative for Cybersecurity

Estrutura de força de trabalho de cibersegurança educacional (NICE) ”, Instituto Nacional de
Padrões e tecnologia, tecnologia. Publicação especial do representante 8 - 8,. [Conectados].
Disponível: https://www.nist.gov/itl/applied-cybersecurity/nice/resources/nice-
cybersecurity-workforce-framework
[8] JF Kurose e KW Ross, Computer Networking: A Top-Down Approach (th

Edition) , th ed. Pearson,.
[88] M. Antonakakis, T. April, M. Bailey, M. Bernhard, E. Bursztein, J. Cochran,

Z. Durumeric, JA Halderman, L. Invernizzi, M. Kallitsis, D. Kumar, C. Lever, Z. Ma,
www.cybok.org
J. Mason, D. Menscher, C. Seaman, N. Sullivan, K. Thomas e Y. Zhou,

“Compreendendo o botnet Mirai,” no 6º Simpósio de Segurança USENIX (USENIX
Segurança) . Vancouver, BC: USENIX Association,, pp. -. [Conectados].
Disponível: https://www.usenix.org/conference/usenixsecurity / technical-sessions /
apresentação / antonakakis
[8] W. Stallings, Network Security Essentials, Applications and Standards (6ª edição) ,
6ª ed. Pearson, 6.
[] ST Zargar, J. Joshi e D. Tipper, “Uma pesquisa de mecanismos de defesa contra

Ataques de negação de serviço distribuída (DDoS) ”, IEEE Communications Surveys
Tutoriais , vol. , não. , pp. 6–6, Quarto.
[] T. Chung, R. van Rijswijk-Deij, D. Choffnes, D. Levin, BM Maggs, A. Mislove, e

C. Wilson, "Entendendo a função dos registradores na implantação do DNSSEC", em
Proceedings of the Internet Measurement Conference , ser. IMC '. Nova york,
NY, USA: ACM,, pp. 6 - 8. [Conectados]. Disponível:
[] C. Kiraly, S. Teo li, G. Bianchi, R. Lo Cigno, M. Nardelli e E. Delzeri, “Traf c ow

confidencialidade em IPsec: Protocolo e implementação ”, em The Future of Identity in the
Sociedade da Informação , S. Fischer-Hübner, P. Duquenoy, A. Zuccato e L. Martucci,
Eds. Boston, MA: Springer US, 8, pp. -.
[] S. Kent, C. Lynn e K. Seo, “Design and analysis of the secure border gateway
protocolo (S-BGP), ”em Proceedings DARPA Information Survivability Conference e
Exposição. DISCEX ' , vol. , Jan, pp. 8– vol. .
[] C. Hall, R. Anderson, R. Clayton, E. Ouzounis e P. Trimintzios, “Resilience of the

ecossistema de interconexão de internet ”, em Economics of Information Security e
Privacidade III . Springer,, pp. - 8.
[] T. Kiravuo, M. Sarela e J. Manner, "A survey of Ethernet LAN security," IEEE

Communications Surveys Tutorials , vol. , não. , pp. -, Terceiro.
[6] A. Stubble eld, J. Ioannidis e AD Rubin, "Using the Fluhrer, Mantin, and Shamir
ataque para quebrar o WEP, ”no NDSS ,.
[] E. Tews e M. Beck, "Ataques práticos contra WEP e WPA", em Proceedings of

a Segunda Conferência ACM sobre Segurança de Rede Wireless , ser. WiSec '. Novo
York, NY, EUA: ACM,, pp. –86. [Conectados]. Disponível:
[8] R. Sommer e V. Paxson, “Outside the closed world: On using machine learning for
detecção de intrusão de rede, ”em Simpósio IEEE sobre Segurança e Privacidade , maio
, pp. - 6.
[] S. Taha Ali, V. Sivaraman, A. Radford e S. Jha, “A survey of securing networks

using software de ned networking, ” IEEE Transactions on Reliability , vol. 6, pp. -,
.
[] A. Shaghaghi, MA Kaafar e S. Jha, “Wedgetail: Um sistema de prevenção de intrusão

para o plano de dados de redes definidas por software ", em Proceedings of the ACM em
Conferência da Ásia sobre Segurança de Computadores e Comunicações , ser. ASIA CCS '.

www.cybok.org
New York, NY, USA: ACM,, pp. 8–86. [Conectados]. Disponível:

http://doi.acm.org/. /.
[] S. Hong, L. Xu, H. Wang e G. Gu, “Poisoning network visibility in software-de ned

redes: novos ataques e contra-medidas ”, em Proceedings Network e
Simpósio de Segurança de Sistema Distribuído . Sociedade da Internet,. [Conectados]. Disponível:
https://doi.org/. % Fndss. . 8
[] S. Liu, MK Reiter e V. Sekar, “Reconhecimento de fluxo via ataques de cronometragem em SDN

interruptores, ”em IEEE ª Conferência Internacional sobre Computação Distribuída
Systems (ICDCS) , junho, pp. 6–6 .
[] H. Cui, GO Karame, F. Klaedtke e R. Bifulco, “On the ngerprinting of

redes definidas por software, ” IEEE Transactions on Information Forensics and Security ,
vol. , não. , pp. 6 -, 6.
[] S. Zerkane, D. Espes, P. Le Parc e F. Cuppens, “Vulnerability analysis of software

rede definida ”em Foundations and Practice of Security , F. Cuppens, L. Wang,
N. Cuppens-Boulahia, N. Tawbi e J. Garcia-Alfaro, Eds. Cham: Springer
Publicação internacional, pp. - 6.
[] ZGA Gember, P. Prabhu e A. Akella, “Toward software de ned middlebox

networking, ”em In Proceedings of th ACM Workshop on Hot Topics in Networks
(HotNets) , Redmond, WA ,, pp. -.
[6] S. Lal, T. Taleb e A. Dutta, "NFV: Security ameaças and best practices," IEEE
Communications Magazine , vol. , não. 8, pp. -, ago.
[] W. Yang e C. Fung, "Uma pesquisa sobre segurança na virtualização de funções de rede", em

6 IEEE NetSoft Conference and Workshops (NetSoft) , 6 de junho, pp. -.
[8] JY Kim, W. Hu, D. Sarkar e S. Jha, "ESIoT: Enabling secure management of the
internet das coisas ”, nos Anais da ª Conferência ACM sobre Segurança e
Privacidade em redes sem fio e móveis , ser. WiSec '. Nova York, NY, EUA: ACM,
, pp. -. [Conectados]. Disponível: http://doi.acm.org/. / 8. 8
[] H. Kaislin, Top-Down Digital VLSI Design: From Architectures to Gate-Level Circuits

e FPGAs . Morgan Kaufmann,.
[] D. Grawrock, Dynamics of a Trusted Platform: A building block approach . Intel

Pressione, 8.
[] C. Canella, JV Bulck, M. Schwarz, M. Lipp, B. von Berg, P. Ortner, F. Piessens,

D. Evtyushkin e D. Gruss, “Uma avaliação sistemática de ataques de execução transitória
e defesas ” , CoRR , vol. abs / 8. , 8. [Online]. Disponível:
http://arxiv.org/abs/ 8.
[] Instituto Nacional de Padrões e Tecnologia, “FIPS - requisitos de segurança

para módulos criptográficos ”, pode, (Aviso de Alteração, / /). [Conectados].
Disponível: https://csrc.nist.gov/publications/detail/ ps / / / nal
[] “Glossário NIST.” [Conectados]. Disponível: https://csrc.nist.gov/glossary/term/tampering

[] “Produtos certificados por critérios comuns”. [Conectados]. Disponível:

https://www.commoncriteriaportal.org/products/
www.cybok.org
[] V. Lomne, "Certi cação de critérios comuns de um smartcard: uma visão geral técnica",
CHES 6 Tutorial. [Conectados]. Disponível:
https://iacr.org/workshops/ches/ches 6 / apresentações / CHES 6-Tutorial.pdf
[6] W. Slegers, Security Evaluation Scheme for IoT Platforms, version. , TrustCB,.
[Conectados]. Disponível: https://www.trustcb.com/iot/sesip/
[] Trusted Computing Group. [Conectados]. Disponível: https://trustedcomputinggroup.org
[8] DA Patterson e JL Hennessy, Computer Organization and Design - The

Hardware / Software Interface (th Edition) , ser. A série Morgan Kaufmann em
Arquitetura e Design de Computadores. Academic Press,.
[] P. Maene, J. Goetzfried, RD Clercq, T. Mueller, F. Freiling e I. Verbauwhede,

“Arquiteturas de computação confiáveis baseadas em hardware para isolamento e comprovação”, IEEE
Transactions on Computers , vol. 6, não. , pp. 6 -,.
[] AP Martin, "A introdução de dez páginas à computação confiável", Universidade de Oxford,

Tech. Rep. CS-RR- 8-, 8.
[] Comitê de dispositivos de plataforma global, “per le de proteção EE,” versão. , Público

Lançamento, novembro, Referência do documento: GPD_SPE_. [Conectados]. Disponível:
https://csrc.nist.gov/publications/detail/ ps / / / nal
[] V. Costan e S. Devadas, “Intel SGX explicou,” Cryptology ePrint Archive, Report

6/86, 6, https://eprint.iacr.org/ 6/86.
[] JM McCune, BJ Parno, A. Perrig, MK Reiter e H. Isozaki, “Flicker: An

infraestrutura de execução para minimização de tcb ”, SIGOPS Oper. Syst. Rev. , vol. , não. ,
pp. - 8, 8.
[] J. Noorman, JV Bulck, JT Muehlberg, F. Piessens, P. Maene, B. Preneel,

I. Verbauwhede, J. Goetzfried, T. Mueller e F. Freiling, “Sancus. : Um de baixo custo
arquitetura de segurança para dispositivos IoT, ” ACM Transactions on Privacy and Security ,
vol. , não. , p. ,.
[] K. Eldefrawy, G. Tsudik, A. Francillon e D. Perito, “SMART: seguro e mínimo

arquitetura para (estabelecer dinâmica) raiz de confiança ”, na Rede Anual e
Simpósio de Segurança de Sistema Distribuído, NDSS, San Diego, Califórnia, EUA,
Fevereiro -8,, .
[6] R. Avanzi, “The qarma block cipher family - quase matrizes mds sobre anéis com
zero divisores, construções quase simétricas com mansões não involutórias
rodadas centrais e heurísticas de pesquisa para s-box de baixa latência ”, Cryptology ePrint
Arquivo, Relatório 6 /, 6, https://eprint.iacr.org/ 6 /.
[] NIST Lightweight Cryptography. [Conectados]. Disponível:

https://csrc.nist.gov/projects/lightweight-cryptography
[8] CAESAR: Concorrência para criptografia autenticada: segurança, aplicabilidade e

Robustez. [Conectados]. Disponível: https://competitions.cr.yp.to/caesar.html
[] YK Lee, H. Chan e I. Verbauwhede, “Iteration bound analysis and throughput

arquitetura ideal de SHA-6 (8,) para implementações de hardware ”, em
Aplicativos de Segurança da Informação, 8º Workshop Internacional, WISA, Ilha de Jeju,
www.cybok.org
Coreia, agosto -,, Artigos selecionados revisados,, pp. -. [Conectados].
Disponível: https://doi.org/. / 8- - - - _8
[] YK Lee, L. Batina, K. Sakiyama e I. Verbauwhede, “Elliptic curve based security

processador para RFID ”, IEEE Transactions on Computers , vol. , não. , pp. -,
8
[] F. Turan e I. Verbauwhede, "Implementação de FPGA compacta e flexível de

Ed and X, ” ACM Transactions on Embedded Computing Systems , vol. 8,
não. , p. ,.
[] NIST Post Quantum Cryptography. [Conectados]. Disponível:

https://csrc.nist.gov/Projects/Post-Quantum-Cryptography
[] Padronização de criptografia homomórfica. [Conectados]. Disponível:

http://homomorphicencryption.org/introduction/
[] Link para o site da OTAN Tempest. [Conectados]. Disponível:

https://www.ia.nato.int/niapc/tempest
[] D. Bernstein, “Ataques de temporização de cache em AES,”. [Conectados]. Disponível:

https://cr.yp.to/antiforgery/cachetiming- .pdf
[6] DA Osvik, A. Shamir e E. Tromer, “Cache attack and countermeasures: The

case of AES ”, em Topics in Cryptology - CT-RSA 6 . Springer Berlin Heidelberg,
6, pp. -.
[] S. Chari, J. Rao e P. Rohatgi, "Ataques de modelo", em Cryptographic Hardware e

Sistemas Embarcados - CHES . Springer Berlin Heidelberg,, pp. - 8.
[8] BW Lampson, “Uma nota sobre o problema de confinamento”, Communications ACM , vol. 6,
não. , pp. 6–6,.
[] D. Page, "MASCAB: a Micro-Architectural Side-Channel Attack Bibliography." [Conectados].

Disponível: http://www.github.com/danpage/mascab
[] D. Karaklajic, J.-M. Schmidt e I. Verbauwhede, “Guia do designer de hardware para falhas

ataques ”, IEEE Transactions on Very Large Scale Integration (VLSI) Systems , vol. ,
não. , pp. - 6,.
[] D. Boneh, RA DeMillo e RJ Lipton, “Sobre a importância de eliminar erros em

computações criptográficas ”, J. Cryptology , vol. , não. , pp. -,.
[] O. Mutlu, “O problema do martelo de remo e outras questões que podemos enfrentar como memória
torna-se mais denso ” , na Conferência Design, Automation and Test in Europe, DATE,
Lausanne, Suíça, março - ,,, pp. 6–.
[] SP Skorobogatov e RJ Anderson, "Ataques de indução de falha óptica", em

Hardware criptográfico e sistemas embarcados - CHES, th International
Workshop, Redwood Shores, CA, EUA, agosto -,, Artigos Revisados,, pp.
-.
[] H. Lohrke, S. Tajik, T. Krachenfels, C. Boit e J. Seifert, “Key extract using

estimulação térmica a laser: estudo de caso em FPGAs ultrascale Xilinx ”, IACR Trans.
Cryptogr. Hardw. Embutir. Syst. , vol. 8, não. , pp. -, 8.
www.cybok.org
[] J. Fan e I. Verbauwhede, “Uma pesquisa atualizada sobre implementações de ECC seguras:

Ataques, contra-medidas e custo ”, em Cryptography and Security: From Theory to
Aplicações - Ensaios dedicados a Jean-Jacques Quisquater por ocasião de sua
6º aniversário , ser. Lecture Notes in Computer Science, D. Naccache, Ed., Vol. 68
Louvain-la-Neuve, Bélgica: Springer-Verlag, pp. 6-8.
[6] S. Nikova, C. Rechberger, e V. Rijmen, “Threshold implementations against

ataques de canal lateral e falhas ”, em Segurança da Informação e Comunicações, 8º
Conferência Internacional, ICICS 6 , ser. Notas de aula em ciência da computação, N. Li,
P. Ning e S. Qing, Eds., Vol. . Raleigh, NC, EUA: Springer-Verlag, 6, pp.
-.
[] D. Bernstein, “Implementando" criptografia simétrica resiliente a vazamento prática ",”

, apresentado no CHES rumpsession. [Conectados]. Disponível:
https://www.cosic.esat.kuleuven.be/ches /ches_rump/rs.pdf
[8] S. Belaïd, V. Grosso e F. Standaert, “Masking and leaage-resilient primitives: One,
o (s) outro (s) ou ambos? ” Cryptography and Communications , vol. , não. , pp. 6 - 8,
.
[] EB Barker e JM Kelsey, “Recomendação para geração de número aleatório

usando geradores de bits aleatórios determinísticos ”, National Institute of Standards e
Tecnologia, tecnologia. Publicação especial do representante 8 - A,. [Conectados]. Disponível:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.8 - Ar.pdf
[] M. Turan, E. Barker, J. Kelsey, K. McKay, M. Baish e M. Boyle, “Recomendação

para as fontes de entropia usadas para geração de bits aleatórios ”, National Institute of
Padrões e tecnologia, tecnologia. Publicação especial do representante 8 - B, 8. [Online].
Disponível:
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.8 - B.pdf
[] EB Barker e JM Kelsey, “Recomendação para gerador de bits aleatórios (RGB)

construções ”, Instituto Nacional de Padrões e Tecnologia, Tech. Rep. Especial
Publicação 8 - C, Segundo esboço, 6. [Online]. Disponível:
https://csrc.nist.gov/CSRC/media/Publications/sp/8 - c / draft / documents /
sp8 _ c_second_draft.pdf
[] “Aulas de funcionalidade e metodologia de avaliação para aleatório determinístico

geradores de número, versão ”, (em alemão: Funktionalitätsklassen und
Evaluationsmethodologie für deterministische Zufallszahlengeneratoren). [Conectados].
Disponível: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zerti zierung /
Interpretationen / AIS_ _pdf.pdf
[] “Aulas de funcionalidade e metodologia de avaliação para números aleatórios físicos

geradores, versão ”, (em alemão: Funktionalitätsklassen und
Evaluationsmethodologie für physikalische Zufallszahlengeneratoren). [Conectados].
Disponível: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zerti zierung /
Interpretationen / AIS_ _pdf.pdf
[] W. Killmann e W. Schindler, “Uma proposta para classes de funcionalidade para

geradores de números ”, aIS / AIS, versão. .
[] D. Johnston, Geradores de números aleatórios - Princípios e práticas: um guia para

engenheiros e programadores . De Gruyter, 8.
www.cybok.org
[6] J. Balasch, F. Bernard, V. Fischer, M. Grujic, M. Laban, O. Petura, V. Rozic, GV

Battum, I. Verbauwhede, M. Wakker e B. Yang, “Metodologias de projeto e teste
para verdadeiros geradores de números aleatórios para a certificação da indústria ”, em International
Simpósio Europeu de Teste IEEE - ETS 8 , ser. IEEE Computer Society, Bremen, DE,
8, pág. .
[] R. Maes, Physically Unclonable Functions: Constructions, Properties and Applications ,

st ed. Springer Publishing Company, Incorporated,.
[8] J. Guajardo, SS Kumar, G.-J. Schrijen, e P. Tuyls, “FPGA intrinsic PUFs and their
use para proteção de IP ”, em Hardware criptográfico e sistemas incorporados - CHES
. Springer Berlin Heidelberg,, pp. 6–8.
[] Y. Dodis, R. Ostrovsky, L. Reyzin e A. Smith, “Fuzzy extractors: How to generate

chaves fortes da biometria e outros dados ruidosos ”, SIAM J. Comput. , vol. 8, não. , pp.
-, 8.
[6] B. Gassend, D. Clarke, M. van Dijk e S. Devadas, “Silicon físico aleatório

funções ", em Proceedings of the th ACM Conference on Computer e
Segurança das comunicações , ser. CCS '. ACM, pp. 8–6.
[6] J. Delvaux, R. Peeters, D. Gu e I. Verbauwhede, “Uma pesquisa sobre entidade leve

autenticação com PUFs fortes ”, ACM Computing Surveys , vol. 8, não. , p. ,.
[6] M. Tehranipoor e F. Koushanfar, “A survey of hardware trojan taxonomy and

detecção ”, IEEE Design Test of Computers , vol. , não. , pp. -,.
[6] R. Karri, J. Rajendran, K. Rosenfeld e M. Tehranipoor, “Trustworthy hardware:

Identificando e classificando trojans de hardware ” , Computer , vol. , não. , pp. - 6,
.
[6] J. Rajendran, M. Sam, O. Sinanoglu e R. Karri, “Security analysis of Integrated

circuito camuflado ”, em Proceedings of the ACM SIGSAC Conference on
Computer & Communications Security , ser. CCS '. ACM,, pp. -.
[6] M. Yasin, A. Sengupta, MT Nabeel, M. Ashraf, JJ Rajendran e O. Sinanoglu,

"Bloqueio lógico comprovadamente seguro: da teoria à prática", em Proceedings of the
ACM SIGSAC Conference on Computer and Communications Security , ser. CCS '.
ACM, pp. 6-6 8.
[66] TJ Williams, "The Purdue enterprise reference architecture," Computers in industry ,

vol. , não. , pp. - 8,.
[6] EA Lee, “The past, present and future of cyber-físico systems: A focus on
modelos ” , Sensors , vol. , não. , pp. 8 - 86,.
[68] S. Kriaa, L. Pietre-Cambacedes, M. Bouissou e Y. Halgand, “A survey of

abordagens combinando proteção e segurança para sistemas de controle industrial, ” Confiabilidade
engenharia e segurança do sistema , vol. , pp. 6–8,.
[6] AA Cárdenas, S. Amin e S. Sastry, “Desafios de pesquisa para a segurança de

sistemas de controle." em Anais da rd Conference on Hot Topics in Security .
Associação USENIX, 8, pp. –6.
[] AA Cardenas, S. Amin e S. Sastry, “Secure control: Towards survivable
www.cybok.org
sistemas ciber-físicos ”, em Anais da 8ª Conferência Internacional sobre

Workshops de Sistemas de Computação Distribuída . IEEE, 8, pp. -.
[] F. Mueller, “Desafios para sistemas ciber-físicos: Segurança, análise de tempo e software

proteção contra erros ”, em Plataformas de software de alta confiança para sistemas ciber-físicos
(HCSP-CPS) Workshop, Alexandria, Virginia , 6, p. .
[] M. Sun, S. Mohan, L. Sha e C. Gunter, “Addressing safety and security

contradições em sistemas ciberfísicos ”, nos Anais do st Workshop sobre
Direções futuras em segurança de sistemas ciber-físicos (CPSSW ') ,.
[] EA Lee, "Sistemas físicos cibernéticos-são bases de computação adequadas," em Posição

Artigo para Workshop NSF sobre Sistemas Ciber-Físicos: Motivação de Pesquisa,
Techniques and Roadmap , vol. . Citeseer, 6.
[] M. Anand, E. Cronin, M. Sherr, M. Blaze, Z. Ives e I. Lee, “Desafios de segurança em

próxima geração de sistemas físicos cibernéticos ”, em Proceedings of Beyond SCADA:
Controle integrado em rede para sistemas físicos cibernéticos . Academic Press, 6,
pp. -.
[] H. Tang e BM McMillin, "Violação de propriedade de segurança no CPS através do tempo", em

Workshops de Sistemas de Computação Distribuída, 8. ICDCS '8. 8th International
Conferência em . IEEE, 8, pp. -.
[6] C. Neuman, "Challenges in security for cyber-Physical systems," in DHS Workshop on

Direções futuras em segurança de sistemas ciber-físicos . CPS-VO,, pp. -.
[] A. Cardenas, S. Amin, B. Sinopoli, A. Giani, A. Perrig e S. Sastry, “Challenges for

protegendo sistemas ciberfísicos ”, em Workshop sobre direções futuras em ciberfísicos
segurança de sistemas,, p. .
[8] P. Oman, E. Schweitzer e D. Frincke, “Concerns about intrusions into remotely

controladores de subestação acessíveis e sistemas scada ”, nos Procedimentos do
Vigésima Sétima Conferência Anual de Relé de Proteção Ocidental , vol. 6,.
[] L. Sha, T. Abdelzaher, K.-E. Årzén, A. Cervin, T. Baker, A. Burns, G. Buttazzo,

M. Caccamo, J. Lehoczky e AK Mok, “Real time scheduling theory: A historical
perspectiva ”, Real-time systems , vol. 8, não. -, pp. -,.
[8] JA Stankovic e R. Rajkumar, "Real-time operating systems," Real-Time Systems ,

vol. 8, não. -, pp. -,.
[8] M. Felser, "Real-time ethernet-industry prospective", Proceedings of the IEEE , vol. ,

não. 6, pp. 8–,.
[8] C. Alcaraz e S. Zeadally, “Critical control system protection in the st century”,

Computer , vol. 6, não. , pp. –8,.
[8] J. Song, S. Han, A. Mok, D. Chen, M. Lucas, M. Nixon e W. Pratt, “Wirelesshart:
Aplicando
e simpósio adetecnologia
tecnologiasem fio no controle
e aplicações de processos
embarcadas industriais
. IEEE, em tempo real ”, em tempo real IEEE
8, pp. - 86.
[8] VC Gungor, GP Hancke et al. , “Redes de sensores sem fio industriais: desafios,
princípios de design e abordagens técnicas. ” IEEE Trans. Eletrônica Industrial ,
vol. 6, não. , pp. 8–6,.
www.cybok.org
[8] Z. Sheng, S. Yang, Y. Yu, A. Vasilakos, J. Mccann e K. Leung, “A survey on the IETF
pacote de protocolos para a Internet das coisas: padrões, desafios e oportunidades, ”
IEEE Wireless Communications , vol. , não. 6, pp. - 8,.
[86] P. Rawat, KD Singh, H. Chaouchi e JM Bonnin, “Redes de sensores sem fio: a

pesquisa sobre desenvolvimentos recentes e sinergias potenciais ”, The Journal of
Supercomputing , vol. 68, no. , pp. - 8,.
[8] C. Gomez, J. Oller e J. Paradells, “Visão geral e avaliação do bluetooth baixo

energia: Uma tecnologia sem fio emergente de baixa potência ” , Sensors , vol. , não. , pp.
-,.
[88] K. Ogata, Discrete-time control systems . Prentice Hall Englewood Cliffs, NJ,,
vol. .
[8] JP Hespanha, P. Naghshtabrizi e Y. Xu, “Uma pesquisa de resultados recentes em redes

sistemas de controle ”, Proceedings of the IEEE , vol. , não. , pp. 8–6,.
[] R. Goebel, RG Sanfelice e AR Teel, "Hybrid dynamical systems", IEEE Control

Systems , vol. , não. , pp. 8–,.
[] AE Summers, "Introdução às camadas de análise de proteção", Journal of Hazardous

Materiais , vol. , não. -, pp. 6 - 68,.
[] I. Hwang, S. Kim, Y. Kim e CE Seah, "Uma pesquisa de detecção de falha, isolamento e

métodos de reconfiguração ”, transações IEEE em tecnologia de sistemas de controle , vol. 8,
pp. 6 6–6,.
[] K. Zhou e JC Doyle, Essentials of robust control . Sela superior do Prentice hall

River, NJ, 8, vol. .
[] Y. Liu, P. Ning e MK Reiter, “Ataques de injeção de dados falsos contra estimativa de estado
em redes de energia elétrica ”, nos Anais da conferência sobre Computador e
segurança das comunicações (CCS) . ACM,, pp. -.
[] AA Cardenas, S. Amin, Z.-S. Lin, Y.-L. Huang, C.-Y. Huang e S. Sastry, “Attacks
contra sistemas de controle de processo: avaliação de risco, detecção e resposta ", em
Anais do simpósio ACM sobre informação, computador e comunicações
segurança , pp. - 66.
[6] B. Krebs. (8 de junho) Incidente cibernético responsabilizado pelo desligamento da usina nuclear.
http://www.washingtonpost.com/wp-dyn/content/article/ 8/6 / /
AR 8 6 8.html.
[] Lloyds, “Blackout de negócios: as implicações de um ataque cibernético nos EUA.

rede elétrica ”, Lloyd's, Tech. Rep.,. [Conectados]. Disponível: http://www.lloyds.com/
news-and-insight / risk-insight / library / society-and-security / business-blackout
[8] A. Greenberg, "Hackers matam um jipe remotamente na rodovia? Comigo nele" , Wired ,
vol. , p. ,.
[] KC Zeng, S. Liu, Y. Shu, D. Wang, H. Li, Y. Dou, G. Wang e Y. Yang, “All your GPS
são nossos: Rumo à manipulação furtiva dos sistemas de navegação rodoviária, ”em º
Simpósio de Segurança USENIX (USENIX Security 8) , 8, pp. -.
[] J. Valente and AA Cardenas, “Compreendendo as ameaças à segurança em drones de consumo
www.cybok.org
através das lentes da família dos quadricópteros de descoberta ”, em Proceedings of the

Workshop sobre segurança e privacidade na Internet das coisas . ACM, pp. - 6.
[] Y.-L. Huang, AA Cárdenas, S. Amin, Z.-S. Lin, H.-Y. Tsai e S. Sastry,

“Compreender as consequências físicas e econômicas dos ataques ao controle
systems, ” International Journal of Critical Infrastructure Protection , vol. , não. , pp.
–8,.
[] S. Amin, AA Cárdenas e SS Sastry, “Safe and secure networked control

sistemas sob ataques de negação de serviço ”, no International Workshop on Hybrid
Sistemas: Computação e Controle . Springer,, pp. -.
[] M. Kroto l, A. Cardenas, J. Larsen e D. Gollmann, "Vulnerabilities of

sistemas ciberfísicos para desatualizar dados - determinando o momento ideal para o lançamento
ataques ”, jornal internacional de proteção de infraestrutura crítica , vol. , não. , pp.
-,.
[] S. McLaughlin, “CPS: Stateful policy enforcement for control system device use,”
em Anais da Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC) .
New York, NY, USA: ACM,, pp. - 8.
[] A. Teixeira, I. Shames, H. Sandberg e KH Johansson, “Revealing stealthy

ataques em sistemas de controle, ”em Comunicação, Controle e Computação (Allerton),
ª Conferência Anual de Allerton em , outubro, pp. 8 6–8.
[6] S. Amin, X. Litrico, S. Sastry e AM Bayen, “Cyber security of water SCADA

sistemas - Parte I: análise e experimentação de ataques furtivos de engano, ” Controle
Systems Technology, IEEE Transactions on , vol. , não. , pp. 6 -,.
[] A. Jakaria, W. Yang, B. Rashidi, C. Fung e MA Rahman, “VFence: A defense

contra ataques distribuídos de negação de serviço usando virtualização de função de rede ”, em
Conferência de Software e Aplicativos de Computador (COMPSAC), 6º IEEE anual ,
vol. . IEEE, 6, pp. - 6.
[8] K. Zetter. (6, março) Por dentro do astuto e sem precedentes hack do poder da Ucrânia
grade. Revista WIRED. [Conectados]. Disponível: http://www.wired.com/ 6 / / inside-
astuto-sem precedentes-hack-ukraines-power-grid /
[] D. Halperin, TS Heydt-Benjamin, B. Ransford, SS Clark, B. Defend, W. Morgan,

K. Fu, T. Kohno e WH Maisel, "Pacemakers and implantable cardíaca
de brillators: Ataques de rádio de software e defesas de potência zero ”, no Simpósio IEEE
sobre Segurança e Privacidade , 8.
[] K. Fu e W. Xu, "Riscos de confiar na física dos sensores", Communications of the

ACM , vol. 6, não. , pp. -, 8.
[] I. Giechaskiel e KB Rasmussen, “SoK: Taxonomy and challenge of out-of-band

ataques e defesas por injeção de sinal ” , CoRR , vol. abdômen/ . 6,. [Conectados].
Disponível: http://arxiv.org/abs/. 6
[] Y. Son, H. Shin, D. Kim, Y. Park, J. Noh, K. Choi, J. Choi e Y. Kim, "Rocking drones
com ruído sonoro intencional em sensores giroscópicos ”, em Segurança USENIX
Simpósio (Segurança USENIX),, pp. 88–8 6.
[] J. Selvaraj, GY Dayanikli, NP Gaunkar, D. Ware, RM Gerdes, M. Mina et al. ,

"Ataques de indução eletromagnética contra sistemas embarcados", em Proceedings of
www.cybok.org
a 8ª Conferência da Ásia sobre Segurança de Computadores e Comunicações . ACM,

8, pp. -.
[] G. Zhang, C. Yan, X. Ji, T. Zhang, T. Zhang e W. Xu, "DolphinAttack: Inaudible voice

comandos ", em Proceedings of the ACM SIGSAC Conference on Computer e
[] RJ Turk, "Cyber incidents envolvendo sistemas de controle", Idao National Laboratory,

Tech. Rep. INL / EXT- - 6 de outubro.
[6] R. Esposito. (6 de outubro) Hackers penetram nos computadores do sistema de água. [Conectados].
Disponível: https://www.computerworld.com/article/ 8 / hackers-break-into-
water-system-network.html
[] K. Hemsley e R. Fisher, “Uma história de incidentes cibernéticos e ameaças envolvendo

sistemas de controle industrial ”, na Conferência Internacional de Infraestrutura Crítica
Proteção . Springer, 8, pp. -.
[8] T. Reed, At the Abyss: An Insider's History of the Cold War . Presidio Press, março
.
[] M. Abrams e J. Weiss, “Malicious control system cyber security attack case

study – maroochy water services, australia, ”The MITER Corporation, Tech. Rep.,
8
[] N. Sayfayn e S. Madnick, “Cybersafety analysis of the Maroochy shire sewage

derramamento ”, Laboratório de Sistemas Interdisciplinares de Segurança Cibernética (CISL), Sloan School of
Management, Massachusetts Institute of Technology, Working Paper CISL # -,
.
[] AP, “Revenge hacker: meses, deve reembolsar Georgia-Paci c $ m,” fevereiro.

[Conectados]. Disponível: https://www.usnews.com/news/louisiana/articles/ - - 6 /
revenge-hacker- -months-must-repay-georgia-paci c- m
[] D. Bilefsky. (, Janeiro) Hackers usam nova tática em hotel austríaco: Bloquear o

portas. O jornal New York Times.
[] B. Krebs, “FBI: smart meter hacks provavelmente se espalharão”, abril. [Conectados]. Disponível:
http://krebsonsecurity.com/ / / fbi-smart-meter-hacks-provável-para-espalhar /
[] M. Dalli, funcionários da Enemalta suspensos, medidores inteligentes adulterados .

https://www.maltatoday.com.mt/news/national/ 6 / enemalta-workers-
suspenso-sobre- - -tampered-smart-medidores- : Malta hoje, fevereiro
.
[] RM Lee, MJ Assante e T. Conway, "German Steel mill cyber attack," Industrial

Control Systems , vol. , p. 6,.
[6] “Procurador dos Estados Unidos, Distrito Leste da Califórnia. Homem de salgueiros preso por
hacking no sistema de computador Tehama Colusa Canal Authority, ”novembro.
[Conectados]. Disponível: https://www.computerworld.com/article/ / insider-
charge-with-hacking-california-canal-system.html
[] “Procurador dos Estados Unidos, Distrito Leste da Califórnia. Homem de Sacramento se declara culpado
para tentar desligar a rede elétrica da Califórnia ”, novembro. [Conectados].
www.cybok.org
Disponível: http:
//www.usdoj.gov/usao/cae/press_releases/docs/ / - - DenisonPlea.pdf
[8] D. Kravets. (, Março) Feds: Hacker desativou detecção de vazamento de plataforma de petróleo offshore
sistema. http://www.wired.com/threatlevel/ / / feds-hacker-dis /.
[] J. Leyden. (8, janeiro) Adolescente polonês descarrila bonde após hackear rede ferroviária.
http://www.theregister.co.uk/ 8 / / / tram_hack /.
[] Booz Allen Hamilton, “Quando as luzes se apagaram: ameaça à cibersegurança na Ucrânia

brie ng, ”p. , 6. [Online]. Disponível: http://www.boozallen.com/content/dam/
boozallen / documents / 6 / / ukraine-report-when-the-lights-apague
[] A. Greenberg, “'Crash override': O malware que derrubou uma rede elétrica,” Wired
Revista , pp. -,.
[] A. Cherepanov, "Win / industroyer, uma nova ameaça para sistemas de controle industrial",
Papel branco. ESET ,.
[] M. Giles, “Triton é o malware mais assassino do mundo e está se espalhando”.

[Conectados]. Disponível: https://www.technologyreview.com/s/6 / cybersecurity-
crítico-infraestrutura-triton-malware /
[] K. Boeckl, M. Fagan, W. Fisher, N. Lefkovitz, K. Megas, E. Nadeau, B. Piccarreta, DG

O'Rourke e K. Scarfone, “Considerações para gerenciar a internet das coisas (IoT)
riscos de segurança cibernética e privacidade ”, Instituto Nacional de Padrões e Tecnologia,
NISTIR 8 8 , 8.
[] J. Giraldo, D. Urbina, A. Cardenas, J. Valente, M. Faisal, J. Ruths, NO Tippenhauer,

H. Sandberg e R. Candell, "Uma pesquisa sobre a detecção de ataques com base na física em
sistemas ciber-físicos ”, ACM Computing Surveys (CSUR) , vol. , não. , p. 6, 8.
[6] R. Langner, Robust Control System Networks: How to Achieve Reliable Control After
Stuxnet . Momentum Press,.
[] R. Antrobus, B. Green, S. Frey e A. Rashid, “O I esquecido em IIoT: Uma vulnerabilidade

scanner para internet das coisas industrial ”, em Living in the Internet of Things ,
.
[8] P. Ralston, J. Graham e J. Hieb, “Avaliação de risco de segurança cibernética para SCADA e
DCS networks, ” transações ISA , vol. 6, não. , pp. 8 -,.
[] P. Craig, J. Mortensen e J. Dagle, “Metrics for the National SCADA Test Bed
Programa, ”PNNL-8, Paci c Northwest National Laboratory (PNNL), Richland, WA
(EUA), Tech. Rep., 8.
[] G. Hamoud, R. Chen e I. Bradley, "Avaliação de risco de sistemas de energia SCADA," em

IEEE Power Engineering Society General Meeting , vol. ,.
[] Y. Cherdantseva, P. Burnap, A. Blyth, P. Eden, K. Jones, H. Soulsby e K. Stoddart, “A

revisão dos métodos de avaliação de risco de segurança cibernética para sistemas scada, ” Computers &
segurança , vol. 6, pp. -, 6.
[] JH Castellanos, M. Ochoa e J. Zhou, “Finding dependencies between

domínios ciberfísicos para testes de segurança de sistemas de controle industrial ”, em
Anais da th Annual Computer Security Applications Conference . ACM,
8, pp. 8-.
www.cybok.org
[] H. Sandberg, A. Teixeira e KH Johansson, “On security index for state

estimadores em redes de energia ”, em Preprints do primeiro workshop sobre controle seguro
Systems, CPSWEEK, Estocolmo, Suécia ,.
[] U. Vaidya e M. Fardad, "No posicionamento ideal do sensor para mitigação de

vulnerabilidades a ataques cibernéticos em redes de grande escala ”, em Proceedings of the
European Control Conference (ECC) , julho, pp. 8–.
[] O. Vukovic, KC Sou, G. Dan e H. Sandberg, “Network-aware mitigation of data

ataques de integridade na estimativa do estado do sistema de energia ”, IEEE Journal on Selected Areas
em Communications , vol. , não. 6, pp. 8–8, julho.
[6] H. Okhravi e FT Sheldon, “Data diodes in support of trustworthy cyber

infraestrutura ”, em Anais do Sexto Workshop Anual sobre Segurança Cibernética e
Pesquisa de Inteligência da Informação . ACM,, p. .
[] R. Roman, C. Alcaraz, J. Lopez e N. Sklavos, “Key management systems for

redes de sensores no contexto da internet das coisas, ” Computers & Electrical
Engineering , vol. , não. , pp. -,.
[8] R. Anderson e S. Fuloria, "Economia de segurança e infraestrutura nacional crítica",

em Economia da Segurança da Informação e Privacidade . Springer,, pp. –66.
[] JH Castellanos, D. Antonioli, NO Tippenhauer e M. Ochoa, “Legacy-compliant

autenticação de dados para sistema de controle de tráfego industrial ”, na Conferência Internacional
sobre criptografia aplicada e segurança de rede . Springer, pp. 66–68.
[] PP Tsang e SW Smith, "YASIR: A baixa latência de alta integridade de segurança retro t para
sistemas SCADA lecacy, ”em ª Conferência Internacional de Segurança da Informação (IFIC
SEC) , 8 de setembro, pp. -.
[] S. Gollakota, H. Hassanieh, B. Ransford, D. Katabi e K. Fu, “Eles podem ouvir seu

batimentos cardíacos: segurança não invasiva para dispositivos médicos implantáveis ”, em Proceedings
da Conferência ACM SIGCOMM , ser. SIGCOMM '. Nova York, NY, EUA:
ACM,, pp. -.
[] K. Fawaz, K.-H. Kim e KG Shin, “Protecting privacy of BLE device users.” dentro
Simpósio de Segurança USENIX , 6, pp. -.
[] R. Roman, C. Alcaraz e J. Lopez, “Um levantamento das primitivas criptográficas e

implementações para nós de rede de sensores restritos por hardware ”, Mobile Networks
e Aplicações , vol. , não. , pp. -,.
[] KA McKay, L. Bassham, MS Turan e N. Mouha, "Nistir 8: Rascunho de relatório sobre

criptografia leve ”, disponível no site do NIST: http: // csrc. nist.
gov / publicações / rascunhos / nistir-8 / nistir_8 _draft. pdf , 6.
[] S. Koteshwara e A. Das, “Comparative study of authenticated encryption targeting
aplicações IoT leves ”, IEEE Design & Test , vol. , não. , pp. 6–,.
[6] K.-A. Shim, “Uma pesquisa de primitivas criptográficas de chave pública em sensor sem fio
redes ”, IEEE Communications Surveys & Tutorials , vol. 8, não. , pp. –6, 6.
[] A. Abbasi, J. Wetzels, T. Holz e S. Etalle, “Challenges in design exploit

mitigações para sistemas profundamente incorporados ”, em Proceedings of the IEEE
Simpósio Europeu sobre Segurança e Privacidade . IEEE,.

www.cybok.org
[8] K. Fisher, J. Launchbury e R. Richards, “The HACMS program: using formal

métodos para eliminar bugs exploráveis ”, Phil. Trans. R. Soc. A , vol. , não. , p.
,.
[] T. Trippel, O. Weisse, W. Xu, P. Honeyman e K. Fu, “WALNUT: Waging duvida sobre o

integridade de acelerômetros MEMS com ataques de injeção acústica ”, em Segurança e
Privacidade (EuroS & P), IEEE European Symposium on . IEEE,, pp. - 8.
[6] DF Kune, J. Backes, SS Clark, D. Kramer, M. Reynolds, K. Fu, Y. Kim e W. Xu,

“Ghost talk: Mitigating emi signal Injection ataques contra sensores analógicos,” in
Simpósio IEEE sobre Segurança e Privacidade , maio, pp. -.
[6] X. Carpent, K. Eldefrawy, N. Rattanavipanon, A.-R. Sadeghi e G. Tsudik,

“Reconciliando atestado remoto e operação crítica de segurança em dispositivos iot simples,”
dentro 8ª Conferência ACM / ESDA / IEEE Design Automation (DAC) . IEEE, 8, pp.
–6.
[6] M. Ambrosin, M. Conti, A. Ibrahim, G. Neven, A.-R. Sadeghi e M. Schunter, “SANA:

atestado de rede agregado seguro e escalonável ”, em Proceedings of the 6 ACM
Conferência SIGSAC sobre Segurança de Computadores e Comunicações . ACM, 6, pp.
-.
[6] VP Illiano, RV Steiner e EC Lupu, “Unidade é força !: Atestado de combinação

e inspeção de medições para lidar com injeções de dados maliciosos em RSSFs ”, em
Procedimentos da ª Conferência ACM sobre Segurança e Privacidade em Redes Sem Fio e
Redes móveis . ACM,, pp. -.
[6] RV Steiner e E. Lupu, "Attestation in wireless sensor networks: A survey," ACM

Computing Surveys (CSUR) , vol. , não. , p. , 6.
[6] K. Eldefrawy, N. Rattanavipanon e G. Tsudik, "Hydra: design híbrido para controle remoto
atestado (usando um microkernel formalmente verificado), ”nos Anais do th ACM
Conferência sobre Segurança e Privacidade em Redes Wireless e Móveis . ACM, pp.
-.
[66] S. Cheung, B. Dutertre, M. Fong, U. Lindqvist, K. Skinner e A. Valdes, “Usando

detecção de intrusão baseada em modelo para redes SCADA, ”em Proceedings of the SCADA
Simpósio Científico de Segurança , Miami Beach, Flórida, EUA,.
[6] R. Berthier e WH Sanders, “detecção de intrusão baseada em especificação para detecção avançada
infraestruturas de medição ”, nos Anais do Simpósio Internacional Paci c Rim sobre
Computação confiável (PRDC) . IEEE,, pp. 8 -.
[68] N. Goldenberg e A. Wool, "Modelagem precisa de Modbus / TCP para intrusão

detecção em sistemas SCADA, ” International Journal of Critical Infrastructure
Proteção , vol. 6, pp. 6 -,.
[6] C. Markman, A. Wool e AA Cardenas, “Temporal phase shifts in SCADA

redes ”, em Proceedings of the 8 Workshop on Cyber-Physical Systems Security
e PrivaCy . ACM, 8, pp. 8–8.
[] M. Caselli, E. Zambon e F. Kargl, “Sequence-aware intrusion detector in industrial

sistemas de controle ”, nos Anais do ª ACM Workshop on Cyber-Physical System
Segurança ,, pp. -.
www.cybok.org
[] M. Faisal, AA Cardenas e A. Wool, “Modeling Modbus TCP for intrusion

detecção ”, em Communications and Network Security (CNS), 6 IEEE Conference on .
IEEE, 6, pp. 86–.
[] W. Aoudi, M. Iturbe e M. Almgren, “Truth will out: Departure-based process-level

detecção de ataques furtivos em sistemas de controle ", em Proceedings of the 8 ACM
Conferência SIGSAC sobre Segurança de Computadores e Comunicações . ACM, 8, pp.
8–8.
[] D. Hadžiosmanović, R. Sommer, E. Zambon e PH Hartel, “Through the eye of the

PLC: monitoramento de segurança semântica para processos industriais ”, em Proceedings of the
ª Conferência Anual de Aplicativos de Segurança de Computadores . ACM, pp. 6–.
[] Y. Chen, CM Poskitt e J. Sun, "Learning from mutants: Using code mutation to

aprender e monitorar invariantes de um sistema físico cibernético ”, IEEE Symposium on
Segurança e privacidade , 8.
[] DI Urbina, JA Giraldo, AA Cardenas, NO Tippenhauer, J. Valente, M. Faisal,

J. Ruths, R. Candell e H. Sandberg, “Limitando o impacto de ataques furtivos em
sistemas de controle industrial ”, em Proceedings of the Conference on Computer and
Segurança das comunicações (CCS) . ACM, 6, pp. -.
[6] K. Paridari, N. O'Mahony, AE-D. Mady, R. Chabukswar, M. Boubekeur e

H. Sandberg, “Uma estrutura para sistemas de controle industrial resilientes a ataques: Ataque
detecção e recon guração do controlador ”, Proceedings of the IEEE , vol. 6, não. , pp.
- 8, 8.
[] Q. Gu, D. Formby, S. Ji, H. Cam e R. Beyah, “Fingerprinting for cyber-Physical

segurança do sistema: a física do dispositivo também importa ”, IEEE Security & Privacy , vol. 6, não. ,
pp. -, 8.
[8] A. Petropulu, KI Diamantaras, Z. Han, D. Niyato e S. Zonouz, “Contactless

monitoramento de infraestrutura crítica [dos editores convidados], ” IEEE Signal Processing
Revista , vol. 6, não. , pp. -,.
[] T. Shekari, C. Bayens, M. Cohen, L. Graber e R. Beyah, “RFDIDS: Radio

sistema de detecção de intrusão distribuída com base em frequência para a rede elétrica. ” no NDSS ,
.
[8] W. Jardine, S. Frey, B. Green e A. Rashid, “Senami: Selective non-invasive active

monitoramento para detecção de intrusão do IFC ”, nos procedimentos do nd ACM Workshop sobre
Segurança e privacidade de sistemas ciber-físicos . ACM, 6, pp. -.
[8] T. Roth e B. McMillin, "Physical attestation of cyber process in the smart grid",
em Workshop Internacional sobre Segurança de Infraestruturas Críticas de Informação . Springer,
, pp. 6–.
[8] J. Valente, C. Barreto, e AA Cárdenas, "Atestação de sistemas físicos cibernéticos", em

Computação Distribuída em Sistemas de Sensores (DCOSS), IEEE International
Conferência em . IEEE,, pp. -.
[8] RB Bobba, KM Rogers, Q. Wang, H. Khurana, K. Nahrstedt e TJ Overbye,

“Detectando ataques de injeção de dados falsos na estimativa do estado de DC”, em Proceedings of
Workshop sobre sistemas de controle seguro ,.
www.cybok.org
[8] J. Valente e AA Cárdenas, “Usando desafios visuais para verificar a integridade de

câmeras de segurança ”, em Proceedings of the st Annual Computer Security Applications
Conferência . ACM,, pp. -.
[8] Y. Mo, S. Weerakkody e B. Sinopoli, “Physical authentication of control systems:

projetar entradas de controle com marca d'água para detectar saídas de sensores falsificados, ” Controle
Systems, IEEE , vol. , não. , pp. -,.
[86] MA Rahman, E. Al-Shaer e RB Bobba, “Moving target defense for hardening

a segurança da estimativa do estado do sistema de energia ”, em Proceedings of the First ACM
Workshop sobre defesa de alvos móveis . ACM,, pp. –68.
[8] J. Rowe, KN Levitt, T. Demir e R. Erbacher, "Arti cial Diversity as maneuvers in a
controle teórico de defesa de alvos móveis ”, no National Symposium on Moving Target
Pesquisa ,.
[88] J. Giraldo e AA Cardenas, "Movendo a defesa do alvo para a mitigação do ataque em

sistemas multi-veículo ”, em Defesa Proativa e Dinâmica de Rede . Springer,,
pp. 6 -.
[8] J. Giraldo, A. Cardenas e RG Sanfelice, “Uma defesa de alvo móvel para revelar
ataques cibernéticos no CPS e minimizar seu impacto ”, na American Control Conference ,
.
[] CG Rieger, DI Gertman e MA McQueen, “Resilient control systems: Next

geração de pesquisa de design ”, em nd Conferência sobre Interações do Sistema Humano .
IEEE,, pp. 6–6 6.
[] Y. Mo e B. Sinopoli, "Estimativa segura na presença de ataques de integridade",

Automatic Control, IEEE Transactions on , vol. 6, não. , pp. -, abril.
[] H. Fawzi, P. Tabuada e S. Diggavi, “Secure estimation and control for

sistemas ciberfísicos sob ataques adversários ”, IEEE Transactions on Automatic
Controle , vol. , não. 6, pp. - 6,.
[] D. Wijayasekara, O. Linda, M. Manic e C. Rieger, “FN-DFE: Fuzzy-neural data fusion

motor para maior consciência de estado resiliente de sistemas de energia híbrida, ” IEEE
transações sobre cibernética , vol. , não. , pp. 6 -,.
[] EP Blasch, DA Lambert, P. Valin, MM Kokar, J. Llinas, S. Das, C. Chong, e

E. Shahbazian, "fusão de informações de alto nível (HLIF): Levantamento de modelos, problemas e
grandes desafios ”, IEEE Aerospace and Electronic Systems Magazine , vol. , não. ,
pp. -,.
[] E. Blasch, I. Kadar, J. Salerno, MM Kokar, S. Das, GM Powell, DD Corkill e EH

Ruspini, “Questões e desafios da representação e raciocínio do conhecimento
métodos de avaliação de situação (fusão de nível), ”em Processamento de Sinal, Sensor
Fusion e Target Recognition XV , vol. 6 Sociedade Internacional de Óptica e
Fotônica, 6, pág. 6
[6] AFM Piedrahita, V. Gaur, J. Giraldo, AA Cardenas e SJ Rueda, “Virtual

funções de resposta a incidentes em sistemas de controle, ” Computer Networks , vol. , pp.
-, 8.
[] SH Kafash, J. Giraldo, C. Murguia, AA Cardenas e J. Ruths, “Constraining
www.cybok.org
recursos do atacante por meio da saturação do atuador ”, em 8 Controle Anual Americano

Conferência (ACC) . IEEE, 8, pp. 86–.
[8] M. Arroyo, H. Kobayashi, S. Sethumadhavan e J. Yang, “FIRED: frequente inercial

redefine com diversi cação para sistemas ciberfísicos de commodities emergentes ”, arXiv
pré-impressão arXiv:. 6 ,.
[] F. Abdi, C.-Y. Chen, M. Hasan, S. Liu, S. Mohan e M. Caccamo, “Garantido

segurança física com design baseado em reinicialização para sistemas ciber-físicos ”, em
Anais da ª Conferência Internacional ACM / IEEE sobre Ciber-Física
Sistemas . IEEE Press, 8, pp. -.
[6] LF Combita, JA Giraldo, AA Cardenas e N. Quijano, “Dddas para o ataque

detecção e isolamento de sistemas de controle ”, no Handbook of Dynamic Data Driven
Sistemas de aplicações . Springer, 8, pp. -.
[6] A. Farraj, E. Hammad, AA Daoud e D. Kundur, “Um controle teórico do jogo

abordagem para mitigar ataques de comutação cibernética em sistemas de rede inteligente, ”em Proceedings
of the IEEE Smart Grid Communications , Veneza, Itália, pp. 8–6.
[6] C. Barreto, AA Cárdenas e N. Quijano, “Controlabilidade de sistemas dinâmicos:

Modelos de ameaça e segurança reativa ”, em Teoria de decisão e jogo para segurança .
Springer,, pp. –6.
[6] P. Hu, H. Li, H. Fu, D. Cansever e P. Mohapatra, “Estratégia de defesa dinâmica contra
ameaça persistente avançada com insiders, ”em IEEE Conference on Computer
Comunicações (INFOCOM) . IEEE,, pp. -.
[6] Y. Yuan, F. Sun e H. Liu, “Controle resiliente de sistemas ciber-físicos contra
atacante inteligente: uma abordagem de jogo stackelberg hierárquica ”, para aparecer em
International Journal of Systems Science ,.
[6] A. Barth, B. Rubinstein, M. Sundararajan, J. Mitchell, D. Song e P. Bartlett, “A

abordagem baseada em aprendizagem para segurança reativa ”, IEEE Transactions on Dependable e
Secure Computing , vol. , não. , pp. 8 -, julho.
[6 6] D. Shelar e S. Amin, “Analisando a vulnerabilidade das redes de distribuição de eletricidade para

der disruptions, ”in American Control Conference (ACC),,, pp. 6 - 68.
[6] L. Sha, "Usando simplicidade para controlar a complexidade", IEEE Software , vol. 8, não. , pp.
- 8 de julho.
[6 8] M. Rostami, A. Juels e F. Koushanfar, “Heart-to-Heart (HH): authentication for

dispositivos médicos implantados ”, em Proceedings of the ACM SIGSAC conference on
Segurança de computadores e comunicações . ACM,, pp. -.
[6] K. Stouffer, S. Lightman, V. Pillitteri, M. Abrams e A. Hahn, “Guide to industrial

segurança de sistemas de controle (ICS): controle de supervisão e aquisição de dados (SCADA)
sistemas, sistemas de controle distribuído (DCS) e outro sistema de controle
configurações como controladores lógicos programáveis (plc), ”NIST, Tech. Rep.
Publicação especial 8 -8: Revisão, maio.
[6] T. Koppel, Lights out: a cyberattack, uma nação despreparada, sobrevivendo ao rescaldo .
Livros da Broadway, 6.
www.cybok.org
[6] NERC-CIP, Proteção de infraestrutura crítica . Confiabilidade elétrica norte-americana

Corporation, 8. [Online]. Disponível:
https://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx
[6] F. Sakiz e S. Sen, “Um Levantamento de Ataques e Mecanismos de Detecção em Inteligência

Transportation Systems: VANETs and IoV, ” Ad Hoc Networks , vol. 6, pp. -,
.
[6] B. Nassi, A. Shabtai, R. Masuoka e Y. Elovici, “Sok-security and privacy in the age
de drones: ameaças, desafios, mecanismos de solução e lacunas científicas ”, arXiv
pré-impressão arXiv:. ,.
[6] LJ Wells, JA Camelio, CB Williams e J. White, “Segurança cibernética

desafios em sistemas de manufatura ”, Manufacturing Letters , vol. , não. , pp.
-,.
[6] M. Rushanan, AD Rubin, DF Kune e CM Swanson, “SoK: Security and privacy

em dispositivos médicos implantáveis e redes corporais ”, em Segurança e Privacidade (SP),
Simpósio IEEE em diante . IEEE,, pp. -.
[6 6] C. Alcaraz, G. Fernandez e F. Carvajal, “Aspectos de segurança do SCADA e DCS

ambientes ”, em Proteção de infraestrutura crítica . Springer,, pp. -.
[6] M. Iturbe, I. Garitano, U. Zurutuza e R. Uribeetxeberria, “Para grande escala,

sistemas heterogêneos de detecção de anomalias em redes industriais: um levantamento de
tendências atuais ”, Security and Communication Networks , vol. ,.
[6 8] I. Garitano, C. Siaterlis, B. Genge, R. Uribeetxeberria e U. Zurutuza, “A method to

construir modelos de tráfego de rede para sistemas de controle de processo ”, em Proceedings of
IEEE ª Conferência Internacional sobre Tecnologias Emergentes e Fábricas
Automação (ETFA) . IEEE,, pp. –8.
[6] C. Feng, VR Palleti, A. Mathur, e D. Chana, “Uma estrutura sistemática para gerar
invariantes para detecção de anomalias em sistemas de controle industrial. ” no NDSS ,.
[6] CM Ahmed, J. Zhou e AP Mathur, “Noise matter: Using sensor and process
ruído ngerprint para detectar ataques cibernéticos furtivos e autenticar sensores no CPS, ”
em Proceedings of th Annual Computer Security Applications Conference .
ACM, 8, pp. 66-8.
[6] J. Giraldo, D. Urbina, AA Cardenas e NO Tippenhauer, “Hide and find: An

arquitetura para melhorar a visibilidade de ataque em sistemas de controle industrial ”, em
Conferência Internacional sobre Criptografia Aplicada e Segurança de Rede . Springer,
, pp. -.
[6] RM Lee, MJ Assante e T. Conway, “Analysis of the cyber attack on the
Rede elétrica ucraniana ”, SANS Industrial Control Systems, Tech. Rep., 6. [Online].
Disponível: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_.pdf
[6] R. Langner, “Para matar uma centrífuga: uma análise técnica do que os criadores do stuxnet tentaram
para alcançar ”, Arlington, VA: Langner Group , vol. , p. ,. [Conectados]. Disponível:
http://www.langner.com/en/wp-content/uploads/ / /To-kill-a-centrifuge.pdf
[6] A. Teixeira, I. Shames, H. Sandberg e KH Johansson, “Revealing stealthy

ataques em sistemas de controle ”, na Conferência Anual Allerton sobre Comunicação,
Controle e computação (Allerton) . IEEE,, pp. 8 6–8.
www.cybok.org
[6] M. Parvania, G. Koutsandria, V. Muthukumary, S. Peisert, C. McParland, e

A. Scaglione, “Sistemas de detecção de intrusão de rede de controle híbrido para sistemas automatizados
sistemas de distribuição de energia ”, em Proceedings of Conference on Dependable Systems
and Networks (DSN) , junho, pp. -.
[6 6] G. Koutsandria, V. Muthukumar, M. Parvania, S. Peisert, C. McParland, e

A. Scaglione, “Um IDS de rede híbrida para relés digitais de proteção no poder
grade de transmissão ”, em Proceedings of Conference on Smart Grid Communications
(SmartGridComm) ,.
[6] H. Lin, A. Slagell, Z. Kalbarczyk, PW Sauer e RK Iyer, “Segurança semântica

análise de redes SCADA para detectar comandos de controle mal-intencionados em redes de energia, ”
em Proceedings of the first ACM workshop on Smart energy grid security . ACM,,
pp. -.
[6 8] A. Carcano, A. Coletta, M. Guglielmi, M. Masera, IN Fovino e A. Trombetta, “A

análise de estado crítico multidimensional para detectar intrusões em sistemas SCADA, ”
Industrial Informatics, IEEE Transactions on , vol. , não. , pp. - 86,.
[6] A. Le, U. Roedig e A. Rashid, “Lasarus: Lightweight attack surface scale for
sistemas de controle industrial legados ”, no Simpósio Internacional de Engenharia Segura
Software e sistemas . Springer,, pp. 6–.
[6] A. Keliris e M. Maniatakos, “ICSREF: A framework for automatic reverse

engenharia de binários de sistemas de controle industrial, ” NDSS , 8.
[6] S. McLaughlin, S. Zonouz, D. Pohly e P. McDaniel, “Um verificador de segurança confiável para
código do controlador de processo ”, em Proceedings of the ISOC Network and Distributed
Simpósio de Segurança de Sistemas (NDSS) ,.
[6] M. Kroto le D. Gollmann, "Segurança de sistemas de controle industrial: o que é

acontecendo?" dentro a Conferência Internacional de Informática IEEE (INDIN) , julho
, pp. 6–6.
[6] W. Knowles, D. Prince, D. Hutchison, JFP Disso e K. Jones, “A survey of cyber

gestão de segurança em sistemas de controle industrial ”, International Journal of critical
proteção de infraestrutura , vol. , pp. –8,.
[6] B. Green, A. Lee, R. Antrobus, U. Roedig, D. Hutchison e A. Rashid, “Pains, gains

e PLCs: dez lições da construção de um teste de sistemas de controle industrial para
pesquisa de segurança ”, no Workshop USENIX sobre Experimentação de Segurança Cibernética e
Teste (CSET) ,.
[6] G. Constable e B. Somerville, Eds., A Century of Innovation: Twenty Engineering

Conquistas que transformaram nossas vidas . Washington, DC: The National
Academies Press,. [Conectados]. Disponível: https://www.nap.edu/catalog/ 6 / a-
século-de-inovação-vinte-conquistas-de-engenharia-que-transformaram-nosso
[6 6] Y. Liu, P. Ning e MK Reiter, “Ataques de injeção de dados falsos contra estimativa de estado
em redes de energia elétrica ”, ACM Transactions on Information and System Security
(TISSEC) , vol. , não. , p. ,.
[6] A. Teixeira, G. Dán, H. Sandberg, e KH Johansson, “Um estudo de segurança cibernética de um

Sistema de gerenciamento de energia SCADA: ataques furtivos de engano no estado
www.cybok.org
estimator ”, em Proceedings of IFAC World Congress , vol. 8, não. ,, pp.

-.
[6 8] G. Dán e H. Sandberg, “Ataques furtivos e esquemas de proteção para o estado

estimadores em sistemas de energia ”, na Primeira Conferência IEEE Smart Grid Commnunications
(SmartGridComm) , outubro.
[6] O. Kosut, L. Jia, R. Thomas e L. Tong, “Malicious Data Attacks on Smart Grid
Estimativa de estado: estratégias e contramedidas de ataque ”, no primeiro IEEE Smart Grid
Conferência de Comunicações (SmartGridComm) , outubro.
[6] A. Teixeira, S. Amin, H. Sandberg, KH Johansson e SS Sastry, “Cyber security

análise de estimadores de estado em sistemas de energia elétrica ", em Proceedings of
Conferência sobre Decisão e Controle (CDC) . IEEE,, pp. - 8.
[6] A. Giani, E. Bitar, M. Garcia, M. McQueen, P. Khargonekar e K. Poolla, “Smart grid

π
ataques de integridade de dados: caracterizações e contra-medidas , ”Em Proceedings of
Conferência sobre Smart Grid Communications (SmartGridComm) . IEEE, pp.
-.
[6] MA Rahman, E. Al-Shaer, M. Rahman et al. , “Um modelo formal para verificação de sigilo
ataques na estimativa de estado em redes de energia ", em Proceedings of Conference on Smart
Comunicações de rede (SmartGridComm) . IEEE,, pp. -.
[6] AA Cárdenas e R. Safavi-Naini, "Segurança e privacidade na rede inteligente",

Manual sobre proteção de infraestrutura crítica física cibernética. , pp. 6–6,.
[6] Government Accountability Office, “Electricity grid modernization. progresso sendo

feitas nas diretrizes de segurança cibernética, mas os principais desafios ainda precisam ser resolvidos ”,
Janeiro . [Conectados]. Disponível: https://www.gao.gov/new.items/d .pdf
[6] MA Lisovich, DK Mulligan e SB Wicker, “Inferring personal information from

demand-response systems ”, IEEE Security & Privacy Magazine , vol. 8, não. , pp.
- , Janeiro fevereiro .
[6 6] X. Liao, D. Formby, C. Day e RA Beyah, “Towards secure medering data analysis

via privacidade diferencial distribuída ”, em ª Conferência Internacional Anual IEEE / IFIP
on Dependable Systems and Networks, DSN, Atlanta, GA, USA, junho - 6 ,,
, pp. 8-8. [Conectados]. Disponível: http://dx.doi.org/. / DSN. 0,8
[6] R. Tan, V. Badrinath Krishna, DK Yau e Z. Kalbarczyk, “Impact of integridade attack

sobre preços em tempo real em redes inteligentes ”, em Proceedings of the ACM SIGSAC
conferência sobre segurança de computadores e comunicações . ACM,, pp. -.
[6 8] C. Barreto, AA Cárdenas, N. Quijano e E. Mojica-Nava, “CPS: Market analysis of

ataques contra a resposta à demanda na rede inteligente ”, em Proceedings of the th
Conferência Anual de Aplicativos de Segurança de Computadores . ACM, pp. 6–.
[6] S. Amini, F. Pasqualetti e H. Mohsenian-Rad, “Ataques de alteração de carga dinâmica

contra a estabilidade do sistema de energia: modelos de ataque e esquemas de proteção, ” IEEE
Transactions on Smart Grid , vol. , não. , pp. 86-8, 8.
[6] J. Giraldo, A. Cárdenas e N. Quijano, “Ataques de integridade em preços em tempo real em

redes inteligentes: impacto e contra-medidas ”, IEEE Transactions on Smart Grid , vol. 8,
não. , pp. -, 6.
www.cybok.org
[6] A.-H. Mohsenian-Rad e A. Leon-Garcia, “Distributed internet-based load altering

ataques contra redes de energia inteligentes ”, IEEE Transactions on Smart Grid , vol. , não. , pp.
66 –6,.
[6] B. Chen, N. Pattanaik, A. Goulart, KL Butler-Purry e D. Kundur, “Implementing

ataques para protocolo Modbus / TCP em um ambiente de teste de sistema cibernético em tempo real ”, em
Qualidade e confiabilidade das comunicações (CQR), IEEE International Workshop
Comitê Técnico ligado . IEEE,, pp. –6.
[6] A. Laszka, A. Dubey, M. Walker e D. Schmidt, “Providing privacy, safety, and
segurança em sistemas de energia transativa baseados em IoT usando livros-razão distribuídos ”, em
Anais da Sétima Conferência Internacional sobre a Internet das Coisas . ACM,
, p. .
[6] S. Soltan, P. Mittal e HV Poor, "BlackIoT: IoT botnet of high wattage devices can
interromper a rede elétrica, ”em o Simpósio de Segurança USENIX (USENIX Security 8) ,
8, pp. -.
[6] B. Huang, AA Cardenas e R. Baldick, “Nem tudo é escuro e sombrio: Poder

proteções de grade contra ataques de demanda de IoT ”, no 8º Simpósio de Segurança USENIX
(Segurança USENIX) ,.
[6 6] R. Herring, A. Ho eitner, S. Amin, T. Nasr, A. Khalek e A. Bayen, “Using mobile

telefones para previsão do tráfego arterial por meio de aprendizado estatístico ”, in Proc. do dia 8
Reunião Anual do Transportation Research Board (TRB),, pp. -.
[6] Texas Transportation Institute, "Annual Urban Mobility Report". ,

http://mobility.tamu.edu/ums.
[6 8] E. De Cristofaro e C. Soriente, “Participatory privacy: Enabling privacy in

sensoriamento participativo ”, IEEE Network , vol. , não. , pp. - 6,.
[6] C.-L. Huang, Y. Fallah, R. Sengupta e H. Krishnan, “Intervehicle transmission rate

controle para o sistema cooperativo de segurança ativa, ” Intelligent Transportation Systems,
IEEE Transactions on , vol. , não. , pp. 6–6 8, set. .
[66] B. Ghena, W. Beyer, A. Hillaker, J. Pevarnek e JA Halderman, “Green lights

para sempre: analisando a segurança da infraestrutura de tráfego ”, no 8º Workshop USENIX sobre
Tecnologias ofensivas (WOOT) ,.
[66] (8 de outubro) Vulnerabilidades do sensor de tráfego das redes Sensys (Atualização A).
https://ics-cert.us-cert.gov/advisories/ICSA- - - A.
[66] (, março) Estudantes israelenses falsificam o aplicativo waze com congestionamento de tráfego falso. http: //
www.popsci.com/article/gadgets/israeli-students-spoof-waze-app-fake-traf c-jam.
[66] MT Garip, ME Gursoy, P. Reiher e M. Gerla, “Ataques de congestionamento para

carros autônomos usando botnets veiculares ”, no NDSS Workshop on Security of
Tecnologias de rede emergentes (SENT), San Diego, CA ,.
[66] G. Wang, B. Wang, T. Wang, A. Nika, H. Zheng e BY Zhao, “Defesa contra

dispositivos sybil em serviços de mapeamento crowdsourced ”, em Aceito no ª ACM
Conferência Internacional sobre Sistemas Móveis, Aplicativos e Serviços (MobiSys '6) ,
6
www.cybok.org
[66] (6, junho) Proprietários cansados de traficar e o waze estão em guerra novamente. adivinha quem é
ganhando? https://www.washingtonpost.com/local/traf c-weary-homeowners-and-
waze-estão-em-guerra-novamente-adivinha-quem-está-ganhando / 6/6 / / c 66df 6- d- e6-
b 8 - eb _story.html.
[666] K. Sampigethaya, R. Poovendran, S. Shetty, T. Davis e C. Royalty, “Future

Segurança e comunicações de aeronaves habilitadas para e: Os próximos anos e além, ”
Proceedings of the IEEE , vol. , não. , pp. -,.
[66] A. Costin e A. Francillon, “Ghost in the air (traf c): On insegurity of ADS-B protocol
e ataques práticos a dispositivos ADS-B ”, Black Hat USA , pp. -,.
[668] EJ Weyuker, "Testing component-based software: A Cautionary tale" , software IEEE ,

vol. , não. , pp. -, 8.
[66] D. Jenkins e B. Vasigh, O impacto econômico dos sistemas de aeronaves não tripuladas
integração nos Estados Unidos . Associação para Sistemas de Veículos Não Tripulados
Internacional (AUVSI),.
[6] () O Gartner prevê que milhões de drones serão enviados. [Conectados]. Disponível:
https://dronelife.com/ / / / gartner-predicts- -million-drones-shipped- /
[6] R. Altawy e AM Youssef, "Segurança, privacidade e aspectos de segurança dos drones civis:
Uma pesquisa, ” ACM Transactions on Cyber-Physical Systems , vol. , não. , p. , 6.
[6] RJ Rosen, “Então é assim que começa: Guy se recusa a parar de espionar drones em Seattle
mulher," . [Conectados]. Disponível:
https://www.theatlantic.com/technology/archive/ / / so-this-is-how-it-started-
cara-se-recusa-a-parar-zangão-espionando-em-Seattle-mulher / 6 /
[6] B. Schneier, “Tudo bem atirar em um drone no seu quintal?” . [Conectados].

Disponível:
https://www.cnn.com/ / / / opinion / schneier-shoot-down-drones /
[6] OB Waxman, “O pai mais embaraçoso do mundo drone segue a filha para
escola," . [Conectados]. Disponível:
https://time.com/ 8 / dad-daughter-drone-school /
[6] D. Davidson, H. Wu, R. Jellinek, T. Ristenpart e V. Singh, "Controlling UAVs with

ataques de spoo ng de entrada de sensor ”, em Proceedings of the USENIX Conference on
Offensive Technologies , ser. WOOT '6. Berkeley, CA, EUA: USENIX Association,
6, pp. -.
[6 6] M. Diulio, C. Savage, B. Finley e E. Schneider, “Taking the Integrated condition

sistema de avaliação ao ano ”, no Int. Simpósio de Sistemas de Controle de Navios,
Orlando, FL ,.
[6] M. Diulio, R. Halpin, M. Monaco, H. Chin, T. Hekman e F. Dugie, “Advancements in

programas de monitoramento remoto de equipamentos - fornecendo suporte de eet ideal em um
cyber-safe environment, ” Naval Engineers Journal , vol. , não. , pp. - 8,.
[6 8] K. Koscher, A. Czeskis, F. Roesner, S. Patel, T. Kohno, S. Checkoway, D. McCoy,

B. Kantor, D. Anderson, H. Shacham et al. , “Análise experimental de segurança de um
automóvel moderno ”, em Segurança e Privacidade (SP), IEEE Simpósio diante . IEEE,
, pp. - 6.
www.cybok.org
[6] S. Nürnberger e C. Rossow, “–vatiCAN – vetted, authenticated CAN bus,” em

Conferência Internacional sobre Hardware Criptográfico e Sistemas Embarcados .
Springer, 6, pp. 6–.
[68] K.-T. Cho e KG Shin, "Viden: Identificação do invasor em redes no veículo", em

Proceedings of the ACM SIGSAC Conference on Computer and Communications
Segurança . ACM,, pp. -.
[68] SU Sagong, X. Ying, A. Clark, L. Bushnell e R. Poovendran, “Cloaking the clock:

emulando a inclinação do relógio em redes de área do controlador ”, em Proceedings of the th
ACM / IEEE Conferência Internacional sobre Sistemas Ciber-Físicos . IEEE Press, 8,
pp. -.
[68] S. Dadras, RM Gerdes e R. Sharma, “Vehicular platooning in an adversarial

ambiente ”, em Proceedings of th ACM Symposium on Information, Computer
e Segurança das Comunicações . ACM, pp. 6 - 8.
[68] K. Poulsen. (, Março) Hacker desativa mais do que carros remotamente. WIRED.
[Conectados]. Disponível: https://www.wired.com/ / / hacker-bricks-cars /
[68] Y. Pan, J. White, DC Schmidt, A. Elhabashy, L. Sturm, J. Camelio e C. Williams,

“Taxonomias para raciocinar sobre ataques físicos cibernéticos em manufatura baseada em IoT
sistemas, ” International Journal of Interactive Multimedia and Arti cial Inteligence ,
vol. , não. Edição especial sobre avanços e aplicações na Internet das coisas e
Computação em nuvem,.
[68] D. Quarta, M. Pogliani, M. Polino, F. Maggi, AM Zanchettin e S. Zanero, “An

análise experimental de segurança de um controlador de robô industrial ”, em 8º IEEE
Simpósio de Segurança e Privacidade (SP) . IEEE,, pp. 68-86.
[686] PW Singer, com fios para a guerra: A revolução robótica e con ito no século XXI .
Penguin,.
[68] NG Leveson e CS Turner, "Uma investigação dos acidentes terapêuticos", IEEE

computador , vol. 6, não. , pp. 8–,.
[688] C. Camara, P. Peris-Lopez e JE Tapiador, “Security and privacy issues in

dispositivos médicos implantáveis: uma pesquisa abrangente, ” Journal of biomedical
informática , vol. , pp. - 8 de junho.
[68] E. Marin, D. Singelée, B. Yang, V. Volski, GA Vandenbosch, B. Nuttin e B. Preneel,
“Protegendo neuroestimuladores
sobre Segurança sem
e Privacidade de fio,”eem
Dados Proceedings
Aplicativos of the8,Eighth
. ACM, pp. 8-8.ACM Conference
[6] M.-Z. Poh, DJ McDuff e RW Picard, “Advancements in noncontact,

medições fisiológicas multiparâmetros usando uma webcam ”, transações IEEE em
engenharia biomédica , vol. 8, não. , pp. -,.
[6] D. Hambling, “O Pentágono tem um laser que pode identificar pessoas à distância por
sua pulsação ”, MIT Technology Review ,.
[6] CS Kruse, B. Frederick, T. Jacobson e DK Monticone, “Cybersecurity in

saúde: uma revisão sistemática das ameaças e tendências modernas, ” Tecnologia e
Health Care , vol. , não. , pp. -,.
www.cybok.org
[6] C. Kolias, G. Kambourakis, A. Stavrou e J. Voas, “DDoS in the IoT: Mirai and other
botnets ” , Computer , vol. , não. , pp. 8–8,.
[6] L. Mathews, “Criminals Hacked A Fish Tank To Steal Data From A Casino,”.
[Conectados]. Disponível: https://www.forbes.com/sites/leemathews/ / / /
criminosos-hackeado-um-tanque-para-roubar-dados-de-um-cassino / # dba8c 6 b
[6] K. Albrecht e L. Mcintyre, “Pesadelo de privacidade: Quando as babás eletrônicas estragam

[opinião], ” IEEE Technology and Society Magazine , vol. , não. , pp. -,.
[6 6] D. Goldman, "Shodan: The scariest search engine", abril. [Conectados]. Disponível:

https://money.cnn.com/ / / 8 / technology / security / shodan /
[6] J. Valente, MA Wynn e AA Cardenas, “Roubo, espionagem e abuso:

Consequências de ataques a dispositivos da Internet das Coisas ”, IEEE Security Privacy , vol. ,
não. , pp. -, setembro.
[6 8] N. Zhang, X. Mi, X. Feng, X. Wang, Y. Tian e F. Qian, "Dangerous skills:

Compreender e atenuar os riscos de segurança das funções de terceiros controladas por voz
em sistemas de assistente pessoal virtual ”, em Dangerous Skills: Understanding and
Reduzindo os riscos de segurança de funções de terceiros controladas por voz no virtual
Sistemas de assistente pessoal . IEEE,, p. .
[6] AK Simpson, F. Roesner e T. Kohno, “Protegendo dispositivos IoT domésticos vulneráveis com
um gerenciador de segurança no hub ”, em IEEE International Conference on Pervasive
Workshops de Computação e Comunicações (Workshops PerCom) . IEEE, pp.
- 6.
[] W. Zhang, Y. Meng, Y. Liu, X. Zhang, Y. Zhang e H. Zhu, “Homonit: Monitoring

aplicativos de casa inteligente de tráfego criptografado ”, em Proceedings of the 8 ACM SIGSAC
Conferência sobre Segurança de Computadores e Comunicações . ACM, 8, pp. - 88.
[] J. Wilson, RS Wahby, H. Corrigan-Gibbs, D. Boneh, P. Levis e K. Winstein, “Trust

mas verifique: Auditando a Internet segura das coisas ”, nos Anais do th Annual
Conferência Internacional sobre Sistemas, Aplicativos e Serviços Móveis . ACM,,
pp. 6 -.
[] B. Schneier, Clique aqui para matar todos: segurança e sobrevivência em um hiperconectado

Mundo . WW. Norton & Company, 8 de setembro.
[] M. Schmitt, “International law in cyberspace: The Koh Speech and the Tallinn
manual justaposto ”, Harvard International Law Journal Online , vol. ,.
[] Grupo de Trabalho de Sistemas de Controle do Setor de Energia, "Roteiro para alcançar o fornecimento de energia
segurança cibernética de sistemas ”, Departamento de Energia dos EUA, Tech. Rep.,. [Conectados].
Disponível: https://www.energy.gov/ceser/downloads/roadmap-achieve-energy-
entrega-sistemas-cibersegurança-
[] B. Schneier, "The internet of things will upend our industry," IEEE Security and Privacy ,
vol. , não. , pp. 8–8,.
[6] K. Fu. (6) Interrupção da infraestrutura: segurança da Internet das coisas. US House of
Representantes. [Conectados]. Disponível: http://docs.house.gov/meetings/IF/IF /
6 6/8 / HHRG- -IF -Wstate-FuK- 6 6.pdf

www.cybok.org
[] MY Vardi, "Cyber insegurity and cyber libertarianism," Communications of the ACM ,

vol. 6, não. , pp. -,.
[8] M. Schallbruch, “The European network and information security Directive – a

pedra angular do mercado único digital ”, em Digital Marketplaces Unleashed .
Springer, 8, pp. 8-.
[] “Princípios de avaliação de segurança para a indústria nuclear civil,”.
[] M. Daniel. () Incentivos para apoiar a adoção da estrutura de segurança cibernética.

https://obamawhitehouse.archives.gov/blog/ / 8/6 / concepts-support-
estrutura de adoção-cibersegurança.
[] Força-Tarefa Integrada do Departamento de Segurança Interna, “Ordem Executiva 6 6:

Melhorando a segurança cibernética da infraestrutura crítica ”, https://www.dhs.gov/sites/default/
les / publicações / dhs-eo 6 6-analytic-report-cybersecurity-incentivos-study.pdf,
Departamento de Segurança Interna, Tech. Rep.,.
[] () Proteção de infraestrutura crítica. Comissão Europeia. [Conectados].

Disponível: https://ec.europa.eu/home-affairs/what-we-do/policies/crisis-and-
terrorismo / infraestrutura crítica_en
[] T. Augustinos, L. Bauer, A. Cappelletti, J. Chaudhery, I. Goddijn, L. Heslault,

N. Kal gkopoulos, V. Katos, N. Kitching, M. Kroto I et al. , “Seguro cibernético: recente
avanços, boas práticas e desafios ”, European Union Agency For Network e
Segurança da Informação (ENISA) , 6.
[] I. Ehrlich e GS Becker, "Seguro de mercado, autosseguro e autoproteção",

Jornal de Economia Política , vol. 8, não. , pp. 6–6 8,.
[] PJ Denning e DE Denning, "Discussing cyber attack", Communications of the

ACM , vol. , não. , pp. -,.
[6] AK Cebrowski e JJ Garstka, "Network-centric warfare: Its origin and future", em

US Naval Institute Proceedings , vol. , não. , 8, pp. 8–.
[] M. Robinson, K. Jones e H. Janicke, “Cyber warfare: Issues and challenge,”

Computadores e segurança , vol. , pp. -,.
[8] A. Greenberg, “A história não contada de NotPetya, o ciberataque mais devastador em

história, 8 de agosto ”, do livro Sandworm publicado no site Security wired. ,
. [Conectados]. Disponível: https://www.wired.com/story/notpetya-cyberattack-
ukraine-russia-code-crashed-the-world /
[] R. Piggin, “Desenvolvimento de padrões de segurança cibernética industrial: IEC 6 para SCADA

e segurança do sistema de controle industrial ”, na Conferência IET sobre Controle e Automação
: Unindo Problemas e Soluções . IET,, pp. –6.
[] NIST, EUA, "Guidelines for smart grid cyber security (vol. To)," NIST IR-6 8, ago ,
.
[] B. Obama, “Ordem Executiva 6 6: Melhorando a segurança cibernética da infraestrutura crítica,”

Federal Register , vol. 8, não. , p. ,.
[] L. Tanczer, I. Brass, M. Elsden, M. Carr e JJ Blackstock, “The United Kingdom's

cenário político emergente da Internet das coisas (IoT), ” Tanczer, LM, Brass, I., Elsden, M.,
Carr, M. e Blackstock, J. (). A Internet das Coisas Emergente do Reino Unido
www.cybok.org
(IoT) Cenário de políticas. Em R. Ellis & V. Mohan (Eds.), Rewired: Cybersecurity

Governança , pp. - 6,.
[] E. Lear, R. Droms e D. Romascanu, “descrição de uso do fabricante

speci cation, ”IETF Network Working Group, Tech. Rep. Draft-ietf-opsawg-mud-,
8
[] H. Tschofenig e E. Baccelli, "Cyberphysical security for the masses: A survey of
o pacote de protocolo de internet para segurança da internet das coisas ”, IEEE Security Privacy ,
vol. , não. , pp. -, setembro.
[] SK Das, K. Kant e N. Zhang, Handbook on securing cyber-físico crítico

infraestrutura . Elsevier,.
[6] R. Liu e W. Trappe, Securing Wireless Communications at the Physical Layer , st ed.
Springer Publishing Company, Incorporated,.
[] C. Ye, S. Mathur, A. Reznik, Y. Shah, W. Trappe e NB Mandayam,

“Geração de chave secreta de informação teoricamente para desvanecimento de canais sem fio”, IEEE
Transactions on Information Forensics and Security , vol. , não. , pp. -,.
[8] S. Eberz, M. Strohmeier, M. Wilhelm e I. Martinovic, “A prático man-in-the-middle

ataque a protocolos de geração de chave baseados em sinal ”, em Computer Security - ESORICS
, S. Foresti, M. Yung e F. Martinelli, Eds. Berlim, Heidelberg: Springer Berlin
Heidelberg,, pp. -.
[] N. Anand, S.-J. Lee e EW Knightly, “Strobe: Actively securing wireless

comunicações usando formação de feixe de força zero, ”em Processos IEEE
INFOCOM , março, pp. - 8.
[] S. Čapkun, M. Čagalj, R. Rengaswamy, I. Tsigkogiannis, J.‑P. Hubaux, e

M. Srivastava, “Códigos de integridade: Proteção de integridade de mensagem e autenticação sobre
canais inseguros ”, IEEE Transactions on Dependable and Secure Computing , vol. ,
não. , pp. 8–, 8 de outubro.
[] CE Shannon, "teoria da comunicação dos sistemas de sigilo" , técnica do sistema Bell

jornal , vol. 8, não. , pp. 6 6–,.
[] AD Wyner, "The wire-tap channel" , jornal técnico do sistema Bell , vol. , não. 8, pp.
- 8,.
[] I. Csiszár e J. Korner, “Broadcast channels with confidial messages,” IEEE

transações na teoria da informação , vol. , não. , pp. - 8, 8.
[] M. Bloch, J. Barros, MR Rodrigues e SW McLaughlin, “Wireless

segurança teórica da informação ”, IEEE Transactions on Information Theory , vol. ,
não. 6, pp. -, 8.
[] D. Adamy, EW: um primeiro curso em guerra eletrônica . Artech House,.
[6] C. Popper, "On secure wireless communication under adversarial interferência", PhD
tese, ETH Zurique,.
[] C. Pöpper, NO Tippenhauer, B. Danev e S. Čapkun, “Investigation of signal and

manipulação de mensagens no canal sem fio ”, em Proceedings of the European
Simpósio de Pesquisa em Segurança Informática ,.
www.cybok.org
[8] H. Yang, S. Bae, M. Son, H. Kim, SM Kim e Y. Kim, “Hiding in plain signal:
Ataque de ofuscamento de sinal físico em LTE ”, no 8º Simpósio de Segurança USENIX
(Segurança USENIX) . Santa Clara, CA: Associação USENIX, agosto, pp. -.
https://www.usenix.org/conference/usenixsecurity / presentation / yang-hojoon
[] B. Danev, D. Zanetti e S. Capkun, “On Physical-layer identi cation of wireless

dispositivos ”, ACM Comput. Surv. , vol. , não. , pp. 6: –6:, dez.
[] G. Avoine, MA Bingöl, I. Boureanu, S. čapkun, G. Hancke, S. Kardaş, CH Kim,

C. Lauradoux, B. Martin, J. Munilla, A. Peinado, KB Rasmussen, D. Singelée,
A. Tchamkerten, R. Trujillo-Rasua e S. Vaudenay, “Security of distance-bounding:
Uma pesquisa ”, ACM Comput. Surv. , vol. , não. , pp.: -:, 8 de setembro.
[] T. Beth e Y. Desmedt, "tokens de identificação - ou: Resolvendo o grande mestre do xadrez

problema ”, na Conferência sobre a Teoria e Aplicação da Criptografia . Springer,
, pp. 6 - 6.
[] S. Brands e D. Chaum, “Protocolos de limite de distância”, em Workshop on the Theory

e Aplicação de Técnicas Criptográficas . Springer,, pp. -.
[] J. Clulow, GP Hancke, MG Kuhn e T. Moore, “Tão perto e ainda tão longe:
eAtaques
Sensor de
Networks
limitação
, L.deButtyán,
distânciaVD
emGligor,
redes sem
e D.fio
Westhoff,
”, em Segurança
Eds. Berlim,
e privacidade em ad-hoc
Heidelberg: Springer Berlin Heidelberg, 6, pp. 8 -.
[] A. Ranganathan e S. Capkun, “Estamos realmente próximos? Verificando a proximidade em wireless

systems, ” IEEE Security & Privacy , vol. , não. , pp. - 8,.
[] M. Singh, P. Leu e S. Capkun, “UWB com reordenamento de pulso: Protegendo alcance

contra ataques de relé e de camada física. ” IACR Cryptology ePrint Archive , vol. , p.
,.
[6] S. Capkun e J.‑P. Hubaux, “Posicionamento seguro em redes sem fio,” IEEE Journal
em Áreas Selecionadas em Comunicações , vol. , não. , pp. -, 6 de fevereiro.
[] P. Leu, M. Singh, M. Roeschlin, KG Paterson e S. Capkun, “Message time of

códigos de chegada: um primitivo fundamental para medição de distância segura, ” IEEE
Simpósio sobre Segurança e Privacidade ,.
[8] GP Hancke e MG Kuhn, "An RFID distance bounding protocol", em First

Conferência Internacional sobre Segurança e Privacidade para Áreas Emergentes em
Redes de comunicações (SECURECOMM ') . IEEE,, pp. 6 -.
[] M. Poturalski, M. Flury, P. Papadimitratos, J.‑P. Hubaux e J.-Y. Le Boudec,

“Distância limitada com IEEE 8. . a: Ataques e contra-medidas ”, IEEE
Transactions on Wireless Communications , vol. , não. , pp. -,.
[] MG Kuhn e CMG Kuhn, "Compromising emanations: Eavesdropping risk of

monitores de computador ”.
[] MG Kuhn, "Electromagnetic eavesdropping risk of at-panel displays", em

Workshop internacional sobre tecnologias para aumentar a privacidade . Springer, pp.
88–.
www.cybok.org
[] M. Backes, T. Chen, M. Duermuth, HPA Lensch e M. Welk, “Tempest in a teapot:

Reflexões comprometedoras revisitadas, ”em o Simpósio IEEE sobre Segurança e
Privacidade , maio, pp. -.
[] D. Genkin, A. Shamir e E. Tromer, “extração de chave RSA via acústica de largura de banda baixa
criptanálise ”, em Advances in Cryptology - CRYPTO , JA Garay e R. Gennaro,
Eds. Berlin, Heidelberg: Springer Berlin Heidelberg,, pp. - 6.
[] P. Marquardt, A. Verma, H. Carter e P. Traynor, “(sp) iPhone: decoding vibrations

de teclados próximos usando acelerômetros de telefones celulares ”, em Proceedings of the
8ª Conferência ACM sobre Segurança de Computadores e Comunicações . ACM, pp.
- 6.
[] Y. Zhang e K. Rasmussen, “Detecção de ataques de interferência eletromagnética em

sistemas de sensores ”, no Simpósio IEEE sobre Segurança e Privacidade (S&P) , maio.
[6] W. van Eck, “radiação eletromagnética de unidades de exibição de vídeo: uma escuta
risco?" Computadores e Segurança , vol. , não. , pp. 6 - 86, 8. [Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/ 6 88 6X
[] Y. Shoukry, P. Martin, Y. Yona, S. Diggavi e M. Srivastava, “Pycra: Physical

autenticação de desafio-resposta para sensores ativos sob ataques de spoo ng ”, em
Anais da nd ACM SIGSAC Conference on Computer e
[8] L. Francis, GP Hancke, K. Mayes e K. Markantonakis, “Practical relay attack on

transações sem contato usando telefones celulares NFC. ” IACR Cryptology ePrint
Arquivo , vol. , p. 6 8,.
[] M. Strohmeier, “Security in next generation air traf c communication networks,”

Ph.D. dissertação, University of Oxford, 6.
[6] D. Forsberg, G. Horn, W.-D. Moeller e V. Niemi, LTE Security , nd ed. Wiley
Publicação,.
[6] A. Ranganathan, “Técnicas de camada física para verificação de proximidade segura e

localização ”, tese de doutorado, ETH Zurique, 6.
[6] D. Basin, J. Dreier, L. Hirschi, S. Radomirovic, R. Sasse e V. Stettler, “A formal
análise da autenticação G ”, nos Anais da 8 Conferência ACM SIGSAC
em Computer and Communications Security , ser. CCS '8. New York, NY, USA: ACM,
8, pp. 8 - 6. [Online]. Disponível:
http://doi.acm.org/. /. 8 6
[6] SN Premnath, S. Jana, J. Croft, PL Gowda, M. Clark, SK Kasera, N. Patwari, e

SV Krishnamurthy, “Extração de chave secreta da força do sinal sem fio em real
ambientes ”, IEEE Transactions on mobile Computing , vol. , não. , pp. -,
.
[6] S. Mathur, R. Miller, A. Varshavsky, W. Trappe e N. Mandayam, “Proximate:

emparelhamento seguro baseado em proximidade usando sinais sem fio do ambiente ”, em Proceedings of
a ª conferência internacional sobre sistemas, aplicativos e serviços móveis .
ACM,, pp. -.
[6] J. Zhang, TQ Duong, A. Marshall e R. Woods, “Key generation from wireless

canais: Uma revisão ”, Ieee access , vol. , pp. 6–6 6, 6.
www.cybok.org
[66] J. Zhang, A. Marshall, R. Woods e TQ Duong, “Eficient key generation by

explorando a aleatoriedade de respostas de canal de subportadoras OFDM individuais, ”
IEEE Transactions on Communications , vol. 6, não. 6, pp. 8–88, 6.
[6] B. Azimi-Sadjadi, A. Kiayias, A. Mercado e B. Yener, “Robust key generation from

envelopes de sinal em redes sem fio ”, em Proceedings of the th ACM conference
em Segurança de computadores e comunicações . ACM,, pp. -.
[68] M. Strasser, C. Popper, S. Capkun e M. Cagalj, “Jamming-resistente à chave

estabelecimento usando salto de frequência descoordenado ”, em 8 Simpósio IEEE sobre
Segurança e privacidade (sp 8) . IEEE, 8, pp. 6 - 8.
[6] DWK Ng, ES Lo e R. Schober, “Robust beamforming for secure

comunicação em sistemas com informação sem fio e transferência de energia ”, IEEE
Transactions on Wireless Communications , vol. , não. 8, pp. - 6,.
[] Y. Zheng, M. Schulz, W. Lou, YT Hou e M. Hollick, "Pro ling the Strength of

segurança da camada física: Um estudo em cegamento ortogonal ”, nos Anais do dia
Conferência ACM sobre Segurança e Privacidade em Redes Móveis e Sem Fio . ACM, 6,
pp. -.
[] M. Schulz, A. Loch e M. Hollick, “Practical known-plaintext attack against

segurança da camada física em sistemas mimo sem fio. ” na rede e distribuído
Simpósio de Segurança do Sistema (NDSS) ,.
[] P. Robyns, P. Quax e W. Lamotte, “a segurança da camada PHY não é alternativa para

criptografia ”, em Proceedings of th ACM Conference on Security and Privacy in
Redes sem fio e móveis . ACM, pp. 6 - 6.
[] H. Mahdavifar e A. Vardy, “Alcançando a capacidade de sigilo dos canais de escuta telefônica

usando códigos polares, ” arXiv preprint arXiv:. 68 ,.
[] P. Parada e R. Blahut, "Capacidade de sigilo de SIMO e canais de desvanecimento lento," em

Processos. Simpósio Internacional de Teoria da Informação,. É ISSO .
IEEE,, pp. -.
[] A. Mukherjee, SAA Fakoorian, J. Huang, e AL Swindlehurst, "Principles of

segurança da camada física em redes sem fio multiusuário: uma pesquisa, ” IEEE
Communications Surveys & Tutorials , vol. 6, não. , pp. -,.
[6] PK Gopala, L. Lai e H. El Gamal, "On the secret capacity of fading channels", em
Simpósio Internacional IEEE sobre Teoria da Informação . IEEE, pp.
6–.
[] W. Shen, P. Ning, X. He e H. Dai, “Ally friendly jamming: How to jam your inimigo
e manter sua própria conectividade sem fio ao mesmo tempo ”, em IEEE
Simpósio sobre Segurança e Privacidade . IEEE, pp. - 88.
[8] DS Berger, F. Gringoli, N. Facchi, I. Martinovic e J. Schmitt, “Gaining insight on

jamming amigável em um IEEE 8 do mundo real. rede ”, em Proceedings of the
Conferência ACM sobre segurança e privacidade em redes sem fio e móveis . ACM,,
pp. - 6.
[] JP Vilela, M. Bloch, J. Barros e SW McLaughlin, “Wireless secretecy Regions with
friendly
não. , pp.jamming
6–66,. ”, IEEE Transactions on Information Forensics and Security , vol. 6,
www.cybok.org
[8] NO Tippenhauer, L. Malisa, A. Ranganathan e S. Capkun, “Sobre as limitações de

interferência amigável para confidencialidade ”, em Simpósio IEEE sobre Segurança e Privacidade .
IEEE,, pp. 6 -.
[8] S. Capkun, M. Cagalj, G. Karame e NO Tippenhauer, “Integrity region:

Autenticação por meio da presença em redes sem fio ”, IEEE Transactions on Mobile
Computing , vol. , não. , pp. 6 8–6,.
[8] A. Polydoros e K. Woo, "detecção LPI de sinais de salto de frequência usando

técnicas de autocorrelação ”, IEEE journal on selected areas in communication , vol. ,
não. , pp. - 6, 8.
[8] RF Mills e GE Prescott, “Waveform design and analysis of frequency hopping

LPI networks ”, em Proceedings of MILCOM ' , vol. . IEEE,, pp. 8–8.
[8] L. Frikha, Z. Trabelsi, e W. El-Hajj, “Implementation of a covert channel in the

8 cabeçalho, ”em 8 Comunicações Móveis e Sem Fio Internacionais
Conferência de computação . IEEE, 8, pp. -.
[8] C. Popper, M. Strasser e S. Capkun, “Anti-jamming broadcast communication

usando técnicas de espalhamento espectral descoordenadas ”, IEEE Journal on Selected Areas
em Communications , vol. 8, não. , pp. -, junho.
[86] W. Xu, W. Trappe e Y. Zhang, “Anti-jamming timing channels for wireless

redes ”, em Proceedings of the First ACM Conference on Wireless Network Security ,
Ser. WiSec '8. New York, NY, USA: ACM, 8, pp. -.
[8] M. Strasser, C. Pöpper e S. Čapkun, "Ef cient uncoordinated FHSS anti-jamming

comunicação ”, nos Anais do Décimo Simpósio Internacional ACM sobre
Rede e computação móvel ad hoc , ser. MobiHoc '. Nova York, NY, EUA:
ACM, pp. - 8.
[88] K. Grover, A. Lim e Q. Yang, "Técnicas de jamming e anti-jamming em wireless

redes: uma pesquisa, ” International Journal of Ad Hoc and Ubiquitous Computing ,
vol. , não. , pp. -,.
[8] W. Wang, Z. Sun, S. Piao, B. Zhu e K. Ren, "Wireless Physical-layer identi cation:
Modelagem e validação ”, IEEE Transactions on Information Forensics and Security ,
vol. , não. , pp. - 6, 6.
[] TJ Bihl, KW Bauer e MA Temple, “Seleção de recursos para impressão de RF com

análise discriminante múltipla e usando emissões do dispositivo zigbee, ” IEEE
Transactions on Information Forensics and Security , vol. , não. 8, pp. 86-8,
6
[] TD Vo-Huu, TD Vo-Huu e G. Noubir, “Fingerprinting Wi-Fi devices using

rádios de nidos por software ”, em Proceedings of the ACM Conference on Security &
Privacidade em redes sem fio e móveis . ACM, 6, pp. -.
[] S. Capkun, K. El Defrawy e G. Tsudik, "Group distance bounding protocol," in

Conferência Internacional sobre Confiança e Computação Confiável . Springer, pp.
-.
[] NÃO Tippenhauer e S. Čapkun, “Limite de distância segura com base em Id e

localização, ”no Simpósio Europeu de Pesquisa em Segurança Informática . Springer,
, pp. 6–6 6.
www.cybok.org
[] M. Kuhn, H. Luecken e NO Tippenhauer, “distância baseada em rádio de impulso UWB

saltando, ”em o Workshop de Posicionamento, Navegação e Comunicação .
IEEE,, pp. 8–.
[] L. Bussard e W. Bagga, “Prova de conhecimento de limite de distância para evitar tempo real
ataques ”, na Conferência Internacional de Segurança da Informação IFIP . Springer, pp.
- 8.
[6] D. Singelée e B. Preneel, "Distance bounding in ruidosos ambientes", em europeu

Workshop de Segurança em Redes Ad-hoc e Sensor . Springer,, pp. -.
[] KB Rasmussen e S. Capkun, "Realization of RF distance bounding." em USENIX

Simpósio de segurança,, pp. 8 -.
[8] A. Ranganathan, NO Tippenhauer, B. Škorić, D. Singelée e S. Čapkun, “Design

e implementação de um sistema de limitação de distância resiliente à fraude de terrorismo, ”em
Simpósio Europeu de Pesquisa em Segurança Informática . Springer, pp.
-.
[] NÃO Tippenhauer, H. Luecken, M. Kuhn e S. Capkun, “UWB rapid-bit-exchange

sistema para delimitação de distância ", em Proceedings of the 8th ACM Conference on
Segurança e privacidade em redes sem fio e móveis . ACM,, p. .
[8] S. Drimer, SJ Murdoch et al. , “Mantenha seus inimigos próximos: Distância contra
ataques de retransmissão de cartão inteligente. ” no simpósio de segurança USENIX , vol. ,.
[8] C. Cremers, KB Rasmussen, B. Schmidt e S. Capkun, “Distance hijacking

ataques a protocolos de limitação de distância ”, em Simpósio IEEE sobre Segurança e
Privacidade . IEEE,, pp. -.
[8] GP Hancke e MG Kuhn, "Attacks on time-of-ight distance limit channels",

em Proceedings of the first ACM conference on Wireless network security . ACM,
8, pp. -.
[8] KB Rasmussen e S. Čapkun, "Privacidade de localização de protocolos de limite de distância",

em Proceedings of th ACM conference on Computer and Communications
segurança . ACM, 8, pp. - 6.
[8] M. Flury, M. Poturalski, P. Papadimitratos, J.‑P. Hubaux e J.-Y. Le Boudec,

“Eficácia dos ataques de redução de distância contra alcance de rádio por impulso”, em
Anais da terceira conferência ACM sobre segurança de rede sem fio . ACM,,
pp. - 8.
[8] R. Shokri, M. Poturalski, G. Ravot, P. Papadimitratos e J.‑P. Hubaux, “Um prático

protocolo de verificação de vizinho seguro para redes de sensores sem fio ”, em Proceedings
da segunda conferência ACM sobre segurança de rede sem fio . ACM, pp.
-.
[8 6] S. Čapkun e J.‑P. Hubaux, “Posicionamento seguro de dispositivos sem fio com aplicativo
às redes de sensores ”, no infocom IEEE , no. CONF,.
[8] JT Chiang, JJ Haas e Y.-C. Hu, “Veri cação de localização segura e precisa usando
delimitação de distância e multilateração simultânea ”, nos Anais do segundo
Conferência ACM sobre segurança de rede sem fio . ACM, pp. 8-.

www.cybok.org
[8 8] N. Basilico, N. Gatti, M. Monga e S. Sicari, “Security games for node localization

por meio de multilateração verificável, ” IEEE Transactions on Dependable and Secure
Computing , vol. , não. , pp. –8,.
[8] L. Lazos, R. Poovendran e S. Čapkun, “Rope: robust position estimation in

redes de sensores sem fio ”, em Anais do th simpósio internacional sobre
Processamento de informações em redes de sensores . IEEE Press,, p. .
[8] M. Backes, M. Dürmuth, S. Gerling, M. Pinkal e C. Sporleder, “Acoustic

ataques de canal lateral em impressoras ”. no simpósio USENIX Security,, pp. -.
[8] D. Balzarotti, M. Cova e G. Vigna, “Clearshot: Eavesdropping on keyboard input

do vídeo, ”em 8 Simpósio IEEE sobre Segurança e Privacidade (sp 8) . IEEE, 8,
pp. - 8.
[8] M. Backes, M. Dürmuth e D. Unruh, “Compromising re ections-or-how to read lcd

monitores ao virar da esquina, ”em 8 Simpósio IEEE sobre Segurança e Privacidade (sp
8) . IEEE, 8, pp. 8–6.
[8] R. Raguram, AM White, D. Goswami, F. Monrose e J.-M. Frahm, “iSpy: automático
reconstrução da entrada
8ª Conferência digitada
ACM sobre a partirde
Segurança deComputadores
reflexões comprometedoras ", em
e Comunicações Proceedings
. ACM, pp. of the
- 6.
[8] X. Liu, Z. Zhou, W. Diao, Z. Li e K. Zhang, “Quando o bem se torna mau: Pressionamento de tecla
inferência com smartwatch ”, nos Anais da nd ACM SIGSAC Conference on
Segurança de computadores e comunicações . ACM, pp. - 8.
[8] C. Kasmi e JL Esteves, “Ameaças IEMI para a segurança da informação: Comando remoto
injeção em smartphones modernos ”, IEEE Transactions on Electromagnetic
Compatibility , vol. , não. 6, pp. -,.
[8 6] Y. Park, Y. Son, H. Shin, D. Kim e Y. Kim, “Esta não é a sua dose: Sensor spoo ng
ataque à bomba de infusão médica ”, no Workshop USENIX sobre ofensiva
Tecnologias (WOOT 6) , 6.
[8] KB Rasmussen, C. Castelluccia, TS Heydt-Benjamin e S. Capkun,

“Controle de acesso baseado em proximidade para dispositivos médicos implantáveis”, em Proceedings of
a 6ª conferência ACM sobre segurança de computadores e comunicações . ACM,,
pp. -.
[8 8] G. Madlmayr, J. Langer, C. Kantner e J. Scharinger, "Dispositivos NFC: Segurança e

privacidade, ”em 8 Terceira Conferência Internacional sobre Disponibilidade, Confiabilidade e Segurança .
IEEE, 8, pp. 6–6.
[8] S. Burkard, “Near eld communication in smartphones,” Dep. de telecomunicação

Sistemas, Rede centrada em serviços, Instituto de Tecnologia de Berlim, Alemanha ,.
[8] N. Alexiou, S. Basagiannis e S. Petridou, “Análise de segurança de ataques de retransmissão NFC

usando verificação de modelo probabilística ”, em Comunicações sem fio internacionais
e Conferência de Computação Móvel (IWCMC) . IEEE,, pp. -.
[8] M. Schäfer, V. Lenders e I. Martinovic, “Análise experimental de ataques ao próximo

geração de comunicação de tráfego aéreo ”, na International Conference on Applied
Criptografia e segurança de rede . Springer,, pp. -.
www.cybok.org
[8] M. Smith, D. Moser, M. Strohmeier, V. Lenders e I. Martinovic, “Economy class

crypto: Explorando o uso fraco de cifras em comunicações aviônicas via ACARS, ”em
Conferência Internacional sobre Criptografia Financeira e Segurança de Dados . Springer,
, pp. 8 -.
[8] M. Strohmeier, V. Lenders e I. Martinovic, “Intrusion detecção for airborne

comunicação usando informações da camada phy ”, na Conferência Internacional sobre
Detecção de invasões e malware e avaliação de vulnerabilidade . Springer,,
pp. 6 -.
[8] A. Shaik, R. Borgaonkar, N. Asokan, V. Niemi e J.‑P. Seifert, “Ataques práticos

contra privacidade e disponibilidade em sistemas de comunicação móvel G / LTE, ” arXiv
pré-impressão arXiv:. 6 ,.
[8] AN Bikos e N. Sklavos, “LTE / SAE security issues on G wireless networks,” IEEE
Security & Privacy , vol. , não. , pp. –6,.
[8 6] J.-G. Remy e C. Letamendia, padrões LTE . Biblioteca Online Wiley,.
[8] NÃO Tippenhauer, C. Pöpper, KB Rasmussen e S. Capkun, “Sobre os requisitos

para ataques de spoo ng de GPS ", em Proceedings of the 8th ACM conference on
Segurança de computadores e comunicações . ACM,, pp. –86.
[8 8] A. Ranganathan, H. Ólafsdóttir, e S. Capkun, “SPREE: A spoo ng resistente GPS

receptor ”, nos Anais da nd Conferência Internacional Anual sobre Dispositivos Móveis
Computação e redes . ACM, 6, pp. 8–6.
[8] C. Bonebrake e LR O'Neil, "Ataques à confiabilidade do tempo do GPS", IEEE Security &
Privacidade , vol. , não. , pp. 8–8,.
[8] T. Nighswander, B. Ledvina, J. Diamond, R. Brumley e D. Brumley, “software GPS

ataques ”, em Proceedings of the ACM conference on Computer and
segurança das comunicações . ACM, pp. - 6.
[8] JV Carroll, “Avaliação de vulnerabilidade da infraestrutura de transporte dos EUA que

depende do sistema de posicionamento global ”, The Journal of Navigation , vol. 6, não. , pp.
8 -,.
[8] Techopedia. [Conectados]. Disponível: https://www.techopedia.com/dictionary
[8] Sistemas ciberfísicos. [Conectados]. Disponível:

https://www.nsf.gov/pubs/ / nsf / nsf .htm
[8] VR Segovia e A. Theorin, "History of control history of PLC and DCS," University
de Lund ,.
[8] Industrial Internet Consortium, “The Industrial Internet Vocabulary Technical Report
V. , ”IIconsórcio, Tech. Rep., 8 de maio.
[8 6] W. Wahlster, “Da indústria. para a indústria. : em direção à ª revolução industrial

(fórum de negócios encontra pesquisa), ” rd European Summit on Future Internet Towards
Future Internet International Collaborations Espoo, Finlândia , vol. ,.
[8] K. Stouffer, T. Zimmerman, C. Tang, J. Lubell, J. Cichonski e J. McCarthy,

“Perfil de fabricação de estrutura de segurança cibernética”, Instituto Nacional de Padrões
e tecnologia, tecnologia. Rep. NISTIR 8 8,.
www.cybok.org
[8 8] A. Siemens, FOL TID, AS Segura, V. Toubiana, JW Walewski e S. Haller,

“Arquitetura da Internet das coisas entrega do projeto IoT-a. - arquitetura inicial
modelo de referência para IoT ”, Sétimo Programa-Quadro da Comissão da UE, Tech.
Rep.,.
[8] JA Simpson e ESC Weiner, Eds., Dicionário de Inglês Oxford . Universidade de Oxford
Pressione, 8.
www.cybok.org
Página 823
Siglas
Autenticação de dois fatores FA .
Compromisso de duas fases do PC .
Plano de parceria de terceira geração do GPP .
Autenticação, autorização e responsabilidade AAA .
Controle de acesso baseado em atributo ABAC .
Credenciais baseadas em atributos da ABC .
Criptografia baseada em atributo ABE .
ACID Atômico, Consistente, Isolado e Durável.
Lista de controle de acesso ACL .
Conversor analógico-digital ADC .
Integridade de dados de aplicativos ADI .
Transmissão de vigilância dependente automática ADS-B .
Transmissão de vigilância dependente automática ADS-B .
Criptografia autenticada AEAD com dados associados.
Padrão de criptografia avançado AES .
Gateway de aplicativo AG .
AGC Controle de ganho automático.
Cabeçalho de autenticação AH .
www.cybok.org
AI Arti cial Intelligence.
Autenticação AKA e Acordo de Chave.
Unidade Lógica Aritmética ALU .
Correspondência aproximada de AM .
AMQP Advanced Message Queuing Protocol.
AOL America Online.
Ponto de acesso AP .
Interface de programação de aplicativo API .
aplicativo de aplicativo.
Ameaça persistente avançada do APT .
Protocolo de resolução de endereços ARP .

Sistema autônomo AS .
Servidor de autorização AS .
Controles de segurança de aplicativos ASC .
Circuito integrado específico de aplicação ASIC .
Randomização do layout do espaço de endereço ASLR .
Sistema autônomo ASN .
Árvore de sintaxe abstrata AST .
Padrão de verificação de segurança de aplicativos ASVS .
Anexo de tecnologia avançada ATA .
Controle de tráfego aéreo ATC .
Caixa eletrônico ATM ..
ATT & CK Adversarial Tactics, Techniques & Common Knowledge.
AV AntiVirus.
Avaliação de vulnerabilidade real do AVA .
AWS Amazon Web Services.
BAN Burrows-Abadi-Needham.
BFT Byzantine Fault Tolerance.
Protocolo BGP Border Gateway.
Sistema básico de entrada / saída BIOS .
BLE Bluetooth de baixa energia.
BLP Bell-LaPadula.
Hospedagem à prova de marcadores BPH .
Siglas | Outubro Página 8
www.cybok.org
BSIMM Construindo Segurança no Modelo de Maturidade.
BYOD Traga seu próprio dispositivo.
Comando e Controle C&C .
Autoridade de Certificação CA.
Federação de dados de auditoria em nuvem CADF .
Memória endereçável de conteúdo CAM .
Rede de área do controlador CAN .
Consistência, disponibilidade e partição do CAP .
CAPEC Common Attack Pattern Enumeration and Classi cation.
Teste de Turing público totalmente automatizado CAPTCHA para diferenciar computadores de humanos.
Organismo de certificação / validação CB .
Controle de acesso baseado em código CBAC .
Encadeamento de blocos de cifras CBC .
CC Common Criteria.
CC Common Criteria.
Ataque de texto cifrado escolhido pelo CCA .
Protocolo de código de autenticação de mensagem de encadeamento de bloco de codificação CCMP .
Domínio de primeiro nível de código de país ccTLD .
Circuito fechado de televisão CFTV .
CDA Cyber Defense Alliance.
Expressão de evento comum do CEE .
Formato de evento comum CEF .
CEO Chefe do Executivo da cer.
CERT Computer Emergency Response Team.
Tecnologia CET Control-Flow Enforcement.
Feedback de cifra CFB .
Gráfico de fluxo de controle CFG .
Integridade de fluxo de controle CFI .
Teste de ferramenta forense computacional CFTT .
Gateway de nível de circuito CG .
Endereço gerado criptograficamente CGA .
Instruções RISC aprimoradas por hardware com capacidade CHERI .
Integração contínua / entrega contínua CI / CD .
Siglas | Outubro Página
www.cybok.org
Agência Central de Inteligência da CIA.
Confidencialidade, integridade e disponibilidade da CIA .
Modelo de informações comuns CIM .
Resposta ao impulso do canal CIR .
CISO Chief Information Security Of cer.
Parceria de compartilhamento de informações cibernéticas do CISP .
CLASP Processo de Segurança de Aplicativos Leve e Abrangente.
Formato de registro comum CLF .
Ataque de mensagem escolhida do CMA .
CMOS Complementary Metal-Oxide-Semiconductor.
Infraestrutura Crítica Nacional da CNI .
Compartilhamento de recursos entre origens do CORS .
COTS comum fora da prateleira.
Criptografia baseada em atributos de política de texto cifrado CP-ABE .
CPA Chosen Plaintext Attack.
CPS Sistema Ciber-Físico.
Unidade de processamento central da CPU .
Verificação de redundância cíclica CRC .
Cadeia de caracteres de referência comum do CRS .
Tubo de raios catódicos CRT .
Teorema do restante chinês do CRT .
CRTM Core Root of Trust for Measurements.
CSA Cloud Security Alliance.
Serviço de dados comutados por circuito CSD .
CSIRT Computer Security Incident Response Team.
Provedor de serviços de nuvem CSP .
Política de segurança de conteúdo CSP .
Política de segurança de conteúdo CSP .
Falsificação de solicitação entre sites CSRF .
Espectro CSS Chirp-Spread.
Folhas de estilo em cascata CSS .
Análise de tarefas cognitivas do CTA .
CTF captura a bandeira.
www.cybok.org
CTI Cyber-Threat Intelligence.
Modo de contador CTR .
Vulnerabilidades e exposições comuns do CVE .
Problema de vetor mais próximo de CVP .
CVSS Common Vulnerability Scoring System.
Enumeração de fraqueza comum CWE .
CyberSA Conscientização cibernético-situacional.
Conjunto de conhecimentos sobre segurança cibernética do CyBOK .
Atestado anônimo direto da DAA .
Controle de acesso discricionário do DAC .
Agência de Projetos de Pesquisa Avançada de Defesa DARPA .
Teste de segurança de análise dinâmica DAST .
DBI Dynamic Binary Instrumentation.
Sistema de controle distribuído DCS .
DDH Decision Dif e – Hellman.
Negação de serviço distribuída DDoS .
Mecanismo de criptografia de dados DEM .
Prevenção de execução de dados DEP .
Padrão de criptografia de dados DES .
Integridade do fluxo de dados DFI .
Workshop de pesquisa forense digital DFRWS .
Pesquisa em profundidade DFS .
Algoritmo de geração de nomes de domínio DGA .
Problema DHP Dif e – Hellman.
Tabela de hash distribuída DHT .
DICE Device Identi er Composition Engine.
Problema de logaritmo discreto do DLP .
Anel de nível de dispositivo DLR .
Acesso direto à memória DMA .
Relatório e conformidade de autenticação de mensagens com base no domínio DMARC .
DMTF Distributed Management Task Force.
Zona desmilitarizada DMZ .
Sistema de nomes de domínio DNS .
www.cybok.org
Extensões de segurança DNSSEC DNS.
Departamento de Energia do DoE .
Modelo de objeto de domínio DOM .
Modelo de objeto de documento DOM .
Negação de serviço DoS .
Análise de potência diferencial e de ordem superior DPA .
DRAM Dynamic Random Access Memory.
Gerador de bits aleatórios determinísticos DRBG .
Gerenciamento de direitos digitais DRM .
Algoritmo de assinatura digital DSA .
Espectro de difusão de sequência direta DSSS .
DTLS Datagrama TLS.
Interface serial digital DVI .
Transformada Wavelet Discreta DWT .
EE de ponta a ponta.
Criptografia E EE End-to-end.
Nível de garantia de avaliação EAL .
Protocolo de autenticação extensível EAP .
EAP-PEAP Protocolo de autenticação protegida EAP.
EAP-SIM EAP para identidade do assinante GSM.
EAP-TLS EAP-Transport Layer Security.
Protocolo de autenticação extensível EAPoL sobre LAN.
Livro Eletrônico de Códigos do BCE .
Criptografia de curva elíptica ECC .
Esquema de criptografia integrado de curva elíptica ECIES .
Formato de log comum estendido ECLF .
Unidade de controle elétrico da ECU .
EDA Electronic Design Automation.
Espaço Econômico Europeu do EEE .
ELK ElasticSearch-Kibana-Logstash.
Interferência eletromagnética EMI .
ENISA Agência da União Europeia para a Cibersegurança.
Carga útil de segurança de encapsulamento ESP .
www.cybok.org
ETSI European Telecommunications Standards Institute.
Rede de comunicação de campo FCN .
Sequência de verificação de quadro FCS .
Hash de domínio completo FDH .
Detecção, isolamento e recon guração de falhas FDIR .
FFT Fast Fourier Transform.
Criptografia FHE Fully Homomorphic.
FHSS Frequency Hopping Spread Spectrum.
FIB Focused Ion Beam.
FIDO Fast Identity Online.
FIDO Fast IDentity Online.
FIRST Fórum de Equipes de Resposta a Incidentes e Segurança.
FLASK Flux Advanced Security Kernel.
FMS Fluhrer, Martin e Shamir.
Matriz de portas programáveis em campo FPGA .
Sistema de arquivos FS .
FUD Medo, Incerteza e Dúvida.
Sistema de arquivos FUSE no espaço do usuário.
Índice GCI Global de Cibersegurança.
Modo de contador GCM Galois.
Regulamento geral de proteção de dados do GDPR [ ]

Código de autenticação de mensagem GMAC Galois.
Sistemas de navegação global GNS .
Sistemas Globais de Navegação por Satélite GNSS .
Objetivos, operadores e métodos do GOMS .
GPRS General Packet Radio Service.
Sistema de posicionamento global GPS .
Unidade de processamento gráfico da GPU .
Sistema Global GSM para Comunicações Móveis.
Controlador de alta garantia HAC .
HACMS High Assurance Cyber Military Systems.
Adaptador de barramento de host HBA .

www.cybok.org
Unidade de disco rígido HDD .
HIDS Host Intrusion Detection System.
Lei de Responsabilidade e Portabilidade de Seguro Saúde HIPAA .
Registro de localização de casa HLR .
HMAC Hash MAC.
Controlador de alto desempenho HPC .
Recursos Humanos de RH.
Log da réplica do HRL Hyper-V.
Modelo HRU Harrison, Ruzo e Ullman.
Módulo de segurança de hardware HSM .
Servidor de assinante doméstico HSS .
HSTS HTTP Strict Transport Security.
Linguagem de marcação de hipertexto HTML .
HTSA Highway Traff c Safety Administration.
Protocolo de transferência de hipertexto HTTP .
Protocolo de transferência de hipertexto HTTPS seguro.
Circuito integrado IC .
Infraestrutura IaaS como serviço.
Controle de acesso baseado em identidade IBAC .
Criptografia baseada em identidade IBE .
Circuito integrado IC .
Sistema integrado de avaliação de condições ICAS .
ICMP Internet Control Message Protocol.
Sistema de controle industrial ICS .
Tecnologias de informação e comunicação TIC .
Valor de verificação de integridade ICV .
Veículo ICV Inteligente e Conectado.
Ambiente de desenvolvimento integrado IDE .
Formato IDMEF Intrusion Detection Message Exchange.
Nome de domínio internacionalizado com IDN .
Provedor de identidade IdP .
Sistema de detecção e prevenção de intrusões IDPS .
Sistema de detecção de intrusão IDS .
www.cybok.org
Protocolo de troca de detecção de intrusão IDXP .
Comissão Eletrotécnica Internacional IEC .
Força-Tarefa de Engenharia da Internet da IETF .
Organização Governamental Internacional IGO .
Protocolos IGP Interior Gateway.
IOT industrial IIoT .
IIS Internet Information Services.
IKE Internet Key Exchange.
IMAP Internet Mail Access Protocol.
Dispositivo médico implantável IMD .
Identidade do assinante móvel IMSI International.
IND indistinguível.
Indicador de compromisso de IoC .
Formato de troca da descrição do objeto de incidente IODEF .
Unidade de gerenciamento de memória de entrada-saída IOMMU .
IoT Internet of Things.
Protocolo de Internet IP .
Comunicação entre processos IPC .
Sistema de prevenção de intrusões IPS .
Representação intermediária de IR .
IR-UWB Impulse-Radio Ultra Wideband.
IRGC International Risk Governance Council.
Plano de resposta a incidentes IRP .
Arquitetura do conjunto de instruções ISA .
Centro de Análise e Compartilhamento de Informações ISAC .
ISAKMP Internet Security Association and Key Management Protocol.
Fórum de Segurança da Informação ISF .
Indicadores de segurança da informação ISI .
Número de sequência inicial ISN .
ISO International Organization for Standardization.
Provedor de serviços de Internet ISP .
Vetor de inicialização IV .
JSON JavaScript Object Notation.
www.cybok.org
Área de Conhecimento KA .
KAOS Mantenha todos os objetivos satisfeitos.
Servidor de autenticação KAS Kerberos.
KASLR Kernel ASLR.
Função de derivação de chave KDF .
Mecanismo de encapsulamento de chave KEM .
KMAC Keccak MAC.
Criptografia baseada em atributo de política de chave KP-ABE .
KPI Key Performance Indicator.
Conhecimento KSA , habilidades e habilidades.
Armazenamento de valor chave KVS .
Rede de área local LAN .
Ataques Eclipse localizados no LEA .
Diodo Emissor de Luz LED .
LEEF Log Event Enhanced Format.
Consulta integrada da linguagem LINQ .
LOIC Canhão de íons de baixa órbita.
LPC Low Pin Count.
LPI Baixa probabilidade de interceptação.
Evolução de longo prazo LTE .
Memória de longo prazo LTM .
Memória episódica LTM-EM .
Memória Semântica LTM-SM .
LWE Aprendizagem com erros.
Código de autenticação de mensagem MAC .
Controle de acesso obrigatório MAC .
Controle de acesso obrigatório MAC .
Controle de acesso à mídia MAC .
MAPE-K Monitor Analyze Plan Execute-Knowledge.
Padrão de verificação de segurança de aplicativos móveis MASVS OWASP.
ME Management Engine.
Sistemas Microeletromecânicos MEMS .
Siglas | Outubro Página 8 6
www.cybok.org
MILE Managed Lightweight Incident Exchange.
MIME Multipurpose Internet Mail Extensions.
MIMO Multi-Antena, Multiple Input Multiple Output.
Plataforma de compartilhamento de informações sobre malware MISP .
Homem MITM no meio.
MK Master Key.
Aprendizado de máquina de ML .
Multilateração MLAT .
MME Mobility Management Engine.
MMOG Massive Multiplayer Online Games.
Unidade de gerenciamento de memória MMU .
MPC Multi-Party Computation.
Chave de proteção de memória MPK .
Comutação de etiqueta MPLS MultiProtocol.
Unidade de proteção de memória MPU .
Extensões de proteção de memória MPX .
Chave de sessão mestre MSK .
Provedor de serviços de segurança gerenciados MSSP .
Guia de teste de segurança móvel MSTG .
Código de hora de chegada da mensagem MTAC .
Extensões de marcação de memória MTE .
Tempo médio de MTTC para conter.
MTTI tempo médio para identificar.
Descrição de uso do fabricante do MUD .
NASA Agência Espacial norte-americana.
Tradução de endereços de rede NAT .
Organização do Tratado do Atlântico Norte da OTAN .
NCA National Crime Agency.
NCSC National Cyber Security Center.
NERC North American Electric Reliability Corporation.
Comunicação NFC Near-Field.
Virtualização de funções de rede NFV .
Instituto Nacional NICE para Educação em Segurança Cibernética.

www.cybok.org
Rede NIS e Sistemas de Informação.
Instituto Nacional de Padrões e Tecnologia do NIST .
NRBG Gerador de bits aleatórios não determinísticos.
NS não seguro.
Agência de Segurança Nacional da NSA .
NSF National Science Foundation.
NSRL National Software Reference Library.
NTP Network Time Protocol.
Banco de dados de vulnerabilidade nacional NVD .
NX sem execução.
Modelagem de dependência aberta O-DM .
Preenchimento de criptografia assimétrica otimizado OAEP .
OAG Online Application Generator.
Autorização aberta OAuth .
Protocolo de status do certificado online OCSP .
Banco de dados terceirizado ODB .
Ataques Eclipse de saída da OEA .
Feedback de saída OFB .
Escritório ONR para Regulamentação Nuclear.
OU Roteador Onion.
ORAM Oblivious Random Access Memory.
Mapeamento Relacional de Objetos ORM .
Sistema operacional OS .
Interconexão de sistemas abertos OSI .
OSPF Abra o caminho mais curto primeiro.
OT Oblivious Transfer.
Tecnologia Operacional OT .
Senha de uso único OTP .
Mensagens OTR Off-the-Record.
OW unidirecional .
OWASP Open Web Application Security Project.
Estruturas de dados PP P-DS .
www.cybok.org
Operações P-OP PP.
PP ponto a ponto.
Projeto de preferências de privacidade do PP .
Plataforma como serviço PaaS .
Código de autenticação do ponteiro PAC .
PAN Privileged Access Never.
PASSA Ataque Passivo.
Placa de circuito da impressora PCB .
Pontos de clique com dicas persuasivas PCCP .
Indústria de cartões de pagamento PCI .
Padrão de segurança de dados da indústria de cartões de pagamento PCI DSS .
Registro de configuração da plataforma de PCR .
Sistema de controle de processo PCS .
Formato de documento portátil PDF .
Gráfico de dependência do programa PDG .
PGP Pretty Good Privacy.
Informações de identificação pessoal PII .
Número de identificação pessoal PIN .
PIR Private Information Retrieval.
Criptografia de chave pública PKC .
Certificado de chave pública PKC .
Padrões de criptografia de chave pública PKCS .
Infraestrutura de chave pública de PKI .
Controlador lógico programável PLC .
Arquitetura do modelo protegido por PMA .
Chave mestra par a par PMK .
PMS Pre-Master Secret.
POLA Princípio da menor autoridade.
PoS Proof-of-Estaca.
Prova de trabalho do PoW .
Serviço PPI Pay Per Install.
PQC Post-Quantum Cryptography.
Função Pseudo-Aleatória PRF .
www.cybok.org
PRNG Gerador de números pseudo-aleatórios.
PRP Permutação Pseudo-Aleatória.
Diretiva Europeia de Serviços de Pagamento PSD .
Chave pré-compartilhada PSK .
Medidor de força de senha PSM .
Esquema de assinatura probabilística PSS .
Rede telefônica pública comutada PSTN .
Entrada da tabela da página PTE .
Chave transitória emparelhada PTK .
Função fisicamente não clonável de PUF .
Programa PUP potencialmente indesejado.
PXN Privileged Execute Never.
Codificação de mudança de fase em quadratura QPSK .
Resposta rápida de QR .
Conexões de Internet UDP rápidas QUIC .
Matriz redundante RAID de discos baratos.
Aquisição de recursos RAII é inicialização.
Memória de acesso aleatório RAM .
Trojan de acesso remoto RAT .
Controle de acesso baseado em função RBAC .
REE Rich Execution Environment.
Freqüência de rádio RF .
Solicitação de RFC para comentários.
Identificação por radiofrequência RFID .
RIDL Rogue In-Flight Data.
RIP Routing INformation Protocol.
RNG Random Number Generator.
Características de operação do receptor ROC .
Memória ROM somente leitura.
ROT Root of Trust.
Chamada de procedimento remoto RPC .
Protocolo de roteamento RPL para redes de baixa potência e com perdas.
www.cybok.org
RSA Rivest-Shamir-Adleman.
RSN Robust Secure Networking.
Força do sinal recebido por RSS .
Indicador de intensidade do sinal recebido RSSI .
Nível de transferência de registro RTL .
Raiz de confiança para medição RTM .
Sistema operacional RTOS em tempo real.
Envenenamento da Tabela de Roteamento RTP .
RTR Root of Trust for Reporting.
RTS Root of Trust for Storage.
Tempo de ida e volta do RTT .
Unidade Terminal Remota RTU .
Projeto de Ciclo de Vida de Desenvolvimento de Software Seguro S-SDLC .
Associação de Segurança SA .
Software SaaP como um produto.
Software SaaS como um serviço.
SAD Security Association Database.
Autenticação simultânea SAE de iguais.
SAE Society for Automative Engineering.
Linguagem de marcação para autorização de segurança SAML .
Modelo de maturidade do SAMM Software Assurance.
Teste de segurança de análise estática SAST .
SATA Serial ATA.
SBC Session Border Controller.
Análise de composição de software SCA .
Controle de supervisão e aquisição de dados SCADA .
Rede de controle de supervisão SCN .
Interface de sistema de computador pequeno SCSI .
SD Secure Digital.
Ciclo de vida de desenvolvimento de segurança SDL .
Rede definida por software SDN .
SDSI Simple Distributed Security Infrastructure.
SEI Software Engineering Institute.
Página 838
www.cybok.org
Microscópio Eletrônico de Varredura SEM .
SEO Search Engine Optimization.
SGSN Servindo Nó de Suporte GPRS.
Extensão SGX Software Guard.
ELA Criptografia um tanto homomórfica.
SIEM Security Information and Event Management.
Módulo de identidade do assinante SIM .
SIMO entrada única, saída múltipla.
Sistema Instrumentado de Segurança SIS .
Acordo de nível de serviço SLA .
Proteção de acesso do modo supervisor SMAP .
PME Pequenas e Médias Empresas.
Proteção de execução do modo Supervisor SMEP .
SMIME Secure Multipurpose Internet Mail Extensions.
Modo de gerenciamento do sistema SMM .
Serviço de mensagens curtas SMS .
Teorias do módulo de habilidade do SMT Satis.
Protocolo de transferência de correio simples SMTP .
SNARK Sucinct Non-Interactive Arguments of Knowledge.
SNMP Simple Network Management Protocol.
SOAR Security Orchestration, Analytics and Reporting.
Centro Operacional de Segurança SOC .
Sistema SoC em um Chip.
Separação de Deveres SoD .
Operações de segurança SOIM e gerenciamento de incidentes.
Política de mesma origem do SOP .
Sistemas de Sistemas SoS .
Provedor de Serviços SP .
Análise de potência simples do SPA .
SPF Sender Policy Framework.
SPKI Simple Public-Key Infrastructure.
Algoritmo de Spanning Tree SPTA .
Linguagem de consulta estruturada SQL .
www.cybok.org
Engenharia de Requisitos de Qualidade de Segurança SQUARE .
SRAM Static Random Access Memory.
Engenharia de confiabilidade do local SRE .
SROP Sigreturn-Oriented Programming.
Unidade de estado sólido SSD .
SSH Secure Shell.
SSL Secure Sockets Layer.
Logon único de SSO .
STAMP Sistema-Teórico Modelo e Processo de Acidentes.
STIX Structured Thread Information eXchange.
Memória de curto prazo STM .
STS Estação a Estação.
SVP Shortest Vector Problem.
Conjunto de conhecimentos em engenharia de software da SWEBOK .
SWIFT Society for Worldwide Interbank Financial Telecommunication.
Endereço MAC do transmissor TA .
Ataques localizados do Eclipse com reconhecimento de topologia taLEA .
Número de autenticação da transação TAN .
TCB Trusted Computing Base.
TCG Trusted Computing Group.
Protocolo de controle de transmissão TCP .
Critérios de avaliação de sistema de computador confiável TCSEC .
Diferença de tempo de chegada do TDOA .
Ambiente de execução confiável TEE .
TF-CSIRT Equipes de resposta a incidentes de segurança de computador.
TFC Traf c Flow Con dentiality.
Servidor de concessão de tíquetes TGS .
Tíquete de concessão de tíquetes TGT .
Chave Temporal TK .
Protocolo de integridade de chave temporal TKIP .
TLB Transaction Lookaside Buffer.
Domínio de nível superior TLD .
Segurança da camada de transporte TLS .
www.cybok.org
Índice de carregamento de tarefas TLX .
TMAC Temporal MAC.
ToA hora de chegada.
Tempo de verificação do tempo de uso de TOCTOU .
Tempo de voo do ToF .
TOGAF O Open Group Architectural Framework.
Módulo de plataforma confiável TPM .
TRNG True Random Number Generator.
TTL Time To Live.
Tecnologia TXT Trusted Execution.
UF Universal nd Factor.
UAF Universal Authentication Framework.
Veículo Aéreo Não Tripulado UAV .
Composabilidade Universal UC .
Controle de uso UCON .
Protocolo de datagrama do usuário UDP .
UDSSS Uncoordinated Direct-Sequence Spread Spectrum.
Equipamento do usuário UE .
UEFI Uni ed Extensible Firmware Interface.
UF Universal Forgery.
HNF descoordenada salto de frequência.
UFLS sob rejeição de carga de frequência.
Interface do usuário UI .
Estrutura do driver do modo de usuário UMDF .
UML Uni ed Modeling Language.
Sistemas de telecomunicações móveis universais UMTS .
URI Uniform Resource Identi er.
URL Uniform Resource Locator.
USB Universal Serial Bus.
Tempo universal coordenado UTC .
Veículo não tripulado UV .
UWB Ultra-Wideband.
www.cybok.org
Frequência muito alta de VHF .
VLAN Virtual LAN.
Integração de VLSI em grande escala.
Máquina Virtual VM .
VMI Virtual Machine Introspection.
Funções de rede virtual VNF .
Rede privada virtual VPN .
Consórcio WC World Wide Web.
WAF Web Application Firewall.
Rede de longa distância WAN .
WEP Wired Equivalent Privacy.
WLAN LAN sem fio.
WORM Write-Once, Read-Many.
WPA Wi-Fi Protected Access.
Linguagem de marcação de controle de acesso extensível XACML .
Desativar XD Execute.
Serviço de auditoria distribuída XDAS .
Linguagem de marcação extensível XML .
XN Execute Never.
Função de saída extensível XOF .
Scripting XSS Cross-Site.
Conhecimento ZK Zero.
www.cybok.org
Página 843
Glossário
golpear uma versão particular de fraude de taxa antecipada específica para a Nigéria.
controle de acesso o processo de negar ou conceder solicitações de acesso.
Atuador Um atuador é um dispositivo que move ou controla algum mecanismo. Um atuador

transforma um sinal de controle em ação mecânica, como um motor elétrico. Atuadores podem
ser baseados em meios hidráulicos, pneumáticos, elétricos, térmicos ou mecânicos, mas são
cada vez mais sendo impulsionado por software. Um atuador liga um sistema de controle ao seu
meio Ambiente [ 8 ]
fraude de taxa antecipada crime em que é prometida uma recompensa à vítima, mas com o objetivo de obtê-la
primeiro tem que pagar uma pequena taxa ao fraudador.
ameaça persistente avançada Um ataque a uma organização que continua suas atividades e
ainda permanece sem ser detectado por um longo período de tempo.
programa afiliado um esquema em que a organização principal fornece uma "marca" e todos os
meios necessários para realizar pedidos, remessas e pagamentos.
ALARA Um método para reduzir o risco a níveis tão baixos quanto o razoavelmente permitido.
ALARP Um método para reduzir o risco a níveis tão baixos quanto razoavelmente possível.
Notificação de alerta de que um ataque específico foi direcionado às informações de uma organização
sistemas (Fonte = NIST IR 8r). No contexto SOIM , um alerta deve se referir a um
evento, ou grupo de eventos, de interesse a partir de uma perspectiva de segurança, representando qualquer
um sintoma ou consequência de ataque . Um alerta é necessariamente o resultado de um
processo de análise realizado por um sensor do Sistema de Detecção de Intrusão em rastreamentos de eventos .
anonimato O estado de não ser identificável dentro de um conjunto de sujeitos, o conjunto de anonimato.
www.cybok.org
aplicação A substituição de sites por aplicaçãos que funcionam em dispositivos móveis ..
O Circuito Integrado Específico de Aplicação ASIC é uma classe de circuitos integrados, onde o
o circuito é sintonizado para um aplicativo específico ou conjunto de aplicativos. Por exemplo, um TPM é um
ASIC dedicado para aplicações de segurança.
ataque Uma tentativa de obter acesso não autorizado a serviços de um Sistema de Informação ,
recursos ou informações ou uma tentativa de comprometer a integridade do sistema. (Fonte =
NIST IR 8r).
superfície de ataque O conjunto de pontos de entrada onde um invasor pode tentar acesso não autorizado.
As abordagens de segurança se esforçam para manter a superfície de ataque o menor possível.
autenticação verificando um valor de atributo reivindicado.
autenticação O processo de verificação da identidade de um indivíduo ou entidade.
autorização a) decidir se concede um pedido de acesso (a um sujeito) ou b) atribuir

direitos de acesso a um principal.
botnet Uma rede de computadores comprometidos (ou bots) que é controlada por um invasor para
lançar atividades maliciosas coordenadas.
provedores de serviços de hospedagem à prova de balas que são conhecidos por não cumprir a lei
solicitações de remoção de aplicação. Isso é possível por estar localizado em
países com legislação frouxa de crimes cibernéticos ou por operadoras de provedores de serviços ativamente
subornar as autoridades locais.
Comportamento anômalo bizantino quando uma entidade / invasor envia mensagens diferentes (embora válidas)
informações para destinatários diferentes. O leitor é encaminhado a [ ] para o técnico
definição.
cartão skimming a prática de instalação de dispositivos em ATM que permitem a clonagem do

cartões que estão sendo inseridos.
carving (File / data content carving) O processo de recuperação e reconstrução do arquivo

conteúdo diretamente do armazenamento em bloco sem usar os metadados do sistema de arquivos. Mais
geralmente, escultura de dados (estrutura) é o processo de reconstruir objetos lógicos
(como arquivos e registros de banco de dados) de uma captura de dados em massa (imagem de disco / RAM)
sem usar metadados que descrevem a localização e o layout dos artefatos. Dados
escultores usam o conhecimento dos formatos de dados para identificar e validar os
contente..
certi car uma estrutura de dados assinada digitalmente ligando uma entidade (chamada sujeito) a alguns
atributo.
fraude de cliques a prática de usar malware para gerar cliques falsos em sites.
A tecnologia de semicondutor de óxido metálico complementar CMOS é o silício mais popular

tecnologia para fazer circuitos integrados. É constituído por PMOS complementares e
Transistores NMOS. Suas principais vantagens são que possui uma potência estática muito baixa
consumo e operação relativamente robusta. Portanto, tornou possível integrar um
grande número de transistores (milhões a bilhões) em um circuito integrado.
comprometer a divulgação de informações a pessoas não autorizadas, ou uma violação do

política de segurança de um sistema em que não autorizado, intencional ou não intencional
Glossário | Outubro Página 8 8
www.cybok.org
pode ter ocorrido divulgação, modificação, destruição ou perda de um objeto. (Fonte

= NIST IR 8r).
Capacidade da Equipe de Resposta a Incidentes de Segurança Informática A criada com a finalidade de
auxiliar na resposta a incidentes relacionados à segurança de computador; também chamado de computador
Equipe de Resposta a Incidentes (CIRT) ou CIRC (Centro de Resposta a Incidentes de Computador,
Capacidade de resposta a incidentes de computador). (Fonte = NIST IR 8r).
confidencialidade Propriedade que garante que as informações não sejam disponibilizadas ou
divulgado a indivíduos, entidades ou processos não autorizados.
consenso Consenso (e da mesma forma para consistência) refere-se a mecanismos e o
propriedade de alcançar vários tipos de acordo sobre valores ou coordenação de
estado / entidades, normalmente na presença de falhas especificadas. Como existem precisas
especificações técnicas envolvidas para consenso e diferentes tipos de consistência,
o leitor é encaminhado para a seção sobre Propriedades de Coordenação e para o
referências [ , , ]
consumidor No contexto de uma determinada transação, uma pessoa física que entra em um
transação que não seja para fins comerciais ou profissionais. Uma determinada pessoa pode atuar
como consumidor em alguns contextos transacionais e como não consumidor em outros. NB
Essa definição está longe de ser universal. Algumas leis adotam definições de 'consumidor' que
variam a partir disso.
esquema de coordenação Os mecanismos que ajudam a orquestrar as ações dos envolvidos

entidades.
contramedida Ações, dispositivos, procedimentos ou técnicas que atendem ou se opõem (ou seja,
contadores) uma ameaça, uma vulnerabilidade ou um ataque , eliminando ou prevenindo-o, por
minimizando o dano que pode causar, ou descobrindo e relatando de forma corretiva
ação pode ser tomada. (Fonte = NIST IR 8r).
Ataque de canal oculto Um ataque que resulta na capacidade não autorizada de coletar ou
transferir informações entre entidades que não são especificadas para serem capazes de
comunicar de acordo com a política de segurança.
Unidade de processamento central da CPU é um circuito integrado de propósito geral feito para executar um
programa. Normalmente consiste em uma unidade aritmética, uma unidade de controle de programa, um barramento
estrutura e armazenamento de código e dados. Existem muitos tipos e variações. Um SOC
pode conter um ou mais núcleos de CPU com periféricos, memória extra, etc.
credencial uma entrada apresentada para autenticação.
Instalações críticas de infraestrutura nacional , sistemas, sites, informações, pessoas, redes e

processos necessários para o funcionamento de um país e dos quais depende a vida quotidiana.
mineração de criptomoedas a prática de gerar criptomoedas resolvendo
tarefas criptográficas.
crime ciberdependente crime que só pode ser cometido com o uso de computadores ou
dispositivos de tecnologia.
crime cibernético crime que tem um alcance maior em comparação com sua contraparte
através do uso da tecnologia.
Glossário | Outubro Página 8
www.cybok.org
Sistemas cibernéticos de sistema físico projetados que são construídos a partir de, e dependem,
integração perfeita de computação e componentes físicos [ 8 ]
cyberbullying - enviar ou postar material prejudicial ou se envolver em outras formas de relacionamento social
agressão por meio da Internet ou de outras tecnologias digitais.
ciberespaço Um domínio global dentro do ambiente de informação que consiste em um

rede interdependente de infraestruturas de sistemas de informação, incluindo a Internet,
redes de telecomunicações, sistemas de computador e processadores embutidos e
controladores [ 6 ]
cyberstalking a prática de usar meios eletrônicos para perseguir outra pessoa.
CyBOK se refere ao conhecimento em segurança cibernética.
delegação: o ato de conceder direitos de acesso que um detém a outro principal.
Negação de serviço A prevenção de acesso autorizado a recursos ou o atraso de

operações de tempo crítico. (O tempo crítico pode ser milissegundos ou horas, dependendo do
serviço prestado.) (Fonte = NIST IR 8r).
rastreamento digital (forense) Um registro explícito ou implícito que atesta a execução de
cálculos específicos, ou a comunicação e / ou armazenamento de dados específicos.
forense digital O processo de identificação e reconstrução da sequência relevante de

eventos que levaram ao estado atualmente observável de um sistema de TI de destino ou (digital)
artefatos.
Sistema de Controle Distribuído Um sistema de controle que combina o controle supervisionado de vários
controladores individuais baseados em computador em diferentes circuitos de controle ao longo de um processo.
Em contraste com os sistemas SCADA, a supervisão desses sistemas tende a ser no local
em vez de remoto [ 8 ]
Negação de serviço distribuída Uma técnica de negação de serviço que usa vários hosts para
realizar o ataque. (Fonte = NIST IR 8r).
doxing um ataque em que as informações privadas da vítima são divulgadas publicamente online.
DRAM DRAM é memória de acesso aleatório dinâmico. Muito popular por causa de sua alta
densidade. Requer apenas um transistor e uma pequena capacitância para armazenar um bit de
dados. Requer atualização regular. Ele perde seu valor quando a fonte de alimentação é desligada
fora.
ataque de download drive-by um ataque em que uma página da web tenta explorar um software
vulnerabilidade no navegador da vítima com o objetivo de instalar malware.
dumpz roubou registros de cartão de crédito.
e-mail spam e -mail em massa não solicitado.
criptografia O processo de transformação de informações (comumente referido como

texto simples / dados) usando um algoritmo (chamado cifra) para torná-lo ilegível para qualquer pessoa
exceto aqueles que possuem conhecimento especial, comumente referido como um criptográfico
chave.

www.cybok.org
evento Qualquer ocorrência observável em uma rede ou sistema. (Fonte = NIST IR 8r). Vestígio
de atividade fornecida por um ambiente de computação. No contexto SOIM , esta é uma peça
de evidências registradas de que uma atividade foi realizada no sistema monitorado. Eventos
são adquiridos sequencialmente pelo sensors para obter um traço da atividade em um computador ou
rede, para encontrar indicador de comprometimento.
explorar software ou dados que se aproveitam de uma vulnerabilidade em um sistema para causar
Consequências não-intencionais. (Fonte = Glossário NCSC).
exploit kit uma ferramenta que coleta um grande número de vulnerabilidades e são vendidas no preto
mercado para outros criminosos usarem.
le Uma sequência nomeada (opaca) de bytes que é armazenada persistentemente.
sistema de arquivos ( sistema de arquivos) Um subsistema do sistema operacional que é responsável pelo
armazenamento persistente e organização de arquivos de usuário e sistema em uma partição / volume.
rewall Um gateway que limita o acesso entre redes de acordo com a segurança local
política. (Fonte = NIST IR 8r).
forense A prática de coletar, reter e analisar dados relacionados ao computador para

fins investigativos de forma a manter a integridade dos dados. (Fonte =
NIST IR 8r).
FPGA A Field Programmable Gate Array ou FPGA é um circuito integrado especializado que
contém lógica configurável, que ainda pode ser programada após a fabricação.
A programação é feita carregando um fluxo de bits que configura cada um dos
portas lógicas programáveis individualmente.
fullz roubado registros de cartão de crédito que também contêm informações de faturamento.
A GPU Graphics Processing Unit é um circuito integrado programável especializado. Seu

componentes (unidades aritméticas, conjunto de instruções, configuração de memória, estrutura de barramento)
são todos otimizados para acelerar aplicativos de processamento de imagens, vídeo e gráficos.
hacktivismo o ato de crime informático motivado por um objetivo político.
HDL A linguagem de descrição de hardware é uma linguagem especial para descrever hardware digital
no nível de transferência de registro. As linguagens mais conhecidas são VHDL e Verilog.
criptografia homomórfica Uma forma de criptografia que, ao computar em textos cifrados,
gera um resultado criptografado que, quando descriptografado, corresponde ao resultado do
cálculo como se tivesse sido executado no texto simples.
honeypot Um sistema (por exemplo, um servidor Web) ou recurso do sistema (por exemplo, um arquivo em um servidor, um e-mail
endereço, uma tabela ou linha ou coluna em um banco de dados) que é projetado para ser atraente para
crackers e intrusos em potencial e sem usuários autorizados além de seus
administradores (Fonte = NIST IR 8r). No contexto de SOIM, os honeypots podem ser
operado localmente como um método de detecção adicional que complementa o sensor IDSs, ou por
um provedor de serviços CTI externo .
IC Um circuito integrado é um dispositivo eletrônico que contém uma grande quantidade de

componentes, principalmente transistores integrados em uma peça de material semicondutor,
geralmente silício CMOS. Um nome comum é 'chip' ou 'chip de silício'.
www.cybok.org
gerenciamento de identidade o processo de criação, uso e encerramento de identidades eletrônicas.
Impacto O resultado de uma ameaça que explora uma vulnerabilidade.
impacto A magnitude do dano que pode ser esperado como resultado das consequências de
divulgação não autorizada de informações, modificação não autorizada de informações,
destruição não autorizada de informações, ou perda de informações ou sistema de informações
disponibilidade (Fonte = NIST IR 8r). No contexto de SOIM, esta é a extensão de
danos causados pelo ataque à infraestrutura de TIC ou às empresas
processos.
incidente Ações realizadas através do uso de redes de computadores que resultam em um ou

efeito potencialmente adverso em um sistema de informação e / ou as informações residentes
lá no. (Fonte = NIST IR 8r). No contexto SOIM , um incidente é descrito como um
conjunto de alertas que são considerados evidências de uma violação de segurança cibernética, geralmente um
ataque bem- sucedido (embora sejam tentativas sérias ou contra sistemas críticos,
também podem ser considerados incidentes.
indicador de compromisso Ação reconhecida, específica, generalizada ou teórica, que um
pode-se esperar que o adversário tome como preparação para um ataque. (Fonte = NIST IR
8).
Sistemas de controle industrial Termo geral que abrange vários tipos de controle
sistemas, incluindo sistemas de controle de supervisão e aquisição de dados (SCADA),
sistemas de controle distribuído (DCS) e outras configurações de sistema de controle, como
Controladores lógicos programáveis (PLC) frequentemente encontrados nos setores industriais e
infraestruturas críticas. Um ICS consiste em combinações de componentes de controle (por exemplo,
elétrica, mecânica, hidráulica, pneumática) que atuam em conjunto para alcançar uma
objetivo (por exemplo, fabricação, transporte de matéria ou energia) [ 6 ]
Sistema de Internet das Coisas Industrial que conecta e integra o controle industrial
sistemas com sistemas empresariais, processos de negócios e análises [ 8 ]
Indústria. Indústria. refere-se à modernização da manufatura com Internet de

Serviços de coisas, que fornecem a base para a quarta revolução industrial. O primeiro
a revolução industrial foi possibilitada pela introdução da produção mecânica
instalações movidas a água e vapor, a segunda revolução foi possibilitada por
produção movida a energia elétrica, e a terceira revolução foi possibilitada pelo
introdução da eletrônica e da tecnologia da informação [ 8 6]
Sistema de informação Um conjunto discreto de recursos de informação organizados para a coleção,
processamento, manutenção, uso, compartilhamento, disseminação ou disposição de informações
sendo monitorado (Fonte = NIST IT 8r). No contexto SOIM , ele projeta o ICT
infraestrutura para detectar possíveis ataques.
integridade A propriedade que garante que os dados sejam reais, precisos e protegidos de
modificação não autorizada do usuário.
organização governamental internacional Uma pessoa jurídica estabelecida e reconhecida como
tal por mais de um estado de acordo com o tratado (por exemplo, as Nações Unidas, INTERPOL,
a Organização Marítima Internacional, etc.). Na prática, muitas vezes simplificado como
'Organização Internacional' ou 'Organização do Tratado'.
Internet A Internet é o sistema comercial único e interconectado em todo o mundo,

redes governamentais, educacionais e outras redes de computadores que compartilham (a) o protocolo
www.cybok.org
suite especificada pelo Internet Architecture Board (IAB), e (b) o nome e endereço
espaços administrados pela Internet Corporation for Assigned Names and Numbers
(ICANN). (Fonte = NIST IR 8r).
Rede da Internet das Coisas de objetos físicos ou "coisas" incorporadas à eletrônica,
software, sensores e conectividade para permitir que objetos troquem dados com o
fabricante, operador e / ou outros dispositivos conectados. A IoT se refere a dispositivos,
que são frequentemente restritos nas capacidades de comunicação e computação, agora
tornando-se mais comumente conectado à Internet e a vários serviços que são
construído com base nas capacidades que esses dispositivos fornecem em conjunto .
Sistema de detecção de intrusão (IDS) Produto de hardware ou software que reúne e analisa
informações de várias áreas de um computador ou rede para identificar possíveis
violações de segurança, que incluem ambas as intrusões (ataques de organizações externas)
e uso indevido (ataques de dentro das organizações). Consulte também sensor. (Fonte = NIST
IR 8r).
Sistema de prevenção de intrusões (IDPS ) Sistema de detecção de intrusão com o adicional

capacidade de tomar ações imediatas e locais para bloquear o ataque detectado. Esta
implica duas diferenças, o posicionamento do dispositivo como um interceptor através do qual
todas as solicitações, maliciosas ou benignas, passarão, e a capacidade de diagnosticar o malicioso
comportamento com certeza. Veja também Sistema de detecção de intrusão e sensor.
jurisdição Veja a discussão na Seção ..
key-logger Um vírus ou dispositivo físico que registra as teclas digitadas para capturar secretamente
informações como senhas ou detalhes do cartão de crédito (Fonte = Glossário BSI).
eleição de líder Após a substituição de um líder existente, em caso de falha de um líder ou por
justiça ou equilíbrio de carga, o processo de eleição de uma nova entidade para realizar o
atividades de liderança de coordenação.
ação legal O processo pelo qual uma pessoa traz uma reclamação legal a um tribunal para
adjudicação ou para fazer cumprir os resultados de uma adjudicação anterior. Este é o método usado
para fazer cumprir um direito de ação.
pessoa jurídica Uma entidade investida de características pessoais suficientes para merecer uma
identidade separada de seus membros constituintes. Essas características incluem: o
direito de iniciar ou responder a uma ação legal em nome da entidade; o direito de possuir
ativos em nome da entidade; e o direito de assumir obrigações em nome da entidade.
Pessoas jurídicas geralmente incluem: estados; organização governamental internacionals;
entidades públicas ou privadas constituídas de acordo com a lei de um estado e investidas por aquele
estado com as características de personalidade, como um inglês público limitado
empresa (PLC), uma sociedade de responsabilidade limitada de Delaware (LLP), uma sociedade francesa
anonyme (SA), uma gesellschaft mit beschränkter hafting (GmbH) alemã, a cidade de
Nova York, etc.
Probabilidade Uma medida que captura o grau de possibilidade de uma ameaça explorar um
vulnerabilidade e, portanto, produzir um resultado indesejável.
https://www.ietf.org/topics/iot/
www.cybok.org
aquisição lógica O processo de obtenção dos dados depende de uma ou mais camadas de software
como intermediários para adquirir os dados do dispositivo de armazenamento.
volume lógico Uma coleção de volumes físicos apresentados e gerenciados como uma única unidade.
vírus de macro Um vírus que se anexa a documentos e usa a programação de macro

recursos do aplicativo do documento para executar e propagar. (Fonte = NIST IR
8).
malware Um programa inserido em um sistema, geralmente secretamente, com a intenção de
comprometer a confidencialidade, integridade ou disponibilidade dos dados da vítima,
aplicativos ou sistema operacional, ou de qualquer outra forma irritante ou perturbador da vítima.
Sinônimo = código malicioso. (Fonte = NIST IR 8r).
análise de malware O processo de análise de código de malware e compreensão de sua intenção

funcionalidades.
detecção de malware O processo de detecção da presença de malware em um sistema.
metadados Informações sobre os dados ou enviadas junto com os dados, por exemplo, o endereço IP, a localização,
ou o sistema operacional a partir do qual uma mensagem é enviada.
malware metamórfico Malware do qual cada iteração ou instância possui um código diferente
do anterior. As mudanças no código tornam difícil reconhecer os diferentes
iterações são o mesmo malware (em contraste com malware polimórfico).
meterpreter Uma ferramenta que permite que um invasor controle o computador da vítima executando um
escudo invisível e estabelecendo um canal de comunicação de volta para o atacante
máquina.
middleware Uma camada de software entre o sistema operacional e a camada de aplicativo
projetado para facilitar a interconexão e interação entre distribuídas
componentes. Freqüentemente chamada de "cola de software" que une os componentes.
mula de dinheiro: uma pessoa que é recrutada por um criminoso para realizar a lavagem de dinheiro.
pessoa natural Um ser humano, vivo ou falecido.
objeto a entidade acessada por uma operação de acesso.
operação de obrigação a ser realizada em conjunto com uma solicitação de acesso que tinha sido
garantido.
Componentes e sistemas de tecnologia operacional , também conhecidos como Controle Industrial

Sistemas (ICS) que sustentam a Infraestrutura Nacional Crítica (CNI), como energia
fornecimento, transporte e tratamento de água. Eles também sustentam o complexo
sistemas de manufatura onde os processos são muito pesados, monótonos ou
perigoso para o envolvimento humano.
Hardware e software de tecnologia operacional que detecta ou causa uma mudança por meio de
o monitoramento direto e / ou controle de dispositivos físicos, processos e eventos no
empreendimento [ 8 ]
overlay Refere-se à rede de sobreposição em sistemas ponto a ponto que é uma rede virtual
ligando um conjunto específico de nós como construído em cima dos nós da rede física.
www.cybok.org
malware empacotado O malware empacotado é um malware ofuscado no qual o programa malicioso

é compactado e não pode ser analisado estaticamente.
compactação Uma técnica para ofuscar malware (consulte malware compactado)
partição (volume físico) Uma alocação contígua de blocos para uma finalidade específica, como
como a organização de um sistema de arquivos.
dns passivo Um mecanismo para coletar grandes quantidades de dados DNS armazenando respostas DNS
de servidores. (Fonte = RFC.
PCB A Placa de Circuito Impresso é uma placa especializada que contém os diferentes componentes integrados
circuitos. É feito de um material isolado com fiação de cobre para conectar os pinos do
diferentes circuitos integrados entre si e com o exterior.
sinônimo de permissão para direito de acesso.
pessoa Uma pessoa física ou jurídica.
phishing uma fraude que atrai os usuários a fornecer credenciais de acesso a serviços online para um
Criminoso.
kit de phishing um programa que pode ser instalado em um servidor e produzirá um

página da web com aparência adequada para muitos serviços populares.
aquisição física O processo de obtenção de dados diretamente da mídia de hardware,

sem a mediação de qualquer software de terceiros (não confiável).
malware polimórfico Malware que muda cada instância para evitar a detecção. Tipicamente
tem duas partes: o descriptografador e o corpo do programa criptografado. Cada instância pode
criptografar o programa de malware de forma diferente e, portanto, possui um descriptografador diferente; Contudo,
uma vez descriptografado, o mesmo código de malware é executado. (contraste com metamórfico
malware)
polimorfismo Consulte malware polimórfico.
programa potencialmente indesejado Um programa que pode não ser desejado por um usuário e muitas vezes é
baixado junto com um programa que o usuário deseja. Os exemplos incluem adware,
spyware, etc.
principal nas políticas, a entidade ativa em uma solicitação de acesso.
privilegiar um direito de acesso a um recurso do sistema.
privilegiar um sinônimo de direito de acesso.
Controlador lógico programável (PLC) Uma unidade baseada em computador reforçada industrialmente que
executa funções de controle discretas ou contínuas em uma variedade de plantas de processamento e
ambientes de fábrica. Foi originalmente concebido como um equipamento de substituição de relé para
a indústria automotiva. Ao contrário do DCS, eles podem ser vendidos como autônomos
equipamento (em vez de um sistema integrado como DCS) [ 8 ]
prova Veja a discussão na Seção . ..
provar Veja a discussão na Seção . ..
RAM RAM é memória de acesso aleatório. É a memória em um circuito integrado para armazenar valores
(dados ou código).
www.cybok.org
ransomware Software malicioso que torna os dados ou sistemas inutilizáveis até a vítima
faz um pagamento. (Fonte = NIST IR 8).
o monitor de referência é o componente abstrato que medeia todos os acessos aos objetos.
replicação O aspecto de adicionar cópias físicas ou lógicas de um recurso.
remessa de mula uma pessoa que é recrutada por um criminoso para enviar mercadorias compradas com
cartões de crédito roubados no exterior.
direito de ação um direito decorrente de lei para uma pessoa a tomar uma ação legal contra a outra.
Raiz de confiança Uma raiz de confiança é um componente usado para realizar uma função de segurança, sobre a qual
um designer confia, mas cuja confiabilidade não pode ser explicitamente verificada [ ]
segurança No contexto da análise de malware, um requisito de que o malware deve ser evitado
de causar danos aos sistemas e redes conectados enquanto é executado no
ambiente de análise.
modelo de segurança especificações de alto nível de um sistema projetado para garantir certa segurança
políticas.
Sensor Um dispositivo que percebe certas características do mundo real e as transfere
em uma representação digital [ 8 8]
Equipamento sensor (software e / ou hardware) destinado a detectar e alertar
ataques cibernéticos, também conhecidos como Sistema de Detecção de Intrusão (IDS)
sextorção um crime em que um patife atrai as vítimas para realizar atos sexuais na frente de um
câmera (por exemplo, uma webcam em uma sala de chat), grava esses atos e, mais tarde, pede um
pagamento monetário para não divulgar a filmagem.
Ataque de canal lateral Ataque de canal lateral Um ataque baseado em informações obtidas do
implementação de um sistema (por exemplo, o de um algoritmo criptográfico) em vez de
fraquezas no algoritmo (por exemplo, aqueles descobertos por meio de criptanálise). Canal Lateral
ataques podem ser montados com base em dados de monitoramento ou variações dependentes de chave em
tempo de execução, consumo de energia ou radiação eletromagnética do integrado
circuitos.
assinatura Um padrão de byte característico usado em código malicioso ou um indicador, ou conjunto de
indicadores, que permitem a identificação de atividades maliciosas na rede. (Fonte =
NIST IR 8r). Uma definição mais atual é um indicador de compromisso.
afundamento Uma técnica usada por um servidor DNS para fornecer informações falsas para evitar que
uso de um nome de domínio.
espaço livre A diferença entre o armazenamento alocado para um objeto de dados, como arquivo, ou
um volume e o armazenamento em uso real.
SOC System-on-chip é um circuito integrado muito grande que combina vários grandes
componentes, que nas gerações anteriores podem ter consistido em vários chips em
uma placa de circuito.
spam O abuso de sistemas de mensagens eletrônicas para enviar indiscriminadamente não solicitado
mensagens em massa. (Fonte = NIST IR 8).
www.cybok.org
spyware Software que é secretamente ou clandestinamente instalado em um sistema de informação para

coletar informações sobre indivíduos ou organizações sem seu conhecimento; um tipo de
Código malicioso. (Fonte = NIST IR 8).
SRAM SRAM é Static Random Access Memory, um tipo de memória que torna mais fácil
endereçar cada bit individual, exigindo normalmente 6 transistores por bit. SRAM perde seu
valores quando a fonte de alimentação é desligada.
estado Uma pessoa jurídica que normalmente possui as seguintes quali cações: um permanente
população; um território definido; Um governo; e uma capacidade legal para entrar em
relações com outros estados. No contexto do direito internacional público e da diplomacia,
confirmar o status de uma entidade como um 'estado' é uma decisão normalmente tomada individualmente
por outros estados por meio de proclamação, troca de embaixadores, etc. No contexto
de uma federação (por exemplo, Estados da Austrália, Províncias do Canadá, Länder da Alemanha,
Estados Unidos), o reconhecimento normalmente ocorre de acordo com o
procedimentos constitucionais dessa federação.
sujeita uma entidade em um sistema de TI que fala por um principal (às vezes usado como um
sinônimo de principal).
Controle de supervisão e aquisição de dados Um sistema de controle de supervisão que integra
sistemas de aquisição de dados remotos com sistemas de transmissão de dados e
Software de interface homem-máquina (HMI) para fornecer um monitoramento centralizado e
sistema de controle para inúmeras entradas e saídas de processo. Sistemas SCADA são
projetado para coletar informações de campo, transferi-las para uma instalação de computador central e
exibir as informações para o operador graficamente ou textualmente, permitindo assim que o
operador para monitorar ou controlar um sistema inteiro de um local central quase real
Tempo. Os sistemas SCADA e os sistemas de controle distribuído (DCS) são frequentemente conectados em rede
juntos. É o caso do controle de energia elétrica, embora a energia elétrica
instalação de geração é controlada por um DCS, o DCS deve se comunicar com o SCADA
sistema para coordenar a produção com transmissão e distribuição
demandas [ 6 ]
Territorial de, ou relacionado a, território.
território Uma região delimitada de espaço geográfico (ou seja, espaço real, incluindo ar e água).
Freqüentemente usado na lei para descrever os limites de um estado (por exemplo, o território da República
da Itália).
ameaça Um indivíduo, evento ou ação que tem a capacidade de explorar uma vulnerabilidade.
token um dispositivo usado para autenticação.
token uma estrutura de dados que codifica o resultado de uma decisão de acesso.
trace conjunto ordenado de eventos, geralmente do mesmo tipo, reunidos em um recipiente para fácil
acesso sequencial. Um rastreamento é, por exemplo, uma captura de pacote ou um arquivo de log. O pedido é
não necessariamente cronológico, mas é fixo no momento da gravação do traço.
Transdutor Um dispositivo que converte variações em uma quantidade física, como pressão ou
brilho, em um sinal elétrico, ou vice-versa [ 8 ]
triagem A triagem é um exame forense parcial realizado em tempo (significativo) e
restrições de recursos ..

www.cybok.org
trojan Um programa de computador que parece ter uma função útil, mas também tem uma função oculta
e função potencialmente maliciosa que foge dos mecanismos de segurança, às vezes por
explorar autorizações legítimas de uma entidade do sistema que invoca o programa.
(Fonte = NIST IR 8).
Trusted Computing Base A Trusted Computing Base (TCB) é a raiz típica de confiança para
um sistema de computador. Ele contém todos os componentes de hardware e software, que precisam
ser confiável e cuja confiabilidade não possa ser explicitamente verificada. Se segurança
vulnerabilidades ocorrem no TCB, então a segurança de todo o sistema do computador pode
estar em risco.
Módulo de plataforma confiável Um Módulo de plataforma confiável é um componente funcional que pode
realizar operações criptográficas, gerenciar chaves e fornecer atestado remoto
Serviços. Quando implementado como um co-processador criptográfico e incorporado em um
plataforma de computador pessoal, fornece raízes de confiança para que a plataforma possa identificar
em si, sua configuração atual e software em execução ..
desvinculabilidade A propriedade de dois (ou mais) itens em um sistema que garante que esses itens
não são nem mais nem menos relacionados do que estão relacionados com o a priori
conhecimento do adversário.
vírus Uma seção oculta e auto-replicante de software de computador, geralmente lógica maliciosa, que
se propaga infectando - ou seja, inserindo uma cópia de si mesmo e tornando-se parte de -
outro programa. Um vírus não pode funcionar sozinho; requer que seu programa hospedeiro seja executado
para tornar o vírus ativo. (Fonte = glossário de segurança SANS).
VLSI Very Large Scale Integration é uma coleção de automação de design eletrônico
técnicas para traduzir uma descrição HDL nos polígonos reais necessários para o
confecção de máscaras de um circuito integrado. As ferramentas VLSI tornaram possível gerenciar o
complexidade de projetar grandes circuitos integrados.
vulnerabilidade Algo aberto a ataques ou uso indevido que pode levar a um indesejável
resultado.
webi cação O processo de uso de tecnologias da web para exibir e transferir conteúdo no
web e dispositivos móveis ..
WiFi Uma família de tecnologias de rádio que é usada para a rede local sem fio
(WLAN).
worm Um programa de computador que pode ser executado de forma independente, pode propagar um funcionamento completo
versão de si mesmo em outros hosts em uma rede, e pode consumir o computador
recursos de forma destrutiva. (Fonte = glossário de segurança SANS).
YARA YARA é uma ferramenta usada principalmente na análise de malware . Descreve famílias de malware
usando padrões textuais ou binários. (Fonte = Wikipedia).

O Corpo de Conhecimento de Segurança Cibernética

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

O Corpo de Conhecimento de Segurança Cibernética

Enviado por

Direitos autorais:

Formatos disponíveis

19/04/2021 O Corpo de Conhecimento de Segurança Cibernética

Página 2 O Conhecimento em Segurança Cibernética

• workshops comunitários com 6 participantes em todo o Reino Unido;

• respostas por meio de uma pesquisa online;

• entrevistas aprofundadas com os principais especialistas internacionais em todas as especificações sócio-técnicas

• 8 respostas a um exercício em papel como parte de um painel no Advances in Security

Houve um equilíbrio de contribuições da academia e profissionais na maioria dessas

Complementamos as consultas com a análise de uma série de documentos que normalmente

• Categorizações, como a taxonomia do ACM Computing Classi cation System (CCS);

Página 4 O Conhecimento em Segurança Cibernética

• Currículos existentes, como o currículo de ciência da computação da ACM e o trabalho do

• Padrões, como BS ISO-IEC e NIST IR 8; e

• Tabelas de conteúdo de vários livros didáticos.

Na Fase II (iniciada no dia 1º de novembro), teve início a autoria dos KAs.

Página 5 O Conhecimento em Segurança Cibernética

Vários princípios-chave sustentaram o desenvolvimento do CyBOK:

Para a comunidade, pela comunidade. Os editores lideraram o esforço, mas o escopo, o

Transparência. Todos os resultados do trabalho do projeto são disponibilizados no site, incluindo

| Outubro Página iii

Página 6 O Conhecimento em Segurança Cibernética

Autores, editores e revisores

Área de Conhecimento Autor editor Revisores

Gerenciamento de riscos & Pete Burnap Awais Rashid Chris johnson

Lei e Regulamentação Robert carolina Howard Chivers Tom Holt

Fatores humanos M. Angela Sasse Awais Rashid Pam Briggs

Página 7 O Conhecimento em Segurança Cibernética

Capítulo Autor editor Revisores

Privacidade e direitos online Carmela Troncoso George Danezis Emiliano De Cristofaro

Malware e ataque Wenke Lee Howard Chivers Alex Berry

Comportamento Adversarial Gianluca Stringhini Awais Rashid Tom Holt

Operações de segurança e Hervé Debar Howard Chivers Douglas Wiemer

forense Vassil Roussev Howard Chivers Bruce Nikkel

Criptografia Nigel Smart George Danezis Dan Bogdanov

Sistemas operacionais & Herbert Bos Andrew Martin Chris Dalton

Sistemas distribuídos Neeraj Suri Emil Lupu Konstantin Beznosov

Autenticação, Dieter Gollmann Emil Lupu Gail-Joon Ahn

Segurança de software Frank Piessens Awais Rashid Eric Bodden

Segurança da web e móvel Sascha Fahl Emil Lupu Alastair Beresford

Página 8 O Conhecimento em Segurança Cibernética

Capítulo Autor editor Revisores

Software Seguro Laurie Williams Andrew Martin Rod Chapman

Segurança de rede Sanjah Jha Andrew Martin Gene Tsudik

Segurança de Hardware Ingrid Verbauwhede Andrew Martin Srinivas Devadas

Sistemas Ciber-Físicos Alvaro Cardenas Emil Lupu Henrik Sandberg

Camada física & Srdjan Čapkun George Danezis Robert Piechocki

Conselho Consultivo Profissional

Conselho Consultivo Acadêmico

Página 9 O Conhecimento em Segurança Cibernética

| Outubro Página vii

Página 10 O Conhecimento em Segurança Cibernética

| Outubro Página viii

I Aspectos humanos, organizacionais e regulatórios

Gestão de Risco e Governança

. . O fator humano e a comunicação de risco . . . . . . . . . . . . . . . . 6

CONTEÚDO | Outubro Página x

Página 13 O Conhecimento em Segurança Cibernética

. . Assunto e foco regulatório . . . . . . . . . . . . . . . . . . . .

CONTEÚDO | Outubro Página xi

Página 14 O Conhecimento em Segurança Cibernética

. . Responsabilidade estrita por produtos defeituosos . . . . . . . . . . . . . . . . . . . . 8

CONTEÚDO | Outubro Página xii

Página 15 O Conhecimento em Segurança Cibernética

Privacidade e direitos online

6 tecnologias de malware e ataque