Escolar Documentos
Profissional Documentos
Cultura Documentos
Página 1
A segurança cibernética
Corpo do conhecimento
Versão.
1º de outubro
https://www.cybok.org/
EDITORES
Awais Rashid University of Bristol
Howard Chivers University of York
George Danezis University College de Londres
Emil Lupu Imperial College de Londres
Andrew Martin University of Oxford
GESTOR DE PROJETO
Yvonne Rigby University of Bristol
PRODUÇÃO
Joseph Hallett University of Bristol
www.cybok.org
DIREITO AUTORAL
https://translate.googleusercontent.com/translate_f 1/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
© Crown Copyright, National Cyber Security Center. Esta informação está licenciada
sob a Open Government License v. . Para visualizar esta licença, visite:
https://www.nationalarchives.gov.uk/doc/open-government-licence/
Ao usar essas informações sob a Licença Open Government, você deve incluir o
seguinte atribuição: Versão do CyBOK. © Crown Copyright, The National Cyber Security Cen-
tre, licenciado pela Open Government License: https://www.nationalarchives.gov.uk/
doc / open-government-licence /.
O projeto CyBOK gostaria de entender como o CyBOK está sendo usado e sua aceitação.
O projeto gostaria que as organizações usassem, ou pretendessem usar, CyBOK para fins de
educação, treinamento, desenvolvimento de cursos, desenvolvimento profissional etc. para contatá-lo em con
tact@cybok.org para que o projeto saiba como eles estão usando o CyBOK.
KA | Outubro Página
Página 3
Prefácio
https://translate.googleusercontent.com/translate_f 2/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Temos o prazer de compartilhar a versão do CyBOK. contigo. A jornada para o CyBOK começou no
mês de fevereiro, quando iniciamos nossa Fase de Escopo (Fase I) . Isso envolveu uma série
de consultas à comunidade, tanto dentro do Reino Unido quanto internacionalmente, por meio de uma série de
diferentes atividades destinadas a obter contribuições de um público tão amplo quanto possível. As atividades
incluído:
• declarações de posição;
• Certi cações, como Profissional de Segurança de Sistemas de Informação Certi cado (CISSP) e
o Instituto de Profissionais de Segurança da Informação (IISP) Skills Framework;
• Chamadas de artigos como IEEE Symposium on Security & Privacy e USENIX Sympo-
sium sobre privacidade e segurança utilizáveis;
eu
Usamos uma variedade de técnicas de mineração de texto, como processamento de linguagem natural e áudio
agrupamento automático de texto para agrupar tópicos relevantes e identificar relacionamentos entre os tópicos. UMA
workshop de dois dias dos editores e pesquisadores envolvidos na definição do escopo sintetizou o
diversas análises para identificar as áreas de conhecimento (KAs) que compõem o escopo do CyBOK.
Eles foram publicados para feedback da comunidade. Embora nenhum dos KAs precisasse ser
removidos ou novos adicionados com base no feedback, os tópicos a serem cobertos em
cada KA foi refinado. Os KAs também foram categorizados em cinco categorias de nível superior. Versão
. do documento de escopo foi publicado no site do CyBOK em outubro e nos formulários
a base dos KAs na versão CyBOK. . Os detalhes do trabalho de definição do escopo são discutidos em
o seguinte artigo:
Awais Rashid, George Danezis, Howard Chivers, Emil Lupu, Andrew Martin, Makayla Lewis,
Claudia Peersman (8). Definição do escopo do conhecimento em segurança cibernética . Segurança IEEE
E Privacidade 6 (): 6- .
https://translate.googleusercontent.com/translate_f 3/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Cada autor preparou uma proposta espantalho para revisão inicial e feedback pelo especialista em
painel de revisão. Isso foi seguido por um rascunho completo (homem de madeira ), que foi revisado pelo
painel, gerando feedback para os autores - e muitas vezes várias iterações de discussão e
atualizações. Depois que todos os comentários do painel de revisão foram atendidos, o autor preparou um
rascunho para revisão pública ( tinman ) . A revisão pública de cada KA permaneceu aberta por semanas. Tudo
comentários recebidos da revisão pública foram considerados e, quando apropriado, atualizações
foram feitos para o KA. Se um comentário não foi abordado, uma justificativa clara foi registrada para o
razão. Após essas atualizações, Versão. do KA foi lançado no site do CyBOK.
Estes formam coletivamente a versão CyBOK. .
Além da autoria dos KAs, o trabalho foi realizado pela equipe do projeto para identificar
caminhos de aprendizagem através do CyBOK. Isso envolveu a análise de uma série de estruturas curriculares
trabalhos, certificações profissionais e programas de graduação acadêmica para estudar sua cobertura
e foco em relação ao CyBOK. Uma primeira análise de quatro estruturas curriculares foi fornecida
no seguinte artigo:
Devido às limitações de tempo para a Fase II , o painel e as análises públicas para Web & Mobile Security e Authen-
ticação, autorização e responsabilidade foram conduzidas em paralelo.
| Outubro Página ii
Joseph Hallett, Robert Larson, Awais Rashid (8). Espelho, espelho, na parede: o quê
estamos ensinando-lhes todos? Caracterizando o Foco da Estrutura Curricular da Cibersegurança-
funciona . Proceedings of the Advances in Security Education Workshop, USENIX Security
Simpósio.
Outras análises estão disponíveis no site do CyBOK, juntamente com árvores de conhecimento derivadas
de cada KA para facilitar o mapeamento de qualquer estrutura curricular, programa de graduação ou profes-
certificação profissional no CyBOK. O site também contém muitos outros materiais
como webinars e podcasts - recursos que complementam o texto e o material de referência
rial abrangido pelos KAs.
Foco internacional. Embora o projeto seja financiado pelo Programa Nacional de Segurança Cibernética
no Reino Unido, é um esforço verdadeiramente internacional - envolvendo autores e revisores especialistas em torno
o mundo a desenvolver uma base coletiva para a disciplina de segurança cibernética.
https://translate.googleusercontent.com/translate_f 4/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
também mantenha a versão do CyBOK. em revisão para identificar onde as atualizações podem ser necessárias e
siga um processo rigoroso, semelhante à Fase II , para tais atualizações.
Além disso, o CyBOK oferece uma gama de oportunidades na transformação da educação e do treinamento
programas. Pode fornecer uma base de conhecimento rigorosa para estudar, fortalecer e atualizar o
foco de vários programas de certificação profissional. Oportunidades também existem em termos de
fornecer uma base de descrições de cargos para que os empregadores possam articular e avaliar claramente o
conhecimento que eles esperam de recrutas de segurança cibernética em potencial. Além disso, dada a sua compreensão
de natureza abrangente, pode ser usado para avaliar a capacidade de segurança cibernética dentro de uma organização
ou mesmo em uma nação. De muitas maneiras, a jornada apenas começou. E estamos ansiosos para
trabalhando com colegas em todo o mundo em futuras atualizações e uso.
RECONHECIMENTOS.
Versão do CyBOK. não teria sido possível sem o apoio do National
Programa de segurança cibernética que forneceu o financiamento para o projeto. Somos gratos ao
vários colegas da comunidade de segurança cibernética que forneceram informações durante o
fase de escopo, autoria e revisava os KAs, ofereceu orientação por meio da participação em
nosso Conselho Consultivo Profissional e Conselho Consultivo Acadêmico ou, informalmente, durante
sentações e discussões em várias conferências e eventos. Também somos gratos ao nosso
gerente de projeto, Yvonne Rigby, por sua diligência, comprometimento e energia infinita em coordenação
nating o trabalho de um grande número de especialistas em todo o mundo. Também somos gratos ao
pesquisadores que trabalharam no projeto, mais notavelmente Joseph Hallett para pesquisas sobre currículos
estruturas lares e percursos de aprendizagem. Gostaríamos de agradecer aos nossos colegas do NCSC que
formulou a ideia e obteve financiamento para um projeto de conhecimento de segurança cibernética.
Agradecemos também a Fred Piper e Steven Furnell, que forneceram contribuições e comentários externos
revisores do NCSC. Os pesquisadores, autores, membros do painel de especialistas, Conselhos Profissionais
O Conselho Consultivo e o Conselho Consultivo Acadêmico estão listados abaixo. Por último, mas não menos importante, nossos agradecimentos a
a comunidade mais ampla de segurança cibernética de pesquisadores e profissionais para fornecer serviços essenciais e
contribuições construtivas para ajudar a moldar o escopo e os KAs para a versão CyBOK. .
Pesquisadores
Joseph Hallett Universidade de Bristol
Robert Larson Universidade de Bristol
Makayla Lewis Universidade de Lancaster
Claudia Peersman Universidade de Bristol
Benjamin Shreeve Universidade de Bristol
| Outubro Página iv
https://translate.googleusercontent.com/translate_f 5/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
| Outubro Página v
https://translate.googleusercontent.com/translate_f 6/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
| Outubro Página vi
www.cybok.org
Equipe do site
James Brown
Adrian Tucker
https://translate.googleusercontent.com/translate_f 7/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
https://translate.googleusercontent.com/translate_f 8/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 11
Conteúdo
Introdução
. CyberSecurityDe nition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. CyBOKKnowledgeAreas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Implantando o conhecimento do CyBOK para resolver problemas de segurança . . . . . . . . . . . . 6
. . Meios e objetivos da segurança cibernética . . . . . . . . . . . . . . . . . . 6
. . Falhas e incidentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Risco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Princípios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Princípios de Saltzer e Schroeder . . . . . . . . . . . . . . . . . . . . .
. . Princípios NISTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . LatentDesignConditions . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ThePrecautionaryPrinciple . . . . . . . . . . . . . . . . . . . . . . . .
. CrosscuttingThemes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SecurityEconomics . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Métodos de verificaçãoeFormais . . . . . . . . . . . . . . . . . . . . .
. . SecurityArchitectureandLifecycle . . . . . . . . . . . . . . . . . . . .
ix
https://translate.googleusercontent.com/translate_f 9/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 12 O Conhecimento em Segurança Cibernética
www.cybok.org
Lei e Regulamentação
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Princípios introdutórios de direito e pesquisa jurídica . . . . . . . . . . . . . . . . .
. . A natureza do direito e análise jurídica . . . . . . . . . . . . . . . . . . . .
. . Aplicação da legislação ao ciberespaço e às tecnologias da informação . . . . . . .
. . Distinguir direito penal e civil . . . . . . . . . . . . . . . . . . . .
. . . Criminallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Direito civil (não criminal) . . . . . . . . . . . . . . . . . . . . . .
. . . Um ato: dois tipos de responsabilidade e dois tribunais . . . . . . . . . . . 6
. . A natureza da evidência e da prova . . . . . . . . . . . . . . . . . . . . . 6
. . Uma abordagem mais holística da análise de risco legal . . . . . . . . . . . . . .
. Jurisdição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Jurisdição territorial . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Jurisdição prescritiva . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Jurisdição prescritiva sobre o conteúdo online . . . . . . . . . . 6
. . . Jurisdição prescritiva sobre crime de computador . . . . . . . . . 6
. . . Jurisdição prescritiva e proteção de dados (GDPR) . . . . . 6
. . Jurisdição de execução . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Apreensão e confisco de bens em geral . . . . . . . . . . . . . 6
. . . Apreensão e confisco de servidores, nomes de domínio e registros 6
. . . Localização territorial do direito de exigir o reembolso do banco
depósitos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Reconhecimento estrangeiro e execução de sentenças civis . . . 6
. . . A prisão de pessoas físicas em território estadual . . . . . . . . . 6
. . .6 Extradição de pessoas físicas . . . . . . . . . . . . . . . . . . 6
. . . Filtragem de conteúdo tecnológico . . . . . . . . . . . . . . . . . 6
. . .8 Pedidos para pessoas no estado que dirigem a produção de dados sob
seu controle seja mantido em sistemas de TI nacionais ou estrangeiros 6
. . . Assistência jurídica internacional . . . . . . . . . . . . . . . . . . 66
. . O problema da soberania dos dados . . . . . . . . . . . . . . . . . . . . . . 6
. Leis de privacidade em geral e interceptação eletrônica . . . . . . . . . . . . . . . 68
. . Normas internacionais: fundamentos do direito internacional dos direitos humanos 68
. . Interceptação por estado . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Interceptação por pessoas que não sejam estados . . . . . . . . . . . . . . . .
. . Aplicação das leis de privacidade - penalidades por violação . . . . . . . . . .
. Proteção de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
https://translate.googleusercontent.com/translate_f 10/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. .6. Transferências sujeitas a salvaguardas . . . . . . . . . . . . . . . . . 8
. .6. Transferências de acordo com assistência jurídica mútua internacional
tratado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. .6. Derrogações que permitem transferências . . . . . . . . . . . . . . . . . 8
. . Personaldatabreachnoti cation . . . . . . . . . . . . . . . . . . . . .
. .8 Execução e penalidades . . . . . . . . . . . . . . . . . . . . . . . . . 8
. ComputerCrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Crimes contra sistemas de informação . . . . . . . . . . . . . . . . . . . 8
. . . Acesso impróprio a um sistema . . . . . . . . . . . . . . . . . . 8
. . . Interferência imprópria nos dados . . . . . . . . . . . . . . . . . 8
. . . Interferência imprópria com sistemas . . . . . . . . . . . . . . 8
. . . Interceptação inadequada de comunicação . . . . . . . . . . . 8
. . . Produzindo ferramentas de hacking com intenções impróprias . . . . . . 8
. . Exceções de minimis para crimes contra sistemas de informação . . . . . 8
. . A aplicação e as penas para crimes contra sistemas de informação
tems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atividade de estado garantido . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atividades de pesquisa e desenvolvimento conduzidas por pessoas não governamentais 8
. .6 Autoajuda desfavorecida: bloqueios e hack-back de software . . . . . . . . . . 8
. .6. Bloqueios de software não divulgados . . . . . . . . . . . . . . . . . . . 86
. .6. Hack-back . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
.6 Contrato . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
.6. Contratos online: tempo do contrato e recebimento da comunicação contratual
cátion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. Estimular padrões de segurança via contrato . . . . . . . . . . . . . . . 88
.6. . Supplychain . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
.6. . Sistemas fechados de negociação e pagamento . . . . . . . . . . . . . 88
.6. . Liberdade de contrato e suas limitações . . . . . . . . . . . . 8
.6. Garantias e sua exclusão . . . . . . . . . . . . . . . . . . . . . . . 8
.6. Limitações de responsabilidade e exclusões de responsabilidade . . . . . . . . . . . . .
.6. Quebra de contrato e remédios . . . . . . . . . . . . . . . . . . . . . . .
.6.6 Efeito do contrato em partes não contratantes . . . . . . . . . . . . . . .
.6. Contratos de conflito . . . . . . . . . . . . . . . . . . . . . . . . .
. Tort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Negligência . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Dever de cuidado: até onde vai . . . . . . . . . . . . . .
. . . Violação de dever: medindo a razoabilidade . . . . . . . . . . 6
. . . A interpretação de 'falha' difere por lugar e muda ao longo
tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
https://translate.googleusercontent.com/translate_f 11/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . Admissão em prova de documentos eletrônicos . . . . . . . . . . . .
. . Requisitos de forma e a ameaça de inexigibilidade . . . . . . . .
. . Assinaturas eletrônicas e serviços de confiança de identidade . . . . . . . . . . . . .
. . Conflito de leis - assinaturas eletrônicas e serviços fiduciários . . . . . . . .
. Outras questões regulatórias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Regulamentações específicas da indústria e Diretiva NIS . . . . . . . . . . . . . . 6
. . Incentivar o aumento da segurança cibernética para produtos e serviços . . . .
. . Restrições à exportação de tecnologias de segurança . . . . . . . . . . . . .
. . Mattersclassi edassecretbyastate . . . . . . . . . . . . . . . . . . 8
. Publicinternationallaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Atribuir ação a um estado de acordo com o direito internacional . . . . . . . . . . .
. . Statecyberoperationsingeneral . . . . . . . . . . . . . . . . . . . . .
. . Espionagem cibernética em tempo de paz . . . . . . . . . . . . . . . . . . . . . . .
. . Investigação criminal transfronteiriça . . . . . . . . . . . . . . . . . . . .
. . Theelawofarmedcon ict . . . . . . . . . . . . . . . . . . . . . . . . . .
. Ética . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Obrigações devidas ao cliente . . . . . . . . . . . . . . . . . . . . . . . .
. . Códigos de conduta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Teste de vulnerabilidade e divulgação . . . . . . . . . . . . . . . . . . . .
. . . Testingforvulnerabilities . . . . . . . . . . . . . . . . . . . .
. . . Divulgação de vulnerabilidades . . . . . . . . . . . . . . . . . . .
. . . Facilitar e agir sobre divulgações de vulnerabilidade . . . . . . 6
. Conclusão: LegalRiskManagement . . . . . . . . . . . . . . . . . . . . . . .
Referência Cruzada de Tópicos VS Material de Referência . . . . . . . . . . . . . . . .
Fatores humanos
. Introdução: Compreendendo o comportamento humano em segurança . . . . . . . . . . . . 6
. Segurança utilizável - o básico . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Ajustando a tarefa ao ser humano . . . . . . . . . . . . . . . . . . . . . . . .
. . . Capacidades e limitações humanas gerais . . . . . . . . . .
. . . Objetivos e tarefas . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . InteractionContext . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Capacidades e limitações do dispositivo . . . . . . . . . . .
. HumanError . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Conscientização e educação sobre segurança cibernética . . . . . . . . . . . . . . . . . . . . . 6
. . Novas abordagens para apoiar a conscientização da segurança e mudança de comportamento 6
. . Modelos mentais de riscos e defesas cibernéticas . . . . . . . . . . . . . . . 6
. PositiveSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.6 StakeholderEngagement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. Funcionários . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. Desenvolvedores de software e segurança utilizável . . . . . . . . . . . . . . . . . 6
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
II Ataques e defesas
https://translate.googleusercontent.com/translate_f 12/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Comportamento Adversarial
. ACaracterização de Adversários . . . . . . . . . . . . . . . . . . . . . . . . .
. TheElementsofaMaliciousOperation . . . . . . . . . . . . . . . . . . . . . .
. Modelos para compreender as operações maliciosas . . . . . . . . . . . . . . . . . . .
https://translate.googleusercontent.com/translate_f 13/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
8. .6 Thebase-ratefallacy . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Contribuição do SIEM para análise e detecção . . . . . . . . . . . . .
8. Plano: Informações de segurança e gerenciamento de eventos . . . . . . . . . . . . . . .
8.. Coleta de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Correlação de alerta . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Operações de segurança e benchmarking . . . . . . . . . . . . . . . . . .
8. Executar: Mitigação e contramedidas . . . . . . . . . . . . . . . . . . . .
8.. IntrusionPreventionSystems . . . . . . . . . . . . . . . . . . . . . . .
8.. Negação de serviço . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Plataformas e contramedidas SIEM . . . . . . . . . . . . . . . . . .
8.. SOAR: Avaliação de impacto e risco . . . . . . . . . . . . . . . . . . . . 8
8.. Sitereliabilityengineering . . . . . . . . . . . . . . . . . . . . . . . . .
8.6 Conhecimento: Inteligência e análises . . . . . . . . . . . . . . . . . . . . . . .
8,6. Gestão do conhecimento da cibersegurança . . . . . . . . . . . . . . . . . . 8
8,6. Honeypots e redes de telefone . . . . . . . . . . . . . . . . . . . . . . . . . 8
8,6. Inteligência de ameaças cibernéticas . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8,6. Consciência situacional . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8. Fatores humanos: Gerenciamento de incidentes . . . . . . . . . . . . . . . . . . . . . . 8
8.. Prepare: Planejamento de gerenciamento de incidentes . . . . . . . . . . . . . . . . . 8
8.. Identificador: Resposta ao incidente real . . . . . . . . . . . . . . . . . . . . . 8
8.. Acompanhamento: atividades pós-incidente . . . . . . . . . . . . . . . . . . . . . 8
8.8 Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
forense 8
. De nições e modelos conceituais . . . . . . . . . . . . . . . . . . . . . . . .
. . Preocupações legais e o padrão de Daubert . . . . . . . . . . . . . . . .
. . De nições . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ConceptualModels . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . CognitiveTaskModel . . . . . . . . . . . . . . . . . . . . . .
. . . Bottom-UpProcesses . . . . . . . . . . . . . . . . . . . . . . 6
. . . Top-DownProcesses . . . . . . . . . . . . . . . . . . . . . . .
. . . TheForagingLoop . . . . . . . . . . . . . . . . . . . . . . . .
. . . TheSense-MakingLoop . . . . . . . . . . . . . . . . . . . . . 8
. . .6 Extração de dados x análise x interpretação jurídica . . . . . 8
. . . ForensicProcess . . . . . . . . . . . . . . . . . . . . . . . . .
. OperatingSystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StorageForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . DataAbstractionLayers . . . . . . . . . . . . . . . . . . . . .
. . DataAcquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . FilesystemAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . BlockDeviceAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Recuperação de dados e escultura de conteúdo de arquivo . . . . . . . . . . . . . . . . . . . 6
. MainMemoryForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. ApplicationForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . CaseStudy: theWebBrowser . . . . . . . . . . . . . . . . . . . . . . .
. CloudForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . CloudBasics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Desafios Forenses . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SaaSForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
.6 ArtifactAnalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Encontrando um objeto de dados conhecido: Hashing criptográfico . . . . . . . . . .
.6. Análise em nível de bloco . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. ApproximateMatching . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Artefatos nativos da nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
https://translate.googleusercontent.com/translate_f 14/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
III Segurança de Sistemas
Criptografia
. Matemática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. CryptographicSecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SyntaxofBasicSchemes . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Definições básicas de segurança . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HardProblems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SetupAssumptions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Simulação e segurança de UC . . . . . . . . . . . . . . . . . . . . . . . . . 8
. Construções teoricamente seguras da informação . . . . . . . . . . . . . . . . .
. . One-TimePad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SecretSharing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. SymmetricPrimitives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . BlockCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StreamCiphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . HashFunctions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Merkle-DamgårdConstruction . . . . . . . . . . . . . . . . .
. . . SpongeConstructions . . . . . . . . . . . . . . . . . . . . . .
. . . RandomOracleModel . . . . . . . . . . . . . . . . . . . . . .
. Criptografia e autenticação simétricas . . . . . . . . . . . . . . . . . . . .
. . Modos de operação . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . MessageAuthenticationCodes . . . . . . . . . . . . . . . . . . . . . . 6
. . Derivação de teclas e funções de saída extensíveis . . . . . . . . . . . . 6
. . Merkle-TreesandBlockchains . . . . . . . . . . . . . . . . . . . . . . .
.6 PublicKeyEncryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. KEM-DEMPhilosophy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. ConstructionsbasedonRSA . . . . . . . . . . . . . . . . . . . . . . . . 8
.6. ConstructionsbasedonEllipticCurves . . . . . . . . . . . . . . . . . .
.6. Construções baseadas em rede . . . . . . . . . . . . . . . . . . . . . . . .
. PublicKeySignatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . RSA-PSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . DSA, EC-DSA andSchnorrSignatures . . . . . . . . . . . . . . . . . . .
.8 Protocolos padrão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Protocolos de autenticação . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Protocolos baseados em criptografia . . . . . . . . . . . . . . . . . . .
.8. . MessageAuthentication-BasedProtocols . . . . . . . . . . .
.8. . Baseado em conhecimento zero . . . . . . . . . . . . . . . . . . . . . .
.8. Principais protocolos de acordo . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . KeyTransport . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. . Dif e – HellmanKeyAgreement . . . . . . . . . . . . . . . . .
https://translate.googleusercontent.com/translate_f 15/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. Primitivos para isolamento e mediação . . . . . . . . . . . . . . . . . . . . . . . 6
. . Autenticação e identificação . . . . . . . . . . . . . . . . . . . . .
. . Controladores de acesso . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Capacidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Acesso físico e exclusão segura . . . . . . . . . . . . . . . . . . .
. . Proteção de memória e espaços de endereço . . . . . . . . . . . . . . . . .
. .6 Extensões de hardware modernas para proteção da memória . . . . . . . . . .
. . Anéis de proteção . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. .8 Um anel para governar todos eles. E outro. E outro. . . . . . . . . . . . 8
. . Dispositivos simples e a IoT . . . . . . . . . . . . . . . . . . . . . . . . 8
. OperatingSystemHardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Ocultação de informações . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Restrições de controle . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Particionamento. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Verificações de código e integridade de dados . . . . . . . . . . . . . . . . . . . . . . 86
. . Detecção de anomalias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
.6 Sistemas operacionais, hipervisores - e as áreas relacionadas? . . . . . . . . . . 88
. EmbracingSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
https://translate.googleusercontent.com/translate_f 16/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . SecurityModels . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . EnforceablePolicies . . . . . . . . . . . . . . . . . . . . . . .
. . . AccessControlLogics . . . . . . . . . . . . . . . . . . . . . .
. AccessControlinDistributedSystems . . . . . . . . . . . . . . . . . . . . . .
. . CoreConcepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . Políticas baseadas na origem . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Cross-siteScripting . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . Cross-originResourceSharing . . . . . . . . . . . . . . . . .
. . FederatedAccessControl . . . . . . . . . . . . . . . . . . . . . . . . .
. . Criptografia e controle de acesso . . . . . . . . . . . . . . . . . . . . .
. . . Attribute-BasedEncryption . . . . . . . . . . . . . . . . . . . 8
. . . Key-centricAccessControl . . . . . . . . . . . . . . . . . . . 8
. Autenticação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
www.cybok.org
. . IdentityManagement . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . UserAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Senhas . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Biometria para autenticação . . . . . . . . . . . . . . . . . .
. . . AuthenticationTokens . . . . . . . . . . . . . . . . . . . . . .
. . . BehaviouralAuthentication . . . . . . . . . . . . . . . . . . .
. . . FA de autenticação de dois fatores . . . . . . . . . . . . . . . . .
. . Autenticação em Sistemas Distribuídos . . . . . . . . . . . . . . . . . .
. . . Needham-SchroederProtocol . . . . . . . . . . . . . . . . . .
. . . Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . OAuth –OpenIDConnect . . . . . . . . . . . . . . . . . . . 6
. . FacetsofAuthentication . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . PatternsforEntityAuthentication . . . . . . . . . . . . . . . .
. . . CorrespondenceProperties . . . . . . . . . . . . . . . . . . . 8
. . . Autenticação como Associação Verificada . . . . . . . . . . . . .
. . . Autenticação para crédito ou para responsabilidade . . . . . . . . .
.6 Responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Aspectos técnicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. . AuditPolicies . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. . Preservando o Evidência . . . . . . . . . . . . . . . . . . . . .
.6. . Analisando as evidências . . . . . . . . . . . . . . . . . . . . . .
.6. . Avaliando a evidência . . . . . . . . . . . . . . . . . . . . .
.6. Privacidade e responsabilidade . . . . . . . . . . . . . . . . . . . . . . . . .
.6. DistributedLogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.6. Conceitos relacionados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
https://translate.googleusercontent.com/translate_f 17/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. . CodingPractices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Detecção de Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . StaticDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Detecção heurística estática . . . . . . . . . . . . . . . . . . . .
. . . Verificação estática do som . . . . . . . . . . . . . . . . . . . . .
. . DynamicDetection . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Monitoramento . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Gerando execuções relevantes . . . . . . . . . . . . . . . . .
. Mitigando a exploração de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . 6
. . RuntimeDetectionofAttacks . . . . . . . . . . . . . . . . . . . . . . . 6
. . AutomatedSoftwareDiversity . . . . . . . . . . . . . . . . . . . . . . .
. . LimitingPrivileges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . SoftwareIntegrityChecking . . . . . . . . . . . . . . . . . . . . . . . . 8
. . Phishing e clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Phishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Clickjacking . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . ClientSideStorage . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . ClientSideStorage no navegador . . . . . . . . . . . . . . . 6
. . . Armazenamento do lado do cliente em aplicativos móveis . . . . . . . . . . . 6
https://translate.googleusercontent.com/translate_f 18/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . Ataques físicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Smudgeattacks . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . ShoulderSur ng . . . . . . . . . . . . . . . . . . . . . . . . .
. ServerSideVulnerabilitiesandMitigations . . . . . . . . . . . . . . . . . . . .
. . InjectionVulnerabilities . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . SQL-Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
. . . CommandInjections . . . . . . . . . . . . . . . . . . . . . . .
. . . UserUploadedFiles . . . . . . . . . . . . . . . . . . . . . . .
. . . LocalFileInclusion . . . . . . . . . . . . . . . . . . . . . . . .
. . . Cross-SiteScripting (XSS) . . . . . . . . . . . . . . . . . . . .
. . .6 Cross-SiteRequestForgery . . . . . . . . . . . . . . . . . . .
. . Erros de configuração do servidor e componentes vulneráveis . . . . . . . .
. . . Firewall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . LoadBalancers . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . Bancos de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Segurança de infraestrutura V
Segurança de rede
. Arquitetura da Internet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. Protocolos de rede e vulnerabilidade . . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
https://translate.googleusercontent.com/translate_f 19/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . RobustSecurityNetwork (RSN) . . . . . . . . . . . . . . . . . . . . . .
.8 NetworkDefenceTools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. PacketFilters / Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . .
.8. ApplicationGateway (AG) . . . . . . . . . . . . . . . . . . . . . . . . .
.8. Circuit-levelGateway (CG) . . . . . . . . . . . . . . . . . . . . . . . . .
.8. IntrusionDetectionSystems (IDS) . . . . . . . . . . . . . . . . . . . . .
.8. AnIntrusionPreventionSystem (IPS) . . . . . . . . . . . . . . . . . . . 6
.8.6 Projeto da arquitetura da rede . . . . . . . . . . . . . . . . . . . . . . . .
. AdvancedNetworkSecurityTopics . . . . . . . . . . . . . . . . . . . . . . . .
. . SoftwareDe nedNetwork, virtualização . . . . . . . . . . . . . . . . .
. . Segurança da Internet das Coisas (IoT) . . . . . . . . . . . . . . . . . . . . . . 8
8 Segurança de Hardware 8
8. Ciclo de projeto de hardware e sua ligação com a segurança de hardware . . . . . . . . . . . . . 8
8.. Shortbackgroundonhardwaredesignprocess . . . . . . . . . . . 8
8.. Rootoftrust . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Modelo de ameaça . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Raiz de confiança, modelo de ameaça e camadas de abstração de design de hardware . . 8
8. Medir a segurança do hardware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. FIPS - . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. Critérios comuns e EMVCo . . . . . . . . . . . . . . . . . . . . . . . 8
8.. SESIP: Padrão de avaliação de segurança para plataformas IoT . . . . . . . . . 88
8. SecurePlatforms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
8.. HSMHardwareSecurityModule . . . . . . . . . . . . . . . . . . . . . . 8
8.. SecureElementandSmartcard . . . . . . . . . . . . . . . . . . . . . . 8
8.. TrustedPlatformModule (TPM) . . . . . . . . . . . . . . . . . . . . . .
8. Suporte de hardware para segurança de software em nível de arquitetura . . . . . . . . . .
8.. TrustedExecutionEnvironment (TEE) . . . . . . . . . . . . . . . . . . .
8.. IBM 8Securecoprocessor . . . . . . . . . . . . . . . . . . . . . . .
www.cybok.org
8.. ARMTrustzone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.. Arquiteturas de módulo protegido e soluções de co-design de HWSW . . .
8.. Soluções leves e individuais . . . . . . . . . . . . . . . . . . .
8. Projeto de hardware para algoritmos criptográficos em nível RTL . . . . . . . . . . .
8.. Processo de design de RTL para ASIC ou FPGA . . . . . . . . . . . . . . . .
8.. Algoritmos criptográficos em nível RTL . . . . . . . . . . . . . . . . . . . 6
8.6 Ataques de canal lateral, ataques de falha e contramedidas . . . . . . . . . . . .
8,6. Ataques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8,6. Contramedidas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8. Blocos de construção geradores de entropia: números aleatórios, fisicamente impossíveis de clonar
funções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Randomnumbergeneration . . . . . . . . . . . . . . . . . . . . . . . . 6
8.. Funções fisicamente não clonáveis . . . . . . . . . . . . . . . . . . . . . . 6
8.8 Hardwaredesignprocess . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Projeto e fabricação de circuitos integrados de silício . . . . . . . . . . . 6
8,8. Trojancircuits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Circuitleveltechniques . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. BoardLevelSecurity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8,8. Tempo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
8. Conclusão . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
https://translate.googleusercontent.com/translate_f 20/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . ElectricPowerGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . . SmartGrids . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . Sistemas de Transporte e Veículos Autônomos . . . . . . . . . . . 6
. . . Veículos terrestres, aéreos e marítimos . . . . . . . . . . . . . . . . . . 6
. . Robótica e Manufatura Avançada . . . . . . . . . . . . . . . . . . 6
. . Dispositivos Médicos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. .6 A Internet das Coisas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. AspectospolíticosepolíticosdeSegurançaCPS . . . . . . . . . . . . . . . . . . . 6
. . Incentivos e regulamentação . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Cyber-Con ict . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 6
. . Práticas e Padrões da Indústria . . . . . . . . . . . . . . . . . . . . . 6 8
www.cybok.org
. . SecrecyCapacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . FriendlyJamming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Usando a camada física para proteger a integridade dos dados . . . . . . . . . . . . . . 6 6
. .6 Baixa probabilidade de interceptação e comunicação oculta . . . . . . . . 6 6
. Comunicação Resiliente a Jamming e Jamming . . . . . . . . . . . . . . . . 6
. . Técnicas de Espectro de Espalhamento Coordenado . . . . . . . . . . . . . . . . 6
. . Técnicas de Espectro de Espalhamento Descoordenado . . . . . . . . . . . . . . 6 8
. . Aniquilação de sinais e sombra . . . . . . . . . . . . . . . . . . 6
. Identificação da camada física . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . DeviceunderIdenti cation . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Sinais de identificação . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . DeviceFingerprints . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. . Ataques à identificação da camada física . . . . . . . . . . . . . . . . . 6
. Limite de distância e posicionamento seguro . . . . . . . . . . . . . . . . . . . . 6
. . DistanceBoundingProtocols . . . . . . . . . . . . . . . . . . . . . . . 6
. . Técnicas de medição de distância . . . . . . . . . . . . . . . . . . . . 6
. . Ataques da camada física na medição segura de distâncias . . . . . . . 6
. . SecurePositioning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
. CompromisingEmanationsandSensorSpoo ng . . . . . . . . . . . . . . . . 6 8
. . CompromisingEmanations . . . . . . . . . . . . . . . . . . . . . . . . 6 8
. . SensorCompromise . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
.6 Segurança da camada física de tecnologias de comunicação selecionadas . . . . . . . 66
.6. Comunicação de campo próximo (NFC) . . . . . . . . . . . . . . . . . . . . . . 66
.6. AirTraf cCommunicationNetworks . . . . . . . . . . . . . . . . . . . 66
.6. CellularNetworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
.6. GNSSSegurançaeSpoo ngAttacks . . . . . . . . . . . . . . . . . . . 66
Apêndice VI 6
Bibliografia 6
Siglas
Glossário 8
https://translate.googleusercontent.com/translate_f 21/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 27
Capítulo
Introdução
Andrew Martin University of Oxford
Awais Rashid University of Bristol
Howard Chivers University of York
George Danezis University College de Londres
Steve Schneider University of Surrey
Emil Lupu Imperial College de Londres
A segurança cibernética está se tornando um elemento importante nos currículos de todos os níveis de ensino. Contudo,
o conhecimento básico sobre o qual o campo da segurança cibernética está sendo desenvolvido é frag-
e, como resultado, pode ser difícil para alunos e educadores mapear
caminhos de progressão pelo sujeito. Por comparação, disciplinas científicas maduras, como
https://translate.googleusercontent.com/translate_f 22/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
matemática, física, química e biologia estabeleceram conhecimentos básicos e
caminhos de aprendizagem claros. Dentro da engenharia de software, o IEEE Software Engineering Body
of Knowledge [ ] codifica o conhecimento fundamental sobre o qual uma gama de programas educacionais
gramas podem ser construídos. Há uma série de esforços anteriores e atuais para estabelecer
estruturas de habilidades, áreas de tópicos principais e diretrizes curriculares para segurança cibernética. No entanto, um
não foi alcançado consenso sobre o que a comunidade diversificada de pesquisadores, educadores,
e os profissionais vêem como conhecimento básico estabelecido em segurança cibernética.
O Corpo de Conhecimento de Segurança Cibernética (CyBOK) visa codificar o fundamento e, de modo geral,
conhecimento reconhecido em segurança cibernética. Da mesma forma que SWEBOK , CyBOK significa
para ser um guia para o corpo de conhecimento; o conhecimento que codifica já existe em lit-
eratura, como livros, artigos de pesquisa acadêmica, relatórios técnicos, white papers e
padrões. Nosso foco é, portanto, mapear o conhecimento estabelecido e não replicá-lo totalmente
tudo o que já foi escrito sobre o assunto. Programas educacionais variando
do ensino médio e de graduação à pós-graduação e profissional continuado
programas de desenvolvimento podem ser desenvolvidos com base no CyBOK.
Esta introdução tem como objetivo colocar as áreas de conhecimento (KAs) do CyBOK em um co-
quadro geral inerente. Cada KA assume um acordo básico sobre o vocabulário geral,
objetivos e abordagens para a segurança cibernética, e aqui nós fornecemos o material comum que
sustenta todo o corpo de conhecimento. Começamos com uma visão geral da segurança cibernética como
um tópico, e algumas definições básicas, antes de introduzir as áreas de conhecimento. Os KAs e
seus agrupamentos em categorias são, é claro, não ortogonais e há uma série de
pendências entre os KAs que são referenciadas e também capturadas separadamente visualmente
no site do CyBOK (https://www.cybok.org) Em seguida, discutimos como o conhecimento nos KAs
pode ser implantado para compreender os meios e objetivos da segurança cibernética, mitigar contra
falhas e incidentes e gerenciar riscos.
Embora tenhamos necessariamente dividido o CyBOK em uma série de áreas de conhecimento distintas
(KAs), é claro que existem muitas inter-relações entre eles. Aqueles com profissional
responsabilidade por uma área normalmente deve ter pelo menos uma compreensão moderada da parte superior adjacente
ics; alguém responsável por arquitetar um sistema seguro deve compreender muitos. Existem
uma série de princípios unificadores e temas transversais - economia da segurança; verificação
e métodos formais; e arquitetura e ciclo de vida de segurança - que sustentam o desenvolvimento
de sistemas que satisfazem propriedades de segurança específicas. Concluímos a introdução por dis-
discutindo tais princípios e temas.
Esta é uma definição sucinta, mas expressa a amplitude da cobertura dentro do tópico. Vários
outras definições estão em uso, e um documento da ENISA [ ] examina várias delas.
A consideração dos comportamentos humanos é um elemento crucial de tal definição, mas discutivelmente
ainda falta uma menção ao impacto sobre eles da perda de informações ou redução da segurança,
ou de como as violações de segurança e privacidade afetam a confiança em sistemas conectados e infra-estrutura
turas. Além disso, a segurança deve ser equilibrada com outros riscos e requisitos - de um ser humano
Da perspectiva dos fatores, é necessário não interromper a tarefa principal.
Um grande contribuidor para a noção de segurança cibernética é a Segurança da Informação , amplamente considerada como
composto por três elementos principais:
https://translate.googleusercontent.com/translate_f 23/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
De nição: Segurança da informação. Preservação da confidencialidade, integridade e disponibilidade
de informação.
Para definições dos termos subsidiários, o leitor deve consultar o ISO de nições [6]
Durante o desenvolvimento da era digital, outros 'títulos' tiveram destaque, incluindo Com-
segurança de computador e segurança de rede ; noções relacionadas incluem garantia de informações e sistemas
tems Segurança - talvez no contexto da Engenharia de Sistemas ou Engenharia de Segurança .
Esses termos são facilmente confundidos e parece que muitas vezes um termo é usado quando outro é
significou.
Muitos desses termos foram sujeitos à crítica de que colocam uma confiança excessiva na técnica
controles de calibração e se concentram quase exclusivamente nas informações . Ampliando-os para se relacionar com o ciber-
sistemas físicos podem estar levando-os longe demais: na verdade, nossa definição de trabalho acima dos privilégios
a noção de informação (embora também mencionando serviços ) - enquanto que no caso de rede-
atuadores conectados, o desafio urgente é prevenir ações físicas indesejadas .
Além disso, em alguns relatos sobre o tema, o ciberespaço é melhor entendido como um 'lugar' no qual
negócios são conduzidos, comunicações humanas acontecem, arte é feita e apreciada, relação
navios são formados e desenvolvidos, e assim por diante. Neste lugar, crimes cibernéticos, terrorismo cibernético e
pode ocorrer guerra cibernética, com impactos 'reais' e 'virtuais'. Considerado como um todo, o CyBOK
delineia uma grande variedade de tópicos que parecem estar dentro do amplo escopo da segurança cibernética ,
mesmo que uma redução sucinta daquelas em uma definição curta permaneça indefinida. O escopo completo de
O CyBOK pode servir como uma definição estendida do tópico - conforme resumido a seguir.
www.cybok.org
https://translate.googleusercontent.com/translate_f 24/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Figura . : As áreas de conhecimento (KAs) no escopo do CyBOK
Nossas categorias não são inteiramente ortogonais. O objetivo é capturar o conhecimento relacionado
à segurança cibernética em si : a fim de dar sentido a parte desse conhecimento, auxiliar e
conhecimento prévio é necessário - seja no design de hardware e software, ou em
diversos outros campos, como o direito.
Página 31
Segurança utilizável, fatores sociais e comportamentais que afetam a segurança, cultura de segurança e
Fatores humanos
conscientização, bem como o impacto dos controles de segurança no comportamento do usuário.
Ataques e defesas
Malware e ataque Detalhes técnicos de exploits e sistemas maliciosos distribuídos, juntamente com os associados
Tecnologias abordagens de descoberta e análise.
As motivações, comportamentos e métodos usados por invasores, incluindo cadeias de suprimentos de malware,
Comportamentos Adversários
vetores de ataque e transferências de dinheiro.
Segurança de Sistemas
Principais primitivas de criptografia como praticadas atualmente e algoritmos emergentes, técnicas para
Criptografia
análise destes e dos protocolos que os utilizam.
Autenticação,
Todos os aspectos do gerenciamento de identidade e tecnologias de autenticação e arquiteturas e
Autorização, &
ferramentas para apoiar a autorização e responsabilidade em sistemas isolados e distribuídos.
Prestação de contas
Segurança de infraestrutura
Aspectos de segurança de protocolos de rede e telecomunicações, incluindo a segurança de
Segurança de rede roteamento, elementos de segurança de rede e protocolos criptográficos específicos usados para rede
segurança.
https://translate.googleusercontent.com/translate_f 25/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Sistemas
SegurançaCiber-Físicos sistemas de controle, modelos de invasores, projetos protegidos e de segurança de grande escala
infraestruturas.
www.cybok.org
Ao considerar essas ameaças, a segurança cibernética é muitas vezes expressa em termos de instituir um número
ber de controles que afetam pessoas, processos e tecnologia. Alguns deles se concentrarão no
prevenção de maus resultados, enquanto outros são mais bem abordados por meio de detecção e
reação . A seleção desses controles é geralmente abordada por meio de um processo de Risk Man-
gestão (veja abaixo, e a Área de Conhecimento de Gestão de Risco e Governança (Capítulo ) )
- embora cada vez mais ênfase seja colocada em Fatores Humanos (ver o Conhecimento de Fatores Humanos -
Edge Area (Capítulo )) , observando a necessidade de alavancar os humanos como um pilar para melhorar o ciber
culturas de segurança, bem como apoiá-las na proteção de sua privacidade online (consulte a seção Privacidade
& On-line Direitos Área de Conhecimento (capítulo ) ).
Da mesma forma, a segurança requer uma análise das vulnerabilidades dentro do sistema em consideração:
um sistema (hipotético) sem vulnerabilidades seria imune a todas as ameaças; um altamente
sistema vulnerável colocado em circunstâncias totalmente benignas (sem ameaças) não teria segurança
incidentes, também.
O uso pretendido de controles de segurança dá origem a suas próprias dúvidas sobre se eles são
implantados de forma adequada, e se eles são eficazes: estes pertencem ao domínio da segurança
garantia de segurança , que possui processos e controles próprios. Isso envolverá risco residual
análise (veja abaixo, e a Área de Conhecimento de Gestão de Risco e Governança (Capítulo ) )
que inclui uma tentativa de medir e quantificar a presença de vulnerabilidades.
.. Falhas e Incidentes
Quando os adversários alcançam seu objetivo (total ou parcialmente) - quando os ataques são bem-sucedidos - a coleta
ção dos controles de segurança pode ter falhado. Alternativamente, podemos dizer que insuficiente
ou controles ineficazes estavam em vigor. Operacionalmente falando, uma ou mais falhas podem dar
originar um incidente de segurança. Normalmente, esses incidentes podem ser descritos em termos de danos a
que eles dão origem: de acordo com nossa definição de cibersegurança, isso normalmente equivale a
danos causados por roubo ou dano de informações, dispositivos, serviços ou redes. O ciber-físico
domínio (consulte a Área de Conhecimento de Segurança de Sistemas Cibernéticos Físicos (Capítulo )) dá origem
a muitos danos potenciais adicionais - danos aos humanos podem vir de informações ou
de ação física não intencional, ou de ambos.
https://translate.googleusercontent.com/translate_f 26/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
análise de forma robusta e confiável.
Um tema recorrente na análise de segurança é que não é suficiente para definir boas condições de segurança
trols apenas dentro de uma abstração ou quadro de referência particular: é necessário também
Considere o que pode acontecer se um adversário decidir ignorar essa abstração ou quadro.
Isso surge, por exemplo, em canais laterais de comunicação , onde um adversário pode inferir muito
de capturar emissões de radiofrequência de um cabo, digamos, sem a necessidade de tocar nesse cabo
ble fisicamente. Efeitos de escuta semelhantes foram observados contra criptografia im-
implantado em smartcards: análise simples do consumo de energia do processador
endereços, cada bit, por sua vez, pode ser suficiente para divulgar a chave criptográfica (ver Criptografia
raphy, áreas de conhecimento de Segurança de Hardware e Segurança de Software).
Esses problemas ocorrem em todos os níveis do projeto do sistema. No software, o ataque de injeção de SQL
surge (consulte as áreas de conhecimento de segurança de software e segurança da Web e móvel) porque uma string
de caracteres destinados a serem interpretados como uma entrada de banco de dados é forçada a se tornar um banco de dados
comando. Arquivos contendo segredos escritos por um aplicativo podem revelar esses segredos quando
lido por outro, ou por um depurador de propósito geral ou programa de despejo.
A segurança operacional de um sistema pode ser baseada nos operadores que seguem um determinado
procedimento ou evitar circunstâncias perigosas particulares: existe uma suposição de que se
as pessoas são instruídas em um contexto profissional (não) a fazer algo, então elas (não) o farão. Esta
é comprovadamente falso (consulte a Área de Conhecimento de Fatores Humanos (Capítulo ) ).
Uma vez que as abstrações são geralmente construídas em camadas (e os sistemas de computação são geralmente explicitamente
projetado dessa forma), às vezes é conhecido como o problema da 'camada abaixo' [ ] porque
o adversário costuma atacar a camada abaixo daquela em que a abstração que define o
o controle fica (veja, por exemplo, as ameaças e ataques discutidos nos Sistemas Operacionais
E Área de Conhecimento de Virtualização (Capítulo ) e Área de Conhecimento de Segurança de Hardware
(Capítulo 8)).
.. Risco
Não há limite, em princípio, para a quantidade de esforço ou dinheiro que pode ser gasto em
controles de segurança. A fim de equilibrá-los com os recursos disponíveis e os danos e
oportunidades que podem surgir de ameaças emergentes à segurança, uma abordagem abrangente e comum
abordagem à análise de segurança é um processo de Avaliação de Risco - e seleção de controles, um
processo de Gestão de Riscos. Estes são explorados em profundidade no Gerenciamento de Risco e Gover-
nance Knowledge Area (Capítulo ) .
Como acontece com qualquer processo de gestão de risco, um cálculo-chave se relaciona ao impacto esperado, seja
cálculo calculado a partir de alguma estimativa da probabilidade de eventos que podem levar ao impacto, e um
estimativa do impacto decorrente desses eventos. A probabilidade tem dois elementos: a presença
cia de vulnerabilidades (conhecidas ou desconhecidas - as últimas nem sempre são capazes de ser mitigadas
fechado) e a natureza da ameaça . A resposta da gestão à avaliação de risco pode
assumir muitas formas, incluindo controles adicionais para reduzir o impacto ou a probabilidade de uma ameaça,
aceitar o risco, ou transferi-lo / compartilhá-lo com terceiros (por exemplo, seguro), ou em alguns
https://translate.googleusercontent.com/translate_f 27/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
casos que decidem não prosseguir porque todos esses resultados são inaceitáveis.
A gestão da segurança engloba todas as ações de gestão e segurança necessárias
para manter a segurança de um sistema durante sua vida útil. Importante neste contexto, mas fora
lado do escopo do CyBOK, são práticas de gestão da qualidade. Essas práticas são de longa duração
estabelecido na indústria, exigindo essencialmente que todo o trabalho siga processos documentados, e
que os processos fornecem métricas que são, por sua vez, revisadas e usadas para corrigir os processos
que não são adequados ao propósito ('não-conformidades').
As funções dentro de um sistema de gerenciamento de segurança podem ser agrupadas em Físicas, Pessoal,
Sistemas de Informação e Gerenciamento de Incidentes e são uma mistura de sistema de TI padrão
funções de gerenciamento e aquelas que são específicas para segurança cibernética.
A segurança física inclui a proteção física do sistema, incluindo controle de acesso, como-
gerenciamento de conjuntos e manuseio e proteção de mídias de armazenamento de dados. Esses aspectos são
fora do escopo do CyBOK.
A segurança de pessoal se preocupa com uma ampla gama de usabilidade de segurança e modelagem de comportamento,
incluindo educação e treinamento (ver Área de Conhecimento de Fatores Humanos (Capítulo) ). Isso também
inclui elementos formais de gestão de recursos humanos, como a seleção e verificação de
pessoal, termos e condições de uso aceitável para sistemas de TI (consulte a Lei e Regulamentação
Área de Conhecimento (Capítulo) ) e sanções disciplinares para violações de segurança.
www.cybok.org
. PRINCÍPIOS
O pensamento sólido e as boas práticas em segurança foram codi cados por vários autores. O
os princípios que eles descrevem tocam muitos KAs diferentes, e tomados em conjunto ajudam a desenvolver um holis-
abordagem tic para o design, desenvolvimento e implantação de sistemas seguros.
• Economia de mecanismo. O projeto dos controles de segurança deve permanecer tão simples quanto
possível, para garantir alta segurança. Projetos mais simples são mais fáceis de raciocinar formalmente
ou informalmente, para argumentar correção. Além disso, projetos mais simples têm implementações mais simples
ções que são mais fáceis de auditar ou verificar manualmente para alta garantia. Este princípio sob
https://translate.googleusercontent.com/translate_f 28/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
reside a noção de Trusted Computing Base (TCB) - ou seja, a coleção de todo o software
e componentes de hardware nos quais um mecanismo ou política de segurança depende. Isso implica
que o TCB de um sistema deve permanecer pequeno para garantir que ele mantenha a segurança
propriedades esperadas.
• Padrões à prova de falhas. Os controles de segurança precisam definir e habilitar operações que podem posicionar
ser identificados como estando de acordo com uma política de segurança e rejeitar todas as outras. Dentro
em particular, Saltzer e Schroeder alertam contra mecanismos que determinam o acesso por
tentando identificar e rejeitar comportamento malicioso. Comportamento malicioso, uma vez que está sob
o controle do adversário e, portanto, se adaptará, é difícil de enumerar e identificar
tify exaustivamente. Como resultado, basear os controles na exclusão de violação detectada, em vez
do que a inclusão de um bom comportamento conhecido, está sujeita a erros. É notável que alguns modernos
controles de segurança violam este princípio, incluindo software antivírus baseado em assinatura e
detecção de intruso.
• Mediação completa. Todas as operações em todos os objetos em um sistema devem ser verificadas para
certifique-se de que estão de acordo com a política de segurança. Essas verificações normalmente
envolve a garantia de que o sujeito que iniciou a operação está autorizado a executá-la,
presumindo um mecanismo robusto de autenticação. No entanto, controles de segurança modernos
não pode basear verificações na identidade de tal sujeito, mas outras considerações, como
como detentora de uma 'capacidade'.
• Design aberto. A segurança do controle não deve depender do sigilo de como ele opera,
mas apenas em segredos ou senhas bem especi cados. Este princípio é a base da segurança cibernética
como um campo de estudo aberto: permite que estudiosos, engenheiros, auditores e reguladores examinem
ver como os controles de segurança operam para garantir sua correção, ou identificar falhas, sem
minando sua segurança. A abordagem oposta, muitas vezes chamada de 'segurança por obscuridade',
é frágil, pois restringe quem pode auditar um controle de segurança e é ineficaz contra
outras ameaças ou controles que podem sofrer engenharia reversa.
• Separação de privilégios. Controles de segurança que dependem de vários assuntos para autorizar um
operação, fornecem maior segurança do que aqueles que dependem de um único assunto. Este princípio
ple está incorporado em sistemas bancários tradicionais e leva adiante para a segurança cibernética
controles. No entanto, embora seja geralmente o caso de aumentar o número de autoridades
envolvido na autorização de uma operação aumenta a garantia em torno das propriedades de integridade,
geralmente também diminui a garantia em torno das propriedades de disponibilidade. O princípio também tem
limites, relativos à diluição excessiva da responsabilidade, levando a uma 'tragédia do sistema de segurança
mons 'em que nenhuma autoridade tem incentivos para investir em segurança assumindo os outros
vontade.
• Menor privilégio. Os assuntos e as operações que realizam em um sistema devem ser realizados
formado usando o menor número possível de privilégios. Por exemplo, se uma operação precisa apenas
ler algumas informações, também não deve ser concedido o privilégio de escrever ou deletar
Essa informação. A concessão do conjunto mínimo de privilégios garante que, se o assunto for
corrompido ou software incorreto, os danos que podem causar às propriedades de segurança do
sistema é diminuído. A definição de arquiteturas de segurança depende fortemente deste princípio, e
consiste em separar grandes sistemas em componentes, cada um com o mínimo de privilégios
possível - para garantir que compromissos parciais não afetem ou tenham um efeito mínimo
on, as propriedades gerais de segurança de um sistema inteiro.
• Aceitabilidade psicológica. O controle de segurança deve ser naturalmente utilizável para que os usuários
'rotineira e automaticamente' aplica a proteção. Saltzer e Schroeder, especificamente
afirmam que 'na medida em que a imagem mental do usuário de seus objetivos de proteção corresponde
os mecanismos que ele deve usar, os erros serão minimizados '. Este princípio é a base
para a Área de Conhecimento de Fatores Humanos (Capítulo ) .
Saltzer e Schroeder também fornecem dois princípios adicionais, mas alertam que eles são apenas imperativos
adequadamente aplicável aos controles de segurança cibernética:
https://translate.googleusercontent.com/translate_f 29/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• Fator de trabalho. Bons controles de segurança requerem mais recursos para contornar do que aqueles
disponível para o adversário. Em alguns casos, como o custo de força bruta de uma chave, o
fator de trabalho pode ser calculado e os designers podem ter certeza de que os adversários não podem
ser suficientemente dotado para experimentá-los todos. Para outros controles, no entanto, este fator de trabalho é
mais difícil de calcular com precisão. Por exemplo, é difícil estimar o custo de um corrupto
Esses princípios, por sua vez, baseiam-se em precedentes muito mais antigos, como os princípios de Kerckhoff
lating a sistemas criptográficos [ ]. Kerchoff destaca que os sistemas criptográficos devem ser
praticamente seguros, sem exigir o sigilo de como funcionam (design aberto). Ele também
destaca que as chaves devem ser curtas e fáceis de memorizar, o equipamento deve ser fácil de usar e
aplicável às telecomunicações - todos os quais se relacionam com a aceitabilidade psicológica de
os designs.
.. Princípios NIST
Princípios mais contemporâneos em design de sistemas são enumerados pelo NIST[, Apêndice F].
Eles incorporam e estendem os princípios de Saltzer e Schroeder. Eles são categorizados
em três famílias amplas relacionadas a: 'Arquitetura e Design de Segurança' (ou seja, organização,
estrutura e interfaces); 'Capacidade de segurança e comportamentos intrínsecos' (ou seja, qual a proteção
são sobre); e 'Segurança do Ciclo de Vida' (ou seja, aqueles relacionados ao processo e gerenciamento).
Como tal, esses princípios referem-se especificamente à arquitetura de segurança, controles específicos, também
como gestão de processos de engenharia.
Vários princípios do NIST são mapeados diretamente para aqueles de Saltzer e Schroeder, como Least
Mecanismo comum, acesso eficazmente mediado, compartilhamento minimizado, segurança minimizada
Elementos, complexidade reduzida, privilégio mínimo, padrões seguros e permissão de predicado,
e segurança aceitável.
Notavelmente, novos princípios lidam com o aumento da complexidade dos sistemas de computação modernos
e enfatizar o design modular limpo, ou seja, com abstração clara, modularidade e camadas,
Dependências parcialmente ordenadas, capacidade de evolução segura. Outros princípios reconhecem que nem todos
componentes em um sistema seguro podem operar no mesmo nível de garantia e exigir
aqueles que se beneficiam de uma estrutura de confiança hierárquica, na qual a falha de segurança de alguns
ponentes não põe em perigo todas as propriedades do sistema. O princípio da modificação inversa
O limite indica que os componentes mais críticos para a segurança também devem ser
o mais protegido contra modificação não autorizada ou adulteração. Proteção hierárquica
afirma que os componentes de segurança menos críticos não precisam ser protegidos dos mais críticos.
A estrutura do NIST também reconhece que os sistemas modernos estão interconectados e fornece
princípios de como protegê-los. Eles devem ser conectados em rede usando comunicação confiável
Canais. Eles devem desfrutar de Composição Distribuída Segura, o que significa que se dois sistemas
que impõem a mesma política são compostos, sua composição também deve, pelo menos, fazer cumprir
a mesma política. Finalmente, o princípio da confiabilidade autossuficiente afirma que um seguro
o sistema deve permanecer seguro mesmo se desconectado de outros componentes remotos.
Os princípios do NIST expandem quais tipos de mecanismos de segurança são aceitáveis para
sistemas mundiais. Em particular, os princípios de Segurança Econômica, Segurança de Desempenho, Hu -
A segurança fatorada e a segurança aceitável afirmam que os controles de segurança não devem ser
excessivamente caro, degradar o desempenho excessivamente, ou ser inutilizável ou de outra forma inaceitável para
Comercial. Este é um reconhecimento de que os controles de segurança suportam propriedades funcionais de sistemas
www.cybok.org
https://translate.googleusercontent.com/translate_f 30/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Além dos princípios, o NIST também descreve três estratégias principais de arquitetura de segurança. The Refer-
O conceito de monitoramento de segurança é um controle abstrato que é suficiente para garantir a segurança adequada
laços de um sistema. Defense in Depth descreve uma arquitetura de segurança composta por vários
controles sobrepostos. O isolamento é uma estratégia pela qual diferentes componentes são fisicamente ou
separados logicamente para minimizar a interferência ou vazamento de informações.
Ambos NIST, bem como Saltzer e Schroeder, destacam que os princípios fornecem apenas orientação,
e precisam ser aplicados com habilidade a problemas específicos disponíveis para projetar arquiteturas seguras
e controles. O desvio de um princípio não leva automaticamente a quaisquer problemas, mas
tais desvios precisam ser identificados para garantir que quaisquer problemas que possam surgir tenham sido
mitigado de forma adequada.
.. O Princípio da Precaução
Como a economia participativa de dados leva a uma gama de produtos e serviços inovadores,
também estão crescendo as preocupações com a privacidade e o potencial uso indevido de dados, como tem sido alto
iluminadas por recentes casos de ingerência nos processos democráticos. Como tal, o Precaução
Princípio - refletindo sobre o potencial efeito prejudicial das escolhas de design antes de
inovações são colocadas em implantação em larga escala - também se torna relevante. Designers devem
considerar as implicações de segurança e privacidade de suas escolhas desde a concepção até
modelagem, implementação, manutenção, evolução e também descomissionamento de larga escala
sistemas conectados e infraestruturas das quais a sociedade depende cada vez mais. Função creep
à medida que o sistema evolui ao longo de sua vida e seu impacto na sociedade em geral também deve ser
considerado [ ] .
. TEMAS DE CROSSCUTTING
Uma série de tópicos e temas recorrem em vários KAs - implícita ou explicitamente - e
fornecer um contexto ou uni cação de ideias entre os KAs que atravessam a estrutura
escolhido para o CyBOK. Em uma decomposição diferente do CyBOK, eles podem ter sido KAs
por direito próprio. Essas são uma parte importante do corpo de conhecimento e, por isso, documentamos
aqui, o mais substancial deles.
.. Economia da Segurança
A economia da segurança da informação é uma síntese entre a ciência da computação e as ciências sociais. Isto
combina a teoria microeconômica e, em menor medida, a teoria dos jogos, com informações
curiosidade para obter uma compreensão aprofundada das compensações e incentivos desalinhados no
https://translate.googleusercontent.com/translate_f 31/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
concepção e implementação de políticas e mecanismos técnicos de segurança informática [ ,]. Para
por exemplo, Van Eeten e Bauer estudaram os incentivos de participantes legítimos do mercado - como
como provedores de serviços de Internet (ISPs) e fornecedores de software - quando confrontados com malware
e como as ações impulsionadas por tais incentivos levam à segurança ideal ou subótima para
sistema interconectado mais amplo. A economia do atacante também está ganhando importância (por ex-
amplo, [ , 6, ]). A economia do invasor expõe análises de custo-benefício dos invasores a ex-
ploit vulnerabilidades na segurança do alvo da vítima, para posteriormente formular proteção
contramedidas para entidades cumpridoras da lei [ 8] Por último, há a economia do desvio de segurança
ridade [ ]. Esta subdisciplina da economia do atacante se concentra em entender como o crime cibernético
inals aplicam, ou seja, prática, segurança para defender seus sistemas e operações contra interrupções
da aplicação da lei (por exemplo, mecanismos de resiliência embutidos em botnets [ ] ou anti-forense
técnicas [ ] ).
Em sua forma mais básica, a verificação e validação de sistemas de software envolvem testes - para consistência
frequência, comportamento uniforme / previsto e conformidade com as especificações. Por sua natureza, tal
o teste nunca pode ser completo ou exaustivo em qualquer sistema realista, e será necessariamente
pobre em encontrar erros deliberados ou falhas de projeto sistêmicas. Abordagens para verificação e
modelagem procuram raciocinar sobre projetos e implementações, a fim de provar matemati-
naturalmente que eles têm as propriedades de segurança necessárias.
Métodos formais são abordagens para modelagem e verificação com base no uso de métodos formais
http://www.oecd.org/internet/ieconomy/ 6.pdf
A modelagem formal tem sido usada no campo da segurança por algumas décadas, em muitos
dos KAs classificados no CyBOK em Segurança de Sistemas, Segurança de Infraestrutura e Software
E Segurança da plataforma. Por exemplo, na área de controle de acesso, o modelo Bell-LaPadula []
fornece um modelo abstrato das regras que determinam se um assunto com uma certa segurança
a autorização deve ter um tipo particular de acesso a um objeto com uma determinada classe de segurança
cátion. O objetivo deste modelo é evitar a desclassificação de dados; trabalho posterior generalizado
trata-se de métodos para prevenir certos fluxos de informação. Outros modelos de controle de acesso têm
foi proposto para alcançar outras propriedades, como integridade (por exemplo, o modelo Biba [ ], ou o
Modelo Clark-Wilson [ ] ). Os métodos formais permitem que as principais propriedades de segurança sejam expressas
https://translate.googleusercontent.com/translate_f 32/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e comprovado no modelo formal. Propriedades de não interferência foram formalizadas [6] dentro
termos de execuções usando sistemas de transição e descrições de sistema com sistemas de transição
A semântica pode ser avaliada em relação a tais propriedades.
Embora as bases das abordagens formais estejam maduras, o desafio tem sido fazer
eles são práticos. A aplicação de abordagens formais requer a gestão cuidadosa de
detalhes intrincados, que na prática requerem suporte de ferramenta para permitir a verificação mecanizada e
para verificar as provas. O suporte da ferramenta para a abordagem simbólica vem tanto de uso geral
métodos formais ferramentas aplicadas a problemas de segurança como Isabelle / HOL [ ], ou FDR [], ou
de ferramentas personalizadas especificamente para segurança, como Tamarin [] ou ProVerif []. Essas ferramentas
www.cybok.org
normalmente adota uma abordagem de prova de teorema ou então uma abordagem de verificação de modelo, onde
o espaço de estados é explorado exaustivamente.
Essas ferramentas agora estão se tornando fortes o suficiente para verificar os protocolos implantados, como o TLS. ,
que foi verificado usando uma combinação de ambas as abordagens [ 8], mas eles ainda exigem
orientação especializada. O desenvolvimento posterior do suporte de ferramenta é uma área de pesquisa ativa.
https://translate.googleusercontent.com/translate_f 33/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tais casos requerem uma regra de 'duas pessoas', por exemplo, contra-autorização para pagamentos.
A próxima etapa é agrupar usuários e dados em categorias amplas usando o requisito de acesso à função
mentos, juntamente com a classificação formal de dados e liberação do usuário. Essas categorias são po-
compartimentos do sistema potencial, por exemplo, usuários da Internet e dados públicos, ou engenheiros e
dados de design. Os compartimentos devem garantir que as interações usuário-dados de maior risco cruzem
limites de compartimento, e que as interações comuns de dados do usuário não. Tal compartimento
geralmente são aplicados com controles de particionamento de rede (consulte a seção Segurança da Rede
Área de Conhecimento (Capítulo )). O projeto detalhado é então necessário dentro dos compartimentos, com
as primeiras etapas são focar em funções de usuário concretas, design de dados e controles de acesso (consulte
a Área de Conhecimento (Capítulo ) de Autenticação, Autorização e Responsabilidade (AAA ) , com
avaliações de risco mais detalhadas sendo conduzidas conforme o projeto amadurece.
Os sistemas se beneficiam de uma abordagem uniforme para a infraestrutura de segurança, por exemplo, o gerenciamento
mento de chaves e protocolos de rede (consulte a Área de Conhecimento de Segurança de Rede (Capítulo ) ),
gerenciamento e coordenação de recursos (ver o Conhecimento de Segurança de Sistemas Distribuídos
Área (Capítulo )), funções (consulte o Conhecimento de Autenticação, Autorização e Responsabilidade (AAA)
área de borda (Capítulo )) , acesso do usuário (consulte a Área de Conhecimento de Fatores Humanos (Capítulo)),
e detecção de intrusão (consulte a Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes
(Capítulo 8)). CyBOK fornece conhecimentos básicos importantes nessas áreas, mas nem isso
nem a avaliação de risco é suficiente para motivar a implementação detalhada da infraestrutura;
eles precisam ser complementados pelas boas práticas atuais. Em alguns setores, a prática recomendada é
obrigatória (por exemplo, Indústrias de cartão de pagamento). Em outros casos, pode estar disponível em aberto
fontes (por exemplo, OWASP) ou como resultado de benchmarking corporativo.
Ortogonais a essas preocupações estão uma série de tópicos que se relacionam com o contexto do sistema
desenvolvimento e operação. É cada vez mais claro que um código de conduta, conforme prescrito por
muitos organismos profissionais, oferece uma estrutura valiosa para designers de sistema e aqueles que
explorar fraquezas e vulnerabilidades em tais sistemas. Iniciativas em torno dos responsáveis
a investigação e a inovação ganham terreno. A descoberta de vulnerabilidades necessita
uma política de divulgação - e os parâmetros de divulgação responsável levaram muito
debate, juntamente com o papel deste em um processo de ações de segurança.
Essa ampla consideração da arquitetura e do ciclo de vida foi capturada dentro do não
opções de 'segurança desde o projeto' e 'seguro por padrão ' . O primeiro termo é frequentemente aplicado a
práticas detalhadas em engenharia de software, como verificação de entrada, para evitar estouros de buffer
e semelhantes (consulte a Área de Conhecimento do Ciclo de Vida do Software Seguro (Capítulo 6)). Mais gener-
aliado, consideração de segurança em todo o ciclo de vida, incluindo na configuração padrão
'fora da caixa' (embora não muito software seja entregue em caixas nos dias de hoje), comprovadamente
leva a menos insegurança nos sistemas implantados.
RECONHECIMENTOS.
Os autores agradecem a Erik van de Sandt pela permissão para usar o texto de sua tese de doutorado [ ] no
seção sobre Economia da Segurança.
https://www.owasp.org
Uma noção relacionada é 'privacidade desde o projeto' (consulte a Área de Conhecimento de Direitos Online e Privacidade (Capítulo ) ).
Página 43
https://translate.googleusercontent.com/translate_f 34/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
I Humano, Organizacional
Aspectos regulatórios
Página 45
44
https://translate.googleusercontent.com/translate_f 35/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Capítulo
Gestão de Risco e
Governança
Pete Burnap Cardiff University
. INTRODUÇÃO
Esta área de conhecimento irá explicar os princípios fundamentais da avaliação de risco cibernético e
gestão e seu papel na governança de risco, expandindo estes para cobrir o conhecimento re-
necessário para obter uma compreensão prática do tópico e suas subáreas. Começamos discutindo
a relação entre o risco diário e por que isso é importante na interconexão de hoje
mundo digital. Explicamos por que, como humanos, precisamos de avaliação de risco e gerenciamento eficazes
princípios de mentação para apoiar a captura e comunicação de fatores que podem impactar nosso
valores. Em seguida, passamos a descrever diferentes perspectivas sobre a avaliação de risco cibernético - de
ativos individuais, às metas e objetivos de todo o sistema. Retiramos alguns dos principais riscos
métodos de avaliação e destacar seus principais usos e limitações, bem como fornecer pontos-
ers para informações mais detalhadas.
. O QUE É RISCO?
https://translate.googleusercontent.com/translate_f 36/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[, ,]
O risco está no centro da vida cotidiana. De uma criança tomando a decisão de pular de uma árvore para um
decisão de investimento do CEO de uma empresa multibilionária, todos nós tomamos decisões que
potencialmente nos impactar como indivíduos, e impactar nossas redes sociais mais amplas e ambientes
ings. Definir o risco é, portanto, uma questão altamente filosófica e controversa. Obras Seminais
por Slovic [] e Renn [] na percepção de risco captura as questões de amplo alcance que cercam
este debate, e fornece uma definição de trabalho que abstrai a questão para nos permitir
engajar-se com o tema do risco em um nível sociotécnico. A definição de trabalho de Renn de risco é a
possibilidade de que as ações ou eventos humanos levem a consequências que tenham um impacto sobre o que
valor humano . Isso fundamenta fundamentalmente o risco no valor humano, que se aplica tanto a
exemplos de crianças e CEOs . Também se aplica a contextos de segurança cibernética em um mundo onde as pessoas
e a tecnologia estão intrinsecamente ligadas. O fracasso de um em apoiar o sucesso do outro
pode levar a desastres sociais, econômicos e técnicos. A definição de trabalho do impacto sobre o valor
ues levanta uma outra questão de como definir o valor e capturar indicadores que podem ser
usado para medir e gerenciar o risco. Renn define três elementos abstratos básicos necessários
para isso: resultados que têm um impacto sobre o que os humanos valorizam, possibilidade de ocorrência (un-
certeza), e uma fórmula para combinar os dois elementos. Esses elementos estão no cerne da maioria
métodos de avaliação de risco . Esses métodos visam fornecer uma abordagem estruturada para capturar
as entidades de valor e a probabilidade de resultados indesejados afetando as entidades, enquanto
também tendo em mente que mesmo algo com probabilidade muito baixa pode ser realizado e pode
tem impacto significativo em um valor. Nós, portanto, usamos a definição de trabalho de Renn de risco para
discussão neste KA no contexto do risco cibernético.
www.cybok.org
A avaliação de risco envolve três componentes principais []: (i ) identificação e, se possível, estimativa
mação de perigo; (ii) avaliação da exposição e / ou vulnerabilidade; e (iii) estimativa de risco,
combinando a probabilidade e a gravidade. A identificação relaciona-se com o estabelecimento de eventos
e resultados subsequentes, enquanto a estimativa está relacionada à força relativa do resultado
venha. A exposição está relacionada aos aspectos de um sistema aberto aos atores de ameaças (por exemplo, pessoas,
vícios, bancos de dados), enquanto a vulnerabilidade está relacionada aos atributos desses aspectos que poderiam ser
alvo (por exemplo, suscetibilidade a engano, falhas de hardware, exploits de software). Estimativa de risco
ção pode ser quantitativa (por exemplo, probabilística) ou qualitativa (por exemplo, baseada em cenário) e captura
o impacto esperado dos resultados. O conceito fundamental de avaliação de risco é usar
processos analíticos e estruturados para capturar informações, percepções e evidências relacionadas
o que está em jogo, o potencial para eventos desejáveis e indesejáveis, e uma medida do
resultados e impacto prováveis. Sem qualquer uma dessas informações, não temos base para
compreender nossa exposição a ameaças nem conceber um plano para gerenciá-las. Muitas vezes esquecido
parte do processo de avaliação de risco é a avaliação de preocupação . Isso decorre do risco público por
literatura de percepção, mas também é importante para a avaliação de riscos de segurança cibernética, conforme discutiremos
posteriormente no documento. Além dos aspectos mais evidentes e científicos do risco, preocupa-se com
avaliação inclui percepções mais amplas das partes interessadas de: perigos, repercussões dos efeitos de risco,
https://translate.googleusercontent.com/translate_f 37/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
medo e pavor, controle pessoal ou institucional sobre a gestão de risco e confiança no risco
gerentes.
O processo de gestão de risco envolve a revisão das informações coletadas como parte do risco
(e preocupação) avaliações. Essas informações constituem a base das decisões que levam a três
resultados para cada risco percebido [] :
Uma gama de opções pode incluir mitigação, compartilhamento ou transferência de risco [] , seleção
dos quais dependerá do apetite dos gestores de risco (e da empresa em geral) por
correr riscos.
• Aceitável: a redução do risco não é necessária e pode prosseguir sem intervenção. Pelagem-
além disso, o risco também pode ser usado para buscar oportunidades (também conhecido como 'risco ascendente'),
assim, o resultado pode ser aceitar e abraçar o risco, em vez de reduzi-lo. Hillson
discute essa perspectiva em mais detalhes [] .
Decidir qual selecionar dependerá de uma série de fatores, por exemplo (como sugerido
em ISO : 8 [ 6]), incerteza tangível e intangível, consequências da realização do risco
(bom ou ruim), apetite pelo risco, capacidade organizacional para lidar com o risco, etc.
Além dessa estrutura de decisão, Renn define quatro tipos de risco que exigem riscos diferentes
planos de manejo [ ]. Esses incluem:
• Riscos de rotina: seguem um processo de tomada de decisão bastante normal para a gestão.
Estatísticas e dados relevantes são fornecidos, resultados desejáveis e limites de aceitabilidade
são de nidos, e as medidas de redução de risco são implementadas e aplicadas. Renn dá
exemplos de acidentes de carro e dispositivos de segurança.
• Riscos complexos: onde os riscos são menos claros, pode haver a necessidade de incluir um mais amplo
conjunto de evidências e considere uma abordagem comparativa, como uma análise de custo-benefício ou
relação custo-benefício. Dissidência científica, como efeitos do tratamento com drogas ou mudanças climáticas
são exemplos disso.
• Riscos incertos: onde existe falta de previsibilidade, fatores como reversibilidade, persistência
presença e onipresença tornam-se considerações úteis. Uma abordagem de precaução deve ser
tomadas com uma abordagem contínua e gerenciada para o desenvolvimento do sistema em que nega-
efeitos colaterais positivos podem ser contidos e revertidos. Resiliência a resultados incertos é
chave aqui.
• Riscos ambíguos: onde as partes interessadas mais amplas, como equipe operacional ou sociedade civil
ety, interpretar o risco de forma diferente (por exemplo, existem diferentes pontos de vista ou falta de acordo sobre
controles de gestão), a gestão de risco precisa abordar as causas para os diferentes
Visualizações. Renn usa o exemplo de alimentos geneticamente modificados onde o bem-estar se preocupa
conflito com as opções de sustentabilidade. Neste caso, a gestão de risco deve permitir par-
tomada de decisão decisória, com medidas discursivas visando reduzir a ambigüidade
a uma série de opções gerenciáveis que podem ser posteriormente avaliadas e avaliadas.
As opções de gestão, portanto, incluem uma abordagem de gestão baseada no risco (risco-benefício
análise ou opções comparativas), uma abordagem baseada na resiliência (onde é aceito que
o risco provavelmente permanecerá, mas precisa ser contido, por exemplo, usando ALARA/ Princípios ALARP ), ou um
abordagem baseada no discurso (incluindo comunicação de risco e resolução de conflito para lidar com
ambigüidades). Sem consideração efetiva da aceitabilidade do risco e uma adequada
plano de redução de risco, é provável que a resposta aos resultados adversos seja desorganizada,
ineficazes e provavelmente levam a uma maior disseminação de resultados indesejáveis.
A gestão de risco eficaz por meio de métodos de avaliação estruturados é particularmente importante
porque, embora nossa definição de trabalho de risco esteja fundamentada em consequências de interesse para
pessoas, nós (como sociedade) não somos muito bons em avaliar este risco. Artigo de Slovic sobre risco por
percepção destaca que as percepções relacionadas ao risco de medo (por exemplo, acidentes nucleares) são classificadas
maior risco por leigos, mas muito menor por especialistas de domínio que entendem as evidências
de acordo com as limitações e controles de segurança de tais sistemas. A classificação de risco do especialista tende a seguir
https://translate.googleusercontent.com/translate_f 38/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 49
O Conhecimento em Segurança Cibernética
www.cybok.org
resultados indesejáveis esperados ou registrados, como mortes, enquanto leigos são influenciados
mais por seu julgamento intuitivo (um acidente nuclear poderia afetar toda a minha família). Há,
portanto, uma incompatibilidade entre o risco percebido e o risco real. Como pessoas, tendemos a exagerar
relacionados ao medo, mas riscos raros (por exemplo, incidentes nucleares e ataques terroristas), mas minimizam os riscos
outros (por exemplo, crimes de rua e acidentes em casa) - embora o último mate muito mais
pessoas.
É também por isso que a avaliação de preocupação é importante no processo de gestão de risco junto com
avaliação de risco lateral. O livro de Schneier Beyond Fear [] observa que temos um senso natural
de segurança em nosso próprio ambiente e uma grande sensação de risco fora dele. Por exemplo,
sentimo-nos seguros ao descer uma rua ao lado de nossa casa, mas no limite ao chegar a uma nova cidade.
Como sociedade, raramente estudamos estatísticas ao tomar decisões; eles são baseados em percepções
de exposição a ameaças, nossa percepção de controle sobre as ameaças e seu possível impacto. Risco como-
avaliação nos ajuda a capturar aspectos quantitativos e qualitativos do mundo que nos permitem
colocar uma estimativa realista de quão certos podemos ter de que eventos adversos acontecerão, e
como eles afetarão o que mais valorizamos. Isso se aplica a nós pessoalmente como indivíduos, e
como grupos de pessoas com um objetivo comum - salvar o planeta, administrar uma empresa ou educar
crianças. Precisamos capturar nossos objetivos, entender o que pode levar ao fracasso em alcançar
e implantar processos para alinhar medidas realistas para reduzir os danos causados
nossos objetivos.
Quando bem feito, a avaliação e gestão de risco permite aos tomadores de decisão, que são re-
patrocinável, para garantir que o sistema opere para atingir os objetivos desejados, conforme definido por seu
partes interessadas. Também pode garantir que o sistema não seja manipulado (intencionalmente ou de outra forma) para
produzir resultados indesejados, bem como ter processos em vigor que minimizam o impacto
caso ocorram resultados indesejáveis. A avaliação e gestão de risco também se trata de pré-
envio de informações de forma transparente, compreensível e facilmente interpretada para diferentes
públicos, para que as partes interessadas responsáveis estejam cientes dos riscos, como estão sendo
idosos, quem é responsável por gerenciá-los, e estão de acordo sobre o que é aceitável
limite de exposição ao risco. Isso é absolutamente crucial para gerenciar riscos com sucesso porque, se o
os riscos não são apresentados claramente aos tomadores de decisão (sejam eles técnicos, sociais, econômicos ou
caso contrário), o impacto de não gerenciá-los será esquecido e o sistema permanecerá
expor. Da mesma forma, se o propósito da gestão de risco não for esclarecido para as pessoas em
o nível operacional, ao lado de suas próprias responsabilidades e responsabilização pelos impactos de risco,
eles não aceitarão o plano de gerenciamento de risco e o sistema permanecerá exposto. Mais
em geral, se as preocupações mais amplas das partes interessadas (por exemplo, a sociedade civil) não forem ouvidas ou se houver falta de
confiança no plano de gestão de risco, pode haver rejeição generalizada do planejado
sistema que está sendo proposto.
Tão importante quanto transmitir os riscos claramente às partes interessadas, é igualmente importante
frisar que os riscos nem sempre podem ser removidos. É provável que haja algum risco residual para o
coisas que valorizamos, então as discussões devem ser mantidas entre os tomadores de decisão e aqueles que são
envolvidos com as operações de um sistema. Em última análise, os tomadores de decisão, que serão mantidos para
responsável pela falha no gerenciamento de risco, irá determinar o nível de tolerância ao risco - se o risco é
aceitos, evitados, mitigados, compartilhados ou transferidos. No entanto, é possível que uma participação mais ampla
titulares, como aqueles envolvidos com as operações do sistema, podem ter visões diferentes sobre como
gerenciar riscos, uma vez que provavelmente têm valores diferentes que estão tentando proteger. Para alguns,
poupar dinheiro será a chave. Para outros, a reputação é o foco principal. Para pessoas que trabalham dentro
o sistema pode ser velocidade de processo ou facilidade de realização de tarefas diárias. O propósito de
avaliação e gestão de risco é comunicar esses valores e garantir que as decisões sejam
tomadas para minimizar os riscos de um conjunto acordado de valores, gerindo-os de forma adequada, enquanto
www.cybok.org
maximizando a "adesão" ao processo de gerenciamento de risco. No risco mais amplo de saúde e segurança
contexto, este conceito se relaciona com a noção de ALARP (tão baixo quanto razoavelmente praticável) [] -
ser capaz de demonstrar que esforços significativos e cálculos foram feitos para calcular
tarde o equilíbrio entre aceitação e mitigação de risco, em favor da proteção e segurança.
Mais uma vez, é importante destacar aqui que a avaliação da preocupação é uma parte importante do risco
avaliação para garantir a política de avaliação de risco (a abordagem acordada para avaliação de risco)
é informado pelos responsáveis e impactados pelo risco e pelos que são obrigados a agir
de forma a sustentar o plano de manejo no dia a dia. Crucialmente, deve-se reconhecer que
o impacto de eventos únicos muitas vezes pode se estender além de danos diretos e se espalhar muito mais em
https://translate.googleusercontent.com/translate_f 39/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
redes de fornecimento. Como diz Slovic, os resultados de um evento agem como ondas de uma pedra caída
em uma lagoa, primeiro diretamente dentro da empresa ou sistema em que ocorreu, e depois em
subsistemas e empresas e componentes interdependentes [] .
Com base nesses fatores, a avaliação e gestão de risco é certamente um processo, não um
produtos. É algo que, quando bem feito, tem potencial para melhorar significativamente o
resiliência de um sistema. Quando mal feito (ou nem um pouco), pode causar confusão, reputação
danos e sério impacto na funcionalidade do sistema. É um processo que às vezes é per-
considerada sem importância antes de ser necessária, mas crítica para a continuidade dos negócios em uma época de
crise. Ao longo do processo de avaliação de risco, devemos permanecer cientes de que a percepção de risco
varia significativamente com base em uma variedade de fatores e que, apesar das evidências objetivas,
não mudar. Para usar um exemplo de [ ], fornecendo evidências de que o risco anual de viver
próximo a uma usina nuclear é equivalente ao risco de andar uma milha a mais em um automóvel
móvel, não reduz necessariamente a percepção de risco, dadas as diferenças em torno
a percepção geral dos diferentes cenários. Intuitivamente, comunicação e respeito
pois as medidas qualitativas e quantitativas de avaliação de risco são essenciais para sua prática. Ambos
medidas exibem ambigüidade (por exemplo, [] ) e, muitas vezes, não temos dados de qualidade sobre o risco, portanto, as evidências
só vai até certo ponto. Sempre haverá a necessidade de um julgamento humano subjetivo para determinar
relevância e planos de gestão [] , que por si só vem com suas próprias limitações, como
falta de conhecimento especializado e viés cognitivo [] .
Há uma série de padrões globais que visam formalizar e fornecer uma estrutura comum
trabalho para avaliação e gerenciamento de risco cibernético e, nesta seção, estudaremos alguns
deles. Começaremos com definições de alto nível de algumas das principais posições sobre risco.
O Reino Unido ficou em primeiro lugar no 8º Índice Global de Cibersegurança (GCI) [ ], uma
revisão cientificamente fundamentada do compromisso e da situação da segurança cibernética em um nível global
nível de país por país. A revisão abrange cinco pilares: (i) jurídico, (ii) técnico, (iii) organizacional
internacional, (iv) capacitação e (v) cooperação - e, em seguida, agrega-os em uma
https://translate.googleusercontent.com/translate_f 40/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pontuação. Como a nação líder no GCI, a autoridade técnica para segurança cibernética, o UK National
Cyber Security Center (NCSC) publicou orientações sobre gestão de risco []. Mais importante,
o NCSC deixa claro que não existe um modelo único para avaliação e gestão de riscos. Dentro-
ação conduzindo avaliação e gestão de risco como um exercício de caixa de seleção produz uma falsa
sensação de segurança, o que aumenta potencialmente a vulnerabilidade das pessoas impactadas pelo risco
porque eles não estão devidamente preparados. A segurança cibernética é um domínio em rápida evolução
que devemos aceitar que não podemos estar totalmente cibernéticos. No entanto, podemos aumentar nosso
preparação. O Potomac Institute for Policy Studies fornece uma estrutura para estudar
prontidão cibernética, juntamente com um perfil específico de um país para uma série de nações (incluindo EUA, Índia,
África do Sul, França, Reino Unido) e um índice de prontidão cibernética associado [ 6]
. GOVERNANÇA DE RISCO
[, 8, , 6 , 6 , 6 , 6 , 6 , 6 , 66 , 6]
• Tecnocrático: onde a política é diretamente informada pela ciência e pelas evidências do domínio
perícia.
• Decisional: onde a avaliação de risco e a política são desenvolvidas usando entradas além da ciência
ence sozinho. Por exemplo, incorporar motivadores sociais e econômicos.
www.cybok.org
Nenhum está correto ou incorreto. Existe um equilíbrio preciso entre o conhecimento e as descobertas
de especialistas científicos e percepções do público leigo. Embora a abordagem tecnocrática possa
parece lógico para alguns proprietários de risco que trabalham com base no raciocínio usando evidências, é ab-
absolutamente crucial para uma governança de risco eficaz para incluir a visão mais ampla das partes interessadas. Rohrmann
e o trabalho de Renn sobre a percepção de risco destaca algumas das principais razões para isso [ 8] Eles identificam
quatro elementos que influenciam a percepção de risco:
• fatores contextuais que cercam as características percebidas do risco (por exemplo, familiaridade)
e a situação de risco (por exemplo, controle pessoal);
Esses fatores não são particularmente científicos, estruturados ou baseados em evidências, mas, conforme observado por
Fischoff et al. [ ], tais formas de definir probabilidades são contrariadas pela força de ser
Leve as pessoas sobre a probabilidade de um evento indesejável impactar seus próprios valores. Ulti-
da perspectiva da governança, quanto mais inclusiva e transparente for a política desenvolvida
opção, mais provável será o apoio e aceitação do grupo mais amplo de partes interessadas - incluindo
leigos, bem como pessoal operacional - para as políticas e princípios de gestão de risco.
Existem vários elementos que são essenciais para uma governança de risco bem-sucedida. Gosto muito do risco
processo de avaliação, não existe uma solução única para todos os empreendimentos. No entanto, um princípio importante
ple é garantir que a atividade de governança (veja abaixo) esteja intimamente ligada às atividades diárias
e tomada de decisão. O risco cibernético é tão importante quanto saúde e segurança, processos financeiros,
e recursos humanos. Essas atividades agora estão bem estabelecidas na tomada de decisões. Para ...
posição, ao contratar pessoal, o processo de RH está na vanguarda da atividade do recrutador. Quando
viajando para o exterior, os funcionários sempre consultarão as restrições e processos financeiros
para viajar. A segurança cibernética deve ser pensada da mesma maneira - um conjunto claro de processos
que reduzem o risco de danos aos indivíduos e às empresas. Todos os envolvidos no dia a dia
funcionamento do sistema em questão deve compreender que, para a segurança ser eficaz, deve
fazer parte da cultura operacional do dia a dia. A abordagem de governança de risco cibernético é a chave para isso
https://translate.googleusercontent.com/translate_f 41/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
adoção cultural.
para garantir a adoção cultural dos princípios definidos no plano de gestão de risco e associados
política de governança de segurança associada. As pessoas geralmente seguem o caminho de menor resistência para
faça um trabalho ou busque o caminho de maior recompensa. Como observam Sasse e Flechais, as pessoas não conseguem
seguem o comportamento de segurança exigido por um dos dois motivos: () eles não conseguem se comportar
conforme necessário (um exemplo é que não é tecnicamente possível fazê-lo; outro é que
os procedimentos e políticas de segurança disponíveis para eles são grandes, difíceis de digerir ou pouco claros)
, () eles não querem se comportar da maneira exigida (um exemplo disso pode ser que eles achem
é mais fácil contornar a política proposta de baixo risco, mas demorada; outro sendo que
discordam da política proposta).
Weirich e Sasse estudaram a conformidade com as regras de senha como um exemplo de conformidade
com política de segurança [6 ] e descobriu que a falta de conformidade estava associada a pessoas que não
acreditando que eles estavam pessoalmente em risco e / ou que seriam responsabilizados por
falha em seguir as regras de segurança. Portanto, é necessário garantir um senso de responsabilidade e
processo de responsabilização, caso haja uma violação da política. Isso deve, é claro, ser cuidadoso
das implicações legais e éticas, bem como as questões culturais em torno da violação das regras, que
é um ato de equilíbrio. A comunicação de risco, portanto, desempenha um papel importante na governança [6 ]
[] incluindo aspectos, tais como:
• Educação: particularmente em torno da consciência de risco e tratamento diário dos riscos, incluindo
avaliação e gestão de riscos e preocupações;
• Envolvimento: particularmente no processo de tomada de decisão de risco - dando às partes interessadas uma
oportunidade de participar na avaliação de riscos e preocupações e participar na resolução de conflitos
ção
https://translate.googleusercontent.com/translate_f 42/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
faz é ter uma equipe independente para lidar com relatórios de violação de segurança para que as pessoas não
tem que passar por seu gerente de linha. Se as pessoas estiverem cientes dos caminhos e resultados
após as violações de segurança, isso reduzirá a ansiedade sobre o que acontecerá e, portanto, conduzirá
para uma cultura de segurança mais aberta.
Dado que a conscientização e a educação para a segurança são um fator tão importante para um governo eficaz
nance, Jaquith [6 ] vincula a conscientização da segurança com as métricas de segurança por meio de uma série de questões
ções que podem ser consideradas dicas úteis para melhorar a cultura de segurança:
• Os funcionários estão recebendo treinamento em intervalos consistentes com as políticas da empresa? (Métrica:
% dos funcionários existentes concluindo o treinamento de atualização por política).
• Os membros da equipe de segurança estão adquirindo novas habilidades em taxas consistentes com a gestão
Objetivos? (Métricas: # habilidade de segurança dominada, média por funcionário e por segurança
membro da equipe, taxa de cumprimento de metas e workshops de treinamento de segurança externa
seminários em sala).
As métricas podem ser uma forma rudimentar de capturar a aderência à política de segurança, mas quando vinculadas a questões
ções que estão relacionadas à avaliação de risco inicial, eles podem fornecer um objetivo e medidas
maneira segura de monitorar continuamente e relatar sobre a segurança de um sistema para a decisão
decisores, bem como os responsáveis pela sua governança de uma forma compreensível e significativa
maneira inteligente. No entanto, é importante notar a complexidade das métricas aqui com o uso do
termo 'reconhecendo' no primeiro ponto. Isso não significa necessariamente que a pessoa irá
reconheça suas responsabilidades apenas concluindo o treinamento de conscientização. Isso reforça
os pontos já feitos sobre a importância dos fatores humanos e da cultura de segurança, e
a seção a seguir sobre como decretar a política de segurança.
https://translate.googleusercontent.com/translate_f 43/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A apresentação de informações de avaliação de risco neste contexto é importante. Frequentemente mapas de calor
e matrizes de risco são usadas para visualizar os riscos. No entanto, a pesquisa identificou limitações
no conceito de combinação de múltiplas medidas de risco (como probabilidade e impacto)
em uma única matriz e mapa de calor [68] A atenção deve, portanto, ser dada ao propósito
da visualização e da precisão das evidências que representa para o objetivo de desenvolver
decisões de política de segurança.
Fatores humanos (ver Fatores Humanos Área de Conhecimento (capítulo)) , e cultura de segurança
são fundamentais para a implementação da política de segurança. Conforme discutido, as pessoas não conseguem seguir
o comportamento de segurança exigido porque eles são incapazes de se comportar conforme exigido, ou eles o fazem
não quero se comportar da maneira exigida [6 ] Um conjunto de regras que determinam como o homem de risco à segurança
sistema deve operar quase certamente falhará, a menos que as ações necessárias sejam vistas como
ligada a uma governança organizacional mais ampla e, portanto, à política de segurança, da mesma forma
A política de RH e finanças exige. As pessoas devem estar habilitadas a operar de forma segura e não
ser objeto de uma cultura de culpa quando as coisas falham. É altamente provável que haja segurança
violações de dados, mas a maioria delas não será intencional. Portanto, a política de segurança
deve ser reflexivo e reativo às questões, respondendo à agenda da Cultura Justa e criando
uma política de responsabilidade pelo aprendizado e uso de erros para refinar a política de segurança e
processos de sustentação - não culpar e penalizar as pessoas.
A educação em segurança deve ser uma parte formal do desenvolvimento profissional contínuo de todos os funcionários
ment, com mensagens reforçadas sobre por que a segurança cibernética é importante para a organização,
e o papel e deveres do funcionário dentro disso. Princípios de comunicação de risco são um im-
aspecto importante do fator humano na educação para a segurança. Discutimos a necessidade de
narrativas credíveis e confiáveis e envolvimento das partes interessadas na gestão de risco
www.cybok.org
processar. Existem princípios adicionais a serem considerados, como a comunicação precoce e frequente
ção, adaptando a mensagem para o público, testando a mensagem e considerando a existência
percepções de risco que devem fazer parte do planejamento em torno da educação em segurança. Extensa dis-
discussão de tais princípios de comunicação de risco que são particularmente relevantes para mensagens
sobre o risco pode ser encontrado em [6 ]
Parte da avaliação final de risco e resultados de gestão deve ser uma lista de
riscos com proprietários associados que supervisionam as metas e ativos organizacionais
sustentando os processos em risco. Esses indivíduos devem estar intimamente ligados à revisão
atividade e deve ser claramente identificável como responsável pela gestão de risco
mento.
Figura . resume os principais elementos do processo de governança de risco, conforme discutido para
distante. Este modelo do Conselho Internacional de Governança de Risco (IRGC) [ 66], que é fortemente
inspirado no trabalho de Renn [ ], destaca que a comunicação de risco está no cerne do governo
processo de financiamento e baseia-se no enquadramento de problemas, avaliação de risco e preocupação, avaliação de risco,
e gestão de risco. O processo de governança é iterativo, sempre buscando a conscientização de
novos problemas e ameaças em evolução, e continuamente refletindo sobre as melhores práticas para gerenciar
novos riscos.
[, , 6 , 66 , 6, ,, , , , ]
O trabalho de Rasmussen [6 ] nos permite considerar uma hierarquia de abstração e mostrar como
as técnicas de avaliação de risco orientadas por sistemas e por componentes são complementares. Como
ilustrado na figura ., os objetivos e propósitos do sistema podem ser considerados no nível superior
nível. Notavelmente, isso inclui um foco nas dependências entre os sub-objetivos e também o que
o sistema não deve fazer (estados de falha predefinidos). Estes são importantes para projetar no sistema
e, se omitido, leva à necessidade de retroceder a segurança cibernética em um sistema que já foi
implantado. Os níveis mais baixos consideram os recursos e a funcionalidade necessários para alcançar o
objetivos abrangentes. Neste nível, avaliações de risco baseadas em componentes de artefatos do mundo real
(por exemplo, hardware, software, dados, equipe) considere como estes podem ser afetados por um ataque adverso
ções ou eventos.
Abordagens baseadas no sistema podem ajudar a entender melhor a complexidade entre os subcomponentes
e seus componentes. Isso pode incluir pessoas, tecnologia e processos organizacionais
para o qual as interações e dependências não são triviais. Tomando essa abordagem (que
pode talvez provar mais recursos intensivos do que as abordagens baseadas em componentes, devido à identificação
www.cybok.org
A orientação do NCSC fornece uma tabela de resumo (reproduzida aqui como Figura .) isso é útil
em orientar a seleção de métodos orientados por componentes ou por sistema com base no tipo de
problema de gerenciamento de risco que está sendo tratado. O principal diferencial é que o componente
visão é baseada em ativos individuais, onde a complexidade é bem compreendida e a função esperada
alidade é clara. A visão do sistema suporta uma análise de risco em situações de maior complexidade
antes que a função física seja acordada e implementada, e para apoiar as discussões por
partes interessadas sobre o que o sistema deve e não deve fazer. Essas discussões são cruciais em
encontrar o equilíbrio entre a falha no nível do componente e no nível do sistema e a melhor forma de administrar
envelhecer o risco. O risco do componente é provavelmente mais importante para os funcionários operacionais que
precisam que o componente esteja funcionando para que sua parte de um sistema maior funcione
(por exemplo, equipe, dados, dispositivos). O risco de nível de sistema é provavelmente mais importante para níveis mais altos
gerentes que têm interesse na direção estratégica do sistema. Para eles um
componente mais abaixo na cadeia de valor / fornecimento pode não ser percebido como importante, enquanto
para o funcionário operacional, é o risco número um. O desafio é trabalhar com ambos
perspectivas para desenvolver uma representação de risco e uma política de gestão de risco associada
promulgada por todas as partes.
https://translate.googleusercontent.com/translate_f 45/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma vulnerabilidade é algo aberto a ataques ou uso indevido que pode levar a um resultado indesejável
venha. Se a vulnerabilidade fosse explorada, poderia causar um impacto em um processo ou
sistema. As vulnerabilidades podem ser diversas e incluir tecnologia (por exemplo, uma interface de software
vulneráveis a entradas inválidas), pessoas (por exemplo, uma empresa é vulnerável à falta de recursos humanos
fontes), legais (por exemplo, bancos de dados sendo vulneráveis e vinculados a grandes redes jurídicas se os dados forem errados
tratada e exposta) etc. Esta é uma lista não exaustiva, mas destaca que as vulnerabilidades são
www.cybok.org
Bom para
Figura . : Diretrizes para mapear tipos de problemas de gerenciamento de risco para componente ou sistema
métodos dirigidos
sócio técnico.
Uma ameaça é um indivíduo, evento ou ação que tem a capacidade de explorar uma vulnerabilidade.
As ameaças também são sociotécnicas e podem incluir hackers, funcionários insatisfeitos ou mal treinados.
ployees, software mal projetado, um processo operacional mal articulado ou compreendido
etc. Para dar um exemplo concreto que diferencia vulnerabilidades de ameaças - um software
interface tem uma vulnerabilidade em que a entrada maliciosa pode fazer com que o software se comporte em um
forma indesejável (por exemplo, deletar tabelas de um banco de dados no sistema), enquanto a ameaça é uma
ação ou evento que explora a vulnerabilidade (por exemplo, o hacker que introduz o
entrada no sistema).
Probabilidade representa uma medida que captura o grau de possibilidade de uma ameaça explorar um
vulnerabilidade e, portanto, produzir um resultado indesejável afetando os valores do núcleo
do sistema. Este pode ser um indicador qualitativo (por exemplo, baixo, médio, alto) ou quantitativo
valor (por exemplo, uma escala de - ou uma porcentagem).
O impacto é o resultado de uma ameaça que explora uma vulnerabilidade, o que tem um efeito negativo sobre o
sucesso dos objetivos para os quais estamos avaliando o risco. De uma visão sistêmica,
pode ser a falha em fabricar um novo produto no prazo, enquanto do ponto de vista de componente
pode ser a falha de um componente de produção de manufatura específico.
https://translate.googleusercontent.com/translate_f 46/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
https://translate.googleusercontent.com/translate_f 47/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Comunicar é uma das fases mais importantes e muitas vezes esquecida. Regente
a avaliação de risco fornece os dados para ser capaz de informar ações que irão melhorar a segurança
ridade do sistema. No entanto, é crucial que isso seja comunicado usando um método apropriado.
Os conselhos executivos esperam e precisam que as informações sejam apresentadas de uma maneira diferente para op-
membros da equipe organizacional e a equipe organizacional em geral precisarão ser educados e orientados
de uma forma totalmente diferente. Os resultados e evidências da avaliação de risco devem ser comunicados
citado de uma forma acessível a cada parte interessada e de uma forma que possa envolvê-los
no planejamento e execução da gestão de riscos.
Manter é uma fase contínua que é essencial para atualizar continuamente a avaliação de risco em
à luz das mudanças no ambiente e na configuração do sistema. Mudança de posturas de segurança
regularmente em ambientes digitais. Por exemplo, Figura . mostra o volume das unidades IoT em
estagnou de a com um rápido aumento na adoção de 0,6 milhões em todo o negócio
setor de ness entre e 8. Com isso, é projetado para crescer mais.
milhão. Este tipo de integração rápida de dispositivos em sistemas corporativos de TI provavelmente mudará
a exposição ao risco e, portanto, o escopo precisaria ser refinado, uma nova avaliação de risco
ações realizadas e ações tomadas e comunicadas a todas as partes interessadas para garantir que
o novo risco é gerenciado. Este cenário indica que (i) a manutenção da avaliação de risco deve
ser pró - ativo e realizado muito mais regularmente do que em uma base anual, e (ii) conduta
avaliação de risco para fins de conformidade (possivelmente apenas uma vez por ano) deixará o or-
ganização aberta a novas ameaças tecnológicas, a menos que a fase de manutenção seja levada a sério
sly. Os fatores de risco devem ser identificados para monitoramento contínuo (por exemplo, mudanças na tecnologia
https://translate.googleusercontent.com/translate_f 48/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uso dentro do sistema), a frequência de monitoramento dos fatores de risco deve ser acordada, e
as revisões desencadeadas devem revisar e refinar o escopo, o propósito e as premissas do risco
avaliação - lembrando-se de comunicar os resultados cada vez que novos riscos são identificados.
www.cybok.org
Uma lista de estruturas de gerenciamento de risco cibernético baseadas em componentes comumente usados pode ser encontrada
em [] . A lista também inclui uma breve descrição, uma visão geral de como eles funcionam, quem deve
usá-lo e uma indicação de custo e pré-requisitos. Embora não desejando reproduzir o todo
lista aqui, fornecemos uma visão geral para fins de comparação.
https://translate.googleusercontent.com/translate_f 49/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
gestão. Não prescreve uma técnica de avaliação de risco específica, mas tem
um foco orientado por componentes e exige que as vulnerabilidades, ameaças e impactos sejam especificados
ed.
• NIST SP8 - / são a avaliação / gestão de risco preferida do Governo dos EUA
métodos e são obrigatórios para agências governamentais dos EUA. Eles têm uma forte regulamentação
foco, que pode não ser relevante para outros países além dos EUA, mas eles têm uma clara
conjunto de etapas de orientação para apoiar todo o processo de avaliação e gestão de risco
desde o estabelecimento do contexto até a tolerância ao risco e controles eficazes, incluindo a determinação
probabilidade de impacto. Eles estão disponíveis gratuitamente e são consistentes com os padrões ISO
(que não são gratuitos, mas são de baixo custo).
www.cybok.org
• STRIDE é uma abordagem de modelagem de ameaças orientada a falhas com foco em seis áreas principais: spoof-
manipulação (falsificação de identidade), adulteração (modificação não autorizada), repúdio (negação de ac-
ções), negação de serviço (desacelerando ou desativando um sistema) e elevação de privacidade
lege (ter controle não autorizado do sistema). A abordagem considera o alvo da ameaça
obtém (incluindo o que um invasor pode fazer), estratégia de mitigação e técnica de mitigação.
As ameaças podem ser consideradas para várias interações no mesmo alvo de ameaça no
sistema e pode incluir pessoas, processos e tecnologia. Shostack apresenta STRIDE como
parte de uma estrutura de quatro estágios em seu livro [ ] - modelar o sistema, nd ameaças, ad-
vestir ameaças, validar. A modelagem de ameaças, é claro, não pode garantir que todas as falhas
pode ser previsto, mas o processo iterativo suporta avaliação contínua de evolução
ameaças se o tempo e os recursos permitirem.
• Árvores de ataque [ ] formulam uma meta geral com base nos objetivos de um atacante (o
nó raiz), e desenvolver subnós relacionados a ações que levariam ao sucesso
comprometimento de componentes dentro de um sistema. Como STRIDE, árvores de ataque são necessárias
para ser iterativo, considerando continuamente a poda da árvore e a verificação de integridade.
Bibliotecas de ataque, como vulnerabilidades comuns e exposição (CVEs) e Open Web
Projeto de segurança do aplicativo (OWASP) pode ser usado para aumentar o conhecimento interno de
ameaças e ataques em evolução.
https://translate.googleusercontent.com/translate_f 50/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
ISO/ IEC Abrange pessoas, processos e tecnologia Visa incluir um intervalo Questionário, inter-
nology. Não prescritivo na avaliação de origens relevantes visualizações, revisão de documentos,
:8 método de gestão e gerenciamento na avaliação (cov- processar observação.
(ou seja, outros métodos nesta lista ering pessoas, processo Capas de documentação
pode ser usado para gerenciar riscos), mas e tecnologia) e aplicável todos os controles de segurança
cobre ameaças, vulnerabilidades e em vários tamanhos de
impactos. Destina-se a segmentar mais alto organização. Tipicamente
gerenciamento de nível e decisão conduzido externamente devido a
fabricantes. Foco claro nas pessoas - em Tamanhoe complexidade
ternal e externo em grandes organizações,
Força : Sócio-técnica o que tem um custo
além do custo
de comprar o documento
umaentação. Menor
organizações com menos
complexidade pode tb
siga os princípios
internamente.
ISF Avaliação ampla do impacto nos negócios - Disponível apenas para mem- Em formação obrigatório
ment, conduzido pelo praticante. Ameaça, vul- bers a custo e requer no impacto das perdas.
nerabilidade e impacto com base uma equipe com experiência em Relatórios de negócios
Força : orientada para o impacto nos negócios
avaliação de risco impacto, avaliação de ameaças
ment, vulnerabilidade
avaliação, segurança
avaliação de requisitos
e seleção de controle
FEIRA Baseado em taxonomia - eventos de perda, Bem definido método Em formação origens
capacidade de ameaça, força de controle poderia ser usado por um pequeno pode variar dependendo
e magnitude da perda. Cenário equipe interna. OpenFAIR quem segura o necessário
conduzido com muito bem de nido padrão disponível via em formação. Relatórios
medidas de impacto econômico. o Grupo Aberto na perda financeira magni-
As pessoas fazem parte do método, tudes
negócios internos e externos
atores de ameaças finais
Força : Impulsionada pelo impacto econômico
https://translate.googleusercontent.com/translate_f 51/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Oitava Abrange pessoas, tecnologia e Colaborativo avaliar- Workshops e perguntas
Allegro segurança física. Identifica o núcleo equipe de ment de dentro ionários. Linha de base
Equipe de TI. Métodos autodirigidos e em todos os negócios relatórios per l de prá-
destinado ao uso interno, incluindo incluindo gestão, serviços, perfil de ameaça e
gestão qualitativa e equipe e TI. Livre para vulnerabilidades
workshops de avaliação ligados a Acesso. Documentação
identificação da organização afirma que é direcionado a
objetivos e ativos relacionados. Fol- organizações com +
abaixado pela identificação de ameaça e funcionários
mitigação. Riscos qualitativos (por exemplo
reputação, produtividade) têm relações
pontuações de impacto ativo (baixo, médio,
alto multiplicado pelo risco categórico
pontuação) para apoiar a priorização
Força : Qualitativo meta-
foco orientado
Ataque Avaliação de ameaça semelhante a Modelagem de pequeno ataque Trabalho de modelagem de ataque-
Arvores STRIDE, mas mais específico de ataque, equipe de dentro do lojas. Árvores de ataque e
concentrando-se nos principais detalhes do ataquenegócio com um técnico medidas quantitativas
métodos. foco cal. Acesso abertamente de probabilidade de ataque
Força : orientada para o ataque método sível com impacto associado.
Uma lista de métodos de gerenciamento de risco cibernético baseados em sistema comumente usados pode ser encontrada em
[] . Abaixo, fornecemos uma visão geral e identificamos os atributos que podem atuar como diferenciadores
com base no foco central de cada método. Todos eles se concentram no risco em nível de sistema e, como tal,
pode exigir um esforço significativo de recursos humanos, dependendo do tamanho da organização. O
principal objetivo desses métodos é capturar interações e aspectos interdependentes do
sistema e, portanto, requer amplo envolvimento com os proprietários do processo e buscando o 'direito'
pessoas com conhecimento de subsistemas.
https://translate.googleusercontent.com/translate_f 52/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
é criado. As metas são abstratas, portanto, não dependem de processos reais e permitem uma
Visão neccionista de uma empresa, seus fornecedores e clientes a serem desenvolvidos. Recente
trabalho desenvolveu ferramentas para apoiar a captura de dependências em um conjunto de workshop-
estabelecer e aplicar probabilidades quantitativas aos objetivos, sustentando a análise bayesiana e
modelagem de falha em cascata [8 ]
Força : captura de interdependências entre objetivos abstratos que estão acima e são
ligados aos processos de negócios reais.
• SABSA [86] é outra abordagem baseada em arquitetura. Inclui quatro fases. O primeiro
fase identifica o risco associado ao alcance dos objetivos para que os planos de mitigação possam
ser identi cado. A saída, então, alimenta a fase de design que determina a segurança
processos de gestão e como eles serão usados. A terceira fase implementa, de-
estratagemas e testa os processos de gestão pelas equipes de operações. A fase final
relaciona-se à gestão e medição, que coleta informações de segurança e re-
portas para as partes interessadas da governança. O método é decretado decompondo busi-
processos de ness em diferentes camadas arquitetônicas, a partir de recursos de alto nível (contexto
e conceito) até os aspectos lógicos e físicos, componentes de tecnologia e atividades
ities. O risco é abordado em todas as camadas em uma abordagem de cima para baixo para gerenciar o risco por meio
atividades em todas as camadas, e filtrando os requisitos de segurança de cima para baixo para entrar
Certifique-se de que o risco cibernético seja considerado em toda Cortar todas as camadas é o foco em como
conjuntos (o que), motivação (por que), processo (como), pessoas (quem), local (onde) e hora
(quando).
Força : Abordagem em camadas estruturada em matriz ligada ao modelo de negócios (pode sentar-se dentro
TOGAF)
www.cybok.org
https://translate.googleusercontent.com/translate_f 53/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Dispositivos IoT , incluindo, por exemplo, ferramentas inteligentes em fábricas. Estes são um
exemplo mais recente de uma interface para sistemas críticos de segurança que poderia oferecer uma janela
para que os invasores violem a segurança dos sistemas. A segurança da IoT está em sua infância e a abordagem para
a gestão de riscos ainda não foi completamente compreendida. A segurança cibernética do ciber-físico
sistemas, incluindo vulnerabilidades, ataques e contramedidas está além do escopo deste
KA e é discutido em detalhes na Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Cap-
ter ) .
www.cybok.org
• Expresso como um número cardinal ou porcentagem, não com rótulos qualitativos como "alto",
"médio" e "baixo".
• Expresso usando pelo menos uma unidade de medida, como "defeitos", "horas" ou "dólares".
• Contextualmente específico e relevante o suficiente para os tomadores de decisão para que eles possam agir.
Se a resposta a uma métrica é um encolher de ombros e "e daí?", Não vale a pena
reunião. [6 ]
Métricas ruins:
• São medidos de forma inconsistente, geralmente porque se baseiam em julgamentos subjetivos que
variam de pessoa para pessoa.
• Não pode ser obtido a baixo custo, como é típico de pesquisas de mão-de-obra intensiva e distribuição única
lençóis.
• Não expresse resultados com números cardinais e unidades de medida. Em vez disso, eles confiam
em classificações qualitativas de alta / média / baixa, semáforos e notas de letras. [6 ]
Discussões mais extensas de opções para selecionar métricas, juntamente com estudos de caso podem ser
encontrado no livro de Jaquith [6 ]
O trabalho de Herrmann [ ] fornece uma visão mais pragmática baseada na conformidade regulatória,
resiliência e retorno do investimento. Existem exemplos de métricas que podem fornecer utilidade
em domínios como saúde, privacidade e segurança nacional. A perspectiva das métricas
está fundamentado no entendimento de que não podemos estar completamente seguros, portanto, medir ac-
segurança real contra a segurança necessária é sem dúvida uma abordagem defensável, e as métricas
descritos são adaptados para medir a eficácia do gerenciamento de vulnerabilidade. Es-
sentialmente, é possível quantificar se o plano de gestão de risco e os controles associados
são adequados com base nas ameaças identificadas e as métricas fornecem evidências de que
esses controles são apropriados? Além disso, os controles colocados em prática podem adicionar mais
valor na economia que eles produzem do que o custo de sua implementação? Este ponto é particular
amplamente pertinente na era atual da tecnologia de Inteligência Arti cial sendo amplamente comercializada
a nível internacional para proteger a infraestrutura digital. Com um preço alto, há uma questão
marca de referência sobre uma compreensão baseada em evidências do real valor agregado de tal segurança
mecanismos e a relação custo-eficácia de tais soluções à luz de economias potenciais.
Jones e Ashenden [8 ] adotar uma abordagem orientada ao ator para as métricas de segurança, fornecendo uma
gama de cenários onde as ameaças são classificadas com base em uma combinação qualitativa e quantitativa
método. Por exemplo, as ameaças ao estado-nação são baseadas em métricas como população,
acy e fatores culturais; grupos terroristas em especialização técnica, nível de educação e seu
história de atividade; e os grupos de pressão são classificados de acordo com a distribuição de membros, número de ac-
https://translate.googleusercontent.com/translate_f 54/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tivistas e financiamento. A estrutura fornece uma perspectiva sobre como capturar medidas
que baseiam as métricas de ameaças em informações que podem apoiar discursivas, baseadas em inteligência e
avaliação de risco com base cultural. No entanto, a abordagem de "pensar como um invasor" ou
relatou que o perfil do adversário falhou, mesmo em nível de estado-nação (com muito investimento
mentação e inteligência). Em um artigo com o presidente Obama sobre as complicações e falhas
www.cybok.org
de gestão de risco no estado da Líbia, ele observa que as equipes analíticas dos EUA
estimou o per l do atacante (particularmente aspectos socioculturais), o que levou ao fracasso no risco
gestão [88] Assumir o conhecimento do adversário pode ser muito arriscado, mas as métricas para
per l possíveis ameaças e ataques (embora aceitando explicitamente nossas limitações de conhecimento)
pode ser usado como parte de uma abordagem de modelagem de ameaças, como STRIDE [ ] ou Attack Trees [].
Shostack (autor de [ ]) discute as limitações do perfil do invasor em uma postagem de blog [ 8]
Embora as métricas quantitativas enquadradas desta forma pareçam preferíveis às métricas qualitativas, não é
sempre um processo trivial para coletar dados medidos de forma consistente, seja manualmente ou automatizada.
Isso nos traz de volta ao ponto em torno da comunicação e concordância de linguagem comum em
a fase de avaliação de risco. Embora as métricas possam ser limitadas em sua acessibilidade e consistentes
coleção, concordando com os limites superior e inferior, ou o significado específico de rótulos qualitativos também
fornece um grau de valor para medir a segurança de um sistema por meio de links bem de nidos
entre as ameaças e sua relação com as vulnerabilidades e o impacto.
Em última análise, apesar de todos os esforços de indivíduos ou conselhos de administração de uma empresa que
compreenderam e administraram o risco que enfrentam, é provável que, em algum momento, a segurança cibernética
as defesas serão violadas. Uma parte essencial da avaliação de risco, gestão e governança
O processo de gestão inclui a consideração e o planejamento do processo de gerenciamento de incidentes
e responder rapidamente a ataques cibernéticos. O objetivo é entender o impacto no sistema
e minimizá-lo, desenvolver e implementar um plano de remediação e usar esse entendimento para
melhorar as defesas para melhor proteger contra a exploração bem-sucedida de vulnerabilidades no futuro
(Loop de feedback). Esta ainda é uma área nascente de maturidade em segurança cibernética. Organizações tipicamente
prefere manter as informações sobre violações de segurança cibernética anônimas para evitar a reputação
danos e encobrir lapsos de segurança. No entanto, é provável que outras organizações, incluindo
concorrentes irão sucumbir ao mesmo destino no futuro, e poderiam se beneficiar de anteriores
conhecimento do incidente ocorrido. Em uma escala ampla, isso é algo que precisa ser
abordada, especialmente devido ao lado ofensivo da segurança cibernética irá comunicar e colaborar
orate para compartilhar inteligência sobre oportunidades e vulnerabilidades para explorar sistemas. Cer-
Algumas indústrias, como os setores financeiro e farmacêutico, têm acordos para compartilhamento
tal inteligência, mas ainda não se tornou comum para todos os tipos de organizações. Grande
consórcios públicos como a Cyber Defense Alliance Limited (CDA), Compartilhamento de informações cibernéticas
Parceria (CISP), e o Open Web Application Security Project (OWASP) estão todos visando
apoiar a comunidade compartilhando e fornecendo acesso a informações sobre as ameaças mais recentes
à segurança cibernética. Para obter informações mais detalhadas sobre o gerenciamento de incidentes, consulte a seção Segurança
Área de Conhecimento de Gestão de Operações e Incidentes (Capítulo 8)
ISO/ IEC -: 6 [] é uma norma internacional que define os princípios para o homem de incidentes
agement. Ele expande o ISO acima mencionado/ Modelo IEC e inclui etapas para
resposta a incidentes, incluindo:
www.cybok.org
https://translate.googleusercontent.com/translate_f 55/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dentes.
• Avaliação e decisão: determinar a presença (ou não) e associados
gravidade do incidente e tomada de medidas decisivas para lidar com ele.
• Resposta: isso pode incluir análise forense, patching do sistema, ou contenção e re-
mediação do incidente.
• Aprendizagem: uma parte fundamental da gestão de incidentes é a aprendizagem - fazer melhorias para o
defesas do sistema para reduzir a probabilidade de violações futuras.
O NCSC também fornece dez etapas para ajudar a orientar o processo de gerenciamento de incidentes [] que,
falando em termos gerais, relacionar as fases de Planejar, Detectar, Avaliar, Responder e Aprender da ISO/ IEC
. Em resumo, as etapas incluem:
• Treinamento: garantindo que a experiência necessária esteja disponível para gerenciar incidentes (por exemplo, foren-
resposta sic e compreensão das expectativas de relatórios).
• Funções: atribuir funções a indivíduos para lidar com incidentes e capacitá-los para responder
a incidentes de acordo com um plano de ação claro - e certifique-se de que essa pessoa seja bem conhecida
para pessoas que provavelmente identificarão um incidente.
• Recuperação: principalmente para dados e aplicativos críticos, certifique-se de que o backup seja físico
separados do sistema - e testar a capacidade de restaurar a partir do backup.
• Teste: execute cenários para testar os planos de recuperação; estes devem ser refinados com base
na restauração prática e oportuna em diferentes cenários de ataque.
• Relatório: garantir que as informações sejam compartilhadas com o pessoal apropriado internamente para
melhorar a gestão de riscos e controles de segurança, além de externamente para garantir
requisitos ulatórios sejam atendidos.
• Coletar evidências: a resposta forense pode ser crucial após um incidente - a preservação
indicação de evidências pode ser crítica para processos judiciais ou, no mínimo, compreensão
os eventos que levaram à violação.
• Desenvolver: anote as ações tomadas como parte da resposta ao incidente. O que funcionou
e o que não fez? Onde o processo pode ser melhorado? Bem como as defesas, o re-
O plano de ação também pode se beneficiar do refinamento. A segurança é um problema em constante evolução e
requer reflexão contínua. Políticas de segurança, treinamento e comunicação podem ajudar
reduzir o impacto de violações futuras.
• Relatório: o crime cibernético deve ser relatado às agências de segurança pública relevantes.
Como palavra final sobre continuidade de negócios, destacamos a importância das cadeias de suprimentos. Incidente
abordagens de gestão juntamente com métodos de avaliação de risco em nível de sistema são projetados
para permitir a captura de riscos relacionados às interações e aspectos interdependentes do sistema
tem, que, é claro, pode e deve incluir cadeias de abastecimento, mas só o fará se a devida atenção
é dado este aspecto do risco. Risco de segurança cibernética de cadeias de abastecimento, embora incipiente como um tópico
no que diz respeito à avaliação de risco e governança [ ] [ ], é uma questão importante.
0,8 CONCLUSÃO
Explicamos os conceitos fundamentais de risco, usando uma definição de trabalho da posição
possibilidade de que as ações ou eventos humanos podem levar a consequências que têm um impacto sobre o que
os seres humanos valorizam e colocam isso no contexto da gestão e governança de risco cibernético. Nós-
fundações acadêmicas que foram amplamente adotadas na prática internacional, temos
explicou as ligações entre a pré-avaliação e definição de contexto, avaliação de risco e preocupação-
mentação, caracterização e avaliação, gestão e governança. A governança de risco é
o conjunto abrangente de processos e princípios em andamento que sustentam as decisões coletivas
fazer e englobar avaliação e gestão de risco, incluindo consideração
https://translate.googleusercontent.com/translate_f 56/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dos contextos jurídico, social, organizacional e econômico em que o risco é avaliado. Nós temos
definiu algumas das principais terminologias usadas como parte dos processos estruturados que capturam
informações, percepções e evidências relacionadas ao que está em jogo, o potencial de desejável
e eventos indesejáveis, e medidas de resultados prováveis e impacto - sejam eles
itativo ou quantitativo.
www.cybok.org
deve fornecer um ciclo de feedback para o planejamento de gestão de risco dentro do programa de governança de risco
cess. Mesmo com os melhores planos, é provável que ocorra uma violação das defesas de segurança cibernética
em algum momento e, além dos aspectos culturais de aprendizagem e melhorias da equipe,
destacamos uma série de etapas principais de padrões internacionais que devem ser
considerados como parte do processo de governança.
A governança de risco é um processo cíclico e iterativo, e não algo que pode ser executado
uma vez. Os aspectos transversais da comunicação, envolvimento das partes interessadas e contexto
vinculam os processos de avaliação e gestão de riscos e são essenciais para a avaliação contínua
ção e revisão das práticas de governança de risco. Os incidentes, quando ocorrem, devem informar o risco
política de gestão para melhorar a segurança cibernética no futuro - e devemos aceitar que iremos
provavelmente nunca estará completamente seguro. Em consonância com isso, os fatores humanos e a cultura de segurança devem
responder à necessidade em constante mudança de gerenciar o risco cibernético, permitindo e incutindo
desenvolvimento profissional por meio da educação e da cultura justa, onde as lições podem ser aprendidas
e métodos de governança melhorados.
https://translate.googleusercontent.com/translate_f 57/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Seção Cita
. O que é risco? [, , ]
. Por que a avaliação e o gerenciamento de riscos são importantes? [, , , ]
. O que é avaliação e gerenciamento de risco cibernético? []
. Governança de risco
. . O que é governança de risco e por que é essencial? [, 8 , ]
. . O fator humano e a comunicação de risco [ 6 , 6 , 6]
. . Cultura de segurança e conscientização [ 6 , 6 , 6]
. . Promulgando Política de Segurança [6 , 66 , 6]
.6 Avaliação de risco e princípios de gestão
.6. Perspectivas de componentes vs. sistemas [, 6]
.6. Elementos de Risco
.6. Métodos de avaliação e gestão de risco [66, ,, , , ]
.6. Avaliação e gestão de riscos em sistemas ciber-físicos e
[]
tecnologia operacional
.6. Métricas de Segurança [ 6, ]
. Continuidade de negócios: resposta a incidentes e planejamento de recuperação [, ]
https://translate.googleusercontent.com/translate_f 58/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Página 75
https://translate.googleusercontent.com/translate_f 59/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Capítulo
Lei e Regulamentação
Robert Carolina Royal Holloway,
Universidade de londres
INTRODUÇÃO
https://translate.googleusercontent.com/translate_f 60/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O
queobjetivo
merecemdesta área de conhecimento
consideração é fornecer
ao realizar várias um instantâneo
atividades no campodos tópicos legais
da segurança e regulatórios
cibernética, tais
como: gerenciamento de segurança, avaliação de risco, teste de segurança, investigação forense, pesquisa,
desenvolvimento de produtos e serviços e operações cibernéticas (defensivas e ofensivas). A esperança
é fornecer uma estrutura que mostra ao profissional de segurança cibernética a categoria mais comum
gias de risco legal e regulatório que se aplicam a essas atividades, e para destacar (onde pos-
possível) algumas fontes de autoridade legal e bolsa de estudos.
Presume-se que o leitor não possua qualquer qualificação formal ou treinamento em direito. O
o público é ainda considerado multinacional. Para tornar o material praticamente acessível
para um corpo tão diverso de especialistas no domínio da segurança cibernética, os assuntos são apresentados em um nível
que seria considerado introdutório para aqueles que já são bem educados em direito ou
políticas públicas.
Esta área de conhecimento, no entanto, se dirige a um público multinacional de profissionais que irão
ser chamados a conduzir suas atividades de acordo com as leis e regulamentos impostos por diferentes
Estados - tanto o estado de origem em que praticam, quanto o estado estrangeiros com o qual eles fazem
contato. Respeitando a realidade de que os detalhes legais variam em cada estado, esta área de conhecimento irá
tentar identificar algumas normas amplamente compartilhadas entre os vários sistemas de direito interno e
regulamentação, e alguns aspectos do direito internacional público, que podem (ou deveriam) in uenciar o
trabalho do profissional de segurança.
Na busca por normas generalizáveis que mantenham utilidade para o praticante, esse conhecimento
área concentra-se principalmente em direito substantivo. A lei substantiva se concentra nas obrigações, re-
patrocínios e comportamentos de pessoas. Os exemplos incluem crime de computador, contrato, ato ilícito,
proteção de dados, etc.
As regras processuais são, em sua maioria, excluídas da cobertura. As regras processuais tendem a se concentrar no homem
envelhecer o processo de resolução de disputas ou especificar métodos de comunicação com um estado
autoridade. Os exemplos incluem procedimento civil, procedimento criminal e regras de evidência. Al-
embora sejam importantes para a administração da justiça, são frequentemente de natureza paroquial
e vinculado a peculiaridades da prática local. Profissionais de segurança cibernética que precisam se tornar
familiarizado com os detalhes dessas regras (por exemplo, investigadores forenses, policiais,
testemunhas especializadas e outros que coletam ou apresentam evidências aos tribunais), invariavelmente, exigem
orientação especializada ou treinamento de profissionais jurídicos locais relevantes que entendem o
regras judiciais de um determinado tribunal.
Como acontece com muitos esforços de taxonomia legal, a diferença entre substância e procedimento
é impreciso na fronteira. O teste para inclusão nesta área de conhecimento tem menos a ver com
adivinhando a fronteira entre a substância e o procedimento, e surge, em vez disso, do desejo
para fazer declarações normativas que permanecem úteis para profissionais em um contexto multinacional.
Seção . inicia a área de conhecimento com uma introdução aos princípios de direito e
pesquisa, contrastando o estudo da lei e da ciência e explicando o papel da evidência e
prova. Seção . em seguida, explora vários aspectos da jurisdição em um ambiente online.
Seções .6 e . fornecer uma introdução aos princípios do contrato e direito civil de interesse
para os praticantes. A seção .8 fornece uma introdução geral a tópicos relevantes na área intelectual
propriedade, enquanto Seção . fornece uma visão geral das leis que reduzem a responsabilidade de interconexão
mediários.
Seções . e . abordar alguns tópicos especializados, com uma exploração de direitos e re-
https://translate.googleusercontent.com/translate_f 61/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
patrocínios em sistemas de serviços de confiança e um breve levantamento de outros tópicos de interesse, como
como restrições à exportação de produtos de criptografia. Seções . , ., e ., conclua o
área de conhecimento com uma pesquisa de direito internacional público, ética e uma lista de verificação de risco legal
gestão.
O autor desta área de conhecimento é treinado no direito consuetudinário (quase onipresente em an-
territórios glófonos) e experiente na prática jurídica comercial internacional conduzida
em Londres. Exemplos de normas jurídicas são, portanto, extraídos do direito consuetudinário (conforme interpretado
por estado diferentes), vários estatutos anglófonos e decisões de casos, direito da União Europeia,
e direito internacional público. 6 O autor agradece a con rmação de correspondência ponderada,
qualificando ainda mais, ou desafiando o status normativo das questões apresentadas.
Por fim, uma nota sobre terminologia e apresentação. 'Alice' e 'Bob' e termos semelhantes são usados
em um esforço para apresentar ideias de uma forma que seja familiar aos profissionais de segurança. Lá
é uma diferença significativa em como esses termos são usados. Na maior parte da segurança técnica
literatura 'Alice' e 'Bob' referem-se a dispositivos tecnológicos. Nesta área de conhecimento, no entanto,
'Alice' e 'Bob' referem-se a pessoas. Excepcionalmente para CyBOK (mas em comum com a pesquisa jurídica
e bolsa de estudos) esta área de conhecimento faz amplo uso de notas. As notas são usadas para um
variedade de finalidades, incluindo o fornecimento de exemplos específicos, mais explicações sobre os problemas e
argumento adicional em apoio ou contra uma dada proposição. Em algumas circunstâncias
notas têm sido usadas para sugerir potenciais desenvolvimentos jurídicos futuros, assuntos dignos de
estudo mais aprofundado ou para fornecer outros comentários. 8
www.cybok.org
CONTENTE
A lei deve ser analisada com lógica rigorosa. Ao contrário das disciplinas científicas, como física ou
matemática, no entanto, o estudo do direito não é conceituado como um esforço para descobrir im-
princípios mutáveis de nosso mundo. A lei está ligada aos valores sociais e políticos, humanos
desejo e fragilidade humana [ 6]
A sociedade influencia o desenvolvimento e a interpretação da lei, assim como a lei influencia o início
haviour dos membros da sociedade. As sociedades evoluem e os valores mudam. Mudanças na lei e em
métodos de interpretação da lei tendem a seguir. Isso cria uma série de desafios para
bolsa de estudos, à medida que o tema em estudo continua a mudar. Talvez como resultado o estudo
do direito é frequentemente apresentado na forma de dialética histórica: examinando a evolução do direito e
sua interpretação ao longo do tempo, geralmente por meio de estudos de caso. Este método fornece os mais importantes
contexto, auxilia na interpretação da lei como ela existe, e muitas vezes sugere a direção do futuro
desenvolvimentos.
O estudo do direito busca compartilhar pelo menos uma característica com as ciências: a habilidade
para prever resultados. Enquanto ciências como a química predizem o resultado de eventos como o
introdução de sódio sólido na água líquida, o estudo da lei tenta prever o resultado
de disputas submetidas a um tribunal legal com perito adequado. Embora o estudo da lei nunca possa
prever os resultados da disputa com% de certeza, no estados com sistemas jurídicos bem desenvolvidos
e juízes bem qualificados, é possível alcançar um grau de previsibilidade do resultado
isso é suficientemente alto para manter a confiança no sistema como um todo.
https://translate.googleusercontent.com/translate_f 62/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os estudos jurídicos costumam começar com uma revisão mecanicista dos processos de governança que cercam
a adopção e aplicação da lei. As leis são feitas (autoridade legislativa), as leis são inter-
preted (autoridade judicial), e as leis são aplicadas (autoridade executiva). Compreendendo a diferença
estruturas de governança corporativa adotadas pelo estados para gerenciar esses três processos requer um
exame do direito constitucional comparado que está além do escopo deste conhecimento
área.
A maioria das pesquisas e análises jurídicas procedem com base em argumentos de autoridade, elaborados
a partir de uma análise de textos históricos que incorporam expressões do direito. Seguem alguns observadores
vações sobre diferentes fontes de autoridade legal e como elas variam em diferentes contextos. Não
www.cybok.org
organismo de normas existe para harmonizar a definição de termos jurídicos da arte à medida que são usados por dife-
estado diferentes. A confusão sobre a terminologia jurídica é, portanto, lugar-comum em uma multinacional
contexto.
Legislação primária. Tanto na jurisdição de common law quanto na de civil laws, legislação primária (typ-
icamente, um estatuto, como um Ato do Parlamento no Reino Unido ou um Ato do Congresso nos EUA) é o
a personificação mais facilmente compreendida da "lei". Na jurisdição de direito civils legislação primária
normalmente assume a forma de adoção ou alteração de um código jurídico abrangente. Um estatuto (um
lei promulgada por uma legislatura) deve ser distinguida de um projeto de lei (um projeto de lei que pode
ou não pode ser adoptado como diploma) 6 que normalmente não tem força de lei.
Legislação secundária. Às vezes, um certo grau de autoridade legislativa é delegado por um sênior
órgão legislativo (como o Parlamento do Reino Unido ou o Congresso dos EUA) a alguma outra agência do
estado (como o Ministro das Relações Exteriores do Reino Unido ou o Departamento de Comércio dos EUA). Delegação
muitas vezes é feita por razões de especialização técnica, ou a necessidade de revisões periódicas frequentes de
regras adotadas. As leis promulgadas por tais agências subordinadas são geralmente denominadas sec-
legislação secundária. O termo 'regulação' às vezes é usado coloquialmente para se referir a
legislação distinta da legislação primária.
Legislação da União Europeia. Uma 'Diretiva' da União Europeia (antiga European Economic
Comunidade) é um tipo específico de legislação primária dirigida ao Estado- Membros do
União. Cada Estado- Membro deve examinar os termos da Diretiva e, em seguida,
implementar estes termos dentro de sua própria legislação nacional dentro de um prazo específico. Diretivas
normalmente não têm 'efeito direto' na lei dos estados membros , com algumas exceções. Por con
trast, um 'Regulamento' da União Europeia constitui uma lei vinculativa imediatamente aplicável em todos
estado membros. 8
Decisões judiciais. Na jurisdição de common laws, as decisões publicadas dos tribunais nacionais
que interpretam a lei tendem a constituir autoridade interpretativa significativa e vinculativa de
dependendo da antiguidade e jurisdição do tribunal. Decisões dos tribunais de estrangeiros
Estados podem constituir autoridade persuasiva ou, de fato, sua interpretação da lei pode ser
totalmente ignorado. Na jurisdição de direito civils, as decisões dos juízes são geralmente concedidas
autoridade menos interpretativa do que decisões semelhantes em uma jurisdição de direito consuetudinário.
Códigos. Na pesquisa jurídica, 'código' pode se referir a qualquer coleção sistematizada de legislação primária,
legislação secundária, leis modelo ou simplesmente um conjunto de regras publicadas por empresas públicas ou privadas
organizações.
Reformulações da lei. Uma reformulação da lei é uma obra cuidadosamente construída, normalmente
realizado por um comitê de especialistas jurídicos ao longo de vários anos, que procura explicar,
esclarecer e codificar a legislação existente. Embora as reformulações não sejam normalmente consideradas uma fonte
de autoridade obrigatória, como expressões cuidadosamente consideradas de opinião de especialistas, muitas vezes são
extremamente influente.
Tratados. Tratados são instrumentos de acordo entre estadoss. Em algum estados,
os termos legais de um tratado são automaticamente colocados em operação por um estado contratantede
direito interno, uma vez que o estado tenha aderido integralmente ao tratado. Em outros, a lei nacional não é
alterado, a menos e até que o legislador nacional aja para alterar a legislação nacional de acordo com
dançar com os requisitos do tratado. (O direito internacional público é discutido na seção ..)
Artigos acadêmicos. Dentro da jurisdição de common laws, artigos acadêmicos escritos por acadêmicos jurídicos
Os demics podem constituir um tipo de autoridade persuasiva, embora fraca. Os juízes normalmente adotam o
argumentos de estudiosos do direito apenas na medida em que o trabalho do acadêmico convence um jurista a
https://translate.googleusercontent.com/translate_f 63/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 80 O Conhecimento em Segurança Cibernética
www.cybok.org
adotar seu ponto de vista. Em muitos sistemas de direito civil, em contraste, artigos acadêmicos por líderes acadêmicos jurídicos
os demônios podem receber deferência significativa por tribunais que são chamados a interpretar
a lei.
Emergiram duas escolas de pensamento predominantes. A primeira escola postulou que o ciberespaço é tão
radicalmente diferente de tudo na experiência humana, que as velhas leis eram inadequadas e
deve ser amplamente inaplicável a ações realizadas usando este novo domínio. Legisladores e
os juízes foram encorajados por esta escola a reexaminar todas as doutrinas novamente e a abandonar
grande quantidade de precedentes ao considerar disputas. Os proponentes radicais desta visão foram
na medida em que nega a autoridade do estado soberanos para fazer cumprir as leis e regulamentos da
texto de atividades relacionadas à Internet [] .
A segunda escola afirmava, em vez disso, que a Internet é, como tantas ferramentas desenvolvidas em humanos
história, apenas um instrumento da ação humana. Como tal, as leis podem - e talvez devam
- continuar a ser aplicado a pessoas que usam o ciberespaço na maioria dos aspectos, da mesma forma que o fizeram
antes de existir [ 8, , ] Membros desta segunda escola descreveram uma ' falácia do ciberespaço '
- a falsa crença de que o ciberespaço era uma jurisdição legal de alguma forma separada e distinta
do espaço real [ ]
Por enquanto, a segunda escola prevaleceu quase que universalmente com as autoridades estaduais
[, , , ] O praticante é confrontado com a realidade de que as leis existentes, alguns cen-
turmas antigas e algumas emendadas ou nascidas de novo a cada ano, são aplicadas por estados, seus legisladores,
juízes, polícia e forças de defesa para o ciberespaçoatividade relacionada, seja ou não o ciberespaço
foi expressamente contemplado por essas mesmas leis. 6
Deve-se ter cuidado ao tentar mapear as regras legais nas atividades. Enquanto os advogados e
estudiosos do direito dividem a lei em categorias simples, operações da vida real e cibernéticas nem sempre
t ordenadamente dentro de uma única categoria. Por exemplo, uma única ação de processamento de dados que não
violar direitos autorais e não for difamatório ainda pode constituir uma violação da proteção de dados
direitos. Qualquer ação deve ser avaliada por referência a quaisquer leis ou regulamentos
risco presente. O problema de obrigações conflitantes que podem surgir como resultado de multiestado
regulamento é introduzido na Seção ..
Os profissionais fazem cada vez mais perguntas sobre a aplicação da lei ao conhecimento artificial
ligência. As leis são geralmente formuladas para influenciar e responder aos comportamentos das pessoas ,
ou para tratar da disposição ou uso de propriedade. (Isso pode ser visto na discussão de en-
forcement jurisdição na Seção . ..) Instâncias de inteligência artificial não são atualmente
de nidos como pessoas sob a lei. Portanto, uma IA, como tal, não pode ser culpada de um crime, en-
entrar em um contrato, possuir propriedade ou ser responsável por um delito. Se um objeto controlado por uma IA causar
dano, normalmente se espera que a lei olhe além da IA para as pessoas que criaram
ou fez uso dele e a responsabilidade de tais pessoas seria avaliada usando
padrões legais. Este assunto é explorado brevemente na Seção . ., que toca em circun-
situações em que as pessoas podem se tornar estritamente responsáveis por ações relacionadas à IA que causam a morte
ou ferimentos pessoais. 8
A lei criminal é o corpo da lei que proíbe comportamentos geralmente abominados pela sociedade. Crimi-
a lei final é normalmente aplicada por uma agência do estado. Os exemplos incluem proibições contra
fraude bancária e hacking de computador. Dependendo da sociedade em questão, os objetivos de
o direito penal é geralmente descrito como uma combinação de:
• dissuasão (buscando dissuadir o mau comportamento, tanto para os membros da sociedade em geral como
um criminoso especificamente);
https://translate.googleusercontent.com/translate_f 64/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• retribuição (fazendo com que um criminoso sofra algum tipo de perda em resposta ao crime);
• restituição (fazendo com que um criminoso indenize uma vítima ou alguma pessoa relacionada);
Termos como 'culpado' e 'inocente' são normalmente reservados como descrições de veredictos (out-
vem) em um caso criminal. Esses termos não devem ser usados quando se referem aos resultados de
ações civis.
As punições disponíveis no direito penal incluem sentenças de prisão privativas de liberdade, nes criminais
mal remetido ao estado, apreensão e confisco de produtos criminais, e nanceiros ou outros
restituição remetida às vítimas.
Freqüentemente, não é necessário que um acusado tenha entendido que suas ações foram
de nido como criminoso, embora estaduals normalmente deve provar que o acusado pretendia tomar
essas ações. Alguns crimes são definidos de uma forma que a culpa só é atribuída se o estado puder
provar que o acusado estava ciente de que estava fazendo algo 'errado'. Um acusado,
portanto, pode não ser capaz de escapar da responsabilidade criminal sugerindo, ou mesmo provando, que um
ato foi realizado com boas intenções ou de outra forma 'no interesse público'.
O direito civil é a área do direito que regula as relações privadas entre as pessoas.
Os exemplos incluem as leis de contrato e negligência. Uma pessoa ferida como resultado de violação
de direito civil pode normalmente mover uma ação legal contra a parte responsável.
Os recursos disponíveis sob a lei civil (dependendo das circunstâncias) podem incluir alguns
binação de:
• uma ordem para que a parte responsável pague indenização à parte lesada;
• uma ordem para que a parte responsável tome algum tipo de ato afirmativo (por exemplo, transferência de propriedade
posse de propriedade).
Os princípios do direito civil são frequentemente elaborados em um esforço para corrigir externalidades negativas de
comportamento em uma economia moderna. Isso torna o direito civil especialmente interessante em segurança cibernética,
já que a falta de segurança no desenvolvimento de produtos e serviços de TIC é um aspecto negativo, infelizmente recorrente
externalidade que muitas vezes fica aquém do comportamento criminoso [ ] Os legisladores esperam que as pessoas
que tomam conhecimento de que certos tipos de tomada de risco acarretam uma responsabilidade associada pelo resultado
o dano irá alterar seu comportamento para melhor.
Um único ato ou série de atos conectados pode criar responsabilidade simultaneamente sob ambos os crimes
direito inal e civil. Considere o ato de Alice fazer acesso não autorizado ao computador de Bob.
Suas ações, por sua vez, causam a falha da LAN de Bob e da infraestrutura relacionada. Hack único de Alice
a farra resulta em dois tipos de responsabilidade. O estado pode processar Alice pelo crime relevante (ou seja,
acesso não autorizado, consulte a Seção .) e Bob pode mover uma ação civil legal (ou seja, negligência,
veja a seção . .) contra Alice.
Os dois tipos de ação legal seriam normalmente contestados em dois tribunais separados, e
sujeito a dois padrões diferentes de prova (consulte a Seção .) O propósito do criminoso
caso é proteger os interesses da sociedade como um todo, enquanto o objetivo do caso civil é
compensar Bob.
Na lei, para 'provar'algo significa simplesmente usar evidências permissíveis em um esforço para demonstrar
demonstrar a verdade dos eventos contestados a um fato e a um determinado grau de certeza . Por-
evidências missíveis podem assumir uma variedade de formas. Sujeito às regras de diferentes sistemas jurídicos,
https://translate.googleusercontent.com/translate_f 65/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
as evidências podem incluir depoimentos de testemunhas diretas, registros de negócios, correspondência, vigilância
registros de lance, gravações de conversas telefônicas interceptadas, logs de servidor, etc.
Como uma generalização grosseira, a análise jurídica de uma disputa consiste em dois elementos. Um 'nder de fato'
(um juiz, júri, regulador, etc.) deve primeiro considerar versões concorrentes de eventos e estabelecer uma
narrativa factual ou 'descoberta'. Esta narrativa factual é então submetida à análise sob relevante
lei.
A pessoa que traz uma ação legal é dito para carregar o fardo de prova em relação ao
elementos que definem seu direito de ação. Isso também é conhecido como provar que a parte reivindicadora
caso prima facie . O acusado, então, carrega o ônus de provar defesas afirmativas que
pode servir para reduzir ou eliminar sua responsabilidade.
O padrão aplicável de prova, ou seja, o grau de certeza que deve ser alcançado
pelo fato de chegar a uma conclusão sobre uma determinada questão contestada, depende da questão sob
consideração. Uma amostra não exaustiva de diferentes padrões de prova usados em várias
contextos é apresentado na Tabela ..
www.cybok.org
Considere uma circunstância em que Alice tem algum direito de ação contra Bob. (Alice poderia
ser um estado que está considerando processar Bob por um crime ou Alice pode ser uma pessoa que está considerando
um processo civil contra Bob por quebra de contrato ou ato ilícito.) Alice pode entrar com uma ação legal
contra Bob, ou talvez não. Se Alice entrar com uma ação legal contra Bob, ela pode ganhar o
ação ou ela pode perder. Bob deve levar diferentes fatores em consideração ao analisar
o risco relevante de Alice tomar medidas legais.
R = f (P, D, Q, X)
no qual:
R = o custo ponderado pelo risco para Bob que Alice vai começar e ganhar este
ação legal ;
P = capacidade relativa de Alice (usando evidências admissíveis) para provar sua prima fa-
cie caso contra Bob (ajustado pela capacidade de Bob de refutar tais evidências);
D = capacidade relativa de Bob (usando evidências admissíveis) para provar qualquer afirmação
defesa ativa que pode reduzir ou eliminar a responsabilidade de Bob (ajustada por
Capacidade de Alice de refutar tais evidências);
Q = o custo total para Bob (exceto os custos de transação) se Alice buscar e
ganha a ação legal dela; e
X = uma variedade de fatores adicionais, como a disposição e capacidade de Alice para
iniciar ação legal, A vontade e capacidade de defesa de Bob, o de Alice
capacidade de garantir a jurisdição de execução sobre Bob ou seus ativos, além de
custos de transação, como custos de investigação, custas judiciais e tribunal
custos.
O objetivo da função acima é meramente destacar que a análise de risco legal envolve mais
do que a consideração das 'regras'. 6 Assim, as discussões de direito substantivo neste conhecimento
https://translate.googleusercontent.com/translate_f 66/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
área (por exemplo, proteção de dados, direito penal, contrato, ato ilícito) começa com algum exame do
quadro usado para provar a responsabilidade (P). A discussão também toca em algumas defesas afirmativas
(D) bem como penalidades e remédios relevantes (Q). A área de conhecimento dá signi cativos,
separada, consideração ao problema de jurisdição (que se enquadra em X). Na avaliação
cada um desses fatores, deve-se também considerar o valor probatório das evidências disponíveis como
bem como o padrão relevante de prova a ser cumprido em cada elemento (ver Seção .)
Algumas áreas de risco, como riscos relacionados aos custos de transação, incluindo mecanismos que
pode mudar alguns custos de transação do vencedor para o perdedor (que também caem dentro de X), são altamente
individualizado e orientado para o processo e além do escopo desta área de conhecimento.
As questões apresentadas aqui sustentam significativamente as observações sobre o manejo de risco legal
agement na seção ..
www.cybok.org
Além de uma rea- Extremamente alto. Quase Estados são mais frequentemente necessários para atender a isso, ou um semelhante
dúvida razoável. incontroverso. Nenhum outro padrão, em provar os elementos de um crime para um fato
razoável explicação nder para manter uma pessoa acusada culpada. Este padrão superior
existe para dar sentido a dard é fortemente influenciado por noções de direitos humanos
a evidência. lei porque a vida e a liberdade individuais estão em jogo.
Claro e Certeza razoavelmente alta. Este padrão de prova é usado na lei dos EUA, por exemplo,
convincente Muito mais que simplesmente quando um tribunal é solicitado a invalidar um anteriormente concedido
evidências. 'provável'. patente. O ónus da prova colocado sobre a pessoa
buscando invalidar a patente é definido alto porque este
privaria um titular de direitos de propriedade anteriormente
concedida pelo escritório de patentes.
Causa provável. A evidência sugere O padrão exigido nos EUA para persuadir um juiz
que o alvo de um investimento oficial para emitir um mandado de busca ou prisão. Esta
investigação comprometeu um padrão serve para filtrar trivial ou não fundamentado
crime, embora evidências pedidos para invadir a privacidade ou deter um suspeito.
ainda não é conclusivo.
https://translate.googleusercontent.com/translate_f 67/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Lei e regulamentação KA | Outubro Página 8
www.cybok.org
. JURISDIÇÃO
[, , 8, , , ]
O ciberespaço permite que pessoas localizadas em diferentes estadoss para se comunicarem uns com os outros em
uma moda sem precedentes na história. Contatos e relações internacionais antes incomuns
navios tornaram-se comuns. Aqueles que enfrentam uma ameaça potencial de aplicação por um
pessoa em um estado estrangeiro deve considerar algumas questões de limite antes do
o risco pode ser analisado: jurisdição e conflito de leis.
Jurisdição descreve o escopo da autoridade estadual e os mecanismos usados por um estado para garantir
sert poder. O direito internacional privado, ou conflito de direito, examina como determinar quais
a (s) lei (s) nacional (is) estadual (is) serão aplicadas para resolver certos aspectos de uma determinada disputa. Este sec-
ção da área de conhecimento discute jurisdição. O conflito de leis é tratado separadamente em
contexto de títulos substantivos individuais de direito.
Muitos dos princípios relativos à jurisdição e conflito de leis não são novos. O que tem
mudados são o maior número de pessoas que se beneficiam da consideração desses princípios
agora que as pessoas estão enfrentando responsabilidades jurídicas transfronteiriças a taxas aumentadas.
.. Jurisdição territorial
O termo 'jurisdição'é frequentemente usado de uma maneira bastante informal para se referir a um estado, ou qualquer po-
subdivisão litical de um estado, que tem autoridade para fazer ou fazer cumprir leis ou regulamentos. 8
Nesse sentido, o termo é quase sinônimo de território desse estado ou de sua sub-política
divisão. O objetivo desta seção, no entanto, é se concentrar camente mais específico sobre o territorial
extensão de um estadopoder de - sua jurisdição territorial.
Ao analisar os riscos legais de atividades multiestaduais conduzidas por meio do ciberespaço, pode ser
útil considerar três aspectos diferentes da jurisdição: jurisdição prescritiva, jurídico
jurisdição, e jurisdição de execução.
A jurisdição prescritiva descreve o escopo da autoridade reivindicada por um estado para regular o
atividades de pessoas ou tomar posse de bens. Os legisladores normalmente adotam leis para
o objetivo de proteger os residentes de seu estado de origem e pode declarar seu desejo de
regular as ações de residentes estrangeiros, na medida em que tais ações sejam prejudiciais
para o estado natal-residentes.
A jurisdição jurídica descreve a autoridade de um tribunal para decidir um caso ou controvérsia. O
as regras de tal jurisdição variam amplamente de tribunal para tribunal. Em casos civis, os tribunais geralmente
exigir um grau mínimo de contato entre o território residencial do tribunal e o
propriedade ou pessoa contra a qual é movida uma ação legal . Esse contato mínimo pode envolver
exemplos óbvios, como a presença de uma filial. Pode ser extremamente mínimo,
na verdade, baseando-se em pouco mais do que correspondência solicitando negócios de um residente de
o território do tribunal. No contexto de processos criminais, os tribunais normalmente exigem o
presença física de um acusado antes do início do processo. Algum estados permitir tribunais
para fazer exceções a esta regra e estão preparados para conduzir um julgamento criminal à revelia se o
réu não pode ser encontrado dentro da jurisdição territorial do tribunal.
A jurisdição de execução descreve a autoridade de um estado para fazer cumprir a lei. Isso às vezes
descrito como poder de polícia, poder de prender e deter, autoridade para usar a força contra pessoas,
etc. Em questões civis, isso pode descrever outros métodos usados para projetar força sobre pessoas ou
propriedade residente em um território, como apreensão de instalações e equipamentos, despejo de inquilinos de
www.cybok.org
propriedade, penhora de salários, apreensão de fundos em depósito em um banco, etc. Na prática, impor
ment jurisdição é limitada pela capacidade do Estado e seus agentes a projetar poder sobre o
objetos de aplicação.
.. Jurisdição prescritiva
Há muito tempo é lugar-comum para o estados exercer um grau de jurisprudência prescritiva e jurídica
https://translate.googleusercontent.com/translate_f 68/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dicção sobre pessoas
frequentemente nãoéresidentes
adotado que pessoasquenão
solicitam relações
residentes comerciais
que solicitam com residentes.
remotamente Uma em
ou entram teoria
relações de negócios
as relações com os residentes valem-se dos benefícios do mercado interno e, daí,
portanto, tornar-se receptivos às regras desse mercado. Este princípio é muito anterior à Internet.
Mais controversos são os casos em que uma pessoa não residente não está solicitando negócios de
um residente do estado , mas pode estar agindo de uma forma que de alguma forma prejudica o estado
moradores. Alguns dos exemplos mais conhecidos surgem nas leis da concorrência (também conhecidas como leis antitruste).
Esses casos seguem um padrão familiar. Um cartel de pessoas que produzem mercadorias (por exemplo,
bananas, alumínio, polpa de madeira, diamantes) fora do estado's território, convocar uma reunião
isso também ocorre fora do estado's território. Nesta reunião, os membros do cartel conspiram
para x os preços de atacado de uma determinada mercadoria. Este tipo de conspiração offshore de fixação de preços,
que não seria permitido se ocorresse dentro do estado's território, eventualmente resulta em
também nos preços praticados dentro do estado . A única comunicação entre o ato proibido
(preço xing) e o estado é o preço da in ação no mercado externo (exportador), que em
por sua vez, causa a inflação dos preços de mercado interno (importação).
Os Estados também reivindicam jurisdição prescritiva sobre algumas ações tomadas por seus próprios nacionais
enquanto estiver presente em um estado estrangeiro, mesmo que nenhum 'efeito' expresso seja reivindicado dentro do território de
o estado de origem. Os exemplos incluem leis que proíbem o suborno de funcionários estrangeiros [ 6] e leis
contra o turismo sexual infantil [ , 8] Os estados também podem reivindicar jurisdição prescritiva sobre violentos
atos cometidos contra um estadopróprios nacionais de fora do estado's território por qualquer pessoa ,
especialmente em casos de terrorismo.
As instâncias onde mais de um estado reivindica jurisdição sobre um único ato ou ocorrência são
não incomum. Reivindicações de jurisdição prescritiva tendem a se basear em noções de proteção
de acordo com os interesses de um estado e de seus residentes. Algumas das regras de jurisdição foram
adotado com o objetivo de reduzir os casos em que as pessoas possam enfrentar conflitos irreconciliáveis
entre os mandatos de dois estadoss. Embora tais conflitos irreconciliáveis sejam menos complicados
mais do que alguns possam acreditar, eles ainda surgem de vez em quando. Nos casos em que uma pessoa
enfrenta um conflito irreconciliável de mandatos impostos por dois estadoss, a pessoa é necessária
para fazer escolhas difíceis. Para as empresas, essas escolhas muitas vezes envolvem mudanças nos negócios
processos, estrutura ou governança para evitar ou limitar o potencial para tais conflitos.
Esses exercícios de jurisdição não se baseiam necessariamente nos efeitos mais atenuados dos
trine 'utilizado no direito da concorrência. Os tribunais parecem dispostos a interpretar a lei doméstica de uma forma
que afirma a jurisdição prescritiva, e, em seguida, para afirmar sua própria jurisdição jurídica sobre
a base de que o conteúdo é visível para pessoas dentro do estado, independentemente da localização de
o servidor de origem. Desta forma, o ato ofensivo (por exemplo, copiar, publicar
transmissão, transmissão, exibição, oferta para venda) ocorre dentro do estado que afirma
jurisdição.
Os estados que adotam leis de crimes de informática freqüentemente legislam para incluir atos transfronteiriços. Como resultado,
é comum que um estado com tais leis em seus livros exerça jurisdição prescritiva
sobre pessoas - não importa onde estejam localizadas - que realizam ações direcionadas ao computador
https://translate.googleusercontent.com/translate_f 69/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
equipamento localizado dentro do estado. Da mesma forma, as pessoas que agem fisicamente localizadas dentro de
o estadodo território são frequentemente capturados no âmbito da lei penal ao conduzir
operações ofensivas contra computadores residentes em estado estrangeiros [ , , , , ]
O direito internacional público reconhece tais exercícios de jurisdição prescritiva como uma função
de soberania territorial ([ ] na R. -, R.).
Quando um hacker que está fisicamente presente em um estado direciona uma atividade ofensiva para um computador
em outro estado, esse hacker pode violar as leis criminais de ambos os estadoss. Se o hack relevante-
atividade física não constitui um crime no primeiro estado por qualquer motivo, ela ainda pode
constituem um crime sob a lei do segundo estado onde o computador de destino está localizado
[ , ]
O GDPR agora também declara jurisdição prescritiva sobre as atividades de processamento de dados pessoais
de qualquer pessoa, em qualquer lugar do mundo, relacionado à oferta de bens ou serviços aos titulares dos dados
na UE (art. () (a)). Acredita-se que a jurisdição prescritiva se estenda apenas às circunstâncias
quando o fornecedor oferece voluntariamente tais bens ou serviços a titulares de dados na UE.
Por fim, o GDPR se aplica a qualquer pessoa que monitore o comportamento dos titulares dos dados localizados em
na UE, na medida em que este comportamento monitorizado «ocorre» na UE (artigo () (b)). Esta
título de jurisdição parece ter sido motivado principalmente pelo surgimento de
vícios que monitoram e analisam uma variedade de comportamentos humanos, incluindo ações realizadas
por pessoas que usam navegadores da web, ou padrões de movimento físico exibidos por pessoas no
terreno, como o comportamento de compra.
Pessoas localizadas fora da UE, mas que estão sujeitas à jurisdição prescritiva
do GDPR porque eles oferecem bens ou serviços para, ou monitoram o comportamento de pessoas residentes
na UE, são frequentemente obrigados a nomear um representante na UE (artigo; considerando 8).
Interpretando o escopo do GDPRé territorial jurisdicional pode ser dif culto, especialmente dada a
rápido surgimento de novas formas de serviços online. O Conselho Europeu de Proteção de Dados é
deverá nalisar orientação formal no devido tempo [ ]
.. Jurisdição de execução
Embora seja relativamente fácil imaginar um estado exercendo ampla jurisdição prescritiva e jurídica
ção sobre as atividades e controvérsias, questões de culto mais dif surgir com respeito a enforce-
jurisdição de ment: como um estado praticamente aplica suas regras.
Como uma proposição geral, um estado não tem o direito de exercer o direito internacional público
jurisdição de execução dentro do território de outro estado ([ ] na R.).
Esta seção considera alguns dos mecanismos de aplicação mais comuns usados pelo estados
em um contexto de segurança cibernética. Fazer cumprir a lei tende a ativar três mecanismos diferentes
do poder do Estado : poder sobre as pessoas ( em jurisdição pessoal), poder sobre a propriedade ( em rem
jurisdição), e solicitações ou demandas de assistência internacional.
https://translate.googleusercontent.com/translate_f 70/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
É comum afirmar a jurisdição real sobre a propriedade ou outros direitos legais que são
presente dentro de um estado's território e propícios a esse estadopoderes de polícia de. O estado pode
confiscar tais bens em um esforço para obrigar o comparecimento em processos judiciais, ou eventualmente
vender a propriedade para cumprir as obrigações financeiras de uma pessoa ausente. Exemplos de objetos
apreendidos para este fim incluem bens imóveis, tais como edifícios de escritórios ou fábricas,
bens móveis, como instalações e equipamentos, caminhões, embarcações marítimas ou mercadorias
em trânsito e intangíveis, como direitos de propriedade intelectual ou direitos de retirar fundos em
depósito em um banco.
www.cybok.org
Quando um servidor localizado em um estado é usado para realizar atividades que constituem um crime naquele
Estado, capturar o servidor como um mecanismo de aplicação pode ser considerado. Movendo-se
além do servidor, no entanto, as autoridades policiais dos EUA também usaram a jurisdição real
para apreensão e perda de nomes de domínio onde o registro de domínio TLD é mantido em
os EUA. Ações por violação de direitos de marca registrada usaram poderes reais semelhantes para fazer
apreensão e confisco do nome principal. Esta é uma ferramenta de fiscalização potencialmente interessante nos EUA,
especialmente como registros de TLDs administrados e mantidos dentro do território dos Estados Unidos
incluem '.com', '.org' e '.net' [ , 6]
Poderes reais semelhantes foram afirmados por vários estadoss para regular a administração de
o registro de ccTLD associado ao seu estado, ou para transferir à força a administração e
operação do ccTLD para um administrador estadual diferente [ ]
Esforços para fazer cumprir as leis que congelam ou de outra forma restringem o acesso do depositante aos fundos depositados
levantaram questões difíceis sobre o escopo territorial da autoridade de fiscalização do estado . Como-
definir ordens de congelamento direcionadas ao estado inimigos ou seus cidadãos não são incomuns, especialmente em
tempos de conflito internacional.
Um caso que destacou os limites desse poder surgiu a partir do despacho 86 emitido pelos Estados Unidos
ordenando o congelamento de bens detidos pelo estado da Líbia. Esta ordem do Reagan administra
tratamento era incomum. Além de obrigar o congelamento de dinheiro em depósito nos Estados Unidos
Estados, também ordenou que qualquer pessoa dos EUA que mantivesse controle efetivo sobre qualquer conta bancária
em qualquer lugar do mundo para congelar o dinheiro depositado em qualquer uma dessas contas bancárias globais.
O Libyan Arab Foreign Bank (um estadobanco líbio de propriedade) entrou com uma ação legal contra bancos dos EUA
nos tribunais da Inglaterra exigindo o reembolso de depósitos (denominados em dólares americanos)
realizada nas filiais de Londres. O julgamento do tribunal inglês resultante é uma leitura interessante,
como o tribunal discutiu longamente o extenso papel dos sistemas de transferência eletrônica de fundos em
bancário internacional naquela época. Tendo olhado para a questão, no entanto, o desmaterializado
Em última análise, a natureza das transferências de fundos quase não teve impacto no desfecho do caso. O
tribunal considerou que o dinheiro depositado na sucursal de um banco em Londres constitui um direito legal
para o depositante exigir o pagamento desse dinheiro na Inglaterra [ 8, ].6
Em outras palavras, uma conta bancária pode ser conceituada como estando situada dentro do território de
o estado em que se localiza a agência para a qual o depósito é feito. Esta análise continua
para aplicar se o relacionamento for realizado inteiramente por meio de interações online, e até mesmo
se o depositante permanecer offshore e nunca comparecer pessoalmente à agência.
https://translate.googleusercontent.com/translate_f 71/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Uma sentença civil emitida pelo tribunal de um estado pode, em certas circunstâncias, ser en-
forçado pelos tribunais de um segundo estado amigável. Isso normalmente é alcançado quando o prevalecente
parte transmite a sentença aos tribunais do segundo estado onde a parte adversa
bens, requerendo a execução da sentença contra esses bens. Reconhecimento estrangeiro
e a execução de sentenças civis é muitas vezes concedida sob o princípio da cortesia : uma doutrina
que pode ser expresso neste contexto como, 'Faremos cumprir suas decisões civis porque, como
um estado amigável, prevemos que você fará cumprir a nossa. '
A disposição de um tribunal estrangeiro de fazer cumprir tais sentenças civis não é universal. Pedidos de
a execução civil às vezes é rejeitada por razões políticas. No entanto, este continua a ser um
mecanismo relativamente comum no contexto de julgamentos por danos financeiros decorrentes de
muitos contratos e disputas ilícitas.
As autoridades estaduais podem normalmente exercer o poder de apreensão em qualquer navio de mar dentro do
Estadoé territoriais águas, assim como os navios registados sob a ag da prendendo estado
quando em águas internacionais. Cenários adicionais de fiscalização marítima são possíveis [ ]
Se dois estadoss que são partes contratantes da Convenção de Budapeste (consulte a Seção .) a Principal-
ter um tratado de extradição bilateral entre eles, a Convenção obriga-os a incorporar
dentro de seus procedimentos de extradição, os crimes de informática exigidos pela Convenção. O
Convenção pode (opcionalmente) também servir como uma base jurídica independente para extradição entre
dois estados contratantess que não mantêm um tratado de extradição bilateral [ ] no artigo.
A extradição tem uma história conturbada em segurança cibernética. Pedidos de extradição para acusado de cyber
os criminosos podem ser negados por outro estado por uma série de razões: falta de extradição
tratado entre os dois estadoss, falta de dupla criminalidade, preocupações de políticas públicas sobre a gravidade
de punição a ser imposta pelo estado requerente, e preocupações com a saúde ou bem-estar
do arguido, são todos os motivos invocados para a recusa de concessão da extradição de
pessoas acusadas de crimes cibernéticos [ ]
www.cybok.org
A intervenção tecnológica pode ser adotada como uma expressão prática do poder do Estado - seja
por um estado que ordena diretamente tal intervenção, ou por outras pessoas que adotam uma inter-
prevenção para evitar ou limitar a responsabilidade.
https://translate.googleusercontent.com/translate_f 72/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Filtragem de conteúdo é apenas um tipo de intervenção tecnológica que pode ser usada para reforçar
lei ou para reduzir o risco de atividades adversas de aplicação da lei. Esta abordagem é geralmente dentro
o conceito explorado por Lawrence Lessig e expresso com a frase, 'código é lei' [ 8]
Um estado de execução pode direcionar uma ordem de execução a uma pessoa exigindo que eles filtrem
conteúdo no ponto de origem, se o conteúdo está hospedado em um estado ou fora do estado
servidor [ ] Tal ordem traz consigo a ameaça implícita ou explícita de que a falha em implementar
a ordem pode resultar no uso de outros mecanismos de aplicação mais agressivos direcionados
para pessoas ou propriedades no estado.
Se um out-of-state pessoa que origina ou anfitriões ofender conteúdo online a partir do estado fora
a infraestrutura falha ou se recusa a filtrá-la, o estado de aplicação pode olhar para outra tecnologia
métodos de aplicação baseados. Um estado pode emitir uma ordem para ISPs dentro do estado para bloquear os
declarar recebimento de conteúdo ofensivo [ ] Embora tais mecanismos técnicos estejam longe de
perfeitos (como é o caso com qualquer tecnologia de fiscalização de fronteiras), eles podem ser suficientemente
eficaz para cumprir o propósito do estado de aplicação.
Os esforços de filtragem também são iniciados na ausência de atividade específica de fiscalização do estado . Por-
filhos criam e impõem seus próprios filtros no ponto de origem para limitar as transferências de conteúdo para o estados
onde o conteúdo filtrado pode resultar em responsabilidade. Os esforços de filtragem podem ser realizados em colaboração
entre atores do setor público e privado.
. . .8 Ordens para pessoas no estado que dirigem a produção de dados sob seu controle se
realizada em sistemas de TI nacionais ou estrangeiros
Os estados também podem solicitar o estado- pessoas residentes para produzir dados sob seu controle, independentemente
da localização territorial do armazenamento de dados.
Tais ordens são especialmente comuns de acordo com as regras processuais que regem a divulgação
(também conhecido como descoberta) de evidências potenciais pelas partes em uma disputa. Aqueles que os encontram-
ser parte de uma disputa que está sujeita à jurisdição de um tribunal estrangeiro deve rapidamente
familiarizar-se com as regras de divulgação obrigatória desse tribunal. Tribunais normalmente não sentem
restringido pela localização de possíveis evidências - apenas que as partes na disputa dis-
feche-o conforme exigido de acordo com as regras do tribunal do fórum.
Mais controversos são os casos em que um estado, muitas vezes no contexto de uma investigação criminal
ou operação de coleta de inteligência, exige a produção de dados sob o controle de um
Estado- pessoa residente que não é alvo de investigação (criminal) ou parte do jurídico (civil)
açao. Os críticos afirmam que tais demandas são inadequadas e o estado deve ser limitado a
envio de solicitações de assistência jurídica internacional (ver Seção ...) Apoiadores discutem
que tais demandas representam um exercício legítimo de jurisdição de execução do estado contra
pessoas presentes dentro do território estadual.
Um dos primeiros exemplos envolveu um programa anteriormente secreto no qual os Estados Unidos exigiam
acesso legal aos registros de transações bancárias mantidos pela SWIFT. Os pedidos para produzir dados
foram dirigidos ao SWIFT residente nos EUA do ces. O não cumprimento das exigências dos EUA pode
resultaram em processos criminais de residentes nos EUA de acordo com as leis dos EUA. Cumprindo com
essas demandas, no entanto, muito provavelmente constituíram uma violação da lei de proteção de dados de
Bélgica (RÁPIDOsede da empresa), entre outros. Notícias do programa vazaram e
criou uma disputa diplomática entre os EUA e a Bélgica (entre outros). Este diplomático
questão foi finalmente resolvida por meio de negociação e acordo sobre o escopo de
futuras operações de investigação [ ]
Outro exemplo conhecido envolveu um pedido feito por uma agência desconhecida do governo dos Estados Unidos
ernment sob a Lei de Comunicações Armazenadas. O governo pediu ao tribunal dos EUA para emitir
um pedido para a Microsoft Corporation nos EUA exigindo a produção do conteúdo de
uma conta de e-mail mantida pela Microsoft em nome de um cliente não identificado que não era
residente nos EUA. O tribunal dos EUA emitiu a ordem para a Microsoft nos EUA, embora o e-mail
A própria conta era mantida em um servidor em um data center em Dublin, na Irlanda. Equipe residente nos EUA
da Microsoft tinha a capacidade tecnológica de acessar o conteúdo do servidor Dublin, e o
ato de produzir os dados solicitados teria sido tecnologicamente trivial. Microsoft perguntou
o tribunal para anular (invalidar) este mandado, geralmente com base no fato de que a lei aplicável dos EUA
não autorizou um pedido deste tipo em relação aos dados armazenados offshore.
Depois de várias escaramuças no tribunal distrital, o Tribunal de Apelações dos Estados Unidos (nd Circuit)
ally anulou a ordem contra a Microsoft na base extremamente restrita de que o Stored Com-
a lei de comunicações (adotada em 86) não reivindicou expressa e inequivocamente a prescrição
https://translate.googleusercontent.com/translate_f 73/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
jurisdição sobre os dados armazenados em equipamentos localizados fora do território dos Estados Unidos [ ,
, ] Esta decisão foi apelada para a Suprema Corte dos EUA, onde foi totalmente informada
e argumentou. Após argumentação, mas antes do julgamento, o Congresso dos EUA em 8 adotou o
CLOUD Act. Esta legislação alterou a Lei de Comunicações Armazenadas para trazer os dados armazenados
em servidores estrangeiros expressamente na jurisdição prescritiva dessa lei, e o governo dos EUA
ernment imediatamente solicitou um mandado de substituição de acordo com a lei revisada. O Supremo
Tribunal, então, indeferiu o recurso pendente sem emitir um julgamento substantivo, como o novo
a lei resolveu qualquer disputa sobre o escopo da jurisdição prescritiva reivindicada pelos EUA
Congresso [ 6]
Estados podem fazer pedidos de assistência de pessoas fora de seu território para reunir
provas em apoio à investigação criminal. Tradicionalmente, essas solicitações são feitas de acordo com
a um tratado de assistência jurídica mútua e são transmitidos pelas autoridades de um primeiro estado ao
autoridade designada de um segundo estado para consideração e possível ação. Tais pedidos
também pode ser feito na ausência de um tratado, embora o segundo estado mantenha a discrição
sobre como escolher responder na ausência de obrigações legais internacionais.
A Convenção de Budapeste (ver Seção ..) impõe uma série de requisitos sobre
estado de tratos fornecer assistência jurídica mútua na investigação de crimes cibernéticos [ ]
A Convenção também estabelece uma série de requisitos relativos à preservação de eventos eletrônicos
identidade, incluindo metadados.
Estado formalPara- estaduais pedidos de assistência jurídica mútua ganharam uma reputação de ser
pesadamente burocrático e lento [ ] Embora existam muitos exemplos de sucesso entre
cooperação nacional na investigação de crimes cibernéticos, observou-se que 'o uso de
mecanismos formais de cooperação ocorrem em uma escala de tempo de meses, ao invés de dias '[ ]
Existem algumas opções disponíveis para reunir evidências transfronteiriças que não envolvem a busca
permissão do estado em que as evidências residem. A Convenção de Budapeste oferece dois
métodos adicionais. As autoridades de um determinado Estado da Convenção A podem reunir evidências de
publicamente disponíveis (fontes abertas) de dados armazenados em um determinado Estado da Convenção B, sem
aviso ou autorização do Estado B [ ] no Artigo a.
Também se diz que o Estado A da Convenção está autorizado a usar um computador no território do Estado A
para acessar dados de uma fonte fechada no Estado da Convenção B se o Estado A 'obtiver o
e consentimento voluntário da pessoa que tem autoridade legal para divulgar os dados '[ ]
no Artigo b. Uma Nota de Orientação formal para a Convenção cita o exemplo de um criminoso
suspeito detido no Estado A que dá consentimento às autoridades do Estado A para acessar seu e-mail
ou documentos armazenados em um servidor no estado B [ 8]
O Artigo b foi amplamente discutido pela Convenção do Conselho da Europa sobre o Cibercrime
Comitê (T-CY). Um subgrupo ad hoc deste Comitê estabeleceu uma ampla discussão
de questões que surgem e exemplos específicos em que o uso desta autoridade pode ser considerado
[ ] O próprio Comitê passou a publicar Nota de Orientação que esclarece a autoridade
concedida pelo Artigo b [ 8]
Os profissionais devem observar que os poderes do Artigo são permissivos, não proibitivos. Se estado A
é incapaz de demonstrar que uma atividade de coleta de evidências proposta está em conformidade com o Artigo
b isso significa apenas que a atividade não está expressamente autorizada pela Convenção de Budapeste.
O artigo da Convenção não proibiria a atividade proposta, embora alguns outros
características do direito internacional público podem. Veja a seção . ..
Os críticos argumentam que o Artigo b constitui uma intrusão indesejável na soberania do Estado . Esta
foi citado por algum estados como uma razão para se recusar a assinar a Convenção de Budapeste ([ ]
na p. , fn. )
https://translate.googleusercontent.com/translate_f 74/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os serviços em nuvem fornecem apenas "uma sensação de independência de localização", em vez da localização real
independência [ ] A localização da infraestrutura de um provedor de serviços e a localização de
pessoas que mantêm controle efetivo sobre essa infraestrutura são importantes para
em que estados podem ser capazes de afirmar a jurisdição de execução exigindo algum tipo
de intervenção com relação a tais dados [ ]
Os usuários de serviços em nuvem estão cada vez mais cientes de que localizar uma instalação de armazenamento de dados
em qualquer estado aumenta esse estadooportunidade de exercer jurisdição de execução sobre
tais instalações. Os profissionais também devem considerar as oportunidades de aplicação da jurisdição antes de
enviado a um estado quando as pessoas dentro de seu território têm capacidade técnica ou organizacional para
acessar ou interferir de outra forma com os dados mantidos na infraestrutura fisicamente fora desse estado.
(Veja a discussão na Seção . .8.) O risco de aplicação pode surgir da geolocalização de
equipamento de armazenamento de dados, ou a localização geográfica de pessoas capazes de acessar tais dados. 6
www.cybok.org
Algum estados dentro do EEE impuseram regras de localização de dados de estado único para certos
tipos de dados sensíveis, proibindo as exportações até mesmo para outros estados- membross do EEE. Possivelmente
em resposta a esta tendência de localização de estado único , a União Europeia adotou um regulamento
em 8 que proíbe as restrições legais dos estados membros à livre circulação de pessoas não pessoais
dados dentro da União. (Ou seja, o regulamento não proíbe o estado membros de adotar
requisitos de localização de dados para dados pessoais.) Este regulamento também inclui vários
cepções para o estado membros que desejam impor requisitos de localização por razões de
importante política pública [ 8]
No trabalho de um profissional de segurança cibernética, a questão da privacidade surge com mais frequência na
texto de vigilância eletrônica e atividade investigatória relacionada, que é o foco deste
seção. Pode-se esperar que esta área do direito continue a evoluir rapidamente em resposta a novos
casos de uso habilitados por serviços de processamento de dados em nuvem.
A lei de proteção de dados é tratada na Seção . e crimes contra sistemas de informação são
considerado na Seção .. A maioria dessas áreas do direito tem origem ou está relacionada à privacidade
conceitos.
A privacidade é amplamente reconhecida internacionalmente como um direito humano, embora não seja um direito absoluto.
O direito à privacidade é condicional - sujeito a limitações e exceções.
A 8 Declaração Universal dos Direitos Humanos afirma no Art que, 'Ninguém deve ser sub-
sujeito a interferência arbitrária em sua privacidade, família, casa ou correspondência ... '[ ] Livre-
dom da interferência com a privacidade se estende apenas a interferência "arbitrária", que claramente
molda a legitimidade da interferência "não arbitrária". Expressões semelhantes, com qual- semelhante
cações, podem ser encontradas no Artigo 8 da Convenção Europeia dos Direitos Humanos e novamente
no artigo da Carta dos Direitos Fundamentais da União Europeia [ ]6
https://translate.googleusercontent.com/translate_f 75/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A aplicação desses princípios aos dados intangíveis evoluiu significativamente durante os anos vinte.
século et. Em 8, por exemplo, a Suprema Corte dos EUA interpretou a Quarta Emenda
www.cybok.org
estritamente como proteger as pessoas apenas de intrusão física em suas propriedades [ ] Quatro
décadas depois, depois que a comunicação eletrônica se tornou uma característica onipresente do dia a dia
vida, o Tribunal alterou a sua posição e re-interpretado a Quarta Emenda para proteger per-
filhos da intrusão injustificada nas comunicações eletrônicas. O 6 Tribunal observou
que leis como a Quarta Emenda têm como objetivo 'proteger as pessoas, não os lugares' [ ]O
direito à privacidade expresso na Convenção Europeia dos Direitos Humanos há muito tempo
se candidatou a comunicações eletrônicas [ ] No início do século XXI, parece
ter se tornado uma norma internacional amplamente aceita de que os direitos de privacidade (sejam eles
interpretado) se aplicam a expressões intangíveis de informação, bem como ao espaço físico [ 6]
Uma determinada pessoaa expectativa de privacidade da empresa pode variar de acordo com a natureza de sua relação
navio com a parte que pretende se intrometer. Por exemplo, tendem a haver poucas restrições im-
colocado por qualquer estadoas leis em relação à intrusão de um pai nos assuntos de seu menor
crianças. Em contraste, estados variam significativamente ao considerar quando é apropriado para
empregadores se intrometam nos assuntos de seus empregados. Neste último contexto, a ONU publicou
li abordagens recomendadas para a aplicação dos direitos humanos em um ambiente de negócios
[ ]
As expectativas de privacidade também podem variar significativamente entre as diferentes sociedades. Uma intrusão
visto por uma sociedade como relativamente inócuo e esperado pode ser visto por outra
sociedade como uma violação dos direitos humanos.
Como as pessoas dependem de serviços em nuvem para gerenciar aspectos cada vez mais íntimos de suas vidas,
as expectativas de privacidade sobre a variedade de dados processados usando esses sistemas continuarão
para evoluir. 6 Os legisladores, prestadores de serviços e organizações da sociedade civil procuram regularmente
para explicar ou ajustar as expectativas de privacidade por meio de educação e defesa.
Um aspecto adicional da privacidade está relacionado aos limites impostos ao grau de intrusão permitida
sion. Em casos de estado- interceptação legal garantida, por exemplo, os mandados podem ser restritos
desenhado para limitar a interceptação a lugares nomeados, equipamentos específicos, pessoas especificadas, ou spec-
catei categorias de pessoas.
As leis de privacidade costumam tratar os metadados de maneira diferente dos dados de conteúdo, geralmente com base no
ory que as pessoas têm uma expectativa menor de privacidade nos metadados [8] 6 Esta distinção é
cada vez mais criticado, e os legisladores e tribunais estão sob pressão para reconsiderar o
natureza dos metadados fornecidos:
• a qualidade privada de algumas informações divulgadas por metadados modernos, como URLs, 6
www.cybok.org
https://translate.googleusercontent.com/translate_f 76/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A segurança é freqüentemente tratada sob regimes jurídicos especializados que são altamente heterogêneos. Há
amplo acordo em direito internacional público datado de meados do século XIX que cada
estado tem o direito de interceptar ou interromper comunicações eletrônicas em circunstâncias apropriadas
posturas [ ] Esses princípios continuam a se aplicar ao ciberespaço [ , 6]
Por outro lado, alguns padrões técnicos para facilitar o acesso legal (como o ETSI LI se-
ries) desenvolveram-se com sucesso numa base multilateral [ 6 , 6] Esses padrões técnicos
dardos possibilitam que desenvolvedores de produtos e serviços projetem tecnologias de acesso legal
obedece a um padrão multinacional comum, enquanto deixa a tomada de decisões substantivas sobre
a sua utilização nas mãos das autoridades nacionais. 6
Os profissionais que trabalham em um ambiente policial ou de segurança do estado devem se familiarizar com
as regras que se aplicam à sua atividade de interceptação. Algumas organizações estaduais empregam grandes
equipes de advogados dedicados exclusivamente a avaliar a legalidade de várias atividades de coleta de informações
e atividades de investigação.
Aqueles que trabalham para provedores de serviços de comunicação também devem se familiarizar com o dever
gações impostas a eles pelas leis aplicáveis para auxiliar na atividade de interceptação do estado . Isso pode
ser especialmente desafiador para provedores de serviços de comunicação multinacionais, pois eles não são
mal sujeito à jurisdição prescritiva de cada estado onde o seu serviço é prestado. 68
Os provedores de serviços muitas vezes localizam a responsabilidade pela conformidade com a interceptação legal por meio de
autoridades nacionais em cada estado onde prestam serviços.
Os regulamentos estaduais relativos à interceptação legal tendem a impor uma combinação de obrigações
sobre os provedores de serviços de comunicações públicas, tais como:
www.cybok.org
Algum estados impor obrigações legais adicionais para manter o sigilo sobre a existência, na-
tura, ou frequência, de solicitações de interceptação legais, o local ou operação de interceptação
instalações, etc. Prestadores de serviços de comunicação que desejam relatar publicamente sobre a natureza
e a frequência das solicitações de interceptação de estado (também conhecidas como relatórios de transparência) deve ter o cuidado de
conduzir este relatório em conformidade com a legislação aplicável. 6
O surgimento de provedores de serviços de comunicação virtual (ou seja, aqueles que fornecem serviços de comunicação
https://translate.googleusercontent.com/translate_f 77/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
serviços de comunicação via infraestrutura de terceiros - ou provedores de serviços 'over the top') criaram
desafios enfrentados para ambos os estadosse prestadores de serviços. Esses provedores de serviço permanecem sub-
jeto à jurisdição do estados em que seu serviço é fornecido, como estados mostram um claro
interesse soberano em serviços prestados a pessoas em seu território. Estados têm, como-
sempre, adotou abordagens diferentes ao escolher como e quando exercer jurisdição sobre
esses provedores. Ações de fiscalização por estados contra tais pessoas incluíram pedidos
para facilitar eminterceptação legal de território correndo o risco de uma variedade de sanções, incluindo:
impedindo o provedor de serviços de estabelecer relações comerciais com residentes no estado,
ou pedido de estado de terceiros- prestadores de serviços residentes para bloquear ou filtrar tais serviços no
Camada PSTN ou IP, tornando-o inacessível para (muitos ou a maioria) dos residentes no estado. Alterar
nas práticas de aplicação são prováveis à medida que este assunto continua a se desenvolver.
Pessoas que fornecem serviços públicos de telecomunicações são frequentemente especificamente restritas
de interceptar comunicações que trafegam em suas próprias redes de serviço público [ , 6]
Isso pode ser enquadrado legalmente como uma restrição imposta apenas aos fornecedores desses serviços públicos
vícios, ou uma restrição mais geral que limita a capacidade de qualquer pessoa de interceptar comunicações
em redes públicas.
Em muitos casos, os esforços para interceptar comunicações durante o trânsito em uma rede de terceiros
também constituem um crime sob as leis anti-intrusão de computador. Esta foi uma motivação significativa
fator na adoção dessas leis (ver Seção .)
dez tratados de forma mais liberal [ 6 ] Finalmente, a atividade de interceptação interna também pode ser limitada por
os termos dos estatutos gerais de privacidade ou leis de proteção de dados (consulte a Seção .)
Recursos disponíveis para pessoas cujos direitos de privacidade foram violados podem incluir a habilidade
a capacidade de intentar uma ação ilícita contra o infrator, reivindicando uma compensação monetária (ver Seção
. .) Essas medidas judiciais individuais são uma característica regular das leis de proteção de dados, bem como
várias leis de privacidade dos EUA. Os tribunais criminais dos EUA também empregam uma regra de exclusão que proíbe
a introdução de evidências coletadas em violação dos direitos constitucionais de privacidade dos EUA de
o acusado [ 68]
. PROTEÇÃO DE DADOS
[ , 8, , ]
Lei de proteção de dados desenvolvida com base na lei geral de privacidade. Esta generalização
pode ser um pouco enganador, no entanto, como a lei de proteção de dados evoluiu para abordar uma série de
questões relacionadas que surgem de técnicas modernas de processamento de dados que podem não ser tradicionalmente
https://translate.googleusercontent.com/translate_f 78/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
foram de nidos como 'privacidade'.
A proteção de dados é de grande interesse para os profissionais de segurança cibernética, pois inclui vários
nossas obrigações relacionadas à segurança de dados. Esta seção se concentrará principalmente em problemas recorrentes
em um contexto relacionado à segurança. A lei de proteção de dados não é, no entanto, um sistema generalizado de registro
ulações que abordam todos os aspectos da segurança cibernética. O foco permanece em princípios específicos
adoptada para apoiar os direitos individuais num contexto de processamento de dados.
A lei de proteção de dados desenvolveu-se principalmente a partir de iniciativas legislativas europeias. europeu
O direito sindical tem tido uma influência tremenda em todo o mundo por meio de vários mecanismos,
incluindo estadoestá buscando 'determinações de adequação' da União Europeia, que permitem
exportações de dados pessoais e requisitos de contrato de direito privado impostos a res-
identificadores de processadores de]dados
Este impacto
[ internacional continua a crescer à medida que a UE agora ex-
reclama de forma premente jurisdição prescritiva sobre a atividade de processamento de dados pessoais em qualquer lugar em
o mundo que se relaciona com os titulares dos dados presentes na UE (ver discussão na Seção ...)
As leis fundamentais que definem as obrigações de proteção de dados na UE são o Regulamento 6/6
- GDPR (regulamento em toda a UE aplicável à maioria das pessoas) e Diretiva 6/68 (obrigações
a ser imposto pelo estado membros no direito interno, no contexto de investigação ou ação penal
ção do crime pelo estado) [ , ] Esta seção trata principalmente das obrigações impostas
www.cybok.org
por GDPR. Profissionais envolvidos por um estado em conduta relacionada à investigação ou processo
do crime deve estar ciente das obrigações modificadas que se aplicam a essa atividade descrita por
Diretiva 6/68 conforme transposta para a legislação do Estado- Membro [ , ]
Na lei de proteção de dados, os termos 'dados pessoais' e 'titular dos dados' são definidos simultaneamente:
dados pessoais significa qualquer informação relativa a uma pessoa natural identificada ou identificável
filho ('titular dos dados'); uma pessoa natural identificável é aquela que pode ser identificada, diretamente ou
indiretamente, em particular por referência a um identificador, como um nome, um número de identificação
ber, dados de localização, um identificador online ou um ou mais fatores específicos para o físico,
identidade fisiológica, genética, mental, econômica, cultural ou social dessa pessoa natural
(GDPR, Arte ( ))
Só pessoa naturals, não pessoa jurídicas, são titulares dos dados. O GDPR não se aplica a pessoal
dados de pessoa natural falecidas, embora estado membros podem adotar individualmente tais
se eles desejarem (GDPR no considerando).
Como a definição de titular dos dados se estende a pessoas que são identi cadas ou identificáveis ,
dados podem incorporar dados pessoais, mesmo quando os dados não incluem nenhuma identificação de informação óbvia
identificação de um titular de dados. É suficiente que um titular dos dados seja capaz de ser identificado, por
qualquer pessoa, por meio da análise dos dados ou da aplicação de informações adicionais conhecidas por qualquer pessoa
filho - mesmo que esta informação adicional seja desconhecida e inacessível para a pessoa que controla
ou processamento de dados. Dados pseudonimizados permanecem dados pessoais (GDPR no considerando 6).
O Tribunal de Justiça da União Europeia considerou que um registo de servidor com o número de endereço IP
bers incorpora dados pessoais, uma vez que continua a ser possível para terceiros (telecomunicações
prestadores de serviços) para combinar números de IP estáticos ou dinâmicos às instalações individuais do cliente
e de lá para uma pessoa viva. Isso fez com que algumas entradas de log do servidor 'estivessem relacionadas a' um sub-arquivo de dados
ject [ 6] O fato de o titular dos logs do servidor não ter acesso ao número IP
os dados de alocação ou identificação do cliente eram irrelevantes.
Como a desanonimização e técnicas de análise semelhantes aumentam a capacidade de identificar pessoas vivas
pessoas a partir de dados sem identificadores pessoais óbvios, torna-se cada vez mais difícil
para manter conjuntos de dados que são realmente desprovidos de dados pessoais [ , 8]
O termo 'dados pessoais' é frequentemente confundido na prática com 'informações de identificação pessoal'
(PII) Essa confusão surge devido à onipresença do termo ' PII'na segurança cibernética também
https://translate.googleusercontent.com/translate_f 79/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
como variação significativa em sua definição.
As definições e discussões detalhadas sobre PII são encontradas na Seção. da ISO / IEC:,
e Seção. de NIST SP-8 - [ , 8] Embora seja discutível se o ISO e
www.cybok.org
As definições NIST de PII são contíguas à definição legal de dados pessoais, ambas as tecnologias
os padrões técnicos concluem claramente que os dados que não contêm identificadores pessoais óbvios podem
no entanto, constituem PII.
Para complicar ainda mais as coisas, a frase 'informações pessoalmente identificáveis' é usada em um va-
riedade dos estatutos e regulamentos federais dos EUA, seja sem definição estatutária ou com definição
nições especificamente dirigidas a casos de uso individuais [ 8 ] 8 Neste contexto específico, alguns
Os tribunais dos EUA interpretaram esta frase de forma restrita para incluir apenas identificadores pessoais óbvios.
Assim, alguns tribunais dos EUA sustentaram que dados como códigos MAC e números IP não caem
dentro do significado de 'informações de identificação pessoal', conforme essa frase é usada em alguns Estados Unidos
estatutos [ 8 , 8 , 8] Conforme explicado acima, esses mesmos identificadores muitas vezes constituem 'per-
dados pessoais », tal como o termo é definido no direito europeu.
Independentemente de como se define PII, A lei europeia de proteção de dados contém uma clara e ampla
definição de 'dados pessoais'. É esta definição de dados pessoais, não PII, isso desencadeia o
aplicação da legislação europeia em matéria de protecção de dados. 8
. . . Em processamento
O processamento, portanto, incorpora quase qualquer ação que se possa imaginar em relação a
dados pessoais.
. . . Controlador e processador
a pessoa física ou jurídica, autoridade pública, agência ou outro órgão que, isoladamente ou em conjunto
com outros, determina as finalidades e meios de tratamento de dados pessoais;
onde as finalidades e meios de tal processamento são determinados pela União ou Mem-
lei estadual, o controlador ou os critérios específicos para sua nomeação podem ser fornecidos para
pela legislação da União ou dos Estados-Membros (GDPR, Arte ( ))
uma pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa pessoal
dados em nome do controlador (GDPR, Art (8))
www.cybok.org
no entanto, os formuladores de políticas começaram a perceber que o foco deve ser voltado para as pessoas em um
https://translate.googleusercontent.com/translate_f 80/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
posição para comandar e controlar como as máquinas eram usadas - controladores.
Entre essas duas pessoas, a Diretiva / 6 tendia a representar o maior ônus regulamentar
den em controladores. Os processadores foram informados de que sua obrigação consistia principalmente em seguir
seguintes instruções fornecidas pelos controladores. Existem muitos motivos válidos para colocar o primário
responsabilidade de conformidade em controladores de dados, especialmente porque eles são mais frequentemente capazes
para comunicar e gerenciar relacionamentos com os titulares de dados relevantes.
Esta distinção regulatória começou a quebrar conforme os serviços em nuvem se tornaram onipresentes -
especialmente SaaS. Um provedor de SaaS típico pode gastar uma enorme quantidade de tempo e esforço
projetar seu sistema e interfaces de usuário e, em seguida, apresentar as características operacionais
desse sistema para os clientes-controladores em um acordo de nível de serviço em um 'pegar ou largar'
base. Por uma questão técnica, o provedor de SaaS pode estar interessado em demonstrar que eles são
agindo apenas na capacidade de um processador e que seus clientes estão agindo como controladores -
transferindo o fardo de avaliar a conformidade para controladores individuais. Nas revisões de dados
lei de proteção incorporada no GDPR, os formuladores de políticas responderam geralmente aumentando o
responsabilidade regulatória dos processadores. A responsabilidade pela conformidade no GDPR agora é mais
igualmente compartilhado por controladores e processadores, embora suas responsabilidades dependam de seus
respectiva área de competência.
• limitação de propósito;
• minimização de dados;
• precisão;
• limitação de armazenamento;
• integridade e confidencialidade.
Os praticantes devem estar especialmente alertas para a presença de certos tipos de pessoas sensíveis
dados em qualquer sistema com o qual estejam envolvidos. Esses dados incluem, 'revelação de dados pessoais-
ter origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas ou sindicatos
adesão, e o processamento de dados genéticos, dados biométricos com o propósito de unicamente
identificando uma pessoa natural, dados relativos à saúde ou dados relativos a uma pessoa físicade
vida sexual ou orientação sexual '(GDPR, Arte ). Dados pessoais confidenciais acionam uma série de
proteções tradicionais e níveis geralmente aumentados de escrutínio regulatório, como o uso impróprio de
esses dados freqüentemente apresentam um risco desproporcional aos interesses do titular dos dados.
O tópico do 'consentimento' na lei de proteção de dados merece um breve comentário, pois continua a ser um assunto
de alguma confusão. Como uma questão de limite, o consentimento do titular dos dados nem sempre é necessário quando
processamento de dados pessoais. Pode haver vários motivos legais para o processamento de pessoal
outros dados além do consentimento, dependendo do contexto. Se o consentimento do titular dos dados for necessário, no entanto,
www.cybok.org
a lei de proteção de dados estabelece um nível muito alto de que isso deve ser 'dado livremente, específico, informado e
indicação inequívoca dos desejos do titular dos dados pelos quais ele ou ela, por uma declaração ou
por uma ação afirmativa clara, assina acordo para o tratamento de dados pessoais relativos
para ele ou ela '(GDPR, Arte ( )). Uma série de condições que se aplicam ao consentimento são estabelecidas em
GDPR, Art (e Art 8 relativo ao consentimento das crianças). 8
Profissionais que realizam atividades com objetivos semelhantes, mas não estão engajados por um estado, permanecer
sujeito ao GDPR. Nesse contexto, no entanto, o GDPR deixa claro que finalidades como fraude
https://translate.googleusercontent.com/translate_f 81/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a prevenção constitui um interesse legítimo dos controladores de dados (GDPR no considerando). GDPR
também fornece estado membros com a opção de adotar em suas leis nacionais dados reduzidos
obrigações de proteção para atores não estatais ao realizar atividades destinadas a prevenir,
investigar, detectar ou processar crimes, etc. (GDPR, Arte ; [ 8] em s. & Sched).
O GDPR expandiu significativamente a discussão sobre medidas de segurança para fornecer exemplos
de medidas que podem ajudar na criação de segurança adequada. Isso inclui muitas práticas anteriores
serviços que se desenvolveram organicamente, como pseudonimização e criptografia de dados pessoais,
garantindo confidencialidade contínua, integridade, disponibilidade e resiliência dos sistemas, e robusto
planos de recuperação de incidentes. Para ser claro, o GDPR não exige expressamente a criptografia de todos os
dados sonais. Ele simplesmente destaca a criptografia como uma medida técnica que pode ser adotada para
aumentar a segurança. Conforme os métodos de criptografia ou outras tecnologias de segurança se tornam padrão-
e os custos caem, no entanto, torna-se cada vez mais difícil justificar por que tais tecnologias
não são adotados.
Os métodos organizacionais usados para proteger a segurança dos dados pessoais podem incluir contrato
obrigações com os parceiros da cadeia de abastecimento e outros. (Veja também as discussões nas Seções
. .6. e .6.)
Embora a certificação de segurança ou a conformidade com códigos de práticas de segurança possam ajudar a
provar a adequação das medidas de segurança, essas certi cações não são dispositivos de
conformidade com a lei (GDPR, Arte ( )).
Se uma nova atividade de processamento de dados pessoais apresentar risco significativo de danos aos titulares dos dados,
especialmente no contexto de desenvolvimento ou migração para sistemas que processam grandes volumes
de dados, o controlador é obrigado a realizar uma avaliação do impacto da proteção de dados (GDPR ,
Art, Recital, et al.). Se a avaliação revelar riscos signi cativos, o controlador é mais
obrigada a consultar a autoridade supervisora relevante sobre o processamento proposto
atividade (GDPR, Art 6).
As transferências de dados pessoais podem ser feitas para territórios de acordo com uma decisão de adequação
sion: uma constatação pela Comissão Europeia de que o território receptor (ou IGO) estabeleceu
lidos proteções legais adequadas em relação aos dados pessoais (GDPR, Arte ). O processo de
a obtenção de uma decisão de adequação é instigada a pedido do estado receptor proposto
https://translate.googleusercontent.com/translate_f 82/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e muitas vezes requer anos de avaliação técnica e negociação diplomática [ ]
As determinações de adequação se enquadram em duas categorias: decisões que as leis de um território receptor
são geralmente adequados para proteger os dados pessoais e as decisões que um território receptor
as leis são adequadas desde que sejam atendidas condições especiais. Decisões relativas ao Canadá
e os Estados Unidos se enquadram na segunda categoria. No caso do Canadá, adequação
só é garantido com relação a transferências para o setor comercial com fins lucrativos, conforme o respectivo
As leis canadenses não se aplicam ao processamento por governos ou instituições de caridade.
A determinação de adequação dos EUA tem uma história difícil. Os EUA não têm nada como a geração da UE
proteções legais generalizadas relativas ao processamento de dados pessoais. Para permitir transferências de dados,
os EUA e a UE negociaram acordos específicos para apoiar um achado de adequação. Esta
acordo permite que a maioria das empresas dos EUA, se desejarem, optem por um sistema regulatório que pro
vides adequação. Este sistema de regulação é então executada por agências dos EUA estado contra
optaram por empresas dos EUA. O sistema original, Safe Harbor, foi invalidado pelo sistema europeu
Tribunal de Justiça em outubro no caso Schrems [ 88] Foi rapidamente substituído pelo
Regime EU-US Privacy Shield em 6, que opera de forma semelhante ao Safe Harbor com
proteções aprimoradas para titulares de dados.
As transferências também são permitidas quando as salvaguardas adequadas são colocadas em prática (GDPR, Art 6).
As salvaguardas mais comuns normalmente encontradas são regras corporativas vinculativas, e ap-
cláusulas comprovadas de proteção de dados em contratos entre exportadores e importadores.
Regras corporativas vinculativas são procedimentos de governança normalmente adotados por empresas multinacionais
em um esforço para demonstrar às autoridades de proteção de dados que cumprirão
princípios de proteção de dados (GDPR, Arte ). Para ser eficaz em conformidade com a transferência de dados, como
as regras devem ser aprovadas pelas autoridades públicas competentes. Isso pode levar anos para ser negociado. Enquanto
tais regras foram originalmente desenvolvidas como uma ferramenta para permitir o compartilhamento de dados pessoais entre os
membros de uma empresa multinacional controladora de dados que opera dentro e fora
o EEE, eles foram mais recentemente adotados por provedores de serviços em nuvem não residentes como um
ferramenta de conformidade para facilitar os negócios de clientes no EEE. Os praticantes podem ser chamados
encarregados de auxiliar na elaboração ou negociação de regras corporativas vinculantes, uma vez que têm um signi cativo
impacto nos serviços de TI, arquiteturas de segurança e procedimentos de governança.
As cláusulas contratuais aprovadas são simplesmente obrigações contratuais entre um importador e exportador de dados
portadores que servem para proteger os interesses dos titulares dos dados. Eles podem ser cláusulas padrão
aprovado para uso pela Comissão, ou cláusulas especiais submetidas às autoridades competentes
para aprovação prévia (GDPR, Artigo 6 () (c) - (d) e 6 () (a)). Embora a Comissão tenha aprovado
as cláusulas são padronizadas, para serem eficazes, as partes do contrato em questão são obrigadas a
incorporar uma quantidade significativa de detalhes operacionais sobre a natureza dos dados pessoais
a ser transferido, as finalidades do processamento de dados a ser realizado, etc.
As transferências de dados pessoais que são proibidas pelo GDPR podem ser feitas em circunstâncias
posturas, como pedidos de assistência por uma agência policial de um estado estrangeiro de acordo com o
termos de um tratado de assistência jurídica mútua (GDPR, Art 8). (Consulte também a Seção ..) Tal
as transferências são tratadas especificamente na Diretiva 6/68, GDPR, Arte - .
Na ausência de qualquer outro mecanismo que permita uma transferência, as exportações do EEE ainda são
permitido em certas circunstâncias limitadas, como:
• a transferência é necessária para a celebração de um contrato com o titular dos dados, ou um contrato
tratado com um terceiro adotado no interesse do titular dos dados;
• a transferência é necessária para proteger a vida ou o bem-estar do titular dos dados, que é físico
https://translate.googleusercontent.com/translate_f 83/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
incapaz de consentir.
Essas derrogações (GDPR, Arte) devem ser interpretados de forma restrita, e o conceito europeu
O Conselho de Proteção de Dados emitiu orientações sobre a interpretação e aplicação destes
medidas [ 8 ]
www.cybok.org
Se tal violação for provável que resulte em um alto risco para os direitos e liberdades da pessoa físicas ',
então o controlador é obrigado a comunicar as circunstâncias da violação ao rel-
assuntos de dados evantes sem atrasos indevidos (GDPR, Arte ( )-( )). Comunicação com os dados
assuntos podem ser evitados se o controlador implementou métodos que limitam os danos que
pode ser causado por tal violação, como criptografar dados que foram então extraídos como ci-
phertext. Embora esse texto cifrado permaneça como dado pessoal para fins legais, o estado criptografado
dos dados reduz o dano potencial ao sujeito dos dados em algum grau (dependendo do
tipo de criptografia, etc.) Esta capacidade de evitar a comunicação com os titulares dos dados quando o dano é
improvável é um recurso útil do GDPR. Muitas leis de notificação do estado dos EUA originalmente exigiam não
identificação dos titulares dos dados, independentemente dos riscos relevantes apresentados pela violação. 8 Supervisão
autoridades retêm o direito de obrigar a comunicação aos titulares dos dados sobre a violação se
eles discordam da avaliação de risco do controlador.
Vários estados ao redor do mundo continuam a adotar leis de divulgação de violação obrigatória, cada
com suas próprias características únicas [ ]
https://translate.googleusercontent.com/translate_f 84/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
As leis de proteção de dados também permitem que os titulares dos dados apresentem ações judiciais por violação de dados.
direitos de proteção. Essas reivindicações implicam o risco de responsabilidade indireta por atos ilícitos do funcionário,
especialmente se um grande grupo de titulares de dados puder apresentar uma reclamação como um grupo ou classe. (Ver
a discussão do caso Morrisons na Seção . . .)
As autoridades de aplicação da lei também têm poderes para enviar avisos de aplicação,
mudanças no comportamento de processamento para alcançar a conformidade com a lei (GDPR, Art 8.) Em
casos particularmente flagrantes, as autoridades públicas podem enviar um aviso proibindo grandes categorias
górias da atividade de processamento. A violação de tal aviso de execução é uma causa independente
para uma ação de fiscalização mais severa.
Talvez a maior mudança no risco legal apresentada pela legislação de proteção de dados da UE nos últimos anos
décadas tem sido o aumento constante e acelerado no tamanho das penalidades avaliadas por
autoridades públicas. (Adotando a terminologia da Seção .., isso aumentou dramaticamente
o termo Q ao longo do tempo.)
Historicamente, nes civis ou administrativos impostos por autoridades públicas por violação de dados
lei de proteção foram percebidos em algum estado membros como relativamente menores. A disparidade em
abordagem entre os estados membross à lei de proteção de dados foi um fator motivador para a adoção
da diretiva original, que tendeu a aumentar os direitos de proteção de dados na maioria
estado membros. Seguindo a Diretiva, nes cada vez maiores começaram a surgir à medida que
as autoridades estaduais começaram a aumentar a pressão de fiscalização. Na época em que o GDPR foi adotado
em 6, nes administrativos na região de €, não eram incomuns para signi cativos
violações da lei.
Uma das características mais discutidas do GDPR diz respeito à autoridade concedida para impor grandes
nes administrativos (GDPR, Art 8). Violações de alguns dos procedimentos mais operacionais ou operacionais
requisitos do GDPR, incluindo o requisito de adotar medidas de segurança adequadas,
pode incorrer em despesas administrativas de até €,, ou% do valor anual mundial de uma empresa
ampla rotatividade, o que for maior. Violações de princípios mais fundamentais do GDPR, tal
como desrespeito aos direitos dos titulares dos dados, processamento de dados pessoais sem
autoridade, ou a exportação de dados em violação da lei, pode incorrer em taxas administrativas de até
€,, ou% do faturamento anual mundial de uma empresa, o que for maior. Au-
as autoridades são instruídas a calcular nes em um nível para torná-los 'eficazes, proporcionais e
dissuasivo 'em circunstâncias individuais. O GDPR lista uma série de fatores atenuantes e agressivos
fatores variáveis a serem considerados ao definir esses nes que valem um estudo mais aprofundado (GDPR ,
Art 8 ()).
O surgimento no GDPR do potencial para 'oito figuras' e 'nove figuras', juntamente com
o aumento do escopo da jurisdição territorial, promoveu instantaneamente a lei de proteção de dados para o
categoria de risco significativo a ser avaliado e gerenciado em níveis de liderança sênior - a
posição que esta lei raramente ocupava antes dessas mudanças. Algumas pessoas que fornecem
serviços de informação online de fora da UE (que presumivelmente temem que seus negócios
modelos não são compatíveis com conformidade com o GDPR ) respondeu retirando-se do Euro-
mercado global usando mecanismos de filtragem geográfica (consulte a Seção ...) Outro offshore
prestadores de serviços abraçaram a mudança e trabalharam para cumprir as regras (presumir
que valorizam o contacto permanente com o mercado europeu).
www.cybok.org
. CRIME VIRTUAL
[ , , ]
O termo 'cibercrime' é frequentemente usado para identificar três categorias diferentes de atividade criminosa:
crimes em que a infraestrutura do ciberespaço é apenas uma instrumentalidade de alguma outra tradição
crime internacional (por exemplo, fraude financeira), distribuição de conteúdo criminoso (por exemplo, pornografia e ódio
https://translate.googleusercontent.com/translate_f 85/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
discurso) e crimes dirigidos contra a própria infraestrutura do ciberespaço (por exemplo, intrusão ilegal
em um sistema de computador).
Esta seção é dirigida exclusivamente à última categoria, crimes informáticos ou crimes contra
sistemas de informação. Estes tendem a ser motivo de preocupação, pois são do interesse de quem trabalha
para as autoridades de aplicação do estado , bem como aqueles que gerenciam o risco de segurança cibernética, pesquise
tecnologias de segurança cibernética e desenvolver produtos e serviços de segurança cibernética.
O Parlamento do Reino Unido respondeu adotando a Lei de Uso Indevido de Computadores, que definiu um
série de infrações criminais relacionadas a computadores. Esta lei foi posteriormente alterada de
tempo ao tempo [ ]
Em 8, o Congresso dos EUA aprovou a Lei de Fraude e Abuso de Computador, que também foi
regularmente alterado [ 6, ] 8 Muitos estados dos EUA também adotaram seus próprios estatutos
para processar crimes de informática. A paisagem dos EUA é especialmente complexa, como uma variedade de
eral e agências de aplicação da lei estaduais têm jurisdição de assunto variável sobre
crimes de computador ][
Leis semelhantes foram adotadas por muitos, mas não todos, estadoss em todo o mundo. O Conselho
da Convenção da Europa sobre Crime Cibernético (também conhecida como Convenção de Budapeste) é um tratado multilateral
que teve um impacto significativo na harmonização das leis e regras de crimes de informática
assistência internacional do estado [ ] A Convenção foi aberta para assinatura em, e como
de julho foi ratificado por um estado membros do Conselho da Europa e não
Estado europeus incluindo Canadá, Japão e Estados Unidos [ 8]
www.cybok.org
Em, a União Europeia adotou a Diretiva /. Isso exige que o estado membros
modificar suas leis criminais para lidar com crimes informáticos comumente reconhecidos que o Di
Rectiva descreve como crimes 'contra os sistemas de informação' [ ]
Esta seção introdutória sobre crimes contra os sistemas de informação é influenciada pelo imposto
onomia adotada pela Convenção de Budapeste e posteriormente refletida na Diretiva /. Al-
embora esses dois instrumentos jurídicos internacionais sejam citados repetidamente, os profissionais devem
tenha em mente que eles são instrumentos de direito internacional público e crimes relevantes são
de nido por, e processado de acordo com a legislação nacional de cada estados.
Leis impróprias de acesso ao sistema criminalizam o ato de acessar um sistema de computador (no todo
ou em parte) sem o direito de fazê-lo, conhecido coloquialmente como hacking. (Convenção de Budapeste
no art. ; Diretiva / art.) The Computer Misuse Act do Reino Unido em s. , por exemplo,
define como criminosa a ação de uma pessoa que faz com que um computador execute um ato com
a intenção de proteger o acesso não autorizado a qualquer programa ou dados [ ] Assim, o mero ato de
inserir uma senha em um sistema sem autorização em um esforço para acessar esse sistema
constitui um crime ao abrigo da lei do Reino Unido, quer o acesso seja ou não conseguido com sucesso.
Persiste algum debate sobre como distinguir ações legítimas de ilícitas nos casos
onde uma pessoa autorizada excede o escopo da permissão concedida a eles.
Os críticos argumentam que uma interpretação excessivamente ampla de termos legais como 'acesso não autorizado'
pode produzir processo criminal com base apenas na violação de uma política de uso aceitável ou web-
termos e condições do site. Isso pode servir para redefinir como crime o que de outra forma poderia ser
uma quebra civil de reivindicação de contrato [ ] A questão permanece aberta à discussão em algumas circunstâncias
posturas [ , , , ]
https://translate.googleusercontent.com/translate_f 86/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Interferência imprópria com dados
A interferência inadequada do sistema com as leis de dados criminaliza o ato de exclusão inadequada,
danificar, deteriorar, alterar ou suprimir 'dados. (Convenção de Budapeste no Art.; Di
retetiva / no Art.) Estas leis podem ser usadas para processar ações como liberação ou
instalação de malware, incluindo ransomware.
As primeiras leis de crimes de computador tendiam a se concentrar no ato de intrusão em um sistema de computador, ou
modificar indevidamente o conteúdo desses sistemas. Com o surgimento de DoS e DDoS
ataques, algumas dessas primeiras leis criminais foram consideradas inadequadas para lidar com este novo
comportamento ameaçador.
Essas leis agora incluem mais comumente uma proibição contra atos que causam um material
degradação do desempenho de um sistema de informação. (Convenção de Budapeste no Art.;
Diretiva / no art; Ato de uso indevido de computador em s. , conforme alterado em - 8.)
www.cybok.org
Muitas vezes, como corolário de vários direitos de privacidade, muitos sistemas jurídicos definem o ato de
interceptar totalmente as comunicações eletrônicas como um crime. (Convenção de Budapeste no Art.; Di
retetiva / no Art. 6.) As regras e penalidades tendem a ser mais restritivas no contexto
de interceptar comunicações durante o curso de sua transmissão em redes públicas.
Este assunto é discutido na Seção ..
Muitos estadoss também definem como crimes a produção ou distribuição de ferramentas com a intenção
que são usados para facilitar outros crimes contra os sistemas de informação. (Budapeste Conven-
ção no art. 6; Diretiva /, Art; Lei de Uso Indevido de Computador, s. A.) Essas leis podem
criar desafios para aqueles que produzem ou distribuem ferramentas de teste de segurança, conforme discutido em
Seção . ..
Este tipo de exceção de minimis à definição de crime informático está longe de ser universal.
Membro da UE estados permanecem livres para criminalizar tais atos de minimis . No momento em que este artigo foi escrito, o
A legislação do Reino Unido não contém essa exceção de minimis .
A própria ideia de uma exceção de minimis para crimes contra sistemas de informação levanta uma
impedindo o debate sobre a natureza do dano que esses tipos de leis procuram reparar. Não é
sempre claro como avaliar o dano ou risco relativo causado por qualquer ato dado contra
sistemas de formação. Para alguns atos criminosos, como intrusão remota em uma fábrica de produtos químicos
sistema de controle industrial o risco apresentado ou dano causado é evidente, pois o ataque é
concentrado contra um alvo único e volátil. Em outros, como controlar as ações de
um botnet multinacional que compreende dezenas de milhares de máquinas subornadas, o risco criado
ou os danos causados podem ser amplamente difundidos entre os bots e mais difíceis de quantificar.
https://translate.googleusercontent.com/translate_f 87/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para processar uma questão criminal. Algum estados estabeleceram orientações para explicar como este dis-
crição é exercida [ ]
As penalidades por cometer um crime contra os sistemas de informação variam amplamente. Em casos criminais
as penas privativas de liberdade são frequentemente delimitadas por lei por um máximo e, ocasionalmente, por um mínimo,
duração do mandato. Dentro desses limites impostos pela política, os juízes geralmente recebem um amplo grau de
discrição para decidir uma frase apropriada.
De acordo com a Lei de Uso Indevido de Computadores do Reino Unido, por exemplo, uma sentença de prisão para o crime de im-
o acesso adequado ao sistema é normalmente limitado a um máximo de dois anos, enquanto o crime de
www.cybok.org
interferir nos dados ou integridade do sistema é normalmente limitado a um máximo de cinco anos. Prós-
história de acusação e sentença sugere que sentenças reais emitidas sob a lei do Reino Unido
A ilação para esses crimes raramente, ou nunca, é tão grave. Em contraste, nos EUA, tanto federal quanto
as leis estaduais têm consistentemente previsto sentenças máximas de custódia mais longas de anos
ou mais para intrusão ilegal ou interferência ilegal nos dados. 6
A questão da punição adequada para crimes contra os sistemas de informação continua a ser o
objeto de revisão e debate. O surgimento da Internet das Coisas provavelmente aumenta
o risco que esses crimes podem representar para a vida e propriedade. Diretiva da UE /, para exame-
ple, requer que o estado membros prevêem a possibilidade de penas privativas de liberdade mais longas
quando os ataques são direcionados contra a infraestrutura nacional crítica ou quando eles realmente causam
danos significativos (Art (b) - (c)). O Reino Unido alterou sua Lei de Uso Indevido de Computadores em (s. ZA)
para aumentar a sentença de custódia máxima disponível se os criminosos forem provadosn ter cre-
risco signi cativo ou causou danos graves. Essa pessoa agora pode estar sujeita a
uma pena máxima de prisão de anos. Nos casos em que o ato criminoso causa (ou cre-
riscos signi cativos de) sérios danos ao bem-estar humano ou à segurança nacional, o máximo
A pena privativa de liberdade ao abrigo da lei do Reino Unido aumenta para prisão perpétua (v. ZA ()).
Continuam as discussões sobre as punições adequadas para crimes contra os sistemas de informação.
Este debate é complicado por dificuldades em compreender ou quantificar o grau de risco
ou o grau de dano causado por esses atos criminosos. (Veja a discussão na Seção ..)
Um exemplo pode ser encontrado no Investigatory Powers Act 6 do Reino Unido, que afirma que
atividades conduzidas com autoridade legal nos termos dessa lei são 'legais para todas as outras
fins '[ 6 ] em ss.6 () - (), 8 (), (), 6 (), (8). Em outras palavras, ações em conformidade
ança com um mandado emitido de acordo com a 6 legislação não constituirá um crime contra
sistemas de informação sob a Lei de Uso Indevido de Computadores etc. 8
Atos patrocinados pelo Estado de investigação remota na infraestrutura do ciberespaço localizada em for-
estado estranhos são considerados na Seção . ..
https://translate.googleusercontent.com/translate_f 88/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 111 O Conhecimento em Segurança Cibernética
www.cybok.org
• teste de estresse convidado de ambientes WAN ao vivo , na medida em que isso degrada por-
execução da infraestrutura operada por terceiros que desconhecem os testes
plano;
Com relação às ferramentas de teste especificamente, a lei tende a criminalizar a produção ou distribuição
ação somente quando o estado puder provar a intenção de facilitar outras violações da lei. Esta
ato criminoso pode ter menos a ver com as características operacionais da ferramenta de teste do que
a intenção subjetiva da pessoa que o está produzindo ou distribuindo.
Em algum estados, os pesquisadores podem ser capazes de demonstrar a falta de responsabilidade criminal por
estes atos sob algum tipo de exceção de minimis , se houver uma disponível (veja a discussão
na seção . .)
Alguns podem descansar na crença de que pesquisadores 'legítimos' serão salvos de responsabilidade criminal
como resultado da discrição do estado de se abster de investigar ou processar criminoso de mimimis
atos, intervenção judicial ou do júri para que os acusados não sejam culpados, ou se forem considerados culpados, por meio de
a imposição de apenas uma punição simbólica. Esta situação é bastante insatisfatória para a prática
responsáveis que tentam avaliar a potencial responsabilidade criminal decorrente de um caso contrário cuidadosamente
esforço de pesquisa ou desenvolvimento gerenciado por risco.
Mesmo se os profissionais encontrarem exceções apropriadas nas leis relevantes sobre crimes contra
sistemas de informação, eles também devem ter o cuidado de considerar se suas ações iriam contra
stitute crimes sob outras leis, como privacidade generalizada ou leis de proteção de dados.
Essas ações vêm com o risco de potencialmente violar a lei criminal. Pessoas perseguindo estes
as estratégias também devem estar cientes de possíveis responsabilidades ilícitas (consulte a Seção .)
Várias tecnologias servem para limitar o uso de software. Implementando um sistema que claramente
divulga a um usuário que a operação requer a entrada prévia de uma chave de ativação única é normalmente
não contencioso e é ativamente encorajado por certos aspectos da lei de direitos autorais (consulte a Seção
.8. .) Da mesma forma, os provedores de SaaS geralmente não enfrentam sanções ao suspender o acesso
a um cliente que encerra a relação de serviço ou deixa de pagar suas taxas de serviço.
Os problemas surgem quando um fornecedor (por qualquer motivo, incluindo o não pagamento da licença prometida
taxas de censura ou manutenção) instala um mecanismo de bloqueio em um produto de software após o fato
sem acordo do cliente. Também são problemáticos os casos em que o software é vendido como um produto
https://translate.googleusercontent.com/translate_f 89/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uct contém um dispositivo de bloqueio de tempo não revelado que mais tarde suspende a funcionalidade (no caso
de falta de pagamento ou de outra forma). Esses tipos de intervenções não divulgadas ou post-facto têm
uma história de ser processado como crime contra os sistemas de informação e de outra forma crítica
identificado como sendo contra a política pública, independentemente de o fornecedor em questão ter ou não um legítimo
direito de ação contra o usuário final pelo não pagamento das taxas de licença [ , ]
. .6. Hack-back
Hack-back é um termo usado para descrever alguma forma de contra-ataque lançado contra cy-
infra-estrutura berspace da qual um ataque parece ter se originado. Esta estratégia é
frequentemente considerado no contexto de um ataque que parece se originar de um estado estrangeiro ,
e a cooperação do Estado estrangeiro é considerada improvável ou extemporânea. Ações de hacker
pode consistir em um ataque DoS, esforços para invadir e desabilitar a infraestrutura de origem
tura, etc.
A atividade de hacker, por sua vez, se enquadra diretamente na definição de crimes contra a informação.
sistemas de cação [ ] Tal ação pode ser processada como um crime pelo estado onde o
pessoa que está realizando o hack-back está localizada, o estadoonde as máquinas costumavam conduzir
os hack-back estão localizados, ou o estado em que o alvo do hack-back está localizado. Além disso
ao risco de processo criminal, um hack-back (se suficientemente agressivo) poderia servir como o
base ao abrigo do direito internacional para o estado do alvo de hack-back para tomar contra-
medidas contra a pessoa que realiza o hack-back ou contra outra infraestrutura utilizada
para conduzir a operação de hack-back - mesmo que o hack-back em si não seja diretamente atribuível
para o estado hospedeiro (consulte a Seção .)
Muitos têm debatido a adoção de exceções na lei especificamente para permitir hack-back por não-estatais
atores [ , 6, , 8] Esses tipos de exceções propostas ainda não foram favorecidas
com os legisladores.
.6 CONTRATO
[ , 8]
O termo 'contrato' descreve uma relação jurídica (nocionalmente) volitiva entre dois ou mais
pessoas. Uma definição extremamente ampla de contrato é simplesmente 'uma promessa de que a lei
fazer cumprir '[ ]
Infelizmente, a palavra 'contrato' é frequentemente usada coloquialmente para descrever uma comunicação que
incorpora e expressa promessas contratuais (por exemplo, um pedaço de papel, e-mail ou fax). Esta
confusão deve ser evitada. Um contrato é uma relação jurídica, não um pedaço de papel. Em alguns
circunstâncias, a lei aplicável pode, excepcionalmente, impor a exigência de que algum contrato
obrigações devem ser incorporadas em uma forma específica (consulte a Seção .)
Esta seção discutirá alguns tópicos de contrato de interesse recorrente para a prática de segurança cibernética
cionadores.
Por exemplo, sob a lei da Inglaterra, um contrato geralmente existe apenas quando as partes têm
comunicou uma oferta e uma aceitação (constituindo coletivamente a suficiência de comunicação
nicação), apoiado por consideração e uma intenção de criar relações jurídicas (coletivamente
constituindo indícios de executoriedade).
A maioria dos sistemas de common law, por padrão, colocaria o tempo de formação do contrato para
transações de linha na última dessas quatro vezes - o momento em que Alice recebe Bob's
aceitação.
Os praticantes são encorajados a não limitar esses quatro momentos distintos no tempo, mesmo quando eles
parecem ser instantâneos. Os projetistas do sistema devem considerar o impacto de uma perda ou
transmissão interrompida e, consequentemente, o projeto técnico deve ser cuidadosamente mapeado em
processo de negócio relevante. 6
Uma questão perene no design de sistemas online diz respeito ao momento preciso em
pelo que pode ser dito que Alice ou Bob 'recebeu' uma comunicação. A União Europeia
tentou resolver isso no Artigo da Diretiva de Comércio Eletrônico [ ] Esta
exige a adoção de uma regra de que 'ordens' e 'confirmações' de ordens são geralmente
considerados recebidos no momento em que se tornam acessíveis à parte receptora
(por exemplo, quando a aceitação é recebida no log do servidor de comércio online de Alice ou no IMAP de Bob
le). 8 Essa regra pode ser alterada por acordo contratual nos sistemas de comércio do BB.
O valor dessas cláusulas na gestão do comportamento da cadeia de abastecimento, no entanto, vale a pena
exame. Considere o custo de risco ponderado para uma parte contratante de violação dos termos de
tal cláusula (introduzida na Seção .. como R). Em uma ação judicial por quebra de contrato, o
A parte executora normalmente permanece responsável por provar que a violação causou
danos, bem como a quantidade de danos financeiros sofridos pela parte executora como resultado de
a violação (consulte a Seção .6.) No caso de falha da parte infratora em cumprir com um
obrigação de manter uma certificação de segurança de terceiros, por exemplo, pode ser difícil ou
impossível para a parte executora provar que qualquer dano financeiro advém de tal violação
(reduzindo assim efetivamente o termo Q a zero).
Um valor às vezes esquecido dessas cláusulas contratuais surge bem antes do acordo
é feito. O processo de inserção e negociação dessas cláusulas pode funcionar como uma
técnica de diligência. Uma parte da negociação obtém informações sobre o vencimento e as operações
capacidade internacional do parceiro proposto da cadeia de suprimentos durante as negociações.
Muitas plataformas de pagamento ou negociação eletrônica de alto valor ou alto volume requer pessoas
para celebrar contratos de participação antes de usar a plataforma. Esses sistemas podem ser gen-
Geralmente referidos como sistemas 'fechados': eles constituem um clube que deve ser associado contratualmente
para permitir que os membros negociem uns com os outros. Esses contratos de associação normalmente adotam
https://translate.googleusercontent.com/translate_f 91/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
regras abrangentes relativas às formas de comunicação, equipamentos conectados e o
timing para a nalidade das transações. Eles também normalmente especificam a adoção de certos
padrões de identidade, protocolos de autenticação, etc. O contrato de adesão é, portanto, um direito privado
mecanismo que é usado para impor certos padrões de segurança entre os membros. (Ver
também Seção . ..)
cometeu fraude com cartão. Diante de consequências nanceiras tão drásticas, a contratação
as partes podem trabalhar excepcionalmente arduamente para cumprir os padrões de autenticação obrigatórios.
Ao considerar os padrões PCI DSS , por exemplo, o US Fair and Accurate Credit Transac-
ação de [ ] na seção ordena regras de truncamento específicas relativas ao pagamento
números de cartão exibidos em recibos impressos fornecidos no ponto de venda. Assim, os comerciantes
sujeito à lei dos EUA deve considerar estes requisitos de lei pública, bem como PCI DSS, e aqueles
que desejam modificar os padrões PCI DSS devem fazê-lo de uma maneira que simpatize com
os requisitos externos impostos a esses comerciantes pela legislação dos EUA. (Algum estados tomaram
a etapa adicional de adoção dos termos do PCI DSS em suas leis.)
No caso de serviços de transferência de fundos, o direito público também estabelece uma estrutura para equilibrar o
direitos e responsabilidades dos provedores e usuários de serviços de pagamento que incluem
erar a adequação dos mecanismos de autenticação. Exemplos podem ser encontrados em artigos e
() da Segunda Diretiva de Serviços de Pagamento da UE (PSD), conforme implementado nas leis de
estado membros [ ], e Artigo A § do Código Comercial Uniforme, conforme implementado
nas leis dos estados dos EUA [ ]
As limitações à liberdade das partes de se desviarem das normas de direito público em contrato são mais
discutido nas Seções .6. e .6..
• Qualidade objetiva dos bens. O vendedor do produto promete que as mercadorias entregues serão
ser objetivamente satisfatório para um comprador normal, dadas todas as circunstâncias do
transação.
• Qualidade subjetiva dos produtos. O vendedor do produto promete que as mercadorias entregues serão
ser suficiente para atender ao propósito subjetivo de um comprador individual, seja ou não
os produtos foram originalmente fabricados para o fim a que se destinam. Para esta garantia
para aplicar, o comprador é normalmente obrigado a divulgar o propósito específico do comprador
https://translate.googleusercontent.com/translate_f 92/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
com antecedência para o fornecedor. Como resultado, este termo raramente é discutido no contexto de
dard sistemas de comércio online, que muitas vezes não permitem a comunicação não estruturada
entre o vendedor e o comprador em relação aos casos de uso pretendidos.
• Qualidade objetiva dos serviços. O prestador de serviços promete que exercerá os devidos cuidados
no processo de entrega do serviço.
Após consideração, uma distinção significativa emerge entre a qualidade dos bens e serviços
garantias de vícios. A conformidade com as garantias dos produtos é avaliada examinando os produtos
fornecido. Uma garantia de que os produtos serão objetivamente satisfatórios é violada se os produtos forem
pobre - sem levar em conta o cuidado tomado pelo fornecedor na fabricação, fornecimento ou inspeção
bens de consumo. Por outro lado, uma garantia de que um provedor de serviços tomará os devidos cuidados é avaliada por
examinar as ações, quali cações e metodologia do prestador de serviço. É possível para um
prestador de serviços para cumprir uma garantia de devido cuidado e ainda produzir um produto que é
comprovadamente pobre ou impreciso. (A base desta distinção entre produto e serviço
está se tornando cada vez mais difícil à medida que as pessoas confiam mais nos serviços em nuvem como um
substituto para produtos. (Consulte também a discussão na Seção ..)
Embora várias leis impliquem essas garantias padrão em contratos como uma coisa natural,
é comum - quase universal - para fornecedores de informações e comunicações
tecnologias e serviços para tentar excluir estes termos por acordo expresso. Esforços
para excluir essas proteções de garantia de linha de base são vistos com suspeita sob o contrato
leis de vários estadoss. Como uma proposição geral, é mais difícil e muitas vezes impossível
para excluir essas proteções de linha de base de contratos de formulário padrão com o consumidors. No
No contexto dos contratos do BB, no entanto, as regras que permitem essas exclusões tendem a ser mais liberais.
Tal como acontece com a exclusão dos termos de garantia implícitos, as limitações e exclusões de responsabilidade são
visto com suspeita na maioria dos sistemas de direito contratual. Mais uma vez, limitações e ex-
clusões de responsabilidade são mais fortemente desfavorecidas ao contratar com o consumidors. Regras
permitir essas exclusões e limitações tende a ser mais liberal nos arranjos do BB.
Permanece uma questão em aberto até que ponto a exequibilidade relativa dessas
limitações e exclusões encorajam ou desencorajam os comportamentos do desenvolvedor ao abordar
aspectos relacionados à segurança de produtos e serviços de TIC [ ]
https://translate.googleusercontent.com/translate_f 93/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Em caso de violação de contrato, vários recursos fornecidos pelos tribunais para não violação
as partes normalmente se enquadram nas seguintes categorias: 6
• Danos. Ordene que a parte infratora pague danos monetários ao não infrator
parte que são suficientes para restaurar a expectativa nanceira líquida de que a parte prejudicada
pode provar foi previsivelmente perdido como resultado da violação. Este é o rem mais comum
edy disponível. Uma parte não violadora muitas vezes é obrigada a tomar medidas para mitigar
danos e a falha em mitigar podem servir para reduzir uma sentença de indenização em conformidade.
• Recisão. Declarar que o contrato está encerrado e desculpar a parte não violadora
de desempenho posterior. Este é um remédio mais extremo, normalmente reservado para casos
em que a violação é muito grave. Alternativamente, os termos do contrato podem especificar
legislar para remediar a recisão em circunstâncias definidas.
• Desempenho específico. Ordene que a parte infratora cumpra sua promessa (não monetária).
Isso também é considerado um remédio extremo. Este remédio é frequentemente reservado para situações
quando a parte infratora pode tomar uma ação relativamente simples que é altamente significativa
para a parte não violadora (por exemplo, cumprir uma promessa de entregar uma fonte já escrita
código ou para executar uma cessão de propriedade de direitos autorais que subsistam em uma entrega
capaz).
Os remédios descritos acima são normalmente de natureza cumulativa. Assim, uma parte pode tanto
solicitar a recisão e reclamar por danos como resultado de uma violação.
www.cybok.org
No contexto da busca de uma solução por violação, a regra da privacidade do contrato (geralmente encontrada
nos sistemas de direito consuetudinário) normalmente restringe a execução do contrato apenas ao contato
partidos. Se Alice e Bob celebram um contrato e Alice quebra, sob a doutrina da privacidade
Normalmente, Bob é a única pessoa que pode tomar medidas legais contra Alice por quebra de contrato.
Charlie, por não ser parte, normalmente não pode tomar medidas contra Alice por quebra de contrato, mesmo
se Charlie foi prejudicado como resultado da violação. Charlie pode, no entanto, ser capaz de levar
ação contra Alice sob a lei de responsabilidade civil, conforme discutido na Seção .. Em cadeias de suprimentos complexas,
Bob pode ser capaz de atribuir o benefício dos direitos do contrato (como garantias) a Charlie.
(Mesmo em sistemas de direito consuetudinário, existem circunstâncias em que as partes podem conferir expressamente
direitos contratuais nas mãos de terceiros.)
Se Alice for uma fornecedora de serviços e deseja limitar sua responsabilidade potencial às pessoas que dependem
sobre os resultados desses serviços, uma limitação contratual de responsabilidade pode não ser eficaz
contra uma pessoa não contratante como Charlie, que depende de seus serviços, mas não é privada
de contrato com Alice. Esta incapacidade de limitar a responsabilidade a partes não contratantes é recorrente
consideração no desenvolvimento de serviços de confiança, em que terceiros que contam com a confiança
os certificados podem não ter relação contratual direta com o emissor do certificado. (Veja o dis-
discussão na Seção ..)
https://translate.googleusercontent.com/translate_f 94/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Assim, vemos na lei europeia uma preferência de política básica para aplicar por padrão a lei onde
o vendedor ou criador de mercado é residente, sobre a lei onde os compradores ou licitantes podem ser
residente.
Contratos com consumidors. Quando uma das partes de um contrato transfronteiriço é um consumidor ,
as regras são geralmente modificadas para fornecer proteção adicional para o consumidor. Em dis-
putes em um tribunal de foro da União Europeia, por exemplo, se o fornecedor internacional de produtos
ou serviços exerçam sua atividade comercial no lugar do consumidorresidência de, ou 'di-
retira tais atividades para aquele país ou para vários países, incluindo aquele país ', então o
as seguintes regras especiais geralmente se aplicam:
• Se não houver escolha expressa de lei no contrato, a lei aplicável será a lei de
o consumidorresidência habitual de. Art 6 ().
• Se alguma outra lei foi expressamente escolhida, essa escolha de lei não pode privar o
consumidor de proteções legais exigidas pela lei do consumidorresidência de. Arte
6 ().
Embora os exemplos específicos acima sejam extraídos da legislação europeia, eles representam
princípios que ocorrem regularmente em outro estados que enfrentam questões de conflito de leis no consumidor
disputas contratuais.
. TORT
Um ato ilícito é qualquer dano civil que não seja uma violação de contrato. Ao contrário da responsabilidade contratual, responsabilidade civil
não é necessariamente baseada em uma relação volitiva entre a pessoa que comete
um delito (um 'causador do delito') e a pessoa prejudicada por essa ação ilícita (uma 'vítima').
Esta seção abordará algumas das doutrinas de responsabilidade civil mais comuns que devem ser consideradas
por profissionais de segurança cibernética. Dois atos ilícitos substantivos de interesse (negligência e produto
responsabilidade) será examinada com algum detalhe, juntamente com uma série de doutrinas de responsabilidade civil mais gerais
https://translate.googleusercontent.com/translate_f 95/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tais como causalidade e repartição de responsabilidades. Direitos de ação concedidos às vítimas sob
outros regimes de matéria jurídica (por exemplo, proteção de dados, difamação, propriedade intelectual,
etc) também são caracterizados como atos ilícitos e conceitos gerais de delito (consulte as Seções . ,
. . , . . & . .6) frequentemente se aplicam a eles também.
www.cybok.org
.. Negligência
A maioria dos sistemas jurídicos reconhece a ideia de que as pessoas na sociedade têm um certo dever para com os outros
na condução de suas atividades. Se uma pessoa falha em cumprir este dever, e a falha causa
dano à vítima, a vítima geralmente tem o direito de intentar uma ação judicial contra o causador do delito
para compensação financeira.
Os sistemas jurídicos reconhecem implicitamente que uma pessoa nem sempre é responsável por todos
do tempo. Algumas limitações no escopo da responsabilidade são normais. As cortes da Inglaterra,
por exemplo, disse que uma pessoa (Alice) tem o dever de cuidar de outra (Bob) em respeito
de uma determinada atividade se três condições forem atendidas:
. é razoavelmente previsível para Alice que sua ação (ou omissão) pode causar danos a
pessoas em uma posição semelhante a Bob; e
. com relação à ação (ou inação) de Alice, no geral, parece justo e razoável
que pessoas como Alice sejam responsáveis perante pessoas em uma posição semelhante a Bob.
Embora esta regra tripla não seja apresentada como uma norma multinacional, ela ilustra o
proposição geral de que o âmbito da responsabilidade civil devido a terceiros como resultado da negligência
gence é limitado. 8
'Previsibilidade' de dano é usada rotineiramente como um mecanismo para limitar o escopo da responsabilidade em
lei de negligência. A previsibilidade é normalmente medida por referência a se um ob-
uma pessoa jectivamente razoável teria previsto o dano. Um tortfeasor não está isento de lia-
bilidade devido à falta de imaginação, falta de planejamento ou um esforço afirmativo para evitar considerar
vítimas potenciais.
Isso levanta uma série de questões relacionadas sobre possíveis deveres de cuidado no contexto de
segurança cibernética, alguns dos quais são apresentados na Tabela .. O objetivo da Tabela . é meramente
considerar alguns dos tipos de relacionamento que podem criar um dever de cuidado sob
lei.
As leis de negligência são tremendamente flexíveis. Como dano causado por falha de segurança cibernética seja-
vem cada vez mais previsível, parece provável que os tribunais interpretem cada vez mais o
conceito de dever de cuidado para abranger várias obrigações relacionadas à segurança cibernética devidas a
um grupo mais amplo de vítimas [ 6]
https://translate.googleusercontent.com/translate_f 96/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Quando esta Realiza esta atividade Considere se o potencial causador do delito tem o dever de
potencial de uma forma irracional cuidar dessas vítimas em potencial:
tortfeasor: maneiras:
Fazer decisões Terceiros não relacionados que sofrem danos quando mal-intencionados
sobre os tipos de se- atores comprometem as medidas de segurança da empresa e
curidade a ser adotada. usar a TI da empresa para lançar ataques progressivos;
Desenvolvedor de Implementando Stan- Comerciantes que adotam o software de servidor da web para online
rede servidor dard criptográfico comércio;
Programas. proto de comunicação
cols. Provedores de SaaS que adotam o software de servidor web para
a prestação de serviços diversos a clientes;
Navegador da web Selecione% s confiança de raiz Pessoa naturals que usam o navegador da web.
desenvolvedor. certificados para instalação
em sua teia
navegador.
Se uma pessoa (Alice) tem o dever de cuidar de outra pessoa (Bob) na conduta de um determinado
atividade, surge a questão de se Alice violou ou não (falhou em cumprir) seu dever de
Prumo. A formulação desses dois elementos juntos - 'violação de um dever de cuidado' - é normalmente
sinônimo de 'negligência'.
https://translate.googleusercontent.com/translate_f 97/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Um padrão típico usado para avaliar a conduta é examinar se Alice agiu ou não em um
forma objetivamente razoável. Na lei clássica da negligência, pessoas como Alice não são obrigadas a
um padrão de perfeição. A responsabilidade é baseada na falha. Ao avaliar a falta, os tribunais costumam fazer
uso de recursos retóricos, como a "pessoa razoável" objetivamente situada de forma semelhante.
Como uma estrutura para medir a conduta, o padrão de pessoa razoável provou observação
habilmente resiliente e flexível ao longo do tempo. Os profissionais de segurança cibernética geralmente convergem com opiniões
sobre se uma determinada ação relacionada à segurança cibernética (ou inação) foi objetivamente razoável ou
irracional. Mudanças na tecnologia, desenvolvimento de novos métodos etc. podem servir para
revisar opiniões sobre a definição do que constitui conduta de segurança 'razoável'.
Há uma tentação de considerar 'conduta razoável' com esforços para definir os chamados 'melhores
prática'. Avanços rápidos na tecnologia da informação (por exemplo, a queda do custo de processamento de ca-
capacidade) rotineiramente alteram o panorama da segurança cibernética. Mudanças perturbadoras no meio ambiente
(por exemplo, a mudança para a nuvem, o surgimento de big data, o nascimento da Internet das Coisas)
pode desestabilizar rapidamente a sabedoria recebida.
O altamente respeitado Juiz Learned Hand dos EUA alertou sobre isso em duas decisões famosas de
meados do século XX. Respondendo a um operador de um navio de carga oceânico que
argumentou que a falta de um rádio em funcionamento na embarcação não constituía conduta "irracional",
O juiz Hand observou no caso TJ Hooper em que 'a prática comum não é a mesma
como prática razoável '[ , 8] Embora o operador da embarcação estivesse em conformidade com
prática da indústria dos Estados Unidos, o juiz Hand expressou claramente a ideia de que as mudanças na tecnologia
A geografia e o ambiente circundante devem estimular o reexame de métodos e atividades.
Quinze anos depois, no caso Carroll Towing , o juiz Hand anunciou uma definição de
conduta razoável que pode ser útil para avaliar se o momento chegou ou não
adotar um determinado método de operação. Ele raciocinou que quando o fardo (custo) de tomar
uma determinada precaução é menor que: () a probabilidade de perda na ausência dessa precaução,
multiplicado por () o valor da perda a ser evitada, então a ação 'razoável' é adotar
aquela precaução [ 8 , , ] Sua decisão estabelece um tipo de teste de custo-benefício, embora em
neste caso, o custo (o 'fardo' da precaução potencial) que seria incorrido por Alice (o
pessoa que tem o dever de cuidar) é comparada a um benefício (ou seja, reduzindo o risco ponderado
custo de uma perda potencial) desfrutado por Bob (a pessoa ou conjunto de pessoas em situação semelhante a
a quem esse dever de cuidado é devido).
A doutrina da 'negligência per se ' às vezes é adotada pelos tribunais para avaliar a conduta. Usando
esta doutrina, a vítima argumenta que a conduta do culpado deve ser considerada irracional
capaz porque essa conduta violou uma lei pública ou norma técnica amplamente adotada. Se Al-
gelo faz acesso não autorizado ao computador de Bob (um crime, conforme discutido na Seção .) e
causar danos a esse computador ou outras partes da infraestrutura de Bob, como resultado, Bob poderia
alegar que Alice é negligente, por si só . Esta doutrina já foi defendida junto com
reivindicações de negligência padrão em ações legais decorrentes de incidentes relacionados à segurança cibernética [ ]
Esta doutrina pode se tornar cada vez mais útil para as vítimas como resultado do aumento dos padrões
ção e regulamentação no campo da segurança cibernética. O mero ato de definir e adotar
padrões de segurança podem, portanto, influenciar os tribunais à medida que eles buscam quadros técnicos de referência
Outra doutrina que pode ser útil na análise de falhas de segurança cibernética é a da ' res ipsa
loquitur '(isto é,' a coisa fala por si mesma '). Usando esta doutrina, uma vítima que poderia de outra forma
têm dificuldade em provar a natureza precisa da ação que causou o dano, afirma que a maioria
inferência apropriada a ser extraída das circunstâncias circundantes é que o acusado
tortfeasor assume a responsabilidade. Esta doutrina tende a ser usada contra pessoas que são
supostamente para manter o controle sobre processos arriscados ou perigosos que, de outra forma, causariam danos.
Um exemplo típico pode incluir uma ação legal contra um cirurgião após um instrumento cirúrgico
é descoberto no corpo de um paciente pós-operatório, ou um animal selvagem escapa de um zoológico.
Independentemente da capacidade da vítima de provar um lapso de cautela, a inferência mais adequada
ser tirado das circunstâncias é uma falta de cuidado devido. (Portanto, a coisa fala por si.)
No campo da segurança cibernética, pode-se imaginar um caso em que essa doutrina é aplicada em um
ação legal contra uma pessoa que cria uma nova forma de malware para fins de pesquisa, apenas
perder a contenção. 6
Doutrinas semelhantes à negligência per se e res ipsa loquitur podem ser definidas em alguns
sistemas como regras relativas à razoabilidade da conduta, ou podem ser de nidos como regras de
evidências - aliviar a vítima de parte ou de todo o ônus de provar uma conduta irracional, ou
transferindo o ônus para o alegado autor do delito de provar uma conduta razoável. (Veja a discussão
de evidências na Seção . ..)
https://translate.googleusercontent.com/translate_f 98/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Embora não sejam normalmente considerados sob a rubrica da lei de negligência, outras leis
que influenciam a prática de segurança cibernética de ne a conduta "razoável" dentro de sua esfera de
competência. Um exemplo é encontrado na lei de transferência de fundos expressa no Artigo A § (c)
do Código Comercial Uniforme, conforme adotado pelos estados dos EUA [ ]
Embora a estrutura apresentada acima para definir 'falha' seja geralmente bem recebida pelo departamento jurídico
sistemas na maioria das economias desenvolvidas, isso não deve ser confundido com um acordo sobre como
interpretar ou aplicar esses padrões.
Da mesma forma, os praticantes são advertidos de que atos potencialmente ilícitos cometidos em um estado
pode ser avaliada pela interpretação dos padrões de cuidado adotados por outro, mais de-
mandando, estado. (Veja a discussão na Seção .6.)
Neste tipo de responsabilidade, o foco da análise se afasta de qualquer noção de 'falha' por parte do
tortfeasor e passa, em vez disso, para um exame do produto alegadamente defeituoso. Responsabilidade
é geralmente avaliada sem levar em conta o grau de razoabilidade usado na produção,
examinar ou selecionar produtos para venda. Este tipo de responsabilidade objetiva é encontrado em todo o
leis dos estados dos EUA e está incorporado nas leis domésticas dos estados membros da UE como
exigido pela Diretiva 8 / [ , ]
A maioria das autoridades acredita que o software, como tal, não se enquadra nas várias definições de
'produto' aplicável de acordo com tais leis. 8 Mesmo assim, sob a lei de responsabilidade do produto existente
um defeito em um componente de software pode ser a fonte de um defeito em um produto no qual
está instalado. A responsabilidade desse tipo decorrente de falhas de segurança cibernética provavelmente aumentará
como dispositivos de controle físico estão cada vez mais conectados a serviços de dados remotos, apresentando
mais riscos relacionados à segurança cibernética à vida e à integridade física.
Um ciberespaço- produto conectado (por exemplo, um veículo autônomo, um sistema de controle industrial
tem, um marca-passo, um veículo com capacidade y-by-wire, um termômetro doméstico operado remotamente
stat) que não fornece a segurança adequada, é defeituoso se a segurança está comprometida
por meio de falhas em sistemas elétricos, mecânicos, de software ou de segurança. Assim, produto estrito
responsabilidade pode ser implicada em casos de lesões pessoais ou danos materiais se a segurança
do dispositivo conectado é comprometido por meio de erros na tomada de decisões operacionais (por exemplo,
um veículo autônomo opta por desviar para o tráfego em sentido contrário após interpretar mal a estrada
marcações) ou erros na segurança cibernética (por exemplo, uma autenticação incorreta ou implementada incorretamente
esquema permite que um hacker remoto comande o mesmo veículo para desviar para o tráfego que se aproxima.
c, para abrir as comportas em uma barragem, ou para alterar a configuração de um termostato doméstico para um risco de vida
temperatura).
https://translate.googleusercontent.com/translate_f 99/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A causalidade é um dos conceitos mais difíceis de definir na lei. Autoridades diferentes tomam
pontos de vista diferentes sobre quando é apropriado responsabilizar um promotor de delitos quando ele é reivindicado
que a ação ilícita A produziu dano B. A vítima muitas vezes é obrigada a provar a causa-
na verdade, como um primeiro passo. Este conceito também é expresso como "mas para" causalidade, porque pode
ser testado usando a declaração lógica: 'Mas para a ação ilícita A, o dano B não teria
ocorreu. ' A responsabilidade às vezes pode ser eliminada, mostrando que um determinado dano teria
ocorreu independentemente de um ato ilícito [ , 6]
A causalidade de fato, entretanto, muitas vezes não é suficiente por si mesma para provar a responsabilidade. Surgem dificuldades
ao analisar cadeias de causalidade mais complexas onde a ação tortuosa A causa resultado
X 1 , que por sua vez causa o resultado X 2 , ..., que por sua vez causa o resultado X n , que por sua vez causa
prejudicar B. À medida que a ligação entre A e B se torna cada vez mais atenuada, os formuladores de políticas e
os juízes lutam para definir os limites da responsabilidade da pessoa que comete o ato ilícito.
Dificuldades semelhantes surgem quando a 'última causa' em uma combinação de atos negligentes causa danos
que é significativamente desproporcional ao último ato negligente individual, como resultado de mais
graves lapsos de julgamento por parte de atores anteriores. As abordagens adotadas para resolver este problema incluem
limitar a responsabilidade do causador do delito a danos que sejam razoavelmente previsíveis [ ]
A definição mais restrita de causalidade exigida pela lei de responsabilidade civil pode ser referida usando termos como
como 'causalidade legal' ou 'causação próxima'.
Provar que um dano específico foi causado por um incidente de segurança cibernética específico pode ser ex-
tremendamente desafiador. Para dar um exemplo comum, uma pessoa física cujos dados de identificação
foi comprometido pode achar difícil ou impossível provar que os dados perdidos em um determinado
evento de violação de dados são a fonte dos dados usados posteriormente por agentes mal-intencionados para transportar
fraude por meio de falsificação de identidade. As leis de notificação de violação de dados ajudam a corrigir o desequilíbrio
evidência disponível para as vítimas nestes casos, mas mesmo assim, a vítima deve provar uma
ligação causal de uma violação específica ao evento de fraude. Uma exceção notável é a perda nanceira em
curado após uma violação de dados de cartão de pagamento, como a causa de perdas de fraude subsequentes
pode ser facilmente inferido de um evento contemporâneo de violação de dados. Esses casos criam outros
desafios conforme discutido na Seção . ..
.. Quantum de responsabilidade
A consideração do impacto da lei de responsabilidade civil na atividade relacionada à segurança cibernética é incompleta com
considerando quantum de responsabilidade. (Consulte a seção ..) Estado diferentes têm diferentes ap-
trata de definir o que constitui dano legalmente reconhecível para fins de responsabilidade civil. UMA
a vítima normalmente é obrigada a provar o valor nanceiro do dano causado por um ato ilícito.
Em casos que envolvem ferimentos pessoais, o valor do dano é frequentemente calculado por referência a
medidas de fácil compreensão como: perda de salário sofrida pela vítima devido à sua incapacidade
para o trabalho, os custos incorridos pela vítima para tratamento médico, reabilitação ou cuidados de enfermagem,
custos de instalação de instalações de acomodação para uma vítima permanentemente ferida, etc. Alguns
estados também permitem compensação por danos em casos de ferimentos pessoais que são mais difíceis de
https://translate.googleusercontent.com/translate_f 100/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
quantificar, como dor e sofrimento, angústia emocional, etc.
Um problema recorrente em casos de negligência é se a vítima pode ou não se recuperar por isso.
chamado de perda econômica pura. Há uma divergência na lei sobre esta questão. Um caso principal
na Inglaterra, a perda econômica causada por uma referência de crédito mal considerada.
fornecido por um banco ao seu cliente. Embora a perda (a subsequente incapacidade do cliente de
cobrar uma dívida comercial de seu cliente insolvente) era de natureza puramente econômica, o inglês
tribunal decidiu que deveria ser recuperável porque o banco professou habilidade especial (nanceira
consciência), e a vítima confiou na declaração de admiração em seu detrimento [ 8]
Um número crescente de casos foi movido com base em segurança cibernética negligente que
reivindicar perdas além de ferimentos pessoais ou danos à propriedade. Alguns tribunais já exibiram
manifestou a disposição de conceder indenizações sob a lei de negligência às vítimas cujas perdas
são de natureza puramente econômica [ 6] Outras ações judiciais (resolvidas pelas partes antes do julgamento)
envolveram reivindicações substanciais por perdas econômicas baseadas em negligência na segurança cibernética.
Provar dano legalmente reconhecível pode ser desafiador para algumas vítimas que poderiam de outra forma
deseja tomar medidas legais com base em falhas de segurança cibernética. Um exemplo diz respeito à perda
de privacidade. Há muitos argumentos sobre como quantificar (financeiramente) o dano causado por
violação de privacidade, a menos que a vítima tenha algum interesse comercial ou econômico que seja diretamente
prejudicado como resultado.
Em resposta a esses tipos de dificuldades em provar danos, alguns afirmams adotaram especí c
leis que fornecem uma lista de danos que podem ser reivindicados sem a necessidade de quantificar
ferir. Um exemplo é encontrado na Lei de Privacidade de Informações Biométricas do Estado de Illinois, que
prevê que qualquer parte prejudicada por uma violação do ato pode tomar medidas legais e recuperar
US $, por violação (por negligência) ou US $, por violação (por violação intencional)
violações) dos mandatos da lei. 6 Da mesma forma, a lei de direitos autorais dos EUA permite que alguns proprietários de direitos
para recuperar danos mínimos usando uma tarifa legal.
Alguma jurisdiçãos, notadamente os estados membros dos Estados Unidos, estão preparados para conceder 'puni
danos passivos '(conhecidos em alguma jurisdiçãocomo 'danos exemplares') em alguns casos de delito.
Esses prêmios têm como objetivo punir e deter o mau comportamento. Esses prêmios podem ser dispensados
proporcional em comparação com a sentença arbitral pelo dano sofrido pela vítima. Exame-
os casos em que um tribunal pode conceder indenizações punitivas mais comumente incluem casos em que o
tortfeasor demonstra um padrão de mau comportamento repetido, ou o tortfeasor fez
decisões operacionais relevantes com indiferença grosseira à vida humana ou sofrimento humano.
https://translate.googleusercontent.com/translate_f 101/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Responsabilidade indireta
Existem circunstâncias em que a responsabilidade de um causador de delito pode ser atribuída a um segundo
filho. A situação comumente encontrada na segurança cibernética é a responsabilidade pelo ato ilícito de
um empregado atribuído ao seu empregador. Este tipo de responsabilidade indireta se aplica quando o ato ilícito
compromete-se no decurso de uma relação de trabalho.
A responsabilidade indireta é uma responsabilidade objetiva. Uma vez que a vítima provaé que o funcionário cometeu um ato ilícito
que causou danos relevantes e então provars que o delito foi cometido dentro do curso
de emprego, o empregador torna-se estritamente responsável pelo delito subjacente. Pedidos do
empregador sobre tomar precauções razoáveis, exigir treinamento razoável, devida diligência
na contratação ou no desvio do funcionário dos padrões de emprego, geralmente são ineficazes
contra reclamações de responsabilidade indireta.
O Tribunal de Apelação da Inglaterra em 8 afirmou uma reivindicação de responsabilidade vicária apresentada em um dado
ação de delito de proteção. Em Wm Morrison Supermarkets PLC vs Various Requerentes , os dados con
troller Morrison foi processado por vários titulares de dados após um funcionário de auditoria interna descontente
publicou dados salariais de funcionários em violação da lei de proteção de dados. Esses-
tratamento de cura de dados de salário caiu dentro do campo de operação com o qual o funcionário foi
confiada e, portanto, o delito foi cometido pelo funcionário no âmbito do em-
relação de emprego, levando assim a responsabilidade vicária [ ] No momento da escrita, esta decisão
está pendente de recurso no Supremo Tribunal do Reino Unido. 8
O único método confiável para evitar a responsabilidade indireta é encorajar o comportamento dos funcionários que
limita ou evita atividades tortuosas. Isso é digno de consideração por aqueles que desenvolvem e
aplicar políticas de uso aceitáveis, padrões de segurança de pessoal, políticas de emprego, etc.
. . . Responsabilidade solidária
Nos casos em que mais de um causador de delito pode ser considerado como tendo causado danos a uma única vítima,
a responsabilidade civil muitas vezes impõe responsabilidade solidária. A doutrina é simples: qualquer responsabilidade conjunta
O culpado de responsabilidade civil pode ser obrigado a pagar% dos danos atribuídos à vítima. Apesar
o autor do delito que satisfaça a reivindicação financeira da vítima pode ter o direito de buscar indenização
(também conhecido como 'contribuição') de outros promotores, isso se torna problemático quando o
tortfeasors não têm recursos nanceiros ou são residentes em estado estrangeiroé onde não há
método eficaz de fazer cumprir esses direitos.
Os profissionais podem querer considerar o impacto desta regra ao trabalhar com a cadeia de abastecimento
parceiros ou joint ventures que são pequenos, não têm muito capital ou são residentes em um país estrangeiro
estado onde a execução de decisões domésticas pode ser problemática.
. . . Defesas afirmativas
Outra categoria de defesa que pode ser útil em vários contextos de segurança cibernética inclui
'assunção de risco' ou 'consentimento'. Nesse tipo de defesa, o causador do ato ilícito evita a responsabilidade por prover
que a vítima estava ciente ou consentiu conscientemente com os riscos que acabaram por causar
o dano. Este tipo de defesa pode ser especialmente útil para quem fornece segurança cibernética
serviços que podem causar danos à infraestrutura do cliente, como teste de penetração. Praticantes
muitas vezes elaboram documentos de compromisso comercial com o objetivo de tentar satisfazer um dos
essas defesas no caso de algo dar errado durante o noivado.
https://translate.googleusercontent.com/translate_f 102/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No que diz respeito à responsabilidade estrita do produto, muitos afirmams oferecem uma defesa chamada de 'estado da arte'.
Onde essa defesa for permitida, uma parte pode evitar a responsabilidade objetiva, provando que um produto, al-
embora defeituoso, foi produzido em uma época em que o estado da arte tecnológico não
permitiram a descoberta do defeito. É discutível como esta defesa pode se aplicar a produtos
produtos com defeito como resultado de erros de segurança cibernética. De maior signi cância, talvez,
é a defesa afirmativa contra a responsabilidade objetiva por um produto defeituoso disponível se o
a parte defensora pode provar que o defeito está presente devido ao cumprimento de leis ou regulamentos
em relação ao design do produto.
Em termos gerais, os tribunais que examinam reivindicações de responsabilidade civil entre pessoas em diferentes estadostende
adotar um dos dois métodos mais frequentemente usados para decidir qual lei aplicar: aplicar a lei
do local onde se originou o ato ilícito ou aplica-se a lei do local onde ocorreu a lesão
foi sofrido. Historicamente, pode ter sido difícil encontrar casos em que esses dois eventos
ocorreram em diferentes estados. O comércio moderno, no entanto, produziu uma série de casos
onde os dois eventos podem ser amplamente separados por espaço e tempo.
Em disputas ouvidas em tribunais em toda a União Europeia, a lei aplicável em uma ação civil
(com algumas exceções) é a lei do local onde o dano foi sofrido. (Roma II, Arte
().) Nos casos de responsabilidade do produto, as regras são um pouco mais complexas e a legislação aplicável
pode ser o local de residência habitual do lesado, o local onde o produto estava
adquiridos, ou o local onde ocorreu o dano. (Roma II, Art.)
As regras acima fornecem um indicador razoável do risco de ocorrência de falhas de segurança cibernética.
www.cybok.org
anel devido a ações realizadas no Estado A, e, posteriormente, causando danos a pessoas no Estado
B, poderia facilmente se tornar passível de análise de responsabilidade sob a lei de responsabilidade civil do Estado B. Assim
profissionais (e seus empregadores) podem ser considerados para um padrão mais elevado de atendimento imposto por um
Estado estrangeiro onde são encontradas vítimas de cibersegurança negligente ou produtos IoT defeituosos.
(Veja, por exemplo, a discussão sobre responsabilidade na Seção ..)
A complexidade da lei de propriedade intelectual levou um jurista dos Estados Unidos do século XIX a com-
mento de que este assunto está mais próximo da 'metafísica do direito'. Metafísica ou não, intel-
A propriedade intelectual pode servir para restringir ou encorajar ações de profissionais de segurança cibernética.
Esta seção resumirá alguns pontos onde os dois campos se cruzam.
Os direitos de propriedade intelectual não dão ao proprietário o direito afirmativo de tomar qualquer ação
imaginável com o assunto. Uma determinada ação (por exemplo, combinar seu próprio código com outro
de terceiros, práticas abusivas de licenciamento de propriedade intelectual) podem infringir direitos intelectuais de terceiros
direitos de propriedade ou responsabilidade decorrente do direito da concorrência, entre outros.
Direitos de propriedade intelectual registrados (por exemplo, patentes e marcas registradas) são concedidos
em um estado-por estado, seguindo a aplicação a uma agência estadual apropriada , muitas vezes segue-
exame por estado dos oficiais. Direitos de propriedade intelectual não registrados (por exemplo, direitos autorais)
geralmente surgem sem qualquer necessidade de intervenção por parte dos funcionários estaduais .
https://translate.googleusercontent.com/translate_f 103/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O termo 'domínio público' freqüentemente causa confusão. No campo da lei de propriedade intelectual, 'pub-
domínio lic 'refere-se a uma obra na qual não subsiste nenhum direito de propriedade intelectual atual. Por contraste,
a frase 'domínio público' também é usada coloquialmente para indicar uma falta (ou perda) de confidencialidade.
ity. Para distinguir estes dois, se um trabalho escrito original confidencial for posteriormente publicado
o conteúdo torna-se conhecido publicamente. A confidencialidade foi perdida. Este trabalho, no entanto, pode
ainda serão protegidos por direitos autorais, a menos que esses direitos sejam expressamente renunciados. Em contraste, se
uma pessoa que escreve software, então declara que está colocando o código 'no público, faça-
main 'esta declaração é freqüentemente tratada como uma renúncia irrecuperável dos direitos autorais. O termo
deve ser usado com cuidado.
www.cybok.org
O escopo dos direitos autorais é geralmente considerado limitado à expressão de uma ideia, em vez
do que a própria ideia. Assim, os direitos autorais no código do software normalmente protegem apenas o código como
escrito e não a funcionalidade do produto de software resultante. Proteção de funcionalidade
geralmente é a província dos direitos de patente.
O prazo dos direitos autorais é, pelos padrões das TIC, extremamente longo. Obras literárias são normalmente pro
proteção vitalícia do autor e mais anos após sua morte. Embora o termo de copyright
a proteção concedida ao software de computador pode ser menor do que isso, ela permanece suficientemente longa
que a expiração do prazo de copyright é improvável de se aplicar a qualquer software relevante encontrado
administrado por um profissional de segurança durante sua vida.
A violação de direitos autorais normalmente consiste em atos como cópia, transmissão, exibição
ou traduzindo uma parte signi cativa da obra protegida. Provar que um trabalho viola o
os direitos autorais incorporados em uma segunda obra exigem prova de cópia. A cópia pode ser inferida de
pontos de semelhança suficientes entre as duas obras - não há necessidade de provar o conhecimento
de cópia pelo acusado. Uma infinidade de técnicas forenses foram desenvolvidas ao longo do
curso de décadas para avaliar a violação do código-fonte do software.
A responsabilidade por violação de direitos autorais às vezes pode ser evitada por meio de vários 'uso justo' ou
limitações do 'tratamento justo'. Estes são definidos de forma diferente de estado para estado.
https://translate.googleusercontent.com/translate_f 104/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
.8. . Patentes
Uma patente é um direito de propriedade intelectual registrado, concedido em um estado-por estado base seguir-
aplicação e exame. As patentes destinam-se a proteger uma invenção que é nova e
que também inclui uma característica distintiva adicional diversamente descrita por estados
como um 'passo inventivo', um personagem 'não óbvio' ou algo semelhante. Esta etapa inventiva re-
quirement é um dispositivo de política usado para limitar a proteção de patentes para invenções que são significativas
de alguma forma, ao invés de trivial. 8 novas invenções que seriam óbvias para um
normalmente é negada a proteção de patente a pessoas versadas na técnica relevante.
Os estados definem expressamente um assunto adicional que não pode ser reivindicado como uma patente
invenção. Exclusões comuns de interesse especial para profissionais de segurança são software, como
tal , e uma ideia ou fórmula matemática, como tal . Invenções que incorporam estes, como-
sempre, pode ser matéria patenteável em circunstâncias apropriadas.
O sistema de patentes dos EUA mudou sua abordagem para patentes de software nas últimas décadas
e está cada vez mais receptivo a eles. Mesmo estados que rejeitam teoricamente o conceito de soft-
As patentes de software concedem regularmente patentes sobre invenções incorporadas ao software. Em outro
Por outras palavras, as patentes de software (em termos grosseiros) são uma característica regular do domínio das TIC.
Invenções relacionadas à segurança cibernética que parecem ser puramente matemáticas ou de algoritmo
rítmico (por exemplo, métodos criptográficos) pode ser objeto de proteção de patente conforme incorporado
em vários dispositivos - incluindo dispositivos habilitados por software. Aspectos de historicamente signi cativos
as invenções de criptografia foram protegidas por patentes, incluindo DES, Dif e-Helman, e
RSA [ ] Embora as patentes dessas inovadoras invenções criptográficas tenham agora
expirou, o campo da inovação em segurança cibernética permanece inundado com patentes e patentes pendentes
formulários [ , , ]
O preço de uma patente é pago de duas formas: dinheiro e divulgação pública. Os aplicativos são
caro para processar e caro para manter. O processo de navegação internacional
aplicação e exame são suficientemente complexos que a assistência especializada (cara) é
sempre aconselhável e muitas vezes fundamental para o sucesso. Além de aplicação e exame
taxas pagas ao estados, aqueles que recebem uma patente são obrigados a pagar taxas periódicas para
manter a patente ao longo de sua vida.
Além do custo monetário, a divulgação pública é uma característica central do sistema de patentes. O
o pedido de patente deve divulgar como a invenção funciona de uma maneira que possibilite um
praticante técnico qualificado para replicá-lo. O pedido e a patente concedida, juntos
com a correspondência de exame, normalmente é publicado para permitir estudos futuros.
O prazo de uma patente é normalmente anos a partir da data do pedido. Patentes são tipicamente
submetido a um processo de exame que pode levar anos para ser concluído. Quando uma patente é
concedido, o titular do direito normalmente tem o direito de tomar medidas legais retroativamente para
infrações ocorridas após o pedido, mas antes da concessão, mesmo que a infração
mento ocorreu antes da publicação do pedido. A validade de uma patente pode ser
questionado após a concessão e este é um método comum de defesa contra violações legais
açaos.
A violação de uma patente normalmente consiste em atos como fabricação, distribuição, violação
portar, exportar ou vender um produto ou serviço que incorpore a invenção reivindicada. Prov-
violação envolve uma comparação forense do dispositivo ou serviço acusado com o
invenção conforme reivindicado na patente concedida. Não há necessidade de um titular de direito provar que
a invenção foi copiada da patente ou de qualquer produto. Muitas pessoas que infringem
Patentes relacionadas a TIC o fazem inicialmente sem qualquer conhecimento de produtos de terceiros ou patentes
https://translate.googleusercontent.com/translate_f 105/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
direitos.
.8. . Marcas Registradas
As marcas registradas geralmente são registradasdireitos de propriedade intelectual, concedidos em um estado-por estado
base após a aplicação.
Uma marca registrada é um símbolo ou sinal usado para distinguir os negócios ou produtos de uma pessoa de
de outro. As marcas registradas mais comuns consistem em palavras ou figuras. 6 marcas registradas
são concedidos dentro de categorias de uso NED, o que significa que é possível para dois diferentes per-
filhos tenham direitos exclusivos de uso do mesmo símbolo em diferentes ramos de negócios.
O objetivo das marcas registradas é reduzir a possibilidade de confusão para aqueles que adquirem
bens ou serviços, e para proteger o investimento na reputação da empresa fornecedora
esses bens ou serviços.
As marcas registradas normalmente são registradas por um período de anos, embora esses registros possam
ser renovado indefinidamente.
A violação de uma marca registrada normalmente consiste na exibição de uma marca idêntica ou
marca fusivelmente semelhante em combinação com produtos ou serviços que se enquadram na marca registrada
âmbito de exclusividade. 8 Provar a infração envolve comparar o sinal acusado com o
marca registrada e avaliando se os dois são idênticos ou confusamente semelhantes.
Não há nenhum requisito para provar que a parte acusada tem conhecimento real do registro
marca registrada protegida.
A infração de marca registrada pode ocorrer por meio do uso de um nome de domínio idêntico ou confuso.
muito semelhante a uma marca registrada. Isso cria tensões bem conhecidas, pois os nomes de domínio são (por
de nição) globalmente exclusivas, enquanto as marcas registradas não são. Para provar que o uso de um nome de domínio
constitui violação de uma marca registrada, os proprietários dos direitos normalmente devem provar que
o nome de domínio é idêntico ou confusamente semelhante à marca, e que o nome de domínio
é utilizado no fornecimento de bens ou serviços dentro do escopo de uso exclusivo definido no
registro de marca comercial.
As marcas de certificação são um tipo de marca comercial que é usada para demonstrar conformidade com
um determinado padrão. 6 Essas marcas são registradas por um organismo de normalização, que então concede li-
cências de uso da marca sujeitas à conformidade com a norma pertinente. Qualquer pessoa que
fornece bens ou serviços relevantes com a marca que não está em conformidade com os
padrão arrisca ação legal por violação de marca.
Uma marca coletiva é uma marca registrada que é usada para identificar os membros de uma associação, como
como uma sociedade profissional. Tendo registrado a marca coletiva relevante, a sociedade pode levar
ação contra aqueles que o usam sem autorização, e revogar a autorização daqueles
cuja filiação cessou.
Os segredos comerciais eram tradicionalmente protegidos pela lei geral de responsabilidade civil, dando às pessoas que
tentado a manter seus segredos o direito de tomar medidas legais contra aqueles que inadequadamente
imediatamente obtido, usado ou divulgado esses segredos. Conforme o século XX avançava, uma tendência
surgiu para aumentar a proteção legal de segredos comerciais. A posição de cada estado dos EUA
foi significativamente harmonizado desde os anos 8, e o governo federal dos EUA adotou
a Lei de Espionagem Econômica 6 como uma lei nacional de segredos comerciais para impedir o roubo de segredos comerciais
[6, ] A União Europeia harmonizou significativamente a sua abordagem aos segredos comerciais com
efeito de 8 [ 8]
https://translate.googleusercontent.com/translate_f 106/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
do algoritmo PageRank do Google e vários algoritmos criptográficos proprietários.
Manter a confidencialidade é um elemento central da proteção de um segredo comercial. Segredos comerciais podem
ser protegido indefinidamente, desde que o sigilo seja mantido. 6 Infelizmente, a perda de comércio
cretas por meio de atos de espionagem cibernética industrial é considerada generalizada e deveria ser
uma fonte de grande preocupação para os profissionais de segurança cibernética [ ] Perda de confidencialidade de
assunto patenteável pode ser especialmente prejudicial, como a publicação de detalhes inventivos por
um terceiro antes do pedido de patente normalmente destrói a patenteabilidade (como a invenção então
deixa de ser 'novo').
Os proprietários de direitos de segredos comerciais podem normalmente tomar medidas legais contra pessoas que se aplicam indevidamente
apropriar seus segredos. Em algumas circunstâncias, os proprietários de um segredo comercial também pode tomar legal
ação contra terceiros que recebem um segredo comercial de um apropriador indevido (ver dis-
cussão na Seção .8. .)
Aqueles que violam as proibições legais contra tecnologias anti-evasão para fins comerciais
vantagem ou ganho financeiro, enfrenta uma sentença máxima de acordo com a lei de direitos autorais dos EUA de anos para
uma primeira ofensa e anos para uma segunda ofensa. 6 De acordo com a lei de direitos autorais britânica, uma pessoa que
fabrica, importa, distribui, etc., um dispositivo destinado a contornar essas proteções
enfrenta uma sentença máxima de anos. 6
Algum estados classificar a apropriação indébita de um segredo comercial como crime. Os EUA
adotou uma lei criminal nacional de segredos comerciais em 6 [ ] Essas leis podem servir de base
(não necessariamente o único) para o processo criminal de atividade de espionagem industrial.
Algum estados não definam a apropriação indébita de segredos comerciais como crime. 6
Um detentor de direitos é normalmente capaz de intentar uma ação legal contra uma pessoa por violação de inteligência
propriedade intelectual. Remédios para infração normalmente incluem danos monetários, que podem
ser calculado por referência a um chamado royalty razoável, uma tarifa legal ou uma demanda
que o infrator contabilize quaisquer lucros - uma exigência de pagar ao detentor dos direitos o
benefício econômico obtido com a infração.
Os recursos civis também podem incluir ordens para apreender, e talvez destruir, produtos que infringem
direito de propriedade intelectual. Esses pedidos são especialmente úteis ao interditar remessas
de produtos falsificados que incorporam violações de marca registrada ou direitos autorais.
Com relação a segredos comerciais, pessoas nos EUA que sofreram apropriação indébita de uma transação
segredo tradicionalmente instaurado uma ação legal de acordo com a legislação pertinente de seu estado individual. Dentro
6, o governo nacional dos EUA adotou a 'Lei de Defesa dos Segredos Comerciais 6' que altera
a Lei de Espionagem Econômica para autorizar direitos privados de ação sob a lei federal para o
apropriação indébita de segredos comerciais [ ]
Um remédio civil comum para a violação de propriedade intelectual é uma ordem judicial dirigida
à parte infratora relevante para cessar qualquer atividade infratora em andamento. No contexto da patente
aplicação, isso pode ser especialmente devastador, pois uma empresa se encontra incapaz de con
continuar a fabricar ou vender um produto infrator. No contexto de aplicação indevida de segredo comercial
preço, isso pode incluir uma ordem para cessar a fabricação de produtos que empregam o comércio
segredo ou uma ordem que proíba a publicação do segredo comercial. (Imagine como estes seriam
aumente o valor Q descrito na Seção . ..)
Em um contexto online, esses pedidos podem exigir que os fornecedores de conteúdo ou hosts de servidor tomem
para baixo conteúdo que infrinja direitos autorais ou uma marca registrada. As partes que impõem patentes têm
buscou ordens para forçar um provedor de serviços a interromper a operação de prestação de serviços infratores
ered através de um ambiente online [ ]
A maioria das dificuldades surge no contexto de produtos de software de engenharia reversa. Software li-
censos muitas vezes contêm restrições onerosas, incluindo algumas limitações na engenharia reversa
geralmente e / ou compilação reversa especificamente. A legislação europeia geralmente proíbe qualquer restrição
sobre a capacidade de um usuário de software autorizado de observar e estudar o funcionamento deste
software, e também concede a esses usuários o direito limitado de reverter a compilação especificamente para o
objetivo de obter informações de interoperabilidade [ 6]
Seguindo a expansão da lei de direitos autorais para proibir a evasão de programas tecnológicos
medidas de proteção, aqueles que desejam interferir nessas medidas o fazem por sua conta e risco. O
a implementação dessas leis fornece algumas exceções à responsabilidade por pesquisas em
circunstâncias, embora as circunstâncias precisas variem. Cada exceção confiada deve
ser examinado com cuidado.
A lei de direitos autorais britânica, por exemplo, inclui uma isenção específica de responsabilidade por contornar
medidas de proteção em obras de direitos autorais que não sejam um programa de computador , para pessoas que conduzem
investigação em criptografia, 'a menos que assim o faça, ou na emissão de informações derivadas de
essa pesquisa, ele prejudica os direitos do detentor dos direitos autorais '(CPDA s. 6ZA ()).
Em outras palavras, um desses pesquisadores pode enfrentar o perigo da lei se publicar
detalhes que possibilitaram a terceiros contornar as medidas de proteção. Não há
tal exceção geral na lei britânica para pesquisa de criptografia envolvendo a evasão
de medidas em programas de computador (CPDA s. 6).
Os pesquisadores de segurança que desejam testar a força de um sistema criptográfico normalmente exigem
acesso ao algoritmo relevante. Isso surge naturalmente do Princípio de Kerckhoffs e é
bem conhecido dos criptógrafos. Uma pessoa que deseja testar os recursos de segurança de um
algoritmo encontra dificuldades práticas quando o fabricante do produto emprega um
algoritmo proprietário protegido por segredo comercial e não deseja divulgá-lo para teste.
Após a criação em um estado, a existência de direitos autorais é geralmente reconhecida na maioria dos estadoss
em todo o mundo pela operação de vários tratados de direitos autorais [ ] Se um autor escreve algum
software enquanto residente no Estado A, as leis de direitos autorais do Estado A são normalmente vistas como
fonte de autoridade para identificar a existência e propriedade inicial desse copyright, enquanto
tratados obrigam a maioria dos outros estadoss para fazer cumprir os direitos autorais em seus territórios (sujeito a
limitações ou exclusões concedidas por esses estadoss).
Concessões de direitos de propriedade intelectual registrados (por exemplo, patentes e marcas registradas) são
feito em um estadopor estado. Quando marcas comerciais idênticas ou confusamente semelhantes são registradas
tratado em um estado diferentes para diferentes proprietários, os direitos de cada proprietário são igualmente válidos dentro
seu respectivo território registrado. Isso pode causar confusão quando o proprietário de uma marca registrada em um
estado faz uma acusação de violação contra o proprietário de um segundo, quase idêntico,
marca registrada em outro estado [ ]
A infração e as defesas contra a infração são normalmente avaliadas por referência à lei de
o local onde a propriedade intelectual é infringida [ ] Em casos de direitos autorais, os tribunais
mostram uma vontade persistente de aplicar as regras (e limitações) impostas por seus
leis de direitos autorais com relação a trabalhos que são distribuídos ou exibidos no estado através da Internet
[, ] Os tribunais também estão dispostos a fazer valer patentes domésticas contra instancias domésticas.
ções de invenções reivindicadas entregues como parte de uma oferta de serviço global [ ]
Durante os anos, os legisladores em todo o mundo adotaram exceções especiais para proteger cer-
isentar os provedores de serviços de comunicação da responsabilidade por conteúdo online em circunstâncias
posturas. As mudanças foram feitas em resposta aos primeiros casos que mantiveram essa comunicação
prestadores de serviços responsáveis sob as interpretações então existentes das leis de responsabilidade de conteúdo, incluindo
direitos autorais e difamação. Esses escudos podem ser estruturados como defesas afirmativas, o que significa
que o uso do escudo depende da capacidade do acusado de provar que tem o direito
a ser tratada sob a exceção pertinente.
Na União Europeia, essas exceções à responsabilidade eram geralmente exigidas pelos Artigos -
da Diretiva de Comércio Eletrônico. Estes fornecem blindagem de responsabilidade generalizada em relação a 'mera
conduit ',' hosting 'e' caching 'serviços [ ] . 6 Estes princípios são transpostos para
lei estadual da maneira usual.
Na lei dos EUA, várias proteções de responsabilidade decorrente de direitos autorais, difamação, etc., foram
adoptada assunto a assunto. 66
O escopo mais amplo de isenção de responsabilidade é normalmente concedido àqueles cujo serviço
consiste em atuar como um mero canal de dados. 6 Essas operadoras são frequentemente isentas de
responsabilidade sem exceção, embora possam ser ordenados a filtrar o tráfego como parte de um tribunal
plano de execução ordenado [ ]
https://translate.googleusercontent.com/translate_f 109/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Aqueles que fornecem um serviço que consiste em nada mais do que hospedar dados são muitas vezes ex-
esvaziado de responsabilidade relacionada ao conteúdo, a menos e até que eles tenham motivos para saber que seu
infraestrutura está hospedando conteúdo ilícito. 68 Neste ponto, eles geralmente têm a obrigação de tomar
para baixo conteúdo ofensivo 'rapidamente'. Confusão sobre como implementar esta obrigação
resultou em mudanças em algumas leis que agora especificam em detalhes como os avisos de retirada devem ser
enviado para organizações de hospedagem, e como as organizações de hospedagem são obrigadas a responder a estes
avisos. 6
. DEMATERIALIZAÇÃO DE DOCUMENTOS E
SERVIÇOS DE CONFIANÇA ELETRÔNICA
À medida que a era do comércio eletrônico se desenvolveu, aumentaram as preocupações sobre como transpor a metodologia tradicional
ods para garantir a autenticidade e integridade das informações (por exemplo, assinaturas, selos e indeléveis
tinta) em um formato que possa ser usado em ambientes totalmente eletrônicos e online. Tecnologia de segurança
especialistas em tecnologia responderam com uma série de novas tecnologias (muitas vezes baseadas em PKI) pretendido
para tratar dessas questões.
Isso, por sua vez, gerou uma série de questões legais que potencialmente interferem com a utilidade
de tais tecnologias. Estes se dividem amplamente em três categorias. O primeiro relaciona-se com o admis-
viabilidade dos documentos eletrônicos como prova em processos judiciais. A segunda categoria são
leis que ameaçam a exequibilidade legal das comunicações feitas em formato eletrônico. O terceiro
categoria refere-se à incerteza sobre os direitos e responsabilidades no fornecimento e uso de
serviços de confiança de identificação.
Exemplos de requisitos de forma adotados por vários estados incluem regras exigindo que,
a fim de ser executável:
https://translate.googleusercontent.com/translate_f 110/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• certos tipos de compromisso devem ser por escrito e 'assinados' por (ou 'executados sob a
mão de ', etc.) a parte contra a qual a execução é solicitada;
• certas submissões a uma agência estadual devem ser feitas por meio de um formulário específico;
• certas cláusulas contratuais ou avisos que buscam restringir a responsabilidade devem ser apresentados em
uma moda proeminente (por exemplo, tudo em letras maiúsculas, negrito ou itálico, etc) para a festa
contra quem eles devem ser aplicados;
• certas cláusulas contratuais que visam restringir a responsabilidade devem ser rubricadas pela parte
contra quem eles devem ser aplicados;
• o último testamento e o testamento devem ser entregues por escrito e assinados pelo testador no
presença de um número prescrito de testemunhas, que também deve assinar o documento; e
• um documento de transferência de título para certos tipos de propriedade deve ser assinado na presença
de um oficial de justiça estadual, que deve, então, afixar um selo oficial ao documento.
Os exemplos acima destinam-se apenas a familiarizar o praticante com alguns dos mais
tipos comuns de requisitos adotados em diferentes leis por diferentes estadoss. Algum estados
e algumas leis impõem relativamente poucos requisitos, enquanto outras adotam agressivamente uma variedade
de tais requisitos.
Os sistemas eletrônicos de negociação foram desenvolvidos já nos 6s (consulte a Seção .6.) gerenciou
para contornar muitos desses problemas. Os requisitos de forma foram superados usando um quadro
contrato de trabalho. Os participantes firmam acordos por escrito (com assinaturas de tinta úmida no papel
ou seguindo qualquer outro requisito de forma que possa ser imposto a esses contratos), que
constituem a base das relações contratuais entre os participantes.
Plataformas de negociação mais recentes construídas em padrões abertos, muitas vezes direcionadas a empresas e con-
verãos, obteve ganhos iniciais ao negociar no assunto (por exemplo, a venda de livros e outros pequenos
bens de consumo ), onde os contratos poderiam ser concluídos e os pagamentos liquidados, com poucos ou nenhum
desafios baseados em requisitos de forma.
ações judiciais, etc. Muitos foram adotados no contexto específico de habilitação de assinaturas digitais
e serviços de confiança, conforme discutido na Seção . ..
Conforme os padrões de engenharia para esses serviços de confiança de identidade começaram a surgir, dois
perguntas surgidas para consideração por qualquer pessoa que desejasse fornecer ou fazer uso destes
Serviços:
• até que ponto uma 'assinatura' digital produzida usando tal sistema seria ac-
equivalência legal com fio com uma assinatura com tinta úmida no papel; e
https://translate.googleusercontent.com/translate_f 111/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A questão dos direitos e responsabilidades das pessoas envolvidas em acordos de serviços de confiança
é significativamente mais complexo [ ]
Considere primeiro as responsabilidades potenciais de um emissor de certificado em uma operação padrão de três cantos
modelo internacional.A lei da negligência (consulte a Seção ..) cria imediatamente uma série de
desafios para quem atua como emissor de certi cados, entre eles: qual a natureza
do dever devido a um terceiro com base em um certificado; quais são os padrões apropriados de
cuidado neste novo modelo operacional; e que dano é previsível quando ocorrem erros? Específico
cenários de responsabilidade variam de um desastre em todo o sistema causado pelo comprometimento não detectado
de um certificado raiz ou aw técnico no mecanismo de autenticação, para o ocasional (al-
embora recorrentes e talvez inevitáveis) casos de emissão indevida de um certificado após
a identificação incorreta de um signatário.
A falta de certeza sobre esses problemas fez com que os emissores de certificados procurassem métodos para
limitar ou racionalizar sua responsabilidade. Uma estratégia comum para limitar a responsabilidade, entrando
www.cybok.org
em contratos que incluem cláusulas de limitação, enfrenta um problema significativo. Formando uma con
trato entre o emissor e a pessoa confiável normalmente requer a comunicação da oferta
e aceitação entre essas pessoas (ver Seção .6) A maioria dos sistemas foi projetada para
permitem confiança sem a intervenção constante de apresentar a um usuário novos termos e
condições cada vez que uma parte confiável encontra um novo fornecedor de certificado. Da mesma forma, certi -
emissores de dados podem desejar alertar as partes confiantes sobre o escopo do assunto apropriado
para os quais os certificados podem ser usados.
Estadose especialistas jurídicos intervieram com uma variedade de recomendações e, em seguida, leis, em-
tentador abordar essas questões [ 6 , 6 , 6 , 6] Essas leis, muitas vezes identificadas com o
termo 'assinatura digital' ou 'assinatura eletrônica' em seus títulos, normalmente adotado alguns
nação das seguintes intervenções políticas:
• exigir a equivalência legal de assinaturas eletrônicas que atendam a determinados requisitos mínimos
características técnicas para garantir a autenticação e integridade da mensagem;
• instruir os juízes de que as assinaturas eletrônicas (mesmo aquelas que fornecem pouca ou nenhuma tecnologia
garantia técnica de autenticação ou integridade) não pode ser recusada equivalência legal meramente
porque eles assumem uma forma eletrônica, mas deixando em aberto a possibilidade de negar o equivalente
influência por outros motivos;
• impor a um emissor de certificado o dever de cuidado devido a terceiros que confiam no certificado -
cates;
• inverter o ônus da prova por operação negligente de uma empresa emissora de certificado,
de modo que um terceiro lesado não seja mais obrigado a provar negligência, mas sim o
o emissor do certificado é obrigado a provar a operação não negligente;
• fornecer aos emissores de certificados a capacidade de limitar sua responsabilidade nanceira, apresentando
a limitação no próprio certificado, quer o terceiro de confiança realmente veja
esta limitação; e
https://translate.googleusercontent.com/translate_f 112/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• fornecer aos emissores de certificados a capacidade de excluir a responsabilidade por determinado assunto
apresentando a exclusão no próprio certificado, seja o terceiro ou não
analisa esta exclusão.
Existe algum grau de variação entre os estadoss sobre como eles escolheram abordar esses
questões. Nem todos os estadoss adotaram todas essas intervenções. Muitas dessas intervenções
estão sujeitos a uma variedade de condições ou limitações adicionais. Um tema recorrente diz respeito
www.cybok.org
a relutância dos legisladores em reduzir os direitos de outra forma garantidos pela proteção ao consumidor
leis.
Embora algumas dessas leis sejam de natureza geral, outras são mais restritas para abordar
assunto específico. Em alguns casos, a lei delega autoridade a um órgão regulador para
adotar legislação secundária específica e / ou normas técnicas em uma base específica temática.
Qualquer profissional que espera desenvolver uma plataforma em uma área onde os requisitos de forma são
lugar-comum deve pesquisar e revisar as leis e regulamentos aplicáveis para reduzir o cumprimento
risco de habilidade.
Embora muito debate e discussão tenham se concentrado em emissores de certificados, signatários e terceiros
partes que contam com certificados, outro ator neste domínio é mais frequentemente esquecido: o
pessoa que seleciona quais emissores de certificado devem ser confiáveis por padrão. Este 'certificado
a função de seleção do emissor é rotineiramente realizada, por exemplo, por produtores de rede de consumo
navegadores. Isso talvez seja inevitável, já que a grande maioria dos usuários finais não teria razão
método final de discriminar entre emissores de certificados de boa e de má qualidade. Esta
levanta a questão de definir qual dever de cuidado esses seletores de emissor de certificado podem ter
para os usuários finais. 8
https://translate.googleusercontent.com/translate_f 113/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Da mesma forma, dentro de profissões que têm deveres de confidencialidade legalmente exigidos para clientes ou
cujos clientes desfrutam de privilégios legalmente exigidos que proíbem a divulgação de clientes-profissionais
comunicações (por exemplo, advogados e médicos) reguladores profissionais tornaram-se cada vez mais
atento aos problemas de segurança cibernética.
Muitos desses vários regulamentos incluem obrigações de relatar ou divulgar violações de segurança.
Tais requisitos de divulgação operam além de quaisquer obrigações impostas pela proteção de dados
legislação nacional (consulte a Seção .) Isso cria um cenário potencialmente confuso ao considerar
obrigações de divulgação [ 66]
Como estados começaram a se concentrar mais fortemente nos riscos de segurança cibernética, os reguladores existentes
foram incentivados a incluir a segurança cibernética em suas estruturas de supervisão e regulamentação
especialmente no contexto de infraestrutura nacional crítica.
• 'tomar medidas adequadas para prevenir e minimizar o impacto dos incidentes que afetam
a segurança da rede e dos sistemas de informação utilizados para o fornecimento de tais
serviços essenciais, a fim de assegurar a continuidade desses serviços »; e
• 'notificar, sem demora indevida, a autoridade competente ou o CSIRT de incidentes que tenham um
impacto signi cativo na continuidade dos serviços essenciais que prestam ».
A implementação do Reino Unido transfere a responsabilidade pela supervisão regulatória para competidores relevantes
autoridades regulatórias - instruindo os reguladores da indústria existentes a adotar e fazer cumprir a segurança cibernética
obrigações estabelecidas na diretiva [ 68]
Os esforços para usar a regulamentação para aumentar a segurança cibernética na sociedade continuam a ter muitas
formulários. O debate continua sobre quais modelos de regulamentação são mais eficazes [6 ]
https://translate.googleusercontent.com/translate_f 114/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Nos EUA, uma série de ações judiciaiss sob a lei de liberdade de expressão dos EUA (ou seja, a Primeira Emenda à
Constituição dos EUA) foram trazidos questionando a validade das regulamentações de exportação aplicadas à criptografia
software gráfico. O argumento apresentado procede, em essência, da seguinte forma: código-fonte
é expressivo, o conteúdo expressivo é fala protegida, portanto, o código-fonte é fala, o
as regulamentações de exportação são, portanto, uma restrição governamental prévia à expressão, como uma restrição prévia
os regulamentos devem ser adaptados de forma extremamente restrita para lidar com um perigo claro, mas os regulamentos
na verdade, as decisões são muito amplas e, portanto, não atendem ao critério constitucional. Os EUA
os tribunais lutaram com o conceito de se o código-fonte era protegido por 'discurso'. Eventualmente,
em Junger v Daley (), o Tribunal de Apelações dos EUA para o 6º Circuito considerou que o código-fonte
foi o discurso e considerou as regulamentações de exportação dos EUA inconstitucionalmente amplas [ ] 8 não
dúvida em resposta a este e outros desafios legais semelhantes em outros circuitos dos EUA, combinados com
forte lobby da indústria de TIC, o governo dos EUA emitiu regulamentos de exportação revisados para
criam restrições significativamente mais limitadas às exportações criptográficas [ ]
Muitos estadoss, incluindo os EUA, continuam a manter restrições à exportação para certos tipos de uso duplo
produtos, incluindo algumas implementações de tecnologia criptográfica. Qualquer pessoa envolvida em
a produção desses produtos deve revisar as leis aplicáveis com cuidado, pois as violações podem
ser processado como crime.
Essas leis às vezes podem ser usadas para intervir e classificar como secretas a pesquisa e
trabalho de desenvolvimento de terceiros. Os praticantes também podem estar sob a alçada destes
leis quando funcionários de segurança do estado optam por divulgar certas informações classificadas relacionadas
às ameaças cibernéticas.
Essas leis tendem a autorizar penalidades criminais extremamente severas para aqueles que as violam.
Apenas estados são considerados como tendo 'legitimidade' para fazer cumprir as reivindicações decorrentes do âmbito público internacional
lei. Pessoas não estatais normalmente são incapazes de tomar medidas legais contra o estados por violação
https://translate.googleusercontent.com/translate_f 115/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
do direito internacional público. Uma pessoa não estatal pode ter o direito de tomar medidas legais contra
seu estado de origem por não cumprimento das obrigações impostas ao estado pelo público em
direito internacional, embora estaduals normalmente devem, de forma afirmativa, conceder esses direitos a entidades não estatais
pessoas [ ].8
Da mesma forma, o direito internacional normalmente procura regular o comportamento do Estados em vez de
as ações de seus residentes ou nacionais. 8 Operações cibernéticas realizadas por um não estatal
pessoa no Estado A contra pessoas ou infraestrutura no Estado B normalmente não constituem um
violação do direito internacional, a menos que a ação possa ser atribuída ao Estado A ou a algum outro
Estado C (consulte a Seção ..) Esta ação de uma pessoa não estatal poderia, no entanto, servir como um
justi cação legal sob o direito internacional para que o Estado B tome alguma forma de proporção
contramedida contra tais pessoas ou equipamentos no Estado A como um ato de legítima defesa
([ ] na R., cmt. )
Tornou-se amplamente aceito que os princípios do direito internacional público devem ser aplicados a
ações tomadas com relação ao ciberespaço [ , , , ] Dito isto, estadoVarredura
e divergem em suas opiniões sobre como esses princípios devem ser interpretados no contexto
de tipos específicos de operação cibernética. No momento em que este artigo foi escrito, o mais abrangente e mais
fonte publicada amplamente aceita de análise sobre a aplicação do direito internacional ao ciberespaço
operações é a reformulação do direito internacional encontrada no Manual de Tallinn. [ ]8
Uma determinada ação pode ser legalmente atribuída a um estado se, por exemplo:
• a ação é realizada por um agente ou oficial do estado (como um funcionário ativo em serviço
membro do estadomilitares ou policiais); ou
• a ação é realizada por uma pessoa não estatal (como um provedor de serviços de tecnologia)
sob a direcção, ou com o encorajamento activo, do estado de funcionários.
Em circunstâncias extremas, se a atividade ilícita é regularmente iniciada por atores não-estatais de cy-
infra-estrutura dentro do território de um estado, e esse estado permanece intencionalmente cego para isso
atividade ou de outra forma deixar de exercer a devida diligência na tentativa de identificar e
restringir a atividade ilícita, então pode ser possível atribuir a atividade ilícita a esse estado.
Esta teoria não é sem controvérsia ([ ] em R.6-; R., cmt. ) [ 6]
Uma operação cibernética de um estado dirigida contra outro estado é normalmente contrária ao prin-
princípios do direito internacional se interferir nos assuntos do segundo estado ([ ] na R.66).
https://translate.googleusercontent.com/translate_f 116/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma operação ciberofensiva, como uma operação DDoS, por exemplo, constituiria inter
ferência se usada para coagir o segundo estado de uma maneira projetada para influenciar os resultados em,
ou conduta em relação a, um assunto reservado ao estado alvo ([ ] na R.66, cmt.8 &).
Os resultados em questão não precisam ser de natureza física e podem incluir políticas domésticas
resultados ([ ] na R.66, cmt. )
Uma operação cibernética de um estado dirigida contra outro estado é normalmente contrária aos princípios
plausíveis do direito internacional se constituir um uso de força ou ameaça do mesmo ([ ] na R.68-).
Um estado que é vítima de um 'ataque armado' tem o direito de tomar contra-medidas proporcionais
certezas, incluindo o uso da força ([ ] na R.). Ações que constituem um ataque armado são
um subconjunto de atos que constituem 'uso da força' ([ ] em R., cmt.6). Encontrando a linha divisória
entre eles é um desafio e geralmente é medido por referência à escala e efeitos
do ato reclamado. No contexto da discussão da operação Stuxnet, por exemplo, o
Tallinn Manual. especialistas concordaram que se o Stuxnet fosse atribuído a um estado ,
instituir o uso da força; mas eles foram divididos sobre se a escala e os efeitos da operação
foram suficientes para constituir um 'ataque armado' ([ ] na R., cmt. )
Por causa da incerteza sobre quando a escala e os efeitos de uma operação cibernética são suf -
suficientemente severo para constituir um ataque armado, foi sugerido que algum estadodepilar
adotou uma estratégia usando essa incerteza para conduzir operações cibernéticas em uma 'zona cinzenta'
onde entre a paz e o conflito armado [ 8]
Um exemplo específico deste princípio se aplica aos esforços do estado para explorar a comunicação submarina
cabos para interceptar comunicações. Se um estado capta cabos secretamente
águas internacionais sem interromper significativamente sua funcionalidade, isso muito provavelmente
não constitui uma violação do direito internacional. Se um estado colocar a torneira dentro do território
águas de um segundo estado, no entanto, a operação constitui uma violação do segundo estadode
soberania ([ ] na R., cmt. )
No entanto, está bem documentado que a vigilância cibernética remota e a coleta de evidências
as atividades são conduzidas pelas agências de aplicação da lei de vários estadoss de vez para
https://translate.googleusercontent.com/translate_f 117/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 147
O Conhecimento em Segurança Cibernética
www.cybok.org
Este campo é objeto de amplo estudo e debate por parte da liderança militar de muitos
Estados, que investem tempo e esforços significativos produzindo orientação jurídica para seus militares
comandantes sobre aquele estadointerpretação e implementação da lei. Algum
destes são publicados e disponíveis para revisão pública [ 8 , 8 , 8] Manual do US DOD
aborda especificamente as operações cibernéticas [ 8 ]
O significado preciso de 'conflito armado' está sujeito a algumas divergências, embora seja amplamente
entendeu que o conflito armado pode (e muitas vezes existe) na ausência de qualquer decisão formal
laração da guerra ([ ] em R.8, cmt. ) Durante o curso do conflito armado, alguns
obrigações legais (por exemplo, a Convenção de Chicago sobre aviação civil) são suspensas ou
erely alterado como entre o estado beligeranteestá envolvido em hostilidades.
• Necessidade militar : um estado pode usar a força necessária para derrotar um inimigo
de forma rápida e eficiente, desde que tal força não viole outros princípios do
lei do conflito armado.
• Humanidade : um estado não pode causar sofrimento, lesão ou destruição que não seja necessário para
cumprir um propósito militar legítimo.
• Distinção (também conhecida como Discriminação) : um estado deve se esforçar para distinguir os militares
e objetos de pessoas e objetos civis. Isso impõe uma obrigação a um bel-
estado ligerente para distinguir seus próprios militares e objetos de civis
e objetos, bem como trabalhar para distinguir militares do estado inimigo e pessoas civis
e objetos.
Uma questão recorrente de discussão entre os especialistas diz respeito ao que é necessário para tratar um cyber
operação, por si só, como um 'ataque' ao abrigo da lei do conflito armado. O Manual de Tallinn.
refere-se a tal operação como um 'ataque cibernético', que o grupo de especialistas define como um ciberataque
operação 'que se espera razoavelmente causar ferimentos ou morte a pessoas ou danos ou danos
construção de objetos '([ ] na R.). A caracterização de uma operação cibernética como uma ciberoperação
ataque sob o direito internacional é crítico, já que a lei de conflito armado limita como o estadoassustador
esses ataques.
Estado beligerantes devem evitar direcionar seus ataques (o que incluiria ataques cibernéticos)
contra pessoas ou objetos civis ([ ] na R., &). Exceções surgem com relação a
civis que participam de conflitos armados ([ ] na R. 6,).
Embora os princípios do direito do conflito armado não estejam significativamente em disputa, como
interpretar e aplicá-los no contexto de operações cibernéticas específicas levanta uma série de
perguntas atuais. Por exemplo, muitos especialistas jurídicos consideram que o princípio de não
alvejar ataques cibernéticos contra objetos civis se aplica apenas a objetos tangíveis e que
dados tangíveis, como tais, não se enquadram na definição legal de 'objeto' [ 8 ] Este foi o
vista da maior parte do Manual de Tallinn. grupo de especialistas, embora uma minoria desse grupo
sentiram que intangíveis, como dados, deveriam contar como 'objetos' se o efeito de danificar ou alterar
tais dados foram suficientemente signi cativos ([ ] em R., cmt.6). Existe um acordo mais amplo,
no entanto, que uma operação que visa e altera os dados, o que por sua vez causa ferimentos às pessoas
ou danos à propriedade, aumenta ao nível de ataque cibernético ([ ] em R., cmt.6).
https://translate.googleusercontent.com/translate_f 118/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Outra dificuldade na aplicação diz respeito à mistura de infra-estruturas cibernéticas militares e civis
estrutura. De acordo com a lei de conflito armado, se um objeto for usado tanto para fins militares como não
fins militares torna-se um objetivo militar ([ ] na R.). Isso leva à possibilidade
que componentes significativos da infraestrutura cibernética pública, incluindo rede de dados de uso duplo
infraestrutura de serviços de nuvem e integração, poderia ser caracterizada como um alvo legítimo de ciber
ataque em tempo de conflito armado (sujeito a outras limitações legais, como a necessidade de respeitar
os princípios de humanidade e proporcionalidade) ([ ] na R., cmt. -). Alguns discutiram
que tais resultados apontam para a necessidade de reconsiderar como o direito internacional público deve operar
erate neste contexto [ 8 ]
. ÉTICA
Os profissionais de segurança cibernética muitas vezes se veem operando em posições de confiança, onde
conhecimento e habilidades sociais potencialmente lhes dão poder assimétrico para influenciar ou interromper o
assuntos de seus clientes ou outros membros do público. Aqueles que agem fora de um determinado
relacionamento com o cliente, como desenvolvedores de produtos e pesquisadores acadêmicos, exercem especial
habilidades de maneira que possam causar danos a uma ampla variedade de terceiros. Praticante ativo-
muitas vezes ocorrem a portas fechadas, longe do brilho do escrutínio público. Isto é um
mistura volátil. Normas éticas podem ajudar a coibir comportamentos que abusam de posições de confiança
ou de outra forma representem risco significativo para o público.
As primeiras orientações éticas de segurança cibernética se concentraram significativamente na gestão de riscos legais, como
responsabilidade decorrente de leis de propriedade intelectual, proteção de dados e privacidade [ 8 ] Apesar
os profissionais devem permanecer cientes das leis que se aplicam às suas ações, em conformidade com o
a lei, por si só, pode ser insuficiente para orientar um praticante para a ação ética.
Como uma prática geralmente realizada na ausência de regulamentação profissional formal do estado
ção, é difícil identificar normas generalizáveis que se espera que se apliquem às atividades
realizadas por profissionais de segurança. Esta seção levantará alguns dos problemas recorrentes
e fontes potenciais de orientação.
No mínimo, pode-se identificar vários deveres de cuidado que surgem sob contrato ou direito civil
para realizar serviços e outras atividades que envolvam risco de uma forma razoável e com
perícia apropriada. Os designers de produtos também devem várias obrigações legais nos termos do
regras normais de responsabilidade civil.
Normalmente, espera-se que os profissionais regulamentados ajam no melhor interesse de seus clientes, para
evitar conflitos de interesse e manter a confidencialidade dos assuntos do cliente. Enquanto afirma
adotar ativamente esses tipos de obrigação por contrato muitas vezes não é controverso, é difícil
pode surgir quando um profissional de segurança e um cliente discordam sobre o curso mais apropriado
de ação em circunstâncias específicas.
Podem surgir desafios com relação à divulgação não obrigatória de evidências a terceiros interessados
partidos. Se um praticante descobre evidências de atos errados e não há superveniência
obrigação legal de relatar essa evidência, o médico e o cliente podem discordar sobre
a divulgação de tais provas a terceiros interessados, como autoridades policiais relevantes,
CERTs ou vítimas de atos ilícitos.
Esses casos podem ser difíceis de navegar. Nos casos de evidências de crimes econômicos dirigidos
contra o cliente (por exemplo, pequeno furto), o cliente pode ver a divulgação pública como mais prejudicial
do que lidar com o assunto apenas em uma base disciplinar interna. Nos casos em que um funcionário
é considerada como tendo prejudicado um terceiro por meio de ações ilícitas, como negligência, divulgação
transferir esta evidência para a vítima pode prejudicar financeiramente a empresa do cliente
por meio de responsabilidade indireta.
Outros casos difíceis surgem quando os interesses do médico e do cliente não estão alinhados.
Alguns sistemas de ética profissional, por exemplo, permitem que um profissional regulamentado divulgue
algumas partes das informações confidenciais de um cliente como parte de uma atividade legítima de cobrança de contas
(por exemplo, entrando com uma ação legal por quebra de contrato relacionada à entrega de confidencial
Serviços). Essas divulgações devem normalmente ser limitadas às informações que são necessárias para
https://translate.googleusercontent.com/translate_f 119/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
processar a cobrança e pode vir com obrigações de buscar ordens de proteção adequadas do
tribunais.
Ações por um profissional que interferem com o funcionamento adequado da infra-estrutura de seu cliente
tura em um esforço para exercer influência indevida sobre o cliente são desagradáveis na melhor das hipóteses, e podem
cruzar a linha da conduta criminosa na pior das hipóteses. Uma ameaça expressa ou implícita de tal ação parece
não melhor.
.. Códigos de conduta
Vários organismos profissionais publicaram códigos de conduta e diretrizes éticas para cy-
profissionais de segurança. Muitos deles se referem a princípios éticos de alto nível, sem o mais
orientação detalhada que é necessária para auxiliar os profissionais com a interpretação dos princípios
ples.
Exemplos de dois códigos de conduta mais recentes e cuidadosamente considerados são apresentados abaixo
por consideração. Um é enquadrado como um código de aplicabilidade geral e o outro é construído em torno de um
processo de negócios definido.
A Association for Computing Machinery pode traçar sua história até meados do século XX
e mantém uma associação global de mais de, [ 8 ] O Código de Ética ACM
e a Conduta Profissional foi amplamente revisada em 8 para levar em consideração o impacto de
conectividade de dados [ 86] O Código ACM revisado fornece vários pontos de orientação relevantes
para o campo da segurança cibernética. O ACM também fornece materiais complementares para auxiliar na
compreensão e aplicação do Código [ 8 ]
www.cybok.org
Em contraste, o CREST foi estabelecido no Reino Unido no início do século XXI originalmente como um
órgão de filiação para rms que fornecem serviços de teste de penetração. 6 No momento em que escrevo,
tem mais de 8 rms membros credenciados [ 88] O teste de penetração é um serviço
que deve ser uma preocupação significativa para o público: assimetria de informação significa que os clientes são
geralmente incapaz de distinguir boas práticas de más, os serviços são fornecidos confidencialmente
longe do escrutínio público, e os erros do médico podem causar danos desproporcionais aos clientes
ou terceiros. O Código de Conduta CREST para Indivíduos Qualificados CREST fornece orientações
ance em vários tópicos relevantes para a entrega desses serviços, incluindo metodologia de serviço,
práticas comerciais éticas e obrigações devidas aos clientes [ 8 ] O Código CREST também pro
vides um mecanismo de reclamação do cliente e a organização reserva-se o direito de expulsar
adesão aqueles que não cumprem o Código CREST. Na medida em que os clientes exigem
que os fornecedores de serviços relevantes mantenham a adesão ao CREST, esses mandatos podem lentamente
migrar o CREST de uma associação puramente voluntária para um regulador de fato de
aqueles que fornecem esses serviços.
Pelos padrões históricos, a segurança cibernética apresenta um conjunto relativamente novo de métodos e
processos que são, na melhor das hipóteses, mal compreendidos pelo público. Códigos generalizados como o ACM
Os códigos são úteis, pois orientam uma comunidade de pessoas com conhecimentos técnicos relevantes
que podem trabalhar em campos tão diversos quanto pesquisa e desenvolvimento ou gerenciamento de segurança.
Códigos específicos de serviço, como o Código CREST, são úteis, pois se concentram claramente em
serviços de risco. Códigos de conduta, sem dúvida, continuarão a se desenvolver como o impacto do cyber
a atividade do profissional de segurança no público torna-se mais bem compreendida.
. . . Teste de vulnerabilidades
Os profissionais que testam vulnerabilidades de segurança devem considerar cuidadosamente a natureza de suas
https://translate.googleusercontent.com/translate_f 120/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Atividades. O mero ato de estudar e analisar objetos, como produtos de hardware tangíveis
software, software licenciado residente localmente ou primitivas criptográficas publicadas e comunicações
protocolos catiónicos, é normalmente incontroverso. É difícil traçar uma linha de causalidade a partir de
o mero ato de análise para dano público.
Os profissionais devem ter cuidado, no entanto, para considerar a fonte do objeto de segurança sob
estudar. Pode haver uma distinção, por exemplo, entre a engenharia reversa de um chip de silício
para descobrir a funcionalidade de um esquema criptográfico de segredos comerciais e engenharia reversa
software de terceiros de proveniência suspeita que incorpora a mesma metodologia secreta.
Embora o primeiro possa ser geralmente permitido, o segundo pode constituir uma violação de
direitos de segredo comercial e resultam em responsabilidade ou restrições sobre a limitação da capacidade de publicar resultados
[ , ] (veja a discussão na Seção .8. e Nota )
www.cybok.org
questões. Os praticantes devem primeiro permanecer cientes de que esforços não autorizados para obter acesso a
um sistema de computador é freqüentemente definido como um crime (consulte a Seção .) Conforme declarado no Código ACM
Seção .8, 'Um sistema acessível ao público não é base suficiente para implicar
autorização '[ 86] Se os praticantes estiverem testando em resposta a um programa de 'recompensa por bug', eles
deve revisar cuidadosamente os termos do programa para garantir que eles não excedam o
âmbito da atividade de teste autorizada.
Os profissionais também devem considerar o impacto potencial de seus métodos de teste no estado
bilidade de infraestruturas públicas ou privadas, incluindo aquelas que também são alvo de teste
como sistemas intermediários e de terceiros.
. . . Divulgação de vulnerabilidades
Aqueles que encontram vulnerabilidades de segurança enfrentam a escolha do que fazer com seu novo conhecimento
borda. Existem opções em um espectro de não fazer nenhuma divulgação, a publicar cada detalhe im-
mediatamente para o mundo em geral. Entre esses dois extremos encontra-se uma série de possibilidades.
Aqueles que não fazem nenhuma divulgação optam por fazê-lo por motivos diferentes. Alguns desejam fazer
nenhuma divulgação em um esforço para evitar problemas complicados de ética e responsabilidade potencial. Isto
é difícil conciliar esta posição com o princípio ético expresso no Código ACM
Seção .8 'para relatar quaisquer sinais de riscos do sistema que possam resultar em danos' [ 86]
Alguns que atuam em apoio às agências de segurança do Estado podem desejar manter o sigilo de
uma vulnerabilidade depois de decidir que os riscos e benefícios da divulgação superam os riscos e
benefícios de manter o sigilo [ , , , ] . 8 A ética desse equilíbrio de 'ações'
processo é um tópico de debate contínuo [ , 6]
Localizadores que optam por fazer uma divulgação pública total imediata das vulnerabilidades, sem
qualquer aviso prévio a qualquer pessoa afetada pode fazê-lo por uma variedade de razões. Alguns sugerem
que este é o único método certo de encorajar esforços de correção por parte dos desenvolvedores. Algum
não desejam investir no demorado processo de encenar a divulgação pública e privada
medidas descritas abaixo. Alguns temem que o envolvimento com os desenvolvedores resulte em uma intervenção legal
proibição de divulgação. É difícil conciliar esses argumentos com a orientação
do Código ACM para minimizar os danos.
Muitos profissionais seguem um princípio conhecido como 'divulgação responsável'. A ideia é dis-
fechar primeiro em uma base confidencial a uma pessoa ou grupo de pessoas que podem ser capazes de remediar
diate ou mitigue o impacto da vulnerabilidade. Depois de decorrido um período de tempo, o nder
pode então prosseguir para um segundo estágio de divulgação pública. A divulgação pública de segundo estágio é
muitas vezes justificado pelo médico na teoria de que a publicação permitirá que outros profissionais
estudar e evitar vulnerabilidades semelhantes e / ou incentivar fornecedores de produtos e serviços a
remediar a vulnerabilidade.
No momento em que este artigo foi escrito, parecia não haver princípios geralmente aceitos sobre a conduta adequada
de divulgação responsável. Os pontos de divergência incluem:
• como gerenciar a divulgação privada quando a vulnerabilidade faz parte de um amplamente adotado
padrão industrial;
https://translate.googleusercontent.com/translate_f 121/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
• definir quais circunstâncias, se houver, impõem um prazo indeterminado para divulgação pública
certo; e
A divulgação pública de vulnerabilidades também pode criar responsabilidade ilícita para um provedor de divulgação,
especialmente se o processo ou sequência de divulgações for mal gerenciado ou a vulnerabilidade for
descrito incorretamente.
Profissionais que buscam justificar a publicação com base no fato de que geralmente está dentro da rubrica
de 'divulgação responsável' pode receber uma recepção fraca das autoridades estaduais [ , ]
Vários esforços para obter benefícios financeiros com a divulgação de uma vulnerabilidade também geram debate.
Aceitar uma recompensa nanceira de um fornecedor de acordo com um programa publicado de 'recompensa por bug'
parece agora ser amplamente aceito, especialmente porque o fornecedor controla os termos do
gramme [ ] Outras táticas mais controversas para monetizar descobertas incluem:
• solicitar uma 'recompensa por bug' nanceira de um fornecedor como condição de divulgação quando o
o fornecedor não tem um programa de recompensa por bug existente;
• vender o conhecimento da vulnerabilidade para um corretor terceirizado, que então revende as informações
mação; e
• envolver-se em atividades de comércio de mercado (por exemplo, venda a descoberto de ações negociadas publicamente de um vendedor)
em um esforço para lucrar com o conhecimento prévio de que uma vulnerabilidade em breve
seja publicado [ 8]
Profissionais que encontram vulnerabilidades durante o curso de seu trabalho como pesquisadores de segurança
devem ainda considerar até que ponto eles podem ser responsáveis perante seu empregador ou financiador
por quaisquer benefícios nanceiros obtidos.
Os fornecedores de produtos e serviços devem considerar como podem facilitar e, em seguida, agir sobre
divulgações vulne- em uma maneira que minimize prejudicar a clientes e terceiros pessoas.
Os princípios-chave para facilitar o manuseio adequado do fornecedor quanto às divulgações de vulnerabilidade incluem:
lishing métodos aceitáveis para nders divulgar vulnerabilidades para o fornecedor, trabalhando dili-
suavemente para verificar a vulnerabilidade assim que ela for divulgada, desenvolvendo remediação ou mitigação
estratégias, disseminando xes, trabalhando com parceiros da cadeia de suprimentos e fornecendo feedback
para nders.
Uma estrutura para desenvolver políticas e processos de fornecedores específicos pode ser encontrada em ISO / IEC
(o processo de recebimento e tratamento de informações sobre vulnerabilidades) e ISO / IEC
(o processo de verificação e correção de vulnerabilidades) [ , ] Agências estaduais
também publicaram orientações variadas sobre este tópico, que são revisadas de tempos em tempos [ ,
]
www.cybok.org
https://translate.googleusercontent.com/translate_f 122/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uma ameaça
agement antesdedo
ação legal de Alice. O objetivo desta seção é considerar o homem de risco legal
fato.
Qualquer pessoa que busca entender o risco legal geralmente começa com um déficit de informações. Simplesmente aprenda
sobre as muitas leis e regulamentos que podem ou devem influenciar o funcionamento de um único
empresa pode ser proibitivamente demorada e cara.
Este problema se multiplica de acordo com o número de jurisdiçõess com os quais uma pessoa pode estar
lidar - um desafio significativo se o ciberespaço realmente permitir o contato com todas as jurisdições
no mundo. Na era moderna de mais de duzentos estados soberanosé reconhecido sob
direito internacional público, além de centenas de estadoss que são membros de uma estrutura federal ou semelhante
tura, além de incontáveis dezenas (ou centenas) de milhares de jurisdições municipais adicionaiss com
vários graus de autoridade legislativa e de aplicação da lei, apenas descobrindo o conteúdo
de leis e regulamentos aplicáveis e a avaliação dos riscos de execução podem ser uma tarefa monumental
tarefa. Obrigações de direito privado impostas por contrato e (potencialmente voluntárias) de autorregulação
sistemas complicam ainda mais as coisas. Em um campo onde contatos e relacionamentos multinacionais
são comuns, as considerações sobre os limites efetivos do poder do Estado também são apropriadas.
A seguir estão alguns assuntos a serem considerados ao construir uma gestão de risco legal
estrutura.
Identifique as áreas de assunto de maior risco. A natureza das actividades desenvolvidas por um per-
filho ajuda a identificar quais leis e regulamentos serão mais significativos para essa pessoa.
Por exemplo, bancos, provedores de infraestrutura de telecomunicações e provedores de serviços médicos
e os serviços jurídicos estão sempre cientes de sua necessidade de buscar e manter a licença adequada
censos às suas atividades. Os provedores de serviços de jogos (jogos de azar) também estão muito atentos a
a ampla variação de leis que se aplicam especificamente às suas operações. E todas as empresas são
extremamente ciente da necessidade de compreender as obrigações fiscais, de cobrança e de pagamento.
Considere o impacto na vida humana. Uma análise estrita de custo-benefício pode ser útil ao fazer
decisões operacionais, mas torna-se problemático onde questões de vida humana e segurança são
preocupado. Leis e regulamentos adotados para proteger a vida humana e compensar o pessoal
lesão deve receber um respeito especial. Um desrespeito flagrante de tais regras levanta signi cativa
preocupações morais e éticas e também podem resultar em medidas excepcionais ou punitivas quando
essas regras são aplicadas.
Conduza a devida diligência alinhada com os riscos identificados. Ninguém instrui um advogado para 'ir e
e todas as leis do mundo que podem ser aplicadas a qualquer coisa que eu fizer. ' Uma devida diligência típica
estratégia envolve primeiro identificar e investigar as leis que poderiam destruir ou levar à falência um
empreendimento. Outras leis e regulamentos podem se tornar cada vez mais signi cativos como uma empresa
cresce ou muda de personagem. As leis estrangeiras tornam-se cada vez mais significativas à medida que a empresa
faz contato crescente com a nova jurisdiçãos.
Considere os limites práticos da jurisdição de execução territorial . Na era da comunicação online
merce, algumas empresas ficam paralisadas de medo sobre as potenciais obrigações legais
para centenas de estadoss cujos residentes podem obter acesso ao conteúdo do site. Aqueles que permanecem
paralisado pode sair do negócio. A maioria dos outros tenta adotar abordagens pragmáticas que
inclua esforços de boa fé para filtrar conteúdo ou de outra forma bloquear o acesso a residentes do estados
que caracterizam os produtos ou serviços de alguém como ilícitos.
Considere o custo relativo de violação de uma obrigação legal (não criminal). Cometer um crime é
diferente de deixar de cumprir uma obrigação civil. Há momentos em que o custo de responder
uma ação legal civil é menor do que o custo de conformidade. Mais comumente, isso ocorre na con
texto de um contrato comercial cujo desempenho se tornou antieconômico, ou uma regulamentação civil
exigência com uma penalidade nanceira fixa. Em circunstâncias apropriadas, uma pessoa pode rea-
concluir com segurança que repudiar sua obrigação civil (e aceitar o risco de uma ação legal
por danos monetários) é menos caro do que cumprir a obrigação correspondente.
Considere os riscos para a reputação pessoal, segurança e liberdade de cada um. Prática de segurança cibernética
usuários são às vezes confrontados com situações em que são tentados, ou instruídos, a
violar o direito penal. Aqueles que enfrentam esta circunstância devem lembrar que eles podem per-
sofrer fisicamente as consequências de suas ações, independentemente de qualquer incentivo que tenha sido
fornecido por um empregador ou cliente.
Considere a probabilidade de aplicação. Há momentos em que pessoas que têm direitos legais
opte por não aplicá-los. Por exemplo, o risco de ação legal de um indivíduo natural
pessoa que sofreu uma perda de minimis como resultado de um delito comercial menor pode ser diminuída-
incrivelmente pequeno. Se os direitos de milhares ou milhões dessas pessoas puderem ser reunidos
https://translate.googleusercontent.com/translate_f 123/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
em uma ação coletiva, entretanto, o risco aumenta significativamente.
Considere os desafios de coletar, preservar e apresentar evidências. Esforços para fazer cumprir
direitos legais e esforços para se defender contra reivindicações, todos dependem da capacidade de provar, ou para refutar
os esforços de um adversário para provar, os fatos subjacentes em disputa. Considere quais problemas irão voltar
exigir a prova quando uma parte adversa busca fazer cumprir um direito legal, e como se pode cobrar e
preservar as evidências para um padrão forense apropriado em antecipação à necessidade de defender
contra este esforço. Os profissionais também são aconselhados a explorar os parâmetros de qualquer aplicativo
documento de cabo ou política de retenção de dados, que envolve a rotina e regularmente agendada
destruição ou exclusão de documentos. Enquanto a destruição de rotina de documentos de acordo com
dança com uma política de governança cuidadosamente definida é geralmente permitida, esses procedimentos
normalmente deve ser suspenso na medida em que os documentos possam ser relevantes para qualquer ação legal
ção iniciada ou ameaçada. Qualquer tentativa de destruir evidências que possam
ser relevante para tal ação legal muitas vezes constitui uma violação da lei e pode resultar em
consequências graves.
Considere a responsabilidade indireta. A única maneira certa de reduzir a responsabilidade vicária é influenciar
comportamento do funcionário para reduzir o número de atos que são ilícitos ou violam a aplicação
regulamentos de cabos. Documentos de governança interna destinados a reduzir a responsabilidade perante terceiros
deve, portanto, ser escrito com o objetivo de in uenciar esse comportamento.
Considere a localização de atividades de risco em uma pessoa jurídica de responsabilidade limitada separadas. Advogados rotineiramente
aconselhar clientes empresariais em relação à criação e estruturação de pessoa jurídica separadas
em um esforço para conter passivos dentro de pools definidos de capital de investimento. Isto é um complexo
assunto que requer navegação cuidadosa.
Considere os riscos externos ao sistema jurídico, por si só. Em algumas circunstâncias, o ótimo
maior risco decorrente de uma ação legal ou uma ameaça de ação legal não tem quase nada a ver com
leis ou regulamentos, como tal. Considere, por exemplo, o impacto de uma possível ação legal sobre
a reputação de uma organização ou o impacto de uma descoberta adversa na manutenção de
licenças estaduais relevantes para conduzir negócios.
Considere as mudanças na lei ou na política de aplicação que possam surgir. Sociedades e política
os fabricantes geralmente estão se tornando mais conscientes do impacto da segurança cibernética. Como está ciente-
ness aumenta, estadose seus agentes podem aumentar as atividades de fiscalização, reexaminar como-
sugestões sobre a política existente e intervir rapidamente com leis emendadas ou novas.
https://translate.googleusercontent.com/translate_f 124/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
]
]
] E ] dados
[ ]
[ [ [
.
você ohl eu [
C K
] ] sobre
E 8 ] lei
[ Bossler, [
Manual [
y Diretrizes
Charlesworth
]
Allinn Alden
OurivesT Rowland,
E [ Murra C Holt,
Seigfried-Spellar
CloughManual
proteção
GDPR
. Jurisdição X X X X X X
. Proteção de dados X X X X
. Crime virtual X X X
.6 Contrato X X
.8 Propriedade intelectual X X
. Intermediários de internet X X
. Lei pública internacional X
NOTAS
O processo civil rege questões relacionadas ao processo em procedimentos legais não criminais, como a forma de
alegações apresentadas ao tribunal (incluindo o tamanho e a forma do papel em que foram escritas), tempo permitido
para súplicas e respostas defensivas, métodos de notificação às partes, expansão ou redução do número
das partes em um processo judicial, o escopo da divulgação obrigatória de evidências potenciais, ordens de gestão de casos,
métodos de apelação de decisões adversas, etc. Exemplos dessas regras podem ser encontrados na [Inglaterra e País de Gales]
Regras de Processo Civil, Título 8 do Código dos Estados Unidos e as Regras Federais de Processo Civil [dos EUA].
O procedimento criminal rege as questões relacionadas ao processo em procedimentos criminais. Porque processo criminal
põe em risco a liberdade individual do acusado, essas regras são fortemente influenciadas pela legislação de direitos humanos,
podem ser significativamente diferentes do processo civil e, portanto, são frequentemente mantidos separadamente do processo civil
as regras. Exemplos dessas regras incluem a Lei de Procedimento Criminal e Investigações 6 do [Reino Unido], o Federal [EUA]
Regras de Processo Penal, etc.
As regras de prova regem a apresentação e o exame da prova perante um tribunal. Isso pode incluir
questões como a proibição de algumas categorias de evidências de boatos, apresentação do chamado 'computador
provas ', introdução e exame de depoimentos de especialistas, exame admissível e interrogatório
técnicas, etc.
Os profissionais de segurança cibernética não estão sozinhos nesse aspecto. Advogados altamente experientes exigem rotineiramente
ance do 'advogado local', que são contratados especificamente para garantir o cumprimento dessas regras ao tentar
para gerenciar disputas multiestaduais.
Veja a nota
6 Provas anedóticas recolhidas pelo autor ao longo de muitos anos de legal comercial internacional com foco em TIC
prática, no entanto, sugere fortemente que muitas das normas expressas nesta área de conhecimento também são refletidas
nos sistemas de direito civil (ver Nota ) . Não há nenhuma alegação de que as normas apresentadas aqui seriam necessariamente encontradas
em outros sistemas de direito interno, como aqueles baseados na doutrina religiosa ou no direito consuetudinário sui generis .
Os praticantes podem querer pensar neles como 'Alice real' e 'Bob real' como distintos de 'Dispositivo
Alice 'e' Device Bob '.
Enquanto juristas e juristas tendem a concordar com o processo de emenda legislativa à lei, a ideia
que a evolução dos valores sociais pode levar a mudanças na interpretação da lei não alterada não é universalmente
https://translate.googleusercontent.com/translate_f 125/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
aceitaram. Dependendo do sistema de direito em questão, alguns juristas e juristas consideram que
algumas leis representam valores imutáveis (talvez até universais) e rejeitam qualquer outra noção como inadequada
ou herético. Essa discordância também expõe uma tensão recorrente na definição e manutenção da divisão das pernas.
islativo da autoridade judicial. Para o profissional de segurança, este debate pode ser simplificado da seguinte forma: por qualquer
mecanismo, a lei muda ao longo do tempo.
A natureza e os desafios dos estudos jurídicos foram bem resumidos por David Feldman, QC [ ]
O ritmo de mudança em várias leis depende de quão profundamente enraizadas elas estão nos valores sociais. Certo
princípios fundamentais relativos à administração da justiça (por exemplo, o direito de notificação e o direito de apresentar
um caso a um tribunal), são tão lentos para mudar que parecem, no espaço de uma única geração, ser
imutável. Outros tipos de legislação (por exemplo, legislação tributária) são emendados continuamente.
Na verdade, a utilidade relativa de um sistema de direito sem dúvida depende dessa característica de previsibilidade de
resultado. Uma visão contrária, até mesmo niilista, do direito e da análise jurídica é encontrada na escola acadêmica de crítica
estudos Jurídicos. Um exemplo bom e acessível é a bolsa de Girardeau Spann [ ]
Os sistemas de direito consuetudinário são derivados da legislação da Inglaterra. Estes são os fundamentos dos sistemas jurídicos
no estados que tinham estreitas conexões históricas com a Grã-Bretanha, incluindo Inglaterra, País de Gales, Irlanda, Austrália,
Nova Zelândia, Cingapura, a maioria das províncias constituintes do Canadá, a maior parte do estado constituintes do
Estados Unidos, etc. Como resultado, este sistema de lei é quase onipresente nos territórios anglófonos.
Os sistemas de direito civil são derivados de uma mistura de leis germânicas, napoleônicas e / ou nórdicas. Estes são
a base dos sistemas jurídicos em toda a Europa (com exceção de algumas jurisdições de common lawareia
no estados que tinham estreitas conexões históricas com a Europa continental. Estes incluem estado europeué tal
como França, Alemanha, Itália, Suécia e Rússia, e um estado não europeus como Argentina, Brasil, México e
Japão. (No caso do Japão, o estado de Meiji do final do século XX selecionou o direito civil da Alemanha como o principal
base para seu programa de modernização legal [ ].)
6 Na experiência do autor, confundir um 'projeto de lei' (não uma lei) com um 'estatuto' (lei) não é uma ocorrência incomum
entre os profissionais de segurança cibernética que não estão acostumados com a pesquisa jurídica. Isso é especialmente fácil para o
descuidados que tropeçam na montanha anual de projetos de lei apresentados por membros do Congresso dos EUA que
nunca se tornou lei.
Como uma exceção limitada e restrita, alguns afirmams adotar a prática de examinar a história legislativa (como o
série de projetos de lei conforme foram emendados no processo de debate para se tornarem lei) como um meio de ajudar a
interpretar a lei como finalmente adotada.
8O status da legislação da União Europeia no Reino Unido após o Brexit é complexo. O Reino Unido adotou
legislação que geralmente continuará dentro do corpo da legislação interna do Reino Unido, aquelas leis pré-Brexit da UE que são mais
relevantes para a segurança cibernética (por exemplo, regulamentação de proteção de dados), a menos e até que o Parlamento do Reino Unido decida divergir
princípios jurídicos da UE.
No contexto de um sistema de estado federals, ' estado estrangeiro'pode incluir outro estado membro da federação
ção Assim, os tribunais do Estado de Nova York considerariam as interpretações da lei emitida pelos tribunais do Estado de
Califórnia como as decisões de um estado estrangeiro. Como tal, eles não constituiriam autoridade vinculativa em Nova York
Tribunais estaduais, embora possam ter valor como fonte de autoridade persuasiva. Esta discussão não deve
ser confundido com o assunto da execução de sentenças estrangeiras (ver Seção .)
Por exemplo, o Código dos Estados Unidos (USC) (uma coleção de atos díspares do Congresso dos EUA
organizado em forma de código por editores que revisam o código conforme legislação adicional é adotada ou alterada),
e o Bürgerliches Gesetzbuch (BGB) (o código abrangente do direito civil alemão adotado em massa no
início do século th e alterado de tempos em tempos).
Por exemplo, o Code of Federal Regulations (CFR) (uma forma codificada de legislação secundária dos EUA).
Por exemplo, o Código Comercial Uniforme (UCC) (um conjunto de leis modelo produzido como um projeto conjunto de
a Uniform Law Commission e o American Law Institute, que por sua vez foi adotado com alguns
variações pela maioria dos estados constituintess dos Estados Unidos e, portanto, tornou-se extremamente influente).
Esta última categoria às vezes pode sugerir o desenvolvimento futuro do direito, como estados podem decidir mandatar
conformidade com códigos que começaram a vida como regras sugeridas. Da mesma forma, os tribunais podem usar códigos consultivos como uma forma
de interpretar responsabilidades, como a exigência de agir 'razoavelmente' na avaliação da responsabilidade por negligência.
Por exemplo, o Manual de Tallinn (uma reformulação do direito internacional público aplicável a operações cibernéticas)
e a Reafirmação (Terceiro) de Delitos: Responsabilidade de Produtos [ , ]
Isso pode ser simplificado com a observação: 'Não existe um' lugar 'como o ciberespaço'.
6 Alguns argumentos criativos contra esse resultado incluem a tentativa de caracterizar o ciberespaço como 'território '
https://translate.googleusercontent.com/translate_f 126/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
que existe separadamente do estado soberanos, tentando assim descrever um conjunto universal e harmonizado de
princípios legais que devem ser aplicáveis a todos os usos do ciberespaço globalmente e, em alguns casos, rejeitando o auto
autoridade do estado soberanos para intervir no ciberespaço-Atividades relacionadas. O melhor deles é interessante
experimentos em filosofia jurídica [ 6]
Os méritos relativos de definir uma inteligência artificial como uma pessoa para fins legais foram considerados
por acadêmicos jurídicos de vez em quando [ , 8]
8 Uma variedade de outras doutrinas jurídicas pode criar responsabilidade para pessoas como resultado de ações dirigidas por um
inteligência artificial [ ]
Vários crimes de fraude financeira são frequentemente definidos desta forma, por exemplo, exigindo prova de que o acusado
tinha uma intenção específica de enganar ( cientista ). Muitos dos crimes de computador discutidos na Seção . . não deve
requer tal prova.
A intenção criminosa (ou sua falta) deve ser distinguida das circunstâncias em que a lei expressamente prevê
uma defesa como 'interesse público', 'necessidade pública' ou 'autodefesa'.
'Direito civil' neste contexto, significando direito não criminal, não deve ser confundido com o termo 'direito civil' como um
meios de classificar os sistemas de direito, como os encontrados no estados da Europa continental. Veja a nota .
Princípios da lei de direitos humanos projetados para garantir um julgamento justo para Alice muitas vezes forçam pessoas como Bob a
adiar sua ação civil até que o processo criminal pertinente seja concluído. A diferença nos padrões de prova ,
é inteiramente possível que Alice seja considerada 'inocente' do alegado crime e ainda seja considerada responsável pelo alegado
delito
A lei do Reino Unido proíbe expressamente a introdução do conteúdo de tais comunicações interceptadas
cações como prova em processos judiciais.
Esta definição de 'prova'está em nítido contraste com uma' prova matemática '. No campo da matemática, para
'provar' algo significa estabelecer a inegabilidade como uma necessidade lógica - estabelecer a verdade de uma proposição
além de qualquer disputa. (Por exemplo, a prova do teorema de Pitágoras.) Em contraste, a prova de um evento do mundo real
em um tribunal nunca resulta em certeza absoluta. Um investigador de fato em um processo legal deve chegar a uma conclusão
em menos do que certeza total. Um jornalista de tecnologia resumiu isso de forma eloquente quando declarou: 'O propósito
da lei não é alcançar a verdade filosófica ou matemática, mas tomar uma realidade confusa e alcançar o viável
resultados com os quais a sociedade pode conviver ]'[
Uma 'defesa afirmativa' é contrastada com outros tipos de defesa onde a parte busca um direito de ação
continua a ter o ônus da prova. Por exemplo, em um processo criminal por homicídio segundo a lei inglesa, se
'auto-defesa' as reivindicações acusados continua a ser da responsabilidade do estado para provar além de qualquer dúvida razoável
que o acusado NÃO tem direito à defesa. Em contraste, uma alegação de 'insanidade' é uma defesa afirmativa
ao abrigo do direito penal inglês. O ônus de provar a insanidade recai sobre o acusado, embora o padrão da prova
exigido é apenas o 'equilíbrio de probabilidades' [ ]
6 Existem muitas críticas possíveis a esta abordagem para explicar a análise de risco legal, incluindo o foco em
'custo' como um determinante do risco. Fatores além dos meros financeiros são considerados na Seção ..
Embora os tribunais usem a mesma frase para descrever os dois padrões de prova, eles permanecem livres para definir
diferentemente no contexto da interpretação de duas leis diferentes adotadas para dois propósitos diferentes.
8 Este termo também pode ser usado para descrever o assunto e a autoridade territorial de uma pessoa jurídicas criado por
tratado entre estados, como uma organização governamental internacionals (por exemplo, o ITU) e propósito especial
organizações municipais multiestaduais (por exemplo, The Port Authority of New York e New Jersey, e o Washington
[DC] Autoridade de Trânsito da Área Metropolitana).
Em contraste, ' jurisdição do assunto'refere-se ao escopo do assunto que pode ser abordado
por uma determinada entidade. Por exemplo, um único estado pode escolher dividir seu sistema judicial em duas partes: uma que
trata apenas de reclamações criminais e uma que trata apenas de questões civis. Embora a jurisdição territorial
de ambos os tribunais podem ser idênticos, a jurisdição do assunto é claramente diferente. Da mesma forma, o escopo de
autoridade delegada a agências regulatórias individuais, ministros de estado, etc., constituem um tipo de assunto
jurisdição dessa agência.
Uma boa introdução aos princípios da jurisdição jurídica para processos civis encontra-se na reformulação Bruxelas I
Regulamento, que apresenta as regras normalmente aplicáveis às matérias civis nos tribunais localizados no âmbito europeu
União [ ]
Para tomar um exemplo ccional reconhecidamente excêntrico do Velho Oeste, no filme Silverado Sheriff Langston
(retratado por John Cleese) interrompe sua perseguição de suspeitos de crimes pelo deserto após um
atirador abre fogo em seu pelotão. Ele justifica sua ação explicando ironicamente a seus companheiros: 'Hoje minha jurisdição
termina aqui '[ ] O dilema do xerife Langston ilustra a relação entre o poder do estado e a fiscalização
jurisdição. Exemplos não-funcionais que exploram os limites territoriais do poder de aplicação do estado são prontamente
disponíveis, embora controversos e, em alguns casos, objeto de disputas jurídicas diplomáticas e internacionais.
Veja vários estatutos dos EUA que criminalizam atos de homicídio contra cidadãos norte-americanos enquanto no exterior codi cados em 8
USC §.
As razões pelas quais essa atividade pode não ser ilegal sob a lei do primeiro estado incluem, mais obviamente, onde
o primeiro estado não adotou nenhuma lei para criminalizar a atividade de hacking denunciada. Alternativamente, o primeiro
Estado pode criminalizar a atividade em circunstâncias normais, mas oficialmente garante a operação cibernética de acordo com
à autoridade interna legal do primeiro estado. Neste segundo cenário, a pessoa que realiza a operação
normalmente seria imune a processo criminal no primeiro estado, mas sujeito a processo criminal em
o segundo. Esta discussão concentra-se exclusivamente na responsabilidade da pessoa não estatal relevante que realiza a ação cibernética
Operação. A responsabilidade do estados uns aos outros para tais operações é tratado no direito internacional público (ver
https://translate.googleusercontent.com/translate_f 127/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Seção .)
Os assuntos de espionagem e coleta remota de evidências são discutidos nas Seções . . & . .
A disputa sobre o controle legal dos servidores-raiz do DNS, e sua resolução informal, embora dramática, é re-
contado por Goldsmith e Wu e criticado por Froomkin, entre outros [, ]
6 Um banco nesta situação enfrenta o problema prático de dois estados concorrentesestá fazendo demandas conflitantes:
um ordenando o pagamento e um segundo proibindo o pagamento. Levando a análise um passo adiante, imagine o que
poderia acontecer se (em um esforço para evitar ações de aplicação adversas pelos Estados Unidos) a filial de Londres
de um banco dos EUA recusou-se a cumprir a sentença de um tribunal inglês. Este banco pode comprometer sua capacidade
para conduzir atividades bancárias regulamentadas em Londres. Presumivelmente, o depositante também pode pedir aos tribunais ingleses
assistência à execução exigindo a apreensão e confisco de fundos detidos por tais bancos americanos inadimplentes
em depósito em outros bancos no Reino Unido. O depositante também pode tomar a decisão e solicitar a execução
por estado de terceiros onde o banco dos EUA também mantinha fundos em depósito. Esses são os tipos de análise que surgem
quando uma pessoa não estatal considera o risco de mandatos estaduais potencialmente conflitantes .
No contexto do sistema federal dos EUA, cada estado- membro dos EUA normalmente é obrigado a fazer cumprir a lei civil
julgamentos emitidos por tribunais de outro estado membros sob o mandato constitucional de dar 'plena fé e
crédito 'para atos de outro estado dos EUAs. (Constituição dos EUA, Art IV, Sec.) Uma regra semelhante se aplica na União Europeia por
aplicação do Capítulo III do (reformulação) Regulamento Bruxelas I [ ].
8 Para evitar um ponto de confusão ocasional, se um suspeito estiver viajando do Estado A para o Estado C e eles estiverem
em trânsito no Estado B, a polícia do Estado B normalmente consegue prender esse suspeito ao chegar ao Estado B.
continua a ser verdadeiro mesmo que o suspeito não solicite a entrada no Estado B. Os suspeitos de crimes podem ser, e têm
sido, preso nas áreas de trânsito internacional dos aeroportos.
A frase de Lessig 'código é lei' tem sido objeto de ampla discussão entre os tecnólogos e
advogados [ ] Lessig destaca a estreita inter-relação entre os controles tecnológicos (código de computador) e
controles de governança humana (código legal). Ambos são mecanismos que podem servir para limitar a forma como os sistemas são usados.
Cada mecanismo tem uma utilidade diferente. E, em última análise, cada mecanismo pode influenciar o outro. No entanto, o
frase foi interpretada por alguns como significando que 'quem quer que escreva o código do computador está essencialmente fazendo o
lei'. A história de como as leis são aplicadas em relação às atividades relacionadas à Internet sugere fortemente que este
interpretação é (na melhor das hipóteses) terrivelmente enganosa e (na pior) não compreende a direção da causalidade entre
computador e código legal.
Embora os tecnólogos certamente tenham desfrutado da vantagem do pioneiro na escolha do design do arquivo subjacente
proteção da Internet e aplicativos relacionados, legisladores - e as sociedades para as quais eles atuam como representantes
- responderam fortemente com suas próprias opiniões sobre como os sistemas deveriam funcionar. Como um autor disse ironicamente
observado, a opinião da sociedade parece ter mudado 'de "Código é Lei" para "Lei é Lei"' [ 6 ] Em outras palavras, um
não deve presumir que as pessoas que escrevem o código (de computador) são as mesmas que criam o código
normas a serem aplicadas.
O papel significativo desempenhado por vários operadores de plataforma na filtragem de conteúdo em um estado-speci c ba-
sis e fornecer ferramentas de geo-filtragem semelhantes aos seus clientes fornecedores de conteúdo é frequentemente esquecido na política
debate.
Um exemplo de filtragem colaborativa é encontrado no trabalho da Internet Watch Foundation. Entre outros
coisas, a IWF mantém um banco de dados de URLs de sites conhecidos por hospedar imagens de abuso sexual infantil. Este banco de dados
é usado por vários provedores de serviço para restringir o acesso a esses sites [ 6]
A opinião do juiz Lynch, concordando, é especialmente interessante, pois ele escreveu para destacar muitos dos mais
aspectos políticos perturbadores e contra-intuitivos que resultariam do julgamento e 'para enfatizar a necessidade
para ação do Congresso para revisar um estatuto muito desatualizado '.
Embora o caso da Microsoft tenha sido encerrado antes do julgamento, a extensa coleção de resumos levou a
a Suprema Corte dos EUA por uma variedade de terceiros interessados constitui um tesouro de análise e defesa
cácia neste tópico. Ainda é possível que uma futura disputa seja levada aos tribunais dos EUA para desafiar o
autoridade do Congresso dos EUA, nos termos da Constituição dos EUA, para estender a jurisdição dessa forma. Enquanto
o resultado de qualquer desafio futuro é discutível, parece improvável que tenha sucesso.
Embora as pessoas mais frequentemente discutam a questão da soberania dos dados no contexto da divulgação forçada de
dados, outras intervenções do estado também podem ser possíveis, como alteração ou exclusão obrigatória de dados, ou obrigatória
interrupção do serviço.
6 Métodos usados em um esforço para mitigar este risco usando tecnologia criptográfica, fragmentação de banco de dados ou repli-
cação sobre servidores em vários estadoss, etc. estão fora do escopo desta área de conhecimento.
O regulamento, é claro, não interfere com quaisquer regras de localização de dados impostas por razões de estado
segurança, uma vez que esta área está fora da jurisdição regulamentar da União Europeia.
8A discussão na seção se concentra principalmente nos direitos de privacidade da pessoa físicas. Estados pode e
aplique estes direitos ou direitos semelhantes à pessoa jurídicas, embora os direitos de privacidade da pessoa jurídicas pode ser menor que
aqueles atribuídos a pessoas naturaiss em algumas circunstâncias.
Para compreender o contexto jurídico dos instrumentos internacionais citados, consulte a discussão introdutória de
direito internacional público na Seção ..
https://translate.googleusercontent.com/translate_f 128/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
6 No sistema jurídico dos EUA, por exemplo, a Quarta Emenda da Constituição dos EUA fornece um conjunto de direitos
que limitam apenas as ações do estado , enquanto a Constituição da Califórnia concede um direito geral de privacidade eficaz contra
ações estatais e não estatais. Tanto os EUA quanto seu estado constituintes promulgaram um grande número de leis
que regulam as intrusões sob várias condições. A paisagem é complicada.
6 Exemplos possibilitados pela economia emergente de aplicativos móveis incluem o processamento de dados relativos a
contatos pessoais, calendário e informações de agendamento, dados bancários e credenciais de autenticação, pessoais
notas e comunicações, histórico de navegação e compras, dados de relacionamento íntimo e uma variedade de informações sobre saúde
dados relacionados de freqüência cardíaca e padrões de exercício para dados de menstruação. Cada novo conjunto de dados apresenta uma pergunta
sobre a expectativa 'normal' de privacidade ao usar esses serviços, e o escopo permissível de intrusão por
estatal e nãopessoas do estado.
6 No caso referenciado de Smith v Maryland, a Suprema Corte dos EUA decidiu naquela divulgação forçada
a certeza dos registros de discagem do cliente não constituiu uma 'pesquisa' para os fins da Quarta Alteração para os EUA
Constituição, uma vez que o cliente não tinha expectativa de privacidade na lista de números discados [ 8]
6 Compare as informações que podem ser inferidas depois de descobrir que um alvo de investigação navegou
a uma string de URL, como 'web.example.com/politicalpartyname/how-to-renew-my-membership.htm' com o dis-
covery que a mesma pessoa discou um número de telefone como '- - -'. Neste exemplo, o URL meta-
www.cybok.org
os dados levam a uma forte inferência do conteúdo da comunicação e a provável capacidade de reconstruir os acessados
conteúdo precisamente.
6A Suprema Corte dos Estados Unidos, por exemplo, decidiu em 8 que um cliente de telefone celular tem uma expectativa razoável
ção de privacidade nos dados de localização e, portanto, o estado- a divulgação obrigatória destes dados constitui uma 'pesquisa'
para fins da Quarta Alteração [ ] Na Europa, os dados de localização do cliente foram expressamente protegidos sob
leis de privacidade e proteção de dados por algum tempo.
66 Considere, por exemplo, a capacidade de várias técnicas de desanonimização que podem ser aplicadas a meta-
dados, bem como o crescimento relatado da análise de metadados no campo da inteligência de sinais.
68 A complexidade que um provedor de serviços multinacionais enfrenta em cumprir as obrigações legais de interceptação é
bem ilustrado no relatório de transparência publicado da Vodafone, que inclui um longo resumo dos
leis que enfrentam em 8 estados [ ]
6 Em um esforço para navegar pelas potenciais restrições ao relato de novos tipos de interceptação, alguns provedores de serviços
adotou a prática de publicar os chamados 'Warrant Canaries' - uma declaração publicada em uma base recorrente
que nenhum mandado de interceptação de um determinado tipo foi recebido. A teoria por trás dessa prática era que um
a falha subsequente em republicar a declaração Canário permitiria ao público inferir (sem a comunicação
fornecedor de cátions declarando expressamente) esse estado- a interceptação garantida havia começado. Esta prática parece
caíram em desgraça, provavelmente com a ajuda do status legal, às vezes discutível, da prática, além de
intervenções legais do estado nacional que tornaram esta estratégia mais difícil ou impossível de realizar dentro dos termos
da lei aplicável. Veja, por exemplo, USC § 8 (a) [ ]
Nos Estados Unidos, alguns tribunais sustentaram que os esforços para obrigar a divulgação de senhas geram escrutínio sob
direito dos direitos humanos, uma vez que obriga um suspeito a testemunhar contra si mesmo, enquanto a apresentação obrigatória de
uma impressão digital para desbloquear um dispositivo não aciona esta mesma objeção legal [ 6 ] Esta é uma área onde
os padrões permanecem obscuros e o tópico está maduro para mais disputa e desenvolvimento [ 66]
Os profissionais devem ter o cuidado de distinguir entre atividades, como o desenvolvimento de uma comunicação
protocolo, escrevendo software que implementa um protocolo, fornecendo tal software ao público e fornecendo
um serviço que implementa um protocolo. Um teste rápido que pode ajudar a esclarecer uma pessoaO status de é perguntar isso
pergunta: 'O serviço de comunicações relevante continuaria a operar se os processos administrados por este
pessoa deixou de funcionar? ' Assim, uma pessoa que fornece serviços IMAP , serviços SMTP ou uma distribuição de chaves
serviço para suportar criptografia ponta a ponta para um aplicativo de comunicação é mais provável de ser classificado como uma comunicação
fornecedor de serviços de comunicações ao abrigo da legislação relevante do que uma pessoa que apenas escreve software que implementa
um protocolo. Os detalhes das leis aplicáveis divergem significativamente e devem ser investigados em um estadopor estado.
Por exemplo, Brady v Maryland [ ] Isso é menos provável de ocorrer na medida em que a lei de um estado (tal
como o Reino Unido) proíbe o uso de comunicações interceptadas como evidência em ação legals [ 6] em s. 6
A regra de exclusão dos EUA tem sido calorosamente debatida por mais de meio século.
Atividades realizadas por estados em defesa da segurança do estado geralmente ficam fora da jurisdição prescritiva
da UE. Estado membroOs s podem escolher individualmente aplicar princípios semelhantes no contexto de segurança do estado [8 ],
Papel .
6 Os profissionais não devem perder de vista esse propósito regulatório. Ao avaliar os riscos de vários processos
atividades e disposições de segurança no contexto do cumprimento da lei de proteção de dados, o risco a ser avaliado
é normalmente o risco de danos aos titulares dos dados - seres humanos vivos. Riscos enfrentados pela empresa de processamento (em
incluindo riscos de não conformidade com a legislação de proteção de dados) devem ser avaliados separadamente. Uma observação semelhante
pode ser encontrado no contexto do caso Carroll Towing discutido na Seção . . . e nota .
https://translate.googleusercontent.com/translate_f 129/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
prontamente disponível [ 6]
8 Por exemplo, o termo 'informações de identificação pessoal' é definido para os fins da lei de falências dos Estados Unidos
no USC § (A) e definido de forma diferente para os fins de uma lei federal que proíbe a divulgação de
www.cybok.org
Este é um resultado natural da abordagem dos Estados Unidos a este assunto, que consiste em adotar leis sui generis estreitamente elaboradas.
que se concentram especificamente em casos de uso individuais. As decisões citadas são tiradas de exemplos dos tribunais dos Estados Unidos
interpretando uma lei de 88 originalmente adotada para restringir a divulgação de registros de locação de vídeo conforme eles eram mantidos em
os 8 s. Os tribunais foram chamados a interpretar este estatuto de envelhecimento no contexto do serviço de streaming online
registros em. Os profissionais podem estar interessados em observar que, como os tribunais dos Estados Unidos têm a responsabilidade de
interpretar a vontade do Congresso dos EUA ao resolver esses casos, eles parecem desconhecer (ou talvez desinteressados
in) as de nições técnicas de PII oferecidas pelas publicações ISO e NIST [ , 8]
8 Na prática, pode haver uma forte tentação e pressão correspondente de supor que a ausência
de identificadores pessoais óbvios em um conjunto de dados significa que nenhum dado pessoal está presente. Uma abordagem melhor é
reconhecer que a lei de proteção de dados tende a medir as obrigações em proporção aos riscos apresentados por
qualquer atividade de processamento. Conjuntos de dados contendo dados pessoais sem identificadores pessoais óbvios podem
portanto, apresentam um risco menor quando processados, tornando a conformidade menos onerosa nesses casos.
8 Consentimento é talvez um dos termos menos bem compreendidos e calorosamente debatidos na lei de proteção de dados. Dentro
além de muitas fontes de orientação publicadas por autoridades públicas sobre este assunto, os profissionais que desejam
explorar este conceito em profundidade pode se inspirar fora do corpo da lei de proteção de dados [ 8]
8 As notificações discutidas nesta seção são distintas de requisitos separados, se houver, para compartilhar
informações sobre violação de segurança com reguladores específicos da indústria ou autoridades de coordenação de segurança (consulte
Seção . .)
8 por, 6 estados dos EUAs adotaram legislação exigindo alguma forma de notificação de violação de dados pessoais
às pessoas afetadas [ ]
8 Obrigações obrigatórias de comunicar violações de dados pessoais aos titulares dos dados, independentemente do risco de
danos foram criticados por uma série de motivos, incluindo: os titulares dos dados ficam sobrecarregados de comunicação
cações e são incapazes de distinguir o grau de risco apresentado por qualquer violação individual, comunicando a um
grande conjunto de titulares de dados consome muitos recursos, e a comunicação com os titulares de dados pode interferir
com a capacidade das autoridades policiais de investigar a violação.
8A OIC do Reino Unido explicou o ne proposto em sua Declaração de 8 de julho: 'O ne proposto refere-se a um
incidente cibernético notificado à OIC pela British Airways em 8 de setembro. Esse incidente envolveu em parte o tráfego de usuários
para o site da British Airways sendo desviado para um site fraudulento. Através deste site falso, detalhes do cliente
foram colhidos pelos atacantes. Dados pessoais de aproximadamente, clientes foram comprometidos em
este incidente, que se acredita ter começado em 8 de junho. A investigação da OIC descobriu que uma variedade de
informações foram comprometidas por acordos de segurança insuficientes na empresa, incluindo login, cartão de pagamento,
e detalhes de reserva de viagens, bem como informações de nome e endereço. '
86 A OIC do Reino Unido explicou o ne proposto em sua Declaração de julho: 'O ne proposto refere-se a um
incidente cibernético que foi notificado à OIC por Marriott em 8 de novembro. Vários dados pessoais contidos
em aproximadamente milhões de registros de convidados em todo o mundo foram expostos pelo incidente, dos quais cerca de milhões
relacionado a residentes de países do Espaço Econômico Europeu (EEE) Sete milhões eram parentes de residentes no Reino Unido.
Acredita-se que a vulnerabilidade começou quando os sistemas do grupo de hotéis Starwood foram comprometidos em
. Posteriormente, a Marriott adquiriu a Starwood em 6, mas a exposição das informações do cliente não foi
descoberto até 8. A investigação da OIC concluiu que a Marriott falhou em realizar a devida diligência suficiente
quando comprou a Starwood e também deveria ter feito mais para proteger seus sistemas. '
8 Como observa Ian Walden, 'classificar determinado assunto como criminalmente ilegal pode ser altamente contencioso
assunto, levantando questões de nicionais complexas, questões de causalidade e questões de direitos humanos, especificamente
direitos à privacidade, liberdade de expressão, reunião e associação '[ ] no para. .
88 O problema é apresentado no caso bem conhecido de R v Gold e Schifreen [ 8] Os acusados foram presos
no Reino Unido em 8, depois de obterem uma senha de sistema para um sistema de e-mail antigo e usá-la para acessar um
conta de e-mail atribuída a um membro da Família Real Britânica. Embora o acusado tenha sido originalmente condenado
após o julgamento em 86 por violar a Lei de Falsificação e Falsificação 8, a Câmara dos Lordes (na época, o
tribunal de último recurso do Reino Unido) anulou a condenação em 88, afirmando que a ação reclamada não era uma
violação do 8º estatuto.
8 Bruce Sterling fornece uma história interessante das primeiras investigações de crimes informáticos e esforços de acusação
na década de 8 pelas autoridades dos EUA, e descreve de forma colorida como às vezes eles erraram o alvo pretendido
www.cybok.org
[ ] Clifford Stoll também descreve os desafios contemporâneos que encontrou como cidadão em-
tentado a investigar invasão de computador, reclamando que muitas vezes não conseguia encontrar agentes policiais
capaz de ajudá-lo [ ]
https://translate.googleusercontent.com/translate_f 130/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Um catálogo de estatutos de crimes informáticos estaduais dos EUA é mantido pela Conferência Nacional de Legislação Estadual
laturas [ ] Uma pesquisa muito útil e freqüentemente citada das leis estaduais dos EUA foi compilada por Susan Brenner [ ]
Tanto a Convenção de Budapeste quanto a Diretiva / estado permitidoum certo grau de flexibilidade nos detalhes
de suas leis domésticas, e muitos estados contratantess declararam reservas contra certas disposições de
a Convenção de Budapeste.
De maneira confusa, o verbo 'hackear' também é usado para descrever pesquisa e desenvolvimento de TIC não criminais, muitas vezes informais,
atividades de planejamento que são agradavelmente inteligentes ou que demonstram uma característica previamente desconhecida de um objeto.
Esta conotação positiva do termo agora se estende além do domínio do desenvolvimento de TIC, como pode ser encontrado em
frases emergentes como 'hack da vida' e 'hackathon'.
O papel da discrição do promotor é uma possível explicação para a falta de uma exceção de minimis no
definição de crimes informáticos. Veja a discussão nas Seções . . e . ..
Isso foi discutido depois que o 'experimento de botnet' do programa de televisão Click foi transmitido na BBC
em março, em que os produtores do programa adquiriram e comandaram as ações de tal botnet,
embora com uma intenção declaradamente benigna [ , , , 6]
Em alguns casos raros, é concedido a pessoas não estatais o direito de iniciar um processo criminal quando o estado
oficiais optaram por não fazê-lo.
6 Tribunais Federais dos EUA empreendem uma abordagem algorítmica no cálculo de sentenças criminais recomendadas para fins
conforme as Diretrizes de condenação federal dos EUA [ ] De acordo com essas diretrizes, crimes contra sistemas de informação
são classificados como crimes 'econômicos' e as sentenças podem ser significativamente reforçadas com base no valor do dano
causado pela atividade criminosa [ ] (Os detalhes do cálculo são apresentados em [ ] em § B. , tomando nota de
as várias regras interpretativas aplicáveis às violações de 8 USC §, et seq .) Embora os juízes federais sejam
obrigados a levar este cálculo em consideração ao proferir a sentença, eles podem se desviar da sentença
diretrizes sujeitas a quaisquer limites que possam ser ordenados pelo Congresso no estatuto criminal substantivo.
Isso se torna mais óbvio quando se considera os esforços de intrusão contra sistemas de controle industrial, como
aqueles que operam comportas de barragens, redes nacionais de energia elétrica, siderúrgicas e fundições, automóveis, petróleo
petroleiros, oleodutos e instalações de geração de energia nuclear.
8 Historicamente, o Computer Misuse Act não contemplou a ideia de estado- intrusão garantida em
sistemas de informação. Esta exceção expressa à responsabilidade criminal nos termos da Lei apareceu pela primeira vez no Regulamento
da Lei de Poderes de Investigação, antecessora da Lei de Poderes de Investigação 6.
Tal prova provavelmente consistiria em pedir ao pesquisador que extraísse inferências razoáveis do
circunstâncias que cercam qualquer ato de produção ou distribuição.
Alguns argumentaram que a condução de atividades 'legítimas' de pesquisa de segurança deve ser protegida contra criminosos
(e talvez civil) se as condições apropriadas forem atendidas [ 8, ] Argumentos semelhantes foram apresentados
na causa do jornalismo relacionado à segurança. Esses argumentos de política ainda não encontraram apoio esmagador
de vários legisladores estaduais , embora o debate não esteja bem avançado.
Tem sido sugerido que as pessoas que se envolvem em atividades de pesquisa e desenvolvimento de segurança que podem
caso contrário, constitui uma violação de minimis das leis de crimes informáticos pode entrar em acordo formal ou informal-
com a aplicação da lei ou funcionários de segurança do estado para receber uma garantia de não processo. Riscos para
o praticante inclui potencial mal-entendido com os funcionários do estado , potencial incapacidade de fazer cumprir o
acordo de acusação ou risco legal colateral, como responsabilidade civil [ 6] Riscos para um estado que busca esta estratégia
incluem a possibilidade de que tal acordo possa ser usado para atribuir responsabilidade ao estado sob
direito internacional para as ações de tais pesquisadores ou desenvolvedores (ver Seção .)
Em alguns sistemas de direito contratual, no entanto, um provedor de serviços pode ser obrigado a fornecer aos clientes
tempo para pagar ou avisos especiais antes que os serviços possam ser suspensos. Suspensão de serviços em circunstâncias que
causaria uma ameaça à vida humana e ao bem-estar (por exemplo, serviços de energia fornecidos em um clima extremamente frio) são
frequentemente regulados separadamente e podem ser suspensos apenas de acordo com regras estritas.
O livro de casos de Orin Kerr nos EUA contém uma coleção útil de citações e argumentos sobre este tópico ([ ] no
CH. G).
www.cybok.org
Os indícios de executoriedade estão geralmente além do escopo deste trabalho. É difícil descrever em geral
normas jurídicas multinacionais viáveis sobre isso, e esse tópico é de menor preocupação para os profissionais de segurança cibernética.
O termo 'oferta' deve ser considerado com cuidado e diferenciado de formas menos significativas de comunicação
como um «convite à apresentação de propostas» ou um «convite à apresentação de propostas». Embora alguns sistemas de comércio eletrônico sejam contratuais
oferece a uma ampla gama de clientes em potencial, o design mais comum é o fornecedor publicar o convite
ções a serem tratadas - essencialmente, pedir aos clientes que façam uma oferta ao fazer um pedido. Isso geralmente muda quem
tem controle sobre o tempo de criação do contrato de volta às mãos do fornecedor online - um risco frequentemente útil
dispositivo de gerenciamento.
6 Profissionais qualificados em ciência da computação podem desejar inspirar-se no problema dos dois generais.
Neste contexto, 'pedido' refere-se a uma comunicação de um cliente potencial a um fornecedor em busca de um contrato. Dentro
prática, um pedido geralmente constitui uma oferta ou uma aceitação, dependendo dos termos e condições
aplicável à plataforma online relevante. No campo do comércio online da Colúmbia Britânica, tornou-se uma prática comum
para que um pedido seja definido como uma oferta contratual - capaz de ser aceita ou rejeitada pelo fornecedor online.
https://translate.googleusercontent.com/translate_f 131/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pedidos e reconhecimentos.
Por exemplo, sistemas de transações financeiras, como SWIFT, sistemas de reserva de companhias aéreas, como Amadeus,
Galileo, etc.
Esta área de conhecimento não buscará diferenciar entre uma garantia contratual e uma condição contratual
ção Embora criem direitos diferentes nas mãos de uma parte que sofre uma violação, o tópico está além do escopo
desta área de conhecimento.
De acordo com a lei inglesa, isso é normalmente denominado como a condição de "qualidade satisfatória" e era anteriormente conhecido
como a condição de 'qualidade comercializável'. De acordo com a lei da maioria dos estados dos EUA, é denominado a garantia de 'mer-
cantabilidade '. Os sistemas de direito civil adotam um conceito semelhante.
Na lei da Inglaterra e na maioria dos estados dos Estados Unidos, isso é denominado "adequação para o propósito". Mais uma vez, na Inglaterra, este é
considerada uma condição contratual e, nos estados dos EUA, geralmente é uma garantia.
Exemplos de linguagem típica encontrados em contratos de fornecimento de software incluem, 'O fornecedor garante que
o software estará em conformidade com a Documentação por um período de 6 dias após a entrega. '
Estes não são termos legais da arte, mas apenas usados para ilustrar o grau variável de gravidade da violação.
6 Os nomes dos remédios foram extraídos da prática do direito consuetudinário. Outros sistemas jurídicos podem empregar diferentes
termos e / ou conceder soluções alternativas.
Aqueles que lidam regularmente com contratos de aquisição podem encontrar este conceito expresso em cláusulas que
especificar o direito de rescindir um contrato após 'violação material', 'violação material que causa significativa
dano ',' uma série de violações menores que criam coletivamente danos materiais ', etc. A definição do gatilho é
limitado apenas pela imaginação do redator, embora alguns sistemas jurídicos imponham limites à eficácia
dessas cláusulas.
8O principal caso sobre esta questão na Inglaterra no início do século XX dizia respeito ao dever de uma pessoa
que engarrafa bebidas devidas àquelas pessoas que eventualmente as bebem. O advento da economia moderna
criou cadeias de abastecimento em que o produtor e o consumidor não tinham relação comercial direta, onde os produtos
mude de mãos várias vezes antes de ser consumido. Aplicando uma versão anterior da regra descrita acima,
o tribunal inglês (agindo na sua qualidade de formulador de políticas de common law) declarou que a bebida engarrafada era
em si, o elo próximo entre o produtor e o consumidor, e que um produtor de tal bebida poderia prontamente
prever os danos causados pela adulteração do conteúdo da garrafa.
Um exemplo bem conhecido, beirando os quadrinhos, pode ser encontrado no caso 8 Palsgraf [ ] (Veja também discus-
sion of causation in Section . ..)
Esta última categoria é mencionada por causa da prática ocasionalmente encontrada em que uma pessoa tenta
para evitar responsabilidades evitando propositadamente o conhecimento do risco. É improvável que esta estratégia derrote uma reivindicação de neg-
ligência e pode até exacerbar a responsabilidade na jurisdiçãos que concedem danos punitivos. (Veja a discussão em
Seção . ..)
No caso 8 Dittman citado , a Suprema Corte da Pensilvânia anunciou que a lei comum da Pensilvânia
a sylvania impõe aos empregadores o dever de zelo por salvaguardar o armazenamento eletrónico dos dados dos funcionários. Entre-
tribunal de apelação no estado de Illinois chegou à conclusão oposta ao interpretar o
direito consuetudinário de Illinois [ ] Nos EUA, a lei de negligência pode desempenhar um papel cada vez maior na definição de responsabilidades
para salvaguardar os dados pessoais.
O juiz Hand surpreendeu os profissionais do direito da época ao expressar esse conceito usando uma fórmula matemática
mula, afirmando que se B <PL então a não adoção de determinada precaução constitui negligência, onde B é
a carga (custo) do método, P é a probabilidade de perda na ausência do método, e L é a quantidade
de perda a ser evitada. Esses dois casos e uma fórmula foram objeto de extensos comentários e debates
e análise por gerações de advogados e estudantes de direito dos EUA e continua sendo uma estrutura útil para discutir o risco
e responsabilidade [ 8 , ] Os profissionais podem querer considerar como as mudanças no ambiente de segurança cibernética
ao longo do tempo (incluindo os custos decrescentes de algumas tecnologias defensivas (B), bem como as probabilidades de mudança de
danos a terceiros (P) e a quantidade de perdas que eles podem sofrer (L) como resultado de mudanças no ambiente
ambiente de trabalho, como a migração para diferentes infraestruturas, agregações cada vez maiores de 'big data', etc.) podem
responsabilidade de influência. A velocidade com que essas variáveis mudam pode ajudar a planejar a frequência de reavaliação
decisões de rejeitar as precauções propostas. A precaução 'impraticável' de ontem pode se tornar a 'obrigação' de amanhã
tem 'solução.
Uma observação semelhante no contexto da regulamentação da proteção de dados pode ser encontrada na Seção . ..
No caso referido, a alegação de negligência per se foi baseada em uma alegação de que a Target não tinha
cumprir a lei de Minnesota sobre o armazenamento adequado de detalhes de cartão de crédito [ ] (Veja também a discussão
deste caso na Seção . .)
6O worm Morris pode ser um dos primeiros exemplos desse tipo de incidente [ ]
Esta seção é dirigida principalmente a 'defeitos de design' e não discute 'defeitos de fabricação', em
quais produtos individuais de uma execução de produção se desviam de suas especificações devido à intermitência esporádica
erros no processo de fabricação.
8 Mesmo que um produtor de software não seja passível de uma ação judicial fundada em uma teoria de responsabilidade objetiva, ele ainda pode
enfrentar uma reclamação fundada em uma teoria da negligência. Uma vítima que está entrando com uma ação legal contra um produtor de software com base
em uma teoria de negligência seria necessário provar uma conduta irracional por parte do produtor de software.
https://translate.googleusercontent.com/translate_f 132/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os automóveis que dirigem sozinhos, em particular, geraram uma discussão significativa como advogados e
os legisladores consideram as regras de responsabilidade atuais e as alterações potenciais a essas regras para permitir que
tecnologia antecipada [ , , ]
Essas cadeias de causalidade atenuadas são um meme familiar nas histórias de ficção científica sobre viagens no tempo. UMA
não-ficção, mas divertida exploração de cadeias altamente atenuadas de causalidade da história científica é encontrada
no trabalho do jornalista James Burke em várias iterações de seu programa de televisão da BBC, 'Connections'.
Esses casos de 'declaração falsa negligente' são observados de perto por profissionais e outros prestadores de serviços em
o negócio de fornecimento de serviços relacionados a informações críticas, como contadores públicos. Este tipo de negligência
a teoria da gênese também é de interesse especial para os prestadores de serviços de confiança, uma vez que potencialmente define sua responsabilidade para com
terceiros que confiam na exatidão dos certificados emitidos. (Consulte a seção .)
No caso Dittman citado , a Suprema Corte da Pensilvânia, atuando em seu papel de intérprete do comum
lei da Pensilvânia, realizada em 8 de novembro, que os empregadores têm o dever de cuidar de seus funcionários para manter
segurança cibernética razoável para proteger os dados do funcionário contra perda [ 6] Em qualquer incidente semelhante na UE, um delito
a ação poderia ser concebida facilmente sob uma teoria de violação dos direitos de proteção de dados.
Um exemplo óbvio são as várias ações legaiss trazidos por instituições nanceiras contra seguir a Meta
seu conhecido incidente de perda de dados do cartão. Os bancos demandantes em pelo menos uma das ações com base em sua reivindicação
várias teorias jurídicas, incluindo negligência e negligência per se [ ] Acordos deste processo legal e outros
trazido por instituições nanceiras contra a Meta ultrapassou US $ milhões [ , 6]
Compare as perdas facilmente quantificáveis resultantes da violação de privacidade, como a perda de receita de um
sive acordo para publicar as fotos do casamento da vítima em um jornal específico, resultando em perda de salário
de demissão da vítima do emprego, etc., com danos mais difíceis de quantificar, como o constrangimento da vítima
ment ou vergonha.
O auditor interno foi preso e acusado de violação criminal da lei de proteção de dados, crime de informática,
e fraude. Ele foi condenado e sentenciado a oito anos de prisão.
Compare a aplicação potencial da defesa de última geração no contexto da ciência dos materiais onde (para
por causa do argumento) no momento da produção não havia nenhum teste científico conhecido para o defeito descoberto posteriormente
no material, com o contexto de um defeito de produto induzido por software devido a um dia zero previamente desconhecido
explorar. Pode-se dizer que o primeiro era desconhecido, enquanto o último era simplesmente desconhecido. Isto
é discutível quando um determinado exploit pode ser verdadeiramente classificado como tendo sido 'indetectável'. Este tópico merece
um estudo mais aprofundado
] [
Foi sugerido anedoticamente que alguma regulamentação de sistemas críticos de segurança pode levar a fraquezas
na segurança cibernética desse sistema, limitando ou encerrando a possibilidade de adotar a segurança de última geração
medidas. Um caso específico relacionado ao autor diz respeito a uma exigência regulatória de que certas questões críticas de segurança
os sistemas de controle devem ser exaustivamente testados examinando todos os estados possíveis do dispositivo de controle antes do uso.
Alguns métodos defensivos de segurança cibernética, especialmente aqueles que adotam inteligência artificial ou aprendizado de máquina,
são por natureza impossíveis de testar até a exaustão dessa maneira. Este tópico merece um estudo mais aprofundado.
Um exemplo favorito dos professores de direito envolve o caso hipotético do vagão ferroviário mal carregado.
O vagão pode ter sido sobrecarregado indevidamente no Estado A, mas só produz lesões depois que o trem começa a
descer uma ladeira íngreme muitas horas depois no estado B.
Isso é atribuído ao juiz da Suprema Corte dos Estados Unidos, Joseph Story, que aparentemente usou a frase mais do que
uma vez [ 8] Uma sombra mais escura foi lançada sobre a prática da lei de propriedade intelectual por Lord Esher, MR, quando
em 8 ele observou, 'é melhor um homem ter sua patente infringida, ou nada acontecer com ele neste mundo,
a menos de perder toda a sua família por in uenza, do que ter uma disputa sobre uma patente. Sua patente é engolida, e
ele está arruinado. De quem é a culpa? Realmente não é culpa da lei: é culpa do modo de conduzir o
lei em um caso de patente '[ ] Poucas coisas mudaram no século que se passou [ ]
Os direitos morais decorrentes dos direitos de um autor ( droit d'auteur ) raramente apresentam desafios para a segurança
praticantes e está além do escopo deste trabalho.
Na lei dos Estados Unidos, o copyright passa a existir automaticamente, mas deve ser registrado antes de com-
início de qualquer processo de infração nos Estados Unidos.
As limitações aos direitos autorais do Reino Unido estão codificadas no Capítulo da Lei de Projetos e Patentes 88, ss. 8,
et seq. A exceção de uso justo dos EUA e outras limitações são codificadas em USC §, et seq.
A União Europeia está em processo de adoção da Patente Unitária, um direito de patente única aplicável
em grande parte, mas ainda não em todo, o território da UE. O status e o uso deste novo direito de patente continua
para evoluir.
8 Os inventores não devem confundir este conceito da lei de patentes com várias definições científicas ou acadêmicas
de significativo ou trivial. Uma etapa cientificamente trivial ainda pode ser 'inventiva' na lei de patentes [ ]
A frase 'como tal' deve servir como um aviso de que brechas estão prestes a aparecer, como que por mágica. Eles são.
https://translate.googleusercontent.com/translate_f 133/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Enquanto cópias de patentes e pedidos publicados de muitos estadoss agora são fáceis de encontrar online, correspon-
contato com os examinadores de patentes e o histórico de processos são frequentemente mais difíceis de obter e podem exigir
assistência de um advogado. Uma vez obtido, no entanto, isso pode ser muito esclarecedor para qualquer pessoa que
deseja desafiar post-facto a validade de uma patente concedida.
Um subconjunto muito limitado de pedidos de patentes para invenções está sujeito a uma classificação de sigilo de estado e
são publicados apenas em um registro de invenções secretas.
Qualquer pessoa que inova no campo das TIC enfrenta uma série de desafios relacionados. O ritmo da inovação em TIC é tão
rápido, a mistura de idéias inovadoras paralelas tão comuns, o número de pedidos de patentes levou
tão grande, e a arte anterior catalogando inovações em TIC tão desordenada, que é difícil produzir qualquer inovação
Produto de TIC que não infrinja alguma patente existente de terceiros ou aplicativo publicado ou não publicado. UMA
A estratégia típica adotada por grandes desenvolvedores de TIC é entregar um grande número de pedidos de patentes por conta própria
invenções, entrar no mercado o mais rápido possível com novos produtos e, em seguida, esperar para receber sugestões de
violação de patente de terceiros na esperança de eventualmente se defender contra algumas dessas ameaças ou
negociar um acordo de licença cruzada aceitável.
No sistema de patentes dos Estados Unidos, a conscientização da parte infratora dos direitos de patente desencadeia uma 'treble dam- especial
regra das idades: danos monetários atribuídos ao titular dos direitos são multiplicados por três, com efeito a partir da data de
a consciência do infrator. É por isso que os detentores de direitos normalmente iniciam um processo de aplicação de patentes nos Estados Unidos enviando
cópias de suas patentes juntamente com uma carta de apresentação 'queremos informá-lo' que não acusa expressamente
o destinatário da infração. Isso, combinado com os fatores estabelecidos na Nota , é por isso que muitos inovadores de TIC
evite assiduamente pesquisar patentes e pedidos de patentes de terceiros.
Algum estados de ne direitos de marca 'não registrada' que são semelhantes em caráter ao delito de direito inglês de
passando.
Uma marca comercial comunitária é uma marca comercial única que se estende por todo o território da UE.
6 Na prática moderna de marcas registradas, o sinal relevante pode consistir em sons ou cheiros. Provavelmente uma marca registrada de som
estar familiarizado com os profissionais da segurança cibernética é o carrilhão musical 'Intel Inside' (EUA, Reino Unido 6).
A marca registrada no Reino Unido foi registrada continuamente no Reino Unido de 8 6 até hoje.
8 Os tribunais estão divididos quanto à questão de saber se metatags, normalmente não visíveis para os usuários finais, podem constituir
uma violação de marcas registradas. Mesmo quando as metatags não podem ser usadas para provar a violação, elas
pode servir como evidência útil para outros fins, como demonstrar o conhecimento ou consciência da tag
autor em ações ilícitas relacionadas, como falência.
Por outro lado, em ações baseadas em teorias de transferência ou direitos de marcas não registradas, a reclamação
A parte responsável geralmente é obrigada a provar que a parte acusada tem conhecimento da marca não registrada e é
aproveitando propositalmente a reputação associada a essa marca.
6 Um exemplo que deve ser familiar para os profissionais é o registro do logotipo Wi-Fi (US 6, UK)
administrado pela Wi-Fi Alliance.
6 Um exemplo comumente citado de um segredo comercial de longa data é a fórmula da Coca-Cola, que continua sendo a
assunto de muita especulação.
6
USC § (a).
6A Diretiva da União Europeia não impõe a criminalização da apropriação indébita de segredos comerciais [8]
6 Observe que a Diretiva de comércio eletrônico não se aplica à lei de proteção de dados [ ] no Art (b).
66 Por exemplo, USC § (proteção contra violação de direitos autorais), USC § (proteção contra responsabilidade
aqueles que bloqueiam ou selecionam material ofensivo, embora não seja aplicável como uma proteção contra responsabilidades decorrentes de
obscenidade, propriedade intelectual ou leis de privacidade.) A seção em particular está sob crescente escrutínio
pelos tribunais dos EUA à medida que mais ações legais foram tomadas contra os provedores de serviços de mídia social.
6 Embora essas definições legais não estejam especificamente ligadas às definições técnicas, este conceito é de aproximadamente
imaturamente equivalente a fornecer serviços que consistem em nada mais do que transportar e rotear o tráfego no
camadas físicas, de link de dados e / ou de rede do conjunto de protocolos TCP / IP. Uma boa definição do conceito é encontrada
no artigo da Diretiva de comércio eletrônico [ ]
6O procedimento mais conhecido codi cado na lei é provavelmente encontrado na lei de direitos autorais dos EUA em USC § (c).
https://translate.googleusercontent.com/translate_f 134/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A 'Lei de Permitir que Estados e Vítimas Combatam o Tráfico de Sexo Online' é o resultado do FOSTA-SESTA
projetos de lei propostos no Congresso. O estreitamento da blindagem de responsabilidade é codi cado em USC § (e) (). Uma ação legal
desafiar esta lei como uma violação dos princípios de liberdade de expressão dos EUA foi lançado logo após sua aprovação
e permanece pendente no momento da redação [ , ]
A capacidade de admitir (apresentar) provas a um tribunal é uma questão de limite regida pelas regras de prova
usado por esse tribunal. A admissibilidade pergunta simplesmente se tais evidências serão consideradas. Se admitido em
evidência, um pesquisador de fato deve então avaliar o valor relativo ou 'peso' dessa evidência. Mason resume o
Posição da lei inglesa sobre documentos eletrônicos em [ ]
O contrato-quadro, por sua vez, se referiria a uma série de regras de comércio eletrônico (muitas vezes chamadas de 'a regra
livro ') que especificava como as comunicações eletrônicas se relacionavam com as obrigações legais. Esses sistemas 'EDI' eram
desenvolvido em um momento em que as restrições de largura de banda de telecomunicações significavam que as instruções de negociação eram típicas
transmitidos em payloads extremamente pequenos, usando mensagens altamente estruturadas baseadas em texto (por exemplo, ascii). A regra
livro foi usado para traduzir entre mensagens estruturadas e comunicação legalmente significativa, e servido
como a especificação do software usado para acessar o sistema.
Ao subscrever o risco de muitas dessas transações, o impacto positivo da indústria de cartões de pagamento para o
o crescimento e o sucesso dessas plataformas não devem ser subestimados.
O modelo de 'três cantos' para este fim compreende apenas três pessoas: o emissor do certificado que ambos
identifica o signatário e emite o certificado, o signatário cuja identidade está vinculada ao certificado e
o terceiro que confia no certificado para identificar o signatário. À medida que cada uma dessas funções se divide
entre mais pessoas, analisar as relações e responsabilidades torna-se mais complexo.
6 Essas dúvidas surgem de uma variedade de doutrinas jurídicas. Por exemplo, pode haver falha na formação de um contrato
com uma parte confiável devido à não comunicação dos termos do contrato. Os tribunais podem se recusar a fazer cumprir
limitações de responsabilidade apresentadas em certificados ou em outro lugar devido a questões de política pública, como a razoabilidade
da limitação. Observe que essas preocupações são mais facilmente tratadas na chamada emissão de 'dois cantos'
modelo, em que um signatário autocertifica sua identidade e atua como seu próprio emissor de certificado. Na esquina
modelo não existe 'terceiro' e o signatário pode ter um relacionamento direto com a parte confiável mais facilmente
possibilitando a imposição de limites de responsabilidade.
O trabalho de Stephen Mason, em particular, inclui um extenso catálogo internacional dessas leis [ 6 ]
8 Uma análise semelhante pode ser aplicada em circunstâncias em que as empresas ordenam que seus funcionários adotem e
instale certificados de confiança emitidos pela empresa especificamente para oferecer suporte à inspeção SSL / TLS. Tais empresas
deve considerar os vários tipos de responsabilidade que podem surgir como resultado.
Estados também podem aplicar embargos na maioria ou em todo o comércio com um estado específicos como parte de um programa mais geral
grama de sanções.
8O status preciso do software como discurso para os fins da lei de liberdade de expressão dos EUA permanece um tanto obscuro.
Embora os tribunais federais dos EUA pareçam dispostos a classificar o código-fonte como expressão protegível, eles também parecem aceitar
sua funcionalidade inerente em consideração ao avaliar os direitos de liberdade de expressão. Isso, por sua vez, sugere que o governo
intervenção para restringir atos de distribuição de código-fonte são mais facilmente justificados do que restrições ao clássico não
discurso funcional [ , 6, ]
8O termo 'direito internacional público' é frequentemente referido mais simplesmente como 'direito internacional'. Em contraste, o campo
de 'direito internacional privado' descreve o processo de determinação de quais leis estaduais nacionais serão aplicadas
a vários aspectos de litígios de direito privado, como atos ilícitos e contratos. Aspectos do privado internacional
direito, ou conflitos de direito, são considerados nestas áreas de conhecimento no contexto do direito substantivo individual
assuntos.
8 No caso Halford referenciado , a parte reclamante argumentou com sucesso que o Reino Unido tinha
falhou em fornecer a ela os direitos de privacidade exigidos pela Convenção Europeia dos Direitos Humanos no que diz respeito
interceptação de comunicações por autoridades estaduais [ ] Este caso precipitou a adoção pelo Reino Unido de
legislação abrangente que regulamenta a interceptação de comunicações.
8 Uma exceção notável envolve a acusação de acordo com os princípios do direito penal internacional, como
crimes contra a humanidade.
8O processo de criação do Manual de Tallinn não foi isento de controvérsias, e mesmo as conclusões ex-
pressionados nas 'Regras' (que representam consenso unânime entre o grande grupo de especialistas) não são universalmente
concordou [ , 8] O próprio Manual de Tallinn fornece comentários extensos que destacam as circunstâncias
posições onde alguns afirmams discordam da visão unânime do grupo de especialistas e de outras questões em que o
o próprio grupo de especialistas não alcançou consenso. Portanto, não é surpreendente que o Manual de Tallinn. não
representam a política oficial dos patrocinadores do projeto (OTAN e seu estado membros) ou os vários adicionais ou
organizações cujos especialistas participaram de sua criação e revisão. No entanto, a evidência anedótica sugere
que os especialistas que aconselham todas essas pessoas mantenham uma cópia do Manual de Tallinn à mão e consultem o
trabalhar rotineiramente.
8O termo 'atribuição' é freqüentemente usado em mais de um sentido. Os praticantes devem ter o cuidado de distinguir
as doutrinas jurídicas utilizadas para analisar a atribuição do processo de coleta e apresentação de provas pretendidas
para provar a atribuição. Esta seção discute apenas o primeiro. Este último é mais apropriadamente abordado no campo
de ciência forense.
https://translate.googleusercontent.com/translate_f 135/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
8 A espionagem durante um conflito armado é tratada separadamente ao abrigo da lei do conflito armado. Veja, por exemplo,
([ ] em R.8.)
88 Veja, por exemplo, a discussão em Tallinn. de 'pastorear' as comunicações de estado alvo para menos seguras
infraestrutura interferindo em uma infraestrutura mais segura ([ ] na R., cmt. )
8O qualificador de estado 'não relacionado' serve para distinguir as circunstâncias em que mais de um estado soberano
mantém jurisdição simultânea sobre um único território, conforme encontrado no estado federals.
O termo 'lei da guerra' é significativamente anterior ao termo 'lei do conflito armado', mas agora é usado com menos frequência
especialmente porque o conflito armado freqüentemente ocorre na ausência de qualquer declaração formal de guerra. 'Internacional
direito humanitário '(DIH) é um termo mais recente [ 8 ] na p.8, fn. . A adoção e uso de 'DIH' para descrever este
campo não é sem controvérsia [ ]
Embora isso deva ser óbvio, o conceito de 'ataque cibernético' usado para discutir as obrigações sob
a lei internacional é significativamente mais restrita do que o termo 'ataque', que é amplamente definido para a maioria dos outros fins
em segurança cibernética. Os profissionais de segurança cibernética tendem a usar o termo 'ataque' para descrever qualquer esforço para obter
acesso autorizado a um sistema, recursos ou informações, ou qualquer atividade maliciosa destinada a coletar, interromper,
negar, degradar ou destruir recursos do sistema de informação [ 6 ]
No caso de operações cibernéticas ofensivas realizadas sob a direção de um estado, conformidade com 'todos os aplicativos
leis "podem de fato ser impossíveis, pois as ações tomadas na direção de um estado patrocinador podem constituir
crimes ao abrigo da legislação nacional do estado alvo. Da mesma forma, em algumas circunstâncias, um praticante pode com-
claro que o cumprimento de uma obrigação legal é, por si só, eticamente desafiador [ 6 ] Esta seção não tenta
para resolver esses problemas.
Os profissionais devem estar cientes de que, se forem empregados ou contratados por uma empresa profissional regulamentada (por exemplo,
uma firma de contabilidade legal, médica ou pública), o médico pode ser obrigado pela lei aplicável a estar em conformidade com
as regras da profissão regulamentada relevante - especialmente em questões como confidencialidade do cliente ou legal do cliente
privilégio de proibir a divulgação de informações confidenciais. Esses profissionais devem se familiarizar com o
obrigações impostas pelos regulamentos que se aplicam a essa empresa.
Esta discussão não aborda as circunstâncias em que a lei aplicável exige a divulgação deste evento
dência a terceiros identificados, como os requisitos de divulgação de violação de dados impostos pelo GDPR. Em tal
casos, um profissional deve ter o cuidado de seguir o conselho apropriado sobre sua obrigação de relato legal individual
gações distintas das obrigações impostas ao seu cliente, e instar seu cliente a investigar o
próprias potenciais obrigações legais de apresentação de relatórios.
Muitos dos primeiros exemplos incluem mandatos para 'cumprir' a lei, enquanto outros exigem que um profissional
deve 'estar ciente' da lei. Alguns incluem o conceito de evitar danos aos outros sem discutir o
sutilezas desta proibição. Alguns falam de uma obrigação afirmativa geral de proteger a 'sociedade', sem identificação
identificar a natureza da obrigação na prática, identificando a sociedade relevante nos casos em que duas sociedades são
em conflito, ou discutir o possível conflito entre proteger a sociedade em geral e um cliente individualmente.
Alguns falam de obrigações de proteger a 'infraestrutura', sem esclarecer de quem é a infraestrutura a ser protegida:
público, privado, de primeira parte, de terceiros, nacional ou estrangeiro. Muitos desses códigos falham inteiramente em discutir
obrigações devidas a um cliente e como gerir potenciais conflitos.
Veja também as extensas discussões de Orin Kerr sobre 'autorização' no contexto dos estatutos de crimes de informática dos Estados Unidos
[ , ]
8 Alguns riscos de divulgação podem incluir a impraticabilidade de corrigir ou corrigir a vulnerabilidade. O ben-
Os efeitos do sigilo podem incluir a capacidade de uma agência de segurança do estado de explorar a vulnerabilidade fornecida.
Esta é uma ameaça especial para os pesquisadores envolvidos em pesquisas de segurança acadêmica que enfrentam presenças acadêmicas normais
certifique-se de publicar os resultados da pesquisa [ 8]
Embora revelar uma vulnerabilidade única em um único serviço online para uma única empresa afetada seja simples, revelar
uma vulnerabilidade em uma cadeia de suprimentos complexa apresenta problemas especiais. Divulgando primeiro para produtores a jusante
de bens ou serviços acabados concentra a divulgação naqueles que parecem ter o maior risco de segurança
falha de segurança, mas que pode não ter as ferramentas necessárias para mitigar a ameaça. Esta divulgação downstream também
cria o risco de alienar o desenvolvedor upstream do componente - especialmente se a vulnerabilidade for mal interpretada
rabiscado. No campo da pesquisa de segurança acadêmica em particular, os pesquisadores muitas vezes dependem de uma boa continuidade
relacionamento com a comunidade de desenvolvedores. Divulgar primeiro para o desenvolvedor upstream cria um desafio se
que o desenvolvedor é demorado em remediar a vulnerabilidade. Os localizadores nesta situação podem considerar o potencial
para um processo de divulgação privada de várias etapas começando (talvez) com a parte upstream com maior probabilidade de ser capaz de
compreender e remediar a ameaça. Tendo divulgado e, em seguida, fornecido uma oportunidade para essa parte
sim ou refutar a alegação de vulnerabilidade, o nder pode iniciar divulgações privadas adicionais uma etapa de cada vez
descendo a cadeia de abastecimento para aqueles que podem tomar medidas para mitigar a ameaça. Divulgação pública de segundo estágio
então se tornaria a última etapa de muitas.
Comentando sobre uma decisão de acadêmicos de publicar detalhes de vulnerabilidade mais de nove meses após
divulgação para um fornecedor de componente de segurança upstream, mas em face de fortes objeções por um downstream
comprador que incorporou o produto de segurança comprometido em seus automóveis produzidos em massa, um En-
O juiz da Suprema Corte observou: "Acho que o mantra dos réus de" divulgação responsável "não é tal coisa. É um
auto-justi cação dos réus pela conduta que já decidiram adotar e não se trata de ação de
acadêmicos responsáveis. ' Megamos Crypto (Volkswagen v Garcia) , Para [ , ] Observe que os acadêmicos
no caso Megamos Crypto alegou que eles estavam aderindo aos procedimentos de divulgação responsável então atuais
publicado pelo National Cyber Security Center da Holanda, o estado em que eles realizaram a maior parte
de suas pesquisas.
Embora a mera presença de uma vulnerabilidade em um produto ou serviço não constitua necessariamente um fornecedor
https://translate.googleusercontent.com/translate_f 136/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
negligência, os fornecedores que recebem um relatório de vulnerabilidade devem considerar que uma falha em agir de forma razoável
A forma após o recebimento de tal relatório pode constituir um ato independente de negligência.
Alguns tentaram resolver esse problema adotando uma legislação que regulamentaria a divulgação de dados.
cess. Uma tentativa (ainda) malsucedida na Letônia é descrita de maneira proveitosa em [ ]
Um exemplo provavelmente familiar aos profissionais foi o destino da firma de contabilidade Arthur Andersen no
início do século I. A firma era consultora da Enron Corporation e foi acusada pelo governo dos Estados Unidos
de destruição indevida de evidências relacionadas à investigação da Enron. Um júri federal deu um veredicto de culpado em
o julgamento criminal da rm [ 6 ] Após a condenação, o rm foi impedido de conduzir empresa pública
trabalho de auditoria efetivamente encerrando sua capacidade de operar como uma empresa em funcionamento. A condenação criminal, em última análise, foi
derrubado pela Suprema Corte dos EUA em [ 6 ] Isso veio tarde demais para a rm, que havia parado de continuar
operações.
Página 171
Capítulo
Fatores humanos
M. Angela Sasse Ruhr Universität Bochum e
University College London
Awais Rashid University of Bristol
https://translate.googleusercontent.com/translate_f 137/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
• Crime Science and Economics: o esforço necessário para vencer uma medida de segurança deve
exceder os recursos e recompensas potenciais para o invasor.
Ambos os textos fundamentais reconheceram que as medidas de segurança não podem ser eficazes se
os humanos não querem nem são capazes de usá-los. Um bom exemplo é a criptografia de e-mail. Nós
têm ferramentas para criptografar e-mail há mais de anos. Ainda hoje, menos de. % de e-mails enviados
são criptografados de ponta a ponta. Este resultado era previsível, uma vez que Whitten & Tygar encontraram em
que mesmo pessoas bem motivadas e treinadas não poderiam usar a criptografia de e-mail corretamente [ 6 ]
Esta situação ainda não mudou substancialmente, embora pesquisas recentes ofereçam insights
nos meios para fazê-lo [ 6 , 66 , 6]
Nos últimos anos, tem havido um crescente corpo de pesquisas sobre as causas subjacentes
de falhas de segurança e o papel dos fatores humanos. O insight que surgiu é que
medidas de segurança não são adotadas porque os seres humanos são tratados como componentes cujo comportamento
pode ser especificado por meio de políticas de segurança e controlado por meio de mecanismos de segurança e
sanções. Mas a falha não é principalmente dos usuários, como sugerido pelo frequentemente usado
frase que os humanos são o 'elo mais fraco', mas ignorando os requisitos que Kerckhoffs
e Schroeder & Saltzer tão claramente identi cado: que a segurança precisa ser utilizável e aceitável
para ser efetivo. Um exemplo disso é o caso das políticas de senha. Adams e Sasse mostraram
que as políticas e mecanismos de senha acordados por especialistas em segurança não funcionaram de todo
na prática e, consequentemente, eram contornados rotineiramente pelos funcionários [ 68] Naiakshina et al.
mostrou que não apenas os usuários finais têm problemas com senhas, mas os desenvolvedores também. De-
os velopers precisam ser explicitamente solicitados a incluir segurança e, mesmo quando isso for feito, eles
frequentemente incluem mecanismos de segurança desatualizados e defeituosos [ 6 , ]
O objetivo desta área de conhecimento do CyBOK é fornecer uma compreensão básica da função
dos fatores humanos na segurança cibernética. Um aspecto fundamental disso é como projetar segurança que seja
utilizável e aceitável para uma variedade de atores humanos, por exemplo, usuários finais, administradores
e desenvolvedores. Esta área de conhecimento também apresenta uma abordagem organizacional e social mais ampla
perspectiva de segurança que surgiu na última década: a importância da confiança e
colaboração para a segurança cibernética eficaz, que só pode ser alcançada envolvendo as partes interessadas
e negociando soluções de segurança que atendam às suas necessidades [ ] Isso requer um conjunto de habilidades
que tradicionalmente não fazem parte do treinamento fornecido para especialistas e profissionais de segurança
cionadores. Esta área de conhecimento visa capturar o conhecimento para mudar isso.
www.cybok.org
https://translate.googleusercontent.com/translate_f 138/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Esta área de conhecimento está organizada (Figura .) começando por dentro, trabalhando para fora
forma: começando com os fatores individuais e internos que impulsionam o comportamento humano (capabil-
e limitações, modelos mentais), passando para aspectos do contexto mais amplo em que
a interação com a segurança ocorre. Em seguida, consideraremos os outros fatores imediatos que
têm um impacto: o comportamento de outras pessoas ao nosso redor e, especialmente, como lidam com a segurança
riscos, as posições emocionais dos usuários em relação à organização e como o comportamento de segurança pode
ser gerenciado com sucesso por meio do design e de uma série de fatores de grupo e organizacionais.
Observe que fatores humanos e usabilidade em um contexto de segurança podem ser distinguidos de outros
contextos pela presença de adversários ou risco. Conforme mostrado na Figura ., o adversário pode ac-
trabalhar ativamente para alterar as percepções dos usuários sobre as capacidades e limites do sistema, bem como
explorar as especificidades dos contextos sociais e organizacionais (por exemplo, políticas de segurança, trabalho
práticas, hierarquias de tomada de decisão) para impactar a segurança. Estudando segurança utilizável por meio de
um modelo de atacante ativo [ , ] e conscientizando os usuários sobre problemas de segurança,
incorporando tais modelos, por exemplo, simulações anti-phishing [ , ], é uma área contínua de
estudar. Esses mecanismos oferecem alguma proteção, mas requerem tempo e esforço do usuário. Portanto,
www.cybok.org
como discutiremos mais tarde, a carga de trabalho de segurança total precisa ser monitorada para que a produtividade
não é reduzido e soluções alternativas são induzidas. Além disso, eles têm implicações em termos de
confiança dos usuários na organização e conclusão da tarefa principal (não relacionada à segurança) em mãos
- a concepção de tais intervenções ou campanhas deve considerar e abordar estes
riscos [ ]
Observe que não discutimos as especificidades dos comportamentos adversários, pois estes são o assunto
da Área de Conhecimento de Tecnologia de Malware & Attack (Capítulo ). No entanto, vamos tocar em
quaisquer elementos relevantes relacionados à usabilidade e fatores humanos, por exemplo, segurança
conscientização, treinamento e anti-phishing. As considerações de usabilidade são igualmente importantes com
em relação aos controles e tecnologias de privacidade. Esta discussão formula parte da Política de Privacidade
& Área de conhecimento de direitos online (capítulo) e, portanto, não é mais considerada aqui.
https://translate.googleusercontent.com/translate_f 139/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Quando os usuários não se comportam conforme especificado pelas políticas de segurança, a maioria dos profissionais de segurança pensa
que os usuários são os culpados: que eles 'simplesmente não entendem os riscos' ou 'são preguiçosos demais'. Mas
a pesquisa mostrou que o não cumprimento, que agora nos referimos como 'quebra de regras', é causado
por pessoas que enfrentam uma escolha rígida entre fazer o que é certo pela segurança e reduzir seu
produtividade. A maioria escolhe produtividade em vez de segurança, porque é isso que a organização
também faz.
Uma resposta típica a essa quebra de regras é a conscientização e educação sobre segurança, ou seja, 'tting
o humano para a tarefa '. Mas a pesquisa de Fatores Humanos estabeleceu décadas atrás que, quando
levamos em consideração todos os custos e o desempenho resultante, cabendo a tarefa ao
humano ' é mais eficiente. Há uma função para conscientização e treinamento de segurança (Seção .) mas
deve ser considerado uma das opções, mas não o primeiro recurso. Não pode ajudar os humanos
para lidar com tarefas de segurança que são impossíveis, induzem a erros ou drenam muitos indivíduos
e recursos organizacionais [ 8] Como o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) política
coloca:
'A maneira de tornar a segurança que funciona é fazer com que a segurança funcione para as pessoas
ple '
Em outras palavras, a segurança deve ser utilizável. A ISO define usabilidade (ISO -: 8) como
https://www.ncsc.gov.uk/information/people-strongest-link
Podemos observar imediatamente que esses critérios se alinham com os princípios articulados por Kerck-
hoffs e Saltzer & Schroeder's. Mas como fazer isso na prática?
. os objetivos que esses usuários têm e as tarefas que realizam para alcançá-los;
Agora examinamos cada um deles, por sua vez, e como eles se aplicam ao projeto de uma segurança utilizável
mecanismo.
Com os dispositivos de computação em geral hoje, a capacidade física que pode ser excedida por
ridade de tarefas é provavelmente a capacidade de detectar sinais: muitos sistemas de segurança fornecem status
mensagens, lembretes ou avisos. Os humanos só podem focar sua atenção principalmente em um
https://translate.googleusercontent.com/translate_f 140/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tarefa a qualquer momento. Esse foco estará em suas atividades principais e em muitos mecanismos de segurança
nismos exigem mais tempo e atenção do que os usuários podem pagar [ 6] Isso significa que as mudanças
em indicadores de segurança passiva muitas vezes não são notados, em particular se estiverem nas bordas de
a tela. Pedir aos usuários para verificar esses indicadores está configurando-os para falhar, mesmo que eles
tente fazê-lo conscientemente, seu foco será atraído de volta para a tarefa principal. Se os indicadores de segurança
precisam ser atendidos, devem ser colocados na frente da pessoa e exigir uma resposta.
Isso funcionará, mas apenas para indicadores infrequentes e confiáveis (consulte Fadiga do alarme).
Fadiga de alarme O cérebro para de prestar atenção aos sinais que classificou como irrelevantes. Eles
são filtrados antes de atingirem o nível de processamento consciente (Seção ...) Significa hu-
os homens não executam bem as tarefas em que precisam rastrear anomalias raras (por exemplo, na bagagem
exibição e algumas formas de monitoramento de circuito fechado de televisão (CFTV) ). Precisamos de tecnologia
suporte e processos como rotação de tarefas para obter um bom desempenho. A fadiga do alarme está relacionada
fenômeno. Uma vez que os alarmes são classificados como não confiáveis, as pessoas param de prestar atenção a
eles. O quão alta é a taxa de falsos alarmes (com a qual as pessoas podem trabalhar) depende do risco, do fre-
frequência em que ocorrem alarmes falsos e as demandas das outras tarefas que eles precisam concluir.
Mas mesmo com uma taxa de% de alarmes falsos, pode-se esperar fadiga do alarme. Assim que as pessoas começarem a dispensar
alarmes, é difícil fazer com que os levem a sério novamente. Além disso, uma vez que dispensam um tipo
de avisos de segurança como falsos, semelhantes ou sonoros também serão descartados. Muitos segundos
Hoje, os avisos de segurança têm uma taxa de falsos alarmes muito alta e, portanto, são descartados. Certificado SSL
avisos, por exemplo, têm uma taxa de falsos positivos de% ou mais. Portanto, não é surpreendente que as pessoas
ignore-os, especialmente se nenhuma alternativa segura para completar a tarefa for oferecida ao mesmo
Tempo. Rob Reeder, quando trabalhava na Microsoft, cunhou o prático acrônimo NEAT: os avisos deveriam
seja necessário, explicado, acionável e testado [ ] Adicione a isso 'e tenha uma taxa de falso alarme de
% ou menos 'e um pode ter uma chance de os avisos de segurança serem eficazes.
Uma capacidade mental fundamental é a memória. Existem vários tipos de memória. A primeira distinção
está entre a memória de curto prazo (STM) e a memória de longo prazo (LTM). Quando alguém tenta
memorizar um item, ele precisa percorrer o ciclo STM algumas vezes antes de ser transferido para
o LTM . STM é o que é, por exemplo, usado para senhas de uso único, como códigos numéricos
exibido por tokens ou exibido em outro dispositivo.
STM e senhas de uso único (OTPs) O uso de PIN únicos ou senhas ( OTPpecado
a segurança aumentou à medida que a autenticação de dois fatores (FA) se tornou mais comum. Nós fo-
concentre a nossa atenção no número apresentado e repita-o para nós (mentalmente ou em voz alta). Então nós
voltar nossa atenção para o campo de entrada, recuperar o item do loop STM e repeti-lo para nós mesmos
ao entrar nele. O que é importante notar é que isso funciona para a maioria das pessoas para strings de até 6
caracteres, ou seja, um número de 6 dígitos, porque podemos dividi-los em pedaços de caracteres cada.
Códigos que são mais longos sobrecarregam o loop STM . As pessoas têm que começar a olhar para a frente e para trás
enfermarias entre o display para ler os caracteres e inseri-los. Isso aumenta tanto a entrada
tempo e a probabilidade de erro. E misturar caracteres alfanuméricos também afeta o desempenho.
Se um usuário será capaz de lembrar o que está armazenado no LTM depende de como ele está incorporado:
os itens recuperados com frequência estão bem incorporados; os que não são, desaparecerão com o tempo. Que
significa que podemos esperar problemas com itens usados com pouca frequência que exigem recall sem ajuda
(a lembrança auxiliada, por exemplo, reconhecer as próprias imagens em um conjunto de imagens, é mais fácil). LTM é dividido
em duas áreas distintas: o conhecimento geral é armazenado na Memória Semântica (LTM-SM), enquanto
itens conectados à história pessoal de alguém são armazenados na memória episódica (LTM-EM): autobio-
memória gráfica. Os itens armazenados no LTM-SM enfraquecem mais rápido do que aqueles no LTM-EM porque, no
https://translate.googleusercontent.com/translate_f 141/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No último caso, armazena-se não apenas o item, mas as imagens e emoções relacionadas a ele.
LTM e senhas O LTM-SM é dividido em áreas nas quais itens semelhantes são armazenados. Quando
tenta-se recuperar um item, a seção em que ele está armazenado é ativada e os itens no
seção competir para ser recuperada - com aquelas que foram recuperadas com mais frequência 'chegando
para se importar primeiro. Este efeito de interferência é bastante poderoso e perturbador, principalmente porque os itens
não é preciso mais (como senhas antigas) persistir e competir com aqueles que
precisa ser lembrado. Assim, gerenciar uma infinidade do mesmo tipo de credenciais é impossível,
especialmente se vários deles forem usados com pouca frequência. As pessoas precisam de estratégias de enfrentamento, seja por escrito
desativá-los, usando um gerenciador de senhas ou credenciais únicas. Podemos concordar que 6 ou
P @ SSword não são seguros. Mas, como a maioria dos usuários agora tem dezenas de senhas, a insistência
em senhas fortes criou uma tarefa humanamente impossível. A maioria das pessoas luta se tiverem
mais do que - senhas ou PINs - e quanto mais longos e fortes forem, mais eles irão
luta.
uma
O Guia de Senha NCSC , portanto, recomenda várias maneiras de apoiar as pessoas em
gerenciamento de um grande número de senhas exclusivas: mudar para soluções FA e / ou senha man-
agers e, se isso não for possível, não expirar senhas fortes regularmente. Se um
a senha deve ter expirado (por exemplo, porque foi comprometida), um pouco de investimento de tempo durante
o dia em que a senha foi alterada pode ajudar. As pessoas podem usar força bruta na senha antiga
repetindo a nova senha cerca de dez vezes imediatamente e repetindo esse processo
três ou quatro vezes em intervalos de uma hora.
uma
https://www.ncsc.gov.uk/guidance/password-guidance-simplifying-your-approach
Um critério de segurança importante para autenticação baseada em conhecimento é que uma credencial deve
ser difícil de adivinhar. Devido às características físicas e mentais humanas, a seleção de cre-
dentials é, no entanto, muitas vezes tendencioso para o familiar, ou aqueles que podem ser mais facilmente desviados
distinto dos outros.
. Com as senhas, as pessoas tentam escolher aquelas que são mais fáceis de lembrar, por exemplo, aquelas que têm
significado para eles, como nomes ou datas memoráveis.
. Quando os usuários precisam escolher imagens como credenciais, eles preferem cores e formas fortes
sobre os mais difusos [ 8 ]
. Quando estas são fotos de humanos, eles escolherão fotos de pessoas 'mais atraentes'
e aqueles de sua própria origem étnica [ 8 ]
. Quando a credencial é um local específico dentro de uma imagem, as pessoas preferem recursos que
se destacarem [ 8 ]
. Com sistemas baseados em localização, as pessoas escolhem locais memoráveis, por exemplo, quando
escolhendo locais para um PIN de dígitos em uma grade numérica 5 × 5, eles vão para conectados
locais, ancorados em uma borda ou canto da grade [ 8 ]
6. A ordem dos elementos de uma credencial é previsível, porque há uma forte cultura
preferência estrutural, por exemplo, pessoas que falam línguas que leem da esquerda para a direita escolherão
esse pedido [ 8 ]
. Com o dedo em senhas em telefones Android, as pessoas escolhem entre um número muito limitado
ber de formas [ 8 ]
Esses preconceitos humanos reduzem a diversidade (número de senhas diferentes) em uma senha
banco de dados e aumenta a probabilidade de um invasor adivinhar uma senha. Para neutralizar isso,
as políticas de segurança impediram escolhas muito óbvias . Embora não permitindo escolhas muito óbvias
como 'senha' como senha e '' como PIN é prudente, pois há muitas restrições
https://translate.googleusercontent.com/translate_f 142/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 178 O Conhecimento em Segurança Cibernética
www.cybok.org
aumenta a carga de trabalho associada à tarefa de criação de senha (consulte a Seção ...) Para
exemplo, um verificador de senha que rejeita + senhas em uma linha como muito fraco colocará os usuários
sob estresse considerável e provavelmente para a reutilização de uma senha.
Da mesma forma, medidores de força de senha são frequentemente usados para orientar e influenciar a senha do usuário
escolhas de palavras. Por exemplo, Ur et al. [8 ] discutiu o impacto de vários medidores de senha
projeta a escolha de senhas dos usuários, bem como destaca o aumento da carga de trabalho para
usuários e a frustração enfrentada por eles quando confrontados com medidores de senha mais rígidos. UMA
trabalho recente de Golla e Dürmuth [ 86] investigou a precisão da força da senha
contando vários medidores implantados na prática, bem como propostas acadêmicas. Trabalho deles
mostra um grau de variação em termos de precisão e, mais criticamente, que isso não significou
melhorou significativamente ao longo de cinco anos. Portanto, mesmo que desconsideremos a carga de trabalho adicional
sobre os usuários (não que devêssemos), essas abordagens nem sempre têm o nível de precisão
necessário para implementar com eficácia as políticas de senha. Essas considerações devem ser levadas em conta
mente ao implantar soluções para fazer cumprir as políticas de segurança.
Às vezes, surge a questão de saber se há treinamento para ajudar os usuários a lidar com
recordar credenciais de segurança. Atletas de memória usam exercícios específicos para melhorar a memória
atuação. O escritor Joshua Foer detalha em seu best-seller Moonwalking with Einstein [ 8 ]
que requer um sério investimento inicial de tempo (vários meses em tempo integral), mas também continuando
treinamento (pelo menos minutos por dia), mais o tempo necessário para lembrar e inserir as senhas
(que por si só as pessoas acham muito [ 88]).
Até agora, discutimos as capacidades e limitações que se aplicam à maioria das pessoas. Mas,
grupos de usuários específicos terão necessidades adicionais que devem informar a seleção ou configuração
ção do mecanismo ou processos de segurança. Por exemplo, crianças e cidadãos mais velhos podem ter
capacidades e limitações (por exemplo, habilidades motoras) que diferem dos adultos em idade produtiva. Pessoas
com dedos maiores lutam para atingir alvos pequenos com precisão, como as teclas pequenas em um soft
teclado. Valores e normas culturais precisam ser considerados. As condições físicas e mentais
ções de usuários também precisam ser levadas em consideração. Nem todos os usuários são capazes de operar o equipamento
com as mãos, ler em telas ou ouvir áudio. Condições como daltonismo afetam
um número considerável de pessoas, portanto, as imagens usadas para autenticação gráfica precisam ser verificadas.
Certos efeitos de áudio ou vídeo podem prejudicar usuários com doenças como autismo ou epilepsia.
Alguns CAPTCHAs trabalham no teste de Turing público totalmente automatizado para informar aos computadores e
Humans Aparts (CAPTCHAs) investigou o suporte a usuários com deficiências sensoriais,
por exemplo, [ 8 ] No entanto, é preciso ter em mente que CAPTCHAs adicionar mais esforço para o legítimo
mate o usuário, impedindo o alcance do objetivo pretendido, ou seja, o acesso. As limitações de usabilidade
desses mecanismos que visam 'verificar' usuários humanos legítimos - e sua contribuição para a segurança
fadiga rity - deve ser considerada [ , ]
. . . Objetivos e tarefas
O comportamento humano é essencialmente voltado para objetivos. As pessoas realizam tarefas para atingir metas, no trabalho:
'Eu quero fazer esta cotação para o nosso cliente hoje', ou em sua vida pessoal: 'Eu quero obter o
melhor negócio de utilidade para nós '. Para atingir esses objetivos, as pessoas realizam uma série de tarefas. Preparar
uma cotação, isso incluiria trabalhar os materiais necessários e seu custo, a pessoa
horas necessárias e seu custo, as taxas relevantes, impostos etc. Se uma tarefa tem várias etapas ou unidades,
ele pode ser decomposto em subtarefas. Por exemplo, calcular as horas-pessoa necessárias
em um trabalho pode ser dividido nas seguintes tarefas:
. quanto tempo cada tipo específico de funcionário precisa gastar em qual tarefa,
Essas tarefas são chamadas de tarefas primárias ou de produção na terminologia de fatores humanos e design-
criar as ferramentas de tecnologia para que as pessoas possam concluir essas tarefas com eficácia e eficiência é o
aspecto mais fundamental da usabilidade. Para garantir que as pessoas possam concluir as tarefas de forma eficaz, a tecnologia
designers de tecnologia (e segurança) precisam saber os requisitos para as tarefas que executam:
Tarefas de produção e habilitação As tarefas de produção são o que as pessoas consideram 'seu trabalho', e em
muitos empregos, eles podem ter passado anos estudando ou treinando para eles. Em um nível organizacional,
as tarefas de produção realizadas por muitos indivíduos em uma organização somam-se aos profissionais de negócios
processos que produzem os bens ou serviços. Qualquer coisa que interrompa esses processos ou os retarde
para baixo causará problemas signi cativos à organização. Quando falamos sobre ' resiliência ' de um or-
ganização, trata-se da capacidade de manter esses processos de negócios funcionando para produzir o resultado.
Bem como tarefas de produção, uma organização tem tarefas que não contribuem diretamente para os negócios
processos, mas foram adicionados para proteger sua capacidade de continuar a longo prazo: segurança e,
na verdade, a segurança são tarefas essenciais de habilitação. Algumas organizações escapam sem apoiar estes
permitindo atividades por um período de tempo e isso explica o rancor com que alguns indivíduos
e as organizações veem a segurança. O fato de que as medidas de proteção ou proteção não imediatamente
contribuir para a produção e os resultados financeiros explicam por que é uma venda de ressentimento, especialmente quando
indivíduos ou organizações se sentem pressionados.
. Qual saída deve ser produzida para que a meta seja alcançada? A tarefa tem que ser completada
efetivamente, por exemplo, se a cotação não estiver correta ou não for enviada ao cliente a tempo, o
tarefa não é concluída de forma eficaz.
. Existem restrições de tempo e recursos? Os processos de negócios podem definir uma superior
limite no tempo que as tarefas podem levar ou nos recursos que podem utilizar, como acesso
a informações ou serviços pelos quais a organização deve pagar.
. A tarefa é realizada com frequência (várias vezes ao dia) ou com pouca frequência (uma vez por mês)?
A execução de tarefas que as pessoas realizam frequentemente torna-se "automática", enquanto novos
ou tarefas realizadas com pouca frequência são concluídas de maneira consciente, passo a passo
(consulte a Seção ...) Para tarefas realizadas com frequência, o projeto deve otimizar para
acelerar e reduzir o esforço físico (o que pode levar à fadiga). Para tarefas pouco frequentes,
o design deve tentar reduzir o esforço mental, orientando os usuários e minimizando como
muito que eles têm que lembrar.
As pessoas se concentram na tarefa de produção, e as tarefas de habilitação muitas vezes são vistas como indesejáveis
venha interrupção ou distração. Para ficar com nosso exemplo de autenticação : um funcionário tem
para autenticar com uma senha em um banco de dados para descobrir a taxa horária de uma determinada espécie
profissional que a empresa cobra. Se ela faz isso com frequência e consegue se lembrar da senha,
pode levar apenas alguns segundos para ela se lembrar e entrar nele. Mas se ela acabou de voltar de
férias, não consigo me lembrar e leva minutos para chegar a um help desk para ter
é redefinido, e então ela tem que pensar e memorizar uma nova senha - tudo antes de conseguir
para o banco de dados - a tarefa de segurança tornou-se repentinamente uma grande interrupção, e talvez
a conclusão efetiva da tarefa de produção agora está sob ameaça.
E observe como uma tarefa aparentemente rápida de 'autenticação' (com subtarefas de 'recuperar senha'
e 'digite a senha') agora gerou mais duas tarefas de autenticação: 'recuperar a senha'
e 'criar senha', ambos com várias etapas cada.
A maioria das soluções alternativas para os mecanismos de segurança, como escrever senhas ou compartilhar
eles acontecem porque as pessoas tentam garantir a conclusão eficaz da tarefa de produção (para proteger
produtividade empresarial). Por exemplo, as pessoas costumam manter suas próprias cópias de documentos que
deve estar em um repositório de acesso controlado, ou cópias em texto claro de documentos que devem
ser criptografados, porque temem não poder acessá-los quando precisam deles. Ou
quando o esforço repetido e a interrupção resultante de ter que digitar uma senha para desbloquear
uma tela fica demais, eles instalam um software de movimento do mouse para impedir o travamento da tela e
tendo que inserir sua senha [ 88] Mesmo que um usuário conheça bem a senha, os segundos
leva soma se precisar ser feito dezenas de vezes ao dia.
Portanto, para evitar que as tarefas de segurança sejam contornadas, devemos projetá-las para o principal
tarefas. Podemos alcançar um bom t de várias maneiras:
https://translate.googleusercontent.com/translate_f 144/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• Automatizar a segurança, por exemplo, usando autenticação implícita para reconhecer
usuários, em vez de exigir que eles digitem senhas várias vezes.
• Se a ação humana explícita é necessária em uma tarefa de segurança, devemos minimizar o trabalho-
carga e a interrupção da tarefa principal.
• Projetar processos que acionem mecanismos de segurança, como autenticação apenas quando
necessário (ver, por exemplo, [ ]).
• Projetar sistemas que sejam seguros por padrãopara que eles não sobrecarreguem a carga de segurança
configurações e gerenciamento para os usuários.
A carga de trabalho pode ser física (digitar uma senha) ou cognitiva (lembrar uma senha). Huu
os homens geralmente tentam ser eficientes e manter sua carga de trabalho física e mental tão baixa quanto
possível. Mas, dada a escolha, a maioria das pessoas fará um trabalho físico extra em vez de um trabalho mental extra -
carga, especialmente se a tarefa física for de rotina e pode ser feita 'no piloto automático' (consulte a seção .)
A carga de trabalho mental rapidamente se torna excessiva, especialmente se as tarefas adjacentes exigirem o mesmo
capacidade mental, como a memória.
Portanto, para projetar uma tarefa de segurança que seja adequada, precisamos conhecer a produção
tarefas e considere a carga de trabalho mental e física. Antes de selecionar uma medida de segurança,
especialistas em segurança devem realizar uma auditoria de carga de trabalho:
Poderíamos igualmente considerar outros exemplos, por exemplo, controle de acesso onde a perspectiva do usuário é: 'Eu
precisa compartilhar informações X com a pessoa Y ', enquanto as políticas de controle de acesso adotam a abordagem:' negar todos e
em seguida, habilite o acesso específico '.
https://www.ncsc.gov.uk/information/secure-default
. Existem restrições de desempenho na tarefa principal (por exemplo, o tempo em que tem que
ser preenchido)?
Medição da carga de trabalho Como podemos medir a carga de trabalho associada a uma tarefa de segurança?
Um proxy simples é o tempo: quanto tempo leva para concluir a tarefa de segurança? Considerando isso
antes de implementar uma nova política ou medida de segurança seria uma melhoria no status
quo, em que o impacto de uma política ou medida só é considerado quando está causando problemas.
Depois de saber quanto tempo leva, precisamos determinar se e onde interrompe a atividade primária.
A avaliação de se o impacto sobre a tarefa principal é aceitável pode ser realizada infor-
mally, por exemplo, com pessoal experiente e gerentes de linha que conhecem bem a tarefa de produção.
Uma avaliação mais formal pode ser realizada analiticamente usando as Metas, Operadores, Métodos
(GOMS) ou empiricamente usando o NASA Task Load Index (TLX).
Como já discutimos, as pessoas estão programadas para proteger sua produtividade. Eles têm
uma consciência integrada de quanto tempo e esforço estão gastando em tarefas não produtivas,
e uma ideia de quanta atividade improdutiva é razoável. Eles têm o que Beaute-
ment et al. chamado de Orçamento de Conformidade [ ] Conforme o dia avança e as tarefas de habilitação adicionam
para cima, a probabilidade de que pareçam demais e sejam ignorados aumenta. Furnell & Thomp-
filho cunhou o termo fadiga de segurança [ ] e a difícil batalha para transformar a segurança de um rancor
venda em uma qualidade positiva (Seção ...) pode ser atribuído a isso.
A segurança não é a única tarefa capacitadora que os funcionários enfrentam. Outros incluem: segurança, sustentabilidade, di-
treinamento de versatilidade, vários regimes regulatórios e assim por diante, levando à fadiga de conformidade . Beaute-
ment et al. [ ], recomende que os especialistas em segurança tenham uma discussão aberta e honesta
com os gerentes de linha e líderes de negócios sobre o tempo e o orçamento disponíveis para habilitar
atividades e quanto está disponível para segurança em comparação com outras funções de habilitação. Uma vez
isto é, a carga de trabalho das tarefas de segurança pode ser calculada e as prioridades identificadas
- quais comportamentos de segurança realmente importam para os principais riscos de um determinado grupo de funcionários
face - e tarefas de segurança simplificadas. Tornando os mecanismos de segurança mais inteligentes e menos 'todos'
ou nada 'também pode ajudar a reduzir a fadiga de conformidade. Por exemplo, permitir a autenticação
com uma senha antiga ou tendo políticas de "quebrar o vidro" que permitem apenas o acesso dos usuários
quem não tem permissão reduz a probabilidade de interrupção da tarefa. E se os usuários sabem que eles
ter acesso a serviços eficientes de recuperação e suporte de segurança, isso reduzirá a necessidade de
soluções alternativas.
https://translate.googleusercontent.com/translate_f 145/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. . . Contexto de interação
Investigação contextual Em organizações de trabalho modernas, os funcionários podem trabalhar em muitas partes do mundo,
e em muitos ambientes físicos e sociais diferentes. Pode ser um grande desafio para um segurança
especialista para identificar todos os fatores que podem afetar a segurança e a usabilidade. Muitos profissionais de usabilidade
profissionais seguem uma abordagem chamada Pesquisa Contextual [ ]:
'A premissa central da Pesquisa Contextual é muito simples: vá até o usuário, observe-o
faça as atividades de seu interesse e converse com eles sobre o que estão fazendo certo
então.'
A Investigação Contextual usa uma mistura de observação e entrevista para identificar as tarefas principais das pessoas
ple está realizando, e o que os faz fazer isso bem.
Tanto o ambiente físico quanto o ambiente social em que as pessoas devem atuar
as tarefas de segurança afetam o desempenho e a segurança. A maioria das pessoas em idade produtiva agora interage com
tecnologia em movimento com mais frequência do que em ambientes de trabalho tradicionais de mesa .
Esta mudança no contexto de uso afeta uma série de mecanismos de segurança, incluindo
sendo ouvido quando no telefone - o caso do ex - diretor da CIA Michael Hayden sendo
ouvido por acaso dando uma entrevista não oficial a bordo de um trem sendo particularmente espetacular
um . O risco de ser ouvido agora é abordado em muitos pacotes de treinamento corporativo,
mas vários mecanismos de segurança ainda estão em uso que são vulneráveis a serem ouvidos, por exemplo,
questões de segurança como data de nascimento, nome de solteira da mãe. Usando credenciais parciais
apenas e a entrada através do teclado aumentam a segurança, mas também acentuam o estado mental e físico
carga de trabalho ao mesmo tempo. Alguns invasores também podem tentar coletar credenciais por meio do ombro
câmeras sur ng ou escondidas. Em geral, o uso de uma senha de uso único (OTP) como parte de um FA
solução poderia oferecer proteção e melhor usabilidade.
A usabilidade dos mecanismos de segurança pode ser afetada pelas seguintes características físicas
tiques:
. Luz: Com luz forte, os monitores podem ser difíceis de ver, o que pode afetar a autenticidade gráfica
catião em particular. Sistemas biométricos, como reconhecimento de íris e rosto, dependem de entrada
de câmeras. A luz forte pode causar reflexos, o que significa que as imagens capturadas não são
bom o suficiente para processar.
. A poluição pode afetar equipamentos operados ao ar livre. Esta é uma preocupação particular para
sensores e telas sensíveis ao toque da ngerprint. Os lipídios deixados para trás se combinam com as partículas
e a graxa escura resultante pode obstruir os sensores ou deixar um padrão claramente visível no
tela sensível ao toque.
https://www.theguardian.com/world/ / oct / / former-spy-chief-overheard-acela-twitter
https://translate.googleusercontent.com/translate_f 146/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Fatores humanos KA | Outubro Página 6
www.cybok.org
O contexto social em que as pessoas se consideram fortemente influencia o comportamento, embora valha
ues : crenças compartilhadas sobre o que é importante e vale a pena, e normas : regras e expectativas
informações sobre o comportamento real. Se o comportamento de segurança esperado está em conflito com o dia-a-dia
normas comportamentais, podemos esperar problemas. Por exemplo, se uma organização valoriza o cliente
satisfação, e os funcionários são instruídos a serem amigáveis com os clientes em todos os momentos, uma segurança
política que exige que a equipe trate qualquer consulta do cliente como uma tentativa potencial de extrair
formação não t. Compreender os motivos da não conformidade com a segurança
políticas podem lançar luz sobre esses conflitos entre os requisitos de segurança e os principais
tarefa [ 6] A confiança é outra norma fundamental. Os humanos não gostam de se sentir desconfiados - e tem sido
mostrou que comunicar desconfiança aos funcionários incentiva o mau comportamento, ao invés de pré-
desabafar [ ]
Outros aspectos precisam ser considerados para entender como as crenças de segurança, normas e
estratégias de enfrentamento são moldadas. Por exemplo, os usuários muitas vezes obtêm seu conhecimento de suas
redes sociais e estas também são uma fonte de apoio e ajuda quando enfrentam a usabilidade
desafios [ 8, ]
Embora o FA tenha benefícios de segurança e reduza a necessidade de senhas fortes, nem todas as soluções de FA
ções são utilizáveis por padrão. Muitos usuários consideram os tokens FA amplamente usados , como o Digipass, difíceis.
Eles apreciam o fato de que cabe em suas carteiras, mas, no final das contas, é 'demais' [ ] Além disso,
metade dos usuários de serviços bancários online têm contas em mais de um provedor de serviços financeiros.
O fato de que mesmo aqueles que usam FA o implementam de forma diferente (qual token é usado quando
tem que ser usado, e como os diferentes elementos de autenticação são referidos (frase-senha,
senha, frase-chave) causa confusão para os usuários. Da mesma forma, diferentes implementações
de Chip e PIN criam variações ligeiramente diferentes na tarefa que pega os usuários, levando
a erro humano (Seção .)
Com o aumento do número de novos dispositivos surgindo, de relógios inteligentes a dispositivos domésticos,
e tamanhos de tela ainda menores e interações implícitas entre usuários e dispositivos por meio
uma variedade de sensores e atuadores, considerando a ergonomia das interações de segurança [ ]
é cada vez mais importante. Os riscos decorrentes de Traga seu próprio dispositivo (BYOD) culturas são
discutido na Área de Conhecimento de Gestão de Riscos e Governança (Capítulo ) .
www.cybok.org
. ERRO HUMANO
[, ]
Em mais de anos de pesquisas sobre acidentes e segurança, o psicólogo James Reason trabalhou
que virtualmente todos os erros que as pessoas cometem são previsíveis [ ]. Eles ocorrem como resultado de la-
falhas de tenda (organização e condições locais de trabalho) e falhas ativas (erros e violações
por humanos) em combinação para permitir a ocorrência do acidente. Figura . mostra Reason's
https://translate.googleusercontent.com/translate_f 147/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Modelo 'Swiss Cheese' adaptado para segurança. Um incidente de segurança ocorre porque a ameaça
encontra seu caminho através de uma série de vulnerabilidades nas defesas da organização. Uma pessoa pode
ser aquele que apertou o botão errado ou clicou no link e causou o incidente. Como-
sempre, várias outras falhas precederam isso, levando essa pessoa a ser colocada em uma posição onde
fazer o que parecia ser a escolha certa acabou sendo a escolha errada.
Falhas latentes de usabilidade em sistemas de sistemas Também não se pode presumir que todos os sistemas
são projetados do zero com considerações de segurança utilizáveis em mente. Na maioria das vezes, os sistemas são,
na verdade, sistemas de sistemas (SoS), derivados da composição de sistemas independentes que
reúnam-se para orquestrar um determinado serviço ou tarefa. Problemas de integração no SoS têm sido
estudado, por exemplo,] [e deve-se considerar as falhas latentes que surgem devido às decisões tomadas
durante a integração. Fraca usabilidade e fadiga da tarefa representam um risco suficiente para a segurança de
o SoS para garantir o investimento inicial a fim de evitar falhas latentes.
Aplicado à segurança, um funcionário que não segue um procedimento de segurança constitui um ativo
falha e deve ser investigada e corrigida. Se a investigação mostrar que o conflito
demandas de tarefa de produção e segurança levam o funcionário a desconsiderar a segurança, a
ict é uma falha latente subjacente que a organização precisa resolver. Freqüentemente, segurança não
a conformidade é ignorada até que ocorra um incidente. Ao contrário da segurança, a segurança não tem
adversários com quem lutar. Mas muitas melhorias poderiam ser feitas para a segurança atual
ridades aplicando conceitos de segurança (conforme discutido na Seção ...)
Conforme já mencionado na Seção . . ., tarefas que as pessoas realizam frequentemente tornam-se auto-
tomaticos , enquanto as tarefas que estão fazendo pela primeira vez ou muito raramente são realizadas
de forma consciente, passo a passo. O psicólogo Daniel Kahneman, prêmio Nobel
laureado em economia por seu trabalho sobre os preconceitos humanos na tomada de decisão, descreveu os dois
áreas, sistema e, e a forma como funcionam como, pensando rápido e lento [ 8 ] Um muito im-
O importante é que a maioria das atividades que as pessoas realizam são realizadas no Sistema
modo, e é isso que nos torna eficientes. Se as pessoas realizassem a maioria de suas atividades em
No modo de sistema, eles não fariam muito. Exortações para 'Take Five' sempre que-
antes de clicar em um link não é realista quando as pessoas recebem dezenas de e-mails de trabalho com
links. Além disso, se sem clicar nesse link ou fornecer informações pessoais, não há
forma de completar a tarefa principal, a produtividade está seriamente ameaçada. Anúncio inespecífico
www.cybok.org
Figura . : Versão de segurança do modelo 'Swiss Cheese' da Reason. Buracos são latentes e falhas ativas-
ures. Quando uma ameaça encontra uma em camadas sucessivas, a ameaça é bem-sucedida. 'Fatias de queijo'
são defesas fornecidas por políticas e mecanismos de segurança.
vícios como 'apenas pare e pense' raramente funcionam porque apenas impedem as pessoas em seu caminho
e sem apoiá-los, a realização de seus objetivos com segurança não é útil. Além disso, con
considerando a carga de trabalho das medidas de segurança, os especialistas em segurança precisam considerar mais
impacto que seguir seus conselhos tem na capacidade das pessoas de completar suas tarefas primárias, como
bem como o impacto sobre a eficácia da comunicação geral entre a organização e
https://translate.googleusercontent.com/translate_f 148/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
funcionários. O uso de Relatório de Autenticação de Mensagem com Base em Domínio e Conformidade
(DMARC), por exemplo, deve permitir que os funcionários distingam a comunicação interna genuína
de possíveis tentativas de phishing. O uso de DMARC para fornecer uma indicação confiável de
remetentes 'seguros' podem reduzir o número de e-mails sobre os quais os usuários devem ser cautelosos. Até
melhor, o fornecimento de tecnologia de navegação ultra-segura, agora disponível, significa que
clicar em links não tem consequências técnicas adversas, portanto, a educação e o treinamento do usuário podem
foco na explicação de técnicas de engenharia e manipulação social.
Ao lidar com problemas complexos, os humanos muitas vezes têm que combinar processos rápidos e lentos.
cesses, e há um modo misto intermediário , onde a execução da tarefa não é totalmente automática:
alguns dos comportamentos são automáticos, mas é preciso parar e trabalhar conscientemente quais
comportamento para selecionar. Custos de produtividade à parte, especialistas em segurança sugerindo que as pessoas deveriam 'parar
e pense em 'assumir que' modo lento 'é igual a' modo de segurança '. Por exemplo, usar o modo lento pode
também levam a pensar demais, a racionalizar ou explicar as evidências, a trazer informações irrelevantes
preocupações a suportar, concentrando-se nas metas erradas (por exemplo, metas de produção) e desperdiçando grandes
quantidade de tempo e energia. Na verdade, cada um desses modos de operação vem com seu próprio
tipo de erro humano (Tabela .)
Mesmo no modo consciente, as pessoas tentam ser eficientes, recorrendo à 'coisa mais próxima que conhecem',
ou seja, eles são mais propensos a escolher os comportamentos que usam com frequência, ou aqueles que parecem mais
semelhante à situação que eles encontram. Os invasores exploram isso criando
sites ou incorporando mensagens de segurança em seus e-mails de phishing.
A razão identifica quatro tipos de falhas latentes que são mais propensas a fazer com que as pessoas cometam
erros.
. Os fatores individuais incluem fadiga (conforme discutido na Seção ...), mas também inexperiente
cia e uma atitude de risco.
. Fatores humanos incluem as limitações de memória (conforme discutido na Seção ...) mas
também hábitos comuns e suposições amplamente compartilhadas.
. Fatores de tarefa incluem pressão de tempo, alta carga de trabalho e várias tarefas, mas monotonia e
o tédio é igualmente indutor de erros, porque as pessoas mudam sua atenção para as diversões.
A incerteza sobre funções, responsabilidades e regras também leva a escolhas incorretas.
. Os fatores do ambiente de trabalho incluem interrupções nas tarefas (conforme discutido na Seção ...)
e equipamentos e informações deficientes. As pessoas também são particularmente propensas a cometer erros quando
regras e procedimentos mudam.
https://translate.googleusercontent.com/translate_f 149/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
encurralado, mas não levou a um incidente, deve ser usado da mesma forma para identificar e alterar o
causas subjacentes. Também precisamos desenvolver uma melhor compreensão de como os humanos respondem
quando sob condições de estresse, por exemplo, em tempo real diante de um ataque que se desenrola.
'Nunca emita uma política de segurança que não possa ser seguida'
(Ou: General MacArthur, sombra de segurança e segurança
higiene ) O famoso líder militar da segunda guerra mundial
eral Douglas MacArthur cunhou a frase 'nunca dê
uma ordem que não pode ser obedecida. 'Ele reconheceu o cor-
impacto rosa de uma única ordem que não pode ser seguida
na realidade, isso prejudica a credibilidade de todos os pedidos e
os superiores que os emitem e semeiam a incerteza e
dúvida. É o mesmo com as políticas de segurança: ao empregar
ees encontram políticas de segurança que são impossíveis de
seguir ou claramente não são eficazes, fornece uma justificativa
por duvidar de todas as políticas de segurança. É por isso que secu-
higiene é essencial. Quando as políticas não estão sendo seguidas
baixa, os profissionais de segurança devem investigar, de uma forma
forma de confronto, por que e se é porque eles
são impossíveis ou muito onerosos de seguir e redesenhar
a solução. Kirlappos et al. apontou que na maioria
casos, os funcionários não mostram desrespeito flagrante por se-
segurança, mas tente gerenciar o risco que eles entendem no
melhor maneira de saber, o que eles chamam de shadow security [ 6 ]
Suas soluções de segurança 'amadoras' podem não ser totalmente eficazes do ponto de vista da segurança, mas
uma vez que são "viáveis", perguntar "como poderíamos tornar isso seguro" é um bom ponto de partida para
Encontrar uma solução eficaz que combine com a forma como as pessoas trabalham.
Os profissionais de segurança costumam responder com medidas de conscientização, educação e treinamento de segurança
garante quando as pessoas não seguem as políticas de segurança. Mas, na seção . nós estabelecemos isso
segurança, higiene deve vir em primeiro lugar: se as pessoas continuarem sendo informadas de que o risco é realmente sério e
eles devem seguir a política, mas não podem fazê-lo na prática, eles desenvolvem ressentimento e uma atitude negativa
atitude em relação à segurança e à organização (o que é contraproducente).
Na prática, os três termos: conscientização, educação e treinamento, são freqüentemente usados como intercâmbio.
habilmente, mas são elementos diferentes que se complementam:
Conscientização sobre segurança. O objetivo da conscientização de segurança é chamar a atenção das pessoas e
convencê-los de que a segurança vale a pena. Dado que muitas organizações enfrentam
conformidade e fadiga de segurança , para citar Cormac Herley: Mais não é a resposta [ 6 ]:
visando um monte de comunicações vai voltar. Precisamos chamar a atenção das pessoas e
fazer com que percebam que (a) a segurança cibernética é relevante para eles, ou seja, os riscos são reais
e podem afetá-los, e (b) existem medidas que eles podem tomar para reduzir o risco e que
eles são capazes de dar esses passos. Elaborar mensagens eficazes de conscientização não é
uma tarefa fácil para profissionais de segurança. Trabalhando com os especialistas em comunicação
em uma organização pode, portanto, ajudar. Eles não só sabem criar mensagens que
prenda a atenção das pessoas, mas saiba como alcançar diferentes públicos por meio de diferentes
canais disponíveis para eles e integrá-los ao conjunto geral de comunicações
para evitar o cansaço da mensagem.
Educação em segurança. Assim que as pessoas estiverem dispostas a aprender mais sobre segurança cibernética, podemos
https://translate.googleusercontent.com/translate_f 150/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
vide informações sobre os riscos e o que eles podem fazer para se protegerem deles.
A maioria das pessoas atualmente tem modelos mentais muito incompletos e muitas vezes incorretos (ver
Seção . .) sobre riscos cibernéticos. Transformá-los em outros mais precisos fornece uma
base para desenvolver habilidades de segurança cibernética. No entanto, é difícil determinar se
a educação leva a modelos mentais mais precisos ou pelo menos os que garantem
profissionais esperam que as pessoas possuam. Essa divergência deve ser levada em consideração. Para
por exemplo, Nicholson et al. [ ] apresentar a tarefa de sobrevivência cibernética como um meio de sub-
resistir a tal divergência entre especialistas em segurança e funcionários, a fim de informar o
desenho de programas de educação em segurança.
Treinamento de segurança. O treinamento ajuda as pessoas a adquirir habilidades, por exemplo, como usar um determinado seguro
mecanismo de identidade corretamente, como reconhecer e responder a um ataque de engenharia social.
Além de mostrar às pessoas como fazer algo, precisamos apoiar a aquisição
de habilidades, permitindo que eles pratiquem as habilidades em um ambiente onde eles podem 'experimentar' com
tomada de decisões de segurança e refletir sobre suas percepções e preconceitos [ ] Partes de habilidade
aquisição pode ser suportada online, mas, como todo aprendizado, é muito mais provável que seja
sucesso quando ocorre no contexto de uma comunidade social [ ]
Um mal-entendido comum é que se as pessoas concluírem as três etapas acima e souberem o que
fazer, eles mudarão seu comportamento. Mas saber o que fazer e como fazer não é suficiente.
Como discutimos na Seção ., a atividade humana é% automática, impulsionada por rotinas ou hábitos
armazenados no espaço de trabalho de longo prazo. O novo comportamento de segurança precisa ser incorporado lá
mas seu lugar é ocupado por um comportamento existente (semelhante a uma senha antiga). O ditado
que 'velhos hábitos são difíceis de morrer' descreve com precisão o fato de que, até conseguirmos empurrar os velhos
comportamento e o novo comportamento torna-se automático, toda a nossa consciência, educação e
os esforços de treinamento podem não produzir as mudanças de comportamento que buscamos. Este é um desafio
empresa. Uma vez que a atividade produtiva precisa continuar enquanto mudamos o comportamento de segurança
(Seção .), podemos apenas visar - comportamentos de cada vez, e embarcar na mudança do próximo
- apenas quando estes se tornarem genuinamente incorporados. Nem se deve confiar na segurança
conscientização e educação com cultura de segurança (cf. Gestão de Risco e Conhecimento de Governança
Área de borda (Capítulo )) . Estes podem ser um elemento no desenvolvimento de uma cultura de segurança, mas são
não são em si representantes de uma cultura de segurança eficaz.
O White Paper da RISCS 'Conscientização é apenas o primeiro passo ' [ ], apresenta um modelo de suporte
(Figura . Que as organizações precisam fornecer para alcançar mudanças comportamentais de segurança.
mostra que as três etapas que discutimos até agora são apenas as primeiras etapas, e que um
outras quatro etapas são necessárias para alcançar a mudança comportamental. Para apoiar essas etapas adicionais,
podemos aproveitar uma nova geração de recursos de aprendizagem que evoluíram. E essas etapas
exigem investimento das organizações - em termos de estratégia, tempo, planejamento e recursos.
Simulações e jogos estão cada vez mais sendo usados, ambos para aumentar a conscientização sobre a segurança
atraente e para ajudar com medidas educacionais mais complexas e mudança de comportamento.
Simulações anti-phishing projetadas para ensinar os funcionários a não clicar em links suspeitos são
provavelmente o mais usado nas organizações hoje. A popularidade deles vem do fato
que fornecem a capacidade de medir o impacto das intervenções e tendem a mostrar uma
diminuição nas taxas de cliques a curto prazo. O argumento é que a experiência de ter sido
phishing é um 'momento de ensino' que capta a atenção dos funcionários e os persuade
https://translate.googleusercontent.com/translate_f 151/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para trabalhar seu caminho através da educação que está sendo oferecida. No entanto, Fogg, que primeiro apresentou
o conceito de 'momentos de gatilho' (referido como Prompts no mais recente Fogg Behavior
Modelo, cf. Figura .) é muito claro que eles só levarão a uma mudança de comportamento se a pessoa
tem um nível suficiente de motivação para se envolver com o treinamento fornecido e a capacidade de
aplicar as habilidades que estão sendo ensinadas. Joinson argumenta que certos gatilhos emocionais e contextuais
empregados por invasores de engenharia social são tão direcionados e poderosos (por exemplo, um
citação que pretende ter informações sobre interrupções no trânsito ou no transporte público em breve
antes do final da jornada de trabalho) que eles não podem ser evitados pelo treinamento [ ]
Do ponto de vista do fator humano, as simulações anti-phishing podem ser problemáticas:) porque
os funcionários podem perceber isso como sendo atacado por sua própria organização, o que reduz
Confiar em [ ] e) podem levar os funcionários a se tornarem tão relutantes em clicar em links que
eles não agem em e-mails genuínos que podem ser importantes. Esses fatores precisam ser cuidadosamente
considerado no projeto de quaisquer simulações [ ] Além disso, como discutimos acima,
o uso de mecanismos como DMARC pode reduzir o número de e-mails suspeitos em
em que os usuários precisam se concentrar, permitindo que a educação e o treinamento sejam voltados para explicar
técnicas de engenharia e manipulação social.
Figura . : O Modelo de Comportamento de Fogg tem três fatores: motivação, habilidade e gatilhos (https:
//behaviormodel.org)
https://translate.googleusercontent.com/translate_f 152/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Jogos de conscientização de segurança Os jogos Capture The Flag (CTF) são projetados para aumentar a conscientização
de vulnerabilidades e como podem ser exploradas. A ideia é ver como eles podem usar o
vulnerabilidades para atacar um sistema, os defensores aprendem a não incorporá-los em seus próprios sistemas.
No entanto, o foco está no treinamento dos encarregados de proteger a organização e não no mais amplo
conjunto de usuários e funcionários.
Existem jogos de cartas de mesa com o objetivo de fornecer conscientização de segurança para uma base mais ampla de usuários dentro
uma
organizações, por exemplo, Ctrl-Alt-Hack [ ], dox d! e outros são especificamente voltados para as TIC
b
especialistas e desenvolvedores, por exemplo, Elevation of Privilege da Microsoft . Existem também jogos de tabuleiro
projetado para ser desempenhado por grupos de trabalho para aumentar a conscientização sobre ameaças à segurança cibernética e
complexidade da tomada de decisões de risco cibernético, por exemplo, decisões e interrupções ][ Todos esses jogos
têm a vantagem potencial de oferecer uma experiência de aprendizagem social, se jogados em um contexto de grupo.
Mas, se forem fornecidos como exercícios únicos, é improvável que tenham um efeito duradouro.
No geral, jogos e simulações têm o potencial de oferecer novos elementos envolventes que podem ser
implantado em diferentes estágios do modelo de mudança de comportamento (consulte a Figura .), mas eles precisam ser
parte de um programa planejado de transformação de comportamento, não intervenções pontuais.
uma
https: // dx d.com/dxd/about.html
b
https://www.microsoft.com/en-us/SDL/adopt/eop.aspx
Wash argumenta que modelos mentais inadequados de segurança tornam os usuários vulneráveis contra informações
adversários ligeiros:
'Esses usuários acreditam que seu comportamento atual não os torna vulgares
nerável, então eles não precisam fazer nenhum esforço extra. ' [ ]
Compreender os modelos mentais dos usuários pode fornecer insights sobre como os usuários percebem
informações de segurança lar, por exemplo, alertas [ 6] ou tarefas específicas que eles têm que realizar, por exemplo, dele-
ção [ 8] A questão é: quais modelos seriam úteis? Existem exemplos de mod mentais
els na literatura, por exemplo, modelos de segurança física, modelos médicos, modelos criminais
els, modelos de guerra e modelos de mercado [ ], que pode fornecer uma base para a comunicação
problemas complexos de segurança para os usuários. As percepções de risco também são relevantes a esse respeito. Esses,
juntamente com a responsabilidade, são abordadas na Área de Conhecimento de Gestão de Risco e Governança
(Capítulo ), portanto, não são discutidos mais aqui.
. SEGURANÇA POSITIVA
[ 8]
Qual é o objetivo da segurança cibernética? Quando perguntado, a primeira resposta da maioria das pessoas é ao longo do
linhas de prevenção de ataques cibernéticos ou, pelo menos, de redução do risco de ataques bem-sucedidos ou perdas
sendo muito alto. Como Florencio et al. apontou, fornecedores e aqueles que desejam que as organizações
levar a segurança mais a sério, recorrer a um 'Venda de medo da incerteza e da dúvida (FUD) - criando
medos de ataques e suas consequências, Incerteza sobre as consequências e Dúvida sobre
capacidade das organizações de se defenderem - impulsionando assim o mercado de segurança cibernética e
a venda de produtos [ 8]
'FUD fornece um fluxo constante de factóides (por exemplo, o número bruto de amostras de malware
ples, atividade em mercados clandestinos ou o número de usuários que irão transferir
sua senha para uma barra de chocolate), cujo efeito é nos persuadir de que
as coisas estão ruins e pioram constantemente. '
Os profissionais de segurança hoje reclamam que a maioria dos indivíduos e empresas não usam o cyber
riscos a sério. O problema é que as vendas do medo não são uma boa base para decisões de segurança
tomada: quando o investimento resultante em segurança acaba por não ser eficaz, a decisão
os fabricantes ficam céticos quanto aos benefícios da segurança cibernética. Isso, por sua vez, incentiva o
outro lado para aumentar o FUD, levando a uma espiral de medo e relutante investimento em segurança.
https://translate.googleusercontent.com/translate_f 153/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Para se defender de novas ameaças, as empresas precisam mais do que adesão passiva - em-
empregados que desejam defender a organização e compreender e concordar com a
patrocínios que lhes foram atribuídos na defesa. Para conseguir isso, devemos fazer
curiosidade, uma proposta que é confiável, de modo que as pessoas queiram comprá-la. Ofertas de segurança positivas
mais do que proteger as coisas com as quais nos preocupamos contra consequências negativas (' liberdade de' ).
Permite-nos envolver-nos em atividades que valorizamos e ter experiências que apreciamos (' liberdade
para ' ) [ , ] Roe argumenta que uma concepção positiva de segurança abrirá ideias para novas políticas
opções e intervenções geladas e incentive os indivíduos ou grupos a se envolverem mais
na tomada de decisões sobre segurança e como parte de sua implementação [ ]
Outro aspecto importante da segurança positiva é a linguagem que usamos em relação a ela. Como primeiro
passo, devemos parar com a prática de demonizar as pessoas que não querem ou são incapazes de seguir
conselho de segurança: chamar essas pessoas de 'o elo mais fraco' as culpa implicitamente por não serem
capaz de compreender ou cumprir a segurança.
.6 ENVOLVIMENTO DE STAKEHOLDER
[ , , ]
.6. Funcionários
A partir da pesquisa sobre o comportamento humano em segurança cibernética na última década, um muito claro
tema surgiu: a importância de se envolver em encontrar maneiras de fazer a segurança funcionar
Para funcionários. A comunicação e a liderança são importantes neste sentido. No entanto, estes
aspectos e outros relativos às culturas organizacionais são discutidos no Gerenciamento de Riscos
Gestão e Governança Área de Conhecimento (Capítulo) . Aqui, nos concentramos nos funcionários, em vez de
liderança e aspectos organizacionais, como liderança estratégica em nível de conselho do cyber se-
curidade.
Lizzie Coles-Kemp e colegas desenvolveram uma abordagem que envolve o envolvimento dos funcionários
para melhorar a segurança um passo adiante. Eles usam técnicas projetivas (por exemplo, desenhos e
colagens) para construir representações da atividade diária e fundamentar a discussão de segurança em
esses. Estudos de caso [ , 6] mostram como isso ajuda a identificar as principais causas de insegurança
comportamento que a organização vê como indesejável, em muitos casos, segurança mal projetada
(ecoando os resultados de Beautement et al. [ ]), Mas também falhas mais fundamentais do
organização para apoiar o negócio e suas tarefas individuais.
Compromissos de segurança criativa (mencionados pela primeira vez por Dunphy et al. [ ]) encorajar a participação
calças (funcionários no contexto da empresa ou consumidores ou cidadãos em um envolvimento mais amplo) para
refletir sobre:
• seu ambiente,
Uma técnica particular para engajamentos criativos usando Lego para a modelagem física de
ameaças à segurança da informação foi desenvolvido pelo Projeto Trespass da UE6. Este tipo de física
modelagem preenche a lacuna entre os diagramas típicos (gráficos de fluxo e modelagem unificada
Diagramas de linguagem (UML) , por exemplo) com os quais os profissionais de segurança normalmente trabalham,
e as práticas cotidianas dos consumidores que são afetados pelo design de segurança. Heath, Hall
& Coles-Kemp [ ] relatou um estudo de caso bem-sucedido deste método para modelar a segurança para
uma aplicação de home banking, que identificou áreas onde a intervenção humana e apoio
precisava ser fornecido para fazer a segurança funcionar em geral.
Esses estudos fornecem exemplos de diferentes maneiras de se envolver com funcionários, consumidores
e cidadãos em segurança. Eles fazem parte de uma tendência crescente em pesquisa (cf. trabalho sobre Produtivo
Segurança [ ]), afastando-se da abordagem mecanicista de procurar traços dentro
indivíduos que conduzem ao comportamento de segurança desejado ou tentando mudar o comportamento
abordando ou aprimorando esses traços. O foco fundamental dessas abordagens é sobre
alterar o design de segurança para alinhar com as tarefas do usuário e organizacionais para reduzir o trabalho-
https://translate.googleusercontent.com/translate_f 154/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
6https://www.trespass-project.eu/
www.cybok.org
carregar e aumentar a produtividade de uma organização. O fato de que também leva a uma
a percepção ativa de segurança é um efeito colateral valioso.
Vários estudos, por exemplo, Enck et al. [ ] e Fahl et al. [ ] destacaram a extensão de
quais vulnerabilidades se manifestam em ecossistemas modernos centrados no desenvolvimento de aplicativos. Era
notável que, dos 6 desenvolvedores que foram contatados por Fahl et al., um grande número foi
dispostos a fornecer informações, mas só foram entrevistados porque suas empresas recusaram
permissão para que o façam. A partir das entrevistas, Fahl et al. descobriram que os desenvolvedores tinham pouco
a nenhum treinamento de segurança e estavam sob extrema pressão para concluir o aplicativo rapidamente - e
essa foi a razão dos erros que levaram às vulnerabilidades.
Acar et al. [8] estudaram o impacto das redes sociais online, como StackOver ow, em
a segurança do código que os desenvolvedores produzem. Dois terços dos desenvolvedores que usaram Stack-
Over ow ou um livro conseguiu produzir uma solução funcionalmente correta dentro da allo-
citado, enquanto apenas% dos usuários de documentação oficial o fizeram. Em termos de segurança
ridade, os resultados foram revertidos. Aqueles que usam documentação oficial produziram mais
código seguro e aqueles que usam o StackOver menos. Uma resposta de segurança tradicional para
este resultado seria 'o uso de StackOver ow deve ser proibido.' Mas, claramente, a produtividade
o preço que os desenvolvedores e suas organizações pagariam seria alto. Por exemplo, re-
trabalho centavo [ ] mostrou que os desenvolvedores utilizam esses fóruns para trocar informações e
oferecer suporte mútuo para a solução de problemas de segurança. Isso não quer dizer que tal conselho seja al-
maneiras eficazes (como observado acima), mas os fóruns fornecem uma comunidade de prática na qual
os desenvolvedores podem compartilhar seus problemas e buscar ajuda. Banindo tais fóruns imediatamente, sem re-
colocá-los com suporte relevante, portanto, não resolveria o cerne de por que os desenvolvedores
buscar esse apoio.
www.cybok.org
https://translate.googleusercontent.com/translate_f 155/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
por exemplo] Green
[ e Smith sintetizaram percepções do corpo de pesquisa existente sobre
um conjunto de dez princípios para fazer interfaces de programação de aplicativos para segurança e criptografia
bibliotecas raphy mais utilizáveis para desenvolvedores [ ] Patnaik et al. [ ] identificar quatro usabilidade
cheiros que indicam que as APIs criptográficas podem não estar abordando totalmente tais princípios, of-
fornecer insights para desenvolvedores de bibliotecas sobre as principais áreas nas quais se concentrar para melhorar
a usabilidade de suas bibliotecas.
A desconexão entre desenvolvedores e usuários também precisa ser considerada. Caputo et al. [ ]
destacou que os desenvolvedores não entenderam o impacto da falta de usabilidade em indivíduos
desempenho e bem-estar ual, produtividade organizacional ou eficácia da segurança.
Eles recomendam que a gestão deve garantir que os desenvolvedores experimentem os resultados de
a falta de segurança e usabilidade diretamente - tendo que lidar com chamadas ao help desk, o impacto
de perdas - e se envolver mais. Um trabalho recente forneceu insights sobre o papel de pessoas fortes ou
culturas de segurança ganisacional nas mentalidades dos desenvolvedores em relação à segurança [ 6] e como
especialistas aprimoram suas práticas de segurança [ ]
. CONCLUSÃO
Humanos e tecnologias não existem isoladamente. Os humanos concebem novas tecnologias, de-
assinar e implementá-los, e também são seus usuários e mantenedores. A segurança cibernética não é diferente
ferent. Os comportamentos humanos moldam a segurança cibernética (por exemplo, as respostas às campanhas de phishing levam
filtros anti-phishing ou novos treinamentos de segurança). Da mesma forma, o design da segurança cibernética (humanos
projetar esses filtros ou mecanismos de treinamento) impacta as interações das pessoas com os sistemas e
os mecanismos de segurança projetados para esses sistemas (por exemplo, impedimento para tarefas primárias ou
aumento da carga de trabalho decorrente de tarefas de segurança). Devemos considerar esta relação simbiótica
navio durante a concepção, design, implementação, manutenção, evolução - e vamos
não se esqueça, desativação - de mecanismos de segurança cibernética. Fatores humanos devem desempenhar um
papel central, pois, afinal, o objetivo da segurança cibernética é proteger as pessoas, seus dados, informações
ção e segurança. Devemos - na medida do possível - t a tarefa para o humano e não o humano
para a tarefa.
www.cybok.org
] [
] ] ]
[
] [ [ [
] ]
6 [ 8
]
[ [
[ ]
velopers
[
mais
sua consciência
orenciofud ahl:
herle sassetransforming
reason8human
kirlappossecurity
ser lavadeiros beautementcompliance
F green6de
. Segurança utilizável - o
c . c.
Fundamentos
. . Ajustando a tarefa ao
https://translate.googleusercontent.com/translate_f 156/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
humano
. Erro humano c . c.
. Cíber segurança
c . c.
conscientização e educação
. Segurança Positiva c.
.6 Stakeholder
c .6 c.6 c.6
Noivado
www.cybok.org
https://translate.googleusercontent.com/translate_f 157/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 197
Capítulo
Privacidade e direitos online
Carmela Troncoso École Polytechnique
Fédérale de Lausanne
https://translate.googleusercontent.com/translate_f 158/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
INTRODUÇÃO
A abrangência da coleta, processamento e disseminação de dados aumenta a privacidade
preocupações com os danos individuais e sociais. Vazamentos de informações podem causar problemas físicos ou
danos psicológicos a indivíduos, por exemplo, quando as informações publicadas podem ser usadas por ladrões
para inferir quando os usuários não estão em casa, por inimigos para descobrir pontos fracos para lançar ataques em
usuários ou por empresas de publicidade para construir perfis e influenciar os usuários. Em grande escala,
o uso dessas informações pode ser utilizado para in uenciar a sociedade como um todo, tornando-se irreversível
danos à democracia. A extensão dos danos que a perda de privacidade causa destaca que a privacidade
não pode ser simplesmente abordado como uma questão de confidencialidade. Além de manter as informações privadas, é
importante garantir que os sistemas que construímos suportem a liberdade de expressão e dos indivíduos '
autonomia de decisão e autodeterminação.
O objetivo desta área de conhecimento é apresentar aos designers de sistemas os conceitos e tecnologias
tecnologias que são usadas para projetar sistemas que protegem inerentemente a privacidade dos usuários. Nós apontamos
para fornecer aos designers a capacidade de identificar problemas de privacidade, para descrevê-los a partir de um
perspectiva técnica, e para selecionar tecnologias adequadas para eliminar, ou pelo menos, mitigar
estes problemas.
A privacidade é reconhecida como um direito humano fundamental [ 8]: “Ninguém será submetido a ar-
interferência bitrária em sua privacidade, família, casa ou correspondência, nem a ataques a seu
honra e reputação ”. Como tal, tem sido estudado por muitos anos a partir de uma per-
spective com dois gols. Primeiro, para entender melhor o que privacidade significa para a sociedade e os indígenas
indivíduos. Em segundo lugar, para garantir que as estruturas jurídicas que sustentam nossas democracias apoiem
privacidade como um direito. Os estudos anteriores propunham definições como privacidade sendo 'o direito
ser deixado sozinho '[ ], 'o direito à autodeterminação informativa' [ , ] ou 'a liberdade
de restrições irracionais sobre a construção da própria identidade '[ ] Provavelmente um
dos melhores exemplos deste último são os princípios e regras associadas ao
Legislação de proteção de dados [ ] coberto na Área de Conhecimento de Legislação e Regulamentação (Cap-
ter ) . Todas essas conceitualizações são de grande importância para definir e compreender o
limites da privacidade e seu papel para a sociedade. No entanto, sua natureza abstrata e livre de contexto
muitas vezes os torna não acionáveis para designers de sistema que precisam selecionar tecnologias para
garantir que a privacidade seja suportada em seus sistemas.
Para resolver essa lacuna, nesta área de conhecimento, conceituamos privacidade de uma forma semelhante a
a engenharia de segurança conceitua os problemas de segurança [ , ] Nós consideramos essa privacidade
preocupações e as soluções que podem resolvê-las são definidas pelo modelo adversarial
considerada pelo designer, a natureza das informações a serem protegidas e a natureza da
próprio mecanismo de proteção. Exemplos típicos de modelos adversários podem ser: serviços de terceiros
vícios com os quais os dados são compartilhados não são confiáveis, o próprio provedor de serviços não é confiável
dados privados dos usuários, ou usuários de um serviço não devem aprender dados privados de outros usuários.
Exemplos típicos de dados privados a serem protegidos desses adversários podem ser:
tenda das comunicações dos usuários, seus padrões de uso do serviço ou a mera existência de usuários
e / ou suas ações. Finalmente, exemplos típicos de meios de proteção podem ser técnicas que en-
disponibilidade de informação capaz de ser controlada, como configurações de controle de acesso ou técnicas
para ocultar informações, como criptografia.
Esta área de conhecimento está estruturada da seguinte forma. A primeira parte, composta por três seções, con
siders três paradigmas de privacidade diferentes que deram origem a diferentes classes de privacidade
tecnologias. A primeira é a privacidade como con dencialidade (Seção .), em que o objetivo de privacidade
é esconder informações do adversário. Revisamos abordagens tecnológicas para ocultar ambos
https://translate.googleusercontent.com/translate_f 159/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
usando os dados que não podem ser ocultados. O segundo é a privacidade como controle informativo (Sec-
ção .), em que o objetivo é fornecer aos usuários os meios para decidir quais informações
eles vão expor ao adversário. Revisamos tecnologias que oferecem suporte aos usuários em sua privacidade
decisões orientadas e técnicas que os ajudam a expressar suas preferências ao interagir
com serviços digitais. Finalmente, introduzimos privacidade como transparência (Seção .), em que o
objetivo é informar a usuária sobre quais dados ela expôs e quem acessou ou pro
acessou esses dados. Revisamos soluções que mostram aos usuários sua pegada digital e soluções
que apóiam a responsabilidade por meio de registro seguro.
Os requisitos de privacidade que definem os objetivos de privacidade nos paradigmas mencionados acima
são frequentemente dependentes do contexto. Ou seja, revelar uma determinada informação pode ser ac-
aceitáveis em alguns ambientes, mas não em outros. Por exemplo, revelar uma doença rara é
não é considerada uma preocupação de privacidade em uma interação com um médico, mas seria considerada uma
violação de privacidade em uma interação comercial. Nissembaum formaliza este conceito como con-
integridade textual [6], que aborda explicitamente um fluxo de informações pode apresentar diferentes
necessidades de privacidade, dependendo das entidades que trocam essas informações ou do ambiente em
qual é trocado. Observamos que uma vez que os requisitos para um fluxo são claros (incluindo o
modelo adversário), um designer pode aplicar diretamente as tecnologias descritas neste capítulo.
Reconhecemos que as tecnologias de privacidade podem ser usadas para apoiar ilícitos (por exemplo, distribuição de
pornografia infantil) ou comportamentos anti-sociais (por exemplo, cyberbullying), conforme descrito no Adversar-
ial Behaviors Knowledge Area (Capítulo). Embora existam soluções para revogar seletivamente
a proteção fornecida por tecnologias de privacidade, estas são fortemente desencorajadas pela privacidade
pesquisadores e defensores da privacidade. A razão é que adicionar backdoors ou escrow possi-
capacidades para facilitar a aplicação da lei, inerentemente enfraquece a segurança da preservação da privacidade
pois eles também podem ser explorados por agentes mal-intencionados para minar os direitos do usuário. Lá-
portanto, não consideramos essas técnicas neste documento.
Observamos que muitas das tecnologias de privacidade que revisamos nesta área de conhecimento contam com
os conceitos criptográficos introduzidos na Área de Conhecimento de Criptografia (Capítulo )
Ao longo desta área de conhecimento, presumimos que o leitor esteja familiarizado com esses
conceitos e evite repetir de nições criptográficas e reiterar sobre a explicação
de primitivas comuns.
CONTENTE
Em uma reinterpretação técnica do 'direito de ser deixado sozinho' [ ] definição de privacidade, um comum
conceituar a privacidade é evitar tornar as informações pessoais acessíveis a qualquer entidade,
em particular para um público mais amplo [] Sob esta definição, o objetivo das tecnologias de privacidade
é possibilitar o uso de serviços ao mesmo tempo em que minimiza a quantidade de informações expostas. Aqui,
informação refere-se tanto a dados trocados explicitamente com o serviço, quanto a informações
disponibilizados implicitamente nos metadados associados a essas trocas (por exemplo, identidade de
usuários ou frequência de uso).
https://translate.googleusercontent.com/translate_f 160/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Confidencialidade de dados
Descrevemos agora duas abordagens para minimizar a quantidade de informações expostas. Nós primeiro
apresentar métodos que comprovadamente previnem o acesso não autorizado à informação, normalmente com base
sobre o uso de primitivas criptográficas avançadas para garantir que nenhum dado possa ser inferido. Sec-
em segundo lugar, apresentamos métodos de controle de divulgação, que relaxam a definição de confidencialidade para entrar
ter certeza de que as informações vazadas para o adversário são limitadas a uma certa quantidade, ou não
vinculável a uma pessoa individual.
Um primeiro sabor de confidencialidade- as tecnologias de privacidade orientadas se concentram na proteção dos dados
através do uso de criptografia. Essas tecnologias consideram principalmente dois modelos de adversário:
aquele em que o destinatário é considerado confiável e os dados devem ser protegidos enquanto em
trânsito, e aquele em que o destinatário não é confiável e os dados devem ser mantidos privados, mesmo
quando é processado.
Protegendo dados em trânsito. A proteção de dados em trânsito é normalmente conhecida como ponta a ponta
criptografia (E EE) . Aqui, um fim se refere à origem e ao destino da comunicação.
Por exemplo, o remetente e o destinatário de um e-mail ou o cliente e servidor de um serviço. E EE
garante que a confidencialidade dos dados seja garantida entre as duas extremidades. Ou seja, nenhum terceiro,
dos roteadores na infraestrutura de comunicação, para o aplicativo (por exemplo, e-mail, mensagem
saging) servidores que permitem a comunicação, podem acessar a comunicação. Adição-
aliado, E EE normalmente fornece integridade, impedindo qualquer intermediário de modificar os dados ex-
alterado e autenticação, garantindo que as partes da comunicação possam ter certeza de cada
a identidade dos outros.
Observe que todos os protocolos acima oferecem apenas garantias fortes, desde que os mecanismos
para autenticar se as partes de comunicação funcionam conforme o esperado. Por exemplo, o Con- dential-
A propriedade fornecida pelo TLS depende de serviços que mantêm suas chaves secretas e a infraestrutura de chave pública
operando de forma confiável, para que as partes da comunicação possam ser autenticadas. De forma similar,
A confidencialidade do WhatsApp depende do fato de que os números de telefone são difíceis de falsificar e, portanto,
os usuários têm certeza de que o destinatário de sua mensagem é o interlocutor pretendido.
https://translate.googleusercontent.com/translate_f 161/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Proteção de dados durante o processamento. Os protocolos anteriores se concentram na proteção de dados em
trânsito de terceiros que não os participantes da comunicação. Agora consideramos situ-
em que o destinatário precisa realizar alguns cálculos nos dados, mesmo que
ela é considerada adversária. Nós distinguimos dois cenários: um em que a computação é
totalmente terceirizado e aquele em que o remetente participa do cálculo.
Área da borda (Seção . .)), que permite que um banco de dados seja consultado sem revelar qual
registro está sendo acessado. Um exemplo de caso de uso para recuperação de informações é a criação de
diretórios de preservação de privacidade para redes sociais [ 6 , 6 , 66]
Outro exemplo onde o processamento remoto é necessário inclui lojas digitais ou banco digital
, onde um servidor retorna informações para um usuário dependendo das entradas. A loja precisa
para processar pagamentos e enviar o item digital; e o banco fornece dinheiro, ou faz
um pagamento, mediante autenticação. Os padrões de compra dos usuários, no entanto, podem revelar muito sobre
seus perfis. Neste caso, Transferência Oblivious (consulte a Área de Conhecimento de Criptografia (Sec-
ção . .)), em que um serviço pode transferir um item sem saber qual item está sendo
transferidos, podem ser usados para apoiar interações que preservam a privacidade [ 6 , 68]
As técnicas anteriores são úteis para operações específicas: pesquisar um item em um banco de dados,
transferir esse item. Idealmente, gostaríamos de poder realizar qualquer operação em serviços terceirizados
dados. Uma tecnologia muito relevante para isso é a criptografia de criptografia homomórfica (consulte o Cryp-
Área de Conhecimento em tografia (Seção . )). Este tipo de criptografia permite qualquer operação em
dados criptografados a serem executados. Essa flexibilidade, no entanto, tem um alto custo em termos de
tempo de computação, e para algumas implementações também em termos de largura de banda, tornando assim
está longe de ser prático neste ponto. Versões menos gerais, como algo homomórfico
criptografia ou criptografia parcialmente homomórfica, que permite apenas operações limitadas (somas,
multiplicações ou avaliação de uma determinada função) fornecem melhores compensações e já podem ser
usado para tarefas concretas simples.
Observamos que, nos últimos anos, as primitivas criptográficas de preservação de privacidade acima foram
combinado com novo hardware seguro [ 6 , ] para melhorar o desempenho. Enquanto isso
combinação de fato traz o desempenho da criptografia de preservação da privacidade para mais perto do
benchmarks necessários para implantação, é importante destacar que tal melhoria
vem à custa de confiar que o fabricante do hardware seguro não vazará o
informações (ou a chave) para partes indesejadas.
No caso da terceirização de banco de dados, vale citar soluções sob medida que combinam
diferentes tipos de criptografia de preservação de privacidade, a fim de aumentar a eficiência [ ] Esses
bancos de dados dependem de técnicas como criptografia homomórfica, criptografia de preservação de ordem
ção [ , ], ou criptografia determinística, entre outras. Esses esquemas de fato fornecem
Grande performance. No entanto, foi demonstrado que a escolha de criptografia mais fraca
primitivas para favorecer a eficiência podem ter um impacto significativo na privacidade [ , , 6, ]
Portanto, eles são recomendados apenas para dar suporte à conformidade e só devem ser implantados
em um ambiente confiável onde os ataques são improváveis. Não é recomendado usá-los em
cenários onde a privacidade dos dados é de importância crítica e a entidade que mantém o banco de dados
não é confiável.
https://translate.googleusercontent.com/translate_f 162/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
um adversário. Os aplicativos típicos são comparar bancos de dados ou estatísticas de computação em
conjuntos de dados [ 8, ] Tais aplicativos podem ser suportados pela Multi Party Computation (consulte
a Área de Conhecimento de Criptografia (Seção . .)), conforme descrito por Archer et al. em [ 8]
Quando o objetivo do aplicativo é encontrar semelhanças entre dois bancos de dados (por exemplo, con
tatos [ 8 , 8], atividades maliciosas [ 8], ou informação genética [ 8]), também se pode usar
protocolos mais leves, como Private Set Intersection [ 8 , 86 , 8] Esses protocolos permitem dois
partes para calcular a interseção de conjuntos de dados sem revelar nada, exceto o inter-
Veri cação no domínio criptografado. Quando os dados são processados no domínio criptografado,
é difícil para as entidades que executam o cálculo executar qualquer verificação sobre a adequação de
as entradas. Para resolver este problema, muitos primitivos baseiam-se em Provas de Conhecimento Zero (consulte o
Área de Conhecimento de Criptografia (Seção . .)) para provar à entidade que realiza o com
suposição de que as entradas obedecem a um determinado formato ou a certas restrições. Nós agora
descrever três casos em que a verificação no domínio criptografado é a chave para habilitar o uso
de protocolos criptográficos que preservam a privacidade.
Computação privada - verificação de entrada. As provas de conhecimento zero são muito adequadas para en-
garantir que a entrada para um protocolo de preservação de privacidade seja de uma forma particular ou não seja mal-intencionada
cious. Por exemplo, eles têm sido usados, entre outros, para provar a adequação de insumos em
aplicativos de faturamento, por exemplo, que eles pertencem a um conjunto de entradas válidas [ 88], ou estão em particular
gamas [ 8 ], para provar que não há entradas maliciosas ao solicitar informações de
um sistema de mensagens [ ], ou ao executar um protocolo de interseção privada [ ]
Autenticação privada. Para manter a confidencialidade, as entidades que participam de protocolos podem
desejam autenticar seus parceiros de comunicação. No entanto, sistemas de autenticação típicos
baseiam-se na revelação da identidade da parte autenticadora. Revelando a própria identidade, em e
por si só, pode resultar em violação de privacidade (por exemplo, quando a autenticação é contra um
serviço, como um serviço médico). Uma solução para evitar esse problema é o uso do Anonymous
Credenciais, também conhecidas como Credenciais Baseadas em Atributos (ABCs) [ , , ]
Em vez de autenticar uma entidade em relação a uma identidade para conceder autorização,
ABCs permitem que a entidade prove a posse de uma combinação de diferentes atributos para obter
a mesma autorização. Esta prova não revela nenhuma informação adicional sobre a entidade
autentica, nem revela os valores concretos dos atributos. Além disso, ABCs
são desvinculáveis entre contextos. Em outras palavras, as credenciais parecem diferentes cada vez que
são mostrados, de forma que diferentes exibições não podem ser vinculadas entre si.
Embora do ponto de vista da privacidade, os ABCs tragam muitas vantagens, eles também apresentam
novos desafios. O anonimato pode abrir a porta para o mau comportamento. Infelizmente, o forte
As propriedades de anonimato e não linkabilidade fornecidas pelos ABCs originais não permitem uma autoridade
para limitar ou revogar a autorização para usuários que se comportam mal. Em resposta, vários esquemas têm
apareceram que fornecem recursos para limitar a quantidade de vezes que uma credencial pode ser usada
antes que o usuário seja identificável [ ]; recursos para colocar credenciais na lista negra para que o acesso possa
ser temporariamente revogado [ , 6]; ou recursos para revogar completamente as credenciais [ ]
Esquemas de pagamento de preservação de privacidade mais recentes, como o Zerocash baseado em blockchain [ ,
www.cybok.org
https://translate.googleusercontent.com/translate_f 163/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
] sistema, incluir mais informações nas transações para fornecer melhores garantias. Dentro
cada transação, o usuário prova, sem nenhum conhecimento, que ele possui a entrada de moedas eletrônicas para o
transação; que cada uma das moedas eletrônicas de entrada foi extraída recentemente (cunhada em Zerocash
termos) ou foi o resultado de uma transação anterior; e que os valores de entrada e saída do
transação são iguais, ou seja, nenhum dinheiro seria perdido. Por uma questão de eficiência, Zerocash
conta com provas de conhecimento zero particularmente eficientes chamadas de conhecimento zero Sucinto Não-
ARgumentos interativos de conhecimento (ZK-SNARK) sistemas [ ] Essas provas são mais curtas
(na ordem de centenas de bytes) e relativamente rápido de verificar.
Nesta seção, descrevemos abordagens para proteger a confidencialidade de dados com base na ofuscação
os dados expostos a um adversário. Essas técnicas fornecem uma definição mais relaxada de Con-
dentialidade do que criptografia, no sentido de que não podem ocultar completamente as informações.
Em vez disso, seu objetivo é fornecer uma maneira de controlar até que ponto um adversário pode fazer
inferências sobre as informações confidenciais dos usuários. Na verdade, para a maioria dessas técnicas, o nível
de proteção depende dos dados concretos e do conhecimento adversário. Portanto, é importante
para executar uma análise ad-hoc para a capacidade de inferência, conforme explicado na Seção .. Nós também
observe que a privacidade obtida com essas técnicas é baseada na limitação da disponibilidade de informações
capaz para o adversário. Consequentemente, essas técnicas reduzem a quantidade de informações
disponível para qualquer pessoa e, portanto, pode ter um impacto na utilidade se o propósito do aplicativo
ção é baseada em informações sensíveis, por exemplo, encontrar correspondências em aplicativos de namoro. Contudo,
observamos que quando as informações confidenciais não são cruciais para o propósito do aplicativo
essas técnicas podem ser implantadas sem afetar a utilidade, por exemplo, um aplicativo meteorológico que
pode operar usando dados de localização muito rudimentares.
Técnicas de controle de inferência baseadas em ofuscação não são adequadas para proteger dados em trânsito
sentar, mas pode ser usado para apoiar terceirização de preservação de privacidade, colaboração para preservação de privacidade
cálculos rativos e publicação com preservação de privacidade. Existem quatro técnicas principais para
ofuscar dados, conforme descrito abaixo. Notamos que essas técnicas são principalmente orientadas para
ofuscar campos numéricos ou categóricos. Ofuscando conteúdo mais complexo, como gratuito
texto, é uma tarefa muito mais difícil devido às correlações que são difíceis de remover em uma sistemática
maneiras. Até o momento, não existem técnicas conhecidas que possam tornar anonimato o texto livre de forma confiável. Como-
nunca, essas técnicas são bastante eficazes na redução das informações vazadas por metadados, como
discutimos na seção . ..
Para fins de ilustração, tomemos os microdados a seguir como um exemplo atual. Esta
é um exemplo muito simples, e ressaltamos que as técnicas apresentadas a seguir podem ser aplicadas
para muitos tipos de formatos de dados e domínios.
www.cybok.org
Alice Fêmea
Prumo Macho 66 6
Carla Fêmea 8
Diana 6 Fêmea 6
véspera Fêmea 8
Frank Macho 8
Gerald Fêmea 8 68
Anonimização. Uma técnica comum usada para permitir o processamento de dados sem risco para os indivíduos
https://translate.googleusercontent.com/translate_f 164/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uals é anonimização de dados . O anonimato, como o próprio nome indica, busca desvincular a identidade
da informação. A ideia é que remover informações de identificação de pontos de dados torna
eles são desvinculáveis (ou seja, não podem ser agrupados como pertencentes à mesma entidade), dificultando assim
a capacidade do adversário de realizar inferências a partir dos dados.
No entanto, alcançar o anonimato total é extremamente difícil. Na verdade, quando um conjunto de dados pode ser destruído
esclarecido anônimo permanece obscuro. Os dados em si contêm informações suficientes
para correlacionar diferentes atributos e / ou registros em um banco de dados. Dados esses grupos, existem
muitas técnicas para reidentificar indivíduos por trás da divulgação de dados. Um insight importante sobre
A dificuldade do anonimato é a singularidade dos padrões de dados do indivíduo [ ,
] Pode haver muitas combinações das informações divulgadas em um conjunto de dados que são
exclusivo para um indivíduo. Eles são chamados de quase identificadores. Encontrar quase identificadores permite
os dados reidentificados mapeando-os para identificar informações em outras fontes de dados [ ,
] Assim, a anonimização é comumente combinada com as técnicas de ofuscação descritas
abaixo para limitar o risco de reidenti cação.
Nesse ponto da área de conhecimento, vale a pena referir-se à noção de k-anonimato, que
defende a combinação de generalização e supressão, a fim de garantir que os registros em um
banco de dados são anônimos entre (ou seja, indistinguíveis de) pelo menos outras k entradas no
mesmo conjunto de dados [ 6] Por exemplo, no exemplo acima, pode-se generalizar o código postal para
alcançar dois anonimato:
* Fêmea *
* Macho *6
* Fêmea 8*
* 6 Fêmea *6
* Fêmea 8*
* Macho *8
* Fêmea 8 * 68
Embora essa noção seja promissora, existem vários fatores que a tornam desagradável e difícil
para usar na prática. Em primeiro lugar, devido à singularidade do problema mencionado acima, obtendo k-
o anonimato pode exigir uma generalização inaceitável no banco de dados. Segundo,
dependendo do aplicativo, k-anonimato pode não impedir a inferência de
atributos. Isso é ilustrado em nosso exemplo de execução na coluna Gênero. Mesmo que a
www.cybok.org
a generalização no código postal garante dois anonimato, o adversário sabe com um% prob-
capacidade o sexo dos usuários em cada área ZIP, por exemplo, todos os usuários que vivem em * são mulheres. De forma similar,
o adversário descobre que as mulheres ganham aproximadamente.
Para resolver esse problema, os pesquisadores argumentam que a privacidade não requer apenas k-anonimato, mas também
l-diversidade, o que garante que para cada k indivíduo anônimo, haja pelo menos l possível
valores para o atributo sensível [ ] Os pesquisadores também mostraram que a diversidade-l pode ser
quebrada e chamada de t-proximidade, onde o conjunto de atributos sensíveis não é apenas diverso, mas
segue a distribuição geral para este atributo em uma população, é necessário [ 8]
Generalização. Essa técnica consiste em reduzir a precisão com que os dados são compartilhados,
com o objetivo de reduzir a precisão das inferências do adversário. A generalização pode
ser alcançada por meio de uma redução de precisão direta dos valores compartilhados, ou uma distribuição em intervalos (ou seja,
um mapeamento de valores para intervalos) antes que os dados sejam liberados. Esta técnica foi aplicada,
entre outros, para anonimização do banco de dados [ 6], reduzindo a precisão dos valores no
células diferentes; ou em pesquisas privadas na web [ ], onde as palavras são mapeadas para a palavra mais próxima
de um conjunto predefinido.
https://translate.googleusercontent.com/translate_f 165/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Gerald - Fêmea 8 *** 68
Mesa . : Generalização : Reduzindo a precisão do CEP aos primeiros dois dígitos; ré-
duzindo a precisão da coluna Age por meio de cubagem.
Supressão. Esta técnica consiste em suprimir parte das informações antes de serem feitas
disponível para o adversário. A justificativa por trás da supressão é que quanto menos os dados são
fornecidas ao adversário, mais difícil será para ela fazer inferências. A supressão
estratégia, que decide quais informações ocultar, é fundamental para o nível de proteção de privacidade
que tal esquema pode fornecer. Por exemplo, suprimir informações aleatoriamente é improvável
para destruir os padrões nos dados que permitem inferências. Assim, a menos que a maioria dos dados sejam
excluída, essa estratégia raramente fornece uma boa proteção. Uma estratégia comum é pequena contagem
supressão, onde os valores agregados abaixo de um limite não são relatados. O nível de pro
proteção desta estratégia depende do tipo de acesso aos dados e do conhecimento do
adversário [ ] Outras estratégias de supressão, adaptadas à natureza dos dados considerados
eração e suas características [ , ] fornecem melhores resultados de privacidade. Esta técnica tem
foi aplicado, entre outros, para anonimização do banco de dados [ 6], para ocultar alguns dos valores em
as diferentes células; ou na publicação de dados de localização [ ], para ocultar amostras de localização que fornecem
muita informação.
www.cybok.org
Alice Fêmea
Prumo Macho 66 6
Carla * 8
Diana 6 * 6
véspera Fêmea 8
Frank * 8
Gerald Fêmea 8 68
Adição fictícia. Esta técnica consiste em adicionar pontos de dados falsos, os chamados dummies , para
os dados colocados à disposição do adversário para ocultar quais são as amostras reais. O
ideia é que, como o adversário considera pontos falsos ao executar o ataque, sua inferência
terá erros. Para que esta defesa seja eficaz, os pontos falsos devem ser indistinguíveis de
pontos reais. Idealmente, do ponto de vista do adversário, qualquer amostra deve ser semelhante a
um real ou fictício com igual probabilidade. No entanto, a criação de tais pontos indistinguíveis
tende a ser difícil [ 6], e o adversário pode facilmente filtrá-los. Assim, esta técnica é
útil em muito poucos domínios. Técnicas de adição fictícia têm sido usadas para aumentar a privacidade
em pesquisas na web [ , ] ou para proteger bancos de dados de inferências [ 8]
Alice Fêmea
Prumo Macho 66 6
Carla Fêmea 8
Donald Macho 66
Diana 6 Fêmea 6
véspera Fêmea 8
Frank Macho 8
Pateta 6 Macho 6
Gerald Fêmea 8 68
Minnie Fêmea 86 6
Perturbação. As técnicas de perturbação injetam ruído nos dados disponibilizados para o anúncio
sary. O ruído visa reduzir o desempenho de inferência do adversário. Semelhante ao sup-
técnicas de pressão, a estratégia usada para introduzir ruído desempenha um papel crucial no nível de pri-
vacy fornecido. Os esquemas iniciais extraíram ruído de muitos tipos de distribuições aleatórias [ , ]
e os adicionou aos dados. Esta abordagem não foi realmente eficaz, pois um adversário com
o conhecimento da distribuição do ruído poderia inferir os valores dos dados originais com ac-
https://translate.googleusercontent.com/translate_f 166/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
curacia e, portanto, arriscou vazar mais informações do que o pretendido.
Alice Fêmea
Prumo Macho 66 6 86
Carla Fêmea 8
Diana 6 Fêmea 6
véspera Fêmea 8 8
Frank Macho
Gerald Fêmea 8 6
Tabela .6: Perturbação : salário ofuscante com ruído extraído de uma distribuição normal
N (,).
Atualmente, o padrão ouro em técnicas baseadas em perturbação é adicionar ruído para alcançar
chamada privacidade diferencial . O principal objetivo desta técnica é abordar as limitações de
técnicas de anonimização de dados para publicação, como o já mencionado k-anonimato.
Privacidade diferencial, introduzida por Dwork [ ], é uma definição de privacidade originalmente destinada a incluir
capaz de projetar técnicas que permitem maximizar a precisão ao consultar estatísticas
formação (média, variação, mediana etc.) sobre os usuários em um banco de dados, minimizando o risco
de inferências não intencionais. Em vez de uma propriedade de um conjunto de dados (como as técnicas acima), dif-
privacidade diferencial é uma propriedade de um mecanismo usado para produzir as respostas às perguntas contra
um conjunto de dados. Um algoritmo é diferencialmente privado se, olhando para o resultado da consulta, o
o adversário não consegue distinguir se os dados de um indivíduo foram incluídos na análise ou
não. Mais formalmente, um algoritmo A fornece privacidade diferencial ϵ se, para todos os conjuntos de dados D 1 e
D 2 que diferem em um único elemento (ou seja, os dados de um indivíduo), e todas as saídas possíveis S
do algoritmo:
Pr [A (D 1 ) ∈ S] ≤ e ϵ × Pr [A (D 2 ) ∈ S] ,.
A privacidade diferencial garante que, dada uma amostra de dados perturbada, o adversário ganha um
quantidade razoável de novas informações sobre a amostra de dados original em relação à anterior
conhecimento, independentemente de qual seja esse conhecimento prévio. Existem vários algoritmos
para garantir que a privacidade diferencial seja atendida para uma variedade de consultas][
A privacidade diferencial é uma definição extremamente útil porque fornece uma estrutura formal para
razão sobre a quantidade de informações que um adversário poderoso pode ser capaz de inferir sobre
indivíduos nos dados, independentemente do conhecimento prévio do adversário. No entanto, deve ser
observou que:
• A privacidade diferencial fornece uma garantia relativa , em oposição a uma privacidade absoluta
proteção. Isso significa que a proteção fornecida é em relação ao conhecimento prévio
do adversário. Se o adversário já tiver conhecimento total, a privacidade diferencial irá
não melhorar a privacidade. Em outras palavras, a privacidade diferencial garante que a divulgação de dados
não piora a perda de privacidade de um usuário ou população em mais do que um determinado limite.
No entanto, isso não garante automaticamente que a privacidade de um usuário seja preservada em geral.
Portanto, para reivindicar privacidade, é importante não apenas garantir que um esquema forneça
uma determinada garantia, mas também calcula o erro adversarial nas inferências, de modo a
assegure-se de que as informações confidenciais dos usuários estejam realmente protegidas (consulte a Seção .)
https://translate.googleusercontent.com/translate_f 167/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 209 O Conhecimento em Segurança Cibernética
www.cybok.org
depende do valor deste parâmetro. Isso significa que meramente cumprir o diferencial
definição de privacidade com valores de parâmetros arbitrários não garante diretamente que o
o adversário não aprende muitas informações novas com os dados. É importante
certifique-se de que o valor de ϵ é tal que as probabilidades para diferentes inferências são ac-
tualmente indistinguível. Por exemplo, se ϵ = 3, isso só garante que a proporção entre
a probabilidade de observar um resultado quando um indivíduo está, ou não, no conjunto de dados é:
Pr [A (D 1 ) ∈ S] / Pr [A (D 2 ) ∈ S] ≤ e 3 = 20,08. Esta diferença probabilística pode tip-
ser detectado por detectores estatísticos clássicos ou qualquer aprendizado de máquina moderno
classi er. Em geral, ϵ valores maiores do que um merecem um olhar mais atento para verificar se o
algoritmos fornecem o nível de proteção procurado.
• A quantidade de ruído necessária para dificultar as inferências sobre os dados depende dos chamados
sensibilidade do algoritmo. A sensibilidade mede o quanto uma mudança na entrada irá
mude a saída do algoritmo A. Quando a entrada é um banco de dados e a saída um
função estatística, pequenas mudanças de entrada têm pouca influência sobre a saída e, portanto, um
uma pequena quantidade de ruído é suficiente para tornar o algoritmo diferencialmente privado. Nós notamos,
no entanto, quando algoritmos diferencialmente privados são aplicados para proteger a privacidade de
uma única amostra em vez de o resultado de uma consulta estatística em um banco de dados, o sensível
pode ser muito maior. Assim, apenas uma grande quantidade de ruído pode garantir a proteção. Para
exemplo, quando a privacidade diferencial é aplicada para ofuscar a posição informada de um usuário para
obter privacidade do local, a proteção pode ser menor do que o esperado se os parâmetros não forem
cuidadosamente escolhido [ ]
• A privacidade diferencial fornece uma garantia de pior caso, o que significa que a quantidade
de ruído introduzido é adaptado para limitar o vazamento dado pelo ponto de dados no
conjunto de dados que fornece mais informações ao adversário com o melhor conhecimento.
Isso significa que, em um caso médio, a quantidade de ruído é maior do que o necessário. Recente
estudos têm trabalhado em direção a limites mais rígidos que permitem a redução do ruído
necessário para fornecer um nível de proteção desejado [ ]
A noção de privacidade diferencial foi estendida para levar em conta outras métricas além do Ham-
distância ming (ou seja, distinguir se um indivíduo está em um banco de dados ou não) [ ] Pertur-
bações com garantias de privacidade diferenciadas têm sido utilizadas para proteger, entre outras coisas, a privacidade
na aprendizagem colaborativa [ ], ou localizações ao consultar serviços baseados em localização [ 6] Isto
também foi recentemente adotado pelos EUA para proteger os dados do censo [ ]
Finalmente, é importante observar que, para muitos casos reais, um desses controles de inferência
não pode fornecer privacidade suficiente por conta própria. Portanto, normalmente é necessário combinar vários
dessas técnicas para limitar o número de inferências que podem ser feitas.
.. Metadados Confidencialidade
Na seção anterior, discutimos meios de proteger a confidencialidade dos conteúdos
de mensagens, bancos de dados, consultas, etc. Essas técnicas são essenciais para garantir a privacidade. Ainda,
eles não protegem contra um adversário que usa os metadados para inferir informações confidenciais
sobre indivíduos. Concretamente, existem três tipos de metadados que foram demonstrados
ser extremamente vulnerável a ataques de privacidade: metadados de tráfego, associados à comunicação
infraestrutura de cátions; metadados do dispositivo, associados à plataforma que gera os dados, e
metadados de localização, associados à localização física a partir da qual os dados são gerados.
www.cybok.org
https://translate.googleusercontent.com/translate_f 168/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
de uma determinada patente de um banco de dados de patentes) pode ser usado para inferir as linhas futuras da empresa
de investimento, dando assim uma vantagem aos seus concorrentes. Finalmente, mesmo que a identidade de
as partes que se comunicam são inócuas, ows criptografados podem revelar palavras-chave de pesquisa [ 8]
ou mesmo conversas [ ]
Uma técnica para proteger os dados de tráfego é o uso de redes de comunicação anônimas . Esses
as redes são normalmente formadas por uma série de relés, de modo que as comunicações não viajam
diretamente da origem ao destino, mas são enviados de retransmissão para retransmissão. Esses relés também mudam
a aparência de uma mensagem por meio de criptografia para fornecer capacidade de linkagem bit a bit ,
ou seja, para garantir que os pacotes não possam ser vinculados apenas olhando seu conteúdo de bits; eles também podem
mude os padrões de tráfego introduzindo atrasos, reempacotando mensagens ou introduzindo fictícios
tráfego c.
As redes de comunicações anônimas seguem projetos diferentes em relação à forma como a infra-estrutura
tura é construída (por usuários ou relés dedicados), como eles consideram as comunicações (mensagem-
baseado em comparação com o fluxo), ou como eles redirecionam as mensagens (decidindo uma rota na origem, ou
permitindo que os relés decidam sobre o roteamento), entre outros. A seguir, nos concentramos nas duas mais
tipos de rede de comunicação anônima conhecidos que têm implantação no mundo real. Nós
encaminhe os leitores às pesquisas de Danezis et al. [ ] para uma visão histórica do anônimo
comunicações e por Shirazi et al. [ ] para uma visão abrangente das mais recentes
sistemas de comunicação anônima.
Tor usa a chamada criptografia cebola , na qual o cliente estabelece uma chave secreta com cada
dos ORs no circuito usando uma versão adaptada do Dif e-Helmann autenticado (ver o
Área de Conhecimento de Criptografia (Capítulo )). Cada pacote roteado através do circuito obtém
criptografado com essas três chaves, primeiro com a chave OR de saída, depois a chave OR do meio e
finalmente aquele da entrada OR. Quando a mensagem viaja pelo circuito, os nós 'descascam'
cada camada de criptografia até que o pacote original seja enviado ao destino. O servidor envia
dados para o cliente usando o mesmo circuito, mas na ordem inversa; ou seja, o servidor criptografa o
mensagem em camadas que são descriptografadas por ORs de saída, meio e entrada. A fim de apoiar baixo
aplicativos de latência, os Onion Routers não impõem atrasos nas mensagens que recebem e
reenviar. Assim, os padrões de tráfego são conservados enquanto os pacotes trafegam pela rede. Esta
https://www.torproject.org/
www.cybok.org
permite que um adversário com a capacidade de observar ambas as extremidades da comunicação (ou seja, o
nós de entrada e saída) para correlacionar fluxos de entrada e saída, a fim de ligar a origem e
destino das comunicações [ ]
Neste ponto, é importante destacar a diferença entre usar o Tor e usar um Virtual
Rede privada (VPN) Ambas as tecnologias oferecem proteção contra um adversário que ob-
serve apenas um lado da comunicação, e ambos falham em proteger contra um adversário que
pode ver os dois extremos. No entanto, enquanto no Tor, nenhum relé sozinho pode aprender o link ser-
entre o remetente e o receptor (ou seja, o modelo de confiança é descentralizado ), em um PP o provedor realmente
conhece essa correspondência e, portanto, é um ponto único de falha.
A fim de destruir os padrões de tráfego e proteger os retransmissores de ataque de correlação em uma comunicação anônima
comunicação, as redes precisam atrasar os pacotes ou adicionar novos. Este é o princípio por trás do
projeto de redes de mistura [ ] Ao contrário do roteamento cebola, onde todos os pacotes de uma empresa
comunicação são roteados através de um circuito, em rotas de comunicação baseadas em mix são selecionadas
para cada mensagem. Então, quando um relé de mixagem recebe um pacote, em vez de descriptografar imediatamente
e enviá-lo para o próximo salto no caminho, a mensagem é atrasada. Quantas mensagens são
o atraso é determinado por uma condição de toque , que é um evento como a chegada de uma mensagem
ou a expiração de um tempo limite que faz com que o mix encaminhe algumas das mensagens que possui
armazenado. Quais mensagens são vermelhas depende da estratégia de envio em lote , que pode selecionar todos os
as mensagens ou uma fração de acordo com uma função probabilística. Tanto as combinações quanto os usuários podem
enviar tráfego fictício, que pode ser absorvido por outras misturas ou pelo destinatário.
Uma rede mista projetada para fornecer baixa latência é Loopix [ ] Ao contrário do Tor, onde
os clientes dos usuários se comunicam diretamente com os nós Tor, o Loopix assume que os usuários se comunicam
cate com provedores que, por sua vez, enviam mensagens uns aos outros por meio do Loopix anônimo
https://translate.googleusercontent.com/translate_f 169/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Rede de comunicação. Os provedores escolhem uma rota aleatória composta de roteadores Loopix e
envie a mensagem para o primeiro nó. Semelhante ao Tor, as mensagens são criptografadas com as chaves de
cada um desses roteadores usando o formato de pacote Sphinx [ ] Além da criptografia, mes-
Os sábios recebem um atraso para cada retransmissão que visitam, de acordo com uma distribuição exponencial.
Finalmente, os provedores injetam tráfego fictício na rede, enviando pacotes para eles próprios
por meio de um caminho Loopix, de modo a fornecer cobertura para mensagens reais. A combinação de provedores
que escondem mensagens mix de usuários enviando (respectivamente recebendo) mensagens ao mesmo
tempo, atrasos e tráfego de cobertura permitem que o Loopix forneça garantias prováveis em relação ao
Unlinkability dos remetentes e destinatários das mensagens.
Metadados do dispositivo. Nos serviços de Internet otimizados de hoje, as características concretas dos usuários
dispositivos são frequentemente enviados junto com suas solicitações de dados, a fim de otimizar o serviço
respostas dos provedores. Mesmo que os usuários sejam anônimos na camada de rede, essas características
tiques podem se tornar um quase identificador que permite aos prestadores de serviços rastrear os usuários em todo o
rede [ 6, ] Isso ocorre porque as combinações de recursos, como o Agente do Usuário (o navegador
fornecedor de software, revisão de software, etc.), seu idioma ou os plug-ins que instalou, ou o
plataforma são principalmente exclusivas. .
A impressão digital do dispositivo ou navegador é a coleta sistemática dessas informações para identificação -
cação e rastreamento. Um grande número de atributos, como navegador e operação
tipo e versão do sistema, resolução da tela, tipo de arquitetura e fontes instaladas podem ser coloridos
lecionados diretamente, usando scripts do lado do cliente e resultam em ngerprints exclusivos. Quando esta informação
informação não está diretamente disponível, outras técnicas podem ser usadas para aprender esta informação, como
https://katzenpost.mixnetworks.org/
https://amiunique.org/ , https://panopticlick.eff.org/
www.cybok.org
explicado abaixo.
Como um exemplo ilustrativo, vamos considerar a lista de fontes instaladas na web de um determinado usuário
navegador como um identificador que permite o rastreamento. Existem duas técnicas para obter a lista de
fontes bloqueadas, que são conhecidas por fornecer um bom nível de exclusividade. Isso ocorre porque os navegadores
instale fontes sob demanda, dependendo dos sites visitados. Uma vez que os usuários têm navegação diferente
padrões, suas listas de fontes instaladas também se tornam diferentes. Técnicas de impressão de fontes
explore o fato de que se uma fonte for instalada, os navegadores irão renderizá-la, mas caso contrário. navegadores irão reverter
para fonte monoespaçada. Assim, dependendo se uma fonte está instalada ou não, as frases serão
processado de forma diferente. Na primeira técnica, o rastreamento da web envia uma frase para o navegador
para ser impresso com uma série de fontes. Então, o script do lado do cliente verifica o tamanho de cada sen-
tence. Quando o tamanho é igual à frase impressa em monoespaço, o rastreador aprende que
a fonte não está instalada. Uma técnica semelhante é chamada de impressão de tela. Neste caso, o
tracker explora o recurso HTML Canvas, que renderiza pixels no y. Como antes, diferem-
O tamanho da fonte atual resulta em diferentes pegadas de pixels. Medir o resultado da renderização da tela
o rastreador pode verificar quais fontes estão instaladas em um navegador.
Defender-se contra ataques de metadados do dispositivo enquanto mantém a utilidade é extremamente difícil. No
Por outro lado, ocultar esses metadados dos provedores de serviços tem um impacto no desempenho do
serviços, uma vez que limita a personalização e deteriora a prestação de informação. No
por outro lado, é difícil estabelecer qual combinação de recursos realmente faria os usuários
indistinguível de outros usuários. Isso ocorre porque não temos conhecimento da distribuição
de impressões digitais para imitar um deles e, ao tentar combinações aleatórias, executa o
risco de ser tão único quanto a impressão digital original [ 8] Portanto, os mecanismos precisam ser
cuidadosamente elaborado e avaliado [ ]
Observamos que, além do rastreamento com base em metadados, os rastreadores também usam uma série de técnicas
com base no uso de cookies. Por exemplo, as páginas da web podem incluir cookies de terceiros
vínculos, o que permite que essas partes detectem quando os usuários revisitam uma página [ ] Terceiros podem
também usam a sincronização de cookies, em que, além de adicionar seu próprio rastreamento, os cookies de redirecionamento da web
a outros rastreadores para informá-los sobre para onde os usuários estão indo [ ] Finalmente, existem perva-
sive mecanismos para instalar informações semelhantes a cookies que não podem ser removidas limpando o
cache do navegador [ ]
Metadados de localização. Finalmente, a localização geográfica de um usuário revelada aos serviços online pode ser
usado para inferir informações confidenciais. Essas informações podem ser reveladas explicitamente, por exemplo,
quando o usuário faz consultas a serviços baseados em localização para encontrar pontos de interesse próximos
ou amigos; ou implicitamente, por exemplo, quando as coordenadas de GPS estão associadas a fotos ou
conteúdo publicado em redes sociais ou inferido do ponto de acesso usado para acessar o
Internet.
https://translate.googleusercontent.com/translate_f 170/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Técnicas de agrupamento para encontrar grupos de pontos próximos onde o usuário gasta não signi cativamente
períodos de tempo podem ser usados para inferir os pontos de interesse dos usuários, como onde moram, onde
eles trabalham ou seus locais de lazer favoritos. Em muitos casos, pontos de interesse podem ser usados
como quase identificadores de usuários. Por exemplo, os três locais mais visitados são
exclusivo para um usuário na maioria dos casos, mesmo quando os locais são fornecidos em mais
nível geral (por exemplo, condados dos EUA) [ ] Da mesma forma, os tipos e padrões de locais visitados
pode ser usado para inferir dados demográficos sobre usuários, como idade ou sexo [ ] Além disso,
uma vez que os padrões de movimento tenham sido caracterizados, eles podem ser usados para prever os indivíduos
movimentos futuros [ ]
Existem dois tipos de defesa para proteger metadados de localização na literatura. O primeiro
depende de técnicas criptográficas para processar consultas de serviços baseados em localização (ver Sec-
ção . . .) Por exemplo, os usuários podem saber em particular se um amigo está por perto. Este serviço
pode ser realizado por criptografia de criptografia homomórfica [ ], teste de igualdade privado [ 6]
ou interseção de conjunto de limiar privado [ ] O segundo tipo de defesa é baseado no ob-
técnicas de fuscação descritas na seção . . . a fim de controlar as inferências de que um
o adversário extrai dos dados de localização. Por exemplo, a localização do usuário pode ser oculta [8],
ou seja, não relatado ao provedor; perturbado [ ], ou seja, informando um local diferente do
posição real do usuário; generalizado [ ], ou seja, relatado com menos precisão; ou acompanhado por
localizações fictícias para que os padrões reais de movimento do usuário não possam ser identificados [ ]
Na seção anterior, discutimos tecnologias de privacidade que mantêm a confidencialidade dos dados, por
minimizando a coleta de dados e / ou minimizando a quantidade de informações que podem ser
inferida a partir de quaisquer dados divulgados. Uma noção mais ampla de privacidade, que geralmente é referenciada em
regulamentos, amplia a privacidade da noção de ocultação de informações pessoais, para
a capacidade de controlar o que acontece com as informações que são reveladas [ , ]
A ideia por trás da mudança de tecnologias que minimizam a divulgação para tecnologias que
fornecer os meios para controlar o uso da informação, é que, em muitos casos, a revelação de dados pode ser
inevitável ou considerada benéfica para o titular dos dados. Portanto, é aconselhável considerar
o uso de tecnologias que abordam duas questões principais: i) permitir que os usuários expressem como
eles esperam que os dados divulgados ao prestador de serviço sejam usados, de modo a evitar
processamento desses dados; e ii) permitir que as organizações definam e apliquem políticas que
evitar o uso indevido das informações, conforme definido pelos usuários.
Nesta seção, revisamos as técnicas que foram projetadas sob o controle de privacidade
paradigma. Nós nos concentramos em técnicas para a criação e configuração de boas configurações de privacidade
que ajudem os usuários a expressar suas preferências com relação à divulgação e processamento de dados;
e técnicas que suportam a negociação automatizada de políticas de privacidade entre serviços.
Como grande parte da proteção depende da confiança, tecnologias de privacidade que aumentam a privacidade
em um sistema por meio de controle aprimorado são menos numerosos e variados do que aqueles projetados para
alcançar a confidencialidade.
É importante destacar que essas técnicas confiam inerentemente no provedor de serviços que
coleta os dados para aplicar corretamente as políticas estabelecidas pelo usuário com relação a
terceiros, bem como não abusar dos próprios dados recolhidos. Além disso, conforme observado por Acquisti et
al. [ ], fornecendo aos usuários ferramentas para controlar os fluxos de informações pode reduzir a percepção de risco
e aumentar a assunção de riscos, reduzindo efetivamente a privacidade geral dos usuários.
https://translate.googleusercontent.com/translate_f 171/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Para combater este problema, os pesquisadores propuseram uma série de técnicas cujo objetivo
é identificar grupos de indivíduos que compartilham certas características e, em seguida, estabelecer o
configurações mais adequadas para cada grupo de usuários. Uma área de pesquisa sugere deixar a segurança
e especialistas em privacidade definem quais são as melhores políticas. [ ] Essa abordagem, no entanto, é
difícil de generalizar a partir de grupos-alvo para a população em geral e, em muitos casos, pode
resultam em estratégias que superestimam a necessidade de proteção. Isso, por sua vez, limita muito o
compartilhamento e processamento de dados, tornando os sistemas inutilizáveis. Outras propostas defendem
para usar técnicas de aprendizado de máquina para inferir configurações adequadas para um usuário com base no
gráfico social de amigos e conhecidos de um usuário [ ] Esta técnica, no entanto, requer
usuários, ou um sistema de recomendação centralizado, para saber o gráfico social de um usuário, a fim de realizar
as inferências, o que levanta questões de privacidade em si. Uma terceira abordagem não requer
conhecimento do gráfico social de um usuário, mas tenta encontrar configurações de privacidade adequadas, olhando para um
conjunto maior de usuários. [6] Ao contrário da técnica anterior, as configurações sugeridas de um usuário
a preferência é derivada de dados genéricos. Essas técnicas mostraram ser propensas
para produzir políticas que são válidas para a maioria dos usuários, mas muitas vezes discriminam
grupos de usuários com requisitos de privacidade específicos, como ativistas ou pessoas de interesse público.
Além disso, as técnicas baseadas em ML frequentemente aumentam e perpetuam os preconceitos presentes nos dados
a partir da qual as políticas iniciais são inferidas. A nal áreas de pesquisa sugere crowdsourcing o
composição ideal dessas políticas [ ] Essas técnicas são mais flexíveis no sentido
que os usuários têm mais liberdade para influenciar as políticas. No entanto, eles ainda são influenciados por
maioria de votos e pode não ser ideal para usuários que não seguem as práticas convencionais.
Tecnologias como o WCProjeto de Plataforma para Preferências de Privacidade ( PP) [ 8], que
facilitar a comunicação das preferências de configuração entre o usuário e o provedor de serviços. PP
é um padrão da indústria que permite que sites codifiquem suas políticas de privacidade (quais informações
informações são coletadas, como são usadas, etc.) em um formato predefinido. Essas políticas podem ser lidas e
interpretado por navegadores equipados para isso. O navegador pode então comparar a política do site
com as preferências de privacidade especificadas de um usuário escritas em uma linguagem legível por máquina, como
Idioma de troca de preferência PP (APPEL) [ ] . PP, no entanto, não tem nenhum meio
para garantir que o provedor de serviço realmente siga as práticas descritas na política.
Outras tecnologias, como controle de acesso com base na finalidade [ 6 ] ou políticas fixas [ 6] pro
vide os meios para especificar os usos permitidos das informações coletadas e para verificar se a
pose de um acesso a dados é compatível com a política. Essas tecnologias podem ser suportadas por
mecanismos criptográficos que garantem que os prestadores de serviço devem cumprir com os
preferências estabelecidas pelos usuários.
https://translate.googleusercontent.com/translate_f 172/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
frequentemente evoluem com o tempo. Assim, os usuários acham difícil entendê-los. Pesquisadores têm
desenvolveram tecnologias que aumentam a capacidade dos usuários de interpretar as políticas de privacidade.
Atualmente, existem duas abordagens para melhorar a compreensão dos usuários sobre as políticas de privacidade.
Uma é confiar que os especialistas identifiquem, analisem e forneçam razões para as políticas de privacidade existentes [ 6 ]
Outra via é automatizar completamente o processo de interpretação. Polisis [ ] é um
framework baseado em aprendizado de máquina que permite aos usuários fazer perguntas sobre a linguagem natural
medir as políticas de privacidade. Esta ferramenta oferece uma representação visual da política especificando o
tipos de dados coletados, a finalidade dessa coleta e as práticas de compartilhamento, entre outros
ers.
O último paradigma de design de privacidade que consideramos é a privacidade como transparência. Ao contrário de tecnologia
tecnologias que limitam a divulgação de dados ou o uso de dados divulgados, mecanismos de transparência
analisar as atividades online dos usuários, a fim de fornecer-lhes feedback sobre o
cações de suas ações ou execute auditorias para verificar se não houve violação de privacidade.
Tal como acontece com as tecnologias orientadas para o controle, a privacidade baseada na transparência não pode impedir a privacidade
olações em si mesmas. Na verdade, o feedback ou as auditorias acontecem depois que os usuários já
dados divulgados ao provedor. Assim, os provedores são novamente confiáveis para garantir que o
os dados coletados não são processados ou compartilhados de maneiras não autorizadas pelos usuários.
Um esforço inicial nessa direção é o conceito de espelhos de privacidade [ 6 ], que mostra aos usuários seus
'selves digitais'; ou seja, como outras pessoas veem seus dados online. Este conceito foi adotado por populares em
redes sociais de linha, como o Facebook, que permite aos usuários verificar como diferentes públicos
(por exemplo, amigos, amigos de amigos, outros), ou mesmo usuários individuais, veem seus perfis sempre que
eles fazem alterações em seus controles de privacidade. Uma linha de trabalho semelhante fornece outros meios de
visualizar como as configurações de privacidade afetam o compartilhamento de dados para melhorar a compreensão dos usuários
do conjunto de permissões que eles selecionaram. Esta solução fornece dicas visuais para usuários que
indicam as permissões de acesso associadas aos dados que eles compartilharam [ 66] Por exemplo,
pode destacar campos em um perfil de rede social com uma cor diferente dependendo de quem
https://pribot.org/polisis
www.cybok.org
tem acesso a essas informações específicas. Ambas as soluções ajudam os usuários a entender suas práticas
perceber e modificar suas ações. No entanto, eles só podem fazer isso após a informação ter sido
revelado ao provedor (e possivelmente a outros usuários).
Um tipo diferente de feedback do usuário compreende os chamados estímulos de privacidade [ 6 ] Auxiliar de cutucadas
usuários ao fazerem escolhas sobre suas configurações de privacidade e segurança. Eles dão aos usuários imediatos
feedback sempre que o usuário realiza uma ação online de uma forma que a ação possa ser
celular ou modi cado. Por exemplo, a cutucada pode informar ao usuário que a postagem que ela está atualmente
a escrita é pública, para que o usuário tenha cuidado com as palavras que escolhe usar. Acotovelando
ferramentas podem ser ainda mais sofisticadas e usar algoritmos de aprendizado de máquina modernos para
yse fotos ou texto à medida que são carregados e forneça aos usuários um feedback mais concreto
como 'a postagem pode ser percebida como negativa' ou 'a foto é muito explícita'. Embora imediato
o feedback apresenta benefícios evidentes em comparação com os espelhos, uma vez que as ações podem ser modificadas para ser
antes que as informações sejam enviadas ao provedor, elas também apresentam desvantagens. Experimentos com usuários
mostrou que o feedback imediato resulta em uma sensação desconfortável para os usuários, conforme eles se sentem
monitorado, e os usuários às vezes percebem o conselho como paternalista e fora do lugar [ 6 ]
https://translate.googleusercontent.com/translate_f 173/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
logar no sistema, e quando e como seus dados são transmitidos a outras pessoas. Assim, dependendo
sobre a quantidade e granularidade das informações, o registro pode introduzir privacidade adicional
riscos.
Portanto, as políticas de log devem ser cuidadosamente elaboradas. Uma abordagem para fazer isso é derivar o
especificações de auditoria das políticas usando métodos formais [ 6 ] Isso garante que
os logs gerados, embora sejam mínimos, ainda contêm informações suficientes para auditar se
as políticas estão sendo respeitadas. As soluções, no entanto, são limitadas em sua expressividade
e não pode lidar com políticas de privacidade em sistemas modernos onde a quantidade de dados coletados
e o número de entidades envolvidas torna uma análise formal extremamente complicada.
O uso de métodos formais assume que o compartilhamento de dados é gerenciado por uma autoridade centralizada
que deve ser confiável. Isso é problemático porque a autoridade centralizada se torna um único
ponto de falha. Avanços recentes em criptografia e livros-razão distribuídos permitem o projeto de
soluções que fornecem os meios para criar registros altamente seguros, garantindo que nenhum
as informações são compartilhadas com pessoas não autorizadas. Quando o registro é feito em um sistema distribuído
forma, nenhuma parte individual pode modificar o log por conta própria, reduzindo a necessidade de confiança e
eliminando qualquer ponto único de falha. Por exemplo, sistemas como UnLynx [68] autorizar entidades
para compartilhar dados confidenciais e realizar cálculos sobre eles, sem confiar qualquer entidade
com a proteção dos dados. Todas as ações são registradas em um livro razão distribuído para auditoria, e o
a exatidão das operações é garantida pelo uso de primitivas criptográficas verificáveis e zero-
provas de conhecimento. Portanto, não é necessário publicar ou registrar os dados confidenciais ou
operações feitas neles.
As tecnologias de privacidade são de suma importância para garantir que nosso direito fundamental de
a privacidade é respeitada no mundo digital. A proteção da privacidade é crucial para sustentar o
valores que sustentam nossas sociedades democráticas. Citando Daniel Solove: 'Parte do que torna um
sociedade um bom lugar para se viver é a medida em que permite às pessoas a liberdade de
a intromissão de outros. Uma sociedade sem proteção de privacidade seria sufocante '[ ]
Embora tal sociedade parecesse uma ficção científica há não muito tempo, episódios como o do Facebook
O caso da Cambridge Analytica destaca a importância de evitar que os dados sejam acessados por
partes não intencionais (por exemplo, usando confidencialidade ou técnicas de controle) para proteger os cidadãos de
interferência e manipulação.
Nesta seção, fornecemos dois exemplos que destacam a importância da tecnologia de privacidade
leis no apoio à democracia. Por um lado, consideramos os sistemas de votação eletrônica que
que possam ocorrer eleições justas usando infraestrutura eletrônica em condições adversas. Sobre
por outro lado, oferecemos uma visão geral das tecnologias de resistência à censura. Esses sistemas
garantir que em um mundo digital, onde a infraestrutura de comunicação é dominada por um pequeno
número de empresas e atores estatais podem observar todas as comunicações, os indivíduos têm o
significa comunicar-se livremente.
Para que essas melhorias sejam eficazes, os cidadãos devem poder expressar livremente suas opiniões
e deve ter certeza de que suas entradas não podem ser modificadas ou perdidas durante o processo. O uso de
infraestruturas comuns (por exemplo, serviços em nuvem ou redes de comunicação desprotegidas) para
implementar esses aplicativos orientados para a democracia, no entanto, levanta preocupações sobre
lança e manipulação. Portanto, é importante que esses aplicativos sejam suportados por
tecnologias de privacidade fortes que podem proteger as identidades dos usuários, bem como seus dados confidenciais
e entradas para o sistema. Descrevemos dois aplicativos de exemplo, votação eletrônica e ele-
https://translate.googleusercontent.com/translate_f 174/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
petições tronic,
para permitir queemosque as tecnologias
cidadãos introduzidas
e governos desfrutemnas seções anteriores
do progresso são combinadas
tecnológico sem comprometer
nossos valores democráticos.
Votação eletrônica (eVoting). Os sistemas de votação eletrônica têm o objetivo de possibilitar eleições justas
a ser conduzido por meio de infraestrutura eletrônica em condições adversas. Em particular, eVoting
esquemas fornecem:
• Sigilo da votação : um adversário não pode determinar em qual candidato o usuário votou.
• Verificação universal : um observador externo pode verificar se todos os votos lançados são contados
e que a contagem está correta. Alguns protocolos fornecem uma propriedade mais fraca, veri individual -
capacidade , onde cada eleitor pode verificar se o seu voto foi corretamente apurado. Benaloh
et al. fornecer uma visão abrangente dos aspectos a avaliar para obter de ponta a ponta
veri capacidade [ ]
www.cybok.org
• Verificação da elegibilidade : um observador externo pode verificar se todos os votos expressos foram feitos
por um único eleitor elegível.
Para garantir o primeiro aspecto, é fundamental quebrar o elo entre os votos que colocam seus
cédulas no sistema e as cédulas que saem. No tradicional papel e caneta físico
eleições, isso é feito misturando-se as cédulas, todas com exatamente a mesma aparência
em uma urna. Em eVoting, Unlinkability é normalmente alcançado usando redes mix [ , ]a
os votos passam por uma série de misturas, que não devem pertencer à mesma autoridade.
Caso contrário, essa autoridade poderia rastrear os votos e vincular os eleitores às suas escolhas de voto. O
os resultados são publicados em um quadro de avisos público que qualquer pessoa pode ler e verificar se o
a eleição foi realizada de forma honesta.
As redes de mix de votação são projetadas de uma maneira ligeiramente diferente das mencionadas na Seção
ção . .. No caso de eVoting, as combinações são quando todos os votos estão concluídos, e a estratégia de lote
é levar todos os votos. Em termos simples, ele garante que todos os votos sejam misturados, obtendo
o máximo anonimato definido. Isso cumpre o critério de sigilo da votação como qualquer voto poderia ter
foi lançado por qualquer eleitor. Além disso, para garantir a veri abilidade universal, em redes de mix de eVoting
cada nó faz shuf es verificáveis [ 6 ] Isso significa que as misturas provam, em conhecimento zero,
que eles misturem todos os votos (todos os votos na entrada aparecem na saída) e a mistura é
aleatória. A verificabilidade da elegibilidade pode ser obtida exigindo que os eleitores provem conhecimento zero
que eles são elegíveis para votar.
Outros protocolos de votação fornecem sigilo de votação por meio do uso de assinaturas ocultas:
entidade criada verifica a elegibilidade de um usuário e assina cegamente seu voto (ou seja, sem ver o
votar conteúdo) [ ] O usuário fornece uma prova de conhecimento zero junto com o voto de que o
o voto foi construído corretamente. Em seguida, os usuários enviam os votos assinados ao servidor de contagem
usando um canal de comunicação anônimo. Desta forma, nenhuma entidade do sistema pode vincular o eleitor
aos votos.
Além das três propriedades acima, alguns protocolos de votação têm como objetivo adicional fornecer coer-
resistência cion , em que um usuário não pode ser forçado a votar em um determinado candidato contra ela
vontade. Uma estratégia para implementar tal sistema é fornecer aos usuários credenciais falsas [8]
Então, quando os usuários estão sob coerção, eles seguem as instruções do coador, mas fornecem
suas credenciais falsas para o sistema. Isso permite que o servidor de contagem ignore quaisquer votos pró
produzidos sob coerção. Abordagens relacionadas evitam a coerção por meio de nova votação, ou seja, os esquemas
permitir que os usuários reformulem um voto de forma a cancelar sua escolha forçada [ ] Esses esquemas de-
novas políticas para estabelecer como contar votos, sempre que uma determinada credencial lançou mais do que
um voto. (por exemplo, conte o último ou adicione uma indicação ao voto cancelado).
Petições anônimas. Definimos uma petição como um pedido formal a uma autoridade superior, por exemplo, par-
Parlamento ou outra autoridade, assinada por um ou mais cidadãos. Assinando uma petição publicamente, como-
nunca, pode levantar preocupações ou conflitos em termos de relacionamentos entre amigos, colegas,
e vizinhos, desencorajando os cidadãos de participar [ 8 ] Tecnologias de privacidade, em par-
particular, credenciais anônimas, podem ajudar na criação de petições seguras e de preservação da privacidade
sistemas.
https://translate.googleusercontent.com/translate_f 175/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Em sistemas de petição com base em credenciais anônimas, os cidadãos podem se registrar na autoridade
gerenciar o sistema de petição para obter uma chave de assinatura anônima associada a alguns
atributos relevantes para as petições. Então, na hora de assinar uma petição específica, eles podem
provar que são elegíveis (por exemplo, são habitantes do município referido), mas não
precisam revelar sua identidade. Propriedades avançadas de credencial, como detecção de assinatura dupla
possibilitar a criação deste sistema, evitando abusos por parte de cidadãos que se comportam mal [ 8 ]
Abordagens mais modernas contam com primitivas criptográficas avançadas para remover a necessidade de
uma parte confiável central que registra usuários. Por exemplo, Sonnino et al. [8 ] habilitar limite
emissão e verificação das credenciais para assinatura da petição, ou seja, participam diversas autoridades
na emissão. Este esquema melhora a confidencialidade, autenticidade e disponibilidade por meio
o uso de livros-razão distribuídos. Essa abordagem aumenta o nível de privacidade do sistema,
ao mesmo tempo em que reduz a necessidade de confiar em uma única parte.
Nesta seção, mostramos como as tecnologias de preservação da privacidade podem atuar como um alicerce para
apoiar a liberdade de expressão e de acesso à informação. Iremos elaborar alguns
exemplos para cada um desses objetivos, a fim de ilustrar os princípios fundamentais que fazem
resistência à censura possível. Remetemos o leitor interessado às pesquisas de Khattak et
al. [ ] e Tschantz et al. [ 8] para uma revisão abrangente da resistência à censura
sistemas.
Resistência à censura na publicação de dados. Motivado pela ordem judicial da 'Igreja da Cientologia',
que ocasionou o fechamento do repostador Penet no final do s [ 8 ], Anderson pro
apresentou o Serviço da Eternidade. Este foi o primeiro sistema a usar tecnologias de privacidade para proteger
a publicação de conteúdo na Internet [ 8 ] O esquema de Anderson propôs distribuir
cópias de arquivos em servidores em jurisdições diferentes, de modo que esses servidores não possam ser sub-
poenaed ao mesmo tempo. Neste esquema, as tecnologias de privacidade têm papéis fundamentais para
resistência: a criptografia não só fornece privacidade para os usuários, mas também evita a negação seletiva
de serviço no momento da recuperação; e a autenticação anônima não apenas protege os usuários do
serviço, também protege o serviço de ser coagido a revelar as identidades dos usuários,
por exemplo, pela aplicação da lei, uma vez que não pode saber a identidade desses usuários.
A proposta de Anderson inspirou designs posteriores, como Freenet, um sistema ponto a ponto para publicação
lish, replicar e recuperar dados, protegendo o anonimato de ambos os autores e ler
ers [ 86] Além disso, o sistema fornece negação para as entidades que armazenam as informações;
ou seja, os servidores não podem saber o conteúdo dos arquivos que armazenam e, portanto, podem sempre reivindicar
não estar ciente do que eles estão servindo. Na Freenet, os arquivos são localizados de acordo com uma chave que
é tipicamente o hash do arquivo, mas também pode incluir uma descrição do arquivo ou ser uma string simples.
Para recuperar um arquivo, um usuário obtém ou calcula as chaves e pede aos nós da Freenet que as encontrem. Se um
o nó não contém o arquivo, ele pergunta a um vizinho. Quando o arquivo é encontrado, ele é enviado de volta
o mesmo caminho que a requisição seguiu na rede. Isso garante que o nó segurando
os dados não conhecem o destinatário. Para armazenar um arquivo, se a chave ainda não existir, o
o editor envia o arquivo ao longo de um caminho e cada nó no caminho armazena o arquivo. Proteger
o anonimato do editor, nós que armazenam o arquivo também decidem aleatoriamente se
www.cybok.org
também reivindicar propriedade. Essas reivindicações aleatórias também fornecem nós com negabilidade quanto a quais
dos arquivos que estão armazenando são, na verdade, deles.
O design do Freenet é baseado em criptografia forte, que protege o conteúdo das mensagens
sábios. No entanto, no início, as rotas e os horários das mensagens permitiam que os ataques
quebrar o anonimato do sistema. Tian et al. [8 ] mostram que um atacante passivo implantando um número
https://translate.googleusercontent.com/translate_f 176/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
vários nós na rede que podem monitorar as solicitações podem reidentificar o solicitante por
perguntando de forma séria a outros nós se eles viram a solicitação. A Freenet também permite a coleta
de estatísticas de preservação da privacidade. No entanto, o método de ofuscação estatística é vulnerável a
ataques de inferência em que o nó adversário combina várias consultas a fim de aprender
formação sobre as propriedades de outros nós Freenet (por exemplo, largura de banda) [ 88] Esses problemas são
agora abordado por Freenet, mas outros permanecem, como o ataque de Levine et al. [8 ], que
permite que um único nó distinga se um par vizinho é o solicitante real de
um arquivo ou apenas encaminhando as solicitações para outros pares. O ataque requer apenas ob-
serviço de tráfego, e explora o fato de que o protocolo Freenet determina a média
número de pedidos para um arquivo observável por um nó dependendo de quão longe este nó está
o solicitante. Assim, uma inferência bayesiana simples é suficiente para detectar se um vizinho é
o iniciador da solicitação.
Uma abordagem diferente para a censura é seguida em Tangler [ ] O sistema também fornece
editor e leitor anonimato, mas consegue resistência à censura de uma maneira diferente. Dentro-
em vez de simplesmente armazenar o arquivo replicado em muitos nós de forma anônima, Tangler les
são divididos em pequenos blocos que são armazenados em servidores diferentes. A fim de recuperar um arquivo, um
deve, portanto, entrar em contato com vários servidores para recuperar o suficiente desses blocos. A fim de evitar
um servidor sendo compelido a deletar um bloco pertencente a um arquivo, Tangler constrói blocos em tal
maneira que os blocos contêm partes de muitos documentos. Para 'emaranhar' arquivos em blocos, Tangler usa
compartilhamento de segredos (consulte a Área de Conhecimento de Criptografia (Capítulo )) . Emaranhar melhora a disponibilidade
habilidade de duas maneiras. Primeiro, um censor só pode excluir um arquivo alvo, causando danos colaterais
para outros arquivos que podem ser permitidos. Em segundo lugar, sempre que alguém deseja replicar um arquivo, os arquivos
emaranhados nos blocos de arquivos replicados também são replicados.
Resistência à censura de acesso a dados. Para permitir o acesso livre de censura aos dados, os sistemas devem
ser capaz de ocultar que os usuários estão acessando esses dados. Isso pode ser feito em vários
maneiras [ ] A primeira abordagem é a imitação , em que a resistência à censura é obtida por uma
tentador fazer com que o acesso a dados censurados pareça acessar dados permitidos (por exemplo, como um
Chamada Skype [ ] ou como uma visita a uma página da web inócua [ ]). Essas abordagens são eficazes
tivo, mas tem se mostrado vulnerável a ataques ativos nos quais o adversário sonda
a conexão suspeita para descobrir se alguma das funções esperadas do aplicativo sendo
imitados estão faltando [ ]
Uma segunda abordagem é o tunelamento. Neste caso, a comunicação censurada é diretamente sintonizada
nled através de um serviço sem censura, em vez de fingir ser esse serviço. Em particular,
esses sistemas usam serviços amplamente usados como túneis, por exemplo, serviços em nuvem [ , ], para que
bloquear comunicações impõe um alto custo para o censor. Uma terceira abordagem é em-
cama a comunicação dentro de algum conteúdo (por exemplo, escondido em uma foto ou vídeo [ 6]). Esta
abordagem não só torna as comunicações inobserváveis, mas também negáveis para todos os remetentes,
destinatários e aplicativos que hospedam o conteúdo.
www.cybok.org
na rede Tor [ ] Essas pontes são relés Tor cujos IPs não são públicos para que eles
não podem ser identificados como membros de um sistema de resistência à censura. Para evitar a identificação do censor
identificando conexões a pontes devido à sua aparência, estas são disfarçadas usando os chamados
transportes conectáveis [ ], que transformam o fluxo de tráfego seguindo uma das abordagens
referenciado nesta seção.
Outra opção para ocultar o destino é o uso de roteamento chamariz , também conhecido como refração
rede [ 8 , ] No roteamento de engodo, os clientes direcionam seu tráfego censurado para um destino benigno
nação. Este tráfego inclui um sinal indetectável que só pode ser interpretado por uma cooperativa
operando um roteador de Internet. Este roteador desvia o tráfego do cliente para o site censurado e retorna
as respostas ao cliente. Obviamente, o roteador cooperante deve estar fora do censor
domínio, mas, dependendo do esquema, pode estar no caminho de encaminhamento do cliente para o
destino sem censura [ 8, ], ou no caminho a jusante [ 6 , 6]
. ENGENHARIA DE PRIVACIDADE
[6 ] [ 6]
As crescentes preocupações com a privacidade na sociedade tornaram o conceito de 'privacidade desde o design' muito
popular entre os formuladores de políticas. Este conceito defende o design e desenvolvimento de
https://translate.googleusercontent.com/translate_f 177/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
sistemas que integram valores de privacidade para atender às preocupações dos usuários. No entanto, a literatura
em torno deste conceito raramente aborda os processos reais por trás do design, implementação
e integração de proteções de privacidade em produtos e serviços.
Nesta área de conhecimento, primeiro demos uma visão geral do panorama das tecnologias de privacidade,
e posteriormente forneceu uma série de exemplos em que essas tecnologias são combinadas
para apoiar o uso de sistemas eletrônicos, mantendo os valores democráticos fundamentais. Nisso
seção, elaboramos os princípios de design por trás desses, e outros, preservando a privacidade
sistemas. Discutimos brevemente como esses princípios podem ser usados para abordar de maneira geral o
engenharia de sistemas que incorporam fortes proteções de privacidade. Nós referimos o leitor ao
trabalho de Gürses et al. [6 ] para uma explicação mais abrangente desses princípios e
seu papel no projeto de sistemas de preservação da privacidade. Um artigo relevante para ajudar o leitor
compreender esses princípios é o trabalho de Hoepman sobre estratégias de privacidade [6 ]
• Minimize a confiança : limite a necessidade de confiar em outras entidades para se comportar como esperado com
respeito a dados sensíveis. Por exemplo, no eVoting baseado em mix, a confiança não é apenas distribuída
em todas as entidades que gerenciam as combinações, mas embaralhamentos verificáveis são colocados em prática para limitar
ao máximo, a quantidade de confiança no bom comportamento de cada mistura. Da mesma forma, o
primitivas criptográficas usadas para implementar petições eletrônicas de preservação de privacidade fazem
não requer confiança na autoridade de registro para proteger as identidades dos signatários.
• Minimize o risco : limite a probabilidade e o impacto de uma violação de privacidade. Por exemplo, no Tor,
comprometer um relé não fornece nenhuma informação sensível sobre as navegações dos usuários
hábitos ing. Se alguém compromete o nó de entrada, não pode aprender os destinos do
comunicações, apenas os nós intermediários dos circuitos; e se alguém compromete a saída
nó, não se pode aprender a origem da comunicação.
Para minimizar a confiança e o risco, os especialistas em privacidade normalmente projetam sistemas de acordo com
as seguintes estratégias:
www.cybok.org
• Minimize a replicação : sempre que possível, limite o número de entidades onde os dados estão
armazenado ou processado no claro.
• Minimize a centralização : sempre que possível, evite um único ponto de falha em relação ao
propriedades de privacidade no sistema.
• Minimize Linkability : sempre que possível, limite a capacidade do adversário de vincular dados.
• Minimize a retenção : sempre que possível, limite a quantidade de tempo que as informações são armazenadas.
Implementar essas estratégias a princípio pode parecer incompatível com a manutenção da integridade
do sistema. Por exemplo, se nenhuma informação é divulgada ou coletada, como alguém pode fazer
certeza de que nenhuma entidade está abusando do sistema? Se não há autoridade central, como fazer
tem certeza de que a autenticação e a autorização funcionam conforme o esperado? É aqui que a tecnologia de privacidade
gies entram em jogo. Eles permitem o projeto de sistemas onde o mínimo de informações possível
ble é revelado a outras partes que não aquelas às quais as informações se referem, e nas quais
há uma necessidade mínima de confiar nos provedores ou outros usuários a fim de preservar a privacidade de
informações confidenciais enquanto ainda pertencem à integridade e permitem a troca de informações.
Para decidir qual tecnologia de privacidade é mais adequada para construir um sistema, uma primeira etapa
é identificar os fl uxos de dados que devem ser minimizados; ou seja, aqueles que movem dados para entidades
a quem os dados não se referem. A segunda etapa é identificar o conjunto mínimo de dados que
precisa ser transferido para essas entidades. Para identificar as informações mínimas necessárias que
precisa ser transferido, o designer deve tentar manter o máximo de dados possível fora
de alcance dessas entidades sem prejudicar a funcionalidade do sistema. Estratégias para min-
imise o fluxo de informações desnecessário (com base principalmente nas tecnologias introduzidas por meio de
seção fora. .) estão:
• Mantenha os dados locais : execute qualquer cálculo em dados confidenciais do lado do usuário, e
transmitir apenas o resultado da operação. Informações adicionais, como conhecimento zero
https://translate.googleusercontent.com/translate_f 178/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
provas ou compromissos, podem ser necessários para garantir a correção das operações.
• Criptografar os dados : criptografar os dados localmente e enviar apenas a versão criptografada para outro
entidades. Se alguma operação nos dados for necessária, consulte o próximo ponto.
• Use protocolos criptográficos que preservam a privacidade : processe dados localmente para obter entradas para
um protocolo no qual, ao interagir com as entidades não confiáveis usando um dos protocolos
introduzido nas seções anteriores, o usuário pode obter ou provar informações enquanto lim-
itar a informação disponibilizada a essas entidades. Por exemplo, usando anônimo
credenciais para autenticação sem revelar a identidade ou mesmo o valor de um at-
tributo, ou usando a recuperação de informação privada para realizar uma pesquisa em um banco de dados sem
revelando a consulta ao titular do banco de dados.
• Ofuscar os dados : usar técnicas para controlar a inferência para processar os dados localmente e
envie apenas a versão perturbada para a entidade não confiável.
www.cybok.org
• Tornar os dados anônimos : processar os dados localmente para remover informações identificáveis e
envie-o para a parte não confiável por meio de um canal anônimo.
Avaliação de privacidade. Uma vez que as tecnologias de privacidade ou sistemas ponta a ponta tenham sido projetados,
é importante realizar uma avaliação de privacidade. Esta avaliação tem como objetivo quantificar o
nível de privacidade que a tecnologia e, respectivamente, o sistema podem fornecer.
Uma avaliação de privacidade sistemática geralmente consiste nas etapas a seguir. Primeiro, é preciso
modelar o mecanismo de preservação da privacidade como uma transformação probabilística. Isso estabelece
a probabilidade de que, dada uma entrada, o mecanismo de privacidade retorne uma determinada saída. Segundo,
é preciso estabelecer o modelo de ameaça, ou seja, o que o adversário pode ver e o que é ela
conhecimento prévio. Terceiro, presumindo que o adversário conhece o mecanismo, considere como ele
anularia o efeito do mecanismo de privacidade. Isso geralmente envolve fazer uma análise
das distribuições de probabilidade ou usando técnicas de inferência, como aprendizado de máquina para
calcule o que o adversário pode aprender.
No final do processo, geralmente tem-se uma distribuição que descreve a probabilidade de que o
o adversário infere cada uma das entradas possíveis. Esta distribuição de probabilidade é então usada como entrada
a uma métrica de privacidade que captura a capacidade de inferência do adversário. Nós encaminhamos o leitor
à pesquisa de Wagner e Eckhoff para uma descrição abrangente das métricas de privacidade em
a literatura [6 ]
.6 CONCLUSÕES
A proteção da privacidade, conforme descrevemos nesta área de conhecimento, não se limita a garantir
tando a confidencialidade da informação. Também requer meios para ajudar os usuários a entender
até que ponto suas informações estão disponíveis online e mecanismos para permitir que os usuários
exercer controle sobre essas informações. Descrevemos técnicas para realizar esses três
concepções de privacidade, enfatizando o modelo adversário em que operam, bem como
fornecendo diretrizes para combinar essas técnicas a fim de construir a preservação da privacidade de ponta a ponta
sistemas.
Preservar a privacidade e os direitos online não é importante apenas para os indivíduos, é essencial para
apoiar sociedades democráticas. A implantação de tecnologias de privacidade é fundamental para permitir aos usuários
livre acesso ao conteúdo e liberdade de expressão. De igual importância é evitar que qualquer
entidade obtendo uma quantidade desproporcional de informações sobre indivíduos ou grupos, a fim de
https://translate.googleusercontent.com/translate_f 179/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para prevenir a manipulação e abusos que podem prejudicar os valores democráticos.
Tópico Citar
Página 225
https://translate.googleusercontent.com/translate_f 180/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
II Ataques e defesas
Página 227
226
Capítulo 6
Malware e ataque
https://translate.googleusercontent.com/translate_f 181/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Tecnologias
Wenke Lee Georgia Institute of Technology
www.cybok.org
INTRODUÇÃO
Malware é a abreviatura de 'software malicioso', ou seja, qualquer programa que executa atividades maliciosas
laços. Usamos os termos malware e código malicioso alternadamente. Malware vem com um
ampla gama de formas e formatos, e com diferentes classificações de acordo, por exemplo, vírus,
Trojans, worms, spyware, malware de botnet, ransomware, etc.
O malware realiza muitos dos ataques cibernéticos na Internet, incluindo ciberataques nacionais
guerra, crimes cibernéticos, fraude e golpes. Por exemplo, os cavalos de Tróia podem introduzir um acesso backdoor
a uma rede governamental para permitir que invasores de um Estado-nação roubem informações classificadas. Correu-
somware pode criptografar dados no computador de um usuário, tornando-os inacessíveis para o usuário,
e só descriptografar os dados depois que o usuário pagar uma quantia em dinheiro. Malware de botnet é responsável
para muitas das negações de serviço distribuídas (DDoS) ataques, bem como spam e phishing
Atividades. Precisamos estudar as técnicas por trás do desenvolvimento e implantação de malware em
a fim de compreender melhor os ataques cibernéticos e desenvolver as contramedidas adequadas.
O restante deste capítulo está organizado da seguinte forma. Forneceremos uma taxonomia de malware e
discutir suas atividades maliciosas típicas, bem como seu ecossistema e infra-estrutura de suporte
turas. Em seguida, descreveremos as ferramentas e técnicas para analisar comportamentos de malware e
métodos de detecção baseados em rede e host para identificar atividades de malware, bem como
processos e técnicas, incluindo análise forense e atribuição para responder a malware
ataques.
CONTENTE
https://translate.googleusercontent.com/translate_f 182/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Existem muitos tipos de malware [6 6] É instrutivo criar uma taxonomia para sistematizar
categorizar claramente o amplo espectro de tipos de malware. Esta taxonomia descreve o comum
características de cada tipo de malware e, portanto, pode orientar o desenvolvimento de contramedidas
seguras aplicáveis a uma categoria inteira de malware (em vez de um malware específico). Desde a
há muitas facetas de tecnologias de malware e operações de ataque, com base nas quais o malware
podem ser categorizados e nomeados, nossa taxonomia pode incluir muitas dimensões. Nós discutimos um
alguns importantes abaixo. Deve-se ter em mente que outros atributos mais especializados
também pode ser usado como arquitetura de processador alvo ou sistema operacional.
o segundo tipo requer um programa host para ser executado, ou seja, ele deve infectar um programa em um computador
inserindo suas instruções no programa para que, quando o programa for executado, o malware
as instruções também são executadas. Por exemplo, vírus de macro de documentoes e navegador malicioso
plug-ins pertencem a este tipo. Em geral, é mais fácil detectar malware autônomo porque é
um programa ou um processo em execução em seu próprio direito e sua presença pode ser detectada operando
sistema ou ferramentas de segurança.
https://translate.googleusercontent.com/translate_f 183/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
que se baseiam nas características de instâncias de malware mais antigas.
A sexta dimensão é se o malware age sozinho ou faz parte de uma rede coordenada (ou seja, um
botnet) Enquanto botnets são responsáveis por muitos ataques cibernéticos, como DDoS , spam, phishing,
www.cybok.org
etc., o malware isolado se tornou cada vez mais comum nas formas de ataque direcionado.
Ou seja, o malware pode ser projetado especificamente para infectar uma organização alvo e executar
atividades maliciosas de acordo com os ativos da organização valiosos para o invasor.
A maioria dos malwares modernos usa alguma forma de ofuscação para evitar a detecção (e, portanto,
não incluímos explicitamente a ofuscação nesta taxonomia). Existe uma gama de ofuscação
técnicas e existem ferramentas disponíveis gratuitamente na Internet para um autor de malware usar.
Por exemplo, o polimorfismo pode ser usado para derrotar os métodos de detecção que são baseados em 'sig-
naturezas ou padrões de código de malware. Ou seja, os recursos de malware identificáveis são alterados
para ser exclusivo para cada instância do malware. Portanto, as instâncias de malware parecem diferentes
uns dos outros, mas todos eles mantêm a mesma funcionalidade de malware. Alguns poli-
técnicas de malware mórfico incluem embalagem, que envolve compactar e criptografar
parte do malware e reescrevendo instruções maliciosas identificáveis em outro equivalente
instruções.
ou
ou
pilha
de
anos
estar
programa
sozinho hospedeiro
persistente
transitório la sistema propagação
dinamicamente
atualizável?
automática?
coordenado?
residente na memória
estar sozinho transitório kernel e acima Y Y Y
malware
Como ilustração, podemos aplicar essa taxonomia a vários tipos (ou nomes) de malware. Veja Ta-
ble 6.. Em particular, um vírus precisa de um programa host para ser executado porque infecta o programa host
inserindo uma sequência de código malicioso no programa. Quando o programa host é executado, o
o código malicioso é executado e, além de realizar as atividades maliciosas pretendidas, ele
pode procurar outros programas para infectar. Um vírus é tipicamente persistente e pode residir em todos os ambientes
ers da pilha do sistema, exceto hardware. Ele pode se espalhar sozinho porque pode se injetar
em programas automaticamente. Um vírus também pode ser atualizado dinamicamente, desde que possa
conectar a um servidor de atualização de malware. Um vírus de malware polimórfico pode sofrer mutação para que
novas cópias parecem diferentes, embora o algoritmo desta mutação esteja embutido em seu próprio
código. Um vírus normalmente não faz parte de uma rede coordenada porque, embora a infecção possa
afetar muitos computadores, o código do vírus normalmente não executa atividades coordenadas.
Outro malware que requer um programa host inclui plug-ins de navegador mal-intencionados e extensões
sões, scripts (por exemplo, JavaScript em uma página da web) e macros de documentos (por exemplo, vírus de macroes
e malware de PDF). Esses tipos de malware podem ser atualizados dinamicamente, de forma coordenada
rede e pode ser ofuscado.
Malware de botnet refere-se a qualquer malware que faça parte de uma rede coordenada com um botnet
infraestrutura que fornece comando e controle. Uma infraestrutura de botnet normalmente também pro
vides atualização de malware e outro suporte logístico. O malware de botnet é persistente e normalmente
ofuscado e geralmente reside nas camadas do kernel, driver ou aplicativo. Algum botnet mal-
ware requer um programa host, por exemplo, plug-ins e extensões de navegador mal-intencionados e necessidades
ativação do usuário para se espalhar (por exemplo, JavaScript malicioso). Outro malware de botnet é autônomo,
https://translate.googleusercontent.com/translate_f 184/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
eIsso
pode se espalhar
inclui trojans, automaticamente explorando
key-loggers, ransomware, computadores
bots oude
de clique, bots usuários
spam , vulneráveis na Internet.
malware móvel, etc.
O malware codifica essencialmente as atividades maliciosas intencionadas por um invasor. Ataques cibernéticos
pode ser analisado usando o Cyber Kill Chain Model [6 ], que, conforme mostrado na Tabela 6., repre-
sentes (iterações de) etapas normalmente envolvidas em um ataque cibernético. A primeira etapa é o reconhecimento
onde um invasor identifica ou atrai os alvos potenciais. Isso pode ser feito, por
por exemplo, verificando a Internet em busca de computadores vulneráveis (ou seja, computadores que funcionam em rede
serviços, como sendmail, que apresentam vulnerabilidades conhecidas) ou o envio de e-mails de phishing para
um grupo de usuários. A próxima fase é obter acesso aos alvos, por exemplo, enviando
entrada criada para acionar uma vulnerabilidade, como uma sobrecarga de buffer no serviço de rede vulnerável
vice-programa ou incorporação de malware em uma página da web que comprometerá o navegador do usuário
e obter o controle de seu computador. Isso corresponde à Armamento e Entrega (de
explorars) etapas do modelo Cyber Kill Chain. Uma vez que o alvo está comprometido, normalmente um
outro tipo de malware é baixado e instalado; isto corresponde à instalação (de
malware) no modelo Cyber Kill Chain. Este último malware é o verdadeiro burro de carga para o
atacante e pode realizar uma ampla gama de atividades, que equivalem a ataques a:
• confidencialidade - pode roubar dados valiosos, por exemplo, informações de autenticação do usuário e
dados financeiros e de saúde;
• integridade - pode injetar informações falsas (por exemplo, enviar spam e e-mails de phishing, criar
cliques fraudulentos, etc.) ou modificar dados;
• disponibilidade - pode enviar tráfego como parte de uma negação de serviço distribuída (DDoS) ataque,
www.cybok.org
usar uma grande quantidade de recursos de computação (por exemplo, para minerar criptomoedas) ou criptografar
dados valiosos e exigem um pagamento de resgate.
Etapa Atividades
https://translate.googleusercontent.com/translate_f 185/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A maioria dos malwares modernos executa uma combinação dessas ações de ataque porque há
kits de ferramentas (por exemplo, um keylogger) disponíveis gratuitamente para a realização de muitas atividades "padrão" (por exemplo,
registrando senhas de usuário) [6 ], e o malware pode ser atualizado dinamicamente para incluir ou ac-
estimular novas atividades e participar de uma 'campanha' mais longa ou maior, em vez de apenas realizar
ações isoladas e pontuais. Estas são as ações sobre os objetivos do modelo Cyber Kill Chain.
Botnets exemplificam malware coordenado e de longa duração. Um botnet é uma rede de bots (ou,
computadores comprometidos) sob o controle de um invasor. Malware de botnet é executado em cada bot
e se comunica com o comando e controle do botnet (C&C) servidor regularmente para receber
instruções sobre atividades maliciosas específicas ou atualizações do malware. Por exemplo, todo
dia o servidor C&C de um botnet de spam envia a cada bot um modelo de spam e uma lista de e-mail
endereços para que, coletivamente, o botnet envie um grande número de mensagens de spam . Se o
botnet é interrompido por causa de ações de detecção e resposta, por exemplo, o servidor C&C atual está
retirado, o malware botnet já está programado para entrar em contato com um servidor alternativo e
pode receber atualizações para mudar para um botnet que usa ponto a ponto para C&C. Em geral, botnets
são bastante barulhentos, ou seja, relativamente fáceis de detectar, pois existem muitos bots em várias redes.
O Botnet C&C é um exemplo da etapa de comando e controle no modelo Cyber Kill Chain.
Em contraste com botnets, malware por trás da chamada ameaça persistente avançadas ( APTs) typ-
visam uma organização específica em vez de lançar ataques em grande escala. Para
por exemplo, pode procurar um tipo específico de controlador na organização para infectar e causar
para enviar os sinais de controle errados que levam a eventuais falhas nas máquinas. APT mal-
ware é tipicamente projetado para ser de longa duração (daí o termo 'persistente'). Isso significa que não
só recebe atualizações regulares. mas também evita a detecção, limitando seu volume de atividade e
intensidade (ou seja, 'baixa e lenta'), movendo-se pela organização (ou seja, 'movimentos laterais') e
cobrindo seus rastros. Por exemplo, em vez de enviar os dados roubados para um 'local de descarte', tudo em
uma vez, ele pode enviar um pequeno pedaço de cada vez e somente quando o servidor já estiver enviando
mate traf c; depois de terminar de roubar de um servidor, ele se move para outro (por exemplo, explorando
as relações de confiança entre os dois) e remove logs e até corrige as vulnerabilidades
no primeiro servidor.
Quando usamos o modelo Cyber Kill Chain para analisar um ataque cibernético, precisamos examinar sua ação
atividades em cada etapa. Isso requer conhecimento das técnicas de ataque envolvidas. ATT & CK
Base de Conhecimento [6 ] documenta as táticas e técnicas de ataque atualizadas com base em
observações do mundo real e é uma referência valiosa para analistas.
www.cybok.org
6 ANÁLISE DE MALWARE
[6 , c -] [ 6 , 6 , 6 , 6 , 6 , 6 6 , 6 , 6 , 8 , 6 , 6 , 6 , 6]
Existem muitos benefícios em analisar malware. Em primeiro lugar, podemos entender o mali pretendido
atividades importantes a serem realizadas pelo malware. Isso nos permitirá atualizar nossa rede e
sensores de endpoint para detectar e bloquear tais atividades e identificar quais máquinas têm o
malware e tomar ações corretivas, como removê-lo ou até mesmo limpar completamente o computador
computador limpo e reinstalando tudo. Em segundo lugar, analisando a estrutura do malware (por exemplo, o
bibliotecas e kits de ferramentas que inclui) e estilos de codificação, podemos obter informações
que é potencialmente útil para atribuição, o que significa ser capaz de identificar o provável autor
e operador. Terceiro, ao compará-lo com dados históricos e de localização geográfica, podemos melhor
https://translate.googleusercontent.com/translate_f 186/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
entender e prever o escopo e a tendência dos ataques de malware, por exemplo, quais tipos de atividades
(por exemplo, criptomoedas de mineração) estão em alta e se um crime cibernético está se movendo de uma região
para outro. Em suma, a análise de malware é a base para detectar e responder a ataques cibernéticos
tachas.
A análise de malware normalmente envolve a execução de uma instância de malware em um ambiente de análise.
Existem maneiras de 'capturar' instâncias de malware nos sites de infecção. Um sensor de rede pode
examine o tráfego (por exemplo, tráfego da web, anexo de e-mail) para identificar possível malware (por exemplo, pagamento
carregar que contém dados binários ou semelhantes a programas de um site com baixa reputação) e executar
em uma caixa de areia para con rmar. Se um sensor de rede é capaz de detectar tráfego malicioso de saída
de um host interno, um sensor baseado em host pode identificar ainda mais o programa, ou seja, o malware,
responsável por tal tráfego c. Também há coleta de malware e esforços de compartilhamento onde
organizações confiáveis podem fazer upload de amostras de malware encontradas em suas redes e também receber
amostras fornecidas por outras organizações. Os pesquisadores acadêmicos normalmente podem apenas obter
amostras de malware sem a necessidade de contribuir. Ao adquirir e compartilhar malware sam-
Por favor, devemos considerar nossas responsabilidades legais e éticas cuidadosamente [6 ] Por exemplo, nós
deve proteger as identidades dos sites de infecção dos quais as amostras de malware foram capturadas
e não devemos compartilhar as amostras de malware com qualquer organização que seja um desconhecido
entidade ou que não tem o compromisso ou capacidade técnica para analisar malware
com segurança.
www.cybok.org
A análise estática envolve examinar o código (fonte, intermediário ou binário) para avaliar o
comportamentos de um programa sem realmente executá-lo [6 ] Uma ampla gama de análises de malware
técnicas se enquadram na categoria de análise estática. Uma limitação é que o resultado da análise
pode não ser consistente com os comportamentos reais do malware (em tempo de execução). Isso é porque em
muitos casos, não é possível determinar com precisão os comportamentos de um programa estaticamente (ou seja,
sem os dados reais de entrada do tempo de execução). Um problema mais sério é que os autores de malware são
bem cientes das limitações da análise estática e aproveitam a ofuscação de código e o pacote
ing para frustrar-análise estática completamente. Por exemplo, o código compactado não pode ser estaticamente
analisado porque são dados criptografados e compactados até serem descompactados em código executável
em tempo de execução.
https://translate.googleusercontent.com/translate_f 187/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
empilhar para que o malware não possa alterar as informações coletadas. Por exemplo, instrução
os rastros certamente cobrem todos os detalhes de comportamentos maliciosos, mas o volume de dados é muito grande
para análise eficiente [6 ] Por outro lado, os traços de chamada do sistema (ou chamada API ) são mais grosseiros, mas
resumir como o malware interage com o sistema de tempo de execução, incluindo I / O e rede
atividades ing [6 ] Outra vantagem da análise dinâmica é que ela é independente do
www.cybok.org
formato de malware, por exemplo, binário, script, macro ou exploit, porque todo malware é executado e
analisado de forma semelhante.
6.. . Fuzzing
Fuzzing é um método para descobrir vulnerabilidades, bugs e falhas em software por feed-
introdução aleatória de programas. Ferramentas de difusão [6 6] também pode ser usado para acionar malware
comportamentos. A difusão pode explorar o espaço de entrada, mas é limitada devido à cobertura de código
processa [6 ], especialmente para entradas que conduzem o programa a condições de ramificação complexas. Dentro
contraste, execução concólica (ver 6... Execução concólica) é bom em encontrar complexos em
coloca ao formular restrições, mas também é caro e lento. Para tirar vantagem de ambos
abordagens, uma abordagem híbrida [6 ] chamado difusão híbrida pode ser usado.
Embora a execução simbólica possa atravessar todos os caminhos em teoria, ela tem grandes limitações [6 8], por exemplo, isso
pode não convergir rapidamente (se houver) ao lidar com grandes espaços de símbolos e fórmulas complexas
las e predicados. A execução concólica, que combina a execução CONC rete e a execução OLIC do símbolo ,
pode reduzir o espaço simbólico, mas manter o espaço de entrada geral.
Claro, a Execução Concólica é uma técnica que usa traços concretos para conduzir a execução simbólica
ção; também é conhecido como um executor baseado em rastreamento [6 ] O rastreamento de execução obtido por con
a execução de creta é usada para gerar as fórmulas e restrições de caminho. As fórmulas de caminho para
o ramo correspondente é negado e as teorias do módulo de habilidade de Satis (SMT) solucionadores são
usado para encontrar uma entrada válida que pode satisfazer as ramificações não utilizadas. As entradas geradas são alimentadas
no programa e execute novamente desde o início. Esta técnica explora iterativamente a viabilidade
ramos não retirados ble encontrados durante as execuções. Requer a execução repetitiva de
todas as instruções desde o início e conhecimento do formato de entrada.
A Execução Concólica Online é uma técnica que gera restrições junto com o concreto
execução [6 ] Sempre que a execução concreta atinge um galho, se ambas as direções são viáveis,
a execução é bifurcada para funcionar em ambos os ramos. Ao contrário do executor oficial, esta abordagem pode
explorar vários caminhos.
Execução híbrida: esta abordagem alterna automaticamente entre os modos online e ine
para evitar as desvantagens de abordagens não híbridas [6 ]
Execução concólica pode usar emuladores de sistema inteiro [6 , 6] ou instrumento binário dinâmico
ferramentas de tação [6 , 6] Outra abordagem é interpretar a Representação Intermediária (IR) para
imitar os efeitos da execução [6 , 6 6] Esta técnica permite execução concólica livre de contexto
cution, que analisa qualquer parte do binário nos níveis de função e bloco básico.
https://translate.googleusercontent.com/translate_f 188/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Exploração de caminhos é uma abordagem sistemática para examinar os caminhos do programa. Explosão de caminho é
também inevitável na execução concólica devido à natureza do espaço simbólico. Há um va-
variedade de algoritmos usados para priorizar as direções de execução concólica, por exemplo, Depth-First
Pesquisa (DFS) ou cálculo de distância [ 6] Outra abordagem é priorizar as direções
favorecendo blocos de código recentemente explorados ou dependência de memória simbólica [6 ] Outro popular
técnicas incluem remoção de caminho, fusão de estado [6 , 6 , 6], simbólico sob restrição
execução [6 6] e suporte para fuzzing [ 6 , 6]
Falta de refinamento
Baixa transparência, Baixa transparência, introspecção,
Menos controle sobre o
antages
Suporte de insegurança de Artefatos de Escalabilidade e custo
estado do sistema
semântica da arquitetura paravirtualização problemas, mais lento para
restaurar para o estado limpo
Disadv
www.cybok.org
Por outro lado, emuladores como o QEMU podem gravar todas as instruções executadas e inspecionar livremente
memória. No entanto, o QEMU também tem erros que não existem no hardware real, que podem ser
explorado para detectar sua presença [6 ] Uma grande porcentagem de detecção de malware moderno
ambientes emulados e virtualizados e se o fizerem, então eles não executam seu mali-
ações conscientes para evitar análises.
Dados os requisitos de segurança e ambiente ativo, a maioria dos ambientes de análise de malware
são construídos usando tecnologias de virtualização. A virtualização permite sistemas operacionais
para gerenciar de forma automática e eficiente redes inteiras de nós (por exemplo, hosts, switches), até mesmo
dentro de uma única máquina física. Além disso, as políticas de contenção podem ser aplicadas em cima de
os ambientes virtuais para equilibrar o ambiente vivo e os requisitos de segurança para) permitir
malware para interagir com a Internet para fornecer o realismo necessário e) conter qualquer
atividades maliciosas que podem causar danos indesejados ou efeitos colaterais.
Arquiteturas de exemplo [6 ] incluem:) o sistema GQ, que é projetado com base em vários
servidores de contenção e um gateway central que os conecta com a Internet permitindo
filtrar ou redirecionar o tráfego de rede com base no fluxo e) o sistema Potemkin,
que é um protótipo de uma fazenda de mel que usa compartilhamento agressivo de memória e vincula dinamicamente
recursos físicos para solicitações externas. Essas arquiteturas são usadas não apenas para monitorar, mas
também reproduz comportamentos no nível da rede. Para este fim, primeiro precisamos fazer a engenharia reversa do
Protocolo C&C usado por malware. Existem várias abordagens baseadas em dados de nível de rede
(por exemplo, Roleplay [6 ], que usa algoritmos de alinhamento de fluxo de bytes) ou análise dinâmica de
execução de malware (por exemplo, Polyglot e Dispatcher [6 ]), Ou uma combinação de ambos.
O código-fonte do malware muitas vezes não está disponível e, portanto, a primeira etapa da análise estática
sis é desmontar o binário do malware em código assembly. Os autores de malware podem aplicar uma variedade
de técnicas anti-desmontagem (por exemplo, reutilizando um byte) para fazer com que as ferramentas de análise de desmontagem
produzir uma listagem de código incorreta [6 ]
A técnica de ofuscação de código mais geral e comumente usada é empacotar, isto é, com
pressionando e criptografando parte do malware. Alguns binários compactados trivialmente podem ser descompactados
com ferramentas simples e analisadas estaticamente [6 ], mas para a maioria dos malwares modernos, o pacote
o código é descompactado apenas quando necessário durante a execução do malware. Portanto, uma descompactação
ferramenta precisa analisar a execução do malware e considerar as compensações de robustez, desempenho
mance e transparência. Por exemplo, desempacotadores com base na introspecção da máquina virtual
(VMI) [ 6 8] são mais transparentes e robustos, mas também mais lentos. Por outro lado, desempacotadores construídos em
instrumentação binária dinâmica (DBI) [ 6] são mais rápidos, mas também mais fáceis de detectar porque o
O código DBI é executado no mesmo nível de privilégio do malware.
Muitas técnicas visam ofuscar os controles pretendidos de um malware, por exemplo, adicionando
blocos mais básicos e arestas para seu gráfico de controle [6 , 6 , 6] Uma contramedida é
analisar amostras de malware por seus recursos dinâmicos (ou seja, o que um malware faz). A razão
é que a análise estática pode ser impossibilitada por meio de ofuscação avançada usando con
stants [6 ], que permite ao invasor ocultar quais valores serão carregados nos registros durante
tempo de execução. Isso, por sua vez, torna muito difícil para a análise estática de malware extrair o controle
https://translate.googleusercontent.com/translate_f 190/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
gráfico e variáveis do binário. Uma abordagem mais eficaz é combinar estática e corante
análise dinâmica. Por exemplo, tal abordagem demonstrou ser capaz de desmontar
o código binário altamente ofuscado [6 ]
Uma técnica de ofuscação menos comum, mas muito mais potente, é a emulação de código. Pedindo emprestado
técnicas originalmente projetadas para fornecer proteção de direitos autorais de software [6 6], malware auu-
thors convertem binários de malware nativos em programas de bytecode usando um gerado aleatoriamente
conjunto de instruções, emparelhado com um emulador binário nativo que interpreta o conjunto de instruções. Que
é, com esta abordagem, o malware 'binário' é o emulador, e o código original do malware
torna-se 'dados' usados pelo programa emulador. Observe que, para o mesmo malware original, o
o autor do malware pode transformá-lo em muitas instâncias de instâncias de malware emuladas, cada uma com
seu próprio conjunto de instruções de bytecode aleatório e um binário de emulador correspondente. É extremamente
difícil de analisar malware emulado. Em primeiro lugar, a análise estática do código do emulador não produz informações
informações sobre os comportamentos específicos do malware, porque o emulador processa todos os possíveis
programas no conjunto de instruções bytecode. A análise estática do bytecode do malware envolve primeiro
compreender o formato do conjunto de instruções (por exemplo, analisando estática o emulador primeiro), e de-
ferramentas de veloping para o conjunto de instruções; mas este processo precisa ser repetido para cada instância
de malware emulado. Em segundo lugar, a análise dinâmica padrão não é diretamente útil porque
observa as instruções de tempo de execução e os comportamentos de um emulador e não do malware.
Uma abordagem de análise dinâmica especializada é necessária para analisar malware emulado [6 ] O
a ideia principal é executar o emulador de malware e registrar todos os traços de instrução. Ap-
aplicando o fluxo de dados dinâmicos e técnicas de análise de contaminação a esses rastros, identificamos os dados
www.cybok.org
regiões contendo o bytecode, informações sintáticas mostrando como os bytecodes são analisados
em opcodes e operandos e informações semânticas sobre instruções de transferência de controle.
A saída desta abordagem são estruturas de dados, como um gráfico de controle (CFG) do
malware, que fornece a base para a análise de malware subsequente.
O malware geralmente usa técnicas de impressão digital para detectar a presença de um ambiente de análise
ment e evadir a análise dinâmica (por exemplo, para de executar o código de malware pretendido). Mais
geralmente, os comportamentos de malware podem ser "baseados em gatilhos", em que um gatilho é uma condição de tempo de execução
isso deve ser verdade. Exemplos de condições incluem a data e hora corretas, a presença de
certos arquivos ou diretórios, uma conexão estabelecida com a Internet, a ausência de uma
ci c mutex object etc. Se uma condição não for verdadeira, o malware não executa o pretendido
lógica maliciosa. Ao usar a análise dinâmica padrão, as entradas de teste não são garantidas
para acionar algumas dessas condições e, como resultado, os comportamentos de malware correspondentes
pode ser perdido. Para descobrir comportamentos baseados em gatilhos, uma abordagem de análise de múltiplos caminhos [6 ]
explora vários caminhos de execução de um malware. O analisador monitora como o malware
o código usa entradas semelhantes a condições para tomar decisões de controle. Para cada ponto de decisão, o
analisador faz um instantâneo do estado atual de execução do malware e permite que o malware
para executar o caminho correto do malware para o valor de entrada fornecido; por exemplo, o valor de entrada
sugere que a condição de acionamento não foi atendida e o caminho do malware não inclui o
lógica maliciosa pretendida. O analisador então volta para o instantâneo e reescreve o
valor de entrada para que o outro ramo seja obtido; por exemplo, agora a condição de acionamento é
reescrito para ser verdade, e o ramo do malware é a lógica maliciosa pretendida.
O malware costuma usar artefatos de sistema e rede que sugerem que está sendo executado de forma anal
ambiente ysis em vez de um sistema real infectado [6 ] Esses artefatos são principalmente gatos
egorized em quatro classes: virtualização, ambiente, introspecção de processo e usuário. Dentro
virtualização ngerprinting, malware evasivo tenta detectar que está sendo executado em um
meio Ambiente. Por exemplo, ele pode usar o teste da pílula vermelha [6 ], que envolve a execução de
Sequências de instrução da CPU que causam sobrecarga, distorções de tempo únicas e discrepâncias
quando comparado com execuções em um sistema bare-metal (ou seja, não virtualizado). Em relação ao en-
artefatos ambientais, máquinas virtuais e emuladores têm hardware e software exclusivos pa-
parâmetros, incluindo modelos de dispositivos, valores de registro e processos. Em processo de introspecção,
malware pode verificar a presença de programas específicos em sistemas operacionais, incluindo
ferramentas de monitoramento fornecidas por empresas de antivírus e fornecedores de máquinas virtuais. Por último, usuário
artefatos incluem aplicativos específicos, como um navegador da web (ou a falta dele), histórico de navegação na web
história, arquivos usados recentemente, prompts de usuário interativos, atividades de mouse e teclado, etc.
são sinais para saber se um ser humano real usa o ambiente para tarefas significativas.
Um ambiente de análise não é transparente se pode ser detectado por malware. Existem mitiga-
técnicas de manipulação, alguns abordam tipos específicos de evasão, enquanto outros aumentam de forma mais ampla
transparência. Modi cações binárias podem ser realizadas removendo ou reescrevendo dinamicamente
https://translate.googleusercontent.com/translate_f 191/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
instruções para evitar a detecção [6 8], e artefatos ambientais podem ser ocultados de mal-
ware ligando funções do sistema operacional [6 ] Abordagens de exploração de caminhos [ 6 , 66]
forçar a execução do malware para baixo de vários ramos condicionais para contornar a evasão. Hypervisor-
abordagens baseadas [6 8 , 66] usam ferramentas de introspecção com mais privilégios do que malware, portanto
que eles podem ser ocultados do malware e fornecer as respostas esperadas para o malware
quando verifica o sistema e os artefatos de rede. A fim de fornecer o maior nível de
transparência, várias abordagens [6 , 6] realizar análises de malware em máquinas reais para
evite a introdução de artefatos.
6 DETECÇÃO DE MALWARE
[6 , c, c - 6, c 8] [ 66 , 66 , 66 , 66 , 666 , 66 , 668 , 66 , 6 , 6 , 6]
A fim de identificar malware, devemos primeiro ter uma compreensão de como o malware é distribuído
homenageados aos anfitriões de suas vítimas. O malware é comumente distribuído por meio de um down-
carregar [6 ] Um programa vulnerável voltado para a Internet em execução em um computador pode ser explorado para
baixar malware no computador. Um usuário no computador pode ser socialmente projetado
para abrir um anexo de e-mail ou visitar uma página da web, ambos podem levar a uma exploração e malware
download.
Enquanto é baixado para um host, o conteúdo do malware pode ser visto na carga útil
seção do tráfego de rede (ou seja, pacote de rede) [6 ] Como defesa, um antivírus ( AV) tão-
lution, ou sistema de detecção de intrusão (IDS), pode analisar cada pacote de rede transportado para
um host final para conteúdo malicioso conhecido e bloqueia (impede) o download. No outro
Por outro lado, o conteúdo de tráfego criptografado como HTTPS é amplamente e cada vez mais adotado pelos sites.
Usando sistemas de reputação de domínio [6 ], tráfego de rede proveniente de domínios e anúncio de IP
vestidos conhecidos por estarem associados a atividades maliciosas podem ser bloqueados automaticamente com
analisando a carga útil do tráfego.
Depois de ser instalado em um computador, o malware pode residir no sistema de arquivos ou memória do host
ory (ou ambos). Neste ponto, o malware pode dormir (onde o executável não faz nada para o
sistema) até um momento posterior [6 ] conforme especificado pelo autor do malware. Um AV ou IDS pode
verifique periodicamente o sistema de arquivos e a memória do host em busca de programas maliciosos conhecidos [6 ] Como
uma primeira camada de defesa, os detectores de malware podem analisar recursos estáticos que sugerem
conteúdos executáveis. Estes incluem características de instruções, gráficos de controle, chamadas
gráficos, padrões de valor de byte [6 6] etc.
Se o malware não for detectado durante seu estado de distribuição, ou seja, um sistema de detecção perderá seu
presença nas cargas úteis do tráfego de rede ou no sistema de arquivos e na memória do host final,
ele ainda pode ser detectado quando é executado e, por exemplo, começa a contatar seu comando-
e controle (C&C) servidor e executando ações maliciosas na Internet ou na vítima
sistema de computador. Um AV ou IDS no perímetro da rede monitora continuamente a rede
pacotes viajando para fora de um host final. Se o AV ou IDS vê que o host está contatando conhecido
nomes de domínio ou endereços IP maliciosos, pode-se supor que o host foi infectado por
malware. Além disso, um AV ou IDS no host final pode procurar padrões de comportamento que são
associado a atividades de malware conhecidas, como chamadas de sistema ou API que revelam o
lidos ou escritos.
https://translate.googleusercontent.com/translate_f 192/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Heurísticas, por exemplo, assinaturas de uma ferramenta de empacotamento , ou alta entropia devido à criptografia, podem ser usadas
para detectar e bloquear conteúdos que sugerem a presença de malware compactado, mas isso pode levar
a alarmes falsos porque a embalagem também pode ser usada por software e serviços benignos, como
videogames, para proteger informações proprietárias. A maneira mais confiável de detectar mal embalados
ware é simplesmente monitorar seus comportamentos em tempo de execução porque o código compactado será descompactado
e executados, e os comportamentos maliciosos correspondentes podem então ser identificados [66 ]
Os autores de malware geralmente implementam rotinas de atualização, semelhantes a atualizações para sistemas operacionais
tems e aplicativos, como navegadores da web e ferramentas de escritório. Isso permite que os autores de malware
a flexibilidade de fazer alterações no malware para não incluir apenas novas atividades maliciosas
mas também evita a detecção por AVse IDS que começaram a usar padrões do malware antigo
e seus antigos comportamentos.
A abordagem mais geral para detectar atividades maliciosas é a detecção de anomalias [66 , 66 ,
68 ] Uma anomalia no sistema ou comportamento da rede é uma atividade que se desvia do normal (ou
visto) comportamento. A detecção de anomalias pode identificar ataques antigos e novos. É importante
observar que um comportamento anômalo não é o mesmo que um comportamento malicioso . Anômalo
comportamentos descrevem comportamentos que se desviam da norma e, claro, é possível
ter atividades benignas anormais ocorrendo em um sistema ou rede.
Por outro lado, uma abordagem mais eficiente e indiscutivelmente mais precisa para detectar um antigo
ataque é encontrar os padrões ou assinaturas das atividades de ataque conhecidas [6 ] Isso é frequente
chamada de abordagem de detecção de uso indevido. Exemplos de assinaturas incluem: gravação não autorizada
para arquivos de sistema (por exemplo, Registro do Windows), conexão com servidores botnet C&C conhecidos , etc.
Duas abordagens diferentes, mas complementares para implantar sistemas de detecção de ataques são:)
monitoramento de atividades do sistema com base em host e) monitoramento de tráfego com base em rede. Hospedeiro-
sistemas de monitoramento baseados monitoram atividades que ocorrem em um host, para determinar se o host
está comprometido. Esses sistemas normalmente coletam e monitoram atividades relacionadas ao arquivo
sistema, processos e chamadas de sistema [6 , 666] Análise de sistemas de monitoramento baseados em rede
atividades que abrangem toda a rede, por exemplo, características temporais dos padrões de acesso da rede
tráfego, os nomes de domínio que os hosts da rede alcançam, as características do
cargas úteis de pacotes de rede que cruzam o perímetro da rede, etc. [6 , 66]
Para a detecção de DDoS , a ideia principal é analisar as propriedades estatísticas do tráfego, por exemplo, o
número de solicitações em um curto intervalo de tempo enviadas a um servidor de rede. Uma vez que um hospedeiro é
identi cado para estar enviando esse tráfego, é considerado como participante de um ataque DDoS e
seu tráfego está bloqueado. Os invasores desenvolveram suas técnicas para ataques DDoS , em particular,
ao empregar vários hosts comprometidos, ou bots, para enviar tráfego de maneira sincronizada,
por exemplo, usando kits de malware DDoS-as-a-service [68 ] Ou seja, cada bot não precisa mais
enviar uma grande quantidade de tráfego c. Da mesma forma, a detecção de DDoS envolve hosts correlacionados
que enviam tráfego muito semelhante para a vítima ao mesmo tempo.
Para a detecção de ransomware , as principais abordagens incluem o monitoramento das atividades do host envolvidas
na criptografia. Se houver um processo fazendo um grande número de modificações signi cativas em um
grande número de arquivos, isso é indicativo de um ataque de ransomware [686] A modificação ' significativa '
cações refletem o fato de que criptografar um arquivo resultará na mudança drástica de seu conteúdo
de seu conteúdo original.
As abordagens de monitoramento baseadas em host e em rede podem ser combinadas de forma benéfica. Para
exemplo, se virmos o conteúdo de vários arquivos confidenciais em nosso sistema (por exemplo, registros financeiros,
arquivos relacionados à senha, etc.) sendo transmitidos no tráfego da rede, é indicativo de que os dados são
sendo extraído (sem o conhecimento e consentimento do usuário) para o servidor de um invasor. Nós
pode então aplicar ferramentas de análise baseadas em host para determinar a proveniência do ataque e
efeitos no hospedeiro da vítima [68 ]
Uma vez que muitas atividades maliciosas são realizadas por botnets, é importante incluir botnet
métodos de detecção. Por definição, os bots do mesmo botnet são controlados pelo mesmo invasor
e realizar atividades maliciosas coordenadas [668 , 688] Portanto, uma abordagem geral para
A detecção de botnet é para procurar atividades sincronizadas tanto em C&C como tráfego e mal-intencionado
tráfego (por exemplo, verificação, spam , DDoS, etc.) nos hosts de uma rede.
www.cybok.org
Desde o final dos anos, o aprendizado de máquina (ML) foi aplicado para automatizar o processo de
construção de modelos para detecção de malware e ataques. O benefício do aprendizado de máquina é seu
capacidade de generalizar sobre uma população de amostras, dadas várias características (descrições) de
essas amostras. Por exemplo, depois de fornecer amostras de algoritmo de ML de diferentes malwares
famílias para 'treinamento', o modelo resultante é capaz de classificar malware novo e invisível como pertencente
para uma dessas famílias [66 ]
Ambos os recursos estáticos e dinâmicos de malware e ataques podem ser empregados pelo ML-Sediada
modelos de detecção. Exemplos de recursos estáticos incluem: instruções, gráficos de controle,
gráficos de chamadas, etc. Exemplos de recursos dinâmicos incluem: sequências de chamadas do sistema e outros
estatísticas (por exemplo, frequência e existência de chamadas de sistema), parâmetros de chamada de sistema, fluxo de dados
gráficos [68 ], recursos de carga útil da rede, etc.
Um exemplo de histórias de sucesso na aplicação de aprendizado de máquina para detectar malware e ataques é
detecção de botnet [6 ] Técnicas de ML foram desenvolvidas para classificar nomes de domínio com eficiência
como os produzidos pelo Algoritmo de Geração de Domínio (DGA), Domínios C&C ou legítimos do-
rede elétrica usando recursos extraídos do tráfego DNS c. Técnicas de ML também foram desenvolvidas
para identificar servidores C&C , bem como bots em uma rede corporativa com base em recursos derivados
de dados de tráfego de rede [668]
Um grande obstáculo na aplicação do aprendizado de máquina (clássico) à segurança é que devemos selecionar
ou até mesmo recursos de engenharia que são úteis na classificação de atividades benignas e maliciosas. Fea-
engenharia de segurança é muito intensiva em conhecimento e trabalho e é o gargalo na aplicação
ML para qualquer domínio de problema. O aprendizado profundo tem se mostrado promissor no aprendizado de um grande
quantidade de dados sem muita engenharia de recursos e já tem grande sucesso em aplicativos
https://translate.googleusercontent.com/translate_f 194/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ções como classificação de imagem [6 ] No entanto, ao contrário de muitos modelos clássicos de ML (como
árvores de decisão e regras indutivas) que são legíveis por humanos e, portanto, revisáveis por
analistas de ridade antes de tomar decisões de implantação, modelos de caixa preta de resultados de aprendizagem profunda
que não são legíveis e não facilmente explicáveis. Muitas vezes não é possível entender o que
recursos estão sendo usados (e como) para chegar a uma decisão de classificação. Ou seja, com profundidade
aprendizagem, os analistas de segurança não podem mais verificar se a saída faz sentido a partir do
ponto de vista do domínio ou conhecimento especializado.
Os invasores estão bem cientes dos métodos de detecção que foram desenvolvidos e estão
empregando técnicas de evasão para tornar seus ataques difíceis de detectar. Por exemplo, eles podem
limitar o volume e a intensidade das atividades de ataque para ficar abaixo do limite de detecção, e
eles podem imitar comportamentos legítimos do usuário, como o envio de dados roubados (uma pequena quantidade em um
tempo) para um 'site drop' apenas quando o usuário também estiver navegando na Internet. Cada uso indevido ou anomalia
modelo de detecção é potencialmente evadível.
Ele também deve vir como nenhuma surpresa que há pesquisadores mais cedo tinha começado usando ML do que
os atacantes começaram a encontrar maneiras de derrotar o MLmodelos de detecção baseados em
Um dos ataques mais famosos é o ataque de mimetismo a modelos de detecção baseados em sistema
dados da chamada [6 ] A ideia é simples: o objetivo é transformar recursos maliciosos para parecer exatamente
o mesmo que os recursos benignos, de modo que os modelos de detecção classificarão erroneamente o
ataque como benigno. O ataque de mimetismo insere chamadas de sistema que são irrelevantes para o
tendeu ações maliciosas para que as sequências resultantes, enquanto continha chamadas de sistema para
atividades maliciosas ainda são legítimas porque tais sequências existem em programas benignos. UMA
www.cybok.org
ataque relacionado é combinação polimórfica [66 ] que pode ser usado para evitar modelos de ML com base em
estatísticas de carga útil da rede (por exemplo, a distribuição de frequência de n-gramas em dados de carga útil para um
serviço de rede). Uma carga de ataque pode ser codificada e preenchida com n-gramas adicionais para
que corresponda às estatísticas de cargas úteis benignas. Injeção de ruído direcionado [6 ] é um ataque
projetado para enganar um algoritmo de aprendizado de máquina, enquanto treina um modelo de detecção, para se concentrar em
recursos que não pertencem a atividades maliciosas. Este ataque explora um ponto fraco fundamental
ness of machine learning: lixo entra, lixo sai. Ou seja, se você fornecer um aprendizado de máquina
dados ruins do algoritmo, então ele aprenderá a classificar os dados 'ruins'. Por exemplo, um invasor pode
inserir vários recursos no-op nos dados de carga útil do ataque, o que produzirá estatisticamente um
sinal forte para o algoritmo de ML para selecioná-los como 'os recursos importantes e distintivos'.
Enquanto esses recursos existirem e estiverem sob o controle do invasor, qualquer algoritmo de ML
pode ser enganado para aprender um modelo de detecção incorreto. A injeção de ruído também é conhecida como 'dados
Envenenamento 'na comunidade de aprendizado de máquina.
Podemos tornar os ataques ao ML mais difíceis de serem bem-sucedidos. Por exemplo, uma abordagem é espremer
recursos [6 ] para que o conjunto de recursos não seja tão óbvio para um invasor, e o invasor tenha
um alvo menor para acertar ao criar amostras adversárias. Outra abordagem é treinar sep-
arating classes, que distanciam o limite de decisão entre as classes [6 ] Isto faz
é mais difícil para um invasor simplesmente fazer pequenas alterações nos recursos para 'pular'
limites de decisão e fazer com que o modelo classifique incorretamente a amostra. Outro aplicativo interessante
proach é fazer com que um modelo de ML esqueça as amostras que aprendeu ao longo do tempo, para que um invasor
tem que envenenar continuamente cada conjunto de dados [6 ]
Uma abordagem mais geral é empregar uma combinação de diferentes ML- com base em modo de detecção
els, de modo que derrotar todos eles simultaneamente é muito desafiador. Por exemplo, podemos
modelar vários conjuntos de recursos simultaneamente por meio de aprendizagem de conjunto, ou seja, usando vários
classificadores treinados em diferentes conjuntos de recursos para classificar uma amostra, em vez de confiar em um único
classificador lar e conjunto de recursos. Isso forçaria um invasor a criar ataques que podem
evadir cada classificador e conjunto de recursos [6 ]
Como discutido anteriormente, algoritmos de aprendizagem profunda produzem modelos que não podem ser facilmente examinados
ined. Mas se não entendemos como um modelo de detecção realmente funciona, não podemos prever
como os invasores podem tentar derrotá-lo e como podemos melhorar sua robustez. Aquilo é um
modelo que aparentemente funciona muito bem com os dados vistos até agora pode, na verdade, ser muito facilmente
derrotado no futuro - simplesmente não temos como saber. Por exemplo, no reconhecimento de imagem
descobriu-se que alguns modelos de aprendizagem profunda focavam em sinais de imagem de alta frequência (que
não são visíveis ao olho humano), em vez das informações estruturais e contextuais de um
imagem (que é mais relevante para identificar um objeto) e, como resultado, uma pequena mudança no
os dados de alta frequência são suficientes para causar uma classificação incorreta por esses modelos, enquanto para
o olho humano, a imagem não mudou em nada [6 ]
https://translate.googleusercontent.com/translate_f 195/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Existem abordagens promissoras para melhorar a 'explicabilidade' dos modelos de aprendizagem profunda. Para
exemplo, um modelo de atenção [6 6] pode destacar locais dentro de uma imagem para mostrar qual por-
ções em que está se concentrando ao classificar a imagem. Outro exemplo é LEMNA [6 ], que
gera um pequeno conjunto de recursos interpretáveis a partir de uma amostra de entrada para explicar como o
ple é classificado, essencialmente aproximando uma área local da complexa decisão de aprendizagem profunda
limite usando um modelo interpretável mais simples.
www.cybok.org
discutimos acima são apenas exemplos de ataques de evasão e envenenamento em modelos de ML para
análise de segurança. Esses ataques motivaram o desenvolvimento de um novo aprendizado de máquina
paradigmas que são mais robustos contra manipulações adversárias, e discutimos
aqui exemplos de abordagens promissoras.
Em geral, a detecção de ataques é um problema muito desafiador. Um método de detecção de uso indevido que
é baseado em padrões de ataques conhecidos geralmente não é eficaz contra novos ataques ou mesmo
novas variantes de ataques antigos. Um método de detecção de anomalias que é baseado em um programa normal
pode produzir muitos alarmes falsos porque muitas vezes é impossível incluir todos os legítimos
comportamentos em um per l normal. Embora o aprendizado de máquina possa ser usado para produzir automaticamente
modelos de detecção, potencial 'desvio de conceito' pode tornar os modelos de detecção menos eficazes ao longo
Tempo [6 ] Ou seja, a maioria dos algoritmos de aprendizado de máquina pressupõe que os dados de treinamento e o
os dados de teste têm as mesmas propriedades estatísticas, ao passo que, na realidade, os comportamentos do usuário e
as configurações de trabalho e sistema podem mudar depois que um modelo de detecção é implantado.
6 RESPOSTA A MALWARE
[, , , , , ]
Se tivermos um host infectado à nossa frente, podemos remover o malware e recuperar os dados
e serviços de backups seguros. No ponto de acesso da rede local, podemos atualizar a correspondência
seguindo as regras do Firewall e do Sistema de Detecção de Intrusão de Rede, para prevenir e detectar o futuro
ataques. É inviável executar essas estratégias de remediação se as máquinas infectadas puderem
não podem ser acessados diretamente (por exemplo, eles estão em residências particulares), e se a escala de infecção é
ampla. Nesses casos, podemos tentar derrubar o comando e controle do malware (C&C)
infraestrutura em vez disso [, ], normalmente no Provedor de Serviços de Internet ( ISP) ou o nível superior
domínio (TLD) nível. As remoções visam interromper o canal de comunicação do malware, mesmo que
os hospedeiros permanecem infectados. Por último, mas não menos importante, podemos realizar atribuição de ataque usando vários
fontes de dados para identificar os atores por trás do ataque.
https://translate.googleusercontent.com/translate_f 196/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 246
O Conhecimento em Segurança Cibernética
www.cybok.org
O malware frequentemente utiliza a agilidade fornecida pela rede DNS fast-ux e pelo Domain-name Gener-
Algoritmos de ação (DGAs) para evitar a queda. Uma rede DNS rápida aponta o C&C
nomes de domínio para um grande grupo de máquinas comprometidas, e as alterações de resolução
rapidamente [ ] DGAs fazem uso de um algoritmo para gerar automaticamente os candidatos C&C do-
principal, geralmente com base em alguma semente aleatória. Entre os domínios gerados por algoritmo, o
o botmaster pode escolher alguns para registrar (por exemplo, diariamente) e fazê-los resolver para o C&C
servidores. O que torna a situação ainda pior são os chamados Bullet-Proof Hosting (BPH) Serviços,
que são resilientes contra remoções porque ignoram reclamações de abuso e remoções
solicitações de [ ]
Podemos detectar o uso ágil de mecanismos C&C . Como o botmaster tem pouco controle do
Diversidade de endereços IP e tempo de inatividade para máquinas comprometidas em uma rede UX rápida, podemos
use esses recursos para detectar ux rápido [ 6] Também podemos identificar domínios DGA , minerando NX-
Tráfego de domínios usando recursos de hosts infectados e recursos de características de nomes de domínio [6 ],
ou fazer engenharia reversa do malware para recuperar o algoritmo. Para combater a hospedagem à prova de bala,
precisamos colocar pressões jurídicas, políticas e econômicas sobre os provedores de hospedagem. Por exemplo, o
A Operação Ghost Click do FBI emitiu uma ordem judicial para a derrubada do DNSChanger [ , 8]
O malware também se tornou cada vez mais resiliente ao incluir planos de contingência. Um centralizado
botnet pode ter PP como um mecanismo de fallback no caso de falha do DNS C&C . Da mesma forma, um PP
botnet pode usar DNS C&C como um plano de contingência. Uma remoção é eficaz apenas se todos os C&C
canais são removidos do malware. Caso contrário, o malware pode inicializar o C&C
comunicação novamente usando os canais restantes. Se conduzirmos apressadamente a remoção de um botnet
sem enumerar e verificar completamente todos os canais C&C possíveis , podemos falhar em
realmente interromper as operações de malware e arriscar danos colaterais a máquinas benignas. Para
exemplo, a queda dos Kelihos [ ] não levou em consideração o canal PP de backup , e o
A remoção do 3322.org desativou o serviço DNS dinâmico para muitos usuários benignos.
Precisamos ter uma visão completa dos domínios C&C e outros canais que provavelmente serão
usado por um botnet, usando várias fontes de inteligência, incluindo reputação de domínio, mal-
associação de consulta de ware e interrogação de malware [ ] Começamos com um conjunto de sementes de C&C
domínios usados por um botnet. Em seguida, usamos dados DNS passivos para recuperar IP histórico relacionado
endereços associados ao conjunto de sementes. Nós removemos o afundamento, estacionamento e hospedagem na nuvem
endereços IP do provedor deles para mitigar os danos colaterais das remoções. O
Os IPs resultantes também podem nos fornecer domínios históricos relacionados que foram resolvidos para eles. Após
seguindo essas etapas, temos um conjunto estendido de domínios que provavelmente serão usados pelo
botnet. Este conjunto captura comportamentos C&C ágeis e evasivos , como redes fast-ux. Dentro de
o conjunto estendido, combinamos) domínios de baixa reputação,) domínios relacionados a malware e
) outros domínios obtidos interrogando o malware relacionado. Simulador de interrogação de malware
ulates situações em que o mecanismo de comunicação C&C padrão falha através do bloqueio
Resolução DNS e conexão TCP [ ] Ao fazer isso, podemos forçar o malware a revelar
os planos C&C de backup , por exemplo, DGA ou PP. Depois de enumerar a infraestrutura C&C , podemos
desative a lista completa de domínios para derrubar o botnet .
6.. Atribuição
Idealmente, a polícia deseja identificar o verdadeiro criminoso por trás dos ataques. Identificando
o atacante virtual é um primeiro passo importante em direção a esse objetivo. Um invasor pode ter consistido
tente estilos de codificação, reutilize os mesmos recursos ou infraestruturas ou use práticas de C&C semelhantes .
A partir dos dados de malware, podemos comparar suas "características" com as do histórico conhecido
adversários, por exemplo, estilos de codificação, configurações de servidor, etc. [ ] No nível do código-fonte, nós
pode usar recursos que refletem estilos de programação e qualidade de código. Por exemplo, linguística
recursos, estilo de formatação, bugs e vulnerabilidades, recursos estruturados, como execução
https://translate.googleusercontent.com/translate_f 197/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
caminho, árvore de sintaxe abstrata (AST), Gráfico de Fluxo de Controle ( CFG), e Gráfico de Dependência do Programa
(PDG) pode ser usado. Outros recursos extraídos do arquivo binário também podem indicar autoria,
por exemplo, a sequência de instruções e o gráfico de fluxo de registro.
Muitos autores de malware reutilizam kits diferentes para a conveniência oferecida pelo modelo de negócios
da economia subterrânea. Kits comuns para venda permitem que os autores de malware facilmente
para analisar seu próprio malware. Eles também podem escapar da atribuição plantando intencionalmente 'false
ags 'em malware.
As informações de registro de domínio, WHOIS, são um forte sinal para atribuição de ataque. O mesmo
O invasor geralmente usa um nome, endereço e informações da empresa falsos seguindo um padrão. Como-
nunca, a proteção de privacidade WHOIS tornou-se onipresente e é até oferecida gratuitamente para o
primeiro ano quando um usuário adquire um nome de domínio. Isso remove as informações de registro
que pode ser usado para atribuição de ataque.
Precisamos combinar vários fluxos de dados diferentes para a análise. Por exemplo, mal-
interrogatório de ware ajuda a recuperar mais domínios C&C usados pelo mecanismo de fallback, que
oferece mais oportunidade para atribuição [ , ]
CONCLUSÃO
Os invasores usam malware para realizar atividades maliciosas em seu nome. Malware pode residir
em qualquer camada da pilha do sistema, e pode ser um programa por si só ou embutido em outro aplicativo
cátion ou documento. O malware moderno vem com uma infraestrutura de suporte para coordenada
ataques e atualizações automatizadas, e podem operar de forma lenta e lenta e cobrir seus rastros para evitar
detecção e atribuição. Embora o malware possa causar infecção generalizada e danos no
Internet, ele também pode ser personalizado para ataques direcionados a uma organização específica. Malware
a análise é uma etapa importante para entender os comportamentos maliciosos e atualizar adequadamente
nossos sistemas de prevenção e detecção de ataques. O malware emprega uma ampla gama de tecnologias de evasão
niques, que incluem a detecção do ambiente de análise, ofuscando código malicioso, usando
condições de gatilho para executar e aplicar polimorfismo para atacar cargas úteis, etc. Acordo-
Por isso, precisamos tornar os ambientes de análise transparentes para o malware, continuar a desenvolver
algoritmos de análise de programa especializados e técnicas de detecção baseadas em aprendizado de máquina,
www.cybok.org
e aplicar uma combinação dessas abordagens. A resposta a ataques de malware vai além
detecção e mitigação, e pode incluir remoção e atribuição, mas o desafio é
enumerando toda a infraestrutura de malware e correlacionando várias evidências
para evitar falsos ags plantados pelos atacantes.
Seções Cita
https://translate.googleusercontent.com/translate_f 198/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
6.. . Evasão e contramedidas [6 ]: c - 6, c 8, [ 66 , 66]
6.. Detecção de ataques de malware
6.. . Monitoramento baseado em host e em rede [6 ]: c, c, [ 66 , 66 , 666 , 66 , 668]
6.. . Análise de segurança baseada em aprendizado de máquina [668 , 66]
6.. . Evasão, contramedidas e limitações [6 , 6 , 6]
6. Resposta a malware
6.. Interrupção das operações de malware [, ]
6.. . Evasão e contramedidas [ ]
6.. Atribuição [ , ]
6.. . Evasão e contramedidas [ ]
Página 249
Capítulo
Comportamento Adversarial
Gianluca Stringhini Boston University
https://translate.googleusercontent.com/translate_f 199/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
Os avanços tecnológicos testemunhados por nossa sociedade nas últimas décadas trouxeram
melhorias em nossa qualidade de vida, mas também criaram uma série de oportunidades para
atacantes para causar danos. Antes da revolução da Internet, a maioria dos crimes e atividades maliciosas
geralmente exigia que uma vítima e um perpetrador entrassem em contato físico, e isso é limitado
o alcance que as partes maliciosas tinham. A tecnologia eliminou a necessidade de contato físico
para realizar muitos tipos de crime, e agora os invasores podem alcançar as vítimas em qualquer lugar do mundo,
desde que estejam conectados à Internet. Isso revolucionou as características de
crime e guerra, permitindo operações que não teriam sido possíveis antes.
Neste documento, fornecemos uma visão geral das operações maliciosas que estão acontecendo em
a Internet hoje. Primeiro, fornecemos uma taxonomia de atividades maliciosas com base no invasor
motivações e capacidades e, em seguida, passar para os elementos tecnológicos e humanos
que os adversários precisam para executar uma operação bem-sucedida. Em seguida, discutimos uma série de quadros
trabalhos que foram propostos para modelar operações maliciosas. Desde comportamentos adversários
não são um tópico puramente técnico, nós nos baseamos em pesquisas em vários campos (ciência da computação
, criminologia, estudos de guerra). Enquanto fazemos isso, discutimos como essas estruturas podem ser
usado por pesquisadores e profissionais para desenvolver mitigações eficazes contra
operações de linha.
Nesta seção, apresentamos uma caracterização dos adversários que executam ações maliciosas.
Esta caracterização é baseada em sua motivação (por exemplo, nanceira, política etc.). Embora al-
caracterizações ternativas e taxonomias existem (por exemplo, do campo da psicologia [ ]),
sentimos que aquele apresentado aqui funciona melhor para ilustrar as capacidades de invasores conhecidos
e as ferramentas necessárias para configurar uma operação mal-intencionada bem-sucedida, como um nan
empresa de malware comercial. Essa caracterização também segue a evolução que o cibercrime tem
seguido nas últimas décadas, de uma operação ad-hoc realizada por um único infrator a um
ecossistema comoditizado, onde vários atores especializados operam juntos em uma organização
moda [ , ] A caracterização apresentada nesta seção é orientada por estudos de caso
e exemplos proeminentes cobertos na literatura de pesquisa e, como tal, não se destina a ser
completo. Por exemplo, não nos concentramos em criminosos acidentais (por exemplo, insider inadvertido
ameaças), ou em operações criminais para as quais falta literatura acadêmica rigorosa (por exemplo, at-
ataques a instituições nanceiras ou ataques à cadeia de abastecimento). No entanto, acreditamos que o conjunto de
crimes e atividades maliciosas apresentadas é abrangente o suficiente para atrair um representante
imagem positiva dos comportamentos adversários que estão ocorrendo na natureza no momento da escrita.
Começamos definindo dois tipos de crimes cibernéticos como foram definidos na literatura,
crimes cibernéticos e ciberdependentes, e continuamos apresentando diferentes tipos de
atividades maliciosas que foram cobertas por pesquisadores.
https://translate.googleusercontent.com/translate_f 200/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
De acordo com Clough [ ], os criminosos têm cinco incentivos principais para mover suas operações online:
. Usando a Internet, é mais fácil encontrar e contatar as vítimas. Listas de e-mail são vendidas em under-
mercados terrestres [ ], enquanto as redes sociais online têm funcionalidades de pesquisa incorporadas
neles, permitindo que os criminosos identifiquem facilmente as vítimas em potencial [ , ]
. Usando a Internet, as operações criminosas podem ser executadas de forma mais barata. Enviar e-mails é
grátis, enquanto os golpistas anteriormente tinham que pagar a postagem para chegar às suas vítimas. Isso também
permite que os criminosos aumentem a escala de suas operações para tamanhos que antes eram
impensável.
. Em comparação com suas contrapartes físicas, a Internet permite que crimes sejam cometidos
mais rápido. Por exemplo, e-mails podem chegar às vítimas em questão de segundos, sem ter que
aguardar que as cartas físicas sejam entregues.
. Usando a Internet, é mais fácil operar além das fronteiras internacionais, alcançando vic-
tims localizados em outros países. Nessa configuração, muitas vezes a única limitação é o idioma, com
criminosos visando apenas vítimas que falam um idioma com o qual estão familiarizados (por exemplo,
pessoas em países de língua inglesa) [ 6]
. Operando pela Internet, é mais difícil para os criminosos serem pegos. Isso é
principalmente devido à natureza transnacional do crime cibernético e ao fato de que o problema de
harmonizar as leis apropriadas de diferentes países está longe de ser resolvido [ ]
Além disso, a pesquisa mostra que o crime online é muitas vezes subnotificado, tanto porque
as vítimas não sabem a quem denunciar (visto que o agressor pode estar localizado em
outro país), bem como o facto de acreditarem que dificilmente obterão o seu
dinheiro de volta [ 8]
Os crimes cibernéticos dependentes , por outro lado, são crimes que só podem ser cometidos com o
uso de computadores ou dispositivos de tecnologia [ ] Embora o objetivo final deste tipo de crime
muitas vezes tem paralelos no mundo físico (por exemplo, extorsão, roubo de identidade, fraude financeira), o
ternet e tecnologia geralmente permitem que os criminosos dêem uma nova forma a esses crimes, tornando
eles empreendimentos organizados em grande escala, capazes de alcançar centenas de milhares, senão milhões,
das vítimas.
www.cybok.org
Ofensores interpessoais
A primeira categoria que vamos analisar é a dos crimes interpessoais . Esses crimes
incluem violência e assédio direcionados, dirigidos a conexões próximas (por exemplo, família
membros) ou estranhos. Embora esses crimes sempre tenham existido, a Internet tornou o
alcance de assediadores e criminosos por muito mais tempo, eliminando efetivamente a necessidade de
contato para a infração a ser cometida. Como tal, esses crimes se enquadram no ciber-habilitado
https://translate.googleusercontent.com/translate_f 201/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
categoria. No restante desta seção, fornecemos uma visão geral desses comportamentos adversários.
Cyberbullying. Willard [ ] define cyberbullying como 'enviar ou postar material prejudicial ou
envolver-se em outras formas de agressão social usando a Internet ou outras tecnologias digitais ”.
Embora nem sempre seja ilegal , o cyberbullying muitas vezes ocupa uma área cinzenta entre o que é considerado
ered um ato prejudicial e uma ofensa criminal [ ] Esta prática se tornou um problema sério
para os jovens, que muitas vezes são visados por seus colegas não apenas na vida real, mas também online
plataformas [ ] Embora a prática de bullying não seja novidade, a Internet mudou o
dinâmica dessas práticas de assédio de forma significativa. O que costumava ser uma prática prejudicial
limitado ao horário escolar agora pode ser perpetrado a qualquer momento, expondo efetivamente as vítimas a
assédio contínuo [ ]
A prática de doxing tem se tornado cada vez mais popular nos últimos anos como forma de po-
larizar a discussão online e silenciar as pessoas. Um exemplo proeminente é o #GamerGate
polêmica, onde mulheres ativistas eram frequentemente atacadas e tinham suas informações pessoais
postado online [ ] Doxing tem sido o principal veículo para ataques de ódio coordenados dirigidos por
comunidades online polarizadas, como a placa Politicamente Incorreta do chan (/ pol /) [ ] Como
parte desses ataques, usuários anônimos publicam informações sobre seus alvos online (por exemplo,
páginas de mídia social, números de telefone, endereços físicos) e, em seguida, convidar outras pessoas para transportar
ataques mal coordenados (chamados de raids ) contra essas pessoas. Esses ataques geralmente
consistem em discurso de ódio e outra linguagem abusiva.
Embora proeminente no espaço de assédio online, a prática de doxing também é usada por outros
ofensores. Por exemplo, é uma das técnicas usadas por grupos hacktivistas como o Anony-
mous para colocar seus alvos em alerta. Vamos discutir as outras técnicas usadas por hacktivistas,
Embora não haja uma definição de cyberbullying na lei do Reino Unido, algumas formas dele podem ser processadas de acordo com a Pro-
proteção da Lei de Assédio.
www.cybok.org
https://translate.googleusercontent.com/translate_f 202/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
redes ou plataformas de jogos online. O agressor irá então preparar suas vítimas para qualquer um
praticar abuso físico ou online [ ] Em comparação com o correspondente de ofensa ine, on-
a predação sexual online tem duas diferenças principais: primeiro, a vítima e o perpetrador quase
nunca se conhecem na vida real. Em segundo lugar, os dados demográficos da vítima são mais inclinados para
mais para adolescentes do que para crianças, porque a idade em que as crianças começam a se conectar é
um pouco mais alto [ ] Os infratores usam uma série de táticas, incluindo fingir ser um jovem
ple e crianças, a fim de cuidar de suas vítimas [ ] e a pesquisa mostrou o potencial
vulnerabilidade de crianças de todas as idades a tal fraude de identidade online [ ]
Outros criminosos não interagem diretamente com as crianças, mas baixam e compartilham pornografia infantil
raphy na Internet. Nesses casos, os agressores ativos muitas vezes conhecem suas vítimas e divulgam
indicar material de abuso infantil a esses “usuários” de tal material. Isso foi facilitado por colegas
plataformas de compartilhamento ponto a ponto ] bem
[ 6, como tecnologias de anonimato, como Tor [ 8]
Os desafios de identificar os criadores de novos materiais de abuso infantil (e as táticas enganosas
tiques usados por criminosos, por exemplo, vocabulário especializado para nomes de arquivos para impedir investigações) em
tais redes ponto a ponto também foram estudadas [ ]
http://www.nationalcrimeagency.gov.uk/crime-threats/kidnap-and-extortion/sextortion
www.cybok.org
Fraude de taxa antecipada. Nesse tipo de golpe, é prometida à vítima uma recompensa (financeira ou outra)
sensato), mas para obtê-lo primeiro é necessário pagar uma pequena taxa ao fraudador. Depois do pagamento
ocorre, a vítima muitas vezes não ouve o golpista novamente, enquanto às vezes o re-
relacionamento dura por longos períodos de tempo e a vítima é repetidamente defraudada em grandes somas
de dinheiro [ ]
Outro exemplo de fraude de taxa avançada é a fraude ao consumidor perpetrada na web de classificados
sites como o Craigslist [ ] Como parte dessa fraude, as vítimas respondem a um anúncio classificado
tisement para um item desejável (por exemplo, um carro usado ou um imóvel alugado) que tem muito melhor
condições (como um preço mais baixo) do que postagens semelhantes. O fraudador responde que eles vão
precisa de um pequeno pagamento adiantado para entregar as mercadorias. Após recebê-lo, a vítima não ouvirá
do fraudador novamente.
Um exemplo final de fraude de taxa avançada é a fraude de romance online. Ocorrendo online
sites de namoro, esse tipo de fraude geralmente consiste em criminosos se passando por pessoas atraentes
procurando iniciar um relacionamento com a vítima. Ao contrário do golpe, esses relacionamentos online
muitas vezes duram meses antes de o fraudador exigir dinheiro, por exemplo, para ajudar sua família
ou para abrir um negócio [ ] Nesse momento, a vítima, que provavelmente está emocionalmente envolvida com
a persona representada pelo criminoso provavelmente obedecerá. Pesquisa anterior relatada
que as vítimas deste crime podem perder entre £ e £, [ ] Ao contrário de outros tipos de
fraude de taxa antecipada, no entanto, o dano psicológico de perder a relação funcional pode
ser muito maior do que o financeiro.
Um elemento comum de todo tipo de fraude de taxa avançada é a necessidade de os criminosos criarem um
narrativa atraente que atrairá as vítimas para que paguem a taxa fraudulenta. Para este fim, criminosos
frequentemente visam dados demográficos específicos e personificam personas específicas. Por exemplo, anterior
nossa pesquisa mostrou que os fraudadores de romance muitas vezes fingem ser militares
estacionado no exterior [ ] Ao fazer isso, os fraudadores podem construir uma narrativa confiável sobre o porquê
eles não podem encontrar a vítima pessoalmente e podem construir uma conexão emocional com o
https://translate.googleusercontent.com/translate_f 203/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
vítima, o que aumentará as chances de cair no golpe. Muitas vezes, os fraudadores fingem
ser viúvos homens de meia-idade que visam mulheres viúvas no mesmo grupo demográfico, em
uma tentativa de estabelecer uma conexão emocional com sua vítima [ ] Em outros casos, fraude
sters empregam truques psicológicos para conquistar suas vítimas, como aplicar a pressão do tempo
ou observando que eles selecionaram especificamente a vítima por causa de suas características morais elevadas
ters [ ]
Mais cinicamente, Herley argumenta que os fraudadores são incentivados a construir a narrativa mais absurda
possíveis, para ter certeza de que apenas aqueles que são crédulos o suficiente para acreditar neles responderão,
e que essas pessoas serão as mais propensas a cair no golpe [ ] Seu argumento é que
responder à primeira mensagem padrão é caro para o fraudador, ao mesmo tempo que envia o
a primeira cópia para quantas vítimas desejarem é gratuita. Por esse motivo, é de seu interesse governar
para fora aqueles que provavelmente não cairão no golpe o mais rápido possível.
Tráfico de drogas. Outra categoria de crimes para os quais a Internet oferece oportunidades
www.cybok.org
Embora o primeiro e-mail de spam tenha sido registrado em 8 [ 6 ], o spam de e-mail aumentou para promi-
nência nos s, quando os criminosos iniciam pequenas operações, não diferentes do avanço
taxas de fraude descritas na seção anterior [ 6 ] O objetivo dessas operações era
venda produtos online, o que pode abranger desde suplementos dietéticos até recordações nazistas [ 6 ] No
nesta etapa, contando com sua própria experiência e com a ajuda de um pequeno número de associados,
os criminosos realizariam todas as atividades necessárias para configurar uma operação de spam bem-sucedida: (i)
coleta de endereços de e-mail para enviar mensagens maliciosas, (ii) autoria do con-
tenda, (iii) envio de e-mails de spam em massa, (iv) processamento de pedidos de pessoas que queriam
para comprar os itens anunciados, (v) reagir a invasões de autoridades policiais (por exemplo, a apreensão
de um servidor de e-mail). Embora ainda fossem rudimentares em comparação com as operações de spam
que veio durante a próxima década, esses empreendimentos criminosos levaram ao desenvolvimento de
legislação para regular e-mails em massa não solicitados, como a Diretiva de Privacidade e Eletrônica
Comunicações na UE, os Regulamentos de Privacidade e Comunicações Eletrônicas no
https://eur concepts/legal-content/EN/ALL/?uri=celex% AL 8
https://translate.googleusercontent.com/translate_f 204/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Reino Unido e a Lei CAN-SPAM nos EUA. Essas peças de legislação ajudaram a processar alguns
daqueles remetentes de spam do início do dia. In, America Online (AOL) ganhou um processo judicial contra Davis
Wolfgang Hawke, que vendia dispositivos nazistas por meio de e-mails de spam. Hawke foi condenado
para pagar um 0,8M USD ne.
A corrida armamentista ligada à mitigação de spam vem acontecendo desde os anos s, com um
número de mitigações sendo propostas [ 6 ] Atualmente, as técnicas anti-spam garantem que o
a grande maioria dos e-mails maliciosos nunca chegará às caixas de correio de suas vítimas. Para resolver isso é-
processar, os criminosos têm que enviar dezenas de bilhões de e-mails [ ] para manter suas operações lucrativas.
Outro problema é que, entre as vítimas alcançadas por esses e-mails de spam que conseguem passar,
apenas uma pequena fração comprará os bens anunciados e terá lucro para os criminosos.
Os pesquisadores realizaram um estudo de caso para o botnet Storm [] , mostrando que de 6 mil
Lion spam e-mails enviados apenas pelo botnet. % atingem suas metas. Destes, apenas. % de
os usuários clicam nos links contidos nos e-mails, enquanto um número ainda menor acaba comprando
perseguindo itens - apenas 8 usuários no total dos 6 milhões alcançados, ou. % do total.
Apesar dessa queda acentuada, McCoy et al. mostrou que programas populares afiliados a spam eram
capaz de gerar receita de até 8 milhões de dólares em um período de três anos [ 6 ] Eles também mostraram
a chave para esse sucesso são os clientes recorrentes. Na verdade, os e-mails de spam precisam chegar a um
cliente confirmado apenas uma vez, e essa pessoa pode mais tarde continuar comprando no site sem
tendo que se preocupar com filtros de spam.
Phishing. Um tipo específico de spam é o phishing, em que os criminosos enviam e-mails que fingem
ser de serviços genuínos (por exemplo, banco online, sites de redes sociais) [ ] Esses e-mails
normalmente induzem os usuários a distribuir seus nomes de usuário e senhas para esses serviços,
apresentando-lhes um e-mail confiável pedindo que visitem o site (por exemplo, para recuperar
seu último extrato de conta). Ao clicar no link do e-mail, os usuários são direcionados a um
site exibindo páginas de login falsas, mas realistas. Depois de inserir suas credenciais, o
os criminosos obtêm acesso a eles e poderão mais tarde fazer login nesses serviços em nome
dos usuários, potencialmente ganhando dinheiro diretamente ou vendendo as credenciais no mercado negro.
Para o criminoso, um componente fundamental para o sucesso das páginas de phishing é a configuração de páginas da web
que se assemelham aos originais tanto quanto possível. Para facilitar esta tarefa, especialistas cy-
os criminosos desenvolvem e vendem os chamados kits de phishing [ 66 ], programas que podem ser instalados
em um servidor e produzirá uma página da web com aparência apropriada para muitos serviços populares.
Esses kits normalmente também fornecem funcionalidades para tornar mais fácil para o criminoso coletar e
acompanhar as credenciais roubadas [ 66] Outro elemento necessário aos criminosos para hospedar esses
páginas são servidores sob seu controle. Semelhante a spam, criminosos, pesquisadores e profissionais
estão envolvidos em uma corrida armamentista para identificar e colocar páginas da Web de phishing na lista negra [ 6 ], portanto
não faz sentido economicamente que os criminosos configurem seus próprios servidores. Em vez disso, criminosos
costumam hospedar esses sites em servidores comprometidos, pelos quais eles não precisam pagar [ 68]
https://en.wikipedia.org/wiki/Privacy_and_Electronic_Communications_(EC_Directive)_Regulations_
https://en.wikipedia.org/wiki/CAN-SPAM_Act_of_
www.cybok.org
Depois de roubar um grande número de credenciais, os criminosos podem explorar essas contas deles-
auto ou vender os nomes de usuário e senhas no mercado negro. Pesquisa anterior tem
mostrado que muitas vezes esses criminosos fazem login nas contas e passam tempo avaliando
seu valor, por exemplo, procurando informações financeiras em contas de webmail. [ 6 , 6]
https://translate.googleusercontent.com/translate_f 205/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Malware financeiro. Outra operação criminosa popular é o malware financeiro. Neste cenário,
criminosos visam instalar malware nos computadores de suas vítimas e roubar credenciais nanceiras
como números de cartão de crédito e nomes de usuário e senhas de banco on-line. Esta tendência
começou com o malware Zeus, que os criminosos podiam comprar no mercado negro e
usar para configurar suas operações [ ] Uma vez instalado no computador da vítima, o Zeus esperaria por
o usuário visitar um site em uma lista pré-configurada de sites interessantes que o criminoso poderia
especificamos. Em seguida, ele registraria nomes de usuário e senhas conforme o usuário os digitava e enviava
para o servidor de comando e controle configurado pelo criminoso.
Um botnet de roubo de informações mais sofisticado foi o Torpig [ 6] Ao contrário de Zeus, Torpig usado
um modelo de botnet como serviço, em que um único criminoso especializado era responsável por hospedar
a infraestrutura do botnet, enquanto outros criminosos podem executar suas campanhas para infectar a vítima
computadores, pague uma taxa para usar a infraestrutura torpig e, posteriormente, recupere as credenciais roubadas.
Os pesquisadores mostraram que, em, o botnet Torpig foi capaz de roubar 8 bancos únicos
credenciais da conta e 66 números exclusivos de cartão de crédito em um período de dez dias. [6]
Para monetizar suas operações, os cibercriminosos podem vender as informações nanceiras roubadas no site
fóruns clandestinos citados [ ] O preço que os criminosos podem pedir por essas credenciais varia
com base no tipo de registros que eles conseguiram roubar. Por exemplo, no subsolo
mercado, existem dois tipos de registros de cartão de crédito que são negociados: dumpz , que contém o
informações que permitem a um criminoso clonar um cartão de crédito (ou seja, número do cartão, data de validade, se-
curity code) e fullz , que também contém o endereço de cobrança associado ao cartão. Fullz
valem mais dinheiro no mercado negro, porque permitem que os canalhas comprem itens
conectados.
Um tipo de crime relacionado que está se tornando mais popular é a clonagem de cartas [ ] Neste ciber-
crime habilitado, os criminosos instalam dispositivos em máquinas ATM que coletam detalhes dos cartões
inseridos nas máquinas por usuários involuntários. O criminoso pode então coletar os dispositivos para
recuperar as credenciais nanceiras roubadas. Embora esse tipo de crime seja sério, também é uma boa
exemplo das limitações do crime físico em comparação com suas contrapartes online: a necessidade
por ação física do criminoso limita a escala da operação, enquanto malware financeiro
as operações podem afetar um número muito maior de vítimas. Por exemplo, o malware Torpig foi
instalado em mais, computadores [ 6]
Observe que o malware nem sempre é necessário para realizar fraudes financeiras. Em alguns casos, insider
ameaças dentro de organizações nanceiras podem agir maliciosamente e fraudar ambas as instituições
e seus clientes [ , ] Em outros casos, informações nanceiras, como número de cartão de crédito
bers podem ser roubados ao explorar uma vulnerabilidade em um sistema online (por exemplo, despejando o
banco de dados de uma loja online) [ ] Em outros casos, credenciais SWIFT roubadas de bancos podem ser
usado para realizar grandes transferências fraudulentas de dinheiro [ 6]
Fraude do clique. Anúncios na Web são a principal forma de monetizar a Web. Um administrador da Web
ele pode decidir hospedar anúncios em seu site e sempre que os visitantes os visualizarem
ou clicar neles, eles recebem uma pequena taxa de um anunciante. Para mediar essa interação,
surgiram serviços especializados conhecidos como trocas de anúncios . Por causa de sua fácil monetização,
Anúncios na web são perfeitos para fraudes. Em particular, os criminosos podem hospedar anúncios em
seus próprios sites e, em seguida, geram cliques 'falsos' (por exemplo, usando bots). Isso resulta em um anúncio
trocar criminosos que pagam por impressões de anúncios que não eram "genuínos", eventualmente fraudando
o anunciante.
Mais uma vez, os criminosos estão envolvidos em uma corrida armamentista com trocas de anúncios, que estão interessadas em
mantendo a fraude em seus serviços. Para ajudar os criminosos a gerar um grande número de cliques
e permanecer sob o radar obtendo acesso a partir de um grande número de endereços IP, os chamados
surgiram botnets de fraude de cliques . Um exemplo é Zeroaccess [6], que estava ativo em.
Em uma máquina infectada, este malware atuaria como um usuário normal, navegando em sites e
clicando em anúncios que seu proprietário escolheu. Os pesquisadores mostraram que este botnet foi
responsável por perdas para a indústria de publicidade de aproximadamente US $ por dia [ 6]
Mineração de criptomoeda não autorizada. Com a crescente popularidade das criptomoedas, um
Uma nova oportunidade se abriu para os criminosos: usar computadores infectados para minerar moeda. Dentro
, Huang et al. Revelaram essa ameaça, mostrando que botnets foram usados para minerar Bitcoin [] .
Ao revelar esta nova monetização para malware, os autores também concluíram que estes
as operações não pareciam estar rendendo muito dinheiro, totalizando no máximo US $ por dia.
Um estudo mais recente, no entanto, mostrou que a mineração de criptomoedas por botnets pode ser muito
mais gratificante do que se pensava anteriormente. Pastrana e Suarez-Tangil mostraram que minerando
Monero e usando uma série de técnicas para aumentar suas chances de mineração de moeda (por exemplo,
https://translate.googleusercontent.com/translate_f 206/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
usando pools de mineração) os criminosos poderiam ganhar até 8 milhões de dólares em um período de dois anos. [ ]
Outra tendência emergente no crime cibernético compreende o uso de navegadores da Web para explorar criptocur-
rências. Em vez de instalar malware nos computadores das vítimas e usá-los para mineração,
Os criadores adicionam scripts a páginas da web e fazem com que seus visitantes explorem criptomoedas. Esse tipo de
a atividade maliciosa é chamada de criptojacking . Embora usar esses scripts não seja necessariamente ilegal
gal (ou seja, os administradores da Web podem instalá-los legitimamente em suas páginas da Web de maneira semelhante
a anúncios), criminosos foram pegos adicionando-os a sites comprometidos em
várias ocasiões. Konoth et al. mostrou que uma campanha maliciosa pode gerar GBP,
mais de uma semana [ 8], enquanto Rüth et al. [ ] mostrou que . 8% dos blocos minerados no Monero
blockchain pode ser atribuído a Coinhive, a biblioteca de criptjacking mais popular.
Ransomware. A mais nova tendência em malware é o Ransomware . Como parte desta operação, crimi-
nals infectam os sistemas das vítimas com malware que criptografa os arquivos pessoais do usuário (por exemplo,
documentos) e envia a chave de criptografia para o criminoso, que então pede um resgate em ex-
mudança para dar ao usuário acesso aos seus dados novamente [ 8 ] A ideia de software malicioso
que usa criptografia de chave pública para manter os dados da vítima como reféns não é novo, e foi o
orised por Yung em 6 já [ 8 ] Em anos, no entanto, os avanços tecnológicos
no lado da entrega de malware tornaram possível alcançar um grande número de vítimas, e o
introdução de métodos de pagamento anônimos, como Bitcoin, tornou-o mais seguro para os criminosos
para receber esses pagamentos.
Ransomware é, no momento em que este artigo foi escrito, o padrão ouro para cibercriminosos. Este tipo de mal-
operação de ware resolveu os problemas de monetização que eram tão importantes em outros tipos
de esquemas cibercriminosos: o criminoso não precisa convencer a vítima a comprar um
bom, como no caso de spam de e-mail, ou para cair em uma fraude, como no caso de phishing. Em anúncio-
dição, a vítima é altamente incentivada a pagar o resgate, devido à probabilidade de que a
os criminosos têm arquivos criptografados que o usuário irá precisar (e para os quais eles não têm backup
cópia) é alto. Na verdade, uma pesquisa recente foi capaz de rastrear 6 milhões de dólares em pagamentos no
Blockchain Bitcoin que pode ser atribuído a campanhas de ransomware [ 8 ]
www.cybok.org
para bloquear a vítima fora de seu computador [ 8 ] Essas técnicas incluem a criação de um
bootloader protegido por senha e não dando a senha ao usuário a menos que ele / ela pague.
Embora essas técnicas possam render lucros para o criminoso, também são mais fáceis de mitigar
portão, já que os arquivos da vítima estão seguros no computador e uma simples limpeza do malware (e
restaurar o registro mestre de inicialização original) pode resolver o problema.
Negação de serviço. Um recurso que todos os dispositivos conectados à Internet possuem é a conectividade de rede.
Um criminoso pode aproveitar a largura de banda de um dispositivo infectado para realizar uma negação distribuída de
Serviço (DDoS) ataque contra um alvo. Os criminosos podem simplesmente usar a largura de banda gerada por
o botnet, ou alavancar ataques de amplificação (ou seja, tráfego de rede gerado por erros de configuração
dispositivos de rede ou dispositivos com configurações padrão insatisfatórias) para aumentar o poder de seu DDoS
ataques [68 ]
Os criminosos podem então configurar serviços onde oferecem DDoS de aluguel. Esses serviços são
apelando, por exemplo, para atores inescrupulosos que querem que seus concorrentes de negócios vão
de ine ou para jogadores online que querem tirar seus oponentes da Internet para ganhar o
jogos [ 8 ] Para ocultar a natureza ilícita de seus negócios, esses serviços muitas vezes os anunciam-
como 'testadores de estresse', serviços que um administrador da Web pode usar para testar como seu aplicativo da Web
plicações funcionam sob estresse [ 8 ] Na realidade, porém, esses serviços não verificam se
o cliente que adquire um ataque DDoS é, na verdade, a mesma pessoa que possui o alvo.
a Principal.
Hacktivistas
Embora os criminosos movidos pelo lucro sejam uma grande ameaça, nem todos os adversários são movidos pelo dinheiro. Em par-
Em particular, definimos o ato de crime de computador motivado por um objetivo político como hacktivismo [ ]
Esses crimes podem assumir várias formas, desde ataques de negação de serviço [ ] para comprometer
sistemas de computador com o objetivo de divulgar informações confidenciais ao público [ 8 ] Lá
é um debate contínuo entre os estudiosos sobre se as ações dos hacktivistas se enquadram na política
ativismo (por exemplo, desobediência civil) ou terrorismo cibernético [ 86] Holt et al. estudou ataques cibernéticos
realizado por grupos de extrema esquerda nos Estados Unidos e constatou que houve um aumento nos ataques online
durante os períodos que observaram uma diminuição na violência física desses mesmos grupos [ 8 ]
Negação de serviço. A prática do hacktivismo começou nos anos com netstrikes [ 88 ] Como
https://translate.googleusercontent.com/translate_f 207/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
parte desta prática, os usuários da Internet se conectariam para direcionar os sites simultaneamente para
esgotar seus recursos e torná-los sem resposta. Isso costumava ser feito para protestar contra
ações e políticas de agências governamentais e corporações. Vinte anos depois, com o
maior sofisticação oferecida pela tecnologia, grupos hacktivistas como o Anonymous [ 8 ]
pegou a ideia de netstrikes e a tornou maior. Este coletivo se tornou popular por
lançando ataques de negação de serviço contra organizações que eram culpadas de realizar ações
ções que não condiziam com sua postura moral, como governos ligados à repressão de
a Primavera Árabe, empresas de cartão de crédito que não fariam doações a entidades como
Wikileaks ou organizações religiosas radicais.
Para realizar seus ataques, o Anonymous pedia a seus simpatizantes que instalassem um programa de computador
grama, chamado Low Orbit Ion Cannon (LOIC), que atuaria como um bot em um botnet: seu controlador
usaria a largura de banda do computador para realizar um ataque de negação de serviço contra um escolhido
alvo. A diferença com os botnets tradicionais (e aqueles usados para realizar ataques DDoS
em particular) é que o usuário é aceito como parte dele ao instalar o programa LOIC , e
sofreram ação policial como consequência.
Vazamentos de dados. Outra tendência que temos observado nos últimos anos na área de hack-
tivismo é a liberação de documentos roubados para o domínio público, por exemplo, para aumentar a conscientização
ness sobre programas de vigilância secreta por governos [ ] Um exemplo proeminente de um
organização que realiza esses vazamentos de dados é o Wikileaks [ 8 ] Técnicas semelhantes também
sido usado pelo Anonymous (por exemplo, sobre a identidade de membros da Ku Klux Klan).
Defacements da Web. A última tendência típica de atores com motivação política é a Web de-
facement [ ] Como parte desta atividade, os malfeitores exploram vulnerabilidades (variando de fraca
senhas para vulnerabilidades de software) nos sites das organizações com as quais eles discordam,
e usá-los para alterar a página inicial do site para uma página com carga política. Um exame-
de uma organização que está usando de forma proeminente defacements da Web para espalhar sua mensagem
é o Exército Eletrônico Sírio [ ], um grupo de hackers próximo ao regime de Assad. Apesar
popular entre os criminosos com uma agenda política, a desfiguração da Web não é apenas uma prerrogativa deles.
Na verdade, Maimon et al. mostrou que esta é uma forma popular para os cibercriminosos em início de carreira
provar seu valor [ ]
Atores estatais
Outro tipo de agente malicioso envolvido em comportamentos adversários online compreende nação
estados. Nos últimos anos, observamos uma escalada no uso de ataques de computador
pelos atores estatais para atingir seus objetivos. De um modo geral, este tipo de ataque difere daqueles
realizada por cibercriminosos com motivação financeira por dois motivos:
. O crime cibernético de commodities precisa reunir o maior número possível de vítimas para maximizar seus
lucros Por exemplo, criminosos que criam um botnet para roubar informações financeiras de
suas vítimas vão querer alcançar o maior número possível de vítimas para melhorar seus
receita. Isso significa que os ataques do cibercriminoso precisam ser genéricos ou di-
versado o suficiente para cobrir uma grande população de dispositivos (por exemplo, usando kits de exploração, como
explicado na seção .) Em um ataque patrocinado pelo estado, por outro lado, não há
precisam ganhar dinheiro, e geralmente a vítima é bem definida (por exemplo, uma organização específica
uma pessoa de interesse). Nesse cenário, o ataque pode ser adaptado à vítima; esta
aumenta as chances de sucesso, por causa do tempo que pode ser gasto projetando o
ataque e o fato de que o ataque será único (por exemplo, usando um ataque de dia zero [ ]),
e é improvável que o software de proteção existente o detecte.
. Devido à necessidade de ganhar dinheiro, os cibercriminosos tradicionais precisam que seus ataques sejam
Rápido. Este não é o caso de ataques patrocinados pelo estado, onde a recompensa por alcançar
seu objetivo (por exemplo, roubar informações confidenciais de um governo) o torna aceitável para
espere por longos períodos de tempo antes de nalizar o ataque.
Ataques patrocinados pelo estado se enquadram amplamente em três categorias, dependendo do propósito do
ataque: sabotagem, espionagem e desinformação. A seguir, descrevemos esses três
tipos de ataques em mais detalhes.
Sabotar. A infraestrutura crítica moderna pode ser interrompida por meios eletrônicos. Pesquisa
mostrou que não é incomum que instalações críticas, como usinas de energia, tenham alguns
tipo de conectividade de rede entre os computadores que controlam as máquinas e aqueles
Conectado a internet [ ] No caso de um estado adversário, mesmo tendo segurança de rede
aparelhos para proteger a fronteira entre as duas redes não é suficiente, uma vez que, como nós
disse, os ataques podem ser tão sofisticados e personalizados que as soluções prontas para o uso não conseguem detectar
https://translate.googleusercontent.com/translate_f 208/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
eles [ 8] Depois que um malware consegue entrar na rede de controle, ele pode fazer
o mau funcionamento da máquina e potencialmente destruí-lo. Mesmo quando há uma separação física
www.cybok.org
entre a rede de controle e a Internet mais ampla, os ataques ainda são possíveis quando estamos
confrontado com adversários com recursos virtualmente ilimitados [ 8]
A sabotagem nem sempre está ligada a atores estatais. Incidentes graves foram causados por descontentamento
funcionários de empresas que agiram como ameaças internas, como no caso do Maroochy
Serviços de água [ ] Neste incidente, um insider cujo emprego não foi confirmado
resolveu se vingar da empresa derramando esgoto, causando grande impacto ambiental
dano [ ]
Espionagem. Outro objetivo que os atores patrocinados pelo estado têm para seus ataques é espionar op-
oponentes e adversários proeminentes. A pesquisa mostrou que os atores estatais tornam-se proeminentes
uso de spearphishing (ou seja, phishing direcionado) para atrair ativistas e empresas a instalar
malware que mais tarde é usado para espioná-los [ 6, 8] Em outros casos, os atores do estado infectam sen-
sistemas sensíveis (por exemplo, servidores em grandes corporações), com o objetivo de roubar informações confidenciais
mation [ ] A indústria de segurança apelidou esses ataques sofisticados de longa data
Ameaças persistentes avançadas .
Desinformação. Nos últimos dois anos, surgiram evidências de que atores patrocinados pelo Estado
estiveram envolvidos na divulgação de desinformação nas redes sociais [ , 8 , 8 , 8] Esta
foi feito por meio de contas de trolls que atuaram para polarizar a discussão online em questões sensíveis
tópicos [8 ] Embora redes sociais como o Twitter tenham feito dados sobre contas relacionadas a
desinformação patrocinada pelo estado publicamente disponível [ , 8], evidências rigorosas ainda estão faltando
sobre como essas operações são realizadas no back-end. Por exemplo, a extensão em que o
contas envolvidas em desinformação são controladas por operadores humanos ao invés de bots
não está claro.
[8 ] [ 8] [ 8 6] [ 8 , 8 8] [ ] [ 8 , 8]
Como mostramos na Seção ., operações maliciosas podem usar infraestruturas bastante complexas,
particularmente no caso do crime organizado, que é principalmente motivado por dois fatos. Primeiro, o
o criminoso precisa que essas operações sejam o mais econômicas possível (e, consequentemente,
o maior lucro possível). Em segundo lugar, vários atores (aplicação da lei, empresas de segurança,
os próprios usuários) estão constantemente tentando derrubar essas operações maliciosas,
e o criminoso tem, portanto, uma necessidade de torná-los resilientes a essas tentativas de derrubada.
Para garantir que as necessidades dos criminosos sejam atendidas nesse cenário, nos últimos anos temos testemunhado
precisou de uma especialização no ecossistema do cibercriminoso, onde diferentes atores se especializam em
um elemento específico necessário para que a operação seja bem-sucedida; os malfeitores, então, trocam esses serviços
vícios uns com os outros no mercado negro. Nesta seção, fornecemos uma visão geral do elemento
mentos necessários para o sucesso de uma operação do crime organizado ciberdependente, conforme descrito
na seção .. Muitos dos elementos discutidos, no entanto, também se aplicam a outros tipos de
comportamentos adversários descritos nessa seção.
https://translate.googleusercontent.com/translate_f 209/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Programas Afiliados
O principal objetivo do crime organizado é ganhar dinheiro com suas operações. Isto exige
não apenas uma infraestrutura técnica bem lubrificada para garantir que seus botnets funcionem corretamente
mas, talvez mais importante, um método de trabalho para cobrar pagamentos das vítimas (ou de
patrocinadores, no caso de DoS), certificando-se de que todos os atores envolvidos na operação
ser pago.
No mundo do cibercriminoso, isso geralmente é feito por meio de programas afiliados . Um afiliado pró
grama é um esquema em que a organização principal fornece uma 'marca' e todos os meios necessários
para efetuar encomendas, expedições e pagamentos. Afiliados podem aderir ao programa, tráfego direto para
a plataforma e obter uma parte das vendas pelas quais são responsáveis. Embora este esquema
existe para negócios legítimos (por exemplo, a Amazon tem um programa afiliado), foi par-
particularmente bem-sucedido para operações cibercriminosas. A principal diferença entre legítimos
e programas afiliados ao crime é que a segunda categoria de operações normalmente lida
com produtos que são considerados ilegais na maioria das jurisdições (por exemplo, produtos farmacêuticos falsificados
, jogos de azar, produtos de marca falsificados) e normalmente endossam a promoção criminosa
técnicas (por exemplo, o uso de malware ou otimização de mecanismo de pesquisa de chapéu preto).
Os programas afiliados são populares no mundo do cibercriminoso porque significam que os afiliados
não tem que configurar suas operações do início ao fim, mas sim focar na atração de tráfego,
por exemplo, configurando botnets e enviando spam por e-mail anunciando o mercado afiliado-
Lugar, colocar. Os primeiros exemplos de sucesso de programas afiliados ao crime cibernético foram centrados
em torno do spam de e-mail e anunciando produtos farmacêuticos falsificados [ , 6 , 6] Como-
sempre, os programas afiliados estão presentes na maioria dos tipos de crimes ciberdependentes, um exemplo
sendo a operação de ransomware Cryptowall.6
Vetores de infecção
Conforme discutido anteriormente, a primeira etapa exigida pelos criminosos para realizar uma atividade maliciosa é
dez infectando suas vítimas com malware. Para este fim, os criminosos precisam primeiro expor seus
vítimas potenciais do conteúdo malicioso e, em seguida, faça com que instalem em suas máquinas
(por meio de engano ou da exploração de uma vulnerabilidade de software em seu sistema). No seguinte
a seguir, pesquisamos três métodos populares de entrega de malware aos computadores das vítimas. Observação
que, embora outros vetores de infecção sejam possíveis, como acesso físico a uma rede ou
jacking uma rede sem fio, até o momento não temos conhecimento de qualquer compromisso em grande escala envolvendo
esses vetores de infecção e, portanto, não nos concentramos neles.
Anexos maliciosos. Possivelmente, o método mais antigo de entrega de malware é anexar ma-
software licioso para enviar e-mails de spam, disfarçando-o como conteúdo útil que o usuário pode querer
abrir. Esta técnica de propagação se tornou popular por worms de e-mail no início dos anos, como
6 https://www.secureworks.com/research/cryptowall-ransomware
www.cybok.org
como o verme 'eu te amo' [8 ], mas ainda é uma forma popular de entregar malware às vítimas [ ]
Na economia mercantilizada descrita anteriormente, é frequentemente o caso que um criminoso que
quer espalhar uma infecção de malware paga outro criminoso que já tem o controle de um bot
rede para entregar as cargas [ 6] Para ter sucesso, o conteúdo usado para este vetor de infecção
precisa convencer o usuário a clicar no anexo e instalá-lo. Para este fim, criminosos
costumam usar técnicas de engano para fazer o conteúdo parecer interessante e atraente, semelhante
às técnicas discutidas para phishing [ ] Este engano cai na área social
Engenharia [8 ]
Otimização de mecanismo de pesquisa de chapéu preto. Otimização do mecanismo de pesquisa (SEO) é uma prática popular
ferramenta pela qual os webmasters otimizam seu conteúdo para que seja melhor indexado pelos mecanismos de pesquisa
e aparece entre os primeiros resultados para pesquisas relevantes. Os cibercriminosos também estão interessados em
ter suas páginas da Web maliciosas aparecendo no alto dos resultados de pesquisa, porque isso aumenta o
chances de que vítimas em potencial os encontrem e cliquem neles. Para conseguir isso,
criminosos especializados oferecem serviços de SEO de chapéu preto . Como resultado desses serviços, sites maliciosos
os sites são colocados no topo das classificações do mecanismo de pesquisa para palavras-chave que não estão relacionadas com o
local na rede Internet [8 ] Isso acontece com frequência principalmente na proximidade de eventos populares (por exemplo, esportes
https://translate.googleusercontent.com/translate_f 210/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e eventos políticos), porque as pessoas estarão mais propensas a pesquisar palavras-chave relacionadas ao
evento. Para alcançar um SEO eficaz de chapéu preto, os cibercriminosos comprometem sites vulneráveis
e usá-los para promover as páginas da web de seus clientes (por exemplo, adicionando links invisíveis e texto
apontando para a página da web de destino).
Ataques de download drive-by. Embora enganar os usuários para que instalem malware funcione,
ter um método automatizado que não requer interação humana é mais vantajoso
para cibercriminosos. Para tanto, os cibercriminosos aperfeiçoaram o chamado download drive-by
ataques [8 ] Como parte de um desses ataques, a vítima visita uma página da web sob controle
do criminoso (por exemplo, encontrado por meio de SEO de chapéu preto) A página da web contém conteúdo malicioso
Código JavaScript que tentará explorar uma vulnerabilidade no navegador da Web do usuário ou em um
de seus plug-ins. Se for bem-sucedido, o navegador da Web será instruído a fazer o download automaticamente
e instale o malware.
Para hospedar seus scripts maliciosos, os cibercriminosos costumam comprometer sites legítimos [8 ]
Uma tendência alternativa é comprar espaço de anúncio na Web e servir a práticas maliciosas
tenda como parte do anúncio, em uma prática conhecida como malvertisement [8 ]
Comprometimento de dispositivos conectados à Internet. À medida que mais dispositivos são conectados ao Inter-
net (por exemplo, dispositivos de Internet das Coisas (IoT)), uma oportunidade adicional fornecida aos invasores é
escanear a Internet em busca de dispositivos que apresentem vulnerabilidades conhecidas e explorá-los para construir
grandes botnets. Um exemplo importante disso foi o botnet Mirai [68 ]
A infraestrutura
Outro elemento importante que os criminosos precisam para o sucesso de suas operações é onde
hospedar sua infraestrutura. Isso é importante para ambos os programas afiliados (por exemplo, onde hospedar
sites de compras fraudulentos), bem como para operações de botnet. Aplicação da lei e Inter-
Provedores de serviços líquidos (ISPs) monitoram continuamente os servidores em busca de evidências de malware
atividade [8 6], e irá retirá-los se esta atividade puder ser confirmada, o que colocaria o
operação criminosa em perigo.
Provedores de serviços de hospedagem à prova de balas. Para maximizar as chances de suas operações serem
Os criminosos cibernéticos de longa vida recorrem aos chamados provedores de serviços de hospedagem à prova de balas
, [
8 6] Esses provedores são bem conhecidos por não atender às solicitações de remoção das autoridades policiais.
www.cybok.org
Isso é possível por estar localizado em países com legislação frouxa para crimes cibernéticos ou
pelos operadores do provedor de serviços que subornam ativamente as autoridades locais [ ] A prova de balas
provedores de serviços de hospedagem normalmente cobram de seus clientes mais dinheiro do que um ISP normal
seria. Como tal, eles se tornam um hotspot de atividade ilícita, uma vez que usuários mal-intencionados se reúnem
lá por causa de suas garantias, mas os usuários legítimos não têm incentivos para usá-los. De-
apesar de fornecer maiores garantias para os cibercriminosos, provedores de serviços de hospedagem à prova de balas
não são invencíveis a esforços de queda. Em particular, os ISPs precisam estar conectados uns aos outros
ser capaz de rotear o tráfego, e um ISP que hospeda exclusivamente conteúdo malicioso pode ser
desconectado por outros provedores sem muitas consequências para o tráfego legítimo da Internet
c[ ]
Infraestrutura de comando e controle. Um botnet requer um comando e controle (C&C) infra-
estrutura à qual os computadores infectados podem ser instruídos a se conectar, receber pedidos e relatar
em andamento na operação maliciosa. Originalmente, os botnets usariam um único comando e
servidor de controle, embora este seja um único ponto de falha. Mesmo supondo que o servidor
foi hospedado por um provedor de hospedagem à prova de balas e, portanto, não pôde ser retirado, o fato
que o servidor tinha um endereço IP exclusivo significava que ele poderia ser facilmente colocado na lista negra pela segurança
empresas.
https://translate.googleusercontent.com/translate_f 211/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
bots falsos, são eleitos como retransmissores e, portanto, de repente são capazes de monitorar e modificar o tráfego
vindo do C&C central [] .
Técnicas adicionais usadas por cibercriminosos para tornar sua infraestrutura de controle mais eficaz
silientes são Fast Flux [ 6 ], onde os criminosos usam vários servidores associados ao C&C infra-
estruture e gire-os rapidamente para dificultar as remoções, e Domain Flux [8 ],
em que o nome de domínio associado ao servidor C&C também é alternado rapidamente. Ambos met-
Os ods são eficazes para tornar a operação mais resiliente, mas também tornam a operação
mais caro para o criminoso executar (ou seja, eles têm que comprar mais servidores e domínio
nomes).
www.cybok.org
Serviços especializados
Nesta seção, descrevemos serviços especializados que ajudam criminosos a configurar suas operações.
Além desses serviços maliciosos dedicados, outros que têm um uso legítimo (por exemplo,
VPNs, Tor) também são usados indevidamente por criminosos, por exemplo, hospedando sites do mercado de drogas no
Dark Net [ , 8]
Exploit kits. Na seção anterior, vimos que os ataques de download drive-by são um poderoso
arma que um cibercriminoso pode usar para infectar computadores com malware sem nenhum ser humano
interação. O problema com a execução eficaz desses ataques, no entanto, é que eles voltam
extinguir uma vulnerabilidade de software no sistema da vítima. Já que os cibercriminosos querem
para infectar o maior número de vítimas possível, é um desafio encontrar um exploit que pode funcionar
sistemas da maioria das vítimas potenciais. Além desse problema, exploits não envelhecem
bem, já que os fornecedores de software corrigem rotineiramente as vulnerabilidades que conhecem. Um cy-
criminoso executando uma operação de download drive-by sustentado, portanto, precisaria
agrupar explorações continuamente para várias vulnerabilidades, uma tarefa que é inviável, especialmente
quando o criminoso também tem que dirigir outras partes do negócio (por exemplo, a parte de monetização).
Assim que a vítima visita a página do kit de exploração, esta ferramenta primeiro imprime o sistema da vítima,
procurando uma vulnerabilidade potencial a ser explorada. Em seguida, ele entrega o exploit à vítima. Se
bem-sucedido, o computador da vítima é instruído a baixar o malware do cliente
escolha.
Essas questões criaram uma oportunidade para que criminosos especializados prestassem serviços para o
resto da comunidade. Isso levou à criação de kits de exploração [8 ], que são ferramentas que
coletam um grande número de vulnerabilidades e são vendidos no mercado negro para outros criminosos
usar. Um kit de exploração normalmente é acessível como um aplicativo da Web. Os clientes podem apontar seus
vítimas em relação a ele, comprometendo sites ou usando anúncios maliciosos.
Serviços de pagamento por instalação. Infectar os computadores das vítimas e manter um botnet é um processo complexo
tarefa, e a pesquisa mostrou que os operadores de malware que tentam fazer isso sem o
perícia adequada luta para fazer lucros [8 ] Para resolver este problema e satisfazer a demanda
para botnets estáveis, surgiu um novo serviço criminoso chamado serviço Pay Per Install (PPI) Ser-
vícios [8 8] Os operadores de PPI são proficientes na configuração de um botnet e no funcionamento adequado. Outro
os criminosos podem então pagar ao operador PPI para instalar malware nos computadores infectados em seus
em nome de. Os serviços PPI normalmente oferecem um bom nível de granularidade de escolha para seus clientes, que
não apenas escolhem quantas infecções querem instalar, mas também sua localização geográfica
(com bots em países desenvolvidos custando mais do que infecções em países em desenvolvimento [8 8]).
Uma vantagem de usar os serviços PPI é que eles tornam as operações cibercriminosas de seus clientes
mais resilientes: se o malware parar de funcionar, por exemplo, porque a aplicação da lei
desligou os servidores C&C que usa, o criminoso pode retomar as operações perguntando ao
Operador PPI para instalar uma versão atualizada de seu malware nas máquinas da vítima. Por esta
razão, esta simbiose de malware entre serviços PPI e outras botnets é muito comum em
o ecossistema criminoso (ver, por exemplo, a simbiose entre Pushdo e Cutwail [ ],
e entre Mebroot e Torpig [ 6]).
https://translate.googleusercontent.com/translate_f 212/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Serviços Humanos
Nesta seção, discutimos os serviços auxiliares que são necessários para um cyber-
operação criminosa para ter sucesso. Embora esses elementos geralmente não sejam considerados parte de
crimes cibernéticos, eles são tão importantes para o sucesso de uma operação cibercriminosa quanto mais
elementos técnicos.
Serviços de resolução de CAPTCHA. Em alguns casos, os cibercriminosos precisam configurar contas em
serviços online para iniciar suas operações (por exemplo, uma operação de spam em execução na rede social
trabalho [ , ]). Para se protegerem contra a criação automatizada de contas em grande escala,
no entanto, os serviços online usam amplamente CAPTCHAs, que são notoriamente difíceis para automatizar
programas para resolver. Para resolver este problema enfrentado pelos cibercriminosos, um novo serviço de solução CAPTCHA
vícios foram estabelecidos [8 ] Esses serviços tiram proveito dos trabalhadores de crowdsourcing.
Assim que o cliente que resolve o CAPTCHA encontra um CAPTCHA, isso é encaminhado pelo ser-
vício a um desses trabalhadores, que vai resolver. Dessa forma, o cliente pode prosseguir e criar
a conta no serviço online.
Em outros casos, os serviços online exigem que quem criou uma conta online receba um
o código é enviado por mensagem de texto para um número de telefone e o envia de volta ao serviço. Para superar isso
problema, os cibercriminosos podem usar serviços que automatizam esse tipo de interação [ ]
Contas falsas. Uma vez que criar contas falsas consome tempo e requer o uso de aux-
serviços iliários, como solucionadores CAPTCHA , cibercriminosos começaram a se especializar na criação
ação de contas falsas em vários serviços online e vendê-los no mercado negro [8 ]
Contas em serviços diferentes podem ter preços diferentes, dependendo da facilidade de criação
novas contas na plataforma e sobre a agressividade com que o serviço suspende suspeitas de falsificação
contas.
Um problema com contas falsas recém-adquiridas é que elas não têm um 're-
pontuação 'na rede social, reduzindo assim sua credibilidade às vítimas potenciais e seus
alcance na disseminação de mensagens maliciosas. Isso pode ser atenuado usando 'aumento de reputação'
serviços, que ajudam a construir uma rede de contatos para contas que de outra forma não
tem algum. Exemplos disso são serviços que oferecem curtidas falsas no Facebook [8 ] e atraindo
contas comprometidas a seguir os clientes do serviço no Twitter [8 ]
Geração de conteúdo. Em alguns casos, os cibercriminosos precisam configurar conteúdo falso para enviar para
suas vítimas, seja para e-mails de spam, sites falsos usados para SEO de chapéu preto ou online
sites de redes sociais. Para gerar esse conteúdo, os criminosos podem recrutar trabalhadores em
fóruns terrestres [8 6]
Mulas de dinheiro. O principal objetivo de muitas operações cibercriminosos é ganhar dinheiro com seus
vítimas. No entanto, extrair dinheiro de uma operação não é fácil. No caso de fraude bancária,
por exemplo, mesmo se os criminosos obtiverem acesso à conta bancária da vítima, eles ainda precisam
para transferir dinheiro para contas sob seu controle sem serem detectados e apreendidos.
www.cybok.org
https://translate.googleusercontent.com/translate_f 213/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pessoa pela mula, eles constituem um ponto fraco na operação de monetização, o que significa que
A polícia pode identificar e prender a mula antes que o dinheiro seja transferido. Na verdade,
mesmo que o dinheiro roubado nunca seja mencionado, a mula está participando da lavagem de dinheiro quando
ele / ela aceita este trabalho.
Uma forma alternativa de monetizar operações maliciosas, que é usada em caso de roubo
cartões de crédito, está reenviando mulas [ ] Nessas operações, as agências criminosas recrutam
proteger usuários que anunciam um trabalho de 'agente de transporte'. Em seguida, outros criminosos podem recrutar os serviços
dessas agências e comprar itens caros usando cartões de crédito roubados (por exemplo, eletrônicos,
produtos de marca), enquanto os envia para o endereço residencial da mula. A mula é então instruída
para abrir os pacotes e reenviar as mercadorias para um endereço no exterior, onde serão vendidas no
o mercado negro.
Métodos de Pagamento
Como os criminosos precisam ter dinheiro transferido para eles, eles podem usar várias
métodos de pagamento, cada um carregando um nível diferente de risco e sendo mais ou menos familiarizado com
as vítimas.
Processadores de cartão de crédito. A maioria das transações online é realizada com cartões de crédito. Coletar
tantos clientes quanto possível, os cibercriminosos tendem a aceitar pagamentos com cartão de crédito também.
McCoy et al. mostrou que% spam af lia programas entre e aceitos
pagamentos com cartão de crédito [ 6 ], e que os serviços DDoS que não aceitavam cartões de crédito sofreram
no que diz respeito ao número de clientes que conseguiram atrair [ 8 ] Cartão de crédito
processadores controlam os estornos que uma empresa tem em suas contas, e muitos
reclamações de clientes geralmente resultam no encerramento das contas da empresa. Para
por esse motivo, muitas operações cibercriminosas oferecem 'suporte ao cliente' às suas vítimas, oferecendo
reembolsos se não ficarem satisfeitos com suas compras [8 ]
Um desafio que os cibercriminosos enfrentam é encontrar bancos que estejam dispostos a processar seus pagamentos
mentos. Normalmente, esses bancos cobrariam taxas de transação mais altas (-%) para cobrir
o risco de lidar com operações criminosas [ 6 ] Apesar do aumento das taxas, não é garantido
previu que a operação criminosa será segura: semelhante ao que acontece com o host à prova de balas
ing ISPs, os bancos precisam manter boas relações com seus pares, caso contrário, eles serão dis-
conectado a partir da rede nanceira [8 ]
Paypal. Outro método de pagamento familiar aos usuários é o Paypal. Por este motivo, Paypal
é freqüentemente aceita por criminosos que oferecem serviços ilícitos. Embora sejam fáceis de usar, os criminosos enfrentam o
problema de que a plataforma é centralizada e o Paypal pode rastrear pagamentos fraudulentos e
encerrar as contas que violarem os termos de serviço [8 ]
Western Union e outros pagamentos 'não rastreáveis'. Outras formas de pagamento oferecem mais
anonimato para os cibercriminosos e são menos arriscados, além de não serem tão regulamentados. Exame-
são trocas de dinheiro (por exemplo, Western Union, Money Gram) ou vouchers pré-pagos (Money
Parque). Estes são frequentemente usados por criminosos para transferir fundos [8 8] Para descontar o dinheiro, esses serviços
vícios requerem apenas um código único e um documento de identificação. Dependendo do país
onde o criminoso está localizado, no entanto, a exigência de identificação pode não ser muito rigorosa.
Historicamente, outros métodos de pagamento 'anônimos' existiram, como Liberty Reserve, Web
Dinheiro e eGold [ ] Essas moedas virtuais permitem que os criminosos façam pagamentos facilmente
porque eles aproveitaram as regulamentações vagas em seu país de origem (por exemplo, Liberty Reserve
estava sediado na Costa Rica). Após a repressão a esses métodos de pagamento por parte das autoridades policiais,
www.cybok.org
15
Break Into Server
Figura . : Exemplo de uma árvore de ataque que descreve a ação de invasão de um servidor.
https://translate.googleusercontent.com/translate_f 214/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
os criminosos mudaram-se para outros métodos de pagamento.
Criptomoedas. No momento em que este artigo foi escrito, provavelmente a forma mais segura de pagamento para
criminosos são criptomoedas. Esses pagamentos se tornaram populares para vários tipos de
operações cibercriminosas, de ransomware [ 8 ] para pagamentos do mercado de drogas [ ] Enquanto re-
pesquisa mostrou que os clientes estão relutantes em usar serviços que aceitam apenas criptocur-
rencies [ 8 ], este tipo de pagamento ainda funciona quando as vítimas não têm escolha (por exemplo, no caso
de ransomware) ou estão muito motivados (por exemplo, no caso de mercados de drogas).
Embora mais anônimo do que outros métodos de pagamento, a pesquisa mostrou que os pagamentos
feito em Bitcoin pode ser rastreado [8 ] Além disso, muitas vezes as criptomoedas precisam ser convertidas
em dinheiro real por criminosos, e o dinheiro deixa de ser anônimo nesse ponto. Adicional
preocupações surgem dos riscos envolvidos em fazer pagamentos em bolsas de criptomoedas.
Moore et al. mostrou que não é incomum que as trocas de Bitcoins sofram violações que
resultar em perdas de moeda [8 ] Saia dos golpes, onde uma troca desaparece com toda a moeda
rência armazenada nele, também são um problema [8 ]
Conforme mostrado nas seções anteriores, as operações maliciosas podem ser bastante complexas e envolver
múltiplos elementos técnicos e múltiplos atores. É, portanto, necessário que os defensores
têm os meios adequados para compreender essas operações, para que possam desenvolver o
melhores contramedidas. A seguir, levantamos uma série de modelos que foram
proposto para modelar operações maliciosas. Esses modelos vêm de várias áreas de pesquisa,
incluindo segurança de computador, criminologia e estudos de guerra. Observe que por razões de espaço nós
não pode discutir todas as técnicas que foram propostas na literatura para modelar ataques.
Para uma lista mais abrangente, indicamos ao leitor [8 6]
Árvores de ataque
A primeira forma de modelar ataques contra sistemas de computador envolve árvores de ataque [] . Ataque
as árvores fornecem uma maneira formalizada de visualizar a segurança de um sistema durante um ataque. Em um ataque
árvore, o nó raiz é o objetivo do ataque, e seus nós filhos são as maneiras que um invasor pode
atingir esse objetivo. Descendo na árvore, cada nó se torna um sub-objetivo que é necessário para o
ataque para ter sucesso, e seus filhos são maneiras possíveis de alcançá-lo.
As árvores de ataque permitem dois tipos de nós, ' ou ' nós e ' e ' nós. Nós 'ou' representam o
maneiras diferentes de os atacantes atingirem um objetivo (ou seja, os filhos de qualquer nó na Figura) .) 'E'
nós, por outro lado, representam as diferentes etapas que todos precisam ser concluídos para
alcançar a meta. Uma vez que a árvore foi criada, os analistas de segurança podem anotá-la como
avaliar o risco do sistema para o ataque, por exemplo, marcando as várias estratégias de ataque como
viável ou inviável, atribuindo pontuações de probabilidade a eles ou estimando o custo para
um invasor para executar uma determinada ação. As pontuações podem ser propagadas ao longo da árvore
seguindo regras específicas [ ] para avaliar a viabilidade geral e a probabilidade do ataque.
Outro modelo relacionado às árvores de ataque são os gráficos de ataque [8 ] Enquanto as árvores de ataque são
limitado a alvos únicos, os gráficos de ataque permitem modelar atores de ataque, vetores, vulnerabilidades,
e ativos. Outro modelo útil para entender os ataques de rede são as redes de ataque [8 8]
Mate as correntes
Outra ferramenta útil que pode ser usada para modelar e entender os ataques são as cadeias de destruição . No
https://translate.googleusercontent.com/translate_f 215/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
contexto militar, uma cadeia de morte é um modelo que identifica as várias fases envolvidas em um ataque
aderência. No mundo da informática, Hutchins et al. desenvolveu uma Cyber Kill Chain [8 ] que modela
as diferentes etapas envolvidas em uma operação maliciosa conduzida contra sistemas de computador.
Em seu modelo, Hutchins et al. identificar sete fases. O modelo é projetado para operações
onde o invasor identifica, compromete e posteriormente explora um sistema de computador e, portanto,
portanto, nem todas as fases se aplicam a todos os comportamentos adversários discutidos neste documento.
As sete fases são as seguintes:
. Reconhecimento , quando os atacantes identificam possíveis alvos. Esta fase pode compreender
um invasor varrendo a rede à procura de servidores vulneráveis ou um comprador de spammer
uma lista de endereços de e-mail de vítimas no mercado negro.
. Armamento , quando um atacante prepara a carga de ataque para uso. Isso poderia con
consistir no desenvolvimento de uma exploração de software contra uma vulnerabilidade ou criação recém-identificada
um e-mail de fraude de taxa antecipada.
. Entrega , quando o atacante transmite a carga útil para sua vítima. Isso poderia consistir em
configurar um servidor da web malicioso, comprar espaço publicitário para executar um malver
tising ataque ou enviar um e-mail contendo um anexo malicioso.
https://en.wikipedia.org/wiki/Kill_chain
www.cybok.org
. Exploração , quando a vulnerabilidade do alvo é explorada. Esta fase pode implicar um drive-
por ataque de download ou a vítima sendo induzida a clicar em um anexo malicioso
através do engano.
. Instalação , quando o software malicioso é baixado, permitindo assim que o invasor ben-
et da máquina da vítima. Em seu artigo, Hutchins et al. considerado um invasor quer
para manter acesso constante ao computador da vítima, usando um tipo de malware conhecido
como um Trojan de acesso remoto (RATO) [ 8]
. Ações sobre os objetivos , quando a infecção é monetizada. Isso pode envolver roubo
informações confidenciais do computador da vítima, criptografando os dados da vítima com
somware, mineração de criptomoedas, etc.
Para cada uma das sete etapas, Hutchins et al. estratégias identificadas para interromper o mal-intencionado
operações, seguindo cinco objetivos possíveis (detectar, negar, interromper, degradar, enganar). Exemplos
dessas técnicas incluem correção de vulnerabilidades, configuração de sistemas de detecção de intrusão
na rede ou enganando o invasor configurando honeypots [8 ]
Cadeias de morte semelhantes foram propostas por outros pesquisadores ao longo dos anos. Um exemplo é o
um proposto por Gu et al. para modelar infecções de botnet [688] Neste modelo, os autores identificam
cinco fases em que uma infecção é separada: uma varredura de entrada (semelhante à fase um no
modelo descrito anteriormente), uma infecção de entrada (semelhante à fase quatro do anterior
modelo), um download de 'ovo' (análogo à fase cinco), uma fase C&C (o mesmo que a fase seis),
e uma varredura de saída. No momento de desenvolver este modelo, os botnets agiam principalmente como
worms de computador [8 ], procurando computadores vulneráveis, infectando-os e usando-os
para se propagar ainda mais. Embora este modelo representasse corretamente os primeiros botnets, ele parou de mapear
realidade quando os botmasters começaram a usar outros métodos para instalar malware e monetizar
suas infecções. Hoje em dia, os vermes estão quase extintos, com exceção dos infames
Malware WannaCry [8 ] Este exemplo mostra que é difícil desenvolver modelos de atacante
comportamentos que são resilientes a mudanças no modus operandi dos atacantes.
Criminologia ambiental
Embora o cibercrime seja uma ameaça relativamente nova, o crime físico tem sido estudado por estudiosos para
décadas. É, portanto, interessante investigar se este corpo de conhecimento estabelecido
A vantagem pode ser aplicada para melhor compreender e mitigar a ameaça emergente do crime online.
A criminologia ambiental, em particular, é um ramo da criminologia que se concentra na criminalidade
padrões em relação ao espaço onde estão comprometidos e às atividades dos atores
envolvidos (vítimas, perpetradores e tutores) [8 ] Um desafio particular que surge quando
que tentamos aplicar a teoria da criminologia ambiental ao crime cibernético é que o conceito de
'lugar' na Internet não é tão bem definido como no mundo real. A seguir, nós brevemente
analise os conceitos-chave da criminologia ambiental e forneça alguns exemplos de como
https://translate.googleusercontent.com/translate_f 216/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
eles poderiam ser aplicados para mitigar o crime na Internet.
Teoria da atividade de rotina. A teoria da atividade de rotina é um conceito comumente usado em ambiente
criminologia, postulando que a ocorrência de crime é principalmente influenciada por uma
oportunidade para alguém cometer um crime [8 ] Em particular, a teoria da atividade de rotina afirma que
para que um crime aconteça, três componentes precisam convergir: (i) um criminoso motivado, (ii) um
alvo adequado e (iii) a ausência de um guardião capaz.
Esses conceitos podem ser úteis para melhor modelar atividades maliciosas online. Por exemplo,
a pesquisa mostrou que a atividade de botnet atinge um pico durante o dia, quando a maioria das vulnerabilidades
computadores aptos são ligados e as vítimas os estão usando, embora caia significativamente
durante a noite [ 6] Em termos da teoria da atividade de rotina, isso pode ser traduzido no fato de que quando
mais vítimas em potencial estão online, a oportunidade para os criminosos infectá-las aumenta e
isso resulta em um aumento na atividade do botnet.
Teoria da escolha racional. A teoria da escolha racional visa fornecer um modelo de por que os infratores
fazer escolhas racionais para cometer crimes [8 ] No caso do cibercrime, este modelo poderia
ser útil para entender a reação dos criminosos à mitigação como uma escolha racional, e
ajudar a modelar as questões de implementação introduzidas pela prevenção situacional do crime, como
como deslocamento. Por exemplo, quando um provedor de hospedagem à prova de balas é retirado por lei
fiscalização, quais fatores influenciam na escolha do criminoso do próximo provedor?
Teoria padrão do crime. Outra teoria, chamada de teoria padrão do crime , permite que os pesquisadores
para identificar vários locais que estão relacionados com o crime. Esses lugares são susceptíveis de atrair a ofensa-
( atratores de crime ), eles geram crime pela disponibilidade de oportunidades de crime (crime
geradores ) e possibilitam o crime pela ausência de gestores de local ( facilitadores do crime ).
Embora definir lugares no ciberespaço não seja tão simples quanto no espaço físico, pense-
em termos de teoria de padrões pode ajudar a identificar locais que são pontos críticos para o crime cibernético,
se são alvos particularmente atraentes, como corporações que armazenam dados confidenciais
(atratores), sistemas mal configurados que são mais fáceis de comprometer (geradores) ou online
serviços com higiene precária que não reagem prontamente a spam / malware postado em sua plataforma
formulários (habilitadores). A identificação desses pontos de acesso pode, então, ser usada para projetar contra-
medidas contra a atividade maliciosa (por exemplo, a quem direcionar as campanhas educacionais).
Prevenção do crime situacional. A prevenção situacional do crime compreende um conjunto de teorias e
técnicas que visam reduzir o crime, reduzindo as oportunidades de crime [8 ] As ideias
por trás da prevenção situacional do crime são baseadas em três conceitos principais, que também se aplicam a
cibercrime:
• É muito mais provável que o crime aconteça em certos lugares ( pontos críticos ). Esta ideia se aplica a
o contexto do cibercrime. Como vimos, os criminosos tendem a concentrar seus males
servidores ciosos em provedores de serviços de hospedagem à prova de balas, que lhes fornecem garantia
tees que suas operações podem continuar por longos períodos de tempo. Na extremidade oposta
do espectro, em relação às vítimas, os criminosos tendem a visar computadores com vulneráveis
configurações de software, que também constituem pontos de acesso nesta acepção.
• O crime está concentrado em 'produtos quentes' em particular. Isso também se aplica ao crime cibernético, com
canalhas se concentrando em quaisquer operações que gerem os maiores lucros (ou seja, no momento
de escrita, ransomware).
• Vítimas repetidas têm maior probabilidade de sofrer crimes em comparação com outras pessoas. No
contexto do cibercrime, o mesmo conceito se aplica. Um computador vulnerável que não é
patcheado provavelmente será comprometido novamente [8 ] Da mesma forma, no caso de taxa de adiantamento
fraude, as vítimas tendem a cair repetidamente na fraude, porque a narrativa usada pelo
os criminosos ressoam particularmente com eles [ ] Além da predisposição natural
das vítimas que caem em golpes semelhantes novamente, os criminosos procuram ativamente entrar em contato com as vítimas anteriores
de fraude, compilando as chamadas listas de otários e compartilhando-as entre si [8 6]
Para reduzir as oportunidades de crime, a prevenção situacional do crime propõe cinco categorias
de mitigações. A seguir, nós os listamos junto com alguns exemplos de mitigações contra
www.cybok.org
https://translate.googleusercontent.com/translate_f 217/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
crimes cibernéticos que foram propostos na literatura da ciência da computação e que podem ser
agrupados nestas categorias:
• Aumentar o risco de crime. As atenuações aqui incluem a redução do anonimato no pagamento (por exemplo,
solicitar um documento de identidade quando alguém descontar dinheiro do Western Union).
• Reduza as provocações. Os exemplos aqui incluem a aplicação de pressão de pares a ISPs não autorizados e
bancos.
• Remova as desculpas. Mitigações típicas nesta categoria incluem a realização de campanhas educacionais
paigns ou configurar redirecionamentos automatizados para desviar as vítimas que teriam visto mali
conteúdo importante, explique-lhes o que aconteceu e incentive-os a proteger seus sistemas.
A adaptação incorpora o fato de que os criminosos tentarão ativamente contornar qualquer mitigação
ção tornando sua operação mais furtiva ou mais sofisticada. Esta é uma corrida armamentista típica
que pode ser observado em pesquisas de segurança de computador. Quando os pesquisadores começaram a compilar
listas negras de endereços IP conhecidos por pertencerem a servidores C&C , os criminosos reagiram desenvolvendo
Fluxo rápido. Quando fazer pagamentos por meios tradicionais se tornou mais difícil devido a
Com o aumento da verificação, os criminosos passaram a criptomoedas. Considerando que a adaptação é importante
importante ao projetar medidas de mitigação contra o crime cibernético. Em particular, mitigações eficazes são
aqueles aos quais o criminoso não pode reagir facilmente, ou onde a adaptação vem em um nanceiro
preço (por exemplo, uma redução na receita).
O deslocamento representa o fato de que uma vez que as mitigações são implementadas, os criminosos podem simplesmente
mover suas operações para outro lugar. Enquanto no mundo físico, a distância que os criminosos podem viajar é
ditado por restrições práticas, na Internet mover-se de um 'lugar' para outro é virtu-
almente grátis. Exemplos de deslocamento incluem criminosos que começam a registrar domínios DNS com
outro registrador depois de seu preferencial aumentou o preço do domínio para conter o uso indevido [8 ], ou
uma infinidade de mercados de drogas se abrindo para preencher a lacuna deixada pela queda do Silk Road] [Deslocar-
efeitos mentais são importantes ao planejar ações contra o crime cibernético. De um modo geral, um
a mitigação deve tornar difícil para os criminosos se mudarem para outro lugar. Por outro lado, um atenuante
ação que simplesmente desloca uma operação cibercriminosa sem afetar sua eficácia é
provavelmente não vale a pena perseguir.
per l, ao identificar uma vítima adequada, passam por uma fase de catação, seguida da própria
fraude quando o golpista pede dinheiro à vítima. Dissecando as várias etapas de um
ofensa pode ser útil para melhor compreendê-la e para identificar possíveis intervenções. Crime
o script está de alguma forma relacionado às cadeias de destruição, embora as duas técnicas tenham sido desenvolvidas em
áreas totalmente independentes.
https://translate.googleusercontent.com/translate_f 218/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Thomas et al. apresentou um modelo que foi projetado para acompanhar um fluxo de dinheiro dentro de um sistema cibernético
operação criminosa [8 ] Como parte deste modelo, eles introduziram dois elementos que são necessários
para que uma operação de cibercrime seja executada: centros de lucro , por meio dos quais as vítimas transferem novo capital
na operação criminosa, e centros de apoio , que podem facilitar a operação criminosa por
prestação de vários serviços mediante pagamento. O dinheiro é introduzido no ecossistema por meio do lucro
centros, e então é consumido pelos vários atores envolvidos nele, que fornecem ferramentas e
serviços uns para os outros. Por exemplo, em uma operação de spam por e-mail, o centro de lucros
ser vítimas de compra de medicamentos falsificados de um programa afiliado, enquanto todos os
serviços necessários para que os spammers operem (por exemplo, provedores de hospedagem à prova de balas para hospedar o
Servidores C&C , serviços pay-per-install para entregar malware, serviços de geração de conteúdo para
criar o conteúdo de spam) são centros de suporte. Este modelo fornece um conceito interessante
análise de como o dinheiro flui para o ecossistema do cibercriminoso e como a riqueza é dividida
entre os diferentes atores lá. Fazendo referência cruzada com dados do mundo real, ele também pode
ajudam a formar uma ideia do lucro que cada criminoso está ganhando, e da receita do
Operação.
Outro aspecto interessante de rastrear o fluxo de caixa das operações de cibercriminosos é que em
em algum momento, os criminosos vão querer sacar, o que será feito usando o pagamento tradicional
métodos (consulte a seção .) Uma vez que essas interações acontecem no mundo físico, é mais fácil
para a aplicação da lei rastreá-los e potencialmente apreender os criminosos [8 ]
Atribuição de ataque
Ao falar sobre atividades maliciosas, a atribuição é importante. A aplicação da lei é inter-
está empenhada em compreender quais são os criminosos por trás de uma determinada operação e, em particular,
tributar operações cibercriminosas aparentemente não relacionadas aos mesmos atores pode ajudar a construir
um caso legal contra eles. Da mesma forma, os governos estão interessados em identificar o
culpados por trás dos ataques que recebem. Em particular, eles estão interessados em descobrir quais
estados-nação (ou seja, países) estão por trás desses ataques.
www.cybok.org
A primeira é que a mercantilização dos serviços do cibercrime permitiu que os invasores usassem exploit
kits, que contêm um grande número de exploits e, portanto, aumentam a probabilidade de um ataque
aderência acontecendo. Embora vantajoso para os invasores, essa tendência significa que os exploits usados
vem um sinal menos significativo para identificar invasores, especialmente aqueles que não têm o
sofisticação para explorar vulnerabilidades internamente (por exemplo, cibercriminosos habilitados para a Internet). O ex-
A percepção dessa tendência são os atores patrocinados pelo Estado, que, ao contrário dos criminosos tradicionais, geralmente têm
alvos muito específicos. Por esse motivo, eles podem ajustar seus ataques com mais cuidado e até mesmo
desenvolver novos exploits para atingir uma vítima específica. Mais importante, eles costumam desenvolver exploits
para vulnerabilidades que não são conhecidas publicamente, também conhecidas como ataques de dia zero [ ] Sendo
exclusivos de um ator, eles podem ser usados para identificar quem está por trás de um ataque específico. Um problema
aqui é que, uma vez que um exploit é usado, ele pode ser interceptado pela vítima (ou qualquer pessoa no
rede) e posteriormente usado contra outro alvo afetado pela mesma vulnerabilidade. Isso seria
enganar ativamente a atribuição. Vazamentos recentes mostraram que a CIA tem coletado ativamente
explorando explorações usadas por outros estados-nação e adicionando-as ao seu arsenal, permitindo-lhes
para fazer parecer que outro país estava por trás de qualquer ataque de computador.8
Rid et al. propôs uma estrutura para sistematizar os esforços de atribuição de ataques cibernéticos [8 ]
Dentro desta estrutura, eles identificaram três camadas de análise que são necessárias para
executar atribuição: tática, operacional e estratégica. O componente tático consiste em
compreender os aspectos técnicos que compuseram o ataque (o como ), o operacional
componente consiste em compreender a arquitetura de características de alto nível do ataque e
o tipo de invasor com o qual estamos lidando (o quê ), enquanto o componente estratégico trata
com a compreensão da motivação por trás do ataque (o porquê ).
Embora essa estrutura tenha sido desenvolvida com ataques patrocinados pelo estado em mente, ela pode ser usada
para atribuir outros tipos de atividades maliciosas. Por exemplo, para atribuir um ataque de ódio online
orquestrado pelo Conselho Politicamente Incorreto da chan, [ ] alguém poderia rastrear as mensagens de ódio
https://translate.googleusercontent.com/translate_f 219/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
chegar à vítima ( como ), observe as informações pessoais da vítima no quadro (o que )
e analisar a discussão sobre a vítima para entender a motivação por trás do ataque
( por que ).
CONCLUSÃO
Neste documento, apresentamos uma visão geral dos comportamentos adversários que existem no
Internet no momento em que este artigo foi escrito. Pesquisamos vários tipos de operações maliciosas, depend
nas motivações e capacidades do invasor, e analisou os componentes que são
necessário para configurar operações maliciosas bem-sucedidas. Finalmente, descrevemos uma série de mod-
elling técnicas de uma variedade de campos (ciência da computação, criminologia, estudos de guerra) que
pode ajudar pesquisadores e profissionais a modelar melhor essas operações. Argumentamos que
ing bons modelos é de fundamental importância para o desenvolvimento de mitigações eficazes que são
difícil de contornar.
8 https://en.wikipedia.org/wiki/Vault_
www.cybok.org
Seções Cita
https://translate.googleusercontent.com/translate_f 220/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
https://translate.googleusercontent.com/translate_f 221/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 277
Capítulo 8
Operações de segurança e
Gestão de Incidentes
Hervé Debar Telecom SudParis
INTRODUÇÃO
As raízes das operações de segurança e gerenciamento de incidentes (ENTÃO EU ESTOU) podem ser rastreados até a origem
relatório final de James Anderson [8 ] em 8. Este relatório teoriza que a proteção total do
a infraestrutura de informação e comunicação é impossível. De uma perspectiva técnica,
exigiria controle e certificação completos e onipresentes, o que bloquearia ou limitaria
utilidade e usabilidade. Do ponto de vista econômico, o custo das medidas de proteção
e a perda relacionada ao uso limitado requer efetivamente um equilíbrio entre abertura e
protecção, geralmente a favor da abertura. A partir daí, o relatório promove o uso de
https://translate.googleusercontent.com/translate_f 222/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
técnicas de detecção para complementar a proteção. Os próximos dez anos viram o desenvolvimento de
a teoria original de detecção de intrusão por Denning [8 ], que ainda forma o teórico
base da maior parte do trabalho detalhado neste KA.
Operações de segurança e gerenciamento de incidentes podem ser vistos como um aplicativo e um sistema automático
ção do Monitor Analisar Plano Executar-Conhecimento (MAPE-K) loop de computação autônomo
para cibersegurança [8 ], mesmo que este loop tenha sido definido mais tarde do que os desenvolvimentos iniciais de
ENTÃO EU ESTOU. A computação autônoma visa adaptar os sistemas de TIC às mudanças nas condições de operação.
O laço, descrito na figura 8., é impulsionado pelo eventos que fornecem informações sobre o atual
comportamento do sistema. As várias etapas sequenciais do loop analisam o fluxo de eventos
(vestígio) para fornecer feedback ao sistema, mudando seu comportamento de acordo com as observações
e políticas, permitindo a adaptação automática para melhor atender os usuários. O desenvolvimento
mentos de SOIM aumentaram em automação e complexidade ao longo dos anos, como resultado de
nossa confiança cada vez maior na prestação de serviço adequada da infraestrutura de TIC . Estes desenvolvem
Os opcionais lentamente cobriram a maior parte do espectro do loop MAPE-K .
www.cybok.org
CONTENTE
8 CONCEITOS FUNDAMENTAIS
[8 , 8]
https://translate.googleusercontent.com/translate_f 223/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A Figura 8. ilustra as posições dos componentes que realizam os fluxos de trabalho SOIM , usando
ing três loops parciais. O mais interno, Sistema de detecção de intrusãos (IDS), era o assunto
dos primeiros trabalhos, cobrindo monitoramento e detecção. O segundo, Informações de Segurança
A atividade do Monitor é essencialmente coberta pelo IDSes. As várias fontes de dados incluídas no
o escopo do monitoramento são descritos na seção 8..
A atividade Analisar , também coberta pelo IDSes, visa determinar se algumas das informações
ção adquirida constitui evidência de um ataque potencial. De a, muitas pesquisas
projetos desenvolvidos protótipos avançados de Sistema de Detecção de Intrusão . Como resultado, o primeiro
IDS baseado em rede foi comercializado em 6, automatizando a primeira parte do MAPE-K
ciclo. No entanto, a seção 8. ilustra que as restrições associadas a eventos em tempo real
o processamento e a cobertura limitada requerem ferramentas adicionais. Este é o objetivo do segundo
loop, plataformas SIEM .
As três primeiras atividades ( Monitorar , Analisar , Planejar ) agora são total ou parcialmente automatizadas. Au-
automação é absolutamente necessária para lidar com a grande quantidade de dados de eventos gerados por
sistemas modernos de TIC , e para descrever o vasto corpo de conhecimento relacionado a ataques cibernéticos.
Todos eles contam com um grande corpo de conhecimento, abrangendo, por exemplo, a con guração de um mon-
https://translate.googleusercontent.com/translate_f 224/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
sistema itored, ou assinatura de detecçãos de muitos tipos e formas. Novas tendências também estão surgindo
por exemplo, Cyber-Threat Intelligence (CTI) (seção 8.6.), para melhor compreender e de-
defenda-se contra ataques cibernéticos. Este é o tópico de Orquestração de segurança, análises e relatórios
(PLANAR), que visa apoiar melhores respostas às ameaças, bem como mais informações globais
troca de informações. A sigla SOAR descreve um conjunto cada vez mais necessário de funcionalidades
estendendo a cobertura SOIM para gerenciamento de riscos e incidentes.
www.cybok.org
Um Sistema de Informação, conectado (ou não) à Internet, está sujeito a ataques. Nem todos esses
ataques podem ser bloqueados por mecanismos de proteção, como paredes duplas. Melhores práticas recomendadas
remendar zonas de ning de sensibilidades diferentes, para controlar a troca de dados. Isso freqüentemente
e minimamente assume a forma de uma Zona Desmilitarizada (DMZ) localizado entre o pri-
rede vate e a Internet externa, para servir como terminação de comunicação, troca e
maior escrutínio por meio do monitoramento. Para detectar ameaças que não são bloqueadas pela proteção
mecanismos, os operadores implantam o sistema de prevenção de intrusãos ( IDPS) Sensor IDPSs pode usar
sistema (seção 8.. ) ou arquivos de log do aplicativo (seção 8..), representado como páginas na figura
. Eles também podem ser implantados no nível da rede (seção 8..), representado como os dois maiores
equipamentos com lupa.
A infraestrutura SOIM é mostrada na parte inferior da figura 8.. O sensorfrequentemente tem pelo menos
dois anexos de rede, um invisível na rede monitorada do Sistema de Informação para
coleta e análise de dados, e um regular em uma infra- estrutura de rede SOIM específica protegida
estrutura, onde o SIEM está instalado e recebe o alertas. Analistas man consoles para re-
alerta ceivos, avalie seu impacto e implemente as ações de mitigação apropriadas. Homem do sensor
agement pode usar este anexo de rede secundária como um canal de manutenção
para atualizações de software e assinatura, ou use ainda outro mecanismo, como um dispositivo virtual privado
rede para realizar a manutenção do sensor.
O domínio SOIM também implica processos, que são de nidos pelo Chief Information Secu-
rity Of cer e seguido por analistas. O primeiro processo está relacionado ao processamento de alertas , onde
https://translate.googleusercontent.com/translate_f 225/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Operações de segurança e gerenciamento de incidentes da KA | Outubro Página
o operador, com a ajuda de técnicas de apoio à decisão fornecidas pelo SIEM, vai decidir
ignorar o alerta, reaja a ele seguindo os procedimentos ou encaminhe o alerta para analistas qualificados para
posterior análise, diagnóstico e decisão. O segundo processo é a implantação e manutenção
nance de sensores, decidindo onde localizá-los, o que capturar e como manter
monitoramento contínuo. O terceiro processo é o relatório, particularmente crucial para serviços gerenciados
vícios, onde o funcionamento do SIEM e SOC são analisados para melhoria.
A Figura 8. fornece uma visão conceitual simplificada de possíveis fontes de dados. Os retângulos
descrever conceitos. Os ovais descrevem implementações concretas dessas fontes de dados. O
retângulos arredondados descrevem um formato real, syslog, documentado e padronizado, que
desempenha um papel específico. Por ser um protocolo e formato padronizados, também oferece suporte a feeds de registro
fornecidos por equipamentos de rede, sistemas operacionais e aplicativos.
www.cybok.org
A Figura 8. não está de forma alguma completa. Muitas fontes de dados foram consideradas ao longo dos anos,
dependendo dos requisitos do caso de uso e dos algoritmos de detecção.
As fontes de dados descrevem amplamente os relatórios de comportamentos do host em sistemas operacionais ou ap-
plicações, ou comportamentos de rede relatando padrões de comunicação.
As fontes de dados são fluxos de eventos , rastreios de atividade que representam os serviços acessados pelo
usuários de um Sistema de Informação. As fontes de dados são entradas para o sensors, que produzem alertas como
https://translate.googleusercontent.com/translate_f 226/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
saídas. Os alertas representam informações de interesse de uma perspectiva de segurança. No geral
caso, um evento ou fluxo de eventos, adquirido por um sensor, gera um alerta que sintetiza
o problema de segurança encontrado pelo sensor. Os alertas são abordados na seção 8...
A mudança para recursos externos, como provedores de nuvem ou provedores de serviços de Internet pode
limitar a disponibilidade de algumas das fontes de dados, por razões práticas, como volume ou
devido a restrições de privacidade e emaranhamento de vários dados do cliente no mesmo rastreamento. Isto
também é possível que rastreamentos de ambientes hospedados possam ser comprometidos ou feitos
disponível sem o conhecimento ou autorização do cliente.
O tipo mais prevalente de dados de tráfego de rede é a captura de pacote completo, exemplificada pela
biblioteca libpcap e os aplicativos tcpdump e threadshark. A biblioteca pcap foi portada
para muitos ambientes e está amplamente disponível como código aberto, daí o seu sucesso. Numerosas
conjuntos de dados foram disponibilizados ou trocados de forma privada como pcaps, por quase tanto tempo quanto
A pesquisa de detecção de intrusão existe e precisa ser avaliada. Enquanto a captura de pacotes é
amplamente utilizado, não significa que esta informação seja armazenada no sensors. O armazenamento de pcaps requer
uma enorme quantidade de armazenamento, portanto, os arquivos pcap são frequentemente reservados para conjuntos de dados de pesquisa ou
fins forenses. Sensores baseados em rede podem oferecer a capacidade de armazenar alguns pacotes
junto com um alerta quando ocorre uma detecção, geralmente o pacote que acionou a detecção
e alguns pertencentes ao mesmo contexto (TCPetc.) que apareceu rapidamente depois.
Esse recurso geralmente é limitado à detecção de uso indevido.
A biblioteca pcap requer a disponibilidade de uma interface de rede que pode ser colocada nos chamados
modo promíscuo , o que significa que a interface irá recuperar todos os pacotes da rede, mesmo
os que não são dirigidos a ele. Além disso, não há necessidade de vincular um endereço IP à rede
interface de trabalho para capturar tráfego c. Na verdade, essa é uma prática recomendada para evitar interferências.
Isso significa que, em geral, a captura de pacotes pode ocorrer silenciosamente e é indetectável. Apesar de
sua popularidade, existem alguns problemas com o formato pcap que precisam ser considerados quando
manipulando-o.
Os Pcapes de volume tendem a ser extremamente grandes para qualquer uso operacional prático. Isso frequentemente
limita a captura para a investigação. Os sensores geralmente analisam o tráfego de rede no y
mas não registre os pacotes reais.
Tamanho do pacote A configuração padrão da biblioteca adquire apenas o início (cabeçalhos) de
um pacote IP. Isso significa que um rastreamento de pacote pode ser limitado apenas às informações do cabeçalho.
https://translate.googleusercontent.com/translate_f 227/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
compreender e reproduzir.
Criptografia Tráfego criptografado e, particularmente, TLS, é generalizado. TLS garante tanto o auto
a autenticação do servidor ao cliente e a confidencialidade da troca sobre o
rede. Para o monitoramento, a questão é o segundo aspecto, a impossibilidade de analisar
a carga útil dos pacotes. A abordagem clássica para este problema é colocar um
caixa dedicada próxima ao servidor de aplicativos (web, e-mail, etc.), muitas vezes chamada de Hard-
Módulo de segurança de ware (HSM) O HSM é responsável por estabelecer a sessão TLS
antes que o servidor de aplicativos forneça qualquer conteúdo. Isso move a carga do estabelecimento
a sessão TLS fora do servidor de aplicativos. TLS- o tráfego protegido é criptografado
e descriptografado no HSM, e ows em claro para o servidor. Isso permite
IDPSes e WAFs para analisar o tráfego c.
Devido à mudança de requisitos, novos protocolos de rede foram introduzidos para apoiar o
Internet das coisas (IoT) Protocolos de comunicação de baixa potência, como LR, têm limitações
tanto no tamanho do pacote quanto no número de pacotes que podem ser transmitidos por dia. Esses
protocolos de comunicação são usados principalmente hoje como coleta de dados em grande escala. Desse modo,
IDPSprecisarão de informações sobre o contexto da comunicação para fornecer informações úteis
proteção. Os protocolos isossíncronos em uso, como P IRT, têm requisitos rigorosos
em termos de tempo de ciclo de comunicação e determinismo. Esses protocolos são normalmente usados
em ambientes de manufatura. Como eles dependem principalmente de hubs para comunicação, inserindo um
sensor baseado em rede pode parecer fácil. No entanto, os requisitos de tempo estritos de tais
tocols requerem validação cuidadosa de que o IDPS não altera esses requisitos. Além disso, este
necessita da implantação de um segundo canal de comunicação para o IDPS enviar alertass
para um SIEM, que pode ser caro, tecnicamente difícil e pode introduzir vulnerabilidades adicionais
laços com o sistema.
www.cybok.org
Net ow [8 , 8 8] é uma ferramenta de monitoramento de rede amplamente usada para detectar e visualizar
incidente de seguranças em redes [ 8 , 86] Em resumo, este protocolo registra contadores de pacotes
cabeçalhos que fluem através das interfaces de rede do roteador. Inicialmente desenvolvido pela Cisco, foi
padronizado como IPFix, RFC .
Como o Net ow foi desenvolvido por fornecedores de equipamentos de rede, é extremamente bem integrado
em redes e amplamente utilizado para tarefas de gerenciamento de rede. É padronizado e até
embora os nomes comerciais sejam diferentes, informações semelhantes são coletadas pelos fabricantes
apoiar a tecnologia. Seus usos mais fortes são certamente a visualização da comunicação em rede
ções e relacionamentos, [8 ] e destacando os padrões de comunicação. Análise visual -
vide uma maneira amigável de entender as anomalias e seu impacto. Portanto, o fluxo da rede também é
amplamente utilizado para tarefas de segurança cibernética.
O fluxo líquido, no entanto, pode sofrer degradação de desempenho, tanto em termos de computação
e armazenamento. O tratamento de pacotes para calcular os contadores de fluxo de rede requer acesso à CPU dos roteadores
(central ou em placas de interface). Isso reduz significativamente o desempenho dos equipamentos de rede
mento. Roteadores mais novos agora são capazes de gerar registros de fluxo de rede na camada de hardware, portanto
limitar o impacto no desempenho. Outra alternativa é expandir ou tocar em uma interface de rede
e gerar os registros de fluxo de rede independentemente do equipamento de roteamento.
Originalmente, para limitar o impacto no desempenho da CPU , os operadores costumam implantar o fluxo de rede na amostragem
modo, onde apenas um em cada vários milhares de pacotes é analisado. Assim, a vista gravada
pela rede pode ser extremamente limitado e pode perder completamente o eventos que não alcançam o
escala da amostragem. Exceto para eventos de negação de serviço em grande escalas, portanto, é difícil
confie apenas na amostra do fluxo de rede para segurança.
https://translate.googleusercontent.com/translate_f 228/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para ataques e detecção. Relatórios sobre roteamento ou operações de nomenclatura requerem ac-
acesso a uma visão da infraestrutura. Operadores que participam do roteamento e nomeação geralmente
confie no syslog para coletar informações.
www.cybok.org
8.. . Nomeação
O Sistema de Nomes de Domínio (DNS) é um dos serviços mais importantes da Internet. Resolve
nomes de domínio, bits de texto significativos, para endereços IP necessários para comunicações de rede
mas que são difíceis de lembrar. Além disso, a nomenclatura é necessária para a camada de transporte
Segurança (Protocolo TLS , RFC 8 6) e certos mecanismos HTTP , como hospedagem virtual.
Apesar de sua importância, o DNS tem sido objeto de muitas vulnerabilidades e ataquess. O
O principal problema do DNS é a falta de autenticação em sua forma básica. Um invasor pode, portanto,
roubar um domínio por meio de mensagens ou respostas DNS falsas . A implantação de ofertas DNSSEC
uma resposta autenticada a consultas de DNS que fornecerá aos usuários evidências de domínio
propriedade do nome.
O protocolo DNS também é um amplificador DDoS natural , pois é possível para um invasor imitar
o endereço IP de uma vítima em uma solicitação de DNS , fazendo com que o servidor DNS envie mensagens não solicitadas
tráfego para a vítima [86 , 86] Infelizmente, é improvável que a mudança atual para DNSSEC seja
capaz de ajudar [86 , 86]
Outro problema relacionado ao DNS é a detecção de atividade de botnet. Assim que um malware infectar
um computador, ele precisa se comunicar com o servidor C&C para receber pedidos e realizar o
atividade solicitada. Embora não seja o único canal de comunicação C&C usado por pastores de bots,
DNS é atraente como canal de comunicação para invasores porque é um dos poucos
tocols que provavelmente passarão por rewalls e cuja carga útil permanecerá inalterada. Dentro
para que isso funcione, os invasores precisam se configurar e os defensores precisam detectar o que é mal-intencionado
mains [86 ] O mecanismo de defesa mais comum são as listas negras de nomes de domínio DNS , mas seu
e ciência é difícil de avaliar [866] Este mecanismo de defesa de lista negra também pode ser estendido
para outros canais C&C .
Note-se que o DNS não é o único protocolo a ser propenso a DDoS ampli cação de ataques. NTP também é
um culpado frequente [86 ] Mais informações sobre o ataque DDoSs podem ser encontrados em [ 868]
8.. . Encaminhamento
Outra fonte de informação relacionada ao ataques são informações de roteamento. Incidentes no Bor-
A infraestrutura de roteamento do protocolo de gateway tem sido estudada há algum tempo [86 , 8], mas
muitos dos incidentes registradoss são devidos a erro humano. Existem ocorrências registradas de ma-
licious BGP hijacks [8 , 8], mas o esforço exigido pelos invasores para realizar esses ataquess
parece, neste momento, não valer a pena o ganho.
Os aplicativos podem compartilhar arquivos de log por meio da infraestrutura syslog (seção 8. .6) Por exemplo,
o arquivo de log auth.log irá armazenar informações de conexão do usuário independentemente do mecanismo usado
(pam, ssh, etc.).
https://translate.googleusercontent.com/translate_f 229/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Uma fonte frequente de informações é fornecida pelo servidor web e logs de proxy, conhecidos como Com-
Formato de registro mon (CLF) e formato de registro comum estendido (ECLF) Este formato é de fato
padrão fornecido pelo servidor da web Apache e outros. Embora seja muito semelhante ao Syslog,
não há documentos de padrões normalizando o formato. Nesta fase, o padrão WC
para registro permanece um documento de rascunho. Este formato é extremamente simples e fácil de ler. Isto
fornece informações sobre a solicitação (o recurso que o cliente está tentando obter) e
a resposta do servidor, como um código. Assim, tem sido amplamente utilizado na detecção de intrusão
Sistemas ao longo dos anos. O principal problema com o formato é a falta de informações sobre o
servidor, uma vez que o arquivo de log é local para a máquina que está gerando o log.
Como os logs do servidor são gravados assim que a solicitação foi atendida pelo servidor, o ataque também
pronto ocorreu quando o sensor recebe as informações de log. Assim, esta fonte de informação
não satisfaz os requisitos do Sistema de Detecção e Prevenção de Intrusãos ( IDPS),
que precisam ser conectados como interceptores para atuar no fluxo de dados (fluxo de pacotes, instrução
stream), para bloquear a solicitação ou modificar seu conteúdo.
Outra fonte de informações no nível do aplicativo que é particularmente interessante e pode ser
encontrados tanto em trânsito (em redes) quanto em repouso (em sistemas) compreende os documentos produzidos
por alguns desses aplicativos. A introdução de formatos de documentos ricos, como PDF, Instantâneo
ou de suítes de ce, para não mencionar o formato HTML rico usado em trocas de correio hoje, criou
criou uma grande oportunidade para os invasores incluírem malware. Trocado pela web ou via
e-mail, eles constituem outro traço de troca que pode revelar código malicioso incorporado
nesses documentos, como macros ou javascript.
O uso de documentos como fonte de dados é cada vez mais necessário para a detecção de malware.
Outra tendência perseguida por pesquisadores de detecção de intrusão e designers de sistemas operacionais
foi a criação de uma trilha de auditoria específica para gerar um traço de atividade de usuário privilegiado, como
exigido pelo Orange Book . Isso levou ao desenvolvimento de um IDS baseado em host mais preciso
www.cybok.org
como STIDE e eXpert-BSM. Esses traços específicos do sistema são adquiridos por meio de
recepção de chamadas de sistema, que representam a transição entre a execução regular do programa
e solicitação de recursos de kernel protegidos. Isso normalmente é implementado usando um dedicado
trilha de auditoria, conforme especificado no livro Orange , ou acessos de depuração de kernel / processador, como
como ptrace para Linux. No entanto, a complexidade da especificação levou a divergências no
https://translate.googleusercontent.com/translate_f 230/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
implementação da trilha de auditoria pelos diferentes fornecedores de sistemas operacionais. Também impôs
tal penalidade de desempenho para a execução do programa que se tornou impossível operar ICT
sistemas com a trilha de auditoria sendo ativada. Portanto, tornou-se de pouca utilidade e foi quase
claramente removido da maioria dos sistemas operacionais. Este fator impediu o surgimento de um
trilha de auditoria do sistema padrão, mesmo em sistemas operacionais certificados.
Os logs do kernel agora se concentram no monitoramento das operações internas de um sistema operacional, fechar
para o hardware. Eles também são muito diversificados, visando uma ampla gama de dispositivos. Eles
foram integrados no mundo comercial sob o termo 'proteção de endpoint', que tem
tornou-se um termo generalizado para mecanismos antivírus. Isso aborda o problema geral de pro-
proteger não apenas o sistema, mas também os aplicativos, como o navegador ou o cliente de e-mail,
que não apenas trocam dados, mas também executam códigos não confiáveis fornecidos por fontes externas.
Eles contam com interceptores dedicados que capturam apenas a atividade na qual estão interessados
analisando. Isso resolve o problema principal desta fonte de dados, uma granularidade muito ne que garante
tudo é capturado, mas torna a análise e detecção muito difícil, pois é difícil vincular o
código de montagem sendo executado no processador com programas e informações que um usuário
ou o analista pode facilmente compreender e reagir. Malware é o assunto do Malware & At-
abordar a área de conhecimento de tecnologia (Capítulo 6), e no contexto de detecção de malware SOIM
motores e ferramentas de proteção de endpoint são considerados sensoress.
Outros registros fornecem informações de nível superior, como um relatório do processo de inicialização no Unix
máquinas ou na atividade principal do kernel. Esses logs muitas vezes dependem de uma infraestrutura Syslog, como
descrito na seção 8. .6.
8., 6 Syslog
Como já mencionado nesta seção várias vezes, Syslog fornece uma infra-estrutura de registro genérica
estrutura que constitui uma fonte de dados extremamente eficiente para muitos usos.
A fonte inicial para esses logs é o protocolo Syslog, introduzido no BSD Unix, retroespecificado
de implementações existentes por RFC 6. A especificação atual do Syslog é fornecida
por RFC . Esta nova especificação introduz várias melhorias em relação à im-
plementação.
Uma entrada Syslog é uma mensagem de texto com carimbo de data / hora proveniente de uma fonte identificada. Contém
as seguintes informações neste pedido:
Timestamp A data e hora da criação do evento, geralmente em formato de texto com uma resolução
até o segundo.
Nome do host O nome do equipamento que está gerando o log. Pode ser um nome totalmente qualificado
ou um endereço IP ou o host local da máquina local. Usando endereços IP em privado
intervalos ou localhost podem induzir erros ao consolidar logs.
Processo O nome do processo (programa) que gera o log.
Prioridade A prioridade (categoria e gravidade, calculada de acordo com uma fórmula padrão) de
o registro. Na prática, muitas vezes é resumido de acordo com a gravidade em uma escala de (sistema
Mensagem Uma mensagem de bits ASCII qualificando as informações, fornecida pelo desenvolvedor de
a aplicação.
O Syslog também usa a noção de facilidade para categorizar e orientar os logs. Esta informação é ag-
gregado em arquivos diferentes, geralmente no diretório / var / log / em sistemas Unix.
Syslog também é um protocolo, rodando em UDP/. Isso facilita a transmissão, pois o UDP pode ser
resiliente a condições de rede difíceis e perde algumas mensagens sem perder a capacidade.
No entanto, usar UDP muitas vezes requer que a segmentação seja limitada, portanto, um limite sugerido de
o tamanho de uma mensagem Syslog costuma ser em torno de mil bytes. Muitos sistemas incluem um padrão
interface de programação para implementar chamadas para Syslog em aplicativos.
Como mensagem de texto, o Syslog é extremamente útil. Muitas, senão a maioria, implementações pesadas de SOC
confie no Syslog para centralizar ambos os eventosse alertas. Este uso do Syslog é abordado na seção
8.. .
[8 , 8 , 8 , 6 , 8]
Traço coletados são analisados de acordo com diferentes estratégias que visam separar 'bom'
eventos daqueles que indicam ataques. O trabalho fundamental de Denning [ 8] já de-
ned as duas famílias de técnicas de análise de dados que foram pesquisadas, desenvolvidas e
comercializados ao longo dos anos. A detecção de mau uso, detalhada primeiro, visa caracterizar mali-
comportamentos ciosos presentes no traços, a fim de enviar um alerta quando o conjunto de mal-intencionados
evento de comportamentos é reconhecido no traços. Por outro lado, a detecção de anomalias visa caracterizar
ter um comportamento "normal" e enviar um alerta quando o eventoestá traçados não estão associados com
comportamentos normais. Em ambos os casos, um grande número de algoritmos foram descritos no
literatura científica. Alguns desses algoritmos foram aplicados tanto para uso indevido quanto para anomalias
detecção.
Em processos SOIM , e conforme mostrado na figura 8., a análise é realizada por dois componentes, o
sensorse a plataforma SIEM . A Figura 8. refina esse processo. As informações monitoradas
Sistema gera rastreamentos representativos da atividade, como arquivos de registro ou por meio de IDPS dedicado
aparelhos ou software (mostrados como espelhos e arquivos na gura 8.) Um ou vários
eventos em cada traço podem desencadear a geração de um alerta por um sensor. Vários desses alertass,
possivelmente vindo de vários sensores, pode ser montado pelo SIEM no incidenteé aquela necessidade
a serem manuseados pelos operadores.
www.cybok.org
O primeiro sistema de prevenção de intrusõess nesta área são motores antivírus, que capturam
rastreamento de execuçãos, como chamadas de sistema, chamadas de biblioteca ou montagem, identificam patentes maliciosos conhecidos
terns usando a chamada assinaturas que descrevem esses códigos maliciosos e coloque em quarentena o
recipiente associado. O IDPS, portanto, busca exploits, instâncias muito específicas de códigos maliciosos
representado como bitstrings.
ferramentas anti-malware tornaram-se extremamente complexas em resposta, a fim de criar mais eficácia
representações eficientes de exploits e vulnerabilidades. Mais recentemente, os pesquisadores têm
colocou uma assinatura mais genéricas, para tentar capturar o comportamento malicioso de forma mais geral
aliado [8 6] Além disso, o surgimento de caixas de areia e contaminação [ 8 , 8] habilitou o de-
métodos de proteção e proteção que podem detectar malware, apesar da ofuscação e polimor-
phism. Os riscos de assinaturas genéricas são, obviamente, aumentados de falsos positivos e aumentados
dificuldade em compreender o ataque preciso.
Outro ramo da análise do sistema é a análise do sistema UNIX, exemplificada pelo Haystack e
Protótipos NIDES. Esses protótipos visavam criar trilhas de auditoria de alto nível para análise. O
aspecto de canonização dos dados teve um impacto significativo no desempenho de detecção, e o
o estado da arte atual está se concentrando na análise de linguagem binária e montagem para detecção.
Do ponto de vista da rede, um IDPS busca evidências de atividades maliciosas de várias formas.
O código malicioso pode ser encontrado nas cargas dos pacotes. O código malicioso também pode exibir
atividade de rede específica relacionada a comando e controle, acesso a endereços conhecidos ou
para serviços conhecidos. O mais conhecido sistema de detecção de intrusão baseado em rede é
provavelmente Snort [8 6] A linguagem de assinatura do Snort é simples e era um padrão de fato para
descrevendo padrões de ataque , antes de ser substituído pelo YARA. A versão inicial confiava apenas
na correspondência de string, o que o tornou sensível a falsos positivos [8 ] O Suricata IDS, usando
a mesma linguagem de assinatura , mas com tecnologias de implementação mais recentes [8 8], também está sendo
usado em pesquisa e operações.
A principal vantagem da detecção de uso indevido é a capacidade de documentar a causa do alerta, a partir de
uma perspectiva de segurança. Isso ajuda o analista a decidir como processar o alerta, par-
particularmente sua relevância e seu impacto no sistema monitorado. A principal dificuldade do uso indevido
detecção é o processo de criação de assinaturas, o que requer tempo, experiência e acesso a
as informações de vulnerabilidade adequadas. São necessárias atualizações frequentes de assinatura , principalmente para
em conta um ambiente de ameaças em rápida evolução, mas também para levar em conta os erros no
assinatura inicial, ou novos indicadores de comprometimento que não foram detectados inicialmente.
No entanto, métodos estatísticos puros destacam anomalias que são difíceis de entender e qualificar
ify para analistas. A falta de um diagnóstico preciso e de um link claro para a segurança (em vez de um
anomalia relacionada a outra causa) requer uma compreensão aprofundada de ambos os
sistema e o processo de detecção, que é difícil de combinar. Assim, detecção de anomalias, enquanto
fortemente comercializado, deve ser operado com cautela como primeira linha de detecção, porque
requer forte conhecimento de domínio para transformar uma anomalia diagnosticada em defesa acionável.
Aplicado a fluxos de alerta, que são mais ricos em informações, a detecção de anomalias costuma ser mais
sucesso em SIEMse é implementado em plataformas SIEM mais novas , como o Elasticsearch-
Pilha Kibana-Logstash ou ferramentas comerciais como Splunk.
A detecção de anomalias foi incluída no modelo de Denning [8 ] desde o início e tem consistentemente
foi desenvolvido ao longo dos anos [8 , 8 , 88] Como a dificuldade de criar assinatura de ataques
tornou-se mais significativo, os fornecedores de IDPS também incluíram esses modelos em seus produtos.
https://translate.googleusercontent.com/translate_f 233/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
8.. . Modelos
Na detecção de anomalias de rede, o modelo deve primeiro definir se vai olhar para vários dados
pontos ou compare um único ponto de dados com o modelo. Um ponto de dados pode ser um pacote ou um pacote
conexão completa. Os modelos também podem se correlacionar entre conexões para detectar
ataques abrangendo vários pacotes. Um exemplo desse tipo de comportamento é a correlação
entre o tráfego da web e o tráfego de DNS . Ao usar navegadores regulares, o usuário provavelmente per-
formar uma solicitação de DNS antes de acessar um site; uma anomalia pode se manifestar se a web
a solicitação aborda diretamente o site por meio de seu endereço IP. Claro, neste caso, o cache
fenômenos devem ser levados em consideração.
Uma forma predominante de detecção de anomalias é a detecção baseada em especificações. Um ataque é considerado
considerado uma violação das especificações de um sistema. A questão chave nesta abordagem é
obter uma especificação que possa ser reconhecida de forma confiável no traços. Esta abordagem foi inicial
originalmente desenvolvido para IDPS baseado em rede, como Bro [ 66], que foi desenvolvido por volta de
ao mesmo tempo que o Snort, mas segue uma abordagem radicalmente diferente. Bro é construído como uma pilha
de analisadores de protocolo, verificando em cada camada a coerência das informações capturadas com
os padrões, neste caso o RFCs.
ates regularidade adicional que pode ser detectada por algoritmos de detecção de anomalias. Também o
as especificações do sistema são mais precisas.
https://translate.googleusercontent.com/translate_f 234/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Alternativamente, a aprendizagem
aprendizado não supervisionado supervisionada
para permitir que éosusada parase
modelos criar modelosEm
organizem. quando a verdade
ambos os casos,fundamental está disponível,
é frequentemente necessárioou
selecione um limite que irá separar os pontos de dados considerados normais daqueles considerados
fora do modelo. A aplicação de técnicas de aprendizado de máquina para detecção é ainda mais
desenvolvido na seção 8...
Um ponto importante na detecção de anomalias é sua aderência a um caso de uso, possivelmente até mesmo um caso específico
implantação ci c. A detecção de anomalias de rede foi amplamente aplicada ao TCP/ Redes IP
inicialmente, e ao longo dos anos tem se concentrado em novas aplicações, cobrindo redes ad-hoc, sen-
redes sor e, mais recentemente, sistemas de controle industrial [88 ] Detecção de anomalia de malware
também evoluiu de computadores pessoais para malware da web e para Android hoje [88 ]
Essa aderência a um caso de uso é importante para a criação do modelo, validação e teste. Isto
requer que, desde o início, os operadores entendam o comportamento de seus sistemas e tenham
conhecimento de domínio de negócios suficiente para entender por que e como as anomalias os manifestam-
e qual é sua importância em relação à segurança cibernética. Cuidado específico deve ser
tomadas para associar a detecção de anomalias com o máximo de conhecimento de domínio possível
capaz de diagnosticar e qualificar a anomalia. As funções do equipamento implicam em diferentes modelos de comportamento,
e, portanto, diferentes qualificações para anomalias.
Essa aderência aos casos de uso também evita a definição e qualificação de ser genérico
modelos haviour. Portanto, os operadores que implantam sistemas de detecção de anomalias devem se preparar
por um período de teste e qualificação. Também é provável que novos sistemas, novos serviços,
ou atualizações de sistemas ou serviços existentes, irão perturbar os modelos existentes e exigir
qualificação.
Uma abordagem semelhante pode ser aplicada ao IDSes usando logs de aplicativos [ 88 , 88] Esta abordagem
organiza o uso indevido e a detecção de anomalias, a fim de aproveitar os pontos fortes de ambos os aplicativos
aborda e limita suas desvantagens. Também aproveita as especificações do aplicativo
protocolo para entender não só a sintaxe do trace, mas também sua semântica, a fim de pro-
representam um melhor diagnóstico.
www.cybok.org
https://translate.googleusercontent.com/translate_f 235/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No lado do sistema e da aplicação, tem havido muito trabalho no uso do aprendizado de máquina-
para detecção de malware , tanto no nível de chamada do sistema [88 ], no sistema de arquivos [ 888] ou para PDF
les [88 , 8] Gandotra [ 8] lista muitas abordagens relevantes de aplicação de aprendizado de máquina
técnicas para análise de malware , principalmente verificando se eles dependem de análise estática
(o arquivo) ou na análise dinâmica (o comportamento). Além disso, o recente desenvolvimento do smart-
ecossistema de telefone [8 ], Android e seu rico ecossistema de aplicativos, com o associado
código malicioso, criou um interesse significativo na detecção de malware Android .
Olhando mais além, há um interesse crescente no uso de aprendizado de máquina e arti cial
inteligência para cibersegurança, conforme demonstrado pelo DARPA Cyber Grand Challenge. Pode-se esperar
igual interesse dos invasores e, portanto, o surgimento de aprendizado de máquina adversário, onde,
conforme mostrado para as especificações de Redes Neurais, os invasores podem introduzir informações irrelevantes
para escapar da detecção ou para torná-la mais difícil.
A primeira questão é definir os critérios de detecção. Na detecção de uso indevido (seção 8..), a
O desenvolvedor IDS deve definir um conjunto de ataqueé que ele deseja detectar e criar o conjunto de
assinaturas que irão detectá-los. O problema com o teste é, então, criar rastreioé que vai desencadear
assinaturas em comportamentos considerados normais (FP), ou para lançar um ataqueé de uma forma que
compromete o sistema, mas não é reconhecido pelo IDS (FN).
Na detecção de anomalias (seção 8..), o desenvolvedor de IDS deve definir comportamentos normais. Como
a maioria dos detectores de anomalias usa abordagens de aprendizado de máquina, o que significa que o desenvolvedor
deve obter um ou vários conjuntos de dados de tamanho signi cativo, possivelmente rotulados. Esses conjuntos de dados
deve, para alguns ou todos eles, incluir dados de ataque . O detector é então treinado na parte
dos conjuntos de dados, e seu desempenho avaliado nos demais. Para paramétricos e de aprendizagem
algoritmos, várias tentativas devem ser realizadas para obter um desempenho médio. Determin-
ing FP e FN também depende da disponibilidade de verdades fundamentais confiáveis associadas com o
conjuntos de dados.
Gerar conjuntos de dados, como já mencionado, é muito difícil. O mais comumente usado,
o conjunto de dados Lincoln Lab / KDD, sofre de vários desses problemas que são um bom exame
ples [8 ] Por exemplo, o processo pelo qual o ataque e o tráfego normal foram gerados
(manual de contra simulações) criou diferenças óbvias em do pacote Time to Live (TTL)
e duração da sessão. Esses recursos, que normalmente não são distinguíveis nas operações,
tendem a ser captados por algoritmos de aprendizagem, induzindo um viés significativo no processo com
em relação ao TP. Outro exemplo é a falta de características distintivas no tráfego SNMP ,
o que leva a grandes taxas de FN.
A segunda questão é como determinar e apresentar os critérios reais de sucesso de um IDS. A partir de
os valores brutos de TP, FP, TN, FN, detectores são frequentemente avaliados em duas métricas, precisão e
Lembre-se . Precisão (equação 8.) mede a fração de alertas reais em todos os alertas. Isso, em suma,
mede a utilidade dos alertas.
Lembre-se (equação 8.) mede a fração de alertas reais sobre todas as informações relevantes
presente na verdade fundamental. Assim, a recordação avalia a integridade da detecção. A
a verdade básica não disponível ou incompleta pode limitar sua utilidade.
https://translate.googleusercontent.com/translate_f 236/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Rechamada = TP / (TP + FN) (8.)
Várias outras métricas são relatadas na literatura, mas essas duas devem ser consideradas as mínimas
imum informações fornecidas para avaliação. Outro aspecto relevante da avaliação é o fato
que os algoritmos de detecção exigem que o operador selecione o parâmetro, como limites ou
número de clusters. Definir esses parâmetros influencia fortemente o desempenho do
sensors. Assim, é uma boa prática avaliar o desempenho de um algoritmo de detecção por nós-
ing Receiver Operating Characteristic (ROC) curvas para apresentar explicitamente a relação e
trade-off entre FP e FN. Um ganho em uma direção muitas vezes diminui o desempenho de
o outro.
www.cybok.org
A hipótese geral seguida por Axelsson é que existem poucos ataquess por dia. Isso pode
não seja mais verdade, mas um sistema de TIC inundado com ataquess também não é realista, a menos que sejamos
preocupado com a negação de serviço. Além disso, no caso de DDoS, pacotes maliciosos superam em muito
tráfego normal, então a assimetria é revertida, mas ainda existe. No caso de Axelsson, vem de
Teorema de Bayes de que a probabilidade de detectar um ataque real é proporcional ao falso
taxa de alarme FP.
Em essência, a falácia da taxa básica deve ser tratada pelo sensor IDSs que dependem do processo
grande quantidade de dados, que normalmente é o caso de anomalias baseadas em aprendizado de máquina
detecção.
Embora isso possa soar como uma questão teórica, tem implicações cruciais no que diz respeito à
operadores na frente de um console SIEM , que precisam lidar com milhares de alertass, a maioria de
que são 'falsos'. Existe, portanto, um risco significativo de perder um alerta importante e, portanto, um
incidente. Este risco é ainda maior em configurações MSSP , onde as operadoras têm uma quantidade limitada de
hora de processar o alertas. O processo usual para resolver isso é limitar a detecção ao máximo
elementos relevantes. Por exemplo, não é necessário procurar um ataques contra uma janela
servidor quando o servidor monitorado está executando o sistema operacional Linux. Esta sintonia do
intervalo de detecção pode acontecer antes da detecção, removendo assinatura irrelevantes no
IDS, ou após o fato no SIEM , inserindo as regras de correlação adequadas. A sintonia de detecção
abordagem, no entanto, encontrou limitações nos últimos anos, porque as plataformas em nuvem são
mais dinâmico e propenso a hospedar uma variedade de sistemas operacionais e aplicativos em qualquer
ponto no tempo. Em seguida, torna-se mais difícil garantir a cobertura adequada da detecção.
Devido ao volume de eventos e à natureza em tempo real da detecção realizada por sensores IDS ,
esses sensores geralmente olham para uma única fonte de informação em um local específico do ICT
a infraestrutura. Portanto, é difícil para eles detectar ataques em grande escala ou distribuídos.
https://translate.googleusercontent.com/translate_f 237/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Portanto, a centralização de alertas, que é a característica central inicial da plataforma SIEM
formulários, conforme descrito na seção 8.., ativa algoritmos de detecção adicionais que podem indi-
cate ataques ou anomalias que não foram significativamente indicadas por sensores, mas cujos
propriedades quando agregadas são signi cativas.
www.cybok.org
Em primeiro lugar, deve haver um canal de comunicação entre os sensores que fornecem o alertas
e a plataforma SIEM . Este canal de comunicação deve ser fortemente protegido, pois
informações confidenciais podem ser incluídas no alertas. Ele também deve ser dimensionado corretamente para que
há largura de banda suficiente para transportar as informações necessárias. Como sensormuitas vezes têm limitado
capacidades de armazenamento, a disponibilidade do link é essencial.
Em segundo lugar, o SIEM deve ser capaz de interpretar as informações fornecidas pelo sensors em um
forma coerente. Dada a ampla gama de fontes de dados e métodos de detecção disponíveis,
isso requer muito trabalho para corresponder às informações do alertas com o SIEM interno
formatos de dados. A abordagem geral de uma plataforma SIEM é definir uma única estrutura de dados
para o alertas, geralmente uma única tabela de banco de dados. Isso significa que o banco de dados contém muitos
colunas, mas a inserção de um alerta geralmente resulta em preenchimento esparso das colunas.
www.cybok.org
porque eles podem ser lidos diretamente por humanos. Os formatos binários são mais compactos, o que
https://translate.googleusercontent.com/translate_f 238/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
facilita o armazenamento e o transporte.
Protocolo de transporte O protocolo de transporte descreve como o bitstring de alerta é movido de
um lugar para outro. Exemplos de protocolos de transporte incluem Syslog, IDXP , HTTP ou
AMQP. Os protocolos de transporte normalmente cuidam do controle de acesso, confidencialidade,
compressão e confiabilidade da comunicação.
A Tabela 8. fornece uma análise factual de formatos de mensagens de alerta usados com freqüência . Os dois primeiros,
CEF e LEEF, são formatos proprietários de fornecedores comerciais de SIEM , mas cujos especi ca-
ção está pelo menos parcialmente aberta para análise. Os próximos dois formatos (CIM e CADF) têm estado
especi cado pelo DMTF, mas não especificamente para fins de segurança cibernética. No entanto, eles
têm sido usados para transmitir alertas. Os dois últimos foram especificamente projetados com o propósito
pose de padronizar a transmissão do eventos ou alertas. O texto em itálico indica que
a especificação não força uma tecnologia específica. No entanto, quando a especificação, al-
embora genérico, inclui uma proposta, este texto está entre (colchetes) .
Número de
Proprietário do formato Codificação de transporte Estrutura
atributos (chaves)
Estruturada:
CEE MITRA (Syslog) JSON, XML Modelo de evento CEE , 6
Perfil CEE
A flexibilidade das codificações textuais permite a implantação em grande escala e, como tal, é a única
um apresentado na tabela 8..
Syslog (RFC ) é o padrão de fato para aquisição de alertas de plataformas SIEM , pois é
amplamente disponível, fácil de entender e analisar e bastante confiável. Ao usar UDP ,
não há segurança da camada de transporte. Não há garantia de integridade ou entrega da mensagem
ery. Ainda assim, na prática, é muito bem-sucedido e escalonável. Sua desvantagem é a limitação de
seu esquema (carimbo de data / hora, origem e string de texto ASCII) e o tamanho da mensagem (prá-
limitado a bytes). Syslog é amplamente utilizado por operadoras de rede ou para grandes
sistemas como os Jogos Olímpicos.
CEF O Common Event Format é o formato de troca proprietário do Arcsight SIEM
plataforma. É orientado para a expressão de eventos relevantes de segurançase inclui
as informações essenciais necessárias para descrevê-los. Este formato é representativo de
as estruturas at utilizadas nas bases de dados da plataforma SIEM . Embora tenha um grande número de
atributos, alguns não são suficientemente documentados para uso.
LEEF O Log Event Enhanced Format é o formato de troca proprietário do QRadar SIEM
plataforma. Ele se concentra em eventos de segurança de redes, e como tal não é tão rico quanto CEF.
www.cybok.org
https://translate.googleusercontent.com/translate_f 239/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a indústria tem sido muito limitada. É visto como complexo e, de fato, a especificação é
grande em tamanho. A especificação IDMEF tenta ser muito precisa e inequívoca,
que se mostra no número de atributos, o maior de todos os formatos considerados.
Essa diferença de expressividade é provavelmente ainda maior, pois o uso de dicionários
(tipos enumerados) no design UML IDMEF aumenta ainda mais sua capacidade de representar
em formação. Sua tentativa de ser exaustiva também fez com que algumas das estruturas de dados
obsoleto ao longo do tempo. A escolha de mensagens XML também cria uma carga significativa
no transporte, particularmente porque o protocolo de transporte IDXP , com base no BEEP, não foi
amplamente implantado.
O amplo escopo das especificações disponíveis demonstra que, nesta fase, não há
consenso entre fornecedores de SIEM e fornecedores de sensores para concordar sobre o que um alerta deve conter
tain. Embora muitas das especificações sejam acessíveis aos fornecedores de sensores , a plataforma SIEM oferece
dors fornecem os conectores e se encarregam de traduzir as informações do sensor em seus
formatos próprios, correndo o risco de perda de informação ou má interpretação do conteúdo. O problema
de transmitir alertas continua a ser um problema nas camadas inferiores, enquanto os padrões relacionados a inci-
dent troca de informações, tais como MILE IODEF (RFC ), tiveram muito mais sucesso-
ful [8 ]
. para reduzir o número de alertass que o analista deve processar agrupando alertass para-
junto,
. para adicionar elementos contextuais para permitir uma análise mais precisa e rápida do grupo
de alertas,
. adicionar alertas para o planejamento contínuo de alto nível e elementos de mitigação para que eles sejam
tratado corretamente, e
. descartar alertas que são considerados falsos positivos e não requerem um processo adicional
ing.
Para atender a esses objetivos, a correlação de alerta pode assumir várias formas:
Correlação entre alertas O primeiro tipo de correlação de alerta visa agrupar alertass
de um ou vários sensoress que correspondem à mesma ameaça. Sensor IDPStende a
tenha uma visão estreita do fluxo de dados. Se eventos ocorrem repetidamente no traço, para a prova-
ple, quando um malware se propaga, alerta múltiplos serão reportados ao SIEM. Agrupamento
alertas que correspondem ao mesmo fenômeno ajudam o analista a reconhecê-lo e
para julgar sua importância.
Correlação entre alertase o meio ambiente Outra fonte importante de conhecimento é
relacionado ao contexto da detecção, o ambiente em que o sensors estão localizados.
As informações sobre o meio ambiente vêm de muitas fontes, as duas mais interessantes
alguns sendo varreduras de inventário de rede e vulnerabilidade. Essas duas fontes identificam ativos
ativos e os riscos aos quais estão potencialmente sujeitos. Este tipo de correlação é particularmente
interessante, pois fornece ao analista informações sobre o impacto do alertas são
tendo.
Correlação entre alertase fontes externas Recentemente, a consciência situacional tem
começou a fornecer informações sobre os invasores e suas motivações [ ] Isso de novo
fornece informações adicionais sobre os caminhos que um invasor pode seguir e
ajuda o analista a decidir de forma proativa bloquear o progresso do invasor, em vez de
reagindo após o evento.
Troca de incidentes e informações Outra tendência relevante é a troca de informações.
Por meio da pressão regulatória, os operadores de infraestrutura crítica são obrigados a informar
autoridades quando são vítimas de violações da segurança cibernética. Este tem sido o
caso para bancos e cooperativas de crédito por um longo tempo. Compartilhando informações sobre violações
ajuda outras pessoas no mesmo domínio, ou usando tecnologias semelhantes, a se protegerem
proativamente.
A abordagem inicial para correlação de alerta foi baseada em regras. Correlação baseada em regras explicita
descreve as relações lógicas entre alertas, ou regras para inferir tais relações [ ,
, , ] Uma variedade de linguagens e técnicas foram usadas ao longo dos anos por
https://translate.googleusercontent.com/translate_f 240/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a comunidade de pesquisa, levando a modelos exaustivos e formais. Isso levou ao desenvolvimento
da primeira geração de plataformas SIEM , que combinavam fortemente estruturadas,
banco de dados SQL de desempenho com mecanismos lógicos que interpretam regras. Esta primeira geração en-
conteve dois problemas, desempenho como o volume de alertaaumentou, e a dificuldade de criação
criar e manter a base de regras. Bancos de dados SQL incorrem em uma penalidade de desempenho significativa
para indexação. Isso é bom para consultas, enquanto as plataformas SIEM são ferramentas de inserção intensiva.
Apesar do aumento de desempenho e do ajuste do banco de dados, uma segunda geração de plataformas SIEM
foi desenvolvido, aproveitando tecnologias de banco de dados menos estruturadas, como NoSQL. Esta
big data, ou abordagem intensiva de dados começou bem cedo no uso de contadores [ ], estatístico
modelos [ 6] ou outras técnicas [ 8, ] Tecnologicamente, esta abordagem é implementada
por meio de agregação de log e resumo de consultas, como pode ser feito com o conhecido
ElasticSearch-Kibana-Logstash (ELK) pilha. Esta abordagem orientada a dados tornou-se muito
comum hoje, pois é capaz de lidar com grandes volumes de entrada de informações não estruturadas
ção Resta saber se a falta de estrutura relacional não introduz inconsistências
tendências e confusão de nomes, afetando a capacidade dos analistas de diagnosticar e mitigar ameaças,
e se o foco no volume não impede o tratamento de fenômenos de ataque raros, como
APTs.
www.cybok.org
Os indicadores de segurança da informação (ISI) Grupo de Especificação da Indústria na ETSI desenvolve indicadores
tores para esse efeito. Esses indicadores são o produto de uma abordagem de consenso, onde vários
líderes da indústria (Thales, Airbus), usuários (bancos, empresas de telecomunicações) e provedores de tecnologia (ESI Group,
Bertin) definiram e testaram esses indicadores em conjunto. A abordagem é em toda a Europa, já que o
O grupo ETSI ISI é apoiado por membros da França, Alemanha e Itália, bem como pela rede
trabalho de capítulos R GS na Europa (além dos países em ETSI ISI, Reino Unido, Luxemburgo,
Bélgica, Holanda). No final, esses indicadores devem permitir uma medida comparativa
garantia do desempenho do SOC e uma medição geral da resistência de qualquer
organização a ameaças, cibernéticas, físicas ou organizacionais.
A especificação ISI está disponível gratuitamente no ETSI, e gráficos de informações de referência estão disponíveis
capaz de várias fontes. A principal dificuldade desta abordagem é a capacidade de automaticamente
produzir os indicadores, ou pelo menos um subconjunto deles, pois alguns indicadores são de uma
nível.
Por muito tempo, a comunidade SOIM tem se concentrado na detecção e análise, tanto de um
aspecto de pesquisa e implantação operacional. Existe uma clara relutância em automatizar o
última parte do loop da figura 8., já que os operadores de sistema e rede temem perder o controle sobre
ambientes complexos, embora haja muitas razões pelas quais se tornou importante
incluem mitigação automatizada no escopo. Esta é uma área extremamente importante, como exempli cado
pelos tópicos Respond and Recover da estrutura de segurança cibernética do NIST .
https://translate.googleusercontent.com/translate_f 241/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ações adicionais podem ser aplicadas ao fluxo de dados, como bloquear, encerrar ou alterar
um fluxo de dados. Claro, a ação adicional depende muito da confiabilidade da detecção,
razão pela qual a prática comum limita as ações a um subconjunto das assinaturas de uma
sensor.
As ações executadas pelos sensores são vinculadas diretamente ao resultado da detecção. Como tal, o
A fase de planejamento é realizada por meio de configuração estática, e a resposta a um ataque é, portanto,
A implantação inicial de sensores IDS baseados em rede foi baseada em dispositivos passivos, incapazes
para atuar na rede. A resposta foi então realizada através do envio de ações de recon guração
a um rewall localizado a montante ou a jusante do sensor, através de fora de banda dedicado
comunicações. Este mecanismo induziu atrasos significativos na resposta, como os primeiros
os pacotes do ataque foram aceitos antes que a regra fosse implementada. Também houve
efeitos colaterais desejáveis para alterar dinamicamente a configuração de um muro, como perder
rastreamento de conexão. Além disso, os operadores do sistema são extremamente atentos para manter a estabilidade
configurações de parede, como uma parte essencial do SRE.
Dada a necessidade de responder em tempo real a ataques bem identificados, os modernos baseados em rede
IDPSOs dispositivos são posicionados em linha na rede, para acoplar a detecção e o rewalling. Se malicioso
atividade é detectada pelo sensor, o pacote é imediatamente descartado ou rejeitado, ou a con
conexão é encerrada. A vantagem desta solução é que os ataques são tratados na taxa de linha,
assim que ocorrerem. Claro, FP e FN do mecanismo de detecção terão um direto
impacto na eficiência do IDPS, negando serviço a usuários legítimos ou deixando os ataques irem
através de não detectado. A principal desvantagem do IDPS é a ação na camada de pacotes. Esta
cria efeitos colaterais que podem vazar informações para um invasor. Também requer que um dispositivo seja
colocar na rede que tem a capacidade de quebrar a conexão, injetando outro ponto de
falha na infraestrutura de TIC .
Exemplos especializados de tecnologia IDPS incluem controladores de borda de sessão (SBC) ou Web
Firewalls de aplicativos (WAF) No exemplo de um WAF, a implementação pode levar a
forma de um dispositivo externo atuando como um proxy (e / ou proxy reverso) ou ser implementado como um
módulo de interceptação em um servidor web.
Mais recentemente, IDPS inlineeles receberam a capacidade de modificar a carga útil dos pacotes,
sob o termo de 'patching virtual'. O resultado é que o servidor recebe conteúdo inócuo
em vez do conteúdo, e que a resposta enviada de volta ao invasor indica que o
ataque falhou. A principal vantagem desta abordagem é que não requer quebra
o ow, assim como o sensor de camada de aplicativos como WAF ou SBC.
Ataque DDoSs são fenômenos de grande escala que afetam muitos componentes e operadores em In-
infraestruturas ternet , de Sistema Autônomo (COMO) operadoras para provedores de nuvem para serviço
provedores. Ataques a certos serviços também têm um impacto em grande escala. Por exemplo, o DDoS
www.cybok.org
https://translate.googleusercontent.com/translate_f 242/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ataque ao DynDNS impactou a disponibilidade de serviços bem conhecidos, como Net ix, Spotify,
Twitter, etc. A mudança para infraestruturas em nuvem obviamente significa que esses efeitos em cascata
continuará.
Devido à sua escala e impacto , o ataque DDoSs são alvos principais para remediação automatizada.
Isso levou ao surgimento de operadores de serviço de mitigação de DDoS dedicados no modo de nuvem.
Esses operadores de serviço oferecem serviços de gerenciamento de carga, como adicionar novos servidores para face
o fl uxo, redirecionando o tráfego para outros serviços ou diminuindo seletivamente o tráfego.
Técnicas clássicas para diminuir o tráfego incluem lista negra, por exemplo, com entrada de IP
filtragem ou no nível do aplicativo usando cookies TCP Syn para garantir uma sessão TCP legítima
estabelecimento. Isto ajuda a resistir DDoS ataques, embora seja necessário reconhecer que estes
os serviços serão incapazes de prevenir ou combater ataques em grande escalas.
Na rede central, o MPLS oferece uma opção interessante para mitigar ataques DDoS [ ], como
permite reserva de largura de banda e controle de uso de largura de banda, para garantir que o legítimo
O tráfego recebe largura de banda suficiente e esse tráfego potencialmente malicioso é eliminado. No
edge, a implantação de redes definidas por software (SDN) como a rede fundamental
técnica de controle para centros de nuvem permite flexibilidade da configuração e configuração da rede
Trol, e permite a colaboração entre a Internet prestadores de serviços e infraestrutura de nuvem
operadores para mitigar o ataque DDoSs [ ]
Além do acesso à rede (que no momento é a maior ameaça), o ataque DoSs também podem
recursos de computação de destino, armazenamento ou potência. O surgimento da Internet das Coisas e
a crescente necessidade de conectar objetos de baixo custo operados por bateria à Internet
pode aumentar a superfície de ataque DoS no futuro.
Internamente no SOCs, analistas usam sistemas de tíquetes para acompanhar o andamento do incidente
resolução e encaminhamento de problemas para analistas mais qualificados ou especializados, quando necessário. Bilhete-
sistemas de gerenciamento também podem servir para análise post-mortem de incidentes, para avaliar e melhorar o SOC
processos.
Os analistas SOC também interagem com plataformas de tíquetes para enviar solicitações de mudança para outras equipes,
responsável pela gestão da rede ou do sistema. Isso pode até mesmo se estender a funções de segurança, para
por exemplo, se a organização tiver uma plataforma de gerenciamento de firewall dedicada. O fato de que
isso permanece principalmente como uma atividade manual que introduz um atraso significativo na redução da ameaça. Isto
também depende do sistema ou dos operadores de rede do outro lado do sistema de bilhetagem para sub-
suportar a mudança solicitada e implementá-la com eficácia. No entanto, esse atraso é frequentemente visto
conforme necessário para lidar com potenciais falsos positivos e para avaliar o impacto efetivo sobre
atividades comerciais, conforme detalhado na seção seguinte.
https://translate.googleusercontent.com/translate_f 243/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
gestão
aumentadeerisco capaz e conformidade
potencialmente com
se torna uma os regulamentos.
ameaça Como
à vida humana ou àocontinuidade
impacto dos dos
ataques cibernéticos
negócios, em
reguladores
impor medidas de proteção e detecção para garantir que o risco cibernético seja adequadamente gerenciado em
organizações. Embora existam muitas técnicas de proteção possíveis disponíveis, a partir de identi -
catação e autenticação para filtragem e rewalling, a complexidade e interconectividade de
infraestruturas complexas de TIC torna inviável, técnica ou economicamente, proteger
contra todas as ameaças possíveis. Como tal, a cibersegurança torna-se uma troca econômica antes de
entre implantar medidas de proteção, assumir o risco e segurá-lo. Ciberseguro
tem sido difícil, mas há um interesse crescente na economia da segurança cibernética, que
pode apoiar o desenvolvimento de modelos de ciberseguro [ ]
Outro aspecto dos gráficos de ataque é seu uso para contramedidass. Trabalho na contramedidas
concentrou-se em ativos técnicos, pois eles podem ser ativados para bloquear ameaças. Isso significa adicionar
ou modificar regras de firewall para bloquear tráfego indesejado, desativando ou removendo privilégios de usuário
contas, evitando que máquinas não autorizadas ou suspeitas se conectem à rede ou
o sistema de informação, ou encerrando um serviço ou máquina. No entanto, a implantação de
contramedidas requer uma avaliação de impacto , não apenas no nível do ativo, mas também no
nível de negócios. A forte dependência de missões empresariais em ativos técnicos de TIC significa que
essas regras de rewall ou contas bloqueadas podem ter um efeito prejudicial na
o negócio. Este efeito prejudicial pode até ser pior do que sofrer um ataque, pelo menos para
às vezes. Novos modelos de avaliação de impacto devem levar em consideração não apenas as TIC
tecido de ativos, mas também os serviços de negócios que oferecem suporte para determinar sua criticidade
e o custo de alterar seu comportamento [ 6]
Não se pode enfatizar o suficiente, como na seção 8.., a importância dos processos e
fluxos de trabalho associados ao conjunto de ferramentas implementadas para SOAR. Isso, por exemplo, implica
que haja uma compreensão clara das responsabilidades no SOC, uma cadeia de validação quando
contramedidas são implantadas e uma verificação eficaz de que a mitigação é eficiente
e parou o ataque ou seus efeitos.
www.cybok.org
Uma mudança significativa recente no SRE é uma extensão do escopo. Muito, senão todo, do equipamento
usado em qualquer organização incluirá tecnologia digital e exigirá manutenção. Vários
dispositivos que alimentam o controle de acesso físico ou gerenciamento de edifícios serão interconectados
com e acessível através da infraestrutura de TIC . Como tal, eles estarão sujeitos a semelhantes,
se não forem idênticos, ataques como a infraestrutura de TIC . Novos modelos de manutenção devem ser de-
desenvolvido e adaptado para incluir esses dispositivos IoT no processo de engenharia de confiabilidade. O
Rede e Sistemas de Informação (NIS) A diretiva da União Europeia exige que todos os dispositivos
deve ser corrigido para remover vulnerabilidades. A manutenção remota se tornará um requisito-
mento para muitos objetos, grandes e pequenos. Dependendo de suas habilidades de computação, armazenamento e
comunicando os elementos de segurança, esses processos de manutenção serão difíceis de desenvolver
e colocar no lugar [ 8] No entanto, existem muitos sistemas, por exemplo, no transporte
ou domínios de saúde, onde a mudança para a tecnologia digital deve incluir manutenção de software
isso é oportuno e seguro.
Isso está impulsionando uma maior convergência entre confiabilidade, segurança e cibersegurança. SRE
equipes em ambientes ciberfísicos, portanto, precisam operar sistemas, monitorando-os para
falhas e ataques, a fim de garantir o funcionamento contínuo. SRE é, portanto, também cada vez mais
https://translate.googleusercontent.com/translate_f 244/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
aplicado em ambientes puros de TI, como plataformas de computação em nuvem, que devem ser robustas
contra falhas acidentais, como energia.
Inteligência e análise se concentram em dois componentes específicos, conforme mostrado na figura8. , CTI e
CERTs. A plataforma CTI (seção 8.6.) substitui e inclui o honeypots para fornecer um com
visão preensiva de atividades maliciosas que podem impactar uma organização. CERTse ISACs são
órgãos reguladores com os quais uma organização pode obter informações adicionais, como o
indicador de compromisso específico da indústria, ou prática recomendada para detecção de incidentes e han-
dling.
CVE fornece uma maneira de referenciar vulnerabilidades específicas anexadas a versões específicas de produtos
ucts. Esta informação é muito útil para a assinatura IDSs, porque eles identificam claramente o alvo
produto obtido. No entanto, eles são insuficientes para um processamento mais global, portanto, de alto nível
classi cações foram de nidas.
O sistema comum de pontuação de vulnerabilidade (CVSS) fornece uma maneira padrão de avaliar o im-
pacto de vulnerabilidades, fornecendo uma pontuação numérica sintética de fácil compreensão.
Cada vulnerabilidade é atribuída uma pontuação de acordo com seis métricas básicas que refletem o intrínseco
características de uma vulnerabilidade e, em particular, a facilidade com que a vulnerabilidade pode ser
alavancado por um invasor para impactar a confidencialidade, integridade e disponibilidade. Esta métrica básica
é modulado por três métricas temporais que indicam se exploits (aumentando o risco) ou
patches (diminuindo os riscos) estão disponíveis; essas três métricas temporais evoluem ao longo do tempo,
à medida que mais informações estiverem disponíveis. Finalmente, quatro métricas temporais medem o específico
exposição de uma organização. Cada entrada CVE é geralmente qualificada por uma pontuação CVSS .
A Enumeração de Fraqueza Comum (CWE) dicionário fornece uma estrutura de nível superior em
topo do dicionário CVE , para qualificar ainda mais o tipo de fraqueza de software envolvida no
vulnerabilidade. Ele serve como uma descrição adicional da entrada CVE , para identificar pontos fracos
que aparecem em várias ferramentas de software e para identificar mitigação e prevenção comuns
estratégias. A estrutura do CWE é relativamente complexa, e identificar pontos em comum
As vulnerabilidades transversais às vezes são difíceis. As referências CWE são frequentemente encontradas no CERT
conselhos.
informações completas presentes na base de conhecimento. Como tal, esta informação deve ser
mantidos, e os links apropriados para outras funções de gerenciamento de sistema ou rede
deve ser estabelecido para este efeito.
www.cybok.org
Existem várias categorias de honeypots. Inicialmente, honeypots eram ferramentas muito simples, alert-
na conexão a uma determinada porta com um determinado endereço IP. No entanto, como atacantes e
o malware evoluiu, eles se tornaram capazes de detectar interações que são diferentes do serviço
que deve ser oferecido pela plataforma à qual estão conectados. Honeypot e Honeynet
tecnologias têm se desenvolvido de uma maneira bastante sofisticada em larga escala, complexa
infraestruturas. Eles deram origem a análises de atacantes, de observações a estatísticas
análise, ao que agora é identificado como o Indicador de compromisso (IoC), peças organizadas de
evidência de que um invasor está tentando comprometer um sistema de informações ou rede.
A principal hipótese por trás do honeypots é que os invasores procurarão ativamente as vítimas, enquanto
usuários lar só usarão recursos que são publicamente e oficialmente anunciados por meio de congura-
ção, roteamento e nomenclatura. Isso provavelmente foi verdade durante o período principal da Internet-scanning
vermes como o Slammer. No entanto, os invasores têm outros meios de coletar informações silenciosamente
informações sobre seus alvos, por exemplo, por meio de mecanismos de pesquisa. A varredura é, portanto, feita por
legítimos ou, pelo menos, atores conhecidos, mas não fornece informações sobre os invasores. Também,
há uma quantidade significativa de atividade de ruído de fundo na Internet [ ] Assim, o
premissa principal do honeypots, que não há falsos positivos porque todas as atividades são maliciosas,
não pode ser garantido.
As informações coletadas pelo honeypots é fornecido inteiramente pelos invasores, e eles também são
desenvolver técnicas para entender se eles estão sendo executados em ambientes controlados ou
não. Se eles detectarem um ambiente controlado, como uma máquina virtual, eles irão parar de interagir
ções. Embora a computação em nuvem tenha generalizado o uso da virtualização, existem outros indicadores
sinais que indicam controle e monitoramento. O melhor uso atual do honeypots provavelmente está dentro
dados confidenciais, na forma de endereços de e-mail falsos e linhas ou colunas falsas em bancos de dados.
https://translate.googleusercontent.com/translate_f 246/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 308 O Conhecimento em Segurança Cibernética
www.cybok.org
Outro tópico importante é a definição de IoCs [ 8], que é um termo mais geral do que sig-
naturezas. As assinaturas, como é geralmente entendido, são evidências de um ataque contínuo.
IoCs generalize o conceito de duas maneiras. Em primeiro lugar, eles indicam evidências de um ataque ocorrendo antes de
pareado ou das evidências que permanecem depois que um sistema foi comprometido por um invasor.
IoCs são definidos para compartilhamento, portanto, sua inclusão em padrões como RFC , o incidente
Formato de troca da descrição do objeto (IODEF) versão e as informações de rosca estruturada
eXchange (STIX)
Embora as primeiras tentativas de compartilhamento de assinaturas usassem a linguagem de assinatura Snort , a linguagem YARA
foi amplamente adotado e é, por exemplo, o suporte do YARA Signature Ex-
Change Group , um indicador não comercial de plataforma de troca de compromisso .
O mundo SIEM está passando por mudanças profundas por meio da regulamentação e do impacto da ciber-
ataques. Do ponto de vista da regulamentação, os operadores de infraestrutura crítica são obrigados a incorporar
capacidades de detecção e mitigação. Isso representa a instanciação do NIS europeu
directiva no direito nacional. A ENISA fornece regularmente informações sobre incidentes cibernéticos,
principalmente procedimentos de detecção e gestão. O relatório mais recente sobre um incidente cibernético
simulação em junho indicou que o progresso ainda é necessário no CyberSA, mas isso cooper-
a ação está aumentando e que o compartilhamento de informações é de extrema importância para
tomando uma decisão.
www.cybok.org
No estado atual das coisas, permanece claro que a proteção completa é tecnicamente
inviável e economicamente indesejável. Conseqüentemente, os sistemas serão comprometidos, e é
provavelmente aquele ataques irá derrubá-los, tendo um impacto significativo. Tem havido, por
por exemplo, vários casos de empresas fechando por dias devido a um ataque de ransomwares,
como Wannacry. Além de garantir a continuidade dos negócios, obrigações técnicas e regulatórias
exigem que as investigações sejam realizadas, após um comprometimento da segurança cibernética. Isto é um
etapa obrigatória para restaurar um sistema de TIC a um estado confiável. Esta etapa é onde, além das ferramentas
https://translate.googleusercontent.com/translate_f 247/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e processos, os aspectos humanos são fundamentais, principalmente a educação, o treinamento e a prática de exercícios.
Embora o tópico de gerenciamento de incidentes chegue ao final do KA, ele aproveita todos os recursos
capacidades e ferramentas que foram descritas nas seções anteriores. Também é necessário
destacar que há um equilíbrio necessário entre prevenção e resposta [ ] Prevenção total
ção demonstrou ser inviável, por razões de facilidade de uso e custo, por um lado,
e porque os invasores têm maneiras e imaginação além do que os designers de sistema imaginam
por outro lado. Portanto, dedicar recursos para prevenção versus resposta é altamente
organização específica, mas é um exercício importante que deve ser realizado com cuidado antes de
causa das consequências que tem para uma organização. Por um lado, a prevenção aumentará
os custos operacionais de uma organização. Por outro lado, confiar apenas na resposta pode
levar a consequências fatais onde a organização não seria capaz de se recuperar de um
cidente. Além disso, responder adequadamente a incidentes incorre em custos que não devem ser ignorados. Risco
a avaliação é, portanto, uma parte integrante do gerenciamento de incidentes.
www.cybok.org
Uma parte importante desta atividade de preparação está relacionada à comunicação em muitas formas. Primeiro
de tudo, os regulamentos agora geralmente exigem que os incidentes sejam relatados às autoridades, seja
um CERT nacional hospedado por uma agência nacional de segurança cibernética, agências de aplicação da lei ou um
organização setorial, como um ISAC. Também é importante estabelecer de antemão
canais de comunicação com fornecedores de tecnologia e serviços, como fornecedores de software
e provedores de serviços de Internet. Canais semelhantes devem ser configurados entre pares, como
https://translate.googleusercontent.com/translate_f 248/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
CISOs, para facilitar o compartilhamento de alertas precoces e melhores práticas. Organizadores transnacionais
e facilitadores de trocas incluem as equipes de resposta a incidentes de segurança de computador (TF-
CSIRT), o Fórum de Resposta a Incidentes e Equipes de Segurança (PRIMEIRO) e a União Europeia
Agência de Cibersegurança (ENISA)
Por fim, a preparação também inclui o estabelecimento de uma equipe, geralmente um CSIRT. Isso inclui
considerações práticas, como a decisão de lidar com incidentes internamente ou de subcontratar,
total ou parcialmente, as tarefas para o MSSP qualificados, a escolha de um centralizado ou distribuído ou-
ganização para resposta a incidentes e a cadeia de relatórios. Escolher entre um centralizado ou
uma estrutura distribuída é guiada pela estrutura da organização. Uma estrutura distribuída
permite uma melhor proximidade (geográfica, bem como funcional) entre a resposta ao incidente
ders e as unidades de negócios. No entanto, pode aumentar os esforços de coordenação necessários e
custo.
A resposta a incidentes é uma tarefa que exige muita gente, que está relacionada ao gerenciamento de crises.
ment. Requer a capacidade de trabalhar sob pressão, tanto internamente (para prevenir o incidente
de propagação ou bloqueio da organização) e externamente (para lidar com a gestão, reg-
ulatória ou pressão da mídia). Há, portanto, uma necessidade de pessoal qualificado para praticar incidentes
exercícios de resposta, como é feito nas forças armadas, por exemplo. Também requer treinamento contínuo
para acompanhar as ameaças mais recentes. A integração de pessoas-chave com o
comunidades relevantes, como ISACs ou CERTs também ajuda no compartilhamento de informações e garante
que as melhores práticas são trocadas dentro da comunidade certa.
A mitigação está relacionada à implantação de medidas de emergência que podem conter o inci-
amassar e limitar seu impacto. A mitigação deve primeiro limitar os danos causados aos sistemas,
como o apagamento ou divulgação de informações, que um invasor pode desencadear se for descoberto.
Ele também deve garantir que os invasores não se propaguem para outros sistemas. A contenção pode in-
incluem o bloqueio de acessos à rede em certos perímetros ou o desligamento de serviços e sistemas
ou comunicações. A contenção pode, infelizmente, ter um impacto adverso na desejável
funções. Por exemplo, cortar o acesso à rede impede que os invasores se comuniquem com
sistemas comprometidos, mas também torna mais difícil corrigi-los ou fazer backup deles.
É comum que as medidas de mitigação revelem informações adicionais sobre o invasor, seu
métodos e alvos. Portanto, a figura 8. inclui um circuito fechado entre análise e mitigação
gação, para enfatizar o fato de que análise e mitigação devem ser entendidas como
uns aos outros.
de engenharia, uma vez que os integradores de sistema devem planejar e os operadores de sistema devem manter por
restauração em caso de compromisso.
www.cybok.org
ocupar a maior parte dos recursos dedicados à gestão de incidentes e devem ser
explorado também.
Parte do trabalho de atribuição se concentrou na análise de malware , para fornecer evidências técnicas
origem da origem do ataque. O objetivo é encontrar no código de malware evidências de sua
raízes, como reutilização de código ou comentários que podem explicar as motivações do autor. Esta
permite a definição de famílias de malware , o que pode ajudar a definir IoC mais genéricos
para detectar a propagação de código malicioso, mesmo se a variante exata não for conhecida. Malware
os autores usam muitas técnicas para tornar isso difícil, conforme explicado na seção 8...
Outros trabalhos sobre atribuição observam a atividade da rede para extrair pontos em comum. Grupos de em-
atacantes podem compartilhar infraestruturas de Comando e Controle (C&C), assim, atacars pode vir de
os mesmos endereços IP ou usam os mesmos nomes de domínio. Eles podem reutilizar serviços, portanto, nós-
URLs ou comandos de aparência semelhante .
Ações judiciais usando as informações coletadas por meio de técnicas forenses são discutidas no
Descrição da área chave da perícia.
8,8 CONCLUSÃO
O domínio Operações de Segurança e Gerenciamento de Incidentes inclui muitos tópicos. A partir de um
ponto de vista técnico, o SOIM requer a capacidade de observar a atividade de um Sistema de Informação
do tem ou rede, através da recolha de rastreios que são representativos desta atividade. Em seguida, requer
a capacidade de analisar esses traçoss em tempo real, ou quase em tempo real, para detectar eventos maliciososs
incluído neste traços, e para enviar alertaestá relacionado a estes eventoss. A definição de um
evento malicioso depende da técnica de análise e da fonte de dados usada para realizar
a detecção. Uma vez que um ataque é detectado, ele deve ser relatado e analisado em uma plataforma SIEM
formulário, para avaliar o impacto do ataque e para determinar as possíveis ações corretivas que
pode ser aplicado para bloquear o ataque ou mitigar seus efeitos.
Do ponto de vista operacional, SOIM é muito mais um processo, e a definição deste pro
cesso requer uma gestão forte. Ele depende de pessoas para realizar muitas das tarefas, de
gurar os detectores para analisar o alertas para decidir sobre remediações. Portanto, habilidoso
os analistas são um dos pilares das operações de segurança e gerenciamento de incidentes. A-
outro aspecto importante é o planejamento, uma vez que todas as ferramentas e pessoal devem estar no lugar antes de qualquer coisa
pode acontecer. Por fim, o SOIM é caro, exigindo ferramentas complexas e habilidosas e completas
https://translate.googleusercontent.com/translate_f 250/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pessoal do relógio para manobrá-los. No entanto, a forte dependência de nossa sociedade em ferramentas digitais, como
bem como o contexto regulatório, exigem que essas ferramentas e processos sejam colocados em prática em todos os
Onde.
]
]
] [8
[8 ] ]
[8 ]
[ 86 [8 8
y
[
ecyber
elssonbase
machado
Chandolaanomaly
denning8;
egelesurve
intrusão
franco liao6acing
8. Conceitos fundamentais X X
8. Monitorar: fontes de dados X X
8. Analisar: métodos de análise X X X X
8. Plano: Informações de Segurança e Gerenciamento de Eventos X
8. Executar: Mitigação e contramedidas X
8.6 Conhecimento: Inteligência e análise X X
8. Fatores humanos: gestão de incidentes X
www.cybok.org
https://translate.googleusercontent.com/translate_f 251/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 315
Capítulo
forense
Universidade Vassil Roussev de Nova Orleans
https://translate.googleusercontent.com/translate_f 252/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
Ciência forense digital ou forense digital, é a aplicação de ferramentas científicas e métodos
ods para identificar, coletar e analisar artefatos digitais (dados) em apoio a processos judiciais.
De uma perspectiva técnica, é o processo de identificação e reconstrução do relevante
sequência de eventos que levou ao estado atualmente observável de um sistema de TI de destino ou (dig-
ital) artefatos. A importância da evidência digital cresceu junto com a rápida sociedade
adoção da tecnologia da informação, o que tem resultado no acúmulo contínuo de
dados a uma taxa exponencial. Simultaneamente, tem havido um rápido crescimento nas conexões de rede
a produtividade e a complexidade dos sistemas de TI, levando a um comportamento mais complexo que pode precisar
investigação.
O objetivo principal desta área de conhecimento é fornecer uma visão geral técnica do digital
técnicas e capacidades forenses, e colocá-los em uma perspectiva mais ampla em relação
a outras áreas relacionadas no domínio da segurança cibernética. A discussão sobre os aspectos legais da digi-
a perícia forense é limitada apenas aos princípios gerais e melhores práticas, conforme as especificações do
a aplicação desses princípios tende a variar entre as jurisdições. Por exemplo, o Conhecimento
A área discute a disponibilidade de diferentes tipos de evidências, mas não funciona por meio do
processos legais que devem ser seguidos para obtê-los. O Conhecimento de Lei e Regulamentação
Área (Capítulo ) discute questões específicas relacionadas à jurisdição e ao processo legal para
obter, processar e apresentar evidências digitais.
CONTENTE
Em termos gerais, a ciência forense é a aplicação de métodos científicos para coletar, preservar e analisar
yse evidências relacionadas a processos judiciais [ 6] Historicamente, isso envolveu a análise sistemática
de (amostras de) material físico, a fim de estabelecer relações causais entre vários
eventos, bem como para tratar de questões de proveniência e autenticidade. A justificativa por trás disso,
O princípio de troca de Locard , é que o contato físico entre objetos resulta inevitavelmente no
troca de matéria, deixando rastros que podem ser analisados para reconstruir (parcialmente) o evento.
discussão conceitual detalhada está além do escopo deste capítulo, é importante reconhecer
perceber que a presença de um traço digital persistente (forense) não é inevitável, nem é um
Conseqüência “natural” do processamento e comunicação da informação digital.
dispositivo de um único pedaço de dados que é parte de um conhecido le pode demonstrar que o le
era provável que estivesse presente uma vez e foi posteriormente excluído e parcialmente substituído -
dez. A ausência observada de arquivos de registro normais pode apontar para uma violação de segurança durante a qual
os perpetradores apagaram os registros do sistema como um meio de encobrir seus rastros.
No Reino Unido, a Lei de Uso Indevido de Computadores [ ] de nes crimes específicos por computador - S Unau-
Acesso autorizado a material de computador, S Acesso não autorizado com intenção de comprometer outro
Ofensas, atos não autorizados S com intenção de prejudicar a operação e fabricação e fornecimento de SA
ou obtendo. The Police & Criminal Evidence Act 8 e Criminal Justice & Police Act
abordar questões específicas do computador com relação a mandados, busca e apreensão.
Em muitas jurisdições, os estatutos legais relacionados ao uso indevido de telecomunicações são separados
(e mais antigos do que) aqueles relacionados a crimes de computador. Usamos o termo guarda-chuva cibercrime para
coletivamente se referem a todos os crimes relacionados ao uso indevido de computadores e telecomunicações; amplamente,
estes incluem o uso de sistemas cibernéticos para cometer qualquer tipo de crime, bem como o crime
direcionamento de sistemas cibernéticos.
Como geralmente é o caso, os sistemas jurídicos requerem tempo para assimilar novas leis e integrá-las
na prática jurídica de rotina. Por outro lado, a legislação geralmente requer correções, esclarecimentos e
interpretação unificada em resposta às preocupações encontradas no tribunal. Um dos primeiros
Os precedentes legais mais influentes foram estabelecidos pela Suprema Corte dos Estados Unidos, que usou três
casos específicos - Daubert v. Merrell Dow Pharmaceuticals, EUA (); Elec-
tric Co. v. Joiner, US 6 (); e Kumho Tire Co. v. Carmichael, 6 US ()
- estabelecer um novo padrão para a apresentação de evidências científicas em processos judiciais,
frequentemente referido como o padrão Daubert [ ]
De acordo com Goodstein [ 8], “A apresentação de evidências científicas em um tribunal é uma espécie de
casamento forçado entre as duas disciplinas. ... A decisão de Daubert é uma tentativa (não a
primeiro, é claro) para regular esse encontro. ” Esses casos estabelecem um novo padrão para o depoimento de especialistas
mony, revisando o padrão Frye anterior de (Frye v. United States, F., DC
Cir. ) Em suma, a Suprema Corte instruiu os juízes de julgamento a se tornarem guardiões do especialista
testemunho, e deu quatro critérios básicos para avaliar a admissibilidade das provas forenses:
. Os fundamentos teóricos dos métodos devem produzir previsões testáveis por meio
cuja teoria pode ser falsificada.
. Os métodos devem ser preferencialmente publicados em periódico com revisão por pares.
. Deve haver uma taxa de erro conhecida que pode ser usada na avaliação dos resultados.
https://translate.googleusercontent.com/translate_f 254/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
O tribunal também enfatizou que esses padrões são flexíveis e que o juiz de primeira instância tem muito
de margem de manobra para determinar a admissibilidade da prova pericial e do testemunho de perito.
Os critérios de Daubert foram amplamente aceitos, em princípio, por outras jurisdições sujeitas a
interpretação no contexto da legislação local. No Reino Unido, a Law Commission for England
e País de Gales propôs no documento de consulta nº [ ] a adoção de critérios que se baseiam
Daubert.
O Guia de Boas Práticas da ACPO para Evidências Digitais codifica quatro princípios básicos para os ac-
aquisição e tratamento de evidências digitais:
. Nenhuma ação realizada por agências de aplicação da lei, pessoas empregadas nessas agências
ou seus agentes devem alterar dados que podem ser posteriormente invocados em tribunal.
. Em circunstâncias em que uma pessoa considera necessário acessar os dados originais, essa pessoa
deve ser competente para fazê-lo e ser capaz de fornecer evidências explicando a relevância e
as implicações de suas ações.
. Uma trilha de auditoria ou outro registro de todos os processos aplicados à evidência digital deve ser criada
atado e preservado. Um terceiro independente deve ser capaz de examinar essas
cesse e obtenha o mesmo resultado.
Esses princípios buscam fornecer orientação operacional para investigadores forenses digitais sobre como
para manter a integridade das provas e do processo investigativo, de modo que as provas
pode ser usado em um tribunal de justiça.
No Reino Unido, o Forensic Science Regulator exige que qualquer fornecedor de ciência forense digital
cia deve ser “credenciada pela BS EN ISO/ IEC: para qualquer atividade na cena do crime e
BS EN ISO/ IEC: para qualquer função laboratorial (como a recuperação ou imagem de
dados eletrônicos) ”[ ] . ISO/ IEC [ ] é um padrão internacional que especifica
requisitos para a competência de laboratórios de ensaio e calibração; em outras palavras, o
a certificação atesta a qualidade e rigor dos processos seguidos na execução do
exame forense.
Nos EUA, não há exigência legal estrita para que os fornecedores de ciência forense digital sejam certificados
de acordo com padrões específicos. A maioria dos grandes laboratórios forenses federais e estaduais mantém ISO
certi cações; a partir de, oitenta e cinco deles têm tais credenciais para o processamento de dig-
evidência itálica.
As técnicas forenses digitais também são aplicadas em uma gama muito mais ampla de investigações, como
investigações corporativas ternárias, que muitas vezes não resultam em procedimentos formais em tribunais públicos.
Apesar do fato de que as investigações podem não exigir o mesmo padrão de prova, a análise forense
Os listas devem sempre seguir boas práticas forenses ao coletar e analisar os artefatos.
Isso inclui o cumprimento de quaisquer requisitos judiciais ao trabalhar com assuntos inerentemente pessoais
dados, o que pode ser uma preocupação não trivial quando a investigação é multijurisdicional. Em tal
casos, é importante buscar aconselhamento jurídico oportuno para preservar a integridade do inquérito.
www.cybok.org
.. De nições
Em, o primeiro Workshop de Pesquisa Forense Digital (DFRWS) foi organizado em resposta
à necessidade de substituir a abordagem ad hoc predominante de evidências digitais por uma abordagem sistemática,
esforço multidisciplinar para estabelecer com firmeza a ciência forense digital como uma disciplina científica rigorosa.
O workshop produziu um relatório detalhado delineando uma agenda de pesquisa e forneceu um dos
https://translate.googleusercontent.com/translate_f 255/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
as definições mais frequentemente citadas de ciência forense digital na literatura:
Esta definição, embora enfatize principalmente a investigação de ações criminais, também in-
inclui um elemento antecipatório, que é típico da noção de perícia em operações operacionais
ambientes e o aproxima da resposta a incidentes e das atividades de defesa cibernética. Nesses
situações, a análise é principalmente para identificar o vetor de ataque e o escopo de uma segurança
incidente; a identificação de adversários com qualquer nível de certeza é rara e a ação penal
não é o resultado típico. Em contraste, a definição de referência fornecida pelo NIST há alguns anos
mais tarde [ ] concentra-se inteiramente nos aspectos jurídicos da perícia e enfatiza o importante
tância de uma cadeia de custódia estrita:
As definições centradas na lei acima fornecem um teste decisivo para determinar se investimentos específicos
ferramentas e técnicas tigativas qualificam-se como forenses. De uma perspectiva legal, uma flexibilidade,
a definição aberta é normal e necessária durante os procedimentos legais para o caso. Como-
sempre, de uma perspectiva técnica, eles não fornecem um ponto de partida significativo; portanto,
podemos adaptar um refinamento da definição de trabalho introduzida pela primeira vez em [ ]:
A noção de relevância é inerentemente específica ao caso, e uma grande parte das experiências de analistas forenses
pertinência é a capacidade de identificar evidências que dizem respeito ao caso em questão. Freqüentemente, uma crítica
componente da análise forense é a atribuição causal da sequência de eventos a humanos específicos
atores do sistema (como usuários, administradores, invasores). A procedência, confiabilidade,
e a integridade dos dados usados como dados de evidência é de importância primordial .
De acordo com esta definição, podemos visualizar todos os esforços feitos para executar o sistema ou artefato
análise após o fato como forma de perícia digital. Isso inclui atividades comuns, como
como resposta a incidentes e investigações internas, que quase nunca resultam em qualquer ação judicial.
No final das contas, apenas uma pequena fração das análises forenses chega ao tribunal como prova formal
dência, embora isso não deva nos impedir de explorar todo o espectro de técnicas
www.cybok.org
para reconstruir o passado dos artefatos digitais. O benefício de empregar uma visão mais ampla de
computação forense é que nos ajuda a identificar ferramentas e métodos intimamente relacionados que podem
ser adaptado e incorporado à perícia.
.. Modelos Conceituais
Em geral, existem duas abordagens possíveis para reconstruir a sequência relevante de eventos
na análise de um sistema cibernético a partir das fontes de dados disponíveis - centrado no estado e histórico -
centric / log -centric. O ponto de partida para abordagens centradas no estado é um instantâneo do estado
do sistema de interesse; por exemplo, o conteúdo atual de um disco rígido ou outro armazenamento
médio. Usando o conhecimento de como um determinado sistema / aplicativo opera, podemos de-
duce um estado de interesse anterior. Por exemplo, se peças únicas de um arquivo conhecido estão no meio,
mas o arquivo não está disponível através da interface normal do sistema de arquivos, a explicação mais provável
é que o arquivo já foi armazenado no sistema de arquivos, mas foi subsequentemente apagado (o espaço
foi marcado para reutilização) e parcialmente sobrescrito por arquivos mais recentes. A principal restrição aqui é
a escassez de pontos de dados históricos, o que limita nossa capacidade de deduzir o estado do sistema
em qualquer ponto do passado.
Abordagens centradas em log dependem de um histórico explícito de eventos com registro de data e hora (um log) que documenta
menta as atualizações do estado do sistema. Por exemplo, uma captura de pacote contém o componente
https://translate.googleusercontent.com/translate_f 256/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
história completa
manter uma das comunicações
variedade de registros dedemonitoramento
rede ao longo de
queum períodovários
detalham de tempo. Sistemas
aspectos Operacionais
da operação (SOs)operacional
do sistema
kernel e diferentes aplicações; ferramentas adicionais de auditoria e monitoramento de segurança podem
vide ainda mais eventos potencialmente relevantes. Muitos aplicativos, especialmente na empresa,
main, fornece logs de nível de aplicativo. Assim, um ambiente rico em log contém potencialmente todos os
detalhes relevantes para uma investigação; o desafio é vasculhar as entradas de registro, que muitas vezes
número na casa dos milhões, para encontrar e reunir os eventos relevantes.
Historicamente, o armazenamento tem sido um recurso precioso em sistemas de computador, levando ao software
projetos que enfatizam a eficiência do espaço, atualizando as informações no local e mantendo
uma quantidade mínima de informações de log. Consequentemente, a abordagem principal para a perícia tem
foi predominantemente centrado no estado.
Nos últimos dez a quinze anos, os avanços tecnológicos tornaram o armazenamento e a largura de banda
abundante e acessível, o que levou a um grande aumento na quantidade de dados de registro
mantidos por sistemas e aplicativos de TI. Há uma tendência clara de aumento da quantidade
e granularidade dos dados de telemetria enviados pela rede por sistemas operacionais e
aplicações individuais como parte de suas operações normais. Consequentemente, há uma substancial
precisa evoluir uma metodologia forense de modo que as informações de registro assumam uma correspondência
maior nível de importância. Ou seja, o período atual marca uma evolução importante
na metodologia forense digital, que requer uma reformulação substancial e metodológica
atualizações.
www.cybok.org
Infelizmente, a perícia digital não tem sido objeto de nenhum interesse sério por parte
de cientistas cognitivos e não houve nenhum esforço coerente para documentar investigações forenses
ções. Portanto, adotamos o processo de criação de sentido desenvolvido originalmente pela Pirolli & Card
[ ] para descrever a análise de inteligência - uma tarefa cognitiva que é muito semelhante ao anal forense
ysis. O modelo cognitivo Pirolli & Card é derivado de uma Análise de Tarefa Cognitiva em profundidade
(CTA), e fornece uma visão razoavelmente detalhada dos diferentes aspectos de uma inteligência e
trabalho de alyst. Embora muitas das ferramentas sejam diferentes, a análise forense e de inteligência são
muito semelhante em natureza - em ambos os casos, os analistas têm que passar por uma montanha de dados brutos
para identificar (relativamente poucos) fatos relevantes e colocá-los juntos em uma história coerente. O
o benefício de usar este modelo é que: a) ele fornece uma descrição bastante precisa da investigação
processo ativo por si só, e nos permite mapear as várias ferramentas para as diferentes fases
da investigação; b) fornece uma estrutura adequada para explicar as relações de
os diversos modelos desenvolvidos na área da forense digital; ec) pode perfeitamente
incorporar informações de outras linhas de investigação.
https://translate.googleusercontent.com/translate_f 257/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
potencialmente relevantes, como todas as comunicações por email entre duas pessoas de interesse.
A qualquer momento, o conteúdo da caixa de sapatos pode ser visto como a aproximação do analista
do conteúdo da informação que é potencialmente relevante para o caso. O arquivo de evidências contém
apenas as partes que são diretamente relevantes para o caso, como trocas de e-mail específico em um
tópico de interesse.
O esquema contém uma versão mais organizada da evidência, como uma linha do tempo de eventos ou
um gráfico de relações, que permite raciocínio de nível superior sobre as evidências. Uma hipótese
é uma conclusão provisória que explica a evidência observada no esquema e, por extensão,
poderia formar a conclusão final. Uma vez que o analista esteja satisfeito de que a hipótese é suportada
pela evidência, a hipótese se transforma em uma apresentação , que é o produto final da
processar. A apresentação geralmente assume a forma de um relatório do investigador que ambos
fala sobre as conclusões de alto nível que são relevantes para o caso legal e também documentos
as etapas técnicas de baixo nível com base nas quais a conclusão foi formada.
O processo analítico geral é de natureza iterativa , com dois loops de atividades principais: um forrageamento
Figura . : Modelo nocional de loop de criação de sentido para analistas derivado de tarefa cognitiva
análise [ , p. ]
loop que envolve as ações realizadas para encontrar fontes potenciais de informação, e que então
os questiona e os filtra quanto à relevância; e um ciclo de criação de sentido em que o analista
desenvolve - de forma iterativa - um modelo conceitual que é apoiado pela evidência.
Os processos de transformação da informação nos dois loops podem ser classificados em
up (organizar dados para construir uma teoria) ou top-down (encontrar dados com base em uma teoria).
Os analistas aplicam essas técnicas de forma oportunista com muitas iterações, em resposta
às evidências recém-descobertas e às questões investigativas de alto nível.
. . . Processos Bottom-Up
Os processos ascendentes são sintéticos - eles constroem representações de nível superior (mais abstratas)
de informações de peças de evidência mais específicas.
• Pesquisa e filtro : fontes de dados externas, discos rígidos, tráfego de rede, etc. são pesquisados
dados relevantes com base em palavras-chave, restrições de tempo e outros em um esforço para eliminar
a grande maioria dos dados irrelevantes.
• Ler e extrair : as coleções na caixa de sapatos são analisadas para extrair fatos individuais
e relacionamentos que podem apoiar ou refutar uma teoria. As peças de artefatos resultantes
(por exemplo, mensagens de e-mail individuais) são geralmente anotadas com sua relevância para o caso.
https://translate.googleusercontent.com/translate_f 258/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
entre um número crescente de fatos e eventos. A análise da linha do tempo é uma das
www.cybok.org
• Construir caso : a partir da análise dos esquemas, o analista eventualmente chega com
teorias testáveis, ou hipóteses de trabalho , que podem explicar a evidência. Um trabalho hi-
a hipótese é uma conclusão provisória e requer mais evidências de apoio, bem como
testes rigorosos com explicações alternativas. É um componente central do investimento
processo administrativo e é um ponto de referência comum que reúne o jurídico e
lados técnicos para construir um caso.
• Conte a história : o resultado típico de uma investigação forense é um relatório final e, talvez, um
apresentação oral em tribunal. A apresentação real pode conter apenas a parte da história
isso é fortemente apoiado pela evidência digital; os pontos mais fracos podem ser estabelecidos por
com base em evidências de outras fontes.
Os processos de cima para baixo são analíticos - eles fornecem contexto e direção para a análise de
pesquisa de dados menos estruturada e ajudam a organizar as evidências. Conclusão parcial ou provisória
sões são usadas para orientar a busca por evidências de apoio e contraditórias.
• Busca de suporte : uma hipótese pode precisar de mais fatos para ser de interesse e, idealmente,
seria testado contra cada explicação alternativa (razoavelmente) possível.
• Busca de evidências : a análise de teorias pode exigir a reavaliação das evidências para
verificar sua signi cância / proveniência, ou pode desencadear a busca por mais / melhores evidências
dence.
• Pesquisa de informações : o ciclo de feedback de qualquer um dos níveis mais altos pode, em última instância
cascatear em busca de informações adicionais; isso pode incluir novas fontes, ou o
reexame das informações que foram filtradas em passes anteriores.
Foi observado [ ] que os analistas tendem a começar com uma consulta de alto recall / baixa seletividade,
que engloba um conjunto bastante grande de documentos - muitos mais do que o analista pode ler.
O conjunto original é então sucessivamente modificado e reduzido antes que os documentos sejam
lido e analisado.
O ciclo de forrageamento é um ato de equilíbrio entre três tipos de processamento que um analista pode
executar- explorar , enriquecer e explorar . A exploração expande efetivamente a caixa de sapatos, incluindo
maiores quantidades de dados; o enriquecimento o reduz, fornecendo consultas mais específicas que incluem
menos objetos para consideração; exploração é a leitura cuidadosa e análise de um artigo
fato para extrair fatos e inferências. Cada uma dessas opções tem custos e potenciais variáveis
recompensas e, de acordo com a teoria de coleta de informações [ ], os analistas procuram otimizar seus
compensações custo / benefício.
A busca de informações neste contexto é um processo altamente iterativo com um grande número de
https://translate.googleusercontent.com/translate_f 259/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ajustes crementais em resposta às evidências emergentes. É responsabilidade do
investigador para manter o processo no alvo e dentro dos limites de quaisquer restrições legais.
Existem três processos principais envolvidos no ciclo de criação de sentido: estruturação do problema -o
criação e exploração de hipóteses, raciocínio probatório - o emprego de evidências
para apoiar / refutar uma hipótese e tomada de decisão - selecionando um curso de ação de um
conjunto de alternativas disponíveis.
É importante reconhecer que os loops de processamento de informação descritos estão intimamente ligados
juntos e frequentemente acionam iterações em ambas as direções. Novas evidências podem exigir um novo
teoria de trabalho, enquanto uma nova hipótese pode conduzir a busca por novas evidências para apoiar
ou refutá-lo.
Considerando o processo geral da Figura ., obtemos uma melhor compreensão das funções
e relações entre os diferentes atores. Atualmente, pesquisadores forenses digitais e
os desenvolvedores de ferramentas fornecem principalmente os meios para adquirir as evidências digitais do forense
alvos, extrair (e reconstruir logicamente) objetos de dados a partir dele e as ferramentas essenciais para
pesquise, filtre e organize. Em casos complexos, como um incidente de segurança multinacional,
identificar e adquirir os alvos forenses relevantes pode ser um processo difícil e demorado.
Muitas vezes, é previsto em garantir as decisões legais necessárias em várias jurisdições, também
como a cooperação de múltiplas organizações.
Em resumo, os investigadores não precisam ser engenheiros de software forenses, mas devem ser técnicos
tecnicamente proficiente o suficiente para entender o significado dos artefatos extraídos dos dados
www.cybok.org
fontes, e eles devem ser capazes de ler a literatura técnica relevante (artigos revisados por pares
cles) por completo. À medida que a sofisticação das ferramentas cresce, os investigadores precisam ter uma ferramenta funcional
compreensão de uma lista crescente de métodos de ciência de dados que são empregados pelas ferramentas em
a fim de interpretar corretamente os resultados. Da mesma forma, os analistas devem ter um entendimento funcional
da paisagem legal, e eles devem ser capazes de produzir um relatório competente e apresentar
suas conclusões no banco das testemunhas, se necessário.
. . . Processo Forense
A característica definidora das investigações forenses é que seus resultados devem ser admissíveis
em corte. Isso envolve seguir os procedimentos estabelecidos para aquisição, armazenamento e processamento
das evidências, empregando ferramentas e métodos analíticos cientificamente estabelecidos, e rigorosos
adesão a um código de prática e conduta profissional.
Proveniência e integridade dos dados . Começando com o processo de aquisição de dados, um investigador
deve seguir os padrões e procedimentos aceitos, a fim de certificar a proveniência e manutenção
manter a integridade das evidências coletadas. Em suma, isso envolve a aquisição de uma cópia verdadeira do
as evidências da fonte original usando ferramentas validadas, mantendo registros de custódia e
notas detalhadas do caso, usando ferramentas validadas para realizar a análise das evidências,
https://translate.googleusercontent.com/translate_f 260/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Conforme discutido na seção a seguir, a aquisição de dados pode ser realizada em diferentes níveis de
abstração e completude. O padrão ouro tradicional é uma cópia de nível de bits do forense
alvo, que pode então ser analisado usando o conhecimento da estrutura e semântica do
conteúdo de dados. Conforme os dispositivos de armazenamento aumentam em complexidade e a criptografia se torna o padrão
codificação de dados, é cada vez mais inviável obter uma cópia física verdadeira da mídia e um
aquisição lógica (parcial) pode ser a única possibilidade. Por exemplo, o único prontamente disponível
fonte de conteúdo de dados para um smartphone atualizado (com armazenamento local criptografado) pode
ser um backup na nuvem dos dados do usuário. Além disso, os dados locais podem ser tratados pelos tribunais como
ter níveis mais altos de proteção de privacidade do que os dados compartilhados com terceiros, como um serviço
fornecedor.
Scienti c Metodologia . A noção de reprodutibilidade é central para a validade científica da
Análise forense; começando com os mesmos dados e seguindo o mesmo processo descrito
no caso, as notas devem permitir que um terceiro chegue ao mesmo resultado. Métodos de processamento
deve ter taxas de erro cientificamente estabelecidas e diferentes ferramentas forenses que implementam
o mesmo tipo de processamento de dados deve produzir resultados idênticos ou dentro de
limites de erros estatísticos.
O investigador deve ter uma compreensão profunda dos resultados produzidos por vários forenses
cálculos sic. Algumas das preocupações centrais incluem: incertezas inerentes em alguns dos
os dados de origem, a possibilidade de múltiplas interpretações, bem como o reconhecimento de que
alguns dos dados podem ser falsos, pois foram gerados usando ferramentas anti-forenses, a fim de
confundir a investigação. O último é possível porque a maioria dos itens de dados usados no
a análise forense é produzida durante a operação normal do sistema e não é adulteração
prova. Por exemplo, um intruso com privilégios de acesso suficientes pode modificar arbitrariamente qualquer um dos
os milhões de carimbos de data / hora le potencialmente fazendo a análise da linha do tempo - uma tecnologia analítica central
nique - não confiável. Analistas forenses experientes estão atentos a tais questões e procuram, sempre que
possível, para corroborar informações importantes de fontes múltiplas.
Validação de ferramenta . A validação de ferramenta forense é um processo científico e de engenharia que sujeita
ferramentas específicas para testes sistemáticos a fim de estabelecer a validade dos resultados produzidos.
Por exemplo, o software de aquisição de dados deve produzir de forma confiável uma versão completa e não modificada
cópia da classe de alvos forenses que ela foi projetada para tratar.
Procedimento forense . O aspecto organizacional do processo forense, que dita como
a evidência é adquirida, armazenada e processada é crítica para a questão da admissibilidade. Anúncio estrito
conformidade com os padrões estabelecidos e restrições impostas pelo tribunal é o meio mais eficaz
de demonstrar ao tribunal que os resultados da análise forense são verdadeiros e confiáveis-
valioso.
Triagem. O volume de dados contidos por um alvo forense normalmente excede em muito a quantidade
de dados relevantes para um inquérito. Portanto, nos estágios iniciais de uma investigação, o foco de
a análise consiste em (rapidamente) identificar os dados relevantes e filtrar os irrelevantes. Tal inicial
triagem do conteúdo, muitas vezes referida como triagem , resulta em um exame profundo de acompanhamento
ção, ou em desprioritização, ou remoção do alvo de consideração posterior.
Legalmente, pode haver uma série de restrições colocadas no processo de triagem com base no
caso e os direitos de privacidade inerentes à jurisdição. De uma perspectiva técnica [ ],
“A triagem é um exame forense parcial conduzido sob condições (significativas) de tempo e recursos
tensões. ” Em outras palavras, os investigadores empregam métodos de exame rápidos, como olhar para
nomes de arquivos, examinando o histórico de pesquisa na web e semelhantes, para estimar (com base na experiência) o
valor dos dados. Esses resultados são inerentemente menos confiáveis do que um exame profundo, pois é
fácil de criar uma incompatibilidade entre o atributo de dados e o conteúdo real. Portanto, os tribunais podem
impõe restrições ao uso de computadores por infratores condenados para facilitar a triagem rápida
por ofícios no campo sem apreender o dispositivo.
Os sistemas de computador modernos geralmente ainda seguem a arquitetura original de von Neumann [ ],
que modela um sistema de computador consistindo em três unidades funcionais principais - CPU, a Principal
memória e armazenamento secundário - conectado por meio de barramentos de dados. Para ser mais preciso, o investimento real
https://translate.googleusercontent.com/translate_f 261/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
alvos tigativos não são peças individuais de hardware, mas o sistema operacional diferente (SO)
módulos que controlam os subsistemas de hardware e suas respectivas estruturas de dados.
Nossa discussão tem uma visão de alto nível da análise do sistema operacional - está além do escopo do Conhecimento
Edge Área para aprofundar os detalhes de engenharia de como diferentes classes de dispositivos são anais
ysed. Por exemplo, smartphones apresentam desafios adicionais em relação à aquisição de dados
ção; no entanto, eles ainda são computadores comuns, com a grande maioria deles funcionando em
um kernel Linux . O mesmo se aplica a outras classes de dispositivos incorporados, como UAVs e
sistemas de infoentretenimento para veículos.
O sistema operacional funciona em um nível mais alto de privilégio em relação aos aplicativos do usuário e, diretamente,
envelhece todos os recursos do sistema do computador - CPU, memória principal e dispositivos de E / S. Formulários
solicitar recursos e serviços do sistema operacional por meio da interface de chamada do sistema e empregá-los
para utilizá-los para realizar uma tarefa específica. O sistema (operacional) mantém uma variedade de
informações contábeis que podem testemunhar eventos relevantes para uma investigação [ ]
A análise do sistema emprega o conhecimento de como os sistemas operacionais funcionam para alcançar
conclusões sobre eventos e ações de interesse para o caso. Os usuários médios têm muito pouco
compreensão do tipo de informação que os sistemas operacionais mantêm sobre suas atividades,
www.cybok.org
e geralmente não tem o nível de conhecimento e / ou privilégio para adulterar os registros do sistema
assim, tornando-os úteis do ponto de vista jurídico, mesmo que não tenham uma definição formal de
e registros confiáveis.
.. Análise de armazenamento
Armazenamento persistente na forma de unidades de disco rígido (HDDs ) , unidades de estado sólido (SSDs), óptico
discos, externos (USBconectada) mídia etc. é a principal fonte de evidência para a maioria
investigações forenses. Embora a importância da análise forense de memória (volátil) na solução
casos cresceu significativamente, um exame completo de dados persistentes permaneceu um
pedra angular da maioria das investigações forenses digitais.
Os sistemas de computador organizam o armazenamento bruto em camadas sucessivas de abstração - cada software
camada (alguns podem estar em rmware) constrói uma representação de dados incrementalmente mais abstrata
isso depende apenas da interface fornecida pela camada imediatamente abaixo dela. Acordo-
da mesma forma, a análise forense de dispositivos de armazenamento pode ser realizada em vários níveis de abstração
[ 6 ]:
P. No nível mais baixo, cada dispositivo de armazenamento codifica uma sequência de bits e é
possível, em princípio, usar um mecanismo personalizado para extrair os dados bit a bit. Dependendo
a tecnologia subjacente, isso pode ser um processo caro e demorado, e muitas vezes
requer engenharia reversa. Um exemplo desse processo é a aquisição de celular
dados, em alguns dos quais é possível remover fisicamente (dessoldar) os chips de memória e
realizar uma verdadeira aquisição de nível de hardware do conteúdo [ 8] Uma abordagem similar de “chip-off”
pode ser aplicado a dispositivos de memória ash, como SSD, e para embutido e Internet de
Coisas (IoT) dispositivos com recursos e interfaces limitados. Outra abordagem prática é
para empregar ferramentas de engenharia que suportam o processo de desenvolvimento de hardware e empregar, para
exemplo, uma interface JTAG padrão [ ] - projetado para fins de teste e depuração -
para realizar a aquisição de dados necessária.
Na prática, o nível mais baixo no qual os exames típicos são realizados é o Host Bus
Adaptador (HBA) interface. Os adaptadores implementam um protocolo padrão ( SATA , SCSI) Através dos
que podem ser feitos para executar operações de baixo nível, como acessar o controle da unidade
barraca. Da mesma forma, o protocolo NVMe [6 ] é usado para realizar a aquisição do PCI Express-
dispositivos de armazenamento de estado sólido baseados em
Eventualmente, todas as mídias físicas falham e (parte dos) dados armazenados podem ficar indisponíveis. De-
dependendo da natureza da falha e da sofisticação do dispositivo, pode ser possível
para recuperar pelo menos alguns dos dados. Por exemplo, pode ser possível substituir o
controlador de um HDD e recuperar o conteúdo. Essa recuperação de hardware se torna mais difícil
com dispositivos mais integrados e complexos.
https://translate.googleusercontent.com/translate_f 262/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
alvo forense - um processo conhecido como imagem - no qual todo o processamento posterior é executado.
Historicamente, o termo setor é usado para se referir às unidades de transferência de dados de discos rígidos magnéticos;
um bloco (lógico) é um termo mais geral independente da tecnologia de armazenamento e
layout de dados físicos.
www.cybok.org
. O dispositivo de bloco não tem noção de arquivos, diretórios ou - na maioria dos casos - quais
blocos são considerados alocados e quais são gratuitos; é tarefa do sistema de arquivos organizar
o armazenamento em bloco em um armazenamento baseado em arquivo no qual os aplicativos podem criar arquivos e diretórios
com todos os seus atributos de metadados relevantes - nome, tamanho, proprietário, carimbos de data / hora, acesso por
missões etc.
UMA . Os aplicativos do usuário usam o sistema de arquivos para armazenar vários artefatos que
são valiosos para o usuário final - documentos, imagens, mensagens, etc. O próprio sistema operacional
também usa o sistema de arquivos para armazenar sua própria imagem - binários executáveis, bibliotecas, configuração
e arquivos de log, entradas de registro - e para instalar aplicativos. Alguns artefatos de aplicativos, como
documentos compostos têm uma estrutura interna complexa que integra vários artefatos de diferentes
diferentes tipos. Uma análise dos artefatos do aplicativo tende a render o mais imediatamente relevante
resultados, uma vez que as informações registradas estão mais diretamente relacionadas às ações e comunicações iniciadas
ciado por pessoas. À medida que a análise se aprofunda (para um nível inferior de abstração), requer
maior esforço e mais conhecimento especializado para reconstruir de forma independente as ações do
sistema. Por exemplo, ao compreender as estruturas do disco de um sistema de arquivos específico, uma ferramenta
pode reconstituir um arquivo de seus blocos constituintes. Este conhecimento é particularmente caro para
obter de um sistema fechado, como o Microsoft Windows, por causa da quantidade substancial
da engenharia reversa da caixa preta envolvida.
• Permite a recuperação de dados probatórios não disponíveis através do acesso normal aos dados
interface.
.. Aquisição de dados
Em linha com as melhores práticas [ ], a análise de dados em repouso não é realizada em um sistema ativo.
A máquina de destino é desligada, uma cópia exata dos bits da mídia de armazenamento é criada,
o original é armazenado em um armário de evidências e todo o trabalho forense é realizado na cópia.
Existem exceções a este fluxo de trabalho nos casos em que não é prático desligar o alvo
sistema e, portanto, uma imagem de mídia é obtida enquanto o sistema está ao vivo. Evidentemente, tal
abordagem não fornece o mesmo nível de garantias de consistência, mas ainda pode render
percepções valiosas. O problema de consistência, também conhecido como mancha de dados , não
existem em ambientes virtualizados, onde uma imagem consistente do disco virtual pode ser trivialmente
obtido usando o mecanismo de instantâneo integrado.
Como já discutido, obter dados da interface do sistema de nível mais baixo disponível e
a reconstrução independente de artefatos de nível superior é considerada a abordagem mais confiável
para análise forense. Isso resulta em uma forte preferência pela aquisição de dados em níveis mais baixos de
abstração e os conceitos de aquisição física e lógica .
www.cybok.org
Um exemplo cada vez mais comum desta abordagem é a aquisição de dados de telefones móveis que re-
https://translate.googleusercontent.com/translate_f 263/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
reside na remoção
geralmente, do chip de memória
obter fisicamente física
com a fonte de [evidência
8] e lendoé os dados diretamente
geralmente dele. eMais
o mais prático necessário
método essencial para sistemas embarcados low-end com recursos de hardware limitados. Fisica
aquisição também oferece acesso a armazenamento bruto superprovisionado adicional reservado pelo
dispositivo de armazenamento para compensar as falhas de hardware esperadas. Como uma regra geral,
os dispositivos não oferecem meios externos para interrogar essa área de armazenamento de sombra.
As técnicas de chip-off apresentam seus próprios desafios, pois o processo é inerentemente destrutivo
para o dispositivo, a extração e reconstrução de dados requer esforço adicional, e a
o custo pode ser substancial.
Para sistemas de uso geral, as ferramentas usam um protocolo HBA , como SATA ou SCSI para interrogar
o dispositivo de armazenamento e obter uma cópia dos dados. A imagem resultante é uma cópia em nível de bloco
do alvo que é geralmente referido como aquisição física pela maioria dos investigadores; Casey
usa o termo mais preciso pseudo- físico para explicar o fato de que nem todas as áreas de
a mídia física é adquirida e que a ordem dos blocos adquiridos não necessariamente
refletem o layout físico do dispositivo.
Os controladores de armazenamento modernos estão evoluindo rapidamente para dispositivos de armazenamento autônomos, o que
complemente algoritmos de balanceamento de carga e nivelamento de desgaste complexos (proprietários). Este tem dois
principais implicações: a) a numeração dos blocos de dados é completamente separada da
localização física real; eb) é possível que o próprio controlador de armazenamento se torne com-
prometeu [ 6 ], tornando o processo de aquisição não confiável. Estas advertências, não obstante-
em pé, vamos nos referir à aquisição em nível de bloco como sendo física, de acordo com o aceito
terminologia.
A aquisição de dados lógicos depende de uma ou mais camadas de software como intermediários para ac-
solicite os dados do dispositivo de armazenamento.
Em outras palavras, a ferramenta usa uma interface de programação de aplicativo (API), ou protocolo de mensagem,
para realizar a tarefa. A integridade deste método depende da correção e integridade do
implementação da API, ou protocolo. Além do risco, no entanto, também há uma recompensa -
interfaces de nível superior apresentam uma visão de dados que está mais próxima da abstração das ações do usuário
e estruturas de dados de aplicativos. Investigadores experientes, se equipados com as ferramentas adequadas,
pode fazer uso de visualizações físicas e lógicas para obter e verificar as evidências relevantes
para o caso.
A aquisição em nível de bloco pode ser realizada em software, hardware ou uma combinação de ambos.
O carro-chefe da imagem forense é o utilitário de linha de comando de propósito geral dd Unix / Linux
, que pode produzir uma cópia binária de qualquer arquivo, partição do dispositivo ou dispositivo de armazenamento inteiro. UMA
bloqueador de gravação de hardware é frequentemente instalado no dispositivo de destino para eliminar a possibilidade de
erro do operador, que pode levar à modificação acidental do alvo.
Os hashes criptográficos são calculados para a imagem inteira e (de preferência) para cada bloco; a
www.cybok.org
este último pode ser usado para demonstrar a integridade das evidências restantes se o dispositivo original
sofre uma falha parcial, o que impossibilita a leitura de todo o seu conteúdo. O nacional
Instituto de Padrões e Tecnologia (NIST) mantém o Teste de Ferramenta Computacional Forense
(CFTT) projeto [ 6], que testa de forma independente várias ferramentas básicas, como bloqueadores de gravação
e ferramentas de aquisição de imagens e publica regularmente relatórios sobre suas descobertas.
Questões de criptografia
Além de ter capacidade técnica para interrogar e adquirir o conteúdo de
um dispositivo de armazenamento, uma das maiores preocupações durante a aquisição de dados pode ser a presença
de dados criptografados. A criptografia moderna é difundida e cada vez mais aplicada por padrão a
dados armazenados e dados em trânsito pela rede. Por definição, uma implementação adequada
e sistema de segurança de dados administrado, que inevitavelmente emprega criptografia, irá frustrar
esforços para adquirir os dados protegidos e, por extensão, para realizar análises forenses.
Existem dois caminhos possíveis para obter dados criptografados - técnicos e jurídicos. O técnico
https://translate.googleusercontent.com/translate_f 264/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
abordagem depende de encontrar erros algorítmicos, de implementação ou administrativos, que permitem
a proteção de dados a ser subvertida. Embora seja quase impossível criar um complexo de TI
sistema que não tem bugs, a descoberta e exploração de tais deficiências está se tornando
cada vez mais difícil e com uso intensivo de recursos.
O restante desta discussão assume que o acesso aos dados brutos é garantido por qualquer
meios técnicos, ou legais, que extrapolem o escopo desta área de conhecimento.
Independentemente do tamanho do bloco básico, muitos sistemas operacionais gerenciam o armazenamento em clusters; uma
cluster é uma sequência contígua de blocos e é a menor unidade em que o armazenamento bruto é
alocado / recuperado. Assim, se o tamanho do bloco / setor do dispositivo for KiB, mas o tamanho do cluster escolhido
for 6 KiB, o sistema operacional alocará blocos em grupos de quatro.
Para fins de administração, a unidade bruta pode ser dividida em uma ou mais áreas contíguas
partição chamadas , cada um dos quais tem um uso designado e pode ser manipulado de forma independente.
As partições podem ser organizadas em volumes - um volume físico é mapeado em um único
partição, enquanto um volume lógico pode integrar várias partições, potencialmente de vários
dispositivos. Os volumes apresentam uma interface de dispositivo de bloco, mas permitem o desacoplamento do físico
organização de mídia a partir da visão lógica apresentada ao sistema operacional.
Com algumas exceções, os volumes / partições são formatados para acomodar um arquivo específico
www.cybok.org
sistema ( sistema de arquivos), que organiza e gerencia os blocos para criar a abstração de
lese diretórios junto com seus metadados relevantes. O sistema operacional (SO), como parte
de sua interface de chamada de sistema usada por aplicativos para solicitar serviços, fornece uma API de sistema de arquivos
que permite aos aplicativos criar, modificar e excluir arquivos; também permite que os arquivos sejam agrupados
em uma estrutura hierárquica de diretórios (ou pastas).
Como regra geral, o formato e a interpretação do conteúdo do arquivo estão quase sempre fora do
competência do sistema operacional; é a preocupação de aplicativos relevantes agindo em nome
de usuários.
Um sistema de arquivo ( sistema de arquivo) é um subsistema de sistema operacional responsável pelo armazenamento persistente
idade e organização de arquivos de usuário e sistema em uma partição / volume.
Ele fornece uma API padrão de alto nível , como POSIX, que é usada por aplicativos para armazenar e
recuperar arquivos pelo nome, sem qualquer preocupação com o método de armazenamento físico empregado ou o
layout do conteúdo dos dados (e metadados).
A análise forense do sistema de arquivos usa o conhecimento das estruturas de dados do sistema de arquivos e dos algoritmos
usado para criar, manter e excluí-los para: a) extrair conteúdo de dados de dispositivos independentemente
dently da instância do sistema operacional que o criou; eb) extrair artefatos remanescentes para
que a API regular do sistema de arquivos não oferece acesso.
O primeiro recurso é importante para garantir que os dados não sejam modificados durante a aquisição
e que quaisquer comprometimentos potenciais de segurança não afetam a validade dos dados. O segundo-
segundo fornece acesso a (partes de) arquivos desalocados que não foram substituídos, propositalmente
dados ocultos e um histórico implícito da operação do sistema de arquivos - a criação / exclusão de arquivos
- que não seja explicitamente mantido pelo sistema operacional.
https://translate.googleusercontent.com/translate_f 265/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Análise de dispositivo de bloco
Antes que o sistema operacional possa organizar um sistema de arquivos em um dispositivo bruto, ele normalmente o divide em um conjunto de um
ou mais partição disjuntas .
Uma partição de dispositivo de bloco , ou volume físico , é uma alocação contígua de blocos para um
propósito específico, como a organização de um sistema de arquivo.
As partições são o método básico usado para gerenciamento de armazenamento de granulação grossa; eles permitem um
único dispositivo físico a ser dedicado a vários fins, como hospedar diferentes lesões
ou separando o sistema dos arquivos do usuário. Se uma subdivisão não for necessária, todo o dispositivo
pode ser alocado trivialmente a uma única partição.
Um volume lógico é uma coleção de volumes físicos apresentados e gerenciados como um único
unidade.
Os volumes lógicos permitem que a capacidade de armazenamento de diferentes dispositivos seja agrupada de forma transparente (para
sistema de arquivos) para simplificar o uso da capacidade disponível. Eles também permitem o bloqueio automatizado
replicação de nível na forma de RAIDs [ 6 ] para melhor desempenho e durabilidade.
www.cybok.org
Um caso mais difícil é um HDD que está em uso há algum tempo e que foi subseqüente
formatado frequentemente (por exemplo, por alguém tentando destruir evidências). O frequentemente empregado
O comando de formatação rápida tem o efeito de sobrepor um conjunto de estruturas de dados que correspondem
para um sistema de arquivos vazio (um formato completo limpa o conteúdo da mídia, mas pode levar horas para
completo para que seja usado com menos frequência). Assim, a interface normal do sistema de arquivos, após consultar
essas estruturas, irão relatar que não há les. A realidade é que - naquele momento - apenas
os metadados do sistema de arquivos foram parcialmente sobrescritos, e todos os blocos de dados que representam o
os conteúdos ainda estão presentes na mídia na íntegra.
A computação forense, ao contrário da maioria dos outros tipos de computação, está muito interessada em todos os processos de recuperação
artefatos capazes (parciais), incluindo (e às vezes especialmente) os desalocados. A menos que um usuário
tomou medidas especiais para limpar com segurança um disco rígido, a qualquer momento a mídia
contém artefatos de aplicativo recuperáveis (arquivos) que foram aparentemente excluídos. O processo
de restaurar os artefatos é comumente realizado por entalhe .
A escultura em arquivo é a técnica mais antiga e mais comumente usada, e sua forma básica é baseada
em duas observações simples: a) A maioria le formatos têm especificações c início e fim marcas (aka
cabeçalho e rodapé ); eb) sistema de arquivossão fortemente favoráveis a um layout de arquivo sequencial para maximizar
Taxa de transferência.
Juntos, eles produzem um algoritmo de recuperação básico:) faça a varredura da captura sequencialmente até que um
cabeçalho conhecido é encontrado; por exemplo, imagens JPEG sempre começam com o FF (hexadecimal)
Cabeçalho D8 FF; ) faça a varredura sequencialmente até que um rodapé correspondente seja encontrado; FF D9 para JPEG; )
copie os dados intermediários como o artefato recuperado. Figura . ilustra alguns dos mais
casos comuns encontrados durante le carving:
. Nenhuma fragmentação é o caso mais típico, pois os sistemas de arquivos modernos exigem um esforço extra
para garantir o layout sequencial para um desempenho ideal.
https://translate.googleusercontent.com/translate_f 266/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tem uma versão em miniatura da imagem, que também está no formato JPEG. Este caso pode ser
resolvido fazendo várias passagens - uma vez que B é esculpido (e seus blocos removidos
consideração adicional) o conteúdo de A torna-se contíguo, então uma passagem subsequente
extraia-o prontamente.
. Os arquivos bi-fragmentados são divididos em duas partes contíguas com o outro conteúdo em ser-
… A1A2A3A4A5 … B1B2B3 …
… A1A2A3 A4A5 …
c) Arquivo bifragmentado
. O conteúdo intercalado é uma versão mais complicada de aninhamento que acontece quando
os arquivos maiores são usados para preencher as lacunas criadas pela exclusão dos menores.
Essa abordagem de escultura simples geralmente produz um bom número de artefatos utilizáveis; no entanto, real
os dados podem conter uma série de padrões atípicos, o que pode levar a um grande número de
e / ou resultados falsos positivos. Uma das principais razões é que os formatos de arquivo não são projetados com
entalhe em mente e raramente tem metadados internos robustos que conectam as peças constituintes
juntos. Alguns nem mesmo têm um cabeçalho e / ou rodapé designado, e isso pode resultar em um
grande número de falsos positivos, potencialmente produzindo resultados substancialmente maiores em volume
do que os dados de origem.
Recuperação de espaço ocioso . Tanto a RAM quanto o armazenamento persistente são quase sempre alocados em vários
ples de unidades mínimas de alocação escolhidas. Portanto, no final do espaço alocado, há
é a capacidade de armazenamento - espaço livre - que não é usado pelo aplicativo, mas também não está disponível
capaz de outros usos. Por exemplo, se a alocação mínima for KiB, e um arquivo precisar de KiB, o
O sistema de arquivos alocará quatro blocos KiB. O aplicativo usará totalmente os três primeiros blocos,
mas só usará KiB do último bloco. Isso cria o potencial para armazenar dados que seriam
ser inacessível através da interface do sistema de arquivos padrão e pode fornecer um meio simples de esconder
dados.
O espaço livre é a diferença entre o armazenamento alocado para um objeto de dados, como arquivo,
ou um volume e o armazenamento em uso real.
www.cybok.org
https://translate.googleusercontent.com/translate_f 267/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma vez ciente do potencial de armazenamento de dados ocultos no espaço ocioso, é relativamente fácil
identifique e examine-o, e esta é uma etapa padrão na maioria das investigações.
Desafios futuros . À medida que as unidades de estado sólido continuam a crescer em capacidade e a deslocar
discos a partir de uma proporção crescente de armazenamento de dados operacionais, le entalharo utilitário de está definido para
diminuem com o tempo. A razão reside no fato de que os blocos SSD precisam ser escritos duas vezes em
ordem para ser reutilizado (a primeira gravação redefine o estado do bloco, permitindo assim sua reutilização).
Para melhorar o desempenho, os comandos TRIM e UNMAP foram adicionados ao ATA e SCSI
conjuntos de comandos, respectivamente; eles fornecem um mecanismo para o sistema de arquivos indicar ao
dispositivo de armazenamento cujos blocos precisam ser coletados e preparados para reutilização.
A visão inicial das melhores práticas forenses era literalmente puxar o plugue de uma máquina que estava
para ser apreendido. A justificativa era que isso removeria qualquer possibilidade de alertar o
processos em execução no host e impediriam qualquer tentativa de ocultar informações. Sobre
tempo, a experiência tem mostrado que essas preocupações eram em grande parte exageradas e que o sub
perda substancial e irreversível de informações forenses importantes, como conexões abertas
e as chaves de criptografia raramente eram justificadas. Estudos demonstraram claramente que os dados tendem
persistir por um longo tempo na memória volátil ([ 6 ], [ 68]). Existe uma riqueza de informações
sobre o estado de tempo de execução de um sistema que pode ser prontamente extraído, mesmo de um instantâneo [ 66]:
Informações do processo . É prático identificar e enumerar todos os processos em execução,
threads e módulos de sistemas carregados; podemos obter uma cópia dos processos individuais '
código, pilha, heap, código e segmentos de dados. Tudo isso é particularmente útil ao analisar
máquinas comprometidas, pois permite a identi cação de serviços suspeitos, paridade anormal
relações ent / criança e, de forma mais geral, para pesquisar sintomas conhecidos de compromisso,
ou padrões de ataque.
Informações do arquivo . É prático para identificar quaisquer arquivos abertos, bibliotecas compartilhadas, memória compartilhada,
e memória mapeada anonimamente. Isso é particularmente útil para identificar usuários correlacionados
ações e atividades do sistema de arquivo, potencialmente demonstrando a intenção do usuário.
Conexões de rede . É prático para identificar conexões de rede abertas e fechadas recentemente
informações de protocolo e envio e recebimento de dados ainda não enviados
ou entregues, respectivamente. Essas informações podem ser prontamente usadas para identificar partes relacionadas
e padrões de comunicação entre eles.
Artefatos e fragmentos . Assim como o sistema de arquivos, o sistema de gerenciamento de memória tende a
ser reativo e deixar muitos vestígios de artefatos para trás. Este é principalmente um esforço para evitar qualquer
processamento que não é absolutamente necessário para o funcionamento do sistema; disco de cache
e os dados da rede tendem a deixar rastros na memória por muito tempo.
A análise de memória pode ser realizada em tempo real em um sistema ao vivo (em execução) ou pode
Na perícia ao vivo, um agente confiável (processo) projetado para permitir o acesso remoto por meio de um
canal está pré-instalado no sistema. O operador remoto tem controle total sobre o monitor
sistema monitorado e pode tirar instantâneos de processos específicos ou de todo o sistema. Investimentos ao vivo
tigações são uma extensão dos mecanismos preventivos de segurança regulares, que permitem o máximo
controle da mãe e aquisição de dados; eles são usados principalmente em implantações de grandes empresas.
https://translate.googleusercontent.com/translate_f 268/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
consideravelmente mais difícil do que trabalhar com um sistema ativo, que fornece acesso ao estado
do sistema em execução por meio de uma variedade de APIs e estruturas de dados. Em contraste, uma memória bruta
captura não oferece tais facilidades e ferramentas forenses precisam reconstruir a capacidade de extrair se-
informações mânticas do zero. Este é um problema de lacuna semântica, e o propósito de
a análise forense da memória é uma ponte.
. APLICAÇÃO FORENSE
A análise forense de aplicativos é o processo de estabelecer uma teoria de operação centrada em dados para um
aplicação específica. O objetivo da análise é estabelecer dependências causais objetivamente
entre entrada e saída de dados, em função das interações do usuário com a aplicação.
Dependendo se um aplicativo é de código aberto ou fechado e no nível do
que acompanha a documentação, o esforço analítico necessário pode variar da leitura detalhada
especificações para código de engenharia reversa, estruturas de dados e protocolos de comunicação, para
realizando experimentos demorados de análise diferencial de caixa preta. Alternativamente, foren-
fornecedores de ferramentas sic podem licenciar o código do fornecedor do aplicativo para obter acesso ao próprio
estruturas de dados etários.
A grande vantagem de analisar aplicativos é que temos uma melhor chance de observar
e documentar evidências diretas de ações do usuário, que é de importância primordial para o departamento jurídico
processar. Além disso, o nível de abstração dos vestígios forenses relevantes tendem a ter um nível de
abstração correspondente a um domínio particular.
www.cybok.org
codificado como parte do URL, e muitas vezes pode fornecer pistas muito claras e direcionadas sobre o que
que o usuário estava tentando realizar.
Dados do formulário . Os navegadores oferecem a conveniência de lembrar senhas de preenchimento automático e
outros dados de formulário (como informações de endereço). Isso pode ser muito útil para um investigador, es-
especialmente se o usuário estiver menos preocupado com a segurança e não usar uma senha mestra para criptografar
todas essas informações.
Arquivos temporários . O cache de arquivo local fornece sua própria cronologia de atividades da web, incluindo um
versão armazenada dos objetos da web reais que foram baixados e mostrados ao usuário (estes
pode não estar mais disponível online). Embora o cache tenha se tornado consideravelmente menos eficaz
devido ao aumento do uso de conteúdo dinâmico, isso é moderado pelo grande aumento de
capacidade de armazenamento disponível, o que coloca muito poucas, se houver, restrições práticas na quantidade
de dados em cache.
Os arquivos baixados são, por padrão, nunca excluídos, fornecendo outra fonte valiosa de atividade
em formação.
O armazenamento local HTML fornece um meio padrão para os aplicativos da web armazenarem informações
localmente; por exemplo, isso poderia ser usado para apoiar operações desconectadas, ou para fornecer um
medida de persistência para entrada do usuário. Consequentemente, a mesma interface pode ser interrogada
para reconstruir atividades da web.
Cookies são pedaços de dados opacos usados por servidores para manter uma variedade de informações no
cliente da web para oferecer suporte a transações como sessões de correio da web. Na prática, a maioria
cookies são usados por sites para rastrear o comportamento do usuário, e está bem documentado que alguns
os provedores não medem esforços para garantir que essas informações sejam resilientes. Alguns biscoitos
são tokens de acesso por tempo limitado que podem fornecer acesso a contas online (até que expirem);
outros têm uma estrutura analisável e podem fornecer informações adicionais.
https://translate.googleusercontent.com/translate_f 269/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A maioria das informações locais é armazenada em bancos de dados SQLite, que fornecem um alvo secundário para
recuperação de dados. Em particular, registros aparentemente excluídos podem persistir até que o banco de dados ex-
completamente 'aspirado'; caso contrário, eles permanecem recuperáveis em um momento posterior ([6 , ]).
. CLOUD FORENSICS
A computação em nuvem está emergindo rapidamente como o modelo principal para o fornecimento de tecnologia da informação
Serviços (TI) para dispositivos conectados à Internet. Ele traz os dois desafios disruptivos para o atual
ferramentas, métodos e processos forenses, bem como oportunidades forenses qualitativamente novas. Isto
não é difícil prever que, após um período intermediário de ajuste, a perícia digital irá
entrar em um novo período marcado por níveis substancialmente mais elevados de automação e empregará muito
análises de dados mais sofisticadas. Ambientes de computação em nuvem irão facilitar muito isso
processo, mas não antes de trazer mudanças substanciais às ferramentas e
práticas.
.. Cloud Basics
Conceitualmente, a TI baseada em nuvem abstrai a computação física e a infraestrutura de comunicação
estrutura e permite que os clientes aluguem a capacidade de computação necessária. Sistema de nuvem
tems têm cinco características essenciais: autoatendimento sob demanda, amplo acesso à rede, re-
pooling de fontes, elasticidade rápida e serviço medido. [ ]
A nuvem é habilitada por uma série de desenvolvimentos tecnológicos, mas sua adoção é impulsionada
principalmente por considerações de negócios, que impulsionam mudanças em como as organizações e os indivíduos
als usam serviços de TI. Consequentemente, também muda a forma como o software é desenvolvido, mantido e
entregue aos seus clientes. Os serviços de computação em nuvem são comumente classificados em um de
três modelos canônicos - Software as a Service (SaaS), Plataforma como serviço (PaaS) e
Infraestrutura como serviço (IaaS) Em implantações reais, as distinções podem ser confusas e
muitas implantações de nuvem (e potenciais alvos de investigação) incorporam elementos de todos os
esses.
As diferenças entre os modelos são mais bem compreendidas quando consideramos o virtualizado
ambientes de computação como uma pilha de camadas: hardware, como armazenamento e rede;
virtualização, que consiste em um hipervisor que permite a instalação e gerenciamento do ciclo de vida
de máquinas virtuais; sistema operacional, instalado em cada máquina virtual; middleware e
ambiente de execução; e aplicativos e dados.
Cada um dos modelos de nuvem divide a responsabilidade entre o cliente e o Serviço em Nuvem
Provedor (CSP) em diferentes níveis da pilha (Figura .) Em uma implantação privada (nuvem),
toda a pilha é hospedada pelo proprietário e o quadro geral forense é muito semelhante ao
problema de investigação de um alvo de TI fora da nuvem. A propriedade dos dados é clara, assim como a legalidade e
caminho processual para obtê-lo; na verdade, o próprio uso do termo 'nuvem' nesta situação não é
particularmente significativo para um inquérito forense.
https://translate.googleusercontent.com/translate_f 270/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Em uma implantação pública, o SaaS/ PaaSA classificação / IaaS torna-se importante, pois indica
a propriedade dos dados e as responsabilidades do serviço. Figura . mostra a propriedade típica
de camadas por cliente e provedores de serviço em diferentes modelos de serviço. Em implantação híbrida-
mentos, a propriedade da camada pode ser dividida entre o cliente e o provedor, e / ou entre
vários provedores. Além disso, pode mudar ao longo do tempo, como, por exemplo, o cliente pode lidar com
a carga básica na infraestrutura privada, mas explodiu na nuvem pública para lidar com a demanda de pico,
ou falhas do sistema.
www.cybok.org
.. Desafios Forenses
Os principais desafios técnicos para as práticas forenses estabelecidas podem ser resumidos da seguinte forma
baixos.
Aquisição lógica é a norma . O conjunto de ferramentas forense existente é quase exclusivamente construído para
trabalhar com os artefatos restantes de cálculos anteriores. Baseia-se no conhecimento algorítmico de
diferentes subsistemas de sistema operacional , como o sistema de arquivos, a fim de interpretar o layout físico de
os dados adquiridos do dispositivo.
Esses desenvolvimentos apontam para logs (de atividades do usuário e do sistema) se tornando o principal
fonte de informação forense. A implicação imediata é que muito mais será explicado
amplamente conhecido - ao contrário de deduzido - sobre o estado histórico de aplicativos e artefatos.
Isso exigirá um novo conjunto de ferramentas de análise de dados e transformará completamente a forma como
sic investigações são realizadas. Também trará novos desafios em termos de caso de longo prazo
preservação de dados.
Computações distribuídas são a norma . O principal atributo do modelo cliente / autônomo é
que praticamente todos os cálculos ocorrem no próprio dispositivo. Os aplicativos são monolíticos,
pedaços de código autocontidos que têm acesso imediato à entrada do usuário e a consomem
instantaneamente com (quase) nenhum traço deixado para trás. Uma vez que uma grande parte da perícia compreende at-
atribuir o estado observado de um sistema a eventos acionados pelo usuário, pesquisa forense e de-
O velopment focou incansavelmente em dois problemas de direção - descobrindo cada peça
de informações de log / carimbo de data / hora e extração de cada bit de dados descartados deixados por
aplicativos ou o sistema operacional.
O modelo de nuvem, particularmente SaaS, rompe completamente com essa abordagem - a computação
é dividido entre o cliente e o servidor, com o último realizando a pesada
levantamento e o primeiro desempenhando funções predominantemente de interação com o usuário. Código e dados
são baixados sob demanda e não têm lugar persistente em relação ao cliente. O di-
conseqüência direta é que a grande maioria da cadeia de ferramentas forense estabelecida torna-se
irrelevante, o que aponta para uma necessidade clara de uma abordagem diferente.
https://translate.googleusercontent.com/translate_f 271/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
.. Forense de SaaS
O modelo de entrega tradicional da indústria de software é Software as a Product (SaaP); isso é,
software adquirido como qualquer produto físico e é instalado pelo proprietário em uma máquina específica
chine, onde todos os cálculos são realizados. Como resultado, o modelo analítico tradicional
da análise forense digital é centrada no dispositivo físico - o investigador trabalha com evidências físicas
operadoras, como mídia de armazenamento ou dispositivos de computação integrados (por exemplo, smartphones). No
dispositivo cliente (ou autônomo), é fácil identificar onde os cálculos são realizados e
onde os resultados / traços são armazenados. O novo modelo de entrega de software - Software as a Ser-
vice (SaaS) - é baseado em assinatura e não começou a se tornar prático até que o
adoção do acesso rápido à banda larga há cerca de dez a quinze anos.
A nuvem renderiza muitos métodos centrados no dispositivo - especialmente aqueles focados em baixo nível
aquisição física e análise - irrelevante. Também requer o desenvolvimento de novas ferramentas
que pode funcionar no novo ambiente de implantação, onde a execução do código é dividida entre
o servidor e os dispositivos cliente, a interface de armazenamento primário é uma API de serviço e o aplicativo
artefatos de plicação não são armazenados de forma persistente no dispositivo (embora o armazenamento local possa ser
usado como cache).
Estudo de caso: Aquisição do Cloud Drive . Serviços de unidade de nuvem, como Dropbox , Google Drive e
Microsoft OneDrive é a versão SaaS do dispositivo de armazenamento local, que é fundamental para o mod
análise forense digital moderna. O problema da aquisição da unidade de nuvem, uma primeira etapa de investigação clara,
é uma boa ilustração dos desafios e oportunidades oferecidos pelo SaaS com relação a
forense.
A princípio, pode parecer que simplesmente copiar uma réplica local do conteúdo da unidade é uma forma simples e
solução eficaz. No entanto, esta abordagem não oferece garantias quanto à precisão
e integridade da aquisição. Especificamente, existem três preocupações principais:
Replicação parcial . O problema mais óbvio é que não há garantia de que qualquer um dos
os clientes anexados a uma conta terão uma cópia completa do conteúdo da unidade (nuvem). Como
os dados se acumulam online, torna-se rapidamente impraticável manter réplicas completas em todos os dispositivos;
na verdade, é provável que a maioria dos usuários não tenha um dispositivo com uma cópia completa dos dados. Pelagem-
além disso, a ferramenta de aquisição precisa de acesso direto aos metadados da unidade de nuvem para verificar
seu conteúdo; sem esta informação, a aquisição é de qualidade desconhecida, sujeita a
dados potencialmente obsoletos e omitidos.
Aquisição de revisão . A maioria dos serviços de drive fornece algum tipo de histórico de revisão; o olhar para trás
período varia, mas este é um recurso padrão que os usuários esperam, especialmente em serviços pagos. Al-
embora existam algumas fontes de dados análogas na análise forense tradicional, como a versão de arquivo
sões de importantes estruturas de dados do sistema operacional , o volume e a granularidade das informações de revisão
em aplicativos de nuvem são qualitativamente e quantitativamente diferentes. As revisões residem na nuvem
e os clientes raramente têm nada além da versão mais recente em seu cache; uma ação do lado do cliente
quisition claramente perderá revisões anteriores, e nem mesmo tem os meios para identificá-los
omissões.
Artefatos nativos da nuvem . O movimento de massa em direção a aplicativos baseados na web significa que
a perícia precisa aprender a lidar com um novo problema - artefatos digitais que não têm
representação serializada no sistema de arquivos local. Por exemplo, documentos do Google Docs são
armazenado localmente como um link para o documento que só pode ser editado por meio de um aplicativo da web. Aquisição
um link opaco sem o conteúdo real do documento tem utilidade forense mínima. A maioria
os serviços fornecem os meios para exportar o artefato do aplicativo da web em um formato padrão, como PDF;
www.cybok.org
Em resumo, trazendo a abordagem tradicional do lado do cliente para impulsionar a aquisição para o SaaS
a aquisição tem grandes problemas conceituais que estão além da correção; uma nova abordagem é
necessário, aquele que obtém os dados diretamente do serviço de nuvem.
.6 ANÁLISE DE ARTEFATO
[ , , , , ]
https://translate.googleusercontent.com/translate_f 272/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma vez que a representação externa (serializada) de um artefato digital, como um documento de texto
ou uma imagem é padronizada, fornece um nível conveniente de abstração, permitindo que o
desenvolvimento de técnicas forenses centradas em artefatos.
As funções de hash são resistentes a colisões se for computacionalmente inviável encontrar duas
entradas para as quais a saída é a mesma. Funções criptográficas de hash, como MD, RIPEMD-
6, SHA-, SHA- e o padrão NIST atual SHA- [ ], são projetados para serem de colisão
resistente e produz grandes resultados de 8 para bits. Uma vez que a probabilidade de que hashing dois
objetos de dados diferentes irão produzir o mesmo resumo por acaso é astronomicamente pequeno, podemos
assumir com segurança que, se dois objetos têm a mesma digestão criptográfica, então os próprios objetos
são idênticos .
A prática atual é aplicar uma função de criptografia hash a um destino inteiro (unidade, partição
etc.) ou para arquivos individuais. O primeiro é usado para validar a integridade do alvo forense por
comparar os resultados antes e depois em pontos importantes da investigação (por exemplo, para demonstrar
afirmar que a integridade das evidências em toda a cadeia de custódia), enquanto a última
são usados para trabalhar com arquivos conhecidos. Isso envolve remover da consideração
mon les como SO e instalações de aplicativos ou localização de arquivos conhecidos de interesse, como
como malware e contrabando. Instituto Nacional de Padrões e Tecnologia dos EUA (NIST)
mantém a National Software Reference Library (NSRL) [ ], que cobre a maioria das
instalação do sistema operacional mon e pacotes de aplicativos. Outras organizações e
fornecedores comerciais de ferramentas forenses digitais fornecem conjuntos adicionais de hash de outros dados conhecidos.
Uma discussão sobre as vulnerabilidades conhecidas das funções hash criptográficas está fora do escopo deste texto.
www.cybok.org
Neste contexto, dizemos que um bloco é distinto , se a probabilidade de que seu conteúdo exato surja
por acaso, mais de uma vez é muito pequeno. Se soubéssemos de fato que um bloco específico
era único e específico para um arquivo particular, então (em termos de valor probatório) encontrando-o
um alvo forense seria quase o mesmo que encontrar todo o arquivo do qual foi retirado
rived. Na prática, não podemos saber com certeza a distinção de cada bloco de dados possível;
portanto, usamos uma suposição aproximada com base em dados empíricos:
“Se um arquivo é conhecido por ter sido fabricado usando algum processo de alta entropia, e se o
blocos desse arquivo são mostrados para ser distintos ao longo de um corpus grande e representativo, então
esses blocos podem ser tratados como se fossem distintos. ” [ ] Talvez o trans- mais comum
formação que produz dados de alta entropia é a compressão de dados, que é rotineiramente empregada em
muitos formatos de arquivo comuns, como áudio / vídeo e documentos de escritório.
https://translate.googleusercontent.com/translate_f 273/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Além do uso direto de blocos como vestígios de evidência para a presença (passada ou atual) de
arquivos conhecidos, hashes de bloco podem ser usados para melhorar os resultados de gravação de arquivos, excluindo todos os
blocos conhecidos antes de realizar o processo de escultura . Isso pode melhorar os resultados, reduzindo
lacunas e eliminando certas classes de resultados falsos positivos.
Este termo amplo abrange métodos que podem funcionar em diferentes níveis de abstração. No
no nível mais baixo, os artefatos podem ser tratados como sequências de bits; nos níveis mais altos, técnicas de similaridade
poderia empregar, por exemplo, processamento de linguagem natural e métodos de reconhecimento de imagem para
fornecer um nível de raciocínio muito mais próximo ao de um analista humano. No que diz respeito ao
todo o espectro de métodos de similaridade, os de nível inferior são mais genéricos e computacionais
acessíveis, ao passo que os de nível superior tendem a ser mais especializados e requerem consideração
habilmente mais recursos computacionais. Portanto, esperaríamos uma investigação forense para
personalizar o uso de técnicas de AM com base nos objetivos da análise e nos dados do alvo.
Casos de uso. Usando uma terminologia comum de recuperação de informações, é útil considerar duas
ações do problema de detecção de similaridade: semelhança e contenção [ 6 ] Semelhança
consultas comparam dois objetos de dados de tamanhos comparáveis (pares) e buscam inferir o quão próximo
www.cybok.org
relacionados eles são. Duas aplicações forenses comuns incluem: (a) detecção de similaridade de objetos
- correlacionar artefatos que uma pessoa classificaria como versões uma da outra; e (b) cruzar
correlação - correlacionar objetos que compartilham os mesmos componentes, como um
imagem.
No caso de contenção, comparamos artefatos que apresentam uma grande disparidade em termos de tamanho
e procure estabelecer se um maior contém (pedaços de) um menor. Dois comuns
variações são detecção de objetos incorporados - estabelecendo se um objeto menor (como um
imagem) faz parte de uma maior (como um documento PDF) e a detecção de fragmentos - estabelecendo
se um objeto menor é um fragmento (como um pacote de rede ou bloco de disco) de um maior
um, como um arquivo.
A função de similaridade mapeia um par de conjuntos de recursos para um intervalo de similaridade; é cada vez mais
monotônico com relação ao número de recursos correspondentes. Ou seja, todo o resto sendo igual, mais
as correspondências de recursos geram uma pontuação de similaridade mais alta.
Aulas . É útil considerar três classes gerais de algoritmos de correspondência aproximada.
A correspondência de bytes considera os objetos que compara a uma sequência de bytes e não faz
esforço para analisá-los ou interpretá-los. Consequentemente, os recursos extraídos do artefato são
também sequências de bytes, e esses métodos podem ser aplicados a qualquer blob de dados. A utilidade do
o resultado depende muito da codificação dos dados. Se pequenas mudanças no conteúdo do
artefato resulta em pequenas mudanças no formato serializado (por exemplo, texto simples), então o bytewise
similaridade tende a se correlacionar bem com a percepção de similaridade de uma pessoa. Por outro lado, se um pequeno
mudança pode desencadear grandes mudanças na saída (por exemplo, dados compactados), então a correlação
seria substancialmente mais fraco.
A correspondência sintática depende da análise do formato de um objeto, potencialmente usando esse conhecimento
para dividi-lo em um conjunto lógico de recursos. Por exemplo, um arquivo zip ou um documento PDF pode
https://translate.googleusercontent.com/translate_f 274/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ser facilmente dividido em partes constituintes sem compreender a semântica subjacente. O
o benefício é que isso resulta em uma solução mais precisa com interpretações mais precisas
resultados; a desvantagem é que é uma solução mais especializada, exigindo informações adicionais
para analisar diferentes formatos de dados.
A correspondência semântica (parcialmente) interpreta o conteúdo dos dados para derivar recursos semânticos
para comparação. Os exemplos incluem hashes perceptivos que podem detectar imagens visualmente semelhantes,
e métodos de recuperação de informação e processamento de linguagem natural que podem encontrar
vínculos no assunto e no conteúdo dos documentos de texto.
Os pesquisadores usam uma variedade de termos para nomear os diferentes métodos de correspondência aproximada que eles
www.cybok.org
Artefatos de nuvem geralmente têm uma estrutura completamente diferente da tradicional centrada em instantâneos
codificação. Por exemplo, internamente, os documentos do Google Docs são representados como o
histórico (log) de cada ação de edição realizada nele; dadas credenciais válidas, este histórico é
disponível via API interna do Google Docs. Também é possível obter um instantâneo do artefato
de interesse em um formato padrão, como PDF, por meio da API pública. No entanto, isso é inerentemente
forensicamente deficiente na medida em que ignora informações potencialmente críticas sobre a evolução de um
documento ao longo do tempo.
. CONCLUSÃO
A perícia digital identifica e reconstrói a sequência relevante de eventos que levaram
para um estado atualmente observável de um sistema de TI ou artefatos (digitais) de destino. A proveniência
e integridade da fonte de dados e o embasamento científico das ferramentas investigativas e
métodos empregados são de importância primordial para determinar sua admissibilidade em um tribunal
procedimentos legais. A análise forense digital é aplicada a ambos os artefatos digitais individuais
tais como arquivos e sistemas de TI complexos que compreendem vários componentes e em rede
processos.
Após a rápida transição baseada na nuvem do Software como um Produto (SaaP) para software
como um serviço (SaaS), os métodos e ferramentas forenses também estão em um respectivo processo de transição
ção Um aspecto é uma mudança de ênfase da análise centrada no estado, que busca deduzir
eventos e ações, olhando para diferentes instantâneos e aplicando o conhecimento sobre o sistema
operações do tem, para análise centrada em log, que emprega entradas de log coletadas explicitamente para
inferir a sequência de eventos relevantes (para a investigação). Outro aspecto é a transição de
a aquisição física de baixo nível de imagens de dispositivos de armazenamento para a aquisição lógica de alto nível
https://translate.googleusercontent.com/translate_f 275/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 344
O Conhecimento em Segurança Cibernética
www.cybok.org
ção de artefatos de aplicativos (principalmente) por meio de APIs de serviço em nuvem bem de nidas. Alguns dos mais
importantes questões emergentes em análise forense digital são a análise da grande variedade de IoT
dispositivos, que devem aumentar em número para até bilhões em, e o
emprego de aprendizado de máquina / IA para automatizar e aumentar o processamento forense.
Tópicos Cita
Página 345
https://translate.googleusercontent.com/translate_f 276/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 347
346
Capítulo
Criptografia
Nigel Smart KU Leuven
https://translate.googleusercontent.com/translate_f 277/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
O objetivo deste capítulo é explicar os vários aspectos da criptografia que consideramos
deve ser conhecido por um especialista em segurança cibernética. A apresentação está em um nível necessário para um
instrutor em módulo de criptografia; para que eles possam selecionar a profundidade necessária em cada tópico.
Embora nem todos os especialistas em segurança cibernética precisem estar cientes de todos os aspectos técnicos mencionados
abaixo, achamos que eles devem estar cientes de todos os tópicos gerais e ter uma compreensão intuitiva de
ao que significam e que serviços podem fornecer. Nosso foco é principalmente em primitivos,
esquemas e protocolos que são amplamente utilizados, ou que são adequadamente bem estudados para que eles
podem ser usados (ou estão sendo usados atualmente) em domínios de aplicativos específicos.
A criptografia, por sua própria natureza, é um dos aspectos mais matemáticos da segurança cibernética;
portanto, este capítulo contém muito mais matemática do que algum outro capítulo.
ters. A apresentação geral pressupõe um conhecimento básico do primeiro ano de graduação
matemática, ou aquela encontrada em um curso de matemática discreta de um curso de graduação em Computação
Licenciatura em Ciências.
O capítulo está estruturado da seguinte forma: Após uma rápida recapitulação sobre algumas notas matemáticas básicas
ção (Seção .), damos então uma introdução de como a segurança é definida na criptografia moderna
raphy. Esta seção (Seção . ) constitui a base de nossas discussões nas outras seções.
Seção . discute construções teóricas da informação, em particular o one-time pad,
e compartilhamento de segredos. Seções . e . em seguida, detalhe a criptografia simétrica moderna; de
discutindo primitivas (como construções de cifra de bloco) e, em seguida, esquemas específicos (como
como modos de operação). Em seguida, nas seções .6 e . discutimos o método padrão
ologias para realizar criptografia de chave pública e assinaturas de chave pública, respectivamente. Então em
Seção .8 discutimos como esses esquemas básicos são usados em vários protocolos padrão;
como para autenticação e acordo de chave. Todas as seções, até e incluindo a Seção
0,8, foco exclusivamente em construções que têm implantação generalizada.
Seção . começa nosso tratamento de construções e protocolos que são menos amplamente usados;
mas que têm uma série de aplicações de nicho. Essas seções são incluídas para habilitar o
instrutor para preparar os alunos para as aplicações mais amplas da criptografia que eles possam
encontrar à medida que os aplicativos de nicho se tornam mais populares. Em particular, Seção . capas
Transferência alheia, conhecimento zero e computação multipartidária. Seção . cobre pub-
esquemas de chave lic com propriedades especiais, como assinaturas de grupo, criptografia baseada em identidade
e criptografia homomórfica.
O capítulo assume que o leitor deseja usar construções criptográficas para construir
sistemas de cura, não se destina a apresentar o leitor a técnicas de ataque em criptografia
https://translate.googleusercontent.com/translate_f 278/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
primitivos. Na verdade, todas as primitivas aqui podem ser assumidas como tendo sido selecionadas para evitar
vetores de ataque ou comprimentos de chave escolhidos para evitá-los. Mais detalhes sobre isso podem ser encontrados em
o relatório regular europeu de tamanho de chave e algoritmos, do qual a versão mais atualizada é
[ ]
Por uma razão semelhante, não incluímos uma discussão dos aspectos históricos da criptografia, ou
cifras históricas como César, Vigenère ou Enigma. Estes são, na melhor das hipóteses, exemplos de brinquedos e
portanto, não há lugar em tal corpo de conhecimento. É melhor deixá-los confundir os livros. Contudo
o leitor interessado é encaminhado a [ 8]
CONTENTE
. MATEMÁTICA
[ , c8-c, Apêndice B] [ 8, c –c]
Antes de prosseguir, definiremos algumas notações: O anel de inteiros é denotado por Z, enquanto
os campos dos números racionais, reais e complexos são denotados por Q, R e C. O anel de
tegers módulo N será denotado por Z / NZ, quando N é um p primo, este é um campo finito frequentemente
∗ ∗
denotado por F p . O conjunto de elementos invertíveis será escrito (Z / NZ) ou F p . Um módulo RSA
N denotará um inteiro N, que é o produto de dois (grandes) fatores primos N = p · q.
Grupos abelianos finitos de ordem primária q também são uma construção básica. Estes são escritos
x
multiplicativamente, caso em que um elemento é escrito como g para algum x ∈ Z / qZ; quando escrito
aditivamente, um elemento pode ser escrito como [x] · P. O elemento g (no caso multiplicativo) e
P (no caso aditivo) é denominado gerador.
O exemplo padrão de grupos abelianos nite de ordem principal usados em criptografia são elípticos
curvas. Uma curva elíptica sobre um campo finito F p é o conjunto de soluções (X, Y) para uma equação de
a forma
E: Y 2 = X 3 + A · X + B
onde A e B são constantes fixas. Esse conjunto de soluções, além de um ponto especial no infinito
denotado por O, forma um grupo abeliano nito denotado por E (F p ). A lei de grupo é uma lei clássica
datando de Newton e Fermat chamado de processo corda-tangente. Quando A e B são
selecionado cuidadosamente, pode-se garantir que o tamanho de E (F p ) seja um q primo. Isso vai ser importante
mais tarde na seção . . para garantir que o problema de logaritmo discreto na curva elíptica é difícil.
Alguns esquemas criptográficos fazem uso de redes que são subgrupos discretos do sub
n n·m
grupos de R . Uma rede pode ser definida por uma matriz geradora B ∈ R , onde cada coluna
de B forma um elemento de base. A rede é então o conjunto de elementos da forma y = B · x
m
onde x varia sobre todos os elementos em Z . Uma vez que uma rede é discreta, ela tem um comprimento bem definido
do menor vetor diferente de zero. Na seção . . notamos que encontrar este menor não-zero
vetor é um problema computacional difícil.
https://translate.googleusercontent.com/translate_f 279/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
A criptografia moderna adotou uma metodologia de 'Segurança Provável' para definir e sub-
suportar a segurança das construções criptográficas. O procedimento básico do projeto é definir
a sintaxe de um esquema criptográfico. Isso dá os comportamentos de entrada e saída do algoritmo
ritmos que compõem o esquema e definem a correção. Em seguida, um modelo de segurança é apresentado
que define quais metas de segurança são esperadas de um determinado esquema. Então, dado um específico
instanciação que atenda a sintaxe dada, uma prova de segurança formal para a instanciação é
dado em relação a alguns problemas difíceis conhecidos .
A prova de segurança não é uma garantia absoluta de segurança. É uma prova de que o dado instan-
tiação, quando implementada corretamente, satisfaz o modelo de segurança dado assumindo alguns
os problemas são realmente difíceis. Assim, se um invasor pode realizar operações que estão fora do
modelo, ou consegue quebrar o problema difícil subjacente, então a prova é inútil. Como-
sempre, uma prova de segurança, no que diz respeito a modelos bem estudados e problemas difíceis, pode dar forte
garante que a construção dada não tem pontos fracos fundamentais.
Nas próximas subseções, examinaremos essas idéias com mais detalhes e, em seguida, apresentaremos algumas
amplas declarações de segurança; mais detalhes da sintaxe e definições de segurança podem ser
encontrado em [ 8 , 8] Em um alto nível, a razão para essas definições é que as noções intuitivas
A segurança de uma construção criptográfica não é suficiente. Por exemplo o
a definição natural para segurança de criptografia é que um invasor não seja capaz de recuperar o
chave de descriptografia, ou o invasor não conseguirá recuperar uma mensagem criptografada em um
texto cifrado. Embora essas idéias sejam necessárias para qualquer esquema seguro, elas não são suficientes.
Precisamos nos proteger contra os objetivos do invasor para encontrar algumas informações sobre um
mensagem, quando o invasor é capaz de montar ataques de texto simples e de texto cifrado escolhidos
em um usuário legítimo.
Para esquemas de criptografia de chave pública, as definições são semelhantes, mas agora KeyGen () fornece a chave de saída
pares e a definição de correção torna-se:
∀ (pk, sk) ← KeyGen (), r ← R, m ← M, Dec (Enc (m, pk; r), sk) = m.
www.cybok.org
moedas) e a função Verificar verifica se a mensagem, a etiqueta e a chave são consistentes. Uma assinatura
esquema é dado por um triplo semelhante (KeyGen, Sign, Verify), onde agora a tag produzida é chamada
uma assinatura'. Assim, as definições de correção para essas construções são as seguintes
https://translate.googleusercontent.com/translate_f 280/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
(pk, sk) ← KeyGen (), r ← R, m ← M, Verificar (m, Sinal (m, sk; r), pk) = verdadeiro.
Observe que, para MAC determinísticos o algoritmo de verificação é geralmente apenas para recalcular o
Identifique o MAC MAC (m, k), e a seguir verifique se foi o que foi recebido.
No contexto da criptografia (tanto simétrica quanto chave pública), o objetivo de segurança ingênuo acima
não é visto como adequado para aplicações reais. Em vez disso, o objetivo de segurança do Indistinguish-
criptografias capazes (ou IND) geralmente é usado. Isso pede ao adversário para primeiro chegar a dois
textos simples, de comprimento igual, e então o desafiante (ou ambiente) criptografa um deles
e dá o texto cifrado de desafio resultante ao adversário. O objetivo do adversário é então
para determinar qual texto simples foi criptografado. No contexto de um ataque passivo, isso dá uma
declaração de vantagem conforme dada na segunda parte da Figura . , onde os dois estágios do
adversário são dados por A 1 e A 2 .
Em termos de criptografia, o ataque passivo acima quase sempre não é suficiente em termos
de capturar capacidades adversárias do mundo real, uma vez que sistemas reais quase sempre fornecem o
vetores de ataque adicionais do atacante. Assim, duas outras capacidades de ataque (cada vez mais fortes)
são geralmente considerados. Estes são um Ataque de Texto Simples Escolhido (ou capacidade CPA ), em que
www.cybok.org
o adversário recebe acesso a um oráculo de criptografia para criptografar mensagens arbitrárias de seu
escolha, e um Ataque de Texto Cifrado Escolhido (ou capacidade CCA ), em que o adversário tem ambos
um oráculo de criptografia e descriptografia. No caso de um esquema de chave pública, o adversário sempre
tem acesso a um oráculo de criptografia porque pode criptografar textos simples para si mesmo usando o público
chave, portanto, neste caso, PASS e CPA são equivalentes. No caso de um recurso CCA , restringimos
∗
o oráculo de descriptografia para que o adversário não lhe peça o desafio texto cifrado c ;
caso contrário, ele pode ganhar trivialmente o jogo da segurança. Portanto, a vantagem de um IND- adversário CCA
em relação a um esquema de criptografia de chave pública seria definido como a terceira definição na Figura ..
Outras definições de segurança são possíveis para criptografia (como Real ou Random), mas as anteriores
são os principais.
∗
Lê-se a declaração de probabilidade como sendo a probabilidade de que m = m , dado que m e
m ∗ são produzidos pela primeira amostragem k do algoritmo KeyGen (), em seguida, amostragem m ∗ e r do
∗ ∗
espaços M e R aleatoriamente, determinando então c chamando Enc (m, k; r) e finalmente passando c para
o Adversário A, e recebendo m em troca.
https://translate.googleusercontent.com/translate_f 281/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
IND- Definição de criptografia de chave simétrica PASS :
[
Adv IND − PASS (A, t) = Pr k ← KeyGen (), b ← {0,1}, m 0 , m 1 , estado ← A 1 (),
r ← R, c ∗← Enc (m b , k; r), b ← A 2 (c ∗
, estado): b = b ] - 1.
2
Adv UF-CMA (A, t) = Pr [ (pk, sk) ← KeyGen (), (m, σ) ← Sinal A (·, sk) (pk): Verifique (m, σ, pk) = verdadeiro ].
Para MACs (resp. esquemas de assinatura digital), o objetivo de segurança padrão é chegar a um
par de mensagem / tag (resp. mensagem / assinatura) que passa no algoritmo de verificação,
www.cybok.org
chamado Universal Forgery (ou UF)) ataque. Não fazemos suposições sobre se a mensagem
tem algum significado, de fato, o invasor vence se ele for capaz de criar uma assinatura em qualquer string de bits.
Se o adversário não receber oráculos, é dito que ele está montando um ataque passivo, enquanto
se o adversário receber uma geração de tag (oráculo de assinatura resp.), diz-se que ele está executando um
Ataque de mensagem escolhida (CMA) Neste último caso, a falsificação final não deve ser uma das
saídas do oráculo fornecido. No caso de segurança MAC , também se pode dar ao adversário
acesso a um oráculo de verificação de tags. No entanto, para MAC determinísticos isso está implícito no
Capacidade CMA e, portanto, é geralmente descartada, uma vez que a verificação envolve apenas a recalculação
o MAC.
Novamente, definimos uma vantagem e exigimos que ela seja insignificante no parâmetro de segurança. Para
assinaturas digitais a vantagem para a UF- O jogo CMA é dado pela quarta equação em
Figura ..
.. Problemas difíceis
Conforme explicado acima, as provas de segurança são sempre relativas a alguns problemas difíceis. Esta dificil
problemas são frequentemente chamados de primitivas criptográficas , uma vez que são o menor objeto atômico
a partir do qual esquemas criptográficos e protocolos podem ser construídos. Essas primitivas criptográficas
vêm em dois modos: ou são definições de funções teóricas da complexidade chave, ou
são problemas matemáticos difíceis.
No primeiro caso, pode-se considerar uma função F k (·): D - → C selecionada a partir de uma função
família {F k } e indexado por algum índice k (considerado como uma chave de comprimento variável). Um pode
em seguida, pergunte se a função selecionada é indistinguível (por um polinômio probabilístico
algoritmo de tempo A que tem acesso oráculo à função) a partir de uma função aleatória uniforme
de D a C. Se tal suposição for válida, então dizemos que a família de funções define um (chaveado)
Função pseudo-aleatória (PRF) No caso em que o domínio D é igual ao co-domínio C
podemos perguntar se a função é indistinguível de uma permutação escolhida aleatoriamente,
nesse caso, dizemos que a família define uma permutação Pseudo-Aleatória (com chave) (PRP)
128
No caso de uma cifra de bloco, como AES (veja mais tarde), onde se tem C = D = {0,1} , isso é
uma suposição básica de que a família de funções AES (indexada pela chave k) é um Pseudo-Random
Permutação.
No caso de problemas matemáticos difíceis, temos uma formulação semelhante, mas as definições
são geralmente mais intuitivos. Por exemplo, pode-se perguntar se um determinado módulo RSA
https://translate.googleusercontent.com/translate_f 282/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
N = p · q pode ser fatorado em seus componentes primos p e q, o chamado problema de fatoração.
O grupo RSA Z / NZ de nes um grupo abeliano nito de ordem desconhecida (a ordem é conhecida
para a pessoa que criou N), encontrar a ordem desse grupo é equivalente a fatorar N.
A função RSA x - → x Acredita-se que e (mod N) seja difícil de inverter, levando ao chamado
, encontrando x tal que x e = y (mod N). Isso é conhecido
∗
RSA- problema de conversão de, dado y ∈ (Z / NZ)
que a função pode ser facilmente invertida se o módulo N pode ser fatorado, mas não se sabe se
inverter a função implica que N pode ser fatorado. Portanto, temos uma situação em que um problema
(fatoração) parece ser mais difícil de resolver do que outro problema (o problema RSA ). Contudo,
na prática, assumimos que ambos os problemas são difíceis, dados os parâmetros escolhidos apropriadamente.
Detalhes sobre o melhor método para fatorar grandes números, a chamada peneira de campo numérico, podem ser
encontrado em [ 8 ]
Em grupos abelianos finitos de ordem conhecida (geralmente assumida como primos), um pode definir outro
x
problemas. O problema de inverter a função x - → g , é conhecido como o Logaritmo Discreto
x y x·y
Problema (DLP) O problema de, dado g eg , determinando g é conhecido como o Dif e–
www.cybok.org
x, gy, gz)
Problema Hellman (DHP) O problema de distinguir entre triplas da forma (g
e (g x , g y , g x · y ) para x, y, z aleatório é conhecido como o Dif de Decisão e – Hellman (DDH) problema.
Quando escrito aditivamente em um grupo de curvas elípticas, uma tripla DDH tem a forma ([x] · P, [y] · P, [z] · P).
De um modo geral, os problemas matemáticos difíceis são usados para estabelecer a segurança de
primitivas de chave pública. Um grande problema é que os problemas acima (Factoring, RSA-problema,
DLP , DHP , DDH), nos quais baseamos todos os nossos principais algoritmos de chave pública existentes, são fáceis
facilmente resolvido por computadores quânticos de grande escala. Isso levou os designers a tentar construir cripto-
esquemas gráficos em cima de primitivas matemáticas que não parecem ser capazes de ser
quebrado por um computador quântico. Exemplos de tais problemas são o problema de
ing o vetor mais curto em uma rede de alta dimensão, o chamado Problema do Vetor Mais Curto
(SVP), e o problema de determinar o vetor de rede mais próximo de um vetor não de rede, o
chamado Problema de Vetor Mais Próximo (CVP) Os melhores algoritmos para resolver esses problemas difíceis
são algoritmos de redução de rede, um bom levantamento desses algoritmos e aplicações pode ser
encontrado em [ 8 ] Os problemas de SVP e CVP , e outros, dão origem a uma área totalmente nova chamada
Criptografia Pós-Quântica (PQC)
.. Suposições de configuração
Alguns protocolos criptográficos requerem algumas suposições de configuração. Estas são suposições
sobre o meio ambiente, ou alguns dados, que precisam ser satisfeitos antes que o protocolo possa
ser considerado seguro. Essas suposições vêm em uma variedade de avours. Por exemplo, um
O pressuposto de configuração comum é que existe uma chamada infraestrutura de chave pública (PKI),
o que significa que temos uma ligação confiável entre as chaves públicas das entidades e suas identidades.
Outra suposição de configuração é a existência de uma string (chamada de String de Referência Comum
ou CRS) disponível para todas as partes, e que foi configurado de forma confiável, ou seja, de forma que
nenhuma parte tem o controle desta string.
Outras suposições de configuração podem ser físicas, por exemplo, que os algoritmos têm acesso
boas fontes de números aleatórios, ou que seus funcionamentos internos não são suscetíveis a um
atacante invasivo, ou seja, eles são imunes a ataques de canal lateral.
.. Simulação e segurança de UC
As definições de segurança acima fazem uso extensivo da noção de indistinguibilidade
entre duas execuções. Na verdade, muitas das técnicas de prova usadas nas provas de segurança
construir simulações de operações criptográficas. Uma simulação é uma execução que está
distinguível da execução real, mas não envolve (normalmente) o uso de qualquer chave
material. Outro método para produzir modelos de segurança é o chamado paradigma de simulação ,
onde pedimos que um adversário não possa diferenciar a simulação de uma execução real (a menos que eles
pode resolver alguns problemas difíceis). Este paradigma é frequentemente usado para estabelecer resultados de segurança para
protocolos criptográficos mais complexos.
https://translate.googleusercontent.com/translate_f 283/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Embora grande parte da criptografia se concentre na proteção contra adversários que são modelados
como máquinas de Turing de tempo polinomial probabilísticas, algumas construções são conhecidas por fornecer
segurança contra adversários ilimitados. Estes são chamados de informações teoricamente seguras
construções. Uma boa introdução ao lado teórico da informação da criptografia pode ser
encontrado em [ 86]
.. Bloco Único
O primitivo mais famoso que fornece segurança teórica da informação é o bloco de uso único.
t t
Aqui, uma mensagem binária m ∈ {0,1} é criptografado com uma chave k ∈ {0,1} uniformemente em
aleatório e, em seguida, produzindo o texto cifrado c = m⊕k. Em termos de nossos modelos de segurança anteriores,
este é um IND- Esquema PASS mesmo na presença de um adversário sem limites computacionalmente.
No entanto, o fato de não fornecer IND- A segurança do CPA é óbvia, pois a criptografia
esquema é determinístico. O esquema é inadequado em quase todos os ambientes modernos como
requer-se uma chave, desde que a mensagem e a chave só possam ser usadas uma vez; daí o
nome do teclado de uso único.
.. Compartilhamento secreto
Os esquemas de compartilhamento de segredos permitem que um segredo seja compartilhado entre um conjunto de partes, de modo que apenas um
determinado subconjunto pode reconstruir o segredo reunindo suas partes. A pessoa que
constrói o compartilhamento do segredo é chamado de negociante. O conjunto de partes que podem recon-
estrutura o segredo são chamados de conjuntos qualificados, com o conjunto de todos os conjuntos qualificados sendo chamados de
estrutura de acesso .
Qualquer conjunto que não seja qualificado é considerado um conjunto não qualificado, e o conjunto de todos os conjuntos não qualificados
é chamada de estrutura adversária . A estrutura de acesso é geralmente considerada monótona, em
que se as partes em A podem reconstruir o segredo, então qualquer superconjunto de A.
Muitos esquemas de compartilhamento de segredos forneceram segurança teórica da informação, em que qualquer conjunto de par-
laços que não são qualificados não podem obter nenhuma informação sobre o segredo compartilhado, mesmo que tenham
poder de computação ilimitado.
Uma forma especial de estrutura de acesso é a chamada estrutura de limite . Aqui, permitimos qualquer sub-
conjunto de t + 1 partes para reconstruir o segredo, enquanto qualquer subconjunto de t partes é incapaz de aprender
nada. O valor t está sendo chamado de limite. Um exemplo de construção de um limiar
esquema de compartilhamento de segredo para um s secreto em um campo F p , com n> p por meio do compartilhamento de segredo de Shamir
esquema.
No compartilhamento de segredo Shamir, seleciona-se um polinômio f (X) ∈ F p [X] de grau t com constante
coef cientes s, o valor que se deseja compartilhar. Os valores das ações são então dados por s i = f (i)
(mod p), para i = 1, ..., n, com o partido i sendo dado s i . Reconstrução do valor s de um
subconjunto de mais de t valores s i pode ser feito usando interpolação de Lagrange.
https://translate.googleusercontent.com/translate_f 284/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Devido a uma equivalência com os códigos de correção de erro Reed-Solomon, se t <n / 2, então no recebimento
de n valores de ações s i , uma parte em reconstrução pode detectar se alguma parte deu a ela uma participação inválida.
Além disso, se t <n / 3, a parte reconstrutora pode corrigir todos os compartilhamentos inválidos.
O compartilhamento de segredo replicado é um segundo esquema popular que suporta qualquer acesso monótono
estrutura. Dada uma fórmula booleana que define quem deve ter acesso ao segredo, pode-se
de ne um esquema de compartilhamento secreto a partir desta fórmula, substituindo todas as ocorrências de AND por
+ e todas as ocorrências de OR com um novo segredo. Por exemplo, dadas as fórmulas
(P 1 E P 2 ) OU (P 2 E P 3 ),
. PRIMITIVOS SIMÉTRICOS
[ , c –c6] [ 8, c –c]
Conforme explicado na introdução, não iremos discutir neste relatório a criptoanálise de sym-
primitivas métricas, examinaremos apenas construções seguras. No entanto, os dois principais
técnicas para ataques neste espaço são chamadas de criptanálise diferencial e linear. O
leitor interessado pode consultar o excelente tutorial de Howard Heys [ 8 ] nesses tópicos,
ou o livro [ 88]
www.cybok.org
.. Cifras de bloco
b - → {0,1} b
Uma cifra de bloco é uma função f: K × {0,1} , onde b é o tamanho do bloco. Apesar de seu
os nomes dessas funções não devem ser considerados um algoritmo de criptografia. É, no entanto,
um bloco de construção em muitos algoritmos de criptografia. O design de cifras de bloco é uma área profunda
de assunto em criptografia, análogo ao projeto de funções unilaterais teóricas dos números.
Muito parecido com as funções unilaterais teóricas dos números, as construções criptográficas são provadas se-
cura em relação a um problema difícil associado que uma determinada cifra de bloco supostamente satisfaz.
b
Para uma chave xed, presume-se que uma cifra de bloco atue como uma permutação no conjunto {0,1} , ou seja, para
uma chave xa k, o mapa f k : {0,1} b - → {0,1} b é uma bijeção. Também é assumido que inverter
esta permutação também é fácil (se a chave for conhecida). Uma cifra de bloco é considerada segura se
b
nenhum adversário de tempo polinomial, dado ao oráculo acesso a uma permutação em {0,1} , posso dizer o
diferença entre receber uma permutação uniformemente aleatória ou a função f k para alguns
chave oculta x fixada k, ou seja, a cifra de bloco é um PRP. Em alguns aplicativos, exigimos apenas que
a cifra de bloco é uma função, ou seja, não uma bijeção. Nesse caso, exigimos que a cifra de bloco seja
um PRF.
Nunca se pode provar que uma cifra de bloco é um PRP, então os critérios de design são geralmente uma tarefa
de construir uma construção matemática que resiste a todos os ataques conhecidos. O principal tal em-
https://translate.googleusercontent.com/translate_f 285/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tachas às quais se resiste são chamadas de criptoanálise linear , onde se aproxima as não lineares
componentes dentro da cifra de bloco por funções lineares e criptoanálise diferencial , onde
olha-se como duas saídas variam em mensagens de entrada relacionadas, por exemplo, aplica-se f k a vários
m entradas 0 e m 1 , em que m 0 ⊕ m 1 = Δ um valor fixo.
O design de uma cifra de bloco é feito de vários componentes mais simples. Existem
geralmente camadas de permutações xas simples e camadas de pesquisas de tabela. Estas pesquisas de tabela
são chamados de S-boxes, onde o S significa substituições. Existem duas técnicas principais para
cifras de bloco de design. Ambos repetem uma operação simples (chamada de rodada) várias vezes.
Cada rodada consiste em uma combinação de permutações e substituições e uma adição chave.
A chave principal é primeiro expandida em chaves redondas, com cada rodada tendo uma chave redonda diferente.
Na primeira metodologia, chamada de Rede Feistel , as S-Boxes permitidas em cada rodada podem
ser não injetivo, ou seja, não invertível. Apesar disso, as construções Feistel ainda mantêm o
invertibilidade geral da construção da cifra de bloco. O segundo método é uma substituição
Projeto de rede de permutação em que cada rodada consiste em uma adição de chave redonda, seguida
por uma permutação xa, seguida pela aplicação de S-box bijetivas. Em geral, o Feistel
a construção requer mais rodadas do que a construção da rede de Substituição-Permutação.
O DES (Padrão de criptografia de dados) cifra de bloco (com uma chave original de 56 bits e bloco
tamanho de b = 64) é uma construção Feistel. O algoritmo DES data de s, e o
o tamanho da chave agora é considerado muito pequeno para qualquer aplicativo. No entanto, pode-se estender DES
em uma cifra de bloco de chave de 112 ou 168 bits para construir um algoritmo chamado DES ou DES. O uso
de DES ou DES ainda é considerado seguro, embora em algumas aplicações, o tamanho do bloco de
64 bits é considerado inseguro para uso no mundo real.
.. Cifras de transmissão
Uma cifra de fluxo é aquela que produz uma sequência de comprimento arbitrário de bits de saída, ou seja, o co-
domínio da função é essencialmente ilimitado. As cifras de fluxo podem ser construídas a partir de
cifras de bloco, usando uma cifra de bloco no modo de contador (consulte a seção . .) No entanto, o
a cifra de fluxo é geralmente reservada para construções que são de propósito especial e para as quais
a complexidade do hardware é muito reduzida.
Claramente, uma cifra de fluxo não pode ser uma permutação, mas exigimos que nenhum anúncio de tempo polinomial
versary pode distinguir o acesso do oracle à cifra de stream do acesso do oracle a um
função aleatória com co-domínio infinito. O design das cifras de fluxo é mais ad-hoc do que
o do design das cifras de bloco. Além disso, há uma adoção menos difundida fora
áreas de aplicação específicas. O leitor interessado é encaminhado ao resultado do eStream
competição por detalhes de projetos de cifras de fluxo ad-hoc específicos [ ]
.. Funções Hash
As funções de hash são muito parecidas com cifras de bloco, pois devem atuar como PRFs. No entanto, a entrada
domínio pode ser ilimitado. Uma vez que um PRF precisa ser codificado para fazer algum sentido teórico
tratos, uma função hash é geralmente um objeto com chave. Na prática, muitas vezes exigimos um
objeto, caso em que se considera a função hash real usada para ter um implícito embutido
tecla xa e já foram escolhidos de uma família de funções.
. . . Construção Merkle-Damgård
https://translate.googleusercontent.com/translate_f 286/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tomando duas entradas x, y de comprimento xed com o comprimento de saída de x. Isso é usado para derivar uma função
que permite entradas de comprimento arbitrário dividindo primeiro uma mensagem m em t blocos m 1 , ..., m t
cada um de comprimento | y | e, em seguida, aplicando
h i = f (h i − 1 , m i ) para i = 1, ..., t,
onde a saída é h t e h 0 é algum valor inicial, que pode ser pensado como uma chave xa para
a função hash.
A metodologia acima requer um método para preencher o bloco de entrada inicial para codificar o comprimento,
e sofre de uma série de problemas práticos. Por exemplo, há comprimento óbvio ex-
ataques de tensão (ou seja, um hash em uma mensagem m pode ser estendido para um hash em mm sem
conhecer a totalidade de m) que tornam o uso de tais funções hash problemático em alguns
formulários. Por exemplo, em HMAC (ver Seção . .), um requer duas aplicações de
a função hash para evitar tais ataques.
www.cybok.org
. . . Construções de esponja
Uma abordagem mais moderna para o projeto de função hash é criar uma chamada construção de esponja
ção Esta é a filosofia de design por trás do SHA- (também conhecido como Keccak). Uma esponja é uma função que
opera em duas fases. Na primeira fase, os dados são inseridos no estado de esponja e, no
segunda fase, espreme-se os dados da esponja.
|r|+|c|
O estado da esponja é um par (r, c) ∈ {0,1} , onde o comprimento de r denota a entrada / saída
taxa ec é uma variável que mantém um estado interno oculto de qualquer invasor. O tamanho de c é
diretamente relacionado com a segurança da construção. Em cada rodada, uma permutação pública p é
aplicado ao estado (r, c).
Na fase de entrada da esponja, os dados de entrada m, após preenchimento adequado, são divididos em t
blocos m 1 , ..., m t do tamanho | r |. Em seguida, o estado é atualizado por meio do mapeamento
(r i , c i ) = p (r i − 1 ⊕ m i , c i − 1 ) para i = 1, ..., t,
onde r 0 e c 0 são inicializados para serem cadeias de bits totalmente zero. Depois que os dados são inseridos no
esponja, pode-se obter s blocos de | r | -bit saídas o 1 , ..., o s por computação
(o i , c i ) = p (o i − 1 , c i − 1 ) para i = 1, ..., s,
H (m 1 , ..., m t ) = o 1 , ..., o s .
Mais detalhes sobre as construções de esponja e os outros objetos que se podem construir a partir
eles, e o design SHA em particular, podem ser encontrados na página da web do Keccak [ ]
Isso claramente não captura ataques em que o adversário faz uso inteligente de exatamente
como a função hash é definida etc., e como essa definição interage com outros aspectos
do esquema / protocolo em análise. No entanto, esta metodologia de modelagem provou
notavelmente bom em permitir que os criptógrafos projetem esquemas que sejam seguros na vida real
mundo.
https://translate.googleusercontent.com/translate_f 287/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma cifra de bloco, como AES ou DES, não fornece uma forma eficaz de criptografia de dados
ou autenticação de dados / entidade por conta própria. Para fornecer essa construção criptográfica simétrica
ções, é necessário um esquema, que pega o primitivo e, em seguida, utiliza isso de uma forma mais com-
construção plex para fornecer o serviço criptográfico necessário. No contexto de simétrico
criptografia, eles são fornecidos por modos de operação. No caso de autenticação, é pro
fornecido por uma construção MAC . Além disso, as cifras de bloco são frequentemente usadas para obter alguma entropia
e, em seguida, expanda ou reduza isso em um fluxo ou chave pseudo-aleatório; um denominado XOF (ou
Função de saída extensível) ou KDF (ou função de derivação de chave) Mais detalhes no bloco ci-
construções baseadas em pher podem ser encontradas em [ ], considerando que mais detalhes sobre Sponger / Keccak
construções baseadas podem ser encontradas em [ ]
P0 P1 P2 Pn
k E k E k E ······ k E
C0 C1 C2 Cn
Figura . : Criptografia em modo CBC (todas as figuras são produzidas usando TikZ para criptógrafos
https: // www . iacr . org / autores / tikz /)
.. Modos de operação
Historicamente, existem quatro modos tradicionais de operação para transformar uma cifra de bloco em um
Algoritmo de criptografia. Esses eram os modos ECB , CBC , OFB e CFB . Nos últimos anos, o CTR
modo também foi adicionado a esta lista. Entre estes, apenas o modo CBC (dado na Figura .)
e modo CTR (fornecido na Figura .) são amplamente usados nos sistemas atuais. Nessas figuras,
a cifra de bloco é representada pela função Enc
k E k E k E ······ k E
P0 P1 P2 Pn
C0 C1 C2 Cn
Por conta própria, no entanto, os modos CBC e CTR fornecem apenas IND- Segurança CPA . Isso é muito mais fraco
do que o 'padrão ouro' de segurança, ou seja, IND- CCA (discutido anteriormente). Assim, o sistema moderno
tems usam modos que fornecem este nível de segurança, permitindo também dados adicionais (como
www.cybok.org
identificadores de sessão) a serem marcados no algoritmo de criptografia. Esses algoritmos são chamados
Métodos AEAD (ou criptografia autenticada com dados associados) Em tais algoritmos, o
https://translate.googleusercontent.com/translate_f 288/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A primitiva de criptografia toma como entrada uma mensagem a ser criptografada, além de alguns dados associados.
Para descriptografar, o texto cifrado é fornecido, junto com os dados associados. A descriptografia só funcionará
se a chave está correta e os dados associados são os que foram inseridos durante a criptografia
processar.
O método mais simples para obter um algoritmo AEAD é tomar um IND- Modo de operação CPA
como CBC ou CTRe, em seguida, aplicar um MAC ao texto cifrado e aos dados a serem autenticados
citado, dando-nos o chamado paradigma Encrypt-then-MAC. Assim, para criptografar m com autenticação
dados atribuídos a, aplica-se a transformação
sendo o texto cifrado (c 1 , c 2 ). Em tal construção, é importante que o MAC seja aplicado
ao texto cifrado em oposição à mensagem.
Ek Ek Ek
Dados de autenticação
mult1 H mult H
mult H
mult H
Tag de autenticação
Um grande problema com a construção Encrypt-then-MAC é que é necessário passar os dados para
a cifra de bloco subjacente duas vezes, com duas chaves diferentes. Assim, novas construções de AEAD
esquemas que são mais eficientes. O mais amplamente implantado deles é
GCM (ou modo de contador Galois), consulte a Figura ., que é amplamente implantado devido ao suporte
para isso em processadores modernos.
www.cybok.org
Uma vez AEAD construções, de outro modo conhecida como DEM, pode ser obtido simplesmente fazendo
o determinístico AEAD randomizado por xing IV a zero.
O método GCM AEAD da seção anterior pode ser considerado como um método Encrypt-then-MAC
construção, com o IND- A criptografia CPA sendo o modo CTR , e a função MAC sendo um
função chamada GMAC. Embora isso raramente seja usado sozinho como uma função MAC .
https://translate.googleusercontent.com/translate_f 289/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
As funções de hash também podem ser usadas para construir funções MAC . O mais famoso deles
é HMAC, que é uma construção projetada para uso com função hash baseada em Merkle-Damgård
ções. Como as funções de hash baseadas em Merkle-Damgård sofrem de ataques de extensão de comprimento, o
A função HMAC requer dois aplicativos da função hash subjacente. A construção
produz uma função MAC determinística dada por
onde opad é a string 0x5c5c ... 5c5c e ipad é a string 0x3636 ... 3636.
Como o HMAC é projetado especificamente para uso com funções hash baseadas em Merkle-Damgård, ele
não faz sentido usar esta construção ao usar uma função hash baseada em esponja, como
SHA-. A função MAC padronizada derivada de SHA- é chamada KMAC (ou Keccak MAC)
Nesta função, a construção da esponja é usada para inserir uma mensagem adequadamente preenchida, então
a saída de MAC necessária é considerada a saída comprimida da esponja; Considerando que tantos
os bits compactados são necessários para a saída do MAC .
Essas funções podem ter uma string de entrada de comprimento arbitrário e produzir outro comprimento arbitrário
string de saída que é pseudo-aleatória. Existem três construções principais para tais funções;
um baseado em cifras de bloco, um nas funções de hash Merkle-Damgård e um baseado em
funções hash baseadas em esponja.
As construções baseadas em uma cifra de bloco são, em sua essência, usando CBC- MAC, com uma chave zero
para compactar a string de entrada em uma chave criptográfica e, em seguida, usar o modo de operação CTR
www.cybok.org
sob esta chave para produzir a string de saída. Portanto, a construção é essencialmente dada por
k ← CBC-MAC (m, 0), o 1 ← Enc (1, k), o 2 ← Enc (2, k), ...
As construções baseadas na função hash Merkle-Damgård usam uma estrutura semelhante, mas
usando um aplicativo de função hash por bloco de saída, em um método semelhante ao seguinte
Devido à forma como as funções de hash Merkle-Damgård são construídas, a construção acima (para
grande o suficiente m) pode ser feito de forma mais eficiente do que simplesmente aplicar H tantas vezes quanto o
número de blocos de saída ditará.
Como se pode imaginar, as funções baseadas em Keccak são mais simples - basta inserir o naipe-
mensagem habilmente acolchoada na esponja e, em seguida, espreme tantos bits de saída quanto re-
exigido.
KDF especials também podem ser de nidos, tomando como entrada uma entrada de baixa entropia, como uma passagem
palavra ou PINe produzir uma chave para uso em um algoritmo simétrico. Esta chave baseada em senha
funções de derivação são projetadas para ser computacionalmente caras, de modo a mitigar prob-
lems associados ao ataque de força bruta da entrada de baixa entropia subjacente.
.. Merkle-Trees e Blockchains
Uma aplicação de funções de hash criptográficas que recentemente ganhou destaque é
o de usar Merkle-Trees e, por extensão, blockchains. Uma Merkle-Tree, ou hash-tree, é uma árvore
em que cada nó folha contém dados e cada nó interno é o hash de seus nós filhos.
O nó raiz é então publicado publicamente. Árvores Merkle permitem a demonstração eficiente de que um
o nó folha está contido na árvore, em que simplesmente apresenta o caminho dos hashes da folha
até o nó raiz. Assim, a verificação é logarítmica no número de nós folha. Árvores Merkle
pode verificar qualquer forma de dados armazenados e têm sido usados em vários protocolos, como versão
https://translate.googleusercontent.com/translate_f 290/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
sistemas de controle, como Git, e sistemas de backup.
Uma cadeia de blocos é uma estrutura semelhante, mas agora os itens de dados estão alinhados em uma cadeia, e cada
o nó faz o hash do item de dados e de um link para o item anterior na cadeia. Cadeias de blocos
são usados em criptomoedas como Bitcoin , mas têm uma aplicação mais ampla. A proposta-chave
o que um blockchain fornece é que (assumindo que o atual chefe da cadeia é autenticado
e confiáveis) os dados fornecem um livro-razão aberto distribuído no qual os itens de dados anteriores são
imutável, e a ordem dos itens de dados é preservada.
Conforme explicado acima, a criptografia de chave pública envolve duas chaves, uma pública pk e uma privada
um sk. O algoritmo de criptografia usa a chave pública, enquanto o algoritmo de descriptografia usa a
chave secreta. Grande parte da criptografia de chave pública é baseada em construções teóricas de números, portanto
[ 8 ] fornece uma boa cobertura de muitas coisas nesta seção. O requisito de segurança padrão para
criptografia de chave pública é que o esquema deve ser IND- CCA. Observe que, uma vez que a criptografia
a chave é pública, temos esse IND- PASS é o mesmo que IND- CPA para criptografia de chave pública
esquema.
www.cybok.org
(pk, sk) ← KEMKeyGen (), r ← R, (k, c) ← KEMEnc (pk; r), KEMDec (c, sk) = k.
As chaves públicas / privadas são usadas por meio da função RSA x - → x e (mod N), que tem o in-
Existem muitas maneiras históricas de usar a função RSA como um esquema de criptografia de chave pública,
https://translate.googleusercontent.com/translate_f 291/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
muitos dos quais agora são considerados obsoletos e / ou inseguros. Os dois métodos recomendados
As tecnologias no uso de RSA para criptografia são RSA- OAEP e RSA- KEM; que são ambos IND- CCA
seguro no modelo oráculo aleatório.
OAEPou Preenchimento de criptografia assimétrica otimizado, é um método para usar a função RSA
diretamente como um IND- Algoritmo de criptografia de chave pública CCA . OAEP é parametrizado por dois inteiros
G: {0,1} k - → {0,1} n + k
0 1
H: {0,1} n + k - → {0,1} k .
1 0
Onde
• denota concatenação.
RSA- KEM, por outro lado, é um KEM muito mais simples de executar. Para produzir o
chave encapsulada e o texto cifrado, toma-se a entrada aleatória r (que se pensa como um
∗
elemento uniformemente aleatório em (Z / NZ) ) Então o KEM é definido por
onde H: (Z / NZ) - → K é uma função hash, que modelamos como um oráculo aleatório.
r←F∗
q , C ← [r] · P, k ← H ([r] · Q),
onde H: E (F p ) - → K é uma função hash (modelada como um oráculo aleatório). Para decapsular
a chave é recuperada via
k ← H ([sk] C).
Comparado com RSA-based primitivas, ECCprimitivos baseados em são relativamente rápidos e usam menos
largura de banda. Isso ocorre porque, no momento da escrita, pode-se selecionar os parâmetros da curva elíptica
256 128
com p ≈ q ≈ 2 para obter segurança equivalente a um fator de trabalho de 2 operações. Portanto, em
sistemas atuais sistemas baseados em curva elíptica são preferidos em vez de RSAbaseados em.
www.cybok.org
https://translate.googleusercontent.com/translate_f 292/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.6. Construções baseadas em treliça
Um grande problema com as primitivas RSA e ECC é que elas não são seguras contra quan-
computadores tum; ou seja, o algoritmo de Shor quebrará os problemas difíceis RSA e ECC
em tempo polinomial. Portanto, a busca é por esquemas de chave pública que resistiriam ao
advento de um computador quântico. O Instituto Nacional de Padrões e Tecnologia (NIST)
está atualmente envolvido em um processo para determinar esquemas potenciais que são pós-quânticos
seguro, veja [ ] para obter mais detalhes sobre isso.
O mais proeminente desses esquemas chamados pós-quânticos são aqueles baseados em probabilidades difíceis.
lems em treliças. Em particular, os esquemas NTRU e uma variedade de esquemas baseados nos
Aprendendo com os erros (LWE) problema, e sua generalização para anéis polinomiais, conhecido como
o anel-Problema LWE . Existem outras propostas baseadas em problemas difíceis na teoria da codificação, em
a dificuldade de calcular isogenias entre curvas elípticas e outros construtos. NIST é
atualmente conduzindo um programa para selecionar potenciais substituições pós-quânticas.
A criptografia de chave pública assume que a chave pública do destinatário é conhecida por estar associada
a entidade física com a qual o remetente deseja se comunicar. Esta ligação de chave pública
com uma entidade é feito por meio de um chamado certificado digital . Um certificado digital é um certificado
declaração de que uma determinada entidade está associada a uma determinada chave pública. Este certificado é emitido
por uma autoridade certificadora e utiliza a segunda construção principal de chave pública; ou seja, um digital
assinatura.
Assim como com algoritmos de criptografia de chave pública, algoritmos de assinatura digital modernos são baseados
no problema RSA ou em uma variante do problema do logaritmo discreto; portanto, o leitor é
também dirigido novamente para [ 8 ] para detalhes mais avançados. Para segurança pós-quântica, há um
número de propostas baseadas em construções treliçadas; mas nenhum ainda foi amplamente aceito
ou implantado no momento em que este documento foi escrito. Novamente para assinaturas PQC nos referimos ao
processo NIST atual [ ]
O esquema de assinatura digital prototípico fornecido em livros-texto é vagamente chamado de RSA- FDH ,
onde FDH significa Full Domain Hash. O algoritmo pega uma mensagem me assina
produzindo
s = H (m) d (mod N).
A verificação é então realizada testando se a seguinte equação é válida
onde o preenchimento suficiente de 0xF F bytes é feito para garantir que toda a string preenchida seja apenas menor
do que N em tamanho. Apesar do relacionamento próximo com a RSA- FDH, o esquema de assinatura acima tem
nenhuma prova de segurança e, portanto, um esquema mais moderno é geralmente preferido.
.. RSA-PSS
A maneira moderna de usar o primitivo RSA em um esquema de assinatura digital é por meio do preenchimento
método chamado PSS (Esquema de Assinatura Probabilística) Isso é de nido muito como RSA- OAEP
por meio do uso de duas funções hash, uma que expande os dados e outra que os compacta:
G: {0,1} k - → {0,1} k − k
1 1 −1 ,
H: {0,1} ∗ - → {0,1} k ,
1
https://translate.googleusercontent.com/translate_f 293/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
G 1 : {0,1} k - → {0,1} k
1 0
G 2 : {0,1} k - → {0,1} k − k
1 0 −k 1 −1
que retorna os últimos k - k 0 - k 1 - 1 bits de G (w) para w ∈ {0,1} k , ou seja, G (w) = G 1 (w) G 2 (w).
1
Para assinar uma mensagem, o detentor da chave privada executa as seguintes etapas:
• r ← {0,1} k0 .
• w ← H (mr).
• y ← 0w (G 1 (w) ⊕ r) G 2 (w).
Para verificar a (s) assinatura (s, m), o titular da chave pública realiza o seguinte
• Divida y nos componentes bwαγ onde b tem um bit de comprimento, w tem k 1 bits de comprimento, α é k 0
bits de comprimento e γ tem k - k 0 - k 1 - 1 bits de comprimento.
• r ← α ⊕ G 1 (w).
Apesar de ser mais complicado do que PKCS-. , o RSA- O esquema PSS tem uma série de anúncios
vantagens. É um esquema de assinatura aleatório, ou seja, cada aplicação do algoritmo de assinatura
na mesma mensagem produzirá uma assinatura distinta, e terá uma prova de segurança no
modelo de oráculo aleatório relativo à dificuldade de resolver o problema RSA .
www.cybok.org
Descreveremos ambos os algoritmos no contexto de curvas elípticas. Ambos fazem uso de um público
chave da forma Q = [x] · P, onde x é a chave secreta. Para assinar uma mensagem m, em ambos os algoritmos,
∗
um primeiro seleciona um valor aleatório k ∈ (Z / qZ) , e calcula r ← x - coord ([k] · P). Um então
calcula um hash da mensagem. No algoritmo DSA , isso é feito com e ← H (m), enquanto
para o algoritmo Schnorr, calcula-se via e ← H (mr). Então, a equação da assinatura é
aplicado que, no caso de EC-DSA, é
s ← (e + x · r) / k (mod q)
e, no caso de Schnorr, é
s ← (k + e · x) (mod q).
Finalmente, a assinatura de saída é dada por (r, s) para EC-DSA e (e, s) para Schnorr.
https://translate.googleusercontent.com/translate_f 294/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
r = x - coord ([e / s] · P + [r / s] · Q)
no caso da Schnorr. A principal diferença entre os dois algoritmos não é a assinatura e a verificação -
equações de cátions (embora afetem o desempenho), mas o fato de que, com o Schnorr
esquema, o valor r também é inserido na função hash para produzir e. Esta pequena distinção
resulta nas diferentes propriedades de segurança prováveis dos dois algoritmos.
Um aspecto chave de ambos EC-As assinaturas DSA e Schnorr indicam que são muito frágeis à exposição
do nonce k aleatório por mensagem. Se apenas um pequeno número de bits de k vazar para o invasor
com cada operação de assinatura, o invasor pode recuperar facilmente a chave secreta.
Os protocolos criptográficos são operações interativas realizadas entre duas ou mais partes em
a fim de realizar algum objetivo criptográfico. Quase todos os protocolos criptográficos fazem uso do
primitivas que já discutimos (criptografia, autenticação de mensagem, compartilhamento de segredos).
Nesta seção, discutimos as duas formas mais básicas de protocolo, ou seja, autenticação e
acordo chave.
Eles podem operar na configuração de chave simétrica ou pública. Na configuração de chave simétrica, ambos
o provador e o verificador possuem a mesma chave secreta, enquanto na configuração da chave pública, o provador
detém a chave privada e o verificador detém a chave pública. Em ambas as configurações, o verificador primeiro
criptografa um nonce aleatório para o provador, o provador então descriptografa isso e o retorna para o
verificador, o verificador verifica se o nonce aleatório e o valor retornado são equivalentes.
Veri er Provador
N←M
c
c ← Enc (N, pk; r) -→
m
← - m ← dez (c, sk)
?
N =m
O esquema de criptografia precisa ser IND- CCA seguro para que o protocolo acima seja seguro
contra ataques ativos. O nonce N é usado para evitar ataques de repetição.
Eles também operam na chave pública ou na configuração simétrica. Nestes protocolos, o verificador
envia um nonce in the clear para o provador, o provador então produz uma assinatura digital (ou um MAC
na configuração de chave simétrica) neste nonce e o passa de volta para o verificador. O verificador então
verifica a assinatura digital (ou verifica o MAC) No diagrama a seguir, damos ao público
variante baseada em chave / assinatura digital.
https://translate.googleusercontent.com/translate_f 295/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Veri er Provador
N
N←M -→
σ
- → σ ← Sinal (N, sk)
?
Verifique (N, σ, pk)= verdadeiro
www.cybok.org
.8. . Zero-Knowledge-Based
Veri er Provador
k ← Z / qZ
r
←- R ← [k] · P
e
e ← Z / qZ -→
s
← - s ← (k + e · x) (mod q)
?
R = [s] · P - e · Q
• Cada parte tem a garantia de que apenas a outra parte tem acesso à chave secreta. Isso é
a chamada autenticação mútua. Em muitos cenários de aplicação (por exemplo, no aplicativo padrão
plicação da Segurança da Camada de Transporte (TLS) para o protocolo de navegação na web), um só requer
esta propriedade de uma parte, caso em que dizemos que temos apenas uma forma de autenticação
ção
Kerberos é um exemplo de um sistema de acordo de chave baseado em chave (geralmente) simétrico. Isso é
um protocolo que requer partes confiáveis para retransmitir e gerar chaves secretas de uma parte para
outro. É mais adequado para redes corporativas fechadas. Na Internet pública, protocolos
como o Kerberos, são menos úteis. Assim, aqui se usa protocolos baseados em chave pública, como TLS
e IPSec. Propriedades mais avançadas exigidas de protocolos modernos baseados em chave pública são como
segue.
• Confirmação da chave: as partes sabem que a outra parte recebeu o mesmo segredo
chave. Às vezes, isso pode ser eliminado como a execução correta do procedimento subsequente
tocol usando a chave secreta fornece essa con rmação. Este último processo é chamado de implícito
confirmação chave .
https://translate.googleusercontent.com/translate_f 296/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• Segurança de compartilhamento de chave desconhecida: isso evita que uma parte (Alice) compartilhe uma chave com Bob,
enquanto Bob pensa que ele compartilha uma chave com Charlie, apesar de compartilhá-la com Alice.
Variações sobre o tema dos protocolos de acordo-chave incluem acordo-chave do grupo, que
permite que um grupo de usuários chegue a um acordo sobre uma chave, ou acordo de chave baseado em senha, em que dois
as partes só concordam com uma chave (de alta entropia) se também concordam com uma senha compartilhada.
A forma mais básica de protocolo de acordo de chave é uma forma de transporte de chave em que as partes
use criptografia de chave pública para trocar uma chave aleatória. No caso de uma autenticação unilateral
protocolo, este era o método tradicional de operação TLS (até a versão TLS .) entre
um servidor e um cliente
Cliente Servidor
pk
←-
k←K
c
c ← Enc (k, pk; r) -→
k ← dez (c, sk)
Este protocolo produziu o segredo pré-mestre em versões mais antigas do TLS (pré-TLS . ) Derivar
o segredo final em TLS, outros nonces foram trocados entre as partes (para garantir que
ambas as partes estavam vivas e a chave estava fresca). Então, um segredo mestre foi derivado do
segredo pré-master e os nonces. Finalmente, a confirmação chave foi fornecida por todo o proto-
transcrição col sendo hash e criptografada sob o segredo mestre (o chamado FINISHED
mensagem). Em TLS, a chave resultante não é indistinguível da aleatória como o criptografado
A mensagem FINISHED fornece ao adversário uma verificação trivial para determinar se uma chave é
real ou não. No entanto, o protocolo pode ser mostrado como seguro para fins de uso do
segredo mestre para produzir um canal bidirecional seguro entre o servidor e o cliente.
Um problema mais básico com o protocolo acima é que ele não é seguro para encaminhamento. Qualquer adversário que
grava uma sessão agora e, no futuro, consegue obter o sk secreto de longo prazo do servidor,
pode obter o segredo pré-mestre e, portanto, descriptografar toda a sessão.
Para evitar problemas com sigilo de encaminhamento de RSAcom base em transporte de chaves, protocolos modernos fazem
uso de troca de chaves Dif e – Hellman. Isso permite que duas partes concordem em uma uniformidade aleatória
chave, que é indistinguível de aleatória assumindo o problema de decisão Dif e – Hellman
é difícil
Alice Prumo
a ← Z / qZ b ← Z / qZ
QA
Q A ← [a] · P −− →
QB
← −− Q B ← [b] · P
K ← [a] · Q B K ← [b] · Q A
Este protocolo fornece sigilo de encaminhamento, mas não fornece nenhuma forma de autenticação. Devido a isso,
o protocolo sofre um ataque man-in-the-middle. Para obter autenticação mútua, o
O fluxo de mensagem de Q A é assinado pela chave pública de Alice e o fluxo de mensagem de Q B é assinado
www.cybok.org
pela chave pública de Bob. Isso evita o ataque man-in-the-middle. No entanto, uma vez que o sinal
turas não estão vinculadas à mensagem, o protocolo Dif e-Hellman assinado sofre de um
ataque de compartilhamento de chave desconhecido; um adversário (Charlie) pode retirar a assinatura de Alice de Q A e re-
coloque-o com sua assinatura. O adversário não descobre o segredo, mas convence Bob
ele está falando com outra entidade.
https://translate.googleusercontent.com/translate_f 297/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.8. . Protocolo Station-to-Station
O Station-to-Station (STS) protocolo pode ser usado para evitar ataques de compartilhamento de chave desconhecida
no Dif e – Hellman assinado e manter a indistinguibilidade das chaves. Neste protocolo, o Dif e–
A chave derivada de Hellman é usada para criptografar as assinaturas, garantindo que as assinaturas não
ser retirado das mensagens. Além disso, as assinaturas são aplicadas à transcrição de modo a
para convencer ambas as partes receptoras de que a outra parte está "viva".
Alice Prumo
a ← Z / qZ b ← Z / qZ
QA
Q A ← [a] · P −− →
Q B ← [b] · P
K ← [b] · Q A
Sinal σ B ← ({Q B , Q A }, sk B )
QB,cB
← −−−− c B ← Enc K (σ B )
K ← [a] · Q B
σ B ← Dez K (c B )
?
Verifique ({Q B , Q A }, σ B , pk B =
) verdadeiro
Sinal σ A ← ({Q A , Q B }, sk A )
cA
c A ← Enc K (σ A ) -→
σ A ← Dez K (c A )
?
Verifique ({Q A , Q B }, σ A , pk A=) verdadeiro
. PROTOCOLOS AVANÇADOS
[ 8 , c –c]
A criptografia moderna examinou uma série de protocolos mais complexos para alcançar mais
termina complexo. Por exemplo, esquemas de voto eletrônico seguros, leilões seguros, armazenamento de dados e re-
recuperação, etc. A maioria desses protocolos avançados são baseados em componentes mais simples
descrito nesta seção e / ou nos esquemas de criptografia e assinatura com prop-
propriedades discutidas na próxima seção. Aqui nos restringimos a discutir três amplamente
protocolos necessários: Transferência Oblivious, Zero-Knowledge e Multi-Party Computation.
www.cybok.org
.. Transferência Esquecida
Durante a transferência inconsciente (OT) está no cerne de muitos protocolos avançados, é um surpreendentemente
primitivo simples que permite realizar várias tarefas mais complexas. No seguinte
a seguir, descrevemos a transferência oblivious 1-out-of-2 básica, mas extensões para n-out-of-m são
imediato. Em todos os casos, o protocolo é executado entre um remetente e um receptor.
Em uma transferência esquecida 1-out-of-2, o remetente tem duas mensagens m 0 e m 1 , enquanto o Re-
ceiver tem um bit de entrada b. A saída do protocolo deve ser a mensagem m b para o Re-
ceiver, e o remetente não obtém nenhuma saída. Em particular, o receptor não aprende nada sobre o
mensagem m 1 − b , enquanto o Remetente não aprende nada sobre o bit b.
Este protocolo passivamente seguro pode ser implementado da seguinte maneira. Assumimos a mensagem do remetente
sábios são dois elementos M 0 e M 1 em um grupo de curvas elípticas E (F p ) de ordem primária q.
Remetente Receptor
C
C ← E (F p ) -→
x ← (Z / qZ)
Q b ← [x] · P
Q 1−b ← C - Q b
Q0
←-
Q1←C-Q0
k ← (Z / qZ)
C 1 ← [k] · P
E 0 ← M 0 + [k] · Q 0
https://translate.googleusercontent.com/translate_f 298/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
E 1 ← M 1 + [k] · Q 1
C1,E0,E1
-→
M b ← E b - [x] · C 1
A extensão para um protocolo ativamente seguro é apenas um pouco mais complexa, mas além do
âmbito deste artigo.
Uma Memória de Acesso Aleatório Alheio (ORAM) protocolo é semelhante, mas agora não só permitimos
o usuário ler inconscientemente do banco de dados do servidor, também permitimos que o usuário grave no
base de dados. Para proteger as consultas de gravação, o banco de dados do servidor deve agora ser mantido em
um formulário criptografado (portanto, o que está escrito não pode ser determinado pelo servidor). Além disso, o
www.cybok.org
padrões de acesso, ou seja, onde os dados são gravados e lidos, precisam ser ocultados do
servidor.
.. Conhecimento Zero
Um protocolo Zero-Knowledge é um protocolo executado entre um Provador e um Verificador no qual
o provador demonstra que uma afirmação é verdadeira, sem revelar porque a afirmação é
verdadeiro. O conceito é usado em muitos lugares na criptografia, para construir esquemas de assinatura,
para atestar a identidade e construir protocolos mais avançados. Uma introdução ao
mais aspectos teóricos do conhecimento zero podem ser encontrados em [ 8 ] Mais formalmente, considere
uma linguagem NP L (ou seja, um conjunto de afirmações x que podem ser verificadas como verdadeiras em polinômios
tempo dado a uma testemunha ou prova w). Um sistema de prova interativo para L é uma sequência de protocolo
execuções por um (infinitamente poderoso) Provador P e um (tempo polinomial probabilístico) Verificador
V, que na entrada conjunta x procede da seguinte forma:
Veri er Provador
p1
← - (p 1 , s 1 ) ← P 1 (x)
v1
(v 1 , s 1 ) ← V 1 (x, p 1 ) -→
p2
← - (p 2 , s 2 ) ← P 2 (s 1 , v 1 )
v2
(v 2 , s 2 ) ← V 2 (s 1 , p 2 ) - →
p3
← - (p 3 , s 3 ) ← P 3 (s 2 , v 2 )
... ...
pr
- → (p r , s r ) ← P r (s r , v r )
1 1
• Completude: Se a afirmação x for verdadeira, ou seja, x ∈ L, então, se o Provador for honesto, então o
Veri er produzirá true.
• Solidez: se a afirmação for falsa, ou seja, x ∈ L, então nenhum Provador trapaceiro pode convencer
o Veri er com probabilidade maior que p.
Observe que mesmo se p for grande (digamos p = 0,5), repetir a prova várias vezes pode reduzir
a probabilidade de solidez para qualquer coisa desejada. Claro, protocolos com p pequeno para começar
vão ser mais eficientes.
Para qualquer instrução NP, existe um sistema de prova interativo trivial. Ou seja, o Provador simplesmente
envia a testemunha que o Verificador então verifica. No entanto, isso revela a testemunha.
https://translate.googleusercontent.com/translate_f 299/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Em uma prova de conhecimento zero, obtemos o mesmo objetivo, mas o Verificador não aprende nada além do
fato de que x ∈ L. Para definir formalmente o conhecimento zero, insistimos que existe um (poli- probabilístico
tempo nominal) simulador S que pode produzir transcrições de protocolo idênticas às transcrições
produzido entre um Verificador e um Provador honesto; exceto que o simulador não tem acesso a
o provador. Isso implica que o Verificador não pode usar a transcrição para realizar qualquer outra tarefa,
já que o que aprendeu com a transcrição, poderia ter produzido sem o provador, simplesmente
executando o simulador.
Uma prova de conhecimento zero é considerada conhecimento zero perfeito se a distribuição de transcrições
produzidos pelo simulador são idênticos aos produzidos entre um provador e verificador válido.
www.cybok.org
Se as duas distribuições não podem ser distinguidas por um algoritmo eficiente, dizemos que temos
zero-conhecimento computacional .
Uma prova de conhecimento zero é considerada uma prova de conhecimento se um Verificador tiver acesso de retrocesso
para o provador (ou seja, o Verificador pode continuar redefinindo o provador para um estado de protocolo anterior e
continuar executando) pode extrair a testemunha subjacente w. Isso implica que o Provador deve
'saber' w, uma vez que podemos extrair w dele.
Uma prova de conhecimento zero não interativa é aquela em que não há nenhuma mensagem devida do
Verificador para o Provador, e apenas uma mensagem devida do Provador para o Verificador. Tal
provas não interativas exigem suposições de configuração adicionais, como uma referência comum
String (CRS), ou exigem que um assuma o modelo Random Oracle. Tradicionalmente estes
são aplicados a declarações teóricas de números específicos, de modo a mostrar o conhecimento de um
logaritmo (consulte a próxima seção sobre protocolos protocols), no entanto, recentemente chamado de não sucinto
Argumentos Interativos de Conhecimento (SNARKs) foram desenvolvidos que permitem tal
argumentos interativos para declarações mais complexas. Tão SNARKs estão encontrando aplicativos
em alguns sistemas blockchain.
. . . Σ -Protocolos
Veri er Provador
k ← Z / qZ
R
←- R ← [k] · P
e
e ← Z / qZ -→
s
← - s ← (k + e · x) (mod q)
?
R = [s] · P - e · Q
O protocolo também é uma prova de conhecimento, pois se executarmos duas execuções de protocolo com o
mesmo valor de R, mas diferentes valores de e (e 1 e e 2 ), então obtemos dois valores de s (s 1 e s 2 ). Esta
é feito retrocedendo o provador para logo após ter enviado sua primeira mensagem. Se os dois obtivessem
transcrições (R, e 1 , s 1 ) e (R, e 2 , s 2 ) são válidos, então temos
R = [s 1 ] · P - e 1 · Q = [s 2 ] · P - e 2 · Q
e entao
[s 1 - s 2 ] · P = [e 1 - e 2 ] · Q
e, portanto
[s 1 - s 2 ]
Q= ·P
e1-e2
https://translate.googleusercontent.com/translate_f 300/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 376 O Conhecimento em Segurança Cibernética
www.cybok.org
Em um protocolo MPC , presumimos que um subconjunto das partes A está corrompido. Em estaticamente seguro
protocolos, este conjunto é definido no início do protocolo, mas permanece desconhecido para os honestos
partidos. Em um protocolo adaptativamente seguro, o conjunto pode ser escolhido pelo adversário como o pró
o tocol progride. Um protocolo MPC é considerado passivamente seguro se as partes em A seguirem
o protocolo, mas tente aprender dados sobre as entradas das partes honestas de sua visão conjunta. Em um
protocolo ativamente seguro, as partes em A podem desviar-se arbitrariamente do protocolo.
Um protocolo MPC deve ser correto , ou seja, ele produz a resposta correta se todas as partes seguirem
o protocolo. Também deve ser seguro , ou seja, as partes desonestas não devem aprender nada sobre
as contribuições das partes honestas. No caso de adversários ativos, um protocolo é dito ser
robusta se as partes honestas obtiverem o resultado correto, mesmo quando as partes desonestas
desviar do protocolo. Um protocolo que não é robusto, mas que aborta com esmagadora
probabilidade quando uma parte desonesta se desvia, é considerado um protocolo MPC ativamente seguro com
abortar .
Os protocolos MPC são categorizados pelo fato de utilizarem primitivos teóricos da informação
(ou seja, compartilhamento de segredos), ou utilizam primitivas seguras computacionalmente (como simétricas
criptografia de chave e de chave pública). Eles também são caracterizados pelas propriedades do
conjunto A. De particular interesse é quando o tamanho t de A é limitado por uma função de n (chamada
esquemas de limiares). Os casos de particular interesse são t <n, t <n / 2 e t <n / 3; a
casos limiares de t <n / 2 e t <n / 3 podem ser generalizados para estruturas de acesso Q 2 e Q 3 ,
como discutido na Seção . ..
Na configuração computacional, pode-se obter computação robusta e ativamente segura quando t <
n / 2, usando Transferência Oblivious como a base computacional básica. O caso interessante
de computação de duas partes é feita usando o protocolo Yao. Este protocolo tem uma parte (o
Circuit Creator, também chamado de Garbler) 'criptografar' uma função booleana porta por porta usando um
cifra como AES, o circuito é então enviado para a outra parte (chamada de avaliador de circuito).
O avaliador então obtém as 'chaves' para seus valores de entrada do Criador usando Oblivious
Transferência, e pode então avaliar o circuito. Um estudo detalhado de protocolos baseados em Yao de duas partes
é dado em [ 6]
Os protocolos MPC modernos analisaram a segurança ativa com abortar no caso de t <n. O
protocolos modernos são divididos em uma função-dependente da fase inicial, que requer público
funcionalidade principal, mas que é independente da função, então uma fase online dependente da função
que usa principalmente primitivos da teoria da informação. Uma vez que os primitivos da teoria da informação
são geralmente muito rápidos, o que significa que a fase online crítica pode ser executada tão rápido quanto
possível.
www.cybok.org
Uma parte importante da criptografia moderna nos últimos vinte anos tem sido a construção
de criptografia e algoritmos de assinatura com propriedades especiais ou funcionalidades avançadas. UMA
vários dos seguintes foram implantados em sistemas especializados (por exemplo, U-PROVE,
IDEMIX, protocolos de atestado e algumas criptomoedas). Recapitulamos as principais variantes ser-
https://translate.googleusercontent.com/translate_f 301/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
baixo, dando para cada um a ideia básica por trás de sua construção.
.. Assinaturas de Grupo
Um esquema de assinatura de grupo definiu uma chave pública de grupo pk, associada a uma série de chaves secretas
chaves sk 1 , ..., sk n . A chave pública é geralmente determinada por uma entidade chamada Group Manager , durante
interação com os membros do grupo. Dada uma assinatura de grupo, não se pode dizer qual
a chave secreta o assinou, embora seja garantido que o fez. Assim, as assinaturas de grupo fornecem
o anonimato de um signatário. A maioria dos algoritmos de assinatura de grupo tem uma entidade especial chamada de
Opener que possui algumas informações secretas que lhes permitem revogar o anonimato de um
Signatário. Esta última propriedade garante que se possa identificar os membros do grupo que agem desonestamente em
de alguma maneira.
Um esquema de assinatura de grupo pode oferecer suporte a grupos estáticos ou dinâmicos . Em um grupo estático
esquema de assinatura, os membros do grupo são fixados no início do protocolo, quando o público
a chave é xed. Em um esquema de assinatura de grupo dinâmico, o gerente do grupo pode adicionar membros
o grupo à medida que o protocolo prossegue e (frequentemente) revogar membros também.
.. Assinaturas de anel
Um esquema de assinatura de anel é muito parecido com um esquema de assinatura de grupo, mas em uma assinatura de anel há
nenhum gerente de grupo. Cada usuário em um esquema de assinatura de anel tem um par de chaves pública / privada (pk i , sk i ).
No momento da assinatura, o Signatário seleciona um subconjunto das chaves públicas (contendo esta própria),
que é chamado de anel de chaves públicas e, em seguida, produz uma assinatura. O receptor conhece o
a assinatura foi produzida por alguém no ringue, mas não por qual membro do ringue.
.. Assinaturas cegas
Um esquema de assinatura cega é um protocolo de duas partes em que uma parte (o usuário) deseja
obter a assinatura em uma mensagem por uma segunda parte (o Signatário). No entanto, o signatário é
não tem permissão para saber qual mensagem está sendo assinada. Por exemplo, o Signatário pode ser simplesmente
notarising de que algo aconteceu, mas não precisa saber exatamente o quê. Segurança
requer que o Signatário não aprenda nada sobre qualquer mensagem passada a ele para assinatura,
e o usuário não deve obter a assinatura em nenhuma mensagem diferente das que enviou
para assinar.
Esses algoritmos de criptografia nunca podem ser IND- CCA segura, como a propriedade homomórfica pro-
produz uma maleabilidade trivial que pode ser explorada por um atacante CCA . No entanto, eles podem ter
aplicações em muitas áreas interessantes. Por exemplo, pode-se usar um linearmente homomórfico
esquema de criptografia para somar votos em uma eleição digitalmente votada para dois candidatos, onde
cada voto é uma criptografia da mensagem zero ou um.
www.cybok.org
Todos os esquemas FHE existentes são altamente ineficientes. Assim, apenas funções muito simples podem ser avaliadas
em prazos adequados. Um esquema que pode realizar operações homomórficas de
uma classe restrita de funções (por exemplo, para avaliar homomorficamente todas as multivariadas
polinômios de grau total ve) é chamado de criptografia um tanto homomórfica (ou SHE)
esquema. Obviamente, se o conjunto de funções são todos polinômios multivariados de grau um,
então o esquema SHE é um esquema de criptografia homomórfica linear.
. ASPECTOS DE IMPLEMENTAÇÃO
Há dois aspectos que devemos ter em mente com relação à implementação criptográfica
ção Em primeiro lugar, segurança e, em segundo lugar, desempenho.
Em termos de segurança, a principal preocupação é com os ataques de canal lateral. Estes podem ser montados
contra ambas as implementações de hardware, por exemplo, circuitos criptográficos implementados em
cartões inteligentes ou contra implementações de software em execução em processadores de commodities. Algum
diferença mensurável que ocorre ao executar um algoritmo em um conjunto de entradas versus
outro pode levar a um ataque. Essas medições podem envolver diferenças de tempo, potência
diferenças de consumo, diferenças na radiação eletromagnética ou mesmo diferenças em
o som produzido pelo ventilador no processador. É ainda possível montar o lado remoto
ataques de canal em que se mede as diferenças nos tempos de resposta de um servidor remoto.
Um bom levantamento de tais ataques, com foco na análise de potência aplicada a algoritmos simétricos
como AES, pode ser encontrado em [ ]
Para se proteger contra tais ataques de canal lateral no nível do hardware, várias técnicas têm
foram propostas, incluindo a utilização de técnicas baseadas no compartilhamento de segredos (chamado de mascaramento no
comunidade de canal lateral). Na área de software, é preciso garantir que o código seja constante
pelo menos (ou seja, cada caminho de execução leva a mesma quantidade de tempo), na verdade, tendo vários
os próprios caminhos de execução podem levar a ataques por meio da análise de poder.
Para permitir um maior desempenho, está se tornando cada vez mais comum para o manuseio do processador
https://translate.googleusercontent.com/translate_f 303/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
fabricantes para fornecer instruções especiais para permitir melhorias nos algoritmos criptográficos.
Isso é semelhante às extensões de multimídia que têm sido lugar comum para outros aplicativos
cátions por algumas décadas. Um exemplo disso são as instruções especiais em chips x86 para executar
operações relacionadas a AES, para realizar GCM-modo e para realizar algumas operações ECC .
Chave pública, ou seja, construções teóricas numéricas, são particularmente caras em termos de com-
recursos putacionais. Assim, é comum que esses algoritmos específicos sejam implementados em
código de máquina de baixo nível, que é ajustado para uma arquitetura específica. No entanto, isso precisa ser
feito com cuidado para levar em consideração os ataques de canal lateral mencionados anteriormente.
Finalmente, uma implementação também pode estar sujeita a ataques de falha. Estes são ataques em que um
o invasor injeta falhas (falhas físicas no hardware ou falhas de datagrama em um protocolo).
As defesas contra tais ataques devem ser consideradas, incluindo a tolerância a falhas padrão.
colocar abordagens em hardware e validação de entrada completa em todos os protocolos. Mais detalhes em
ataques de falha podem ser encontrados em [ 8]
[ ]
8
[
LEITURA ADICIONAL
Os dois livros de texto a seguir são recomendados para obter mais informações sobre os tópicos
nesta área de conhecimento. Outras leituras específicas do tópico são fornecidas na bibliografia.
https://translate.googleusercontent.com/translate_f 304/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Criptografia KA | Outubro Página
www.cybok.org
https://translate.googleusercontent.com/translate_f 305/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 383
Capítulo
Sistemas Operacionais e
Virtualização
Herbert Bos Vrije Universiteit Amsterdam
https://translate.googleusercontent.com/translate_f 306/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
Nesta área de conhecimento, apresentamos os princípios, princípios e práticas para garantir
segurança nos níveis de sistema operacional e hipervisor. Veremos que os desafios relacionados
à segurança do sistema operacional evoluíram nas últimas décadas, mesmo que os princípios
permaneceram praticamente os mesmos. Por exemplo, quando poucas pessoas tinham seus próprios computadores e
a maior parte da computação foi feita em sistemas de computador multiusuário (muitas vezes baseados em mainframe) com
conectividade limitada, a segurança era principalmente focada em isolar usuários ou classes de usuários de
um ao outro . O isolamento ainda é um princípio fundamental de segurança hoje. Mesmo as entidades para isolar têm
permaneceu, em geral, o mesmo. Iremos nos referir a eles como domínios de segurança. Se tradicional
domínios de curity para sistemas operacionais são processos e kernels, e para hipervisores, Virtual
Máquinas (VMs) Embora possamos ter adicionado ambientes de execução confiáveis e alguns
outros domínios de segurança nos últimos anos, ainda temos o kernel, processos do usuário e ma virtual
chines como os principais domínios de segurança hoje. No entanto, as ameaças evoluíram muito,
e em resposta, os mecanismos de segurança também.
Como veremos, alguns sistemas operacionais (por exemplo, em dispositivos incorporados) não têm qualquer noção
de domínios de segurança de qualquer natureza, mas a maioria distingue entre vários domínios de segurança
como o kernel, processos do usuário e ambientes de execução confiáveis. Neste conhecimento
Área, assumiremos a presença de vários domínios de segurança mutuamente não confiáveis. Ser-
entre esses domínios de segurança, os sistemas operacionais gerenciam os recursos de um sistema de computador
como tempo de CPU (por meio de agendamento), memória (por meio de alocações e espaço de endereço
mapeamentos) e blocos de disco (via sistemas de arquivos e permissões). No entanto, veremos que
proteger esses recursos tradicionais de granulação grossa nem sempre é suficiente e pode ser necessário
necessário para gerenciar explicitamente os recursos de nível mais baixo também. Os exemplos incluem caches,
Buffers Lookaside de Transação (TLBs) e uma série de outros recursos compartilhados. Lembre-se disso
Princípio do mecanismo menos comum de Saltzer e Schroeder [8] afirma que cada mecanismo
nismo compartilhado entre domínios de segurança pode se tornar um canal através do qual dados confidenciais
pode vazar. Na verdade, todos os recursos compartilhados acima serviram como canais colaterais para vazar
informações confidenciais em cenários de ataque.
Como os componentes mais privilegiados, os sistemas operacionais e hipervisores desempenham um papel crítico
em tornar os sistemas (in) seguros. Para resumir, usamos principalmente o termo sistema operacional e pro-
acessos no restante desta área de conhecimento e referem-se a hipervisores e VMs explicitamente
onde a distinção é importante .
Embora a segurança vá além do sistema operacional, os níveis mais baixos da pilha de software
https://translate.googleusercontent.com/translate_f 307/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
formam o alicerce sobre o qual a segurança é construída. Por exemplo, o sistema operacional pode ser capaz de
capacidade de executar instruções privilegiadas não disponíveis para programas de usuário comuns e normalmente
oferece os meios para autenticar usuários e isolar a execução e arquivos de diferentes
Comercial. Embora seja responsabilidade do aplicativo garantir a segurança além deste ponto, o funcionamento
sistema garante que processos não autorizados não possam acessar seus arquivos, memória, tempo de CPU ,
ou outros recursos. Essas garantias de segurança são limitadas pelo que o hardware pode fazer. Para
instância, se uma CPU's Instrução Set Architecture (É UM) não tem uma noção de privilégios múltiplos
níveis ilegais ou isolamento do espaço de endereço para começar, protegendo os domínios de segurança de
um ao outro é difícil, embora ainda seja possível usar a proteção baseada na linguagem (como
no sistema operacional experimental Singularity [ ]).
Uma situação, aliás, que não é diferente das nuvens compartilhadas hoje.
Publicações direcionadas sobre desenvolvimentos em ameaças e soluções para ambientes virtualizados têm ap-
perolado em outro lugar [ ]
www.cybok.org
A segurança oferecida pelo sistema operacional também é ameaçada por ataques que visam evadir
mecanismos de segurança do sistema. Por exemplo, se o sistema operacional é responsável por
a separação entre os processos e o próprio sistema operacional fica comprometida, o
as garantias de segurança são nulas. Portanto, também exigimos segurança do sistema operacional.
Depois de explicar o modelo de ameaça para a segurança do sistema operacional, prosseguimos classificando
as diferentes opções de design para a estrutura do sistema operacional subjacente (versão monolítica
baseado em microkernel sus, multi-servidor versus libraryOS, etc.), que então discutimos em relação
aos princípios e modelos de segurança fundamentais. A seguir, discutimos os principais primitivos que op-
erar o uso de sistemas para garantir que diferentes domínios de segurança sejam devidamente isolados e acessados
a recursos sensíveis é mediado. Finalmente, descrevemos técnicas importantes que operam
sistemas empregam para proteger o sistema contra ataques.
. MODELO DE ATACADOR
[ , c-c] [ , c] [ ][ ]
Assumimos que os invasores estão interessados em violar as garantias de segurança fornecidas pelo
sistema operacional ou hipervisor: vazar dados confidenciais (por exemplo, chaves criptográficas), modificar dados que
não deve ser acessível (por exemplo, para elevar privilégios) ou limitar a disponibilidade do sistema e
seus serviços (por exemplo, travando o sistema ou monopolizando seus recursos). Nesta área de conhecimento,
nos concentramos nos aspectos técnicos da segurança, deixando de lado as ameaças internas, o comportamento humano,
ataques físicos, gerenciamento de projetos, políticas da empresa, etc. Não porque eles não sejam im-
importante, mas porque estão além do controle do sistema operacional e exigiriam uma área de conhecimento de seus
ter. Tabela . lista algumas das ameaças e métodos de ataque que consideramos.
A maneira mais simples de comprometer o sistema é injetar uma extensão maliciosa no coração
do sistema operacional. Por exemplo, em sistemas monolíticos como Linux e Windows,
pode ser um driver malicioso ou módulo de kernel, talvez inadvertidamente carregado como um cavalo de Tróia,
que tem acesso a todas as funcionalidades privilegiadas [ ] Para manter seu controle sobre o sistema em um
maneira furtiva, independentemente do que o sistema operacional ou hipervisor possa fazer, os invasores
pode infectar ainda mais o processo de inicialização do sistema (por exemplo, sobrescrevendo o registro mestre de inicialização ou
a Interface de Firmware Extensível Unificada (UEFI), rmware) - dando ao código malicioso con
trole sobre o processo de inicialização em cada reinicialização, mesmo antes de o sistema operacional ser executado, permitindo
para contornar qualquer e todas as defesas de nível de sistema operacional [ ]
Além de usar Trojans, os invasores frequentemente violam as propriedades de segurança sem qualquer ajuda
do usuário, explorando vulnerabilidades. Na verdade, os invasores podem usar um amplo repertório de
métodos. Por exemplo, eles costumam abusar de vulnerabilidades no software, como memória
erros [ ] para alterar indicadores de código ou dados no sistema operacional e violar sua integridade,
confidencialidade ou disponibilidade. Ao corromper um ponteiro de código, eles controlam onde o programa
retoma a execução após a instrução de chamada, salto ou retorno que usa o código corrompido
ponteiro. Alterar dados ou indicadores de dados abre outras possibilidades, como elevar o
nível de privilégio de um processo sem privilégios para 'root' (dando privilégios de 'sistema' todo-poderosos) ou
modificar as tabelas de página para dar a um processo acesso a páginas de memória arbitrárias. Da mesma forma,
eles podem usar esses bugs para vazar informações do sistema operacional, alterando quais
ou quantos dados são retornados para uma chamada de sistema ou uma solicitação de rede.
Os invasores também podem abusar de vulnerabilidades no hardware, como o bug Rowhammer presente
em muitos chips DRAM [ 6] Uma vez que os bits nos chips de memória são organizados em linhas e empacotados
muito próximos, acessar um bit em uma linha pode fazer com que o bit vizinho no anúncio
https://translate.googleusercontent.com/translate_f 308/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Ataque Descrição
Bootkit O invasor compromete o processo de inicialização para obter controle antes mesmo
o sistema operacional começa a funcionar.
Erros de memória (software) Erros de memória espacial e temporal permitem invasores (locais ou remotos)
para desviar o fluxo de controle ou vazar informações confidenciais.
Corrupção de memória (hardware) Vulnerabilidades como Rowhammer em DRAM permitem atacantes (local
ou remoto) para modificar dados que eles não deveriam ser capazes de acessar.
Vazamento de dados não inicializados O sistema operacional retorna dados aos programas do usuário que não são adequados
foi inicializado automaticamente e pode conter dados confidenciais.
Erros de simultaneidade e busca dupla Exemplo: o sistema operacional usa um valor do espaço do usuário duas vezes
(por exemplo, um valor de tamanho é usado uma vez para alocar um buffer e depois para copiar
nesse buffer) e o valor muda entre os dois usos.
Canais laterais (hardware) Os invasores usam tempos de acesso de recursos compartilhados, como caches e
TLBss para detectar que outro domínio de segurança usou o recurso,
permitindo que eles vazem dados confidenciais.
Canais laterais (especulativo) As verificações de segurança são contornadas em execuções especulativas ou fora de ordem
e enquanto os resultados são comprimidos, eles deixam um traço mensurável em
o estado micro-arquitetônico da máquina.
Canais laterais (software) Exemplo: quando os sistemas operacionais / hipervisores usam recursos como
como desduplicação de memória, os invasores podem medir que outra segurança
O domínio rity tem o mesmo conteúdo.
Esgotamento de recursos (DoS) Ao consumir recursos (memória, CPU, ônibus, etc.), os invasores previnem
outros programas de fazer progresso, levando a uma negação de serviço.
Deadlocks / hangs (DoS) O invasor leva o sistema a um estado em que nenhum progresso pode ser
feito para alguma parte do software, por exemplo, devido a um impasse (DoS)
jacent fileira para vazar uma pequena quantidade de carga em seu capacitor - mesmo que esse bit esteja em
uma página completamente diferente na memória. Acessando repetidamente a linha em alta frequência
('martelamento'), a interferência se acumula de modo que, em alguns casos, o bit vizinho pode
ip. Não sabemos com antecedência qual, se houver, dos bits em uma linha irá ip, mas uma vez um bit ips,
ele irá ip novamente se repetirmos o experimento. Se os invasores conseguirem transferir bits no kernel
https://translate.googleusercontent.com/translate_f 309/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
memória, eles permitem ataques semelhantes aos baseados em corrupção de memória baseada em software.
Por exemplo, corromper tabelas de páginas para obter acesso à memória de outros domínios.
Além de ataques diretos, os adversários podem usar canais laterais para vazar informações indiretamente,
por exemplo, por meio de canais laterais de cache [ ] Existem muitas variantes, mas um comum
um consiste em invasores enchendo um conjunto de cache com seus próprios dados ou código e, então, periodicamente
acessar esses endereços. Se algum dos acessos for significativamente mais lento, eles saberão que
outra pessoa, provavelmente a vítima, também acessou dados / código que caem no mesmo cache
definir. Agora, suponha que o código da vítima chame funções de uma maneira dependente secreta. Por exemplo,
uma rotina de criptografia processa uma chave secreta bit a bit e chama a função foo se o bit for,
e bar se for, onde foo e bar estão em conjuntos de cache diferentes. Monitorando qual cache
conjuntos são usados pelo canal lateral, os atacantes aprendem rapidamente a chave.
Outra família famosa de canais de hardware abusa de execuções especulativas e fora de ordem
cution [ , ] Para desempenho, CPUs modernas podem executar instruções com antecedência—
antes que as instruções anteriores tenham sido concluídas. Por exemplo, enquanto espera pelo
condição de uma ramificação condicional a ser resolvida, o preditor de ramificação pode especular que o
o resultado será 'ramificação tomada' (porque esse foi o resultado nas últimas n vezes), e espec-
ulativamente execute as instruções correspondentes ao ramo obtido. Se descobrir que foi
errado, a CPU esmagará todos os resultados das instruções especulativamente executadas, de modo que
nenhuma das lojas sobrevive em registros ou memória. No entanto, ainda pode haver vestígios do
execução no estado micro-arquitetônico (como o conteúdo de caches, TLBs e branch
preditores que não são diretamente visíveis na arquitetura do conjunto de instruções). Por exemplo, se um
a instrução especulativa em um programa do usuário lê um byte sensível e normalmente inacessível
da memória em um registro e, posteriormente, usa-o como um deslocamento em uma matriz de espaço do usuário, a matriz
elemento nesse deslocamento estará no cache, mesmo que o valor no registro seja comprimido
assim que a CPU descobrir que não deveria ter permitido o acesso. O atacante pode
tempo os acessos a cada elemento na matriz e ver se um é significativamente mais rápido (no
cache). O deslocamento desse elemento será o byte secreto. Em outras palavras, o invasor pode
use um canal lateral de cache para extrair os dados que foram acessados especulativamente.
www.cybok.org
executar instruções com dados de domínios de segurança arbitrários o tempo todo, por meio de uma variedade de
buffers micro-arquitetônicos temporários.
Mitigar esses ataques exige não apenas mudanças no hardware, mas também profundas e frequentes
envolvimento complexo do sistema operacional. Por exemplo, o sistema operacional pode precisar
para usar caches e buffers que podem vazar dados, fornecem garantias de que nenhuma especulação leva
coloque em certas filiais ou programe domínios de segurança diferentes em núcleos separados, etc.
Além de caches, os canais do lado do hardware podem usar todos os tipos de recursos compartilhados, incluindo
TLBs , MMUs, e muitos outros componentes [ ] Na verdade, os canais laterais não precisam ser difíceis
ware relacionado em tudo. Por exemplo, desduplicação de memória e caches de página, ambos implementados
no sistema operacional, são fontes bem conhecidas de canais laterais. Focando no primeiro
para fins de ilustração, considere um sistema que desduplica agressivamente as páginas de memória:
sempre que vê duas páginas com o mesmo conteúdo, ele ajusta o layout da memória virtual para
que ambas as páginas virtuais apontam para a mesma página física. Dessa forma, ele precisa manter apenas um
das páginas físicas para armazenar o conteúdo, que pode ser compartilhado na forma de cópia na gravação. Dentro
nesse caso, uma gravação nessa página leva mais tempo (porque o sistema operacional deve copiar o
página novamente e ajustar seus mapeamentos de tabela de página), que podem ser medidos por um invasor. Então,
se uma gravação na página demorar muito mais, o invasor sabe que algum outro programa também
tem uma cópia desse conteúdo - um canal lateral que informa ao invasor algo sobre a
https://translate.googleusercontent.com/translate_f 310/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dados. Os pesquisadores mostraram que os invasores podem usar esses canais laterais de granulação grossa para
vazar até segredos muito refinados [ ] Em muitos dos canais laterais, o problema é a falta de
isolamento entre os domínios de segurança no software e no hardware (por exemplo, pode haver nenhum ou muito
pouco isolamento durante a execução especulativa implementada por hardware). É importante perceber
que os problemas de isolamento de domínio se estendem à interface de hardware / software.
Para confidencialidade em particular, vazamentos de informações podem ser sutis e aparentemente inócuos,
e ainda levar a sérios problemas de segurança. Por exemplo, o anúncio físico ou mesmo virtual
vestidos de objetos podem não parecer informações muito confidenciais, até que levemos em consideração
reutilização de código6][ou Rowhammer [ 6] ataques que abusam do conhecimento dos endereços para
desviar o fluxo de controle para endereços específicos ou bits específicos de ip.
Quanto à origem dos ataques, eles podem ser lançados a partir de código local rodando nativamente em
a máquina da vítima no espaço do usuário, extensões do sistema operacional (malicioso), código de script
buscado na rede e executado localmente (como JavaScript em um navegador), mali-
periféricos ciosos, ou mesmo sistemas remotos (onde os invasores lançam seu exploit através do
rede). Claramente, um ataque remoto é mais difícil de realizar do que um local.
Em alguns casos, estendemos explicitamente o modelo do invasor para incluir sistemas operacionais maliciosos
tems ou hipervisores maliciosos também. Esses invasores podem ser relevantes em sistemas baseados em nuvem
tems, onde o provedor de nuvem não é confiável, ou nos casos em que o próprio sistema operacional
foi comprometido. Nesses casos, o objetivo é proteger o aplicativo confidencial (ou um
fragmento do mesmo), possivelmente em execução em um ambiente de execução confiável especial protegido por hardware
mentos ou enclaves, do kernel ou hipervisor.
Uma métrica útil para estimar a segurança de um sistema é a superfície de ataque [ ]-todos
diferentes pontos que um invasor pode alcançar e obter dados de ou para tentar e
prometa o sistema. Por exemplo, para código nativo executado localmente, a superfície de ataque inclui
todas as chamadas de sistema que o invasor pode executar, bem como os argumentos da chamada de sistema e
valores de turno, junto com todo o código que implementa as chamadas de sistema, que o invasor pode
alcançar. Para atacantes remotos, a superfície de ataque inclui os drivers de dispositivo de rede, parte do
a pilha de rede e todo o código do aplicativo que trata da solicitação. Para dispositivos maliciosos,
a superfície de ataque pode incluir toda a memória que o dispositivo pode acessar usando DMA ou o código
e funções de hardware com as quais o dispositivo pode interagir. Observe, no entanto, que a exposição
de mais código para os invasores é apenas uma métrica de proxy, pois a qualidade do código é diferente. Em um ex-
caso, o sistema é formalmente verificado para que uma ampla gama de vulnerabilidades comuns
não são mais possíveis.
A principal função dessas camadas mais baixas da pilha de software com relação à segurança é a
vide isolamento de domínios de segurança e mediação de todas as operações que possam violar a iso
ção. No caso ideal, o sistema operacional protege qualquer processo individual de todos os outros
processos. Por exemplo, os processos periféricos não devem ser capazes de acessar a memória al-
localizado no processo primário, aprenda qualquer coisa sobre as atividades relacionadas a esse processo primário
processo, exceto aqueles que o processo escolhe revelar ou impedir que o processo de nós-
seus recursos alocados, como o tempo de CPU indefinidamente. Alguns sistemas operacionais podem até
regular os fl uxos de informações de forma que dados ultrassecretos nunca vazem para processos sem
a folga apropriada, ou os dados classificados não podem ser modi cados por processos sem o
níveis de privilégio apropriados.
Indo um pouco mais fundo, podemos distinguir entre operações de controle e plano de dados e
vemos que o isolamento em sistemas operacionais envolve ambos. No isolamento de memória, o funcionamento
sistemas operam no plano de controle quando ele con gura o MMU (gerenciamento de memória
unidade), que é então responsável pelo isolamento sem muito envolvimento da parte operacional
sistema. Na maioria das outras interações, por exemplo, ao operar em argumentos do sistema
chamadas fornecidas por domínios de segurança sem privilégios, um sistema operacional opera em ambos os planos.
A falta de separação entre os aviões pode facilmente levar a vulnerabilidades, por exemplo,
https://translate.googleusercontent.com/translate_f 311/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
quando
domínioode
sistema operacional
segurança decide reutilizar
(com isolamento páginas
de acesso de memória
imposto queem
pela MMU) anteriormente pertenciam
outro domínio sem a um
sobrescrever corretamente os dados (possivelmente confidenciais) nessa página.
Existem muitas maneiras de projetar um sistema operacional. Fig . ilustra quatro designs extremos
escolhas. Na Fig ..(a), o sistema operacional e o (s) aplicativo (s) rodam em uma única segurança
domínio e não há isolamento algum. Os primeiros sistemas operacionais funcionavam dessa maneira, mas
o mesmo acontece com muitos sistemas embarcados hoje. Neste caso, há pouco ou nenhum isolamento entre as
diferentes componentes do sistema e um aplicativo podem corromper as atividades do arquivo
Sistema (FS), a pilha de rede, os drivers ou qualquer outro componente do sistema.
FIG. . (b) mostra a configuração da maioria dos sistemas operacionais de uso geral modernos,
onde a maior parte do sistema operacional reside em um único domínio de segurança, estritamente isolado
dos aplicativos, enquanto cada aplicativo também é isolado de todos os outros aplicativos. Para
exemplo, esta é a estrutura do Windows Linux, OS X e muitos dos descendentes do
UNIX original [ ] Uma vez que quase todos os componentes do sistema operacional são executados em um único
domínio de segurança, o modelo é muito eficiente porque os componentes interagem simplesmente por função
www.cybok.org
de chamadas e memória compartilhada. O modelo também é seguro, desde que todos os componentes sejam benignos.
No entanto, se os invasores conseguirem comprometer até mesmo um único componente, como um driver, todos
a segurança é nula. Em geral, drivers de dispositivo e outras extensões de sistema operacional (por exemplo, Linux
Módulos de kernel) são considerações importantes para a segurança de um sistema. Frequentemente escrito por
terceiros e com mais erros do que o código do sistema operacional principal, extensões em execução no
único domínio de segurança do sistema operacional pode comprometer a segurança do sistema
completamente.
Fig .(c) mostra a ruptura extrema em processos separados de todos os componentes que
compor o sistema operacional em um sistema operacional com vários servidores [ , ] A con gura-
ção é potencialmente menos eficiente do que o modelo anterior, porque todas as interações entre
diferentes componentes do sistema operacional envolvem comunicação entre processos (IPC) Dentro
Além disso, o sistema operacional funciona como um sistema distribuído e qualquer pessoa que já
construir um sistema distribuído sabe como os problemas podem se complicar. No entanto, o anúncio
A vantagem de um sistema multi-servidor é que um driver comprometido, digamos, não pode ser facilmente com-
prometa o resto do sistema. Além disso, embora de uma perspectiva conceitual, o multisservidor
parece um sistema distribuído, grande parte da complexidade de um sistema distribuído real é devido a
comunicação não confiável e isso não existe em sistemas com vários servidores. A visão comum
é que designs de vários servidores baseados em microkernel têm vantagens de segurança e confiabilidade sobre
designs monolíticos e de domínio único, mas incorrem em despesas um pouco maiores - o preço de
segurança.
Finalmente, a Fig ..(d) mostra uma situação que, à primeira vista, se assemelha à da Fig .(a): em
topo de um kernel mínimo que multiplexa os recursos subjacentes, os aplicativos são executados juntos
com um mínimo de 'sistema operacional de biblioteca' (libOS [ , ]). A libOS contém código que
normalmente faz parte do sistema operacional, mas está diretamente incluído no aplicativo. Esta
a configuração permite que os aplicativos ajustem o sistema operacional exatamente de acordo com seus
precisa e deixa de fora todas as funcionalidades que eles não iriam usar de qualquer maneira. Biblioteca operando
sistemas foram propostos pela primeira vez no s (por exemplo, no Exokernel do MIT e no Neme de Cambridge
projetos sis). Depois de passar alguns anos em relativa obscuridade, eles estão se tornando populares
novamente, especialmente em ambientes virtualizados onde são comumente referidos como Uniker-
nels [ ] Em termos de segurança, os Unikernels são difíceis de comparar com, digamos, microkernel-
sistemas baseados em múltiplos servidores. Por um lado, eles não têm a separação extrema de
componentes do sistema operacional. Por outro lado, eles permitem que o código do sistema operacional (biblioteca)
ser muito menor e menos complexo - ele só precisa satisfazer as necessidades deste aplicativo
ção Além disso, a biblioteca não pode comprometer o isolamento: ela faz parte do sistema confiável deste aplicativo
base de computação e nenhuma outra.
O debate sobre qual design é melhor remonta à famosa guerra de ame entre An-
atraiu S. Tanenbaum e Linus Torvalds. Naquela época, MINIX [ ], um pequeno UNIX
sistema operacional desenvolvido por Tanenbaum, já existia por cerca de meia década, e
estava ganhando força como um sistema operacional educacional em todo o mundo, especialmente desde que
https://translate.googleusercontent.com/translate_f 312/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O UNIX original da Bell Labs foi vendido como um produto comercial com uma licença restritiva proibida-
impedindo os usuários de modificá-lo. Um dos usuários do MINIX era Torvalds, então um estudante finlandês que
Figura . : Opções extremas de design para sistemas operacionais: (a) domínio único (às vezes
usado em sistemas embarcados), (b) SO monolítico (Linux, Windows e muitos outros), (c)
-microkernel baseado multi-servidor OS (por exemplo, Minix-) e (d) Unikernel / Library OS
anunciou um novo kernel do sistema operacional em uma postagem no grupo de notícias comp.os.minix em
Usenet. Em janeiro, Tanenbaum criticou o design pela falta de portabilidade e também
mirou no design monolítico do Linux, alegando que o Linux estava obsoleto desde o início. Torvalds
respondeu com suas próprias críticas ao MINIX. Esta troca acalorada continha cada vez mais
argumentos sofisticados, muitos dos quais ainda existem hoje, tanto que a questão de quem
venceu o debate permanece sem resposta.
Dito isso, o Linux se tornou extremamente popular e poucas pessoas o considerariam obsoleto. Isto é
também está claro que as ideias de sistemas multi-servidor, como o MINIX, foram incorporadas
sistemas operacionais existentes e sistemas baseados em hipervisor. Curiosamente, no momento da escrita
até o próprio MINIX está rodando em centenas de milhões de processadores Intel em miniatura
sistema operacional em um microprocessador separado conhecido como Management Engine. Em anúncio-
dição, agora que as CPUs dos sistemas modernos são cada vez mais elaboradas System on a Chips
(SoCs), o próprio hardware está começando a se parecer com um sistema distribuído e alguns pesquisadores
defendem explicitamente o design do sistema operacional de acordo, com foco na mensagem
passando em vez de compartilhamento de memória para comunicação [ 6]
Aliás, uma das desvantagens das máquinas virtuais é que cada imagem do sistema operacional
usa armazenamento e adiciona redundância, já que todo sistema vai pensar que é o rei do hard-
ware mountain, embora na realidade esteja compartilhando recursos. Além disso, cada sistema operacional em um
máquina virtual precisa de manutenção separada: atualizações, configuração, teste, etc.
a alternativa é, portanto, virtualizar no nível do sistema operacional. Nesta abordagem, vários
ambientes, conhecidos como contêineres , são executados em um único sistema operacional compartilhado. O con
www.cybok.org
contaminadores são isolados uns dos outros tanto quanto possível e têm seu próprio nome de kernel
espaços, limites de recursos, etc., mas, em última análise, compartilham o kernel do sistema operacional subjacente e
frequentemente binários e bibliotecas. Em comparação com as máquinas virtuais, os contêineres são mais leves.
https://translate.googleusercontent.com/translate_f 313/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No entanto, se ignorarmos os aspectos de gerenciamento por um momento, as máquinas virtuais são muitas vezes per-
tidos como mais seguros do que contêineres, pois eles particionam recursos de forma bastante estrita e
apenas o hipervisor como uma camada fina entre o hardware e o software. Por outro lado,
algumas pessoas acreditam que os contêineres são mais seguros do que as máquinas virtuais, porque eles
são tão leves que podemos dividir os aplicativos em 'microsserviços' com
terfaces em recipientes. Além disso, ter menos coisas para manter seguro reduz o surto de ataque
rosto em geral. O trabalho inicial em contêineres (ou 'virtualização no nível do sistema operacional ”é encontrado
a chamada chroot que foi adicionada pela primeira vez à versão Unix em [ ] Em, FreeBSD re-
prisões alugadas [ 8], que foi muito mais longe na virtualização do sistema operacional. Hoje nós
tem muitas implementações de contêiner. Um popular é o Docker [ ]
Uma classe final de sistemas operacionais visa explicitamente dispositivos pequenos e com recursos limitados
como os encontrados na Internet das Coisas (IoT) Embora todo mundo tenha uma opinião diferente
sobre o que significa IoT e os dispositivos a serem considerados variam de smartphones a poeira inteligente,
há um entendimento comum de que os dispositivos com maior restrição de recursos devem fazer parte
disso. Para tais dispositivos, mesmo sistemas operacionais simplificados de uso geral podem ser muito
espera-se que sistemas volumosos e operacionais operem em apenas alguns kilobytes. Como um extremo
por exemplo, sistemas operacionais IoT populares , como RIOT, podem ter menos de KB de tamanho e
executado em sistemas que variam de microcontroladores de 8 bits a CPUs de uso geral de bits, com ou
sem recursos avançados, como unidades de gerenciamento de memória (MMUs), etc. A abundância
de recursos e isolamento de aplicativos que exigimos de sistemas operacionais como Win-
dows e Linux podem estar ausentes nesses sistemas operacionais, mas em vez disso, pode haver suporte
para funcionalidades como programação em tempo real ou rede de baixo consumo de energia, que são importantes em
muitos sistemas embarcados.
Uma vez que estamos interessados nas garantias de segurança oferecidas pelo sistema operacional, iremos as-
suponha que existam vários domínios de segurança. Na próxima seção, iremos elaborar o anúncio
vantagens e desvantagens dos diferentes projetos do ponto de vista de
princípios de segurança. Nosso foco estará na segurança do design e na maneira como
pode interromper ataques, mas não antes de observar que há mais segurança neste nível. Em par-
particular, gerenciamento e manutenção do sistema - com relação a atualizações, extensões,
configuração, etc. - desempenham um papel importante.
Uma vez que os sistemas operacionais (e / ou hipervisores) são a base sobre a qual repousa a segurança
ridade de todos os componentes de nível superior do sistema, é comum ouvir seus projetos serem debatidos
em termos de princípios de segurança, como os de Saltzer e Schroeder (ver Tabela . ), e
modelos de segurança, como os modelos de acesso Bell-LaPadula [ ] e Biba [] - o tópico do
próximas subseções. Embora os princípios de segurança de Saltzer e Schroeder sejam indiscutivelmente os mais
bem conhecido, devemos mencionar que outros adicionaram à lista. Por exemplo, importante
adições importantes que discutimos neste texto incluem o Princípio de Minimização da Quantidade de
Código confiável (a base de computação confiável) e o princípio de uso intencional [ ]
Princípio da. . .
Economia de mecanismo
Padrões à prova de falhas
Mediação completa
Design aberto
Separação de privilégios
Menor privilégio / menor autoridade
Mecanismo menos comum
Aceitabilidade psicológica
https://translate.googleusercontent.com/translate_f 314/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
variáveis globais) em comum quanto possível, aderindo ao Princípio do Mecanismo Mínimo Comum
nismo. Por exemplo, dada a escolha entre adicionar um procedimento compartilhado com variáveis globais
para o kernel do sistema operacional e torná-lo disponível em uma biblioteca de espaço do usuário que se comporta em
uma forma isolada para cada processo, devemos escolher a última opção, assumindo que
não aumentar muito o tamanho do código ou violar quaisquer outros princípios ou restrições. Além disso,
a mediação deve seguir o Princípio dos Padrões à Prova de Falhas: a política para decidir se
domínios podem acessar os recursos de outros domínios devem ser: 'Não, a menos que'. Em outras palavras,
apenas domínios explicitamente autorizados devem ter acesso a um recurso. Os princípios do mínimo
Mecanismo comum e economia de mecanismo também sugerem que devemos minimizar
a quantidade de código que deve ser confiável, o Trusted Computing Base (TCB) . Desde estudos
mostraram que mesmo bons programadores introduzem entre e 6 bugs por linha de
código, assumindo que a complexidade do código é semelhante, um pequeno TCB se traduz em menos bugs,
uma superfície de ataque menor e uma melhor chance de verificar automaticamente ou manualmente o cor-
retidão do TCB no que diz respeito a uma especificação formal.
Com relação aos projetos da Fig ., notamos que, se houver um único domínio, o TCB com-
avalia todo o software do sistema, incluindo os aplicativos. Todos os mecanismos são 'com
mon 'e não há praticamente nenhum conceito de padrões à prova de falhas ou mediação rigorosamente aplicada.
Para o design de SO monolítico , a situação é um pouco melhor, pois pelo menos o sistema operacional é
protegidos dos aplicativos e os aplicativos uns dos outros. No entanto, o funcionamento
o próprio sistema ainda é um único domínio de segurança, herdando as desvantagens da Fig .(uma). O
a decomposição extrema do sistema operacional de vários servidores é mais propícia para impor
segurança: podemos impor a mediação entre os componentes operacionais individuais em um mínimo
tamanho do microkernel com padrões à prova de falhas. Muito do código que está no sistema operacional
domínio de segurança em outros projetos, como o código do driver, não faz mais parte do TCB. Uniker-
nels são uma abordagem alternativa interessante: em princípio, o código do sistema operacional e o
aplicativo executado em um único domínio, mas o código libOS é o menor possível (Economia de
Mecanismo) e o mecanismo comum a diferentes aplicações é minimizado. Recurso
O particionamento também pode ser mediado completamente no nível do Unikernel. Para um aplicativo Unikernel-
ção, o TCB consiste apenas no hipervisor / Exokernel subjacente e nos componentes do sistema operacional
ele decide usar. Além disso, a biblioteca que implementa o componente do sistema operacional está apenas neste aplicativo
TCB do cátion, uma vez que não é compartilhado por outros.
www.cybok.org
Em contraste, há poucas dúvidas de que um projeto com uma decomposição estrita está mais de acordo com
o Princípio do Menor Privilégio e o Princípio da Separação de Privilégios do que aquele onde a maioria
do código é executado em um único domínio de segurança. Especificamente, um sistema monolítico não tem sep-
aração de privilégios dos diferentes componentes do sistema operacional e do sistema operacional
sempre funciona com todos os privilégios. Em outras palavras, o código do sistema operacional responsável por
obter o identificador de processo do processo atual é executado com o poder de modificar a página
tabelas, criar contas root, modificar qualquer arquivo no disco, ler e escrever pacotes de rede arbitrários,
e travar todo o sistema a qualquer momento. Os sistemas multi-servidor são muito diferentes e
pode restringir as chamadas que os componentes individuais do sistema operacional podem fazer, limitando seu poder
os privilégios de que precisam para concluir seu trabalho, aderindo ao Princípio do Mínimo
Autoridade (POLA) com diferentes componentes com diferentes privilégios (Princípio do Privilégio
Separação). Unikernels oferecem uma possibilidade diferente e interessante para lidar com este problema
lem. Embora a maioria dos componentes seja executada em um único domínio (sem separação de privilégios ou POLA),
o sistema operacional é reduzido a apenas as partes necessárias para executar o aplicativo, e
o próprio Unikernel pode ser executado apenas com os privilégios necessários para esse propósito.
Claro, por mais importante que seja a segurança, o Princípio de Aceitabilidade Psicológica
diz que no final o sistema ainda deve ser utilizável. Dada a complexidade do sistema operacional
segurança, isso não é trivial. Enquanto a segurança reforçou os sistemas operacionais, como o SELinux
e QubesOS oferecem vantagens de segurança claras sobre muitos outros sistemas operacionais, poucos
outros usuários os usam e menos ainda sentem confiança em definir as configurações de segurança deles-
eus.
https://translate.googleusercontent.com/translate_f 315/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Por outro lado, os pesquisadores encontraram bugs de segurança que têm anos ou às vezes décadas,
mesmo em software de código aberto crítico de segurança, como OpenSSL ou o kernel Linux, sugerindo que o comum
crença de que "com olhos suficientes, todos os insetos são superficiais" (também conhecida como Lei de Linus) nem sempre funciona
terrivelmente.
www.cybok.org
Bell-LaPadula e Biba são modelos de controle de acesso que o sistema operacional aplica quando
mediando o acesso a recursos como dados na memória ou arquivos no disco. Especificamente, eles são
Controle de acesso obrigatório (MAC) modelos, onde uma política de todo o sistema determina quais
os usuários têm o nível de autorização para ler ou escrever quais documentos específicos, e os usuários não são
capaz de disponibilizar informações para outros usuários sem o nível de autorização apropriado,
não importa o quão conveniente seja. Um modelo de controle de acesso menos estrito é conhecido como Dis-
Controle de acesso cricionário (DAC), onde os usuários com acesso a um objeto têm alguma palavra a dizer sobre
quem mais tem acesso a ele. Por exemplo, o DAC pode restringir o acesso a objetos com base em um usuário
ou processar a identidade ou associação ao grupo. Mais importante, o DAC permite que um usuário ou processo
com direitos de acesso a um objeto para transferir esses direitos a outros usuários ou processos. Tendo
apenas este DAC baseado em grupo torna difícil controlar o fluxo de informações no sistema
de forma estruturada. No entanto, é possível combinar DAC e MAC, dando aos usuários e
programa a liberdade de transferir direitos de acesso a terceiros, dentro das restrições impostas por
Políticas MAC .
Para completar, também mencionamos o controle de acesso baseado em funções (RBAC) [ ], que re-
restringe o acesso a objetos com base em funções que podem ser baseadas em funções de trabalho. Enquanto
intuitivamente simples, o RBAC permite implementar políticas de controle de acesso DAC e MAC .
https://translate.googleusercontent.com/translate_f 316/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pequenos componentes de software foram fortemente encapsulados, acessíveis apenas por meio de seus
interfaces onde ocorreu a mediação.
Se isso soa familiar, não é surpreendente, já que Jerome Saltzer era um dos Mul-
líderes de equipe de tiques. Os critérios de avaliação do sistema de computador confiável (TCSEC), melhor saber
www.cybok.org
Então, quais são esses principais primitivos de isolamento? Primeiro, o sistema operacional deve ter algum
forma de autenticar usuários e domínios de segurança para que possa decidir se eles podem ou não
acessar certos recursos. Para isolar os diferentes domínios de segurança, o sistema operacional
também precisa de suporte para controle de acesso a objetos, como arquivos. Além disso, ele precisa de memória
proteção para garantir que um domínio de segurança não possa simplesmente ler dados de outro domínio
memória. Finalmente, ele precisa de uma maneira de distinguir entre código privilegiado e não privilegiado
código, de modo que apenas o código privilegiado pode configurar o isolamento desejado no nível mais baixo
e garantir a mediação para todas as operações.
.. Autenticação e identificação
Uma vez que a autenticação é o tópico da Autenticação, Autorização e Responsabilidade (AAA)
Área de Conhecimento (Capítulo ), vamos apenas observar que, para determinar os direitos de acesso, uma op-
sistema eratário precisa autenticar seus usuários e que existem muitas maneiras de fazer isso. Tra-
tradicionalmente, apenas nomes de usuário e senhas foram usados para esta finalidade, mas cada vez mais
sistemas hoje em dia usam outros métodos (como smartcards, ngerprints, varreduras de íris ou rosto
reconhecimento) - em vez de senhas ou como um fator adicional. Autenticação multifator
ção torna mais difícil para os invasores se disfarçarem de usuário legítimo, especialmente se os fatores
são de natureza diferente, por exemplo, algo que você conhece (como uma senha), algo que você possui (como
um smartcard) e algo que você 'é' (dados biométricos, como impressões digitais).
Para cada usuário autenticado dessa forma, o sistema operacional mantém um ID de usuário exclusivo. Mais-
mais, ele também pode manter outras informações sobre os usuários, como em quais grupos eles residem
(por exemplo, aluno, corpo docente e / ou administrador). Da mesma forma, a maioria dos sistemas operacionais anexa alguns
identidade para cada um dos processos em execução em nome do usuário e rastrear a propriedade e
direitos de acesso dos arquivos que usam. Por exemplo, dá a cada processo em execução um único pro-
Cess id e também registra o id dos usuários em cujo nome ele é executado (e, portanto, os grupos em
onde o usuário reside). Finalmente, ele rastreia qual usuário possui o binário em execução. Observe que o
o usuário que possui o binário e o usuário que o executa não precisam ser iguais. Por exemplo,
o administrador pode criar e possuir uma coleção de programas do sistema que outros usuários podem
execute, mas não modifique.
A propósito, armazenar credenciais de maneira segura é crucial. Vários sistemas operacionais modernos
Tems recorrem ao hardware para proteger esses dados sensíveis. Por exemplo, eles podem usar um Trusted
Módulo de plataforma (TPM) para garantir que as credenciais, como chaves de criptografia de disco, sejam criptográficas
lacrado, ou empregar uma VM separada para o armazenamento de credenciais, de modo que mesmo um comprometido
A VM não terá acesso direto às credenciais.
www.cybok.org
Dadas essas identidades, o sistema operacional está equipado para raciocinar sobre qual usuário e
qual processo tem permissão para realizar quais operações em um objeto específico: controle de acesso.
Quando Robert Daley e Peter Neumann desenvolveram o sistema de arquivo Multics pela primeira vez, eles introduziram
produziu uma lista de controle de acesso (ACL) para cada bloco de dados no sistema [ 6, ] Vigarista-
Ceptualmente, uma ACL é uma tabela que contém usuários e blocos de dados que especificam cada dado
bloquear quais usuários têm quais tipos de direitos de acesso. A maioria dos sistemas operacionais modernos tem
adotou alguma variante de ACLs, normalmente para o sistema de arquivos. Vamos ver um exemplo. Sobre
Sistemas baseados em UNIX [ ], o controle de acesso padrão é muito simples. Cada arquivo é propriedade de
um usuário e um grupo. Além disso, cada usuário pode estar em um ou mais grupos. Por exemplo, em um
Sistema Linux, o usuário herbertb está em nove grupos diferentes:
herbertb @ nordkapp: ~ $ groups herbertb
herbertb: herbertb adm cdrom sudo dip plugdev lpadmin sambashare cybok
herbertb @ nordkapp: ~ $
Por le, um pequeno número de bits de permissão indica os direitos de acesso para o usuário proprietário,
o grupo proprietário e todos os outros. Por exemplo, vamos olhar para a ACL de um arquivo chamado
myscript no Linux:
herbertb @ nordkapp: ~ / tmp $ getfacl myscript
# arquivo: home / herbertb / tmp / myscript
# proprietário: herbertb
# grupo: cybok
user :: rwx
group :: rwx
outro :: rx
Vemos que o myscript é propriedade do usuário herbertb e do grupo cybok. O usuário proprietário e
todos os usuários em cybok grupo têm permissões para r ead, w rito, e e x ecute o le, enquanto todos os outros
os usuários podem r ead e e x ecute (mas não escrever)-lo.
Essas permissões básicas de arquivo UNIX são bastante simples, mas sistemas modernos (como Linux e
Windows) também permitem ACLs mais abrangentes (por exemplo, com direitos de acesso explícitos para vários
usuários ou grupos). Sempre que alguém tenta ler, escrever ou acessar um arquivo, a operação
o sistema verifica se os direitos de acesso apropriados estão na ACL. Além disso, o acesso
a política de controle no UNIX é tipicamente discricionária, porque o usuário proprietário tem permissão para definir
esses direitos para outros. Por exemplo, no sistema Linux acima, o usuário herbertb pode ele mesmo
decida tornar o arquivo myscript gravável por todos os usuários ('chmod o + w myscript').
Além do DAC, O Multics também implementou o MAC e, embora tenha demorado muito para chegar a esse estágio,
agora isso também é verdade para muitos dos sistemas operacionais que se inspiraram no Multics
(ou seja, os sistemas operacionais mais populares hoje). O Linux ainda oferece uma estrutura para permitir que todos
tipos de soluções de controle de acesso a serem conectadas, por meio dos chamados 'monitores de referência'
que examinam cada tentativa de executar uma operação sensível à segurança e, de fato, vários MAC
soluções existem. O mais conhecido é provavelmente o Security-Enhanced Linux (SELinux [ 8]), uma
conjunto de patches do Linux para segurança originalmente desenvolvido pela National Security Agency (NSA)
nos EUA e derivado do Flux Advanced Security Kernel (FRASCO) [ ]
O SELinux fornece aos usuários e processos um contexto de três strings: (nome de usuário, Função,
domínio). Embora a tupla já sugira (corretamente) que o SELinux também suporta RBAC ,
há flexibilidade significativa no que usar e no que evitar. Por exemplo, muitos implantados
sistemas usam apenas a string de domínio para MAC e definem nome de usuário e função para o mesmo
valor para todos os usuários. Além de processos, recursos como arquivos, portas de rede e hardware
que na maioria dos casos também segue o design hierárquico pioneiro no Multics.
recursos também têm tais contextos SELinux associados a eles. Dada esta configuração,
os administradores do sistema podem definir políticas de todo o sistema para controle de acesso em seus sistemas.
Por exemplo, eles podem definir simplesmente quais domínios um processo tem para realizar operações específicas
erações (ler, escrever, executar, conectar) em um recurso, mas as políticas também podem ser muito mais
complicado, com vários níveis de segurança e aplicação estrita de informações ow a la
Bell-LaPadula, Biba ou algum modelo de controle de acesso personalizado.
O controle de acesso obrigatório em sistemas como o SELinux gira em torno de um único sistema
política que é definida por um administrador central e não muda. Eles não permitem não confiáveis
processos para definir e atualizar sua própria política de controle de informações. Em contraste, a pesquisa
sistemas operacionais como o amianto [ ], HiStar [ ] e Flume [ ] fornecer exatamente
que: controle de fluxo de informação distribuída. Em outras palavras, qualquer processo pode criar segurança
rotula e classifica e desclassifica dados.
.. Capacidades
https://translate.googleusercontent.com/translate_f 318/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Até agora, assumimos que o controle de acesso é implementado por meio de uma ACL ou acesso
matriz, onde todas as informações são mantidas para decidir se um processo P pode acessar um recurso R.
Depois de autenticar os usuários e / ou consultar suas funções ou níveis de autorização, a referência
monitor decide se deve ou não conceder acesso. Porém, esta não é a única maneira. Um popular
a alternativa é conhecida como capacidade e, a partir de 66, é quase tão antiga.
Em 66, Jack Dennis e Earl Van Horn, pesquisadores do MIT, propuseram o uso de recursos
para controle de acesso em um sistema operacional [ ] Ao contrário de ACLs, os recursos não exigem um
administração por objeto com os detalhes exatos de quem tem permissão para realizar cada operação.
Em vez disso, os usuários apresentam uma capacidade que por si só prova que o acesso solicitado é per-
mitted. De acordo com Dennis e Van Horn, um recurso deve ter um identificador único de
o objeto a que se refere, bem como o conjunto de direitos de acesso fornecidos pela capacidade.
A maioria dos livros didáticos usa a definição intuitiva de Henry Levy de que um recurso é um 'token, ticket,
ou chave que dá ao possuidor permissão para acessar uma entidade ou objeto em um sistema de computador
tem '[ ] A posse da capacidade concede todos os direitos nela especificados e sempre que um
processo deseja executar uma operação em um objeto, ele deve apresentar a capa-
bilidade. Por outro lado, os usuários não têm acesso a quaisquer recursos além daqueles para os quais
eles têm capacidades.
Além disso, Peter Neumann argumenta que o controle de acesso deve ser explícito e aderir ao
Princípio de Uso Intencional [ ], autorizando explicitamente apenas o que é realmente pretendido, em vez
do que algo que é excessivamente amplo ou meramente conveniente. A adesão ao princípio ajuda a
evitar o uso acidental ou não intencional de direitos que possam levar a violações de segurança no
forma de um 'deputado confuso' (em que um domínio de segurança involuntariamente exerce um privilégio
que detém legitimamente, em nome de outro domínio que não tem e não deve).
Claro, deve ser impossível forjar recursos, para que os usuários não se dêem arbitrariamente
acesso a qualquer objeto que desejarem. Assim, um sistema operacional deve armazenar a capacidade
em um lugar seguro (por exemplo, o kernel), ou protegê-lo contra falsificações usando hardware dedicado
ou criptografia baseada em software. Por exemplo, no primeiro caso, o sistema operacional pode
armazenar as capacidades de um processo em uma tabela na memória protegida, e sempre que o processo desejar
para realizar uma operação em um arquivo, digamos, ele irá fornecer uma referência para a capacidade (por exemplo, um arquivo
descritor) e nunca toque no recurso diretamente. No último caso, a capacidade pode ser
tratado pelo próprio processo, mas qualquer tentativa de modificá-lo de forma inadequada será
detectou [ ]
www.cybok.org
As capacidades são muito flexíveis e permitem políticas de delegação convenientes. Por exemplo, dado
propriedade total de uma capacidade, um processo pode passá-lo para outro processo, para dar a
cessar os mesmos direitos de acesso ou, alternativamente, um subconjunto desses direitos. Assim, discreto
o controle de acesso opcional é fácil. Por outro lado, em algumas situações, pode não ser desejável
capaz de ter recursos copiados e espalhados arbitrariamente. Por esse motivo, a maioria dos
sistemas adicionam alguns bits aos recursos para indicar tais restrições: se copiar é
permitido, se o tempo de vida do recurso deve ser limitado a uma invocação de procedimento, etc.
Comparando ACLs e recursos, observamos ainda que as ACLs são normalmente baseadas em usuários
('o usuário com id x tem permissão para ler e escrever'), enquanto as capacidades podem ser extremamente ne-
granulado. Por exemplo, podemos usar diferentes recursos para enviar e receber dados. Fol-
seguindo o Princípio da menor autoridade, executando todos os processos com todo o poder do usuário,
em comparação com a execução de um processo apenas com o poder dos recursos que adquire, é menos se-
cura. Executado com a autoridade do usuário que iniciou o programa, como costuma ser o caso em
sistemas operacionais modernos, é conhecido como uma forma de autoridade ambiental e muito mais provavelmente
violar o Princípio de menor autoridade do que as capacidades refinadas que equipam um processo
apenas com os privilégios de que necessita. Além disso, as capacidades nem mesmo permitem que um processo nomeie
um objeto, a menos que tenha a capacidade adequada, enquanto as ACLs devem permitir a nomenclatura de
qualquer objeto por todos, já que a verificação de acesso só ocorre quando o processo tenta o op-
eração. Finalmente, as ACLs podem se tornar muito grandes com um número crescente de usuários, direitos de acesso,
e objetos.
Por outro lado, revogar um determinado direito de acesso para um determinado usuário em uma ACL é fácil:
apenas remova uma permissão na entrada da tabela apropriada. Com recursos, o processo é mais
envolvidos. Afinal, podemos nem saber quais usuários / processos têm essa capacidade. Adicionando
um nível de indireção pode ajudar um pouco. Por exemplo, podemos fazer o ponto de recursos
para um objeto indireto, que por sua vez aponta para o objeto real. Para invalidar a capacidade (para todos
usuários / processos) o sistema operacional pode então invalidar esse objeto indireto. Mas o que
fazer se quisermos apenas revogar a capacidade em um subconjunto de processos? Embora existam soluções,
a revogação de capacidades continua a ser a parte mais difícil.
https://translate.googleusercontent.com/translate_f 319/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Desde os anos 6, muitos sistemas baseados em capacidade surgiram - inicialmente todos com suporte em
hardware [ ] e normalmente mais rígidos do que os recursos mais gerais discutidos, então
distante. O primeiro foi o MIT PDP- Timesharing System [ ], seguido logo depois pelo
Máquina de números mágicos de Chicago na Universidade de Chicago [ 6], um projeto muito ambicioso
com recursos suportados por hardware, o que, como não é incomum para projetos ambiciosos, era
nunca concluído. No entanto, teve um grande impacto no trabalho subsequente, já que Maurice Wilkes
da Universidade de Cambridge aprendeu sobre as capacidades durante várias visitas a Chicago e
escreveu sobre isso em seu livro sobre sistemas de compartilhamento de tempo. De volta ao Reino Unido, este livro foi escolhido
por um engenheiro da Plessey que construiu o Sistema Plessey totalmente funcional (com explícita
suporte de hardware para endereçamento baseado em capacidade). O próprio Maurice Wilkes continuou a construir
o computador Cambridge CAP junto com Roger Needham e David Wheeler [ ] BONÉ
foi o primeiro computador a demonstrar o uso de recursos seguros. Esta máquina garantiu
que um processo só poderia acessar um segmento de memória ou outro hardware se possuísse o
recursos necessários. Outro sistema baseado em capacidade digno de nota da época era o CMU's
Hydra [ 8] —Que adicionou suporte explícito para restringir o uso de recursos ou operações
ções sobre objetos (permitindo especificar, por exemplo, que as capacidades não devem sobreviver a um
chamada de procedimento). Finalmente, na década de 8, os sistemas operacionais distribuídos Amoeba ex-
explorou o uso de recursos protegidos criptograficamente que poderiam ser armazenados e manipulados
pelos processos do usuário [ ]
Hoje em dia, muitos sistemas operacionais importantes também têm pelo menos algum suporte para recursos.
Por exemplo, o microkernel L, que está presente em muitos dispositivos móveis hoje, adotou
segurança baseada em capacidade na versão do grupo de Gernot Heiser no NICTA em 8 . Formalmente
kernel verificado chamado seL [ ] do mesmo grupo também depende de recursos para ac-
controle de acesso aos recursos. Em, o Linux adotou suporte de capacidade muito limitado (às vezes
referido como 'capacidades POSIX'), mas isso era diferente das capacidades definidas por Den-
nis e Van Horn (com menos suporte para cópia e transferência de recursos). Por exemplo,
Os recursos do Linux referem-se apenas a operações, não a objetos. Reconhecendo os descritores de arquivo UNIX
e as alças do Windows já são quase recursos, um esforço interessante para mesclar capacidades
laços e APIs UNIX é o projeto Capsicum [ ] pela Universidade de Cambridge e Google,
onde os recursos são extensões dos descritores de arquivo UNIX. FreeBSD adotou Capsicum
na versão. dentro . Uma conseqüência do Capsicum é RISC com capacidade de hardware aprimorada
Instruções (CHERI), um projeto de hardware-software que transpõe a capacidade do Capsicum
modelo na arquitetura da CPU .
Acontece que a exclusão segura de dados no disco não é trivial. Exclusão ingênua, por exemplo, por
substituir o conteúdo original com zeros nem sempre é suficiente. Por exemplo, em alguns
discos magnéticos, dados nas trilhas do disco deixam rastros (magnéticos) em áreas próximas às trilhas
e um ataque inteligente com tempo e recursos suficientes pode usá-los para recuperar o conteúdo.
Além disso, o sistema operacional pode ter feito cópias do arquivo que não são imediatamente
visível para o usuário, por exemplo, como um backup ou em um cache. Todas essas cópias precisam ser selecionadas
curiosamente excluído. A situação das unidades de estado sólido (SSDs) não é melhor, já que os SSDs têm seus
próprio rmware que decide o que (sobrescrever) e quando, fora do controle do sistema operacional. Para
maioria dos sistemas operacionais, exclusão verdadeiramente segura, em geral, está além do sistema operacional
capacidades e não discutiremos mais nesta área de conhecimento, exceto para dizer que
a criptografia de disco, uma característica comum dos sistemas operacionais modernos, ajuda muito a prevenir arquivos
recuperação após exclusão.
https://translate.googleusercontent.com/translate_f 320/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Normalmente, um processo não deve ser capaz de ler os dados de outro processo sem passar
a verificação de controle de acesso apropriada. Multics e quase todos os sistemas operacionais que
seguido (como UNIX e Windows) isola informações em processos, dando a cada
cessa (a) seu próprio estado de processador (registradores, contador de programa, etc.) e (b) seu próprio subconjunto de
memória. Sempre que o sistema operacional decide executar o processo P 2 às custas de
www.cybok.org
Nível 4
Tabela da página
Nível 3
Tabela da página
Nível 2
Tabela da página
Nível 1
Tabela da página
5
4
3
2 5
1 4 7
registrar com addr 0 3 6
2 5
do PT de nível superior 1 4
0 3 6
2 5
1 4
0 3
2
1
0
Entrada de tabela de página:
endereço físico S
bits restantes
12 bits ( ¡ ags)
Figura . : Tradução de endereços em processadores modernos. O MMU 'conduz' as tabelas de página para
encontre o endereço físico da página. Somente se uma página for 'mapeada' nas tabelas de página de um processo podem
o processo aborda-o, assumindo que está presente e o processo tem o acesso apropriado
direitos. Especificamente, um processo do usuário não pode acessar a página para a qual o bit do supervisor ( S ) é
definido na entrada da tabela da página.
o processo P 1 atualmente em execução (uma chamada mudança de contexto), ele primeiro para P 1 e salva todos
de seu estado de processador na memória em uma área inacessível a outros processos. Em seguida, carrega
P 2 estados processador ‘s da memória para a CPU, ajusta a contabilidade que determina
quais partes da memória física são acessíveis, e começa a executar P 2 no endereço
indicado pelo contador do programa que acabou de ser carregado como parte do estado do processador. Desde usuário
processos não podem manipular diretamente a contabilidade em si, P2 não pode acessar nenhum
dos dados de P 1 em uma forma não mediada.
A maioria dos sistemas operacionais modernos mantém o controle da contabilidade da memória por meio de páginas
tabelas , conforme ilustrado na Fig .. Para cada processo, eles mantêm um conjunto de tabelas de páginas (muitas vezes
contendo vários níveis organizados como um gráfico acíclico direcionado6) e armazene um ponteiro para o
tabela de página de nível superior em um registro que faz parte do estado do processador e que deve ser salvo
e restaurado em uma troca de contexto.
O principal uso da estrutura da tabela de páginas é dar a cada processo seu próprio endereço virtual
48
espaço, variando de endereço a algum endereço máximo (por exemplo, 2 ), embora a quantidade
de memória física pode ser muito menor [ , , ] Uma vez que dois processos podem armazenar
dados no endereço x, digamos, mas não devem ter permissão para acessar os dados uns dos outros, lá
tem que ser um mapeamento dos endereços virtuais que cada processo usa para os endereços físicos
usado pelo hardware. É como um jogo de basquete, onde cada lado pode ter um jogador com
o número, mas esse número é mapeado em um jogador físico diferente para cada equipe.
É aqui que entram as tabelas de página. Dividimos cada um dos espaços de endereço virtual em
páginas de tamanho fixo e usar a estrutura da tabela de páginas para mapear o endereço do primeiro byte de um
página virtual em um endereço físico. O processador geralmente usa vários níveis de tradução.
6 Embora muitas vezes seja útil pensar nas estruturas da tabela de páginas como árvores, diferentes ramos podem apontar para o mesmo
deixar nós.
https://translate.googleusercontent.com/translate_f 321/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No exemplo da Fig .., ele usa os primeiros nove bits do endereço virtual como um índice no
tabela de página de nível superior (indicada por um registro de controle que faz parte do estado do processador) para nd
uma entrada contendo o endereço físico da tabela de página do próximo nível, que é indexada pelo
próximos nove bits, e assim por diante, até chegarmos à tabela de página de último nível, que contém o físico
endereço da página física que contém o endereço virtual. Os últimos bits do virtual
endereço são simplesmente o deslocamento nesta página e apontam para os dados.
A paginação permite que o tamanho (total) dos espaços de endereço virtual dos processos seja muito
maior do que a memória física disponível no sistema. Primeiro, um processo normalmente não
usar todo o seu espaço de endereço possivelmente gigantesco e apenas as páginas virtuais que estão em uso real
precisa de apoio por páginas físicas. Em segundo lugar, se um processo precisa de mais memória para armazenar alguns
dados e nenhuma página física estão livres naquele momento (por exemplo, porque eles já estão
em uso por outros processos, ou eles estão apoiando algumas outras páginas virtuais deste processo), o
sistema operacional pode trocar o conteúdo dessas páginas para o disco e, em seguida, reutilizar o
página para armazenar os novos dados.
Uma consequência fundamental desta organização é que um processo só pode acessar dados na memória
se houver um mapeamento para ele em suas tabelas de página. Se este for o caso, é controlado pelo
sistema operacional, que é, portanto, capaz de decidir exatamente qual memória deve ser privada
e que memória deve ser compartilhada e com quem. A própria proteção é aplicada por
hardware especializado conhecido como unidade de gerenciamento de memória (MMU ) Se o mapeamento de
virtual para físico para um endereço específico não está no cache pequeno, mas muito rápido conhecido como o
Buffer Lookaside de transação (TLB), o MMU irá procurá-lo percorrendo as tabelas de páginas e
em seguida, acionando uma interrupção se a página que contém o endereço não estiver mapeada.
O MMU também acionará interrupções se a página não estiver na memória (trocada para o disco),
ou, mais relevante para a segurança, se o usuário não tiver o privilégio necessário para acessar este
memória. Especi camente, os últimos bits da Entrada da Tabela da Página (PTE) contém um conjunto de ags e
um desses ags, o bit S na Fig .., indica se esta é uma página para o código do supervisor
(digamos, o sistema operacional em execução com o privilégio mais alto) ou para processos de usuário comuns.
Teremos mais a dizer sobre privilégios mais tarde.
As tabelas de página são a principal forma com que os sistemas operacionais modernos controlam o acesso à memória. Como-
sempre, alguns sistemas operacionais (principalmente mais antigos) usam, adicionalmente, outro truque: segmentação .
Não surpreendentemente, um dos primeiros sistemas operacionais usando segmentação e paginação
foi Multics [ 6, ] Ao contrário das páginas, os segmentos têm um comprimento arbitrário e começam em um
endereço arbitrário. No entanto, ambos dependem do suporte de hardware: um MMU. Por exemplo, pro
processadores como os bits x86 da Intel têm um conjunto de registros dedicados conhecido como segmento se-
letores: um para código, um para dados, etc. Cada segmento tem permissões específicas, como leitura,
escrever ou executar. Dado um endereço virtual, o MMU usa o valor atual na correspondência
ing seletor de segmento como um índice em uma tabela de descritor chamada. A entrada no descritor
tabela contém o endereço inicial e comprimento do segmento, bem como bits de proteção para pré-
código de ventilação sem o nível de privilégio necessário para acessá-lo. Caso haja apenas segmentação
e sem paginação, o endereço resultante é o endereço virtual original adicionado ao início do
segmento e esse será o endereço físico, e pronto. No entanto, tanto o GE-6
computador mainframe usado para Multics e o mais moderno x86 - permite combinar
segmentação e paginação. Nesse caso, o endereço virtual é primeiro traduzido em um assim chamado
endereço linear usando a tabela do descritor de segmento e esse endereço linear é então traduzido
em um endereço físico usando a estrutura da tabela de página.
Como veremos mais tarde, nem todos os processadores têm um MMU completo, mas sim uma proteção de memória mais simples
unidade.
www.cybok.org
Isso é tão complicado quanto parece; nenhum dos sistemas operacionais modernos populares ainda usam
segmentação. Os exemplos mais conhecidos de sistemas operacionais que usam segmentação foram
OS / (uma colaboração malfadada entre a Microsoft e a IBM que começou em meados dos 8 s
e que nunca pegou) e AS / da IBM (também lançado nos anos 88 e ainda em execução
felizmente hoje em um mainframe perto de você). O hipervisor Xen também usou segmentação em
bit x86, mas em sistemas de 6 bits isso não era mais possível. Na verdade, a versão de 6 bits da Intel
O x86 não oferece mais suporte à segmentação completa, embora alguns vestígios de sua funcionalidade
permanecer. Por outro lado, a tradução complicada de endereços de vários níveis ainda é bastante comum
em ambientes virtualizados. Aqui, o hipervisor tenta dar às máquinas virtuais a ilusão
que eles estão rodando sozinhos em hardware real, então o MMU traduz um virtual
endereço primeiro para o que é conhecido como endereço físico de convidado (usando tabelas de página). No entanto, este
ainda não é um endereço físico real, pois muitas máquinas virtuais podem ter a mesma ideia de usar,
digamos, endereço físico x. Então, em vez disso, o MMU usa um segundo estágio de tradução (usando
https://translate.googleusercontent.com/translate_f 322/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a que a Intel se refere como tabelas de páginas estendidas, mantidas pelo hipervisor) para traduzir o
endereço físico do convidado para um endereço físico do host ('endereço da máquina').
Como primeiro exemplo, considere as algo malfadadas Extensões de Proteção de Memória Intel
(MPX) que aprimoram os processadores robustos da Intel com funcionalidade para garantir que o ponto de array-
ers não podem ir além dos limites do array (parando vulnerabilidades como buffer over-
provém de ser explorado). Para este efeito, um pequeno conjunto de novos registros pode armazenar o menor
e limites superiores de um pequeno número de matrizes, enquanto antes de cancelar a referência do ponteiro, novo
As instruções MPX verificam o valor do ponteiro do array para violações de limite. Mesmo no sistema
sistemas que usam MPX apenas no espaço do usuário, o sistema operacional desempenha um papel, por exemplo, de han-
dle a exceção que o hardware lança quando encontra uma violação de limite de buffer.
A MPX foi duramente criticada por ter poucos registros desses limites, levando a muitos
sobrecarga de desempenho. Além disso, a MPX não oferece suporte a multithreading, o que pode resultar
em corridas de dados em código legado. Pode-se dizer que a MPX é um bom exemplo de tentativa de um
fornecedor de hardware para adicionar novos recursos para segurança de memória em suas CPUs que, infelizmente,
nem sempre é bem-sucedido.
Mais recentemente, a Intel adicionou Chaves de Proteção de Memória (MPKs) para seus processadores. Intel MPK al-
baixo um para definir quatro bits não utilizados anteriormente no PTE (Fig .) a um dos 6 valores de 'chave'.
Além disso, ele adiciona um novo registro de bits contendo bits para cada chave para indicar se
a leitura e a escrita são permitidas para páginas marcadas com essa chave. MPK permite que os desenvolvedores par-
colocar a memória em um pequeno número (neste caso 6) domínio de proteção e, por exemplo,
permitir que apenas uma biblioteca de criptografia específica acesse as chaves criptográficas. Enquanto usuário sem privilégios pro-
8 Ou mesmo os s, se quiser contar o System / 8.
Mais uma vez, a Intel chegou atrasada à festa, já que recursos semelhantes existiam em uma variedade de processadores desde o
6 s.
processos podem atualizar o valor do registro, apenas o código do sistema operacional privilegiado pode marcar
as páginas de memória com chaves.
Alguns designs de processador suportam proteção de memória ainda mais avançada na forma de
o que, usando a terminologia ARM, iremos nos referir como extensões de marcação de memória (MTE ) [ ]
A ideia é simples, mas poderosa. O processador atribui cada pedaço alinhado de memória
(onde um pedaço é, digamos, 6 bytes) uma assim chamada "tag" no hardware. Da mesma forma, cada ponteiro também ob-
contém uma etiqueta. As tags geralmente não são muito grandes, digamos bits, portanto podem ser armazenadas na parte superior
byte do valor do ponteiro de 6 bits que realmente não usamos de qualquer maneira (na verdade, o ARM suporta um
recurso de ignorar byte superior que faz com que o hardware mascare explicitamente o byte mais superior).
Sempre que o programa aloca N bytes de memória, o alocador arredonda a alocação
para múltiplos de 6 bytes e atribui uma tag aleatória a ele. Ele também atribui a mesma tag ao
ponteiro para a memória. A partir de agora, desreferenciar o ponteiro só é permitido se a tag em
o ponteiro corresponde ao da memória a que se refere - efetivamente parando a maioria das
e erros de memória temporal.
Enquanto isso, alguns processadores, especialmente em dispositivos de baixo consumo de energia, nem mesmo têm um
MMU em tudo. Em vez disso, eles têm uma Unidade de Proteção de Memória muito mais simples (MPU) que serve
apenas para proteger a memória, de forma semelhante à funcionalidade MPK discutida acima. Dentro
Projetos MPU , os sistemas operacionais definem uma série de regiões de memória com memória específica
ory acessar permissões e atributos de memória. Por exemplo, o MPU no processo ARMv8-M
sors suporta até 6 regiões. Enquanto isso, o MPU monitora toda a memória do processador
acessos (incluindo buscas de instruções e acessos a dados) e dispara uma exceção em
detectar uma violação de acesso.
Observe que acima, presumimos que o sistema operacional precisa de proteção contra
aplicativos de usuário não confiáveis. Uma situação especial surge quando a operação em si não é confiável.
Talvez você esteja executando um aplicativo sensível à segurança em um sistema operacional comprometido,
https://translate.googleusercontent.com/translate_f 323/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ou na nuvem, onde você não tem certeza se deseja confiar no provedor de nuvem. No caso geral,
você pode querer proteger seus dados e aplicativos sem confiar em nenhum outro software. Para
para isso, os processadores podem oferecer suporte de hardware para a execução de código extremamente sensível
em um ambiente seguro e isolado, conhecido como um ambiente de execução confiável no 'Trust-
Zone 'ou um enclave no Software Guard Extension da Intel (SGX) Eles oferecem um pouco diferente
primitivos. Por exemplo, o código em execução em um enclave SGX se destina a ser parte de um
processo normal do usuário. A memória que ele usa é sempre criptografada assim que sai do pro-
cessor. Além disso, SGX oferece suporte de hardware para realizar a certificação, de modo que um (possivelmente
remoto) pode verificar se o código está sendo executado em um enclave e se é o código correto.
O ARM TrustZone, por outro lado, isola o 'mundo normal' que executa a operação normal
sistema de gerenciamento e aplicativos de usuário, de um "mundo seguro" que normalmente executa seu próprio sistema
sistema operacional, bem como um pequeno número de aplicativos sensíveis à segurança. Código em
o mundo normal pode chamar o código no mundo seguro de uma forma semelhante à aplicação
cátions chamam em um sistema operacional. Uma aplicação interessante de ambientes especiais
como ARM TrustZone (ou modo SMM da Intel , discutido mais tarde) é para usá-lo para mon-
itoring da integridade de um sistema operacional regular - esperançosamente detectando qualquer
malware ou rootkit o comprometeu antes que pudesse causar algum dano sério. Embora aspectos
desses ambientes confiáveis se sobrepõem claramente à segurança do sistema operacional, consideramos
em grande parte fora do escopo desta área de conhecimento. Devemos também notar que recentemente
anos, a segurança oferecida por ambientes de execução confiáveis de hardware tem sido repetidamente
perfurado por uma variedade de canais laterais [ , , 6] que vaza informações de supostamente
Um recurso semelhante em processadores SPARC é conhecido como Application Data Integrity (ADI) [ ]
www.cybok.org
mundo seguro.
Mudando de assunto novamente, pode ser que o sistema operacional esteja bom, mas o hardware
não é. Hardware malicioso ou com defeito pode usar o acesso direto à memória do sistema (DMA) para
ler ou sobrescrever dados confidenciais na memória que deveriam estar inacessíveis para eles. Além disso,
com alguns padrões (como Thunderbolt sobre USB-C), os links PCIe de um computador podem ser
exposto diretamente a dispositivos que um usuário conecta a um computador. Infelizmente para o usuário,
é difícil ter certeza de que o que parece, por exemplo, um cabo de tela ou adaptador de energia, também não
contêm alguns circuitos maliciosos projetados para comprometer o computador [ ] Como parcial
remédio, a maioria das arquiteturas hoje em dia vem com um MMU especial para dados transferidos para e
de dispositivos. Este hardware, chamado de IOMMU, serve para mapear endereços virtuais de dispositivos para
endereços físicos, imitando exatamente a proteção baseada em página ilustrada na Fig ., mas
agora para dispositivos DMA . Em outras palavras, os dispositivos podem acessar um endereço de memória virtual, que
o IOMMU se traduz em um endereço físico real, verifica as permissões e para se o
a página não está mapeada para o dispositivo ou os bits de proteção não correspondem ao acesso solicitado.
Ao fazer isso, fornece alguma medida de proteção contra dispositivos maliciosos (ou mesmo
drivers), é importante perceber que o IOMMU foi projetado para facilitar a virtualização
e realmente não deve ser visto como uma solução de segurança adequada. Há muitas coisas que podem
dar errado [ 8] Por exemplo, talvez o administrador queira revogar o acesso de um dispositivo
direitos a uma página de memória. Uma vez que atualizar as tabelas de páginas IOMMU é uma operação lenta, não é
incomum para sistemas operacionais atrasar esta operação e agrupá-la com outras operações.
O resultado é que pode haver um pequeno intervalo de tempo durante o qual o dispositivo ainda tem acesso
para a página de memória, embora pareça que esses direitos já foram revogados.
Finalmente, podemos observar que o número crescente de transistores por área de superfície permite
um fornecedor de CPU para colocar mais e mais extensões de hardware em seus chips, e aqueles
discutidos acima não são de forma alguma os únicos relacionados à segurança nos processadores modernos. De Anúncios-
exemplos adicionais incluem unidades criptográficas, criptografia de memória, instruções para alternar ex-
tabelas de páginas gerenciadas com eficiência e autenticação de ponteiro (onde o hardware detecta mod-
i cação de valores de ponteiro). Não há dúvida de que mais recursos surgirão na geração futura
ções e sistemas operacionais terão que se adaptar a fim de usá-los de uma forma significativa. UMA
uma visão mais ampla dessas questões é encontrada na Área de Conhecimento de Segurança de Hardware (Capítulo 8)
.. Anéis de proteção
Entre as idéias mais revolucionárias introduzidas por Multics estava a noção de proteção
anéis - uma camada hierárquica de privilégio em que o anel interno (anel) é o mais privilegiado
e o anel externo é o menos privilegiado [ 6] Consequentemente, os processos de usuários não confiáveis executam
bonito no anel externo, enquanto o kernel confiável e privilegiado que interage diretamente com o
hardware executa em anel, e os outros anéis podem ser usados para mais ou menos privilegiados
processos do sistema.
https://translate.googleusercontent.com/translate_f 324/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os anéis de proteção normalmente pressupõem suporte de hardware, algo de uso mais geral,
cessores oferecem hoje, embora o número de anéis possa ser diferente. Por exemplo, o Honeywell
6 8 suportava até oito anéis, Intel x86 quatro, ARM v três (mais um extra para
TrustZone) e PowerPC dois. No entanto, como veremos, a história se torna um pouco confusa
ing, porque alguns processadores modernos também introduziram mais e diferentes processadores
modos. Por enquanto, simplesmente observamos que a maioria dos sistemas operacionais regulares usa apenas dois anéis:
um para o sistema operacional e outro para os processos do usuário.
Sempre que um código menos privilegiado precisa de uma função que requer mais privilégios, ele 'chama' o
www.cybok.org
anel inferior para solicitar a execução desta função como serviço. Assim, apenas confiável, privilegiado
o código pode executar as instruções mais confidenciais ou manipular os dados mais confidenciais.
A menos que um processo com menos privilégios engane um código mais privilegiado para fazer algo que
não deveria estar fazendo (como um deputado confuso), os anéis fornecem proteção poderosa. O
ideia original no Multics era que a transição entre os anéis ocorreria através de portas de chamada especiais
que impõem controle e mediação estritos. Por exemplo, o código no anel externo não pode fazer
uma chamada para qualquer instrução no anel interno, mas apenas para pontos de entrada predefinidos onde o
a chamada é primeiro examinada para ver se ela e seus argumentos não violam nenhuma política de segurança.
Embora processadores como o x86 ainda suportem call gates, poucos sistemas operacionais os usam, como
eles são relativamente lentos. Em vez disso, o usuário processa a transição para o kernel do sistema operacional (um
'chamada de sistema') executando uma interrupção de software (uma 'armadilha') que o sistema operacional manipula,
ou mais comumente, por meio de uma instrução especial de chamada de sistema altamente eficiente (com nomes
como SYSCALL, SYSENTER, SVC, SCALL etc., dependendo da arquitetura). Muitos operam
Os sistemas operacionais colocam os argumentos para a chamada do sistema em um conjunto predefinido de registradores. Como o
call gates, os traps e as instruções de chamada do sistema também garantem que a execução continua em
um endereço predefinido no sistema operacional, onde o código inspeciona os argumentos e
em seguida, chama a função de chamada de sistema apropriada.
Além do processo do usuário chamando o sistema operacional, a maioria dos sistemas operacionais também al-
baixe o kernel para chamar o processo do usuário. Por exemplo, sistemas baseados em UNIX suportam sinais
que o sistema operacional usa para notificar o programa do usuário sobre 'algo interessante': um
erro, um cronômetro expirado, uma interrupção, uma mensagem de outro processo, etc. Se o processo do usuário
registrado um manipulador para o sinal, o sistema operacional irá parar a execução atual do
o processo, armazenando todos os seus estados de processador na pilha do processo em um chamado quadro de sinal,
e continue a execução no manipulador de sinais. Quando o manipulador de sinal retorna, o processo
executa uma chamada de sistema sigreturn que faz com que o sistema operacional assuma, restaure o
estado do processador que está na pilha e continuar executando o processo.
O limite entre os domínios de segurança, como o kernel do sistema operacional e o espaço do usuário
processos é um bom lugar para verificar as chamadas do sistema e seus argumentos
por violações de segurança. Por exemplo, em sistemas operacionais baseados em capacidade, o kernel irá
validar as capacidades [ ], e em sistemas operacionais como MINIX [ ], específico
processos só são permitidos para fazer chamadas específicas, de modo que qualquer tentativa de fazer uma chamada que
não está na lista pré-aprovada é marcada como uma violação. Da mesma forma, com base em Windows e UNIX
os sistemas operacionais precisam verificar os argumentos de muitas chamadas de sistema. Considere, por exemplo,
as chamadas de sistema comuns de leitura e gravação, pelas quais um usuário solicita a leitura de dados
de um arquivo ou socket em um buffer, ou a escrita de dados de um buffer em um arquivo ou socket,
respectivamente. Antes de fazer isso, o sistema operacional deve verificar se a memória a partir da qual escrever
ou lido é realmente propriedade do processo.
Depois de executar a chamada do sistema, o sistema operacional retorna o controle ao processo. Aqui
além disso, o sistema operacional deve tomar cuidado para não retornar resultados que prejudiquem o sistema operacional
segurança. Por exemplo, se um processo usa a chamada de sistema mmap para solicitar o sistema operacional
objetivo de mapear mais memória em seu espaço de endereço, o sistema operacional deve garantir que
as páginas de memória que ele retorna não contêm mais dados sensíveis de outro processo (por exemplo, por
inicializando cada byte para zero primeiro [ ]).
Os problemas de inicialização zero podem ser muito sutis. Por exemplo, os compiladores costumam introduzir
Preenchimento de bytes para fins de alinhamento em estruturas de dados. Uma vez que esses bytes de preenchimento não são
visível no nível da linguagem de programação, o compilador pode não ver nenhuma razão para zerar
tializá-los. No entanto, uma violação de segurança ocorre quando o sistema operacional retorna tal
https://translate.googleusercontent.com/translate_f 325/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 407 O Conhecimento em Segurança Cibernética
www.cybok.org
uma estrutura de dados em resposta a uma chamada de sistema e o preenchimento unitializado contém
dados do kernel ou outro processo.
Para fins de integridade, devemos mencionar que as coisas podem ficar ainda mais complexas,
já que alguns processadores modernos ainda possuem outros modos. Por exemplo, x86 oferece o que é conhecido
como modo de gerenciamento do sistema (SMM) Quando um sistema é inicializado, o rmware está no controle de
o hardware e prepara o sistema para que o sistema operacional assuma. Porém, quando
SMM está habilitado, o rmware recupera o controle quando uma interrupção específica é enviada para a CPU. Para
exemplo, o rmware pode indicar que deseja receber uma interrupção sempre que o poder
botão é pressionado. Nesse caso, a execução regular é interrompida e o rmware assume o controle. Isto
pode, por exemplo, salvar o estado do processador, fazer o que for necessário e, em seguida, retomar o
sistema operacional para um desligamento ordenado. De certa forma, o SMM às vezes é visto como um nível inferior
do que os outros anéis ( ring - ).
Finalmente, a Intel até adicionou um anel - na forma do Intel Management Engine (EU) Eu é um
sistema completamente autônomo que agora está em quase todos os chipsets da Intel; corre um segredo
e rmware completamente independente em um microprocessador separado e está sempre ativo:
durante o processo de inicialização, enquanto a máquina está funcionando, enquanto ela está adormecida e mesmo quando
está desligado. Enquanto o computador estiver conectado à energia, é possível se comunicar
com o ME pela rede e, digamos, instalar atualizações. Embora muito poderoso, sua funcionalidade é
em grande parte desconhecido, exceto que executa seu próprio sistema operacional pequeno qual pesquisador encontrou
vulnerabilidades contidas. Os processadores adicionais que acompanham a CPU principal (seja ele o
ME ou outros relacionados, como os chips T da Apple e Titan do Google) levantam um ponto interessante:
é o sistema operacional em execução na CPU principal capaz de atender à segurança de hoje
requisitos? Pelo menos, a tendência parece aumentá-lo com sistemas de uso especial (hard-
ware e software) para segurança.
Versão do ME, no momento em que este artigo foi escrito, é baseado no MINIX-.
www.cybok.org
https://translate.googleusercontent.com/translate_f 326/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
as questões são tratadas na Área de Conhecimento de Segurança de Sistemas Ciber-Físicos (Capítulo ) .
A melhor maneira de proteger sistemas operacionais e máquinas virtuais é não ter vulnerabilidades
em tudo: segurança desde o projeto. Por exemplo, podemos usar a verificação formal para garantir que certos
classes de bugs não podem estar presentes no software ou hardware, e se o sistema está funcionando
cionalmente correto [ ] Escalar a verificação para sistemas muito grandes ainda é um desafio, mas
o campo está avançando rapidamente e agora alcançamos o estágio em que componentes importantes
como um microkernel, sistemas de arquivos e compiladores foram verificados em relação a uma especificação formal
cátion. Além disso, não é necessário verificar todos os componentes de um sistema: garantia
o isolamento simplesmente requer um microkernel / hipervisor verificado e mais alguns componentes verificados
nents. A verificação de outros componentes pode ser desejável, mas não é essencial para o isolamento.
Obviamente, a própria verificação é tão boa quanto a especificação subjacente. Se você conseguir isso
errado, não importa se você o verificou, você ainda pode estar vulnerável.
Apesar de nossos melhores esforços, no entanto, não fomos capazes de erradicar todos os bugs de segurança de
grandes sistemas do mundo real. Para se protegerem contra os tipos de ataques descritos no
modelo de ameaças, os sistemas operacionais modernos empregam uma variedade de soluções para complementar o
acima das primitivas de isolamento e mediação. Nós distinguimos cinco classes diferentes de
proteção: ocultação de informações, restrições de controle de fluxo, particionamento, código e integridade de dados
verificações e detecção de anomalias.
.. Esconder informações
Uma das principais linhas de defesa na maioria dos sistemas operacionais atuais consiste em esconder o que
cada vez que os invasores possam estar interessados. Especificamente, randomizando a localização de todos os
áreas de memória evasivas (em código, heap, dados globais e pilha), os invasores não saberão onde
para desviar o fluxo de controle, nem serão capazes de detectar quais endereços contêm
dados, etc. O termo Address Space Layout Randomization (ASLR) foi cunhado em torno do
lançamento do patch de segurança PaX, que implementou esta randomização para o Linux ker-
nel em [ 6 ] —Consulte também a discussão na Área de Conhecimento de Segurança de Software (Sec-
ção . .) Logo, esforços semelhantes apareceram em outros sistemas operacionais e o primeiro principal
stream de sistemas operacionais para ter ASLR habilitado por padrão eram OpenBSD em e Linux
dentro . O Windows e o MacOS vieram em seguida. No entanto, essas implementações iniciais apenas
randomizou o espaço de endereço em programas do usuário e a randomização não atingiu o kernel
dos principais sistemas operacionais, sob o nome de Kernel ASLR (KASLR), até aproximadamente um
uma década depois de ter sido habilitado por padrão nos programas do usuário.
A ideia do KASLR é simples, mas existem muitas decisões de design não triviais a serem tomadas. Para
Por exemplo, quão aleatório é aleatório? Em particular, que parte do endereço é aleatória?
30
Digamos que seu kernel Linux tenha um intervalo de endereços de GB (= 2) para o código, e o código deve
21
ser alinhado a MB (= 2 ) limites. O número de bits disponíveis para randomização (o
entropia ) é 30 - 21 = 9 bits. Em outras palavras, precisamos no máximo de suposições para encontrar o kernel
código. Se os invasores encontrarem uma vulnerabilidade para desviar o controle do kernel para um endereço adivinhado
de um programa de espaço do usuário e cada suposição errada leva a uma falha do sistema, seria suficiente
ter acesso do espaço do usuário a algumas centenas de máquinas para acertar pelo menos uma vez com alta
probabilidade (embora muitas máquinas travem no processo).
Outra decisão importante é o que randomizar. A maioria das implementações hoje emprega
randomização de granulação grossa: eles randomizam a localização base do código, heap ou pilha,
mas dentro de cada uma dessas áreas, cada elemento está em um deslocamento xo da base. Isso é simples
e muito rápido. No entanto, uma vez que os invasores conseguem obter até mesmo um único ponteiro de código via
um vazamento de informações, eles sabem os endereços de cada instrução. O mesmo é verdade, mutatis
mutandis , para o heap, pilha etc. Não é nenhuma surpresa que esses vazamentos de informações sejam altamente
alvos valiosos para os invasores hoje.
https://translate.googleusercontent.com/translate_f 327/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
localidade e fragmentação.
Além do código, a randomização refinada também é possível para os dados. Por exemplo, pesquisa
mostrou que as alocações de heap, globais e até mesmo variáveis na pilha podem ser espalhadas
em torno da memória. É claro que isso acarreta um custo em termos de desempenho e memória.
Considerando KASLR, e especialmente KASLR de granulação grossa, como nossa primeira linha de defesa contra
exploits de erro de memória não estariam longe do alvo. Infelizmente, também é um de-
fense. Numerosas publicações têm mostrado que KASLR pode ser quebrado facilmente, por vazamento
dados e / ou ponteiros de código da memória, canais laterais, etc.
.. Restrições de controle
Uma linha de defesa ortogonal é regular o fluxo de controle do sistema operacional. Ao garantir
que os invasores não podem desviar o controle para o código de sua escolha, tornamos muito mais difícil ex-
ploit erros de memória, mesmo se não os removermos. O melhor exemplo é conhecido como Control-
Integridade do Fluxo (CFI) [ 6], que agora é suportado por muitos conjuntos de ferramentas do compilador (como
LLVM e Visual Studio da Microsoft) e incorporados ao kernel do Windows com o nome
do Control Flow Guard a partir de - consulte também a Área de Conhecimento de Segurança de Software (Cap-
ter ) .
Conceitualmente, o CFI é muito simples: garantimos que o fluxo de controle no código sempre segue
o gráfico de fluxo de controle estático. Por exemplo, a instrução de retorno de uma função deve ser apenas
baixado para retornar ao seu callite, e uma chamada indireta usando um ponteiro de função em C, ou um virtual
função em C ++, deve ser capaz de direcionar apenas o ponto de entrada das funções legítimas que
ele deve ser capaz de ligar. Para implementar essa proteção, podemos rotular todos os alvos legítimos
www.cybok.org
para uma instrução de transferência de controle indireto (retornos, chamadas indiretas e saltos indiretos) e adicione
esses rótulos para um conjunto que é específico para esta instrução. Em tempo de execução, verificamos se o
a transferência de controle que a instrução está prestes a fazer é para um alvo que está no conjunto. Se não, CFI
dispara um alarme e / ou trava o programa.
Como o ASLR , o CFI vem em muitos modos, de granulação grosseira a granularidade, e de contexto
sensível ao contexto insensível. E assim como em ASLR, a maioria das implementações hoje emprega
apenas a proteção mais simples e granulada. CFI de granulação grossa significa relaxar o
regras um pouco, no interesse do desempenho. Por exemplo, em vez de restringir a função de
instrução de retorno para sites de chamada legítimos de destino que poderiam ter chamado esta função,
pode ter como alvo qualquer site de chamada. Embora menos seguro do que o CFI refinado [ 6 ], ainda restringe o
espaço de manobra dos atacantes tremendamente e tem uma verificação de tempo de execução muito mais rápida.
Em máquinas modernas, algumas formas de CFI são (ou serão) até mesmo suportadas por hardware. Para
exemplo, Intel Control-Flow Enforcement Technology (CET) oferece suporte a pilhas de sombra e
rastreamento direto da filial para ajudar a garantir a integridade das devoluções e controle de trans-
fers (de uma forma muito granulada), respectivamente. Para não ficar para trás, ARM fornece ponteiro
autenticação para evitar a modificação ilegítima de valores de ponteiro - essencialmente usando o
bits superiores de um ponteiro para armazenar um Código de Autenticação do Ponteiro (PAC), que funciona como um
assinatura criptográfica no valor do ponteiro (e a menos que você acerte o PAC , seu ponteiro
não é válido).
Infelizmente, o CFI só ajuda contra ataques que alteram o fluxo de controle - corrompendo
dados de trol, como endereços de retorno, ponteiros de função e destinos de salto, mas são impotentes
contra ataques de dados sem controle. Por exemplo, ele não pode impedir uma corrupção de memória que over-
escreve o nível de privilégio do processo atual e o define como 'root' (por exemplo, definindo o efetivo
ID do usuário ao do usuário root). No entanto, se as restrições ao fluxo de controle forem um sucesso
na prática, você pode se perguntar se restrições semelhantes também são possíveis no fluxo de dados. Na verdade eles
são, que é chamado de Integridade de Fluxo de Dados (DFI) [ 66] Em DFI, determinamos estaticamente para cada
carregar instrução (ou seja, uma instrução que lê da memória) que armazena instruções podem
produziram os dados de maneira legítima, e rotulamos essas instruções e salvamos esses rótulos
em um conjunto. Em tempo de execução, lembramos, para cada byte na memória, o rótulo do último armazenamento para aquele
localização. Quando encontramos uma instrução de carga, verificamos se a última loja nesse endereço
está no conjunto de lojas legítimas e, se não estiver, disparamos um alarme. Ao contrário do CFI , o DFI não foi
amplamente adotado na prática, presumivelmente por causa das sobrecargas significativas de desempenho.
.. Particionamento.
Além da decomposição estrutural de um sistema em diferentes domínios de segurança (por exemplo, em
processos e o kernel) protegidos por primitivas de isolamento com ou sem suporte de hardware,
https://translate.googleusercontent.com/translate_f 328/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
existem muitas técnicas adicionais que os sistemas operacionais empregam para tornar mais difícil para
atacantes para comprometer o TCB. Nesta seção, discutimos os mais proeminentes.
Memória W ⊕X . Para evitar ataques de injeção de código, por meio dos quais os invasores transferem o controle para
uma sequência de instruções que eles armazenaram em áreas de memória que não deveriam conter
código como a pilha ou o heap, os sistemas operacionais de hoje traçam uma linha rígida entre o código
e dados [ 6 ] Cada página de memória é executável (páginas de código) ou gravável, mas não
Ambos ao mesmo tempo. A política, frequentemente referida como W⊕X ('write xor execute'), impede
a execução de instruções na área de dados, mas também a modificação de código existente. Dentro
a ausência de injeção de código, os invasores interessados em desviar o fluxo de controle do pro-
grama são forçados a reutilizar o código que já está presente. Mecanismos semelhantes são usados para fazer
dados sensíveis no kernel (como a tabela de chamada do sistema, a tabela de vetor de interrupção, etc.)
somente leitura após a inicialização. Todos os principais sistemas operacionais suportam esse mecanismo, normalmente
contando com suporte de hardware (o bit NX em processadores modernos ) - mesmo se os detalhes forem diferentes
ligeiramente, e o nome pode variar de sistema operacional para sistema operacional. Por exemplo,
A Microsoft se refere à sua implementação pelo nome Data Execution Prevention (DEP) Pré-
liberar o kernel de acessar o espaço do usuário. Já vimos que os sistemas operacionais
usar os anéis de proteção da CPU para garantir que os processos do usuário não possam acessar dados arbitrários ou
executar código no sistema operacional, de acordo com os princípios de segurança da Saltzer
& Schroeder, que prescrevem que todos esses acessos sejam mediados. No entanto, às vezes nós
também precisa proteger a outra direção e evitar que o kernel acesse cegamente (ou
pior, executar) coisas no espaço do usuário.
Para ver por que isso pode ser ruim, considere um sistema operacional onde o kernel está mapeado em
cada espaço de endereço de processo e sempre que executa uma chamada de sistema, executa o kernel
código usando as tabelas da página do processo. É assim que o Linux funcionou desde o seu início até
Dezembro. A razão é que fazer isso é eficiente, pois não há necessidade de mudar de página
tabelas ao executar uma chamada de sistema, enquanto o kernel pode acessar de forma eficiente toda a memória.
Além disso, como as páginas do kernel têm o bit de supervisor ( S ) definido, não há risco de que o usuário
processo irá acessar a memória do kernel. No entanto, suponha que o kernel tenha um bug que causa
para remover a referência de um ponteiro de função que, em circunstâncias específicas, é NULL.
A coisa mais provável de acontecer é o kernel travar. Afinal, o kernel está tentando
execute o código em uma página inválida. Mas e se um processo malicioso mapear deliberadamente um
página no endereço, e a preenche com o código que altera os privilégios do processo atual para
o da raiz? Nesse caso, o kernel executará o código, com privilégios de kernel. Isto é mau.
Agora deve estar claro que o kernel provavelmente não deve executar cegamente o código do processo. Nem
deve ler cegamente a partir dos dados do usuário. Afinal, um invasor pode usá-lo para alimentar dados maliciosos
às instruções do kernel. Para evitar esses acessos, precisamos ainda mais isolamento do que isso
fornecido pelos anéis padrão. Por esse motivo, muitas CPUs hoje oferecem o Modo Supervisor
Proteção de execução (SMEP) e Proteção de Acesso do Modo Supervisor (SMAP) SMEP e
O SMAP é habilitado configurando os bits apropriados em um registro de controle. Assim que eles forem
ativada, qualquer tentativa de acessar ou transferir o controle para a memória do usuário resultará em uma falha de página. De
claro, isso também significa que o SMAP deve ser desligado explicitamente sempre que o kernel precisa
para acessar a memória do usuário.
Alguns sistemas operacionais, incluindo Linux, têm SMEP-como restrições 'de graça' em sistemas vul-
vulnerável à vulnerabilidade Meltdown em [ ], o que os obrigou a adotar uma alternativa
design, que veio com uma etiqueta de preço. Em particular, eles foram forçados a abandonar o único anúncio
espaço de vestido (onde o kernel é executado no espaço de endereço do processo), por causa do
Meltdown canal lateral de execução fora de ordem da Tabela .. Para recapitular, o Meltdown (e
ataques Specter) consistem em invasores abusando do (excessivo) otimismo da CPU sobre o que
acontece nas instruções que ele executa fora de ordem ou especulativamente. Por exemplo, erroneamente
assume que as instruções de carregamento têm o privilégio de ler os dados que acessam, o resultado
de uma ramificação é o mesmo da vez anterior em que uma ramificação em um endereço semelhante foi executada, ou
os dados necessários para uma instrução de carga são provavelmente os dados neste buffer temporário da CPU que
foi apenas escrito. No entanto, mesmo que qualquer uma dessas suposições esteja errada, a CPU pode se recuperar
esmagando os resultados do código que foi executado fora de ordem ou especulativamente.
NX (sem execução) é como a AMD originalmente chamou o recurso em suas CPUs compatíveis com x86. Intel chama de Execute
Desativar (XD) e ARM Execute Never (XN)
Novamente, essa é a terminologia x86. No ARM, recursos semelhantes são chamados de Privileged Access Never (FRIGIDEIRA) e Priv-
ileged Execute Never (PXN)
https://translate.googleusercontent.com/translate_f 329/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Em um ataque do tipo Meltdown, o processo dos invasores executa uma instrução fora de ordem para ler
um byte em um endereço de kernel (supostamente inacessível), e a CPU assume de forma otimista
tudo está bem e simplesmente acessa o byte. Antes que a CPU perceba que as coisas não vão bem depois
todos e este byte não deve estar acessível, os invasores já usaram o byte para ler um
elemento particular em uma grande matriz no espaço de endereço de seu próprio processo. Embora a CPU vá
eventualmente esmagar todos os resultados, o dano já está feito: mesmo que o byte não possa ser
ler diretamente, o índice do elemento da matriz que está no cache (e é, portanto, mensurável
de acesso mais rápido do que os outros elementos) deve ser o byte do kernel.
Para remediar este problema em processadores um pouco mais antigos que não possuem um hardware x para
esta vulnerabilidade, sistemas operacionais como o Linux usam um design que separa completamente
as tabelas de páginas do kernel daquelas dos processos. Em outras palavras, o kernel também
roda em seu próprio espaço de endereço, e qualquer tentativa por uma instrução fora de ordem de ler um kernel
endereço irá falhar. O kernel ainda pode mapear nas páginas do processo do usuário e, assim, acessar
se necessário, mas as permissões podem ser diferentes. Especificamente, se eles forem mapeados como
não executável, basicamente obtemos a funcionalidade SMEP gratuitamente.
Para outras vulnerabilidades com base na execução especulativa (como Spectre e RIDL), o x é
mais problemático. Muitas vezes, várias soluções pontuais diferentes são usadas para corrigir os problemas mais graves
questões. Por exemplo, após uma verificação de limites que pode ser influenciada por usuários não confiáveis, nós
pode querer inserir instruções especiais para parar completamente a especulação. Da mesma forma, operando
sistemas como o Windows tentam "programar em grupo" apenas códigos que pertençam à mesma segurança
domínio no mesmo núcleo (de modo que vazar de um thread para outro no mesmo núcleo é
menos problemático), enquanto outros, como o OpenBSD, desabilitam totalmente o hyperthreading na Intel
processadores. No entanto, não está claro o quão completo o conjunto de patches será, enquanto estivermos
esperando que o hardware seja corrigido.
Particionamento de estados micro-arquitetônicos Ataques sofisticados de canal lateral se baseiam no agressor
compartilhamento ativo de recursos em sistemas de computação modernos. Vários domínios de segurança compartilham o
mesmo cache, o mesmo TLB, o mesmo estado de preditor de ramificação, as mesmas unidades aritméticas, etc.
Compartilhar é bom para a eficiência, mas, conforme indicado pelo Princípio do Mecanismo Menos Comum
nismo, eles também dão origem a canais laterais. Para evitar tais ataques, os sistemas operacionais podem
precisa sacrificar parte da eficiência e particionar recursos, mesmo com granularidade ne. Para
por exemplo, por meio de coloração de página em software ou tecnologia de alocação de cache baseada em hardware
ogy, um sistema operacional pode dar acesso a diferentes processos a porções totalmente desconexas
do cache (por exemplo, separando os conjuntos de cache ou separando as formas dentro de um conjunto de cache). Un-
felizmente, o particionamento nem sempre é simples e atualmente não é compatível com muitos
recursos de baixo nível.
No entanto, o que acontece com o código que verifica a assinatura e, de fato, o sistema operacional
em si - temos certeza de que isso não foi adulterado por um bootkit malicioso? Garantindo o
integridade do software do sistema que é carregado durante a inicialização envolve uma série de etapas,
principalmente relacionado às várias etapas no próprio processo de inicialização. Desde o primeiro comercial
computadores em diante, a inicialização envolveu vários estágios. Até a IBM, um computador popular
nos primeiros anos, com tantas instalações, já tinha uma inicialização de vários estágios
procedimento que começou pressionando um botão especial 'Carregar' para fazer o sistema carregar um único
Palavra de 6 bits de, normalmente, um cartão perfurado. Ele executaria (parte de) esta palavra para carregar até mesmo
https://translate.googleusercontent.com/translate_f 330/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
mais instruções e, em seguida, comece a executar essas instruções como o "programa de inicialização".
Em geral, a inicialização segura de dispositivos começa com uma 'raiz de confiança' inicial que inicia o
processo de inicialização e é normalmente baseado em hardware, por exemplo, um microcontrolador que inicia
execução de software a partir de memória interna imutável ou de memória interna ash que
não pode ser reprogramado de forma alguma, ou apenas com verificações estritas de autenticação e autorização.
Como exemplo, os computadores modernos da Apple usam um processador separado, o T Security Chip, para
fornece a raiz de confiança do hardware para inicialização segura, entre outras coisas, enquanto o Google também
desenvolveu um processador personalizado para isso, chamado Titan. Vamos agora discutir como um hardware
A raiz de confiança ajuda a verificar se um sistema foi inicializado com segurança.
A inicialização de computadores de uso geral normalmente começa com o rmware que inicia um
sequência de estágios que termina com um sistema totalmente inicializado. Por exemplo, o rmware pode carregar
um programa de bootloader especial que carrega o kernel do sistema operacional que por sua vez pode
carregar drivers de inicialização adicionais até que o sistema operacional esteja totalmente inicializado e pronto para
interagir com o usuário ou aplicativos. Todos esses estágios precisam de proteção. Por exemplo, o
Interface de firmware extensível unificada (UEFI) pode proteger o primeiro estágio (ou seja, verificar a integridade
do bootloader), por meio do Secure Boot. A inicialização segura verifica se os carregadores de inicialização
foram assinados com a chave apropriada, ou seja, usando chaves que concordam com as informações chave que
está armazenado no rmware. Isso evitará que carregadores e drivers sem os sinais apropriados
controle do sistema. O bootloader agora pode verificar a assinatura digital
do kernel do sistema operacional antes de carregá-lo. Em seguida, o kernel verifica todos os outros componentes
nentos do sistema operacional (como drivers de inicialização e, possivelmente, antimalware integrado
software) antes de iniciá-los. Ao iniciar o programa anti-malware antes de outros drivers,
pode subsequentemente verificar todos esses componentes posteriores e estender a cadeia de confiança para um
sistema operacional inicializado.
O próximo problema é: como sabemos que é esse o caso? Em outras palavras, como sabemos
que o sistema realmente inicializou com segurança e podemos confiar no que quer que seja exibido na tela?
O truque aqui é usar um atestado, pelo qual uma parte (remota) pode detectar quaisquer alterações que
foram feitos em nosso sistema. O atestado remoto normalmente usa hardware especial, como
um Módulo de plataforma confiável (TPM) que serve de raiz de confiança e consiste em verificar, em
etapas, se o sistema foi carregado com o tipo de software "certo". Em particular, um TPM
é um módulo de hardware criptográfico que suporta uma gama de funções criptográficas, chave
geração e gerenciamento, armazenamento seguro (por exemplo, para chaves e outras informações sensíveis à segurança
formação) e, mais importante, medições de integridade. Veja o Conhecimento de Segurança de Hardware
Área (Capítulo 8) para uma discussão mais aprofundada.
Para as medições de integridade, os TPMs têm um conjunto de Registros de Configuração de Plataforma chamados
PCR-, PCR-, ..., que são definidos com um valor conhecido em cada inicialização. Esses registros não são para
escrevendo diretamente, mas para estendê-lo . Portanto, se o valor atual do PCR- o registro é X
e queremos estendê-lo com Y, o TPM calcula o hash (X, Y) e armazena o resultado em
PCR-. Agora, se quisermos estendê-lo ainda mais, digamos com Z, o TPM calcula novamente o hash de
www.cybok.org
Os valores nos PCRs podem servir como evidência de que o sistema está em um estado confiável. Especif-
icamente, o primeiro código executado quando você inicializa o sistema é o código de inicialização rmware que é
às vezes referida como a raiz central de confiança para medições (CRTM) ou inicialização do BIOS
quadra. Este código irá 'medir' o rmware completo, gerando um hash de seu conteúdo que ele
envia ao TPM para estender o PCR-, antes de começar a executá-lo. Em seguida, o rmware que agora é
a execução medirá o próximo componente do processo de inicialização e armazenará novamente o valor
em um PCR do TPM (por exemplo, estendendo o PCR-), antes de executá-lo. Depois de alguns destes
estágios, o (s) registro (s) PCR contêm uma cadeia hash de todas as etapas que o sistema executou para inicializar.
A parte remota pode agora verificar se o sistema iniciado com segurança por pedir ao TPM para
uma 'citação': um relatório de um conjunto de valores de PCR atualmente em PCRs (junto com um nonce fornecido
pela parte remota), que é assinado com a chave de identidade de atestado privada do TPM que nunca
sai do TPM (e deriva de uma chave codificada que foi criada no momento da fabricação).
Como a chave pública é bem conhecida, qualquer pessoa pode verificar se a citação veio do TPM. Sobre
receber a cotação e depois de verificar se ela veio do TPM e se era recente, o
parte remota sabe que o processo de inicialização só poderia ter seguido as etapas que criaram
esses hashes nos PCRs. Se eles corresponderem aos hashes de código conhecido e confiável, o
parte remota sabe que o sistema foi inicializado com segurança.
A verificação de código e integridade de dados pode continuar em tempo de execução. Por exemplo, o hipervisor
https://translate.googleusercontent.com/translate_f 331/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pode fornecer funcionalidade para realizar a introspecção de suas máquinas virtuais: o código ainda é
da mesma forma, as estruturas de dados ainda fazem sentido? Esta técnica é conhecida como Virtual Ma-
Introspecção chine (VMI) A funcionalidade VMI pode residir no próprio hipervisor, embora
pode estar em um aplicativo separado. Além do código, coisas comuns para verificar na solução VMI
incluem a lista de processos (algum rootkit está tentando esconder?), a tabela de chamadas do sistema (há alguém
sequestrar chamadas de sistema específicas?), a tabela de vetores de interrupção, etc.
.. Detecção de anomalia
Um monitor, seja no hipervisor ou no sistema operacional, também pode ser usado para monitorar o
sistema para eventos incomuns - detecção de anomalias [ 6 ] Por exemplo, um sistema que trava
centenas de vezes consecutivas pode estar sob ataque de alguém que está tentando quebrar o
randomização do layout do espaço de endereço do sistema. Claro, não há nenhuma evidência concreta e apenas
porque ocorreu uma anomalia, não significa que haja um ataque. Sistemas de detecção de anomalias
deve encontrar um equilíbrio entre o aumento de muitos alarmes falsos, que são caros para processar,
e aumentar muito poucos, o que significa que perdeu um ataque real.
www.cybok.org
como principais preocupações. O mesmo é verdade para o controle de acesso, onde muitos bancos de dados oferecem
controle de acesso compulsório por padrão, e controle de acesso obrigatório e baseado em função para mais estrito
controle para dados mais sensíveis. Representando cada usuário como um domínio de segurança, as questões
precisamos responder à preocupação, por exemplo, os privilégios do usuário, as operações que deveriam ser
registrados para auditoria e os limites de recursos, como cota de disco, tempo de processamento da CPU , etc.
os privilégios do usuário consistem no direito de se conectar ao banco de dados, criar tabelas, inserir linhas
em tabelas ou recuperar informações de tabelas de outros usuários e assim por diante. Observe que às vezes
os usuários que não têm acesso a um banco de dados, exceto por meio de uma consulta SQL específica podem
crie entradas maliciosas para elevar seus privilégios nos chamados ataques de injeção de SQL [6 ]
Embora o controle de acesso no nível do banco de dados limite quem tem acesso a quais elementos de um banco de dados,
ele não impede acessos no nível do sistema operacional aos dados no disco. Por esta razão,
muitos bancos de dados suportam criptografia de dados transparente de colunas de tabela sensíveis em disco—
frequentemente armazenando as chaves de criptografia em um módulo fora do banco de dados. Em um caso extremo, o
os dados do banco de dados podem ser criptografados enquanto apenas os clientes possuem as chaves.
Consultar esses dados criptografados não é trivial [ ] Embora soluções criptográficas sofisticadas
(como criptografia homomórfica) existem, são soluções bastante caras e mais simples
são comumente usados. Por exemplo, às vezes é suficiente armazenar o hash de um crédito
número do cartão, digamos, em vez do número real e, em seguida, consulte o banco de dados em busca do hash.
Claro, nesse caso, apenas correspondências exatas são possíveis, pois não podemos consultar para ver se o
valor no banco de dados é maior, menor ou semelhante a algum outro valor (nem são
valores agregados, como médias ou somas possíveis). O problema da consulta criptografada
banco de dados é um campo ativo de pesquisa e está além do escopo desta área de conhecimento.
Embora a segurança e o controle de acesso em bancos de dados regulares já não sejam triviais, as coisas ficam mesmo
mais complexo no caso de Bancos de Dados Terceirizados (ODBs), onde as organizações terceirizam
sua gestão de dados para provedores de serviços externos [ ] Especificamente, o proprietário dos dados cria
atende e atualiza os dados em um provedor de banco de dados externo, que então lida com os
consultas. Além de nossas preocupações anteriores sobre confidencialidade e criptografia, questões
que surgem dizem respeito à quantidade de confiança a ser depositada no provedor. O proprietário dos dados ou o
cliente consultante confia no provedor para fornecer dados que foram criados pelo proprietário original dos dados
(autenticidade), não modi cado (integridade) e resultados recentes para as consultas? Conceitualmente, é pos-
sível garantir integridade e autenticidade por meio de assinaturas. Por exemplo, os dados
o proprietário pode assinar tabelas inteiras, linhas / registros em uma tabela, ou até mesmo atributos individuais em uma linha,
dependendo da granularidade e da sobrecarga desejadas. Soluções mais avançadas baseadas em auto-
estruturas de dados autenticadas também são comumente defendidas, como árvores hash Merkle. Dentro
Árvores de hash Merkle, originalmente usadas para distribuir chaves públicas autenticadas, nós de folha no
https://translate.googleusercontent.com/translate_f 332/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
árvore contém um hash de seu valor de dados (o registro do banco de dados), cada nó não folha contém um
hash dos hashes de seus filhos, e o hash do nó raiz é assinado e publicado. Tudo isso
é necessário para verificar se um valor em um nó folha é realmente parte da árvore hash assinada original é o
hashes dos nós intermediários, que o cliente pode verificar rapidamente com uma série de hashes
proporcional ao logaritmo do tamanho da árvore. Claro, consultas de intervalo e agregação
estão mais envolvidos e os pesquisadores propuseram esquemas muito mais complexos do que Merkle
árvores hash, mas estão além do escopo desta área de conhecimento. A mensagem para levar
é que com algum esforço podemos garantir autenticidade, integridade e frescor, mesmo em ODBs.
www.cybok.org
. ABRAÇANDO A SEGURANÇA
[ , c] [ , c -c]
Ataques cada vez mais avançados estão levando a defesas cada vez mais avançadas. Interessantemente,
muitas dessas inovações em segurança não vêm originalmente do sistema operacional
dors ou grandes equipes de kernel de código aberto, mas sim 'de fora' - às vezes acadêmico
pesquisadores, mas no caso da segurança do sistema operacional, também muitas vezes de grupos independentes
como GRSecurity e PaX Team . Por exemplo, a equipe PaX introduziu o ASLR logo
as, desempenhou um papel pioneiro em tornar as áreas de dados não executáveis e executáveis.
ções não graváveis, bem como para garantir que o kernel não possa acessar / executar a memória do usuário.
Surpreendentemente, onde você pode pensar que os principais sistemas operacionais adotariam esses
inovações com entusiasmo, o oposto é frequentemente verdadeiro e medidas de segurança são adotadas
inconsistente.
CONCLUSÃO
Nesta área de conhecimento, abordamos questões de segurança nos níveis mais baixos do software
pilha: o sistema operacional e o hipervisor. Sistema operacional / segurança do hipervisor em
envolve a segurança do sistema operacional / hipervisor e as garantias de segurança
oferecido pelo sistema operacional / hipervisor. Como os componentes mais privilegiados, operando
sistemas e hipervisores desempenham um papel crítico em tornar os sistemas (in) seguros. Infelizmente, o
a superfície de ataque de um sistema operacional moderno ou hipervisor é muitas vezes grande e as ameaças de
crescente sofisticação envolvendo software e hardware exige cada vez mais
defesas envolvendo também software e hardware. Começando pelos princípios de segurança e fundamentos
mentais, mostramos que a segurança do sistema é influenciada pelo design do sistema (por exemplo,
no isolamento de domínios de segurança), e as primitivas e mecanismos de segurança disponíveis
para fazer cumprir os princípios (por exemplo, isolamento de memória, capacidades, anéis de proteção). Muitos dos
princípios de design de sistema operacional são úteis em muitos domínios de aplicação e são
comumente aplicado em outras áreas, como sistemas de gerenciamento de banco de dados. Tal como acontece com a maioria,
principais, vimos que as decisões de design no nível do sistema operacional / hipervisor são uma troca
entre segurança e desempenho - um ato de equilíbrio que muitas vezes retarda a adoção de
medidas de segurança.
https://translate.googleusercontent.com/translate_f 333/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[ ]
] [
]
8
] ]
] [ [
[ [ ] ]
[ [8
]
T: 86.866 [
[
YL: 8,8
ertheproteção
www.cybok.org
https://translate.googleusercontent.com/translate_f 334/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 419
Capítulo
Sistemas distribuídos
Segurança
https://translate.googleusercontent.com/translate_f 335/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
Um sistema distribuído é normalmente uma composição de recursos dispersos geograficamente (computação e
comunicação) que coletivamente (a) fornece serviços que ligam produtores de dados dispersos
e consumidores, (b) fornece sob demanda, altamente confiável, altamente disponível e consistente re-
acesso à fonte, muitas vezes usando esquemas de replicação para lidar com falhas de recursos, e (c) permite
uma capacidade agregada coletiva (computacional ou serviços) dos recursos distribuídos
para fornecer (uma ilusão de) um recurso ou serviço logicamente centralizado / coordenado.
Expandindo o acima exposto, os recursos distribuídos são normalmente dispersos (por exemplo, em
um Azure ou Amazon Cloud, em sistemas ponto a ponto, como Gnutella ou BitTorrent, ou em um
Implementação de Blockchain, como Bitcoin ou Ethereum) para fornecer vários recursos para o
Comercial. Estes incluem acesso geo-próximo e de baixa latência a elementos de computação, alta
largura de banda e acesso a recursos de alto desempenho e, especialmente, uninter de alta disponibilidade
serviços interrompidos em caso de falha de recursos ou violações deliberadas. A técnica geral
necessidades em um sistema distribuído, consequentemente, se relacionam com a orquestração da rede distribuída
fontes de modo que o usuário possa acessar de forma transparente os serviços aprimorados decorrentes do
distribuição de recursos sem ter que lidar com os mecanismos técnicos que proporcionam o
formas variadas de recursos distribuídos e orquestrações de serviços.
Para oferecer suporte a essas funcionalidades, um sistema distribuído comumente envolve uma progressão de
quatro elementos. Estes incluem (a) fluxos de dados em toda a coleção de entradas autorizadas (regulamento
lated via Access / Admission Control), (b) transporte dos dados para / através do
recursos (funcionalidade de transporte de dados), (c) um esquema de coordenação de recursos (coordenação
Serviços), e (d) com base em propriedade (por exemplo, pedido baseado em tempo ou evento, consenso, virtualisa-
ção) gerenciamento de dados para apoiar os aplicativos desejados, como transações, bancos de dados,
armazenamento, controle e computação.
https://translate.googleusercontent.com/translate_f 336/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
plicações baseadas neles (por exemplo, serviços da web, armazenamento, bancos de dados e livros contábeis).
Esta área de conhecimento apresenta primeiro as diferentes classes de categorias de sistemas distribuídos -
dividindo-os em duas grandes categorias de sistemas distribuídos descentralizados (sem
coordenação) e o tipo de recursos / serviços coordenados de sistemas distribuídos. Subse-
frequentemente, cada uma dessas categorias de sistema distribuído é exposta para os mecanismos conceituais
anismos fornecendo suas funcionalidades características antes de discutir as questões de segurança
pertinentes a esses sistemas. Como as violações de segurança em um sistema distribuído normalmente surgem de
violações nos elementos relacionados à distribuição (dispersão, acesso, comunicação, coordenação
nação, etc.), o KA enfatiza os fundamentos conceituais de como os sistemas distribuídos
função. Quanto melhor se entende como a funcionalidade é distribuída, melhor se pode
entenda como os sistemas podem ser comprometidos e como mitigar as violações. O KA também
discute alguns aspectos da tecnologia conforme apropriado, juntamente com o fornecimento de referências para os seguintes
seguindo os tópicos em maior profundidade.
CONTENTE
https://translate.googleusercontent.com/translate_f 337/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Notas: Existem muitas nuances de segurança em sistemas distribuídos. Um ponto de vista focaliza
sobre os conceitos e mecanismos para fornecer segurança em um sistema distribuído onde o re-
fontes e serviços estão dispersos. O outro ponto de vista considera o uso da distribuição como um
meios de fornecer segurança, por exemplo, a dispersão de chaves versus um armazenamento de chaves centralizado ou o
uso de máquinas virtuais (VMs) para particionar e isolar recursos e aplicativos. Este KA
enfoca a primeira categoria de “segurança em um sistema distribuído”. No entanto, também dis-
critica os últimos pontos de vista, uma vez que os mecanismos de segurança dispersos normalmente executam
em recursos dispersos, resultando logicamente na necessidade das classes acima mencionadas de
Agrupamento descentralizado ou coordenado.
É importante ressaltar que uma arquitetura de sistema distribuído é muitas vezes uma agregação de
camadas múltiplas, onde cada camada se baseia nos serviços fornecidos pela camada abaixo e co-
serviços ordenados oferecidos em toda a distribuição. No nível mais baixo, os recursos dentro de um
dispositivo específico (memória, computação, armazenamento, comunicação) são acessados por meio do
Primitivos do sistema operacional fornecidos nesse dispositivo. Serviços distribuídos, por exemplo, nomenclatura, hora
sincronização, sistemas de arquivos distribuídos são montados através da interação de diferentes
componentes e serviços executados em dispositivos individuais. Camadas mais altas construídas sobre as camadas mais baixas
camadas e serviços para fornecer funcionalidades e aplicativos adicionais. Interações em
os diferentes componentes do sistema distribuído em cada nível são fornecidos pelo middleware
estruturas que suportam muitos estilos de comunicação diferentes: passagem de mensagens, remoto
Chamadas de procedimento (RPCs), plataformas de objetos distribuídos, arquiteturas publicar-assinar, entrar
ônibus de serviço de prêmio. Os aplicativos distribuídos são, portanto, realizados em camadas (ou camadas)
por meio das interações e coordenação de componentes e serviços distribuídos. Dentro de
essas arquiteturas, descentralização e coordenação em cada camada podem diferir, resultando em
composições híbridas de padrões de descentralização e coordenação. Nós referimos o leitor a
a Área de Conhecimento de Sistemas Operacionais e Virtualização (Capítulo ) para questões relativas
acesso a recursos básicos e os livros [ , , , , 6] para leitura adicional em
arquiteturas de sistemas distribuídos e middleware.
www.cybok.org
https://translate.googleusercontent.com/translate_f 338/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
cessar os direitos de leitura / gravação e uso de dados durante a vida útil de um serviço. As ameaças potenciais
e ataques consequentes incluem mascaramento ou spoo ng de identidade para obter direitos de acesso
aos dados. Eles também podem envolver negação de serviço (DoS) ataques que limitam prejudicialmente ac-
(por exemplo, esgotamento dos recursos de computação e canais de comunicação) levando ao
inacessibilidade e indisponibilidade dos recursos / serviços distribuídos. Vale a pena enfatizar-
que a distribuição de recursos muitas vezes envolve mais pontos para controle de acesso, e também mais
informações transportadas no sistema para apoiar o controle de acesso, aumentando assim o ataque
superfície do sistema (consulte o Conhecimento de Autenticação, Autorização e Responsabilidade (AAA)
Área de borda (Capítulo ) para uma discussão sobre autenticação e autorização em
sistemas).
Uma entidade de sistema distribuído (recurso, serviço, usuário ou elemento de dados) participa de uma distribuição
sistema tributado com uma identidade física ou lógica. A identidade, estaticamente ou dinamicamente alo-
cated, pode ser um identificador de recurso, como um nome de ID ou um número . Aqui, a autorização pode
ser especificado em termos de identidade do usuário e / ou recurso, incluindo o uso de nomes de login
e senhas. Assim, uma atividade que envolva adulteração da identidade constitui um provável
ameaça.
. . . Transporte de Dados
www.cybok.org
Este grupo engloba crítico o espectro de ameaças aos mecanismos (tipicamente médio
protocolos dleware ) que fornecem a coordenação de recursos. Isso inclui, entre outros,
os aspectos de sincronização, gerenciamento de replicação, mudanças de visão, ordem de tempo / evento,
linearização, consenso e confirmação transacional.
. . . Segurança de dados
Como um sistema distribuído opera essencialmente em dados (em repouso ou em movimento) sobre as facetas
de fonte de dados, distribuição de dados, armazenamento de dados ou uso de dados em serviços, o clássico CIA
As propriedades (confidencialidade, integridade e disponibilidade) se aplicam diretamente a cada elemento (e inter-
faces) desta cadeia de dados. As ameaças à confidencialidade incluem ameaças de vazamento de informações
como Side Channel Attacks ou Covert Channel Attacks. Qualquer atraso ou negação de acesso aos dados
constitui uma ameaça à disponibilidade. Os aspectos de integridade dizem respeito a qualquer comprometimento dos dados corretos-
ness como a violação da consistência dos dados conforme observado pelos participantes distribuídos.
Isso inclui os diferentes tipos de consistência (forte, fraca, relaxada, eventual, etc.)
armazenamento e serviços transacionais. Consequentemente, abordando a segurança do elemento de dados
https://translate.googleusercontent.com/translate_f 339/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
mentos
recursos,decontrole
um sistema distribuído
de acesso, requerdea dados
transporte consideração dasde
e serviços ameaças mencionadas
coordenação, acima
bem como em
dados
ameaças na forma de aplicativos maliciosos, código e vírus (consulte a seção Malware e Ataque
Área de Conhecimento de Tecnologia (Capítulo 6)).
Organização da seção Com base nesta visão geral, as seções subsequentes progressivamente
alinhe as abordagens de segurança para sistemas distribuídos, divididos nos acima mencionados
classes de sistemas descentralizados e baseados em coordenação. Para entender a segurança
questões relevantes para cada classe, as seções também fornecem uma visão geral básica do subjacente
conceitos de sistema distribuído junto com ponteiros para leitura adicional. Seção . presentes
os modelos comumente usados para sistemas PP descentralizados . Seção . então elabora
as ameaças de segurança correspondentes para os sistemas PP . Isso é seguido pela exposição
de modelos de sistemas distribuídos coordenados na Seção . , e por uma discussão sobre os
abordando aspectos de segurança na Seção ..
Ponto a Ponto (PP) sistemas constituem uma variante descentralizada de sistemas distribuídos. Seus
a popularidade é impulsionada pelos recursos PP característicos de escalabilidade, coordenação descentralizada
ção e baixo custo. Escalabilidade implica que nenhuma mudança no projeto do protocolo é necessária
com um número crescente de pares. Considerando que uma arquitetura cliente-servidor normalmente envolve
criar recursos de back-end (servidor) com um número crescente de solicitações (cliente), isso é
não é o caso em sistemas PP devido à sua arquitetura descentralizada inerente. Além disso,
os projetos do sistema PP descentralizado promovem resiliência inerente contra pares individuais
falhas ou outras interrupções. A própria população de pares representa o fornecimento de serviço
infra-estrutura do sistema. Desse modo, os consumidores de serviço em potencial são obrigados a participar
no provisionamento de recursos, evitando a necessidade de centros de dados dedicados. Nos últimos dois
Esses cinco princípios tornam o PP uma base vital para um conjunto diversificado de aplicações. Originalmente,
Os sistemas PP eram (in) famosos por seu suporte a aplicativos de compartilhamento de arquivos, como o eMule
ou KaZaA, embora seu uso agora seja comum em aplicativos como redes sociais,
distribuição de conteúdo timedia, jogos online, serviços de telefonia pela Internet, mensagens instantâneas,
a Internet das coisas, comunicação de carro para carro, controle de supervisão e aquisição de dados
(SCADA) sistemas e sistemas de monitoramento de área ampla. Conforme discutido nas seções posteriores, dis-
os livros contábeis tributados também utilizam alguns aspectos das operações de PP .
Além disso, também existem sistemas PP hierárquicos . Estes contradizem parcialmente o PP conceitual
princípio que considera todos os pares iguais no sentido de prestação de serviços. Estes hierar-
os sistemas técnicos podem ser considerados como sistemas em camadas, por exemplo, composição de múltiplas sobreposiçõess
consistindo em pares de front-end e back-end.
www.cybok.org
Os protocolos PP não estruturados geralmente procuram recursos (ou seja, pares e dados) por nome
ou rótulos e não usam um esquema de endereçamento estruturado. Este recurso oferece suporte escalonável
disseminação, mas escala insuficiente para descoberta de recursos ou caminhos de roteamento reproduzíveis. Pares
no entanto, mantenha um identificador para permitir a independência do endereço de rede subjacente.
Os recursos são descobertos usando algoritmos de pesquisa no gráfico de sobreposição. Exemplos de pesquisa
algoritmos incluem busca ampla, busca profunda, passeios aleatórios ou anel de expansão
pesquisas. Essas opções são frequentemente combinadas de acordo com os requisitos do aplicativo
ção
A comunicação entre os pares é feita por meio de mensagens. A passagem da mensagem pode ser direta, ou seja, usando
uma conexão de rede subjacente entre dois pares, mas isso geralmente requer que os pares
conheça explicitamente o endereço do par e a rota. Quando o ponto de destino da mensagem a ser
enviado é desconhecido, as mensagens são transportadas junto com uma operação de descoberta de recursos.
Todos os pares mantêm listas (tabelas de roteamento direto com endereços ou endereços em hash) com con
tato informações sobre outros pares. Portanto, as mensagens funcionam de forma eficiente e a rede faz
não sufocar com mensagens de pesquisa de endereço. A eficiência de tais listas depende do
vivacidade dos pares. Conseqüentemente, os pares listados são periodicamente monitorados para verificação de vitalidade e removidos
quando nenhuma resposta é recebida. A periodicidade é ajustada dinamicamente com base no churn relevante,
ou seja, a taxa de entradas e saídas de pares.
.. Protocolos PP Estruturados
Protocolos de PP estruturados como Chord, Pastry, Tapestry, Kademlia, CAN etc. [8 , 8,
8 , 8] são normalmente usados para aplicativos de descoberta de dados onde a estrutura do topol-
ogy auxilia em pesquisas eficientes. Seus gráficos de topologia geralmente mostram propriedades de mundo pequeno, ou seja,
existe um caminho entre quaisquer dois pares com um número relativamente pequeno de arestas. Estruturada
topologias muitas vezes aparecem como estruturas em anel com atalhos, que constituem uma base para
e operações eficientes, como descoberta de recursos e passagem de mensagens. Alguns protocolos
têm topologias mais exóticas, por exemplo, gráficos buttery, gráficos de graus xed ou um multi-torus. O
características salientes são a eficiência da descoberta de nós e a eficiência do roteamento que usa
informações sobre a estrutura e topologia do PP . Como este aspecto tem implicações de segurança, nós
detalhar brevemente essas operações.
Ao contrário dos esquemas de endereçamento aberto do P P não estruturado, nos protocolos PP estruturados , os ponteiros
a recursos como pares ou dados são armazenados em uma estrutura de dados distribuída que é chamada
uma tabela de hash distribuída (DHT) . O espaço de endereço da sobreposição é geralmente uma escala inteira no
intervalo de [0, ..., 2 w - 1] com w sendo 8 ou 6 em geral. Normalmente, uma função de distância d (a, b)
é de nido, o que permite cálculos de distância entre quaisquer dois identificadores a e b no ad-
espaço de vestir. Os cálculos de distância são cruciais para o mecanismo de pesquisa e armazenamento de dados
responsabilidades. A função de distância e suas propriedades diferem entre as implementações de protocolo
ções. A descoberta de dados é realizada computando a chave de um identificador de recurso fácil de entender
como um nome / chave distintivo e, subsequentemente, solicitar essa chave e seus dados de um
dos pares responsáveis.
Mensagens - por exemplo, para solicitar os dados de uma determinada chave - são trocadas na maioria das estruturas
protocolos gerenciados diretamente, ou seja, usando uma conexão de rede subjacente entre dois pares. Se
os pares não se conhecem, então nenhuma conexão direta pode ser configurada e o destino
https://translate.googleusercontent.com/translate_f 341/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a localização do par precisa ser determinada para conduzir o roteamento. Para este fim, uma pesquisa de sobreposição
mecanismo visa diminuir constantemente a distância do espaço de endereço em direção ao destino
em cada iteração do algoritmo de pesquisa até que o identificador possa ser resolvido. Este design
www.cybok.org
Essa abordagem acaba sendo muito eficiente e promove escalabilidade. Assim que a pesquisa for bem sucedida
obtido com sucesso o endereço de rede subjacente do destino, as mensagens podem ser trocadas.
Variantes de pesquisa incluem algoritmos iterativos ou recursivos, bem como consultas paralelizadas a um
conjunto de pares vizinhos mais próximos.
As tabelas de roteamento geralmente armazenam entradas k · w, sendo k uma constante específica do protocolo. Além disso,
º
para o eu porção de k entradas com i ∈ [0 ... w], o par armazena informações de contato dos pares
que compartilham i bits pre xos comuns da chave do par. Em outras palavras, as tabelas de roteamento geralmente pro
vide mais armazenamento para pares mais próximos do que para os mais distantes. Além disso, as tabelas de roteamento mantêm
apenas informações sobre pares ativos e acessíveis, portanto, os pares recebem ping periodicamente. Dentro
protocolos estruturados, a manutenção é mais cara porque a estrutura topológica precisa
ser retidos, por exemplo, pares recém-unidos devem ser colocados nas tabelas de roteamento de pares apropriados
ou pares que deixam / não respondem devem ser substituídos por pares ativos nas tabelas de roteamento de muitos pares.
.. Protocolos PP Híbridos
Variantes híbridas de protocolos PP integram elementos não estruturados e estruturados
esquemas, pois sua principal intenção é a descoberta e disseminação de dados. Proeminente hi-
Os exemplos de protocolo brid incluem serviços de compartilhamento de arquivos, como Napster e BitTorrent [ 8 ]
BitTorrent era originalmente um protocolo não estruturado clássico, mas agora foi estendido com
recursos PP estruturados para fornecer um mecanismo de descoberta de dados totalmente descentralizado. Conse-
frequentemente, o BitTorrent poderia abandonar o conceito dos chamados "servidores rastreadores" (que facilitava
descoberta de pares) e melhorar sua disponibilidade. Por outro lado, os requisitos arquitetônicos de
dez precisam ser considerados para utilizar totalmente a capacidade dos protocolos de PP híbrido . Um exemplo
seria estabelecer como a descoberta de dados é transmitida entre os servidores e como
é reportado ao usuário [ 86] Considerações semelhantes se aplicam a outras sobreposições de streaming
abordagens.
.. Protocolos PP hierárquicos
Normalmente, todos os pares em um sistema PP são considerados iguais em termos de cliente-servidor
serviços que podem fornecer. No entanto, para alguns cenários de aplicação, verifica-se que uma hierarquia
O design PP cal pode ser vantajoso. Isso pode incluir um design em camadas estruturado e
sobreposições não estruturadas. Em projetos hierárquicos, os pares são ainda mais categorizados com base em seus
largura de banda, latência, armazenamento ou provisionamento de ciclos de computação com alguns (super) pares
desempenhando um papel de coordenação. Normalmente, a categoria com menos pares representou a parte de back-end
do sistema hierárquico, enquanto a multidão de pares agem como pares front-end que pro
cessar as solicitações de serviço no primeiro nível e apenas encaminhar as solicitações para o back-end quando eles
não pode atender à solicitação de serviço em primeiro lugar. Isso melhora o desempenho de pesquisa e
também gera menos mensagens na rede. Além disso, o conteúdo popular pode ser armazenado em cache
localmente para reduzir atrasos de download [ 8 ] Este projeto provou ser bem-sucedido, por exemplo, em
o sistema de compartilhamento de arquivos eDonkey ou em modelos Super PP , como KaZaA, onde um
peer atua como um servidor para um subconjunto de clientes.
www.cybok.org
[ , c 6] [ 88, c]
. Operações PP (P-OP), como descoberta, consulta, roteamento, download, etc. que são acessados
sível através da interface de serviço do protocolo PP . Esta funcionalidade está relacionada ao
nível de rede.
. Estruturas de dados PP (P-DS), por exemplo, dados armazenados na tabela de roteamento de um par ou recursos que
são compartilhados com outros pares da rede de sobreposição. Este elemento funcional pode ser
acessível no nível da rede ou localmente na máquina host do par.
Iremos nos referir a esses dois elementos como P-OP e P-DS, nas subseções a seguir, onde
discutimos os ataques PP específicos . Usamos as noções de segurança estabelecidas de [8 ] para
Confidencialidade, integridade e disponibilidade. Sempre que uma definição se refere à autenticação, nós
suponha que os pares sejam implicitamente autenticados ao ingressar na rede de sobreposição. Protocolos PP
pode usar sistemas de controle de admissão ou pode ser aberto a pares arbitrários.
Observe que nos concentramos em ataques contra sistemas PP (por exemplo, negação de serviço ou roteamento de dis-
rupturas) e não consideram os ataques que são preparados ou conduzidos usando sistemas PP em
a fim de prejudicar nãoSistemas PP (por exemplo, usando umsistema PP para coordenar a negação distribuída de
ataques de serviço).
.. Tipos de Ataque
Agora apresentamos os diferentes ataques que são específicos a sistemas PP . Em termos gerais, os ataques
correspondem a atacar os elementos funcionais, P-OP e P-DS, seja por (a) interromper seu
conectividade ou acesso a outros nós para disseminação / descoberta / roteamento ou (b) corrupção
suas estruturas de dados. Além dos conhecidos (distribuídos) ataques de negação de serviço que
se aplicam ao PP , bem como a outros sistemas, a maioria dos ataques explora recursos fundamentais do PP
como a coordenação descentralizada baseada na troca de mensagens e, especialmente, que cada par
tem apenas uma visão parcial (local) de todo o sistema. Consequentemente, os invasores visam enganar outros
pares, fornecendo dados incorretos ou conspirando para criar partições que ocultam visualizações do sistema
de bons nós. Isso inclui cenários de exemplo, como (a) para enganar pares em termos de
roteamento, (b) para aproveitar o acesso aos recursos, (c) para superar as limitações na votação
sistemas ou jogos, ou (d) para ocultar informações na sobreposição, entre outros. Nós encaminhamos o leitor
aos artigos de pesquisa [ , ] para uma exposição mais completa de segurança PP . Nós agora enumeramos
alguns ataques de segurança representativos e relacioná-los ao seu impacto correspondente no Con-
dentialidade, integridade e disponibilidade (CIA) Alguns exemplos de ataques são discutidos posteriormente
na seção . . junto com as abordagens de mitigação correspondentes.
- Ataques de negação de serviço (DoS) [ 8], Negação de serviço distribuída (DDoS), ou interrupção em-
tachas [ ] se manifesta como exaustão de recursos, limitando o acesso a um nó ou uma comunicação
rota de instalação. Em arquiteturas PP , o invasor visa diminuir o serviço da rede de sobreposição
disponibilidade pelo envio excessivo de mensagens para um conjunto específico de pares e, portanto, nega-
afetando ativamente a funcionalidade do P-OP . Isso pode afetar o mecanismo de entrada / saída de pares ou
www.cybok.org
outros aspectos arbitrários do serviço PP , por exemplo, danificar as operações de colocar / obter de roteamento em um DHT.
Por exemplo, pares benignos podem ser prejudicados por uma carga de trabalho de manutenção excessiva. Mais-
mais, ataques DoS e DDoS podem ter um impacto negativo no uso de largura de banda e recursos
aprovisionamento que pode resultar em serviços degradados. Por exemplo, o GitHub foi atingido por um
den ataque de tráfego que atingiu. terabits por segundo . O tráfego foi rastreado até
“Mais de mil sistemas autônomos diferentes (ASNs) em dezenas de milhares de
endpoints ”participando do ataque.
- Ataques de conluio [ ] visam comprometer a disponibilidade, integridade, ou confidencialidade de
Redes PP . Conluio refere-se ao fato de que um subconjunto suficientemente grande de colegas conspira
para realizar uma estratégia que visa os serviços PP e, portanto, afeta negativamente o P-
Funcionalidade OP . O ataque típico visa anular os mecanismos de controle, como aqueles para
reputação ou gerenciamento de confiança, ou provisionamento de largura de banda. Os ataques Sybil e Eclipse,
discutidos mais tarde, são baseados em invasores conspirando para criar partições de rede para ocultar sistemas
tem informações de estado de bons nós.
- Ataques de poluição [
https://translate.googleusercontent.com/translate_f 343/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
, ] ou P-DS
integridade do sistema e sua funcionalidade envenenamento de índice
, adicionando [ 6] visam
informações comprometer
incorretas. o sistema
Consequências dePP
Os ataques de poluição são a proliferação de conteúdo poluído, resultando em deficiências no serviço.
Um exemplo é o ataque de adware de febre tifóide em que o invasor altera parcialmente o conteúdo, por exemplo,
adicionar anúncio em um único par que subsequentemente espalha este conteúdo poluído para
outros pares.
- Lavagem branca [ ] ou ataques de censura visam comprometer a disponibilidade ou integridade
de sistemas PP . Isso inclui alteração ilícita, exclusão ou negação de acesso aos dados.
Portanto, esses ataques colocam em risco a funcionalidade do P-DS . Ataques de lavagem branca são especialmente
especialmente perigoso para sistemas PP que usam sistemas baseados em reputação, uma vez que permitem um par
com má reputação para deixar o sistema e, posteriormente, reingressar como um usuário benigno.
- Ataques de roteamento [ , ] têm como objetivo comprometer a disponibilidade ou integridade das redes PP .
Ataques de roteamento desempenham um papel importante em ataques compostos, como o ataque Eclipse que
obstrui a visão de um bom nodo do resto do sistema. Em ataques de roteamento, um par malicioso
enfraquece o mecanismo de passagem de mensagens, por exemplo, descartando ou atrasando mensagens. A-
outra variante do ataque de roteamento é o envenenamento da tabela de roteamento (RTP
] Neste
) [ ataque, um atacante
deliberadamente modifica suas próprias tabelas de roteamento ou de outros pares, por exemplo, retornando informações falsas
a solicitações benignas de pesquisa de pares. Atração e repulsão [ ] são variantes específicas de
ataques de roteamento que aumentam (atração) ou diminuem (repulsão) a atratividade
de pares, por exemplo, durante a seleção de caminho ou tarefas de manutenção da tabela de roteamento. Esses ataques nega-
afetam de forma ativa a funcionalidade do P-DS . O compromisso da tabela de encaminhamento na Pastelaria, muito utilizada
em redes sociais online, é um ataque de roteamento típico.
- Ataques de trapaça no mapa de buffer [ 8] têm como objetivo diminuir a disponibilidade de redes PP , partic-
principalmente aqueles usados para aplicativos de streaming de mídia. Através deste ataque, os adversários reduzem
a carga de tráfego de saída de seus pares, mentindo sobre o provisionamento de dados. Isto é também
uma violação da integridade e afeta a funcionalidade do P-OP . Este ataque é especialmente relevante
vantajoso em aplicações PP de streaming media que contam com a colaboração de pares. Omissão,
Relatórios Falsos, Blocos Falsos, Seleção incorreta de Vizinhos são implicações relacionadas de tais
ataques.
- Ataques Sybil [ ] visam comprometer a disponibilidade ou confidencialidade (via spoo ng) de
Redes PP e podem ser consideradas como uma versão específica de ataques de inserção de nó / par . Eles
https://www.wired.com/story/github-ddos-memcached
www.cybok.org
considere a inserção na sobreposição de pares que são controlados por um ou vários anúncios
sários. Isso pode acontecer em locais específicos ou arbitrários da topologia da sobreposição, dependendo
mirando na mira do atacante. Além disso, os aplicativos PP podem considerar os usuários do sistema como legais
entidades e, consequentemente, restringir a quantidade de pares por usuário à quantidade permitida
votos para essa entidade. Portanto, um desequilíbrio resulta em termos da quantidade esperada de pares
por usuário. Ataques de Sybil podem ser um precursor de muitos dos ataques descritos anteriormente. Sybil
ataques afetam a funcionalidade P-OP do sistema. Ataques proeminentes de Sybil incluem o
promessa do ataque BitTorrent DHT e Sybil na rede de anonimato Tor.
- Ataques de Eclipse [ ] têm como objetivo diminuir a disponibilidade, integridade e confidencialidade da rede PP
trabalho. Essencialmente, um bom par está rodeado por um grupo conivente de pares maliciosos que
bloqueia parcial ou totalmente a visão dos colegas do resto do sistema. A conseqüência é que
os nós maliciosos podem mascarar ou falsificar as interações externas do nó. Este é um com-
Posite ataque que pode envolver envenenamento da tabela de roteamento, DoS/ DDoS, Ataques de Sybil, conluio,
lavagem branca ou censura. Consequentemente, esses ataques têm um impacto tanto no P-OP
e funcionalidade P-DS . Variantes de ataques Eclipse incluem Ataques Eclipse Localizados (LEA),
Ataques localizados do Eclipse com reconhecimento de topologia (taLEA) e Ataques Eclipse de saída (OEA) no-
tachas, entre outros. Um exemplo de um ataque Eclipse em Bitcoin é discutido na Seção.
https://translate.googleusercontent.com/translate_f 344/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Resumo
www.cybok.org
] O ataque Sybil mais sofisticado [ , , ] pode ser usado como um potencial pré-
cursor para um ataque Eclipse [ , ]
- Se armazenamento seguro, roteamento seguro ou mecanismos de autenticação não puderem ser fornecidos,
um conjunto de ataques, incluindo omissão, falsificação de conteúdo, poluição de conteúdo, censura ou roteamento
envenenamento de mesa pode ser a consequência [ , ]
- O churn está relacionado aos efeitos da entrada e saída de pares em uma sobreposição. Ataques de rotatividade consideram
Churn artificialmente induzido com taxas potencialmente altas de entrada / saída de pares para causar con
soma devido ao esforço necessário para manter a estrutura de sobreposição. Isso pode levar a
ou negação de serviço completa [ ]
- Existem várias estratégias de ataque de trapaça (para observar ou corromper as informações do jogador e
atividades) em Massive Multiplayer Online Games (MMOG) construída sobre arquiteturas PP [ ]
Em tais ataques, a mitigação depende do uso de uma autoridade centralizada que lida com o registro de pares
mentos ou admissão. Ampliando esse conceito, adicionando certificados (emitidos por um certificado comum -
autoridade local) para IDs de rede dos pares enquanto se conecta à rede é outra possibilidade. Outro mit-
técnicas de igação para evitar que entidades maliciosas selecionem seus próprios IDs de rede podem
implicar uma entidade de assinatura usando criptografia de chave pública.
Cenários de trapaça no mapa de buffer: outras interrupções podem ser usadas para atacar a rede KAD PP
https://translate.googleusercontent.com/translate_f 345/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
trabalhos [ 8 ], que é uma rede baseada em Kademlia, por meio de tabelas de índice de pares abundantes perto
para a vítima com informações falsas como uma variante taLEA simplista . Um rastreador de rede KAD é
introduzido para monitorar o status da rede e detectar pares maliciosos durante um LEA. Contudo,
uma alta sobrecarga é incorrida se cada par usar esse mecanismo para detectar entidades maliciosas.
Isso se torna impraticável à medida que o tamanho da sobreposição aumenta.
Pesquisas divergentes foram propostas como uma técnica de mitigação de taLEA alternativa , onde o
pesquisas de caminho desarticulado evitam pesquisar a proximidade do ponto de destino para evitar o desperdício
consulta de pares maliciosos de acordo com as premissas da taLEA .
Cenários de roteamento: mecanismos de mitigação para lidar com ataques de roteamento, considere a atribuição de
caminhos múltiplos para cada pesquisa usando caminhos separados, embora ao custo de alta sobrecarga de mensagem.
As alternativas incluem o uso de esquemas criptográficos para proteger os caminhos. No entanto, PP é
um ambiente de coordenação descentralizado onde a implementação de um serviço centralizado para fornecer
porta a coordenação de assinaturas criptográficas de todo o sistema é difícil de realizar.
Em primeiro lugar, há o caso em que um serviço é replicado em uma plataforma de recursos distribuídos (ou
infraestrutura) para permitir o acesso geo-disperso aos usuários, mantendo o tipo necessário
de especificações de consistência no serviço. A nuvem e muitos clientes-servidor distribuídos
sistemas caem nesta categoria.
No geral, estes constituem as duas classes amplas de sistemas distribuídos na rede coordenada
modo de pooling de origem, ou seja, as classes de recurso-coordenação e serviço de coordenação ,
com base em seu esquema de coordenação característico, embora sua funcionalidade e de ni-
freqüentemente se sobrepõem.
Nas subseções subsequentes, a fim de contextualizar a segurança dos sistemas distribuídos, nós
primeiro detalhe os conceitos básicos distribuídos junto com o esquema de coordenação baseado neles.
Isso é seguido pelo delineamento dos sistemas característicos em cada um dos recursos e serviços co-
www.cybok.org
https://translate.googleusercontent.com/translate_f 346/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
modelos de ordenação. Isso forma a base por trás do conjunto geral de interrupções / vulnerabilidades
relevantes para ambas as classes de sistemas distribuídos coordenados. Em seguida, descrevemos as ameaças e
implicações de segurança específicas para cada classe de sistemas. Referimos o leitor ao excelente
textos de [ , , ] para um tratado abrangente e rigoroso dessas questões.
Esta abordagem em camadas e composicional pode frequentemente ser encontrada na literatura, como
[ , , , , , 6, ] e muitos outros. À medida que as arquiteturas e realisa-
ção fundamenta fundamentalmente a premissa KA de fornecer segurança em sistemas distribuídos, o
o leitor é encorajado a consultar esta literatura. A seção a seguir retorna o foco
em conceitos de sistema distribuído e, especialmente, os conceitos fundamentais da coordenação
classe de instalação de sistemas distribuídos.
Os sistemas distribuídos são freqüentemente estruturados em termos de serviços a serem entregues aos clientes. Cada
serviço compreende e executa em um ou mais servidores e exporta operações que o
clientes invocam fazendo solicitações. Embora usar um único servidor centralizado pareça tentador
, o serviço resultante residente em um servidor só pode ser tão tolerante a falhas quanto o host do servidor
ing. Normalmente, a fim de acomodar falhas de servidor, os servidores são replicados,
fisicamente ou logicamente, para garantir algum grau de independência entre as falhas do servidor com
tal isolamento. Posteriormente, os protocolos de gerenciamento de réplicas são usados para coordenar o cliente
www.cybok.org
interações entre essas réplicas de servidor. Naturalmente, o tratamento de falhas do cliente ou cliente
comprometimentos (incluindo sua função no lançamento de ataques por meio de código malicioso ou vírus) também
precisa ser considerado.
Nós agora delineamos um conjunto básico de conceitos de sistema distribuído que também constituem a base
das considerações de segurança nele contidas. Os conceitos são apresentados em um nível informal para
comunicar as intuições, e o leitor é encaminhado a [ , , , ] para um comp
tratado abrangente sobre os tópicos.
https://translate.googleusercontent.com/translate_f 347/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[ , , , ] para mais detalhes. Em um alto nível, os tipos de sincronização incluem
Os seguintes:
. Síncrono: Todos os componentes de um sistema distribuído são coordenados no tempo (como bloqueio
passo ou rodadas) a serem sincronizados uns com os outros. A causalidade é obtida explicitamente. Ex-
amplos incluem sistemas críticos de segurança típicos, como o controle y-by-wire da aeronave, onde
previsibilidade e capacidade de resposta garantida em tempo real é desejada.
. Parcialmente síncrono: algumas restrições se aplicam à ordem de ações, mas nenhuma etapa de bloqueio
a sincronização está presente. Exemplos típicos são sistemas de controle SCADA ou de alto valor
sistemas de estoque transacionais onde a pontualidade tem implicações no serviço correto-
ness.
www.cybok.org
.. Propriedades de Coordenação
A utilidade de um sistema distribuído vem de uma orquestração coordenada de
recursos para produzir uma capacidade coletivamente significativa. Antes de discutir a variedade de
esquema de coordenação comumente usados na seção . ., primeiro apresentamos as definições básicas de
Consenso , membros do grupo e consistência .
Consenso
Informalmente, o consenso diz respeito a chegar a um acordo sobre valores. Por exemplo, os valores
podem ser dados ou IDs de processo. O consenso requer que as seguintes propriedades sejam mantidas:
A associação é uma propriedade de "serviço" chave em sistemas distribuídos que determina o conjunto de
recursos constituintes e também a natureza do acordo alcançado no conjunto de par-
participantes (estáticos, dinâmicos, membros do quorum) e os dados. Do ponto de vista da segurança,
isso geralmente está relacionado à propriedade de integridade do serviço. A consistência tem nuances variadas e
os tipos proeminentes estão listados abaixo com detalhes mais completos apresentados em [ , , , ,
, ] Observe que a suposição subjacente é sempre que os processos constituintes
podem ser modelados como máquinas de estado determinísticas. Ou seja, realizando uma sequência específica
https://translate.googleusercontent.com/translate_f 348/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
de ações sempre leva ao mesmo estado.
• Modelos de consistência forte: Nestes modelos, os participantes devem concordar em uma consistência
ordem geral de ações a serem tomadas. Assim, os processos têm a garantia de alcançar um consistente
estado sob o pressuposto do determinismo.
Modelos de consistência forte são amplamente usados em contextos de alto risco, onde qualquer inconsistência
as alterações nos dados podem levar a consequências terríveis. Nessas situações, a consistência é
mais valorizado do que a disponibilidade e a aplicação de fortes restrições de consistência resulta em
mais atrasos nos sistemas devido à sincronização frequente. Relacional tradicional
sistemas de banco de dados como MySQL [ ] ou SQL Server da Microsoft [ ] mas também mod-
Bancos de dados NoSQL antigos, como MongoDB [ ] ou o serviço de bloqueio Chubby do Google [ ]
são exemplos populares que implementam esses modelos de consistência forte.
isso pode levar a estados inconsistentes que podem ser tratados por meio da resolução de conflitos
mecanismos [ ]
Sistemas com modelos de consistência mais fracos tornaram-se populares com o advento do Inter
rede onde os servidores da web em larga escala tiveram que acomodar um grande número de usuários. Para
conseguir isso, tais sistemas sacrificam fortes garantias de consistência para alcançar maiores
disponibilidade para sua base de usuários. Sistemas como o Dynamo da Amazon [ 6], Cas- do Facebook
sandra [ ] são exemplos amplamente conhecidos de sistemas com garantia de consistência fraca
tees.
A replicação da máquina de estado ou abordagem da máquina de estado [ 8] é um método geral para im-
implementar um serviço tolerante a falhas, replicando servidores e coordenando as interações do cliente
com réplicas de servidor. A abordagem também fornece uma estrutura para compreensão e design
ing replicação protocolos de gestão. A abstração essencial do sistema é a de um estado
máquina de modo que as saídas da máquina de estado sejam totalmente determinadas pela sequência de
solicita que ele processe independentemente do tempo ou de outra atividade no sistema. A replicação pode ser
ativo, semi-ativo, passivo ou preguiçoso [ ]
Deve-se notar que, idealmente, gostaria de obter coletivamente alta disponibilidade e consistência
e também coordenação total para eliminar qualquer particionamento do conjunto de recursos distribuídos.
https://translate.googleusercontent.com/translate_f 349/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
No entanto, a afirmação do CAP entra em jogo como:
www.cybok.org
BONÉ
Qualquer sistema de dados compartilhados de rede (por exemplo, Web) pode fornecer apenas o que for possível
laços [ ] como:
. Consistência (C): equivalente a ter uma única cópia atualizada dos dados, ou seja, cada
servidor retorna a resposta certa para cada solicitação.
. Disponibilidade (A): dos dados onde cada solicitação eventualmente recebe uma resposta.
. Partição (P): Tolerância de partição de rede de modo que os servidores não possam ser particionados em
grupos não comunicantes.
Replicação e coordenação
A fim de fornecer um comportamento coerente e consistente (em valor e ordem), distribuído re-
fontes usam vários tipos de gerenciamento de réplicas, ou seja, o esquema de coordenação. Isto é um
mecanismo de coordenação chave que caracteriza a funcionalidade de qualquer sistema distribuído.
Os fatores que determinam o mecanismo específico dependem do tipo de sincronização do sistema
modelo de ção, o tipo de comunicação do grupo e, especialmente, a natureza das perturbações
(falhas ou ataques) sendo considerados. Os mecanismos podem ser simples votação ou líder eleito
processos de aplicação (por exemplo, Algoritmos de Anel, Bully) ou abordagens de consenso mais complexas para lidar
com travamentos ou comportamento bizantino . Os protocolos de confirmação para transações de banco de dados são
relevantes aqui, como são os esquemas para gerenciamento de credenciais e infraestruturas de PKI que fornecem
controle de acesso verificado. Descrevemos brevemente um conjunto de esquemas amplamente usados, e o leitor
se refere a [ , , ] para uma cobertura completa. Autorização e autenticação em
sistemas distribuídos também são discutidos na Autenticação, Autorização e Responsabilidade
(AAA) Área de Conhecimento (Capítulo ) .
Paxos
O protocolo é conhecido por não fornecer vivacidade apenas em circunstâncias muito específicas como de-
escrito em [ ] Nesse caso, os processos continuam a propor valores indefinidamente e permanecem
bloqueado na fase inicial, porque nenhuma maioria pode ser formada e nenhum progresso é feito. Como-
nunca, esta situação raramente ocorre na prática e Paxos continua a ser um dos co-
protocolos de ordenação.
Uma vez que apenas a maioria é necessária na segunda fase para chegar a um consenso, o protocolo é
além disso, é tolerante a travamentos, mesmo em caso de recuperação. Isso é notável, pois, contanto que
como a maioria dos processos não falhou, pode-se chegar a um consenso. O papel [ ]
O comportamento bizantino acontece quando uma entidade / invasor envia informações diferentes (embora válidas) para diferentes
destinatários.
https://translate.googleusercontent.com/translate_f 350/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
é uma excelente leitura das experiências de implementação do Paxos no Google para o Chubby le
sistema.
Em BFT, os processos trocam os valores que receberam uns dos outros em rodadas. O
número de rodadas necessárias para chegar a um consenso é determinado pelo número de compro-
participantes desatualizados que existem no sistema [ ] Observe que, uma vez que o protocolo opera em
rodadas, é classificado como um protocolo de coordenação síncrona. Foi mostrado em [ ]
como a impossibilidade do FLP resulta que seja impossível chegar a um consenso no caso de asyn-
comunicação crónica. Devido à necessidade de comunicação síncrona e o
sobrecarga bastante maior de troca de mensagens necessária para lidar com falhas bizantinas , BFT
os protocolos são aplicados principalmente em aplicações críticas específicas. No entanto, existem vários
contínuas tentativas de otimizações práticas de BFT , fortalecendo algumas suposições básicas sobre
sincronização, determinismo e número de compromissos [ , 6, ] O Google
Sistema de arquivos (Chubby) e Amazon Web Services (AWS) implementar Paxos e também parcial
Funcionalidade BFT . Também é importante enfatizar que o BFT é caro não apenas para o
complexidade da mensagem em relação ao número de rodadas necessárias. Também é caro para o número
de nós necessários (> 3f) para lidar com f falhas maliciosas, ou seja, f sendo o número de nós
controlado por um adversário. A generalização de estruturas adversárias para sistemas de quorum
é discutido em [ ]
Do ponto de vista da segurança, por sua capacidade de tolerar comportamentos maliciosos arbitrários, o BFT pro
tocóis constituem um alicerce atraente para a construção de sistemas tolerantes à intrusão
tems. Vale a pena fazer a observação de que esses protocolos consideram o número de
entidades prometidas. Quando confrontado com um atacante malicioso, réplicas idênticas não são suficientes
porque eles exibem as mesmas vulnerabilidades. Um adversário malicioso que pode comprometer
uma réplica pode facilmente comprometer as outras se forem idênticas. Replicação e diversidade
(ou metodologias de proteção distintas) são necessárias. Nós remetemos o leitor às discussões
dentro [ , , , , , 8, ]
www.cybok.org
Protocolos de Compromisso
Uma série de aplicativos, por exemplo, bancos de dados, requerem ordenação entre dados replicados ou oper-
ações em que todos os participantes concordam em conduzir o mesmo resultado correto (ou seja,
mit) ou não fazer nada - a propriedade atomicidade. Portanto, como forma especializada de consenso, um
algoritmo dirigido por coordenador distribuído é necessário para coordenar todos os processos que
participar de uma transação atômica distribuída para confirmar ou abortar (reverter) o
transação.
https://translate.googleusercontent.com/translate_f 351/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ao receber todas as respostas, o líder observa todos os clientes sobre a decisão atômica de se comprometer
ou abortar [ , , ] O protocolo atinge seu objetivo mesmo em muitos casos de falha (em
envolvendo falhas de processo, nó de rede ou falha de comunicação, entre outros), e é, portanto,
amplamente utilizado. Uma abordagem baseada nos estados do protocolo de registro é usada para dar suporte à recuperação. O
protocolo de PC clássico fornece suporte limitado para a falha do coordenador que pode levar a
inconsistências.
Para resolver este problema, foi desenvolvido o protocolo three-phase commit (PC). O PC
protocolo é essencialmente uma extensão do protocolo BFT e adiciona uma terceira comunicação
fase para auxiliar o líder na decisão de abortar. Isso envolve uma mensagem mais elevada
e sobrecarga de registro para apoiar a recuperação. Embora o PC seja um protocolo mais robusto em comparação
para BFT, não é amplamente utilizado devido à sobrecarga de mensagens e sua sensibilidade à rede
particionamento (ou seja, o P em CAP) Na prática, os sistemas usam BFT por sua simplicidade ou o
Protocolo Paxos pela sua robustez.
Uma série de terminologias variadas existem para cobrir a gama de processos operacionais e deliberados
turbações de travamentos, omissões, tempo, interrupções de valor, spoo ng, vírus, alçapões,
e muitos outros. Referimos o leitor a [8 ] para uma discussão abrangente sobre o assunto.
www.cybok.org
Como os sistemas distribuídos dependem principalmente da passagem de mensagens para transporte de dados
e coordenação, agrupamos as perturbações ao nível da entrega da mensagem6. O termo
"Perturbação ou interrupção" é usada deliberadamente, pois a operação anômala pode resultar de
problemas operacionais (confiabilidade) ou de uma intenção maliciosa (segurança). A manifestação de
essas perturbações nas operações do sistema resultam em desvios do comportamento especificado
ior do sistema. Complementando as vulnerabilidades mencionadas na Seção . . de acesso
controle, distribuição de dados, interfaces, as perturbações do nível de comunicação podem ser amplamente
agrupado como:
. Com base no tempo : abrange a omissão de mensagens, antecipada, atrasada ou fora de ordem
Mensagens. Falhas e negação de serviço também se enquadram neste grupo, pois normalmente mani-
fest como interrupções da entrega temporal adequada de mensagens, obstruindo o acesso
aos canais ou recursos de comunicação.
https://translate.googleusercontent.com/translate_f 352/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
funcionalidade. Em relação aos grupos de vulnerabilidades, um ataque bizantino pode abusar de ac-
controle de acesso, entrega de mensagens e serviços de coordenação, ou os próprios dados (vírus,
código móvel comprometido, worms) para comprometer o sistema.
Deve-se notar que uma perturbação também inclui a propriedade de persistência, ou seja, o du-
A razão de uma perturbação pode ser de natureza transitória, episódica, intermitente ou permanente. Pelagem-
além disso, os ataques muitas vezes envolvem várias ocorrências simultâneas que envolvem uma combinação
de tempo, valor, persistência e locais dispersos, potencialmente devido ao conluio entre
várias entidades de ataque.
Ataques e implicações
Sobre este pano de fundo geral, agora detalhamos as duas classes proeminentes de sistemas distribuídos
com base no esquema de coordenação ( coordenação de recursos e serviços). Isso também vai
formar o agrupamento do sistema para considerar as manifestações de segurança dos ataques.
www.cybok.org
mecanismos de instalação e os dados. Da mesma forma, os ataques visam subverter as suposições por trás do
funcionalidade de recursos, os serviços e o esquema de coordenação subjacente.
O modelo de nuvem
https://translate.googleusercontent.com/translate_f 353/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
acesso de baixa latência ou alta disponibilidade entre muitas outras propriedades. É o re- específico
esquema de coordenação de origem ditado pelas especificações dos serviços desejados com base em
em que a “plataforma” da nuvem fornece acesso estruturado aos recursos da nuvem. O escolhido
esquema de coordenação suporta correspondentemente o tipo de recursos desejados, por exemplo
ple, acesso a recursos de computação especializados e / ou contêineres de recursos, como físicos
ou máquinas virtuais, cada uma oferecendo garantias de isolamento diferentes entre os contêineres. O
serviços especificados pelo usuário são executados nos recursos da nuvem, que são gerenciados pela nuvem
provedor de serviço. O esquema de coordenação, como um gerenciador de recursos centralizado ou distribuído,
lida com o mapeamento e agendamento de tarefas para recursos, invocando VMs, monitor de saúde-
de recursos, tratamento de falhas de recursos com falha, de modo que o usuário obtenha de forma transparente
www.cybok.org
acesso sustentado aos recursos de acordo com os Acordos de Nível de Serviço contratuais (SLAs)
especi cado nos recursos do Cloud. O ENISA [ ] , NIST [] e ISO [ ] especificações
de infraestrutura como serviço (IaaS) e Plataforma como Serviço (PaaS) são representações de
“Recursos / plataformas / infraestruturas de suporte aos serviços”. A multidão de mod-
els, arquiteturas e serviços existentes na prática tornam difícil projetar uma única noção
de segurança em nuvem. Cada modelo de coordenação de recursos específico é caracterizado pelos tipos
de tipos de recursos no modelo de nuvem, o tipo de arquitetura de computação, bem como o de-
funcionalidades geradas na nuvem. Estes incluem, como uma lista não exaustiva, o desejado
tipos de tratamento de falhas de recursos, a abordagem escolhida para tratamento de bursts de serviço, o
tipo de esquemas implementados para federação e migração de recursos, para orquestração de tarefas,
agendamento, o grau desejado de acesso simultâneo, os níveis suportados de multilocação
etc.
Grupos de recursos onde um conjunto de entidades dedicadas (servidores - provedores de serviços) fornecem um
serviço específico (por exemplo, serviços da Web - servidores de sistema de arquivos, servidores de nomes, bancos de dados, dados
mineradores, rastreadores da web, etc.) a um conjunto de consumidores de dados (clientes). Uma infra-estrutura de comunicação
tura, como a Internet pública, uma rede local ou uma combinação delas, conecta os servidores
para os clientes. Isso pode ser monolítico, em camadas ou hierárquico. Ambos os servidores e clientes são
replicado para fornecer um serviço distribuído coletivo característico ou para tolerância a falhas.
Observe que estamos nos referindo à arquitetura cliente-servidor como uma plataforma de recursos ou infraestrutura
tura e não os serviços Cliente-Servidor em si. A funcionalidade de uma infraestrutura cliente-servidor
tura é derivada das especificações dos serviços usando o modelo Cliente-Servidor e de
o esquema de coordenação necessário subjacente a ele.
https://translate.googleusercontent.com/translate_f 354/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 443
O Conhecimento em Segurança Cibernética
www.cybok.org
Mitigação: a proteção pode ser obtida usando esquemas de controle de acesso (incluindo firewalls)
para limitar o acesso externo a serviços e recursos de rede. Os processos de autorização são definidos
para concessão de direitos juntamente com mecanismos de controle de acesso que verificam os direitos reais
de acesso [ ] Outras abordagens para proteção de recursos incluem os recursos de sandboxing
ou ter uma base de computação confiável resistente à violação (TCB) que conduz a coordenação han-
dling [ , ] e impõe acessos a recursos. Embora a classe de recursos considere principalmente
ers ataques à infraestrutura, dados em repouso ou em movimento (como em uma instalação de armazenamento de dados) podem
também ser considerado como um recurso. Consequentemente, ele pode ser protegido usando técnicas como
como criptografia. Como a especificação de um serviço distribuído inclui a especificação de ambos
comportamento normal e anômalo na utilização dos dados prestadores do serviço, esta proteção
é considerado na classe de serviços.
www.cybok.org
vínculos de estado ou recurso-tarefa podem ser filtrados pelo esquema de coordenação cujo trabalho é
manter um estado consistente. Esses ataques normalmente afetam a Disponibilidade e a Integridade. Conden-
tialidade não é violada.
Mitigação: Conforme mencionado na descrição do ataque, controle de acesso e coordenação
structs são usados para verificar a consistência do estado do sistema para qualquer incompatibilidade observada com
o conjunto legítimo ou permitido de alocações de recursos. Isso pode ser usado para identificar corrupções
do planejador.
- Compromisso de corretor: Esta ocorrência, dentro de um gerenciador / corretor de recursos de nuvem ou um inter
https://translate.googleusercontent.com/translate_f 355/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Agente de nuvem, afeta principalmente a disponibilidade de recursos.
Mitigação: Abordagens semelhantes à mitigação de comprometimento do agendador são usadas aqui. Se backup
corretores fazem parte do projeto, que é uma alternativa típica, caso contrário, as paradas do sistema são frequentemente
a solução.
- Compromisso na comunicação: Como a comunicação é uma funcionalidade central para alcançar
coordenação da fonte, isso tem fortes implicações nos recursos para se manter coordenado e
afeta diretamente a Disponibilidade. A conseqüente incapacidade de suportar a replicação, recurso para tarefa
alocação, etc. compromete fundamentalmente a funcionalidade do sistema.
Mitigação: Uma variedade de técnicas de proteção de comunicação são apresentadas na Rede
Área de Conhecimento de Segurança (Capítulo ) Isso inclui novas tentativas, esquemas baseados em ACK / NACK,
canais protegidos criptograficamente, entre outros.
- Compromisso de Monitoramento e Contabilidade: Com informações incorretas sobre o estado do
sistema e / ou serviços, isso pode levar ao comprometimento da confidencialidade, integridade e disponibilidade
habilidade.
Mitigação: Esquemas de consistência de estado são o mecanismo típico utilizado aqui. Vale a pena
mencionando que os conceitos de replicação e coordenação apresentados nas Seções .e
. . constituem a base das abordagens de mitigação. O próprio propósito do homem de replicação
agement é obter estados de sistema consistentes para contornar interrupções.
www.cybok.org
suporte para transações eletrônicas, etc. Esta é uma categoria bastante ampla e genérica, que abrange
passa uma ampla variedade de serviços. É útil observar que muitos desses serviços utilizam o
Paradigma cliente-servidor, embora nosso interesse aqui seja no nível de serviços.
Distribuição de chaves : Esta é uma ampla classe de serviços (Autorização e Autenticação), como
Kerberos, PKI, etc. Esses serviços normalmente permitem a autenticação (provando au-
autenticidade a um cliente ou autenticação mútua de cliente e servidor) em uma rede insegura
funciona, com base em vários protocolos criptográficos. Os serviços de autenticação geralmente atuam como
terceiro confiável para interagir com entidades em um sistema distribuído. Para obter mais detalhes, consulte o
Área de conhecimento (capítulo ) de autenticação, autorização e responsabilidade (AAA ) .
Armazenar/KVS
Este é um conjunto diversificado de serviços a partir de leituras e gravações distribuídas em nível de registro que envolvem
consistência forte com latência muito baixa. Outro modelo geral é Key Value Store (KVS)
onde os dados são acessados por meio de chaves / ponteiros / mapas com tipos simples de leitura, gravação e exclusão de
mantics. Em KVS, os dados são representados como uma coleção de pares de valores-chave, de modo que cada
possível chave aparece no máximo uma vez na coleção com foco em tempos de acesso rápido (até
um tempo de acesso constante). O modelo de valor-chave é um dos modelos de dados não triviais mais simples,
e modelos de dados mais ricos são frequentemente implementados como extensões com propriedades especificadas. Para
exemplo, um modelo ordenado pode ser desenvolvido para manter as chaves em uma forma lexicográfica ou
der para recuperar com eficiência intervalos de chaves seletivas. Armazenamentos de valores-chave podem usar modelos de consistência
variando da consistência eventual à consistência estrita. Os problemas de segurança requerem tratamento
com dados em repouso (armazenamento estático) e dados em trânsito (operações R / W dinâmicas).
https://translate.googleusercontent.com/translate_f 356/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Serviços transacionais, bancos de dados
Esta é uma ampla classe de serviços que abrangem bancos de dados e serviços transacionais gerais (re-
recuperação, mineração de dados informativos, transações bancárias e de ações, etc.). Os requisitos
são consistentes como no banco, onde todas as transações de débito e crédito são (fortemente ou
fracamente) serializável para consistência. De forma mais geral, um banco de dados adere a todas as estipulações
propriedades ACID relacionadas .
Por outro lado, uma série de transações de mineração de dados e pesquisa de informações requerem apenas
nuances mais fracas de consistência. Por exemplo, um processo de busca de informações pode funcionar com
data centers particionados fisicamente, resultando em informações obsoletas ou inconsistentes, desde que
eles são eventualmente reconciliáveis dentro de alguma especificação dos requisitos de serviço. O
especificação do tipo e grau de perturbações e nível de consistência dos serviços
projetado para ser resiliente para determinar o esquema de coordenação específico a ser usado. Adicionalmente,
no caso de modelos de consistência mais fracos, o usuário é obrigado a lidar com quaisquer dados obsoletos
que pode ter sido recuperado do banco de dados.
Blockchains / criptomoedas
O conceito de livro-razão fornece uma contabilidade consistente das transações. Isso é prob-
temática para alcançar em um sistema distribuído onde as entidades participantes não confiam em cada
outros e são potencialmente não confiáveis. Blockchains fornecem um sistema descentralizado, distribuído e
razão pública que é usada para registrar transações em muitos computadores para que o registro
não pode ser alterado retroativamente sem também alterar todos os blocos subsequentes. Tais alterações
requerem o consenso da rede e, portanto, não podem ser realizadas unilateralmente por
um atacante. Isso também permite que os participantes verifiquem e auditem transações de maneira econômica.
Blockchains formam a base de várias criptomoedas, mais notáveis Bitcoin.
www.cybok.org
surgem do fato de que cada bloco incorpora um hash criptográfico do bloco anterior
e um carimbo de data / hora. Se um bloco da cadeia for alterado sem também alterar todos os blocos subsequentes,
o hash do bloco a seguir não corresponderá mais, tornando a violação no Blockchain
detectável.
Quando usados como livros-razão distribuídos, os Blockchains são normalmente gerenciados por rede ponto a ponto
trabalho. Os pares em tal rede participam de um protocolo para validar o recém-submetido
blocos. Blockchains também são exemplos de sistemas amplamente implantados exibindo alta tolerância
às falhas bizantinas .
O conceito genérico Blockchain permite a participação de qualquer entidade (sistemas sem permissão,
blockhains públicos) e não inclui quaisquer restrições de acesso. Este é o caso do
blockchains subjacentes a muitas criptomoedas amplamente utilizadas, como Bitcoin. No entanto, mais
modelo de participação restritiva (sistemas permitidos, cadeias de bloqueio privadas) também é possível,
onde uma “autoridade de validação” concede permissão para a participação.
A fim de impedir ataques de negação de serviço e outros abusos de serviço, como spam em uma rede
trabalho, o conceito de Prova de Trabalho (Pancada) (ou seja, gastando tempo de processamento para realizar
tarefas internacionalmente caras) é especificado como um requisito para a participação. Isso é eficaz como
um meio de prevenir abusos de serviço, como spam, uma vez que o trabalho exigido normalmente é difícil
para executar, mas fácil de verificar, levando a requisitos assimétricos para solicitador de serviço e
fornecedor. No entanto, os esquemas PoW também levam a um alto uso de energia e, dependendo da escolha
requisito de trabalho sen, pode levar a barreiras de entrada excessivamente altas. Este é o caso, para
por exemplo, em certas criptomoedas, onde a participação significativa exige
artigos projetados para o tipo específico de trabalho exigido. Para evitar essas deficiências, alterna-
abordagens ativas com base na Prova de Participação (PoS) estão em desenvolvimento, mas não tão maduros quanto
Pancadabaseados em esquemas e não amplamente implantados.
No geral, integridade do serviço, em termos de consenso, apoiado pela vitalidade necessária, é a chave
característica do modelo de coordenação do serviço. Isso contrasta com a coordenação de recursos
classe de ção em que a acessibilidade e disponibilidade de recursos eram os motivadores / considerações dominantes
ações.
https://translate.googleusercontent.com/translate_f 357/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
nação
Os serviços e aplicativos constituem uma classe muito ampla para cobrir, tanto para o tipo de
ataques e a diversidade de serviços onde a especificação funcional do serviço deter-
minam o tipo e o grau de impacto na segurança. Na maioria dos casos, a violação da integridade,
junto com a confidencialidade, é o impacto de primeira classe com impacto na disponibilidade seguindo como
Uma consequencia. Alguns exemplos de violações para o esquema de coordenação e tipos de serviço
são mencionados abaixo.
www.cybok.org
limite do tipo de gravidade e o número de interrupções que o esquema de replicação foi projetado
lidar.
Compromisso de distribuição de chaves em PKI: Os processos de autenticação que suportam a distribuição
ção de chaves públicas está comprometida, afetando a integridade e confidencialidade do serviço.
Comprometimento de dados em repouso: isso é análogo à violação de recursos no recurso
modelo de coordenação conforme aplicável a sistemas de armazenamento.
Comprometimento de dados em movimento : isso tem consequências variadas de consistência e latência que
comprometer a integridade dependendo das especificações dos serviços. Apresentamos um muito
enumeração simplista usando classes de transações como:
Transações curtas: (Armazenamento /KVS, etc.) O principal motivador para esta classe é a consistência
e baixa latência (por exemplo, linearidade). Como a vivacidade e a segurança são violadas, a integridade de
a transação está comprometida. É importante notar que um ataque DoS pode não afetar consistentes
tência. No entanto, à medida que a latência é afetada, a integridade do serviço é perdida.
Grandes transações: Ledgers (Blockchain, etc.) estão nesta categoria onde, embora latência
é importante, é a integridade (conforme definida pela consistência do razão) que é o principal
propriedade mary para preservar. Como os livros-razão constituem um serviço popular, o discutimos para ilustrar
aspectos de ambas as superfícies de ataquese suposições.
Para recapitular da Seção . ., Blockchains constituem um livro-razão de informações que são divulgadas
persed em um sistema distribuído. Blockchains garantem a segurança dos dados ao não fornecer
um único ponto de ataque. O livro-razão é armazenado em várias cópias em uma rede de computadores.
Cada vez que um participante autorizado (por exemplo, em um sistema autorizado) envia uma trans-
ação para o razão, os outros participantes conduzem verificações para garantir que a transação é
válido, e essas transações válidas (como blocos) são adicionadas à cadeia do razão. Consenso en-
garante uma visão consistente da sequência de transações e do resultado coletado. O cryp-
espera-se que a base gráfica do hash, em cada bloco, evite adulteração, e a Prova de
A noção de trabalho foi projetada para mitigar o efeito dos ataques DoS .
O que torna este sistema, teoricamente, à prova de adulteração são dois aspectos: (a) uma criptografia não passível de
hash gráfico ligando os blocos, e (b) consenso resistente ao ataque pelo qual o
os participantes concordam com um histórico compartilhado de transações.
Da mesma forma, a propriedade de consenso pode ser comprometida por meio de um ataque Eclipse [ ] para Bitcoin,
e também em casos gerais onde existe o potencial de induzir os nós a desperdiçar comp
colocando poder. Os nós no Blockchain devem permanecer em comunicação constante, a fim de
compare os dados. Um invasor que pode assumir o controle da comunicação de um nó e falsificar outros
nós em aceitar dados falsos para resultar em computação desperdiçada ou confirmar transações falsas
ções podem violar o consenso. O trabalho em [ 8] fornece uma leitura útil sobre tais
compromissos.
Transações mistas: conforme implícito na etiqueta, combina transações curtas e grandes. O
as implicações de segurança dependem do tipo de serviços. Como exemplo, destacamos dois serviços
https://translate.googleusercontent.com/translate_f 358/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
grupos, a saber:
- Transações de suporte de comércio eletrônico : os requisitos principais aqui são propriedades ACID
que envolvem consistência forte e sem partições. Quaisquer compromissos afetam a integridade do
serviço.
- Sistemas de informação : Serviços como Webcrawlers, Recuperação de dados para aplicações
como Uber ou consultas informativas para compras podem lidar com (rede e dados) par-
títulos de dados para operar em dados armazenados em cache obsoletos. O ataque pode levar a computadores redundantes
informações nas pesquisas ou informações ligeiramente desatualizadas, mas a integridade não é violada, desde que
a semântica de consistência fraca, relaxada ou eventual, conforme aplicável para a especificação do serviço
i cação, são sustentados. Além disso, as consultas informativas têm requisitos de latência mistos. Para ex-
amplo, a pequena latência em um data center local e a latência tolerável mais alta em toda a região
centros de dados dispersos podem definir o grau de tolerância a ataques até Disponibilidade e
A integridade está comprometida.
CONCLUSÕES
A intenção deste capítulo é descrever como funcionam os sistemas distribuídos e como o
os mecanismos que apoiam as operações de tais sistemas abrem questões de segurança neles. Muito
muitas vezes, a expectativa é que as técnicas clássicas de segurança serão aplicadas diretamente em um sistema distribuído
contexto de sistemas também. No entanto, muitas vezes não é o caso e quanto melhor se entende
a base conceitual de um sistema distribuído, melhor se pode entender e fornecer
para sua segurança. O KA discutiu a categorização funcional de sistemas distribuídos em
duas classes principais: controle descentralizado e coordenado. As operações para cada classe
foram elaborados levando às implicações de segurança resultantes das diferentes especificações
sistemas distribuídos subjacentes.
] ] ] ]
]
88
[ [ [ [
[
JV
P
Lynch Rachid Birman Snyder
c -, c 6,
. Sistemas Distribuídos: Cluster de Recursos Coordenados c, c c,
c, c
c c
www.cybok.org
LEITURA ADICIONAL
Os livros a seguir são recomendados para uma cobertura mais profunda do sistema distribuído e
conceitos de segurança.
https://translate.googleusercontent.com/translate_f 359/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
de sistemas distribuídos. O foco está na sincronização e no consenso, embora forneça uma
cobertura abrangente e matematicamente rigorosa de conceitos de sistemas distribuídos de
um ponto de vista de algoritmos.
Anderson Engenharia de Segurança [ ] - Este livro é uma excelente leitura na vida real
isação de sistema distribuído de uma perspectiva de segurança, especialmente para serviços de nomenclatura e
segurança multinível. O leitor também é encorajado a ler os textos [ 6, ] aquele detalhe
cobertura complementar em CORBA e Web services.
www.cybok.org
https://translate.googleusercontent.com/translate_f 360/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 451
Capítulo
Autenticação,
Autorização e
Responsabilidade (AAA)
Dieter Gollmann Hamburg University of Technology
& Nanyang Tecnológico
Universidade Cingapura
https://translate.googleusercontent.com/translate_f 361/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Abstrato
. INTRODUÇÃO
“Toda ciência é física ou coleta de selos.” [Ernest Rutherford]
Em alguns casos, os sistemas de TI podem garantir - desde o início - que nenhum comportamento indesejável é
possível. Em outros casos, os sistemas de TI exibem tal grau de flexibilidade - também por design -
que medidas adicionais precisam ser tomadas para limitar o comportamento indesejável de acordo com
dadas as circunstâncias. Conforme observado por Lessig, isso pode ser feito por código no sistema que
exclui comportamentos, que violam certas regras, ou pode ser feito por códigos de conduta que
espera-se que os usuários do sistema cumpram [ ] Neste último caso, disciplinar ou legal
processos lidam com aqueles que quebraram as regras. Este é o contexto para autenticação,
autorização e responsabilidade.
Leitores familiarizados com os costumes da escrita acadêmica podem agora esperar de nições de núcleo
termos, talvez algum refinamento da terminologia e, em seguida, uma visão geral das abordagens mais recentes
na obtenção de autenticação, autorização e responsabilidade. Como será mostrado, esta abordagem
falha no primeiro obstáculo. Esses três termos são sobrecarregados a ponto de fornecer ampla
espaço para confusão e disputa. Por exemplo, autorização significa tanto a configuração de
regras e para verificar o cumprimento dessas mesmas regras. Os leitores devem, portanto, ser cautelosos
ao estudar a literatura sobre esta área do conhecimento.
Mudanças na maneira como a TI está sendo usada criam seus próprios desafios para as taxonomias. Quão perto
os termos devem ser vinculados ao ambiente em que surgiram pela primeira vez? Existe um hábito no
literatura de comércio e pesquisa de vinculação de termos exclusivamente a uma instância "tradicional" nocional-
a criação de algum conceito genérico e a invenção de novos termos da moda para novos ambientes,
mesmo que os conceitos subjacentes não tenham mudado.
https://translate.googleusercontent.com/translate_f 362/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. CONTENTE
Este KA primeiro aborda a autorização no contexto do controle de acesso e apresenta os principais
avours de controle de acesso em uso hoje. A seção sobre controle de acesso em sistemas distribuídos
tems explica os conceitos usados ao implementar o controle de acesso em diferentes sites. O
KA então muda para autenticação, tocando na autenticação do usuário e na autenticação em
sistemas distribuídos e conclui com uma discussão sobre os serviços de registro que suportam ac-
contabilidade.
. AUTORIZAÇÃO
[ , , , , ]
Em seu artigo seminal [ ], Lampson et al. postular controle de acesso = autenticação + autho-
elevação . Seguiremos esta pista e apresentaremos autorização no contexto do controle de acesso ,
começando com uma introdução aos conceitos fundamentais para este domínio, seguido por um
visão geral dos diferentes tipos de política. A máxima de Libicki, "conotação, não denotação, é o problema
lem ”[ 6] também se aplica aqui, portanto, prestaremos atenção especial aos atributos usados quando
definição de regras de acesso e à natureza das entidades regidas por essas regras. AC baseada em código
controle de acesso, segurança móvel e gerenciamento de direitos digitais apresentarão novos paradigmas
ao controle de acesso, sem alterar sua substância. Em seguida, apresentaremos opções de design para
aplicação da política e discutir delegação e alguns fundamentos teóricos importantes de
controle de acesso.
.. Controle de acesso
O controle de acesso é “o processo de conceder ou negar solicitações específicas ...” [ ] Este pro
cesso precisa das seguintes entradas
• O que é solicitado?
“Quem” na primeira pergunta é perigoso. A palavra sugere que os pedidos sempre vêm de
uma pessoa. Isso é impreciso por dois motivos. Primeiro, a origem de uma solicitação pode ser uma
máquina lar, uma máquina em uma configuração particular, ou um programa particular, por exemplo, um determinado
App Android. Em segundo lugar, a nível técnico, os pedidos em uma máquina são emitidos por um processo,
não por uma pessoa. A questão então se torna, "por quem ou o que é o processo falando por
ao fazer o pedido? ” "O que é solicitado" é frequentemente fornecido como uma combinação de um
ação a ser executada e o objeto no qual a ação deve ser executada. As regras são
expressões lógicas que avaliam uma decisão. No caso elementar, a decisão é permitida
ou negar . Quando as políticas ficam mais elaboradas, pode haver razões para adicionar um indeterminado
decisão. Uma decisão também pode prescrever outras ações a serem realizadas, às vezes chamadas
obrigações.
. . . Conceitos Básicos
O termo 'política de segurança' é usado tanto para as regras gerais dentro de uma organização que estipula
tarde, como os recursos sensíveis devem ser protegidos e para as regras impostas pelos sistemas de TI
sobre os recursos que gerenciam. Sterne tinha inventado os termos políticas organizacionais e au-
https://translate.googleusercontent.com/translate_f 363/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
políticas automatizadas para distinguir esses dois níveis de discurso [ ]
Ao definir as políticas de segurança, principal representa a entidade ativa em uma solicitação de acesso.
Quando as políticas se referem diretamente aos usuários, como era o caso nas fases iniciais da segurança de TI, o usuário
identidades servem como principais . O controle de acesso com base nas identidades do usuário é conhecido como Identidade-
Controle de acesso baseado (IBAC). Em políticas de segurança que se referem a conceitos como funções ou
o programa que emite uma solicitação, o principal é uma função ou um programa. O diretor pode então
geralmente representam qualquer atributo de segurança associado ao emissor de uma solicitação. Com isso
generalização, qualquer forma de controle de acesso é por definição de controle de acesso baseado em atributo
(consulte a Seção ...)
Assunto representa a entidade ativa que faz uma solicitação quando um sistema executa algum pro-
grama. Um assunto fala por um principal quando o ambiente de execução associa o assunto
com o diretor de uma maneira imprevisível. O exemplo original para a criação de um assunto que
fala por um principal é o login do usuário, gerando um processo executado sob a identidade do usuário de
a pessoa que foi autenticada. A literatura de pesquisa nem sempre mantém
esta distinção entre principais e assuntos e pode-se encontrar políticas de segurança referentes
aos assuntos. Quando as políticas se referem aos atributos de um usuário, mas não à identidade do usuário, a identidade do usuário
tidades tornam-se uma camada de indireção entre diretores e assuntos [ 8]
Um assunto é criado, por exemplo, no login, e pode ser encerrado, por exemplo, no logout. Da mesma forma, a identidade do usuário
entidades são criadas por meio de alguma ação administrativa e podem ser encerradas, por exemplo, excluindo
uma conta de usuário. Na prática, os sujeitos têm uma vida útil consideravelmente mais curta do que as identidades dos usuários.
Processos que controlam plantas industriais são um raro exemplo de assuntos que podem viver para sempre,
mas pode ser morto por falhas no sistema.
O objeto é a entidade passiva em uma solicitação de acesso. As operações de acesso definem como um objeto pode
ser acessado por um assunto. As operações de acesso podem ser tão elementares quanto ler , escrever , executar
no Linux, eles podem ser programas como os programas setuid no Linux e podem ser inteiros
fluxos de trabalho como em alguns modos de UCON (Seção . .8)
Os direitos de acesso expressam como um principal pode acessar um objeto. Em situações onde há um
correspondência direta entre as operações de acesso e direitos de acesso, a distinção conceitual ser-
entre operações de acesso e direitos de acesso não podem ser mantidos. A permissão é frequente
usado como sinônimo de direito de acesso. Privilégio também pode ser usado como sinônimo de acesso
à direita, por exemplo, Oracle i Database Concepts Release (.) afirma:
“Um privilégio é a permissão para acessar um objeto nomeado de uma maneira prescrita. . . ”
Outros sistemas, como o Windows, fazem uma distinção entre direitos e privilégios de acesso,
usando privilégios especificamente para o direito de acessar recursos do sistema e realizar
tarefas relacionadas. Os sistemas operacionais e bancos de dados costumam ter uma gama de privilégios de sistema que
são necessários para a administração do sistema.
www.cybok.org
. . . Políticas de Segurança
As políticas de segurança automatizadas são um conjunto de regras. As regras especificam os direitos de acesso a
principal tem em um objeto. Conceitualmente, uma política poderia então ser expressa como um Con-
trol Matrix com linhas indexadas por principais e colunas indexadas por objetos [ ] Acesso
Listas de controle (ACLs) armazenadas com os objetos correspondem às colunas desta matriz; capa-
bilidades armazenadas com principais correspondem às linhas desta matriz (ver também o
Sistemas e Virtualização de área de conhecimento (capítulo ) ).
O Controle de Acesso Discricionário (DAC) e o Controle de Acesso Obrigatório (MAC) são duas políticas centrais
leis formuladas nos s no contexto do setor de defesa dos Estados Unidos. Acesso discricionário
as políticas de controle atribuem o direito de acessar recursos protegidos a identidades de usuários individuais,
a critério do proprietário do recurso. Na literatura, DAC pode genericamente referir-se a políticas
definido pelos proprietários dos recursos, mas também para as políticas que se referem diretamente às identidades dos usuários, ou seja, ao IBAC.
Políticas de controle de acesso obrigatórias rotulam assuntos e objetos com níveis de segurança . O conjunto
dos níveis de segurança é parcialmente ordenado, com o menor limite superior e o maior limite inferior
operador. Os níveis de segurança, portanto, formam uma rede . Na literatura, o MAC pode genericamente referir-se a
políticas exigidas pelo sistema como, por exemplo, em Security-Enhanced Linux (SELinux) [ , ]
e no Android Security-Enhanced (SE) [ ], ou a políticas baseadas em níveis de segurança como no passado
https://translate.googleusercontent.com/translate_f 364/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
produtos como Trusted Xenix ou Trusted Oracle. Políticas do último tipo também são conhecidas
como políticas de segurança multinível e como políticas baseadas em rede .
No Role-Based Access Control (RBAC) , as funções são uma camada intermediária entre os usuários e o
permissões para executar certas operações. As operações podem ser transações bem formadas com
verificações de integridade integradas que medeiam o acesso aos objetos. Os usuários recebem funções e são
autorizados a executar as operações vinculadas à sua função ativa. Separação de Deveres (SoD)
refere-se a políticas que impedem que usuários individuais se tornem muito poderosos. Exemplos de SoD são
regras que indicam que mais de um usuário deve estar envolvido para concluir alguma transação, regras
afirmando que um usuário com permissão para realizar um conjunto de transações não tem permissão para realizar
algum outro conjunto de transações, a separação entre a frente e os fundos em nan-
rms comerciais oficiais é um exemplo, ou regras que estabelecem que os administradores de políticas não podem atribuir
permissões para si próprios. As regras de SoD estáticas são consideradas durante a atribuição da função do usuário, dy-
O SoD dinâmico deve ser aplicado quando uma função é ativada. O modelo NIST RBAC [ ] distin-
adivinha entre:
• RBAC plano: os usuários são atribuídos a funções e funções a permissões para operações; Comercial
obter permissões para executar procedimentos por meio de associação de função; revisões da função do usuário são sup-
portado.
• RBAC simétrico: adiciona suporte para revisões de função de permissão, o que pode ser difícil para
alcançar em grandes sistemas distribuídos.
Muitos sistemas comerciais suportam algum tipo de controle de acesso baseado em função, sem necessidade
aderindo essencialmente às especificações formais do RBAC publicadas na literatura de pesquisa.
O RBAC é um conceito elegante e intuitivo, mas pode se tornar bastante confuso na implantação conforme
sugerido por comentários em um estudo empírico sobre o uso de RBAC [ ] Nota do praticante
www.cybok.org
que o RBAC funciona enquanto cada usuário tem apenas uma função, ou que “o enorme esforço exigido
para projetar a estrutura de funções e preencher os dados de funções "constitui um inibidor para RBAC.
O monitor de referência em CBAC normalmente executa uma caminhada de pilha para verificar se todos os chamadores
foram concedidos os direitos de acesso necessários. A caminhada da pilha aborda o problema confuso do deputado
lem [ 6], em que um invasor sem privilégios manipula um sistema por meio de chamadas para código privilegiado
(o deputado confuso). A invocação controlada é implementada por meio de instruções assert ; uma
stack walk para um direito de acesso irá parar em um chamador que afirma esse direito.
https://translate.googleusercontent.com/translate_f 365/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . .6 Segurança Móvel
Os smartphones normalmente têm um único proprietário, armazenam dados privados do usuário e oferecem funções de comunicação
ções que variam de telefone celular a NFC, podem observar seus arredores por meio de câmera e micro-
telefone, e pode determinar sua localização, por exemplo, via GPS. Em smartphones, os aplicativos são o prin-
cipals para controle de acesso. Os objetos de controle de acesso são os dados sensíveis armazenados em um
telefone e as funções sensíveis do dispositivo em um telefone.
www.cybok.org
e só pode ser usado por aplicativos autorizados pelo fornecedor da plataforma; aplicativo e permissão têm
a ser assinado pela mesma chave privada. Para obter mais detalhes, consulte o Web & Mobile Security Knowl-
Área de borda (Capítulo ) .
DRM vira o paradigma de controle de acesso familiar de cabeça para baixo. DRM impõe a política de segurança
de uma parte externa no proprietário do sistema, em vez de proteger o proprietário do sistema de
festas finais. A superdistribuição captura o cenário em que os dados são distribuídos em ambientes protegidos
recipientes e podem ser redistribuídos livremente. As etiquetas especificando os termos de uso estão anexadas a
os recipientes. Os dados só podem ser usados em máquinas equipadas com um superdistri
Bution Label Reader que pode descompactar o contêiner e rastrear (e relatar) o uso de dados,
e fazer cumprir os termos de uso [ 8] A busca por uma aplicação resistente a adulteração
mecanismo foi uma das forças motrizes da Trusted Computing.
O nível de resistência à violação necessário depende das ameaças previstas. Plataforma confiável
Os módulos são uma solução de hardware que oferece um alto grau de segurança. Enclaves em Intel SGX são
uma solução em software de sistema. Leitores de documentos que não permitem a cópia implementam este
conceito dentro de um aplicativo. Políticas rígidas buscam uma ideia relacionada [ ]; as políticas aderem a um
objeto e são avaliados sempre que o objeto é acessado.
O atestado fornece informações confiáveis sobre a configuração de uma plataforma. Anonimato direto
O atestado mous implementa este serviço de uma forma que protege a privacidade do usuário [6 ] Controlo remoto
o atestado pode ser usado com políticas de segurança baseadas no software em execução
uma máquina remota. Por exemplo, um proprietário de conteúdo pode verificar a configuração do software em um
destino antes de liberar o conteúdo. No FIDO Universal Authentication Framework (FIDO
UAF) apenas o modelo do dispositivo autenticador é atestado. Todos os dispositivos de um determinado modelo são mantidos
a mesma chave privada de atestado [ 6 ]
Por um breve período, estava na moda usar Digital Rights Management como o termo genérico
considerando o controle de acesso 'tradicional' como um caso especial.
. . .8 Controle de uso
O Controle de Uso (UCON) foi proposto como uma estrutura que engloba autorizações baseadas em
os atributos de sujeito e objeto , obrigações, e condições [ ] Dentro [ ], obrigações
são ações adicionais que um usuário deve realizar para obter acesso, por exemplo, clicar em um link
concordar com os termos de uso. No uso atual do termo, as obrigações também podem ser ações
o sistema deve executar, por exemplo, registrar uma solicitação de acesso. Essas ações podem ter que ser
realizada antes, durante ou depois de um acesso acontecer. As condições são aspectos independentes
de assunto e objeto, por exemplo, hora do dia em que uma política permite o acesso apenas durante o horário comercial
https://translate.googleusercontent.com/translate_f 366/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ou a localização da máquina o acesso é solicitado. Exemplos para o último são as políticas
permitindo certos pedidos apenas quando emitidos a partir do console do sistema, dando acesso apenas
de máquinas na rede local, ou políticas que consideram o país atribuído ao IP
www.cybok.org
endereço de onde vem um pedido. Muitos conceitos da UCON foram adotados no XACML
. padrão [6 ]
O controle de uso também pode incluir disposições para o que acontece depois que um objeto é acessado, por exemplo,
que um documento pode ser lido, mas seu conteúdo não pode ser copiado ou ajuste de atributos
depois que um acesso foi realizado, por exemplo, diminuindo o contador de artigos gratuitos de um visitante
pode acessar. Em outra interpretação, o controle de acesso 'tradicional' lida com o elementar
operações de acesso encontradas em um nível de infraestrutura, enquanto o controle de uso aborda todo o trabalho
flui no nível do aplicativo. Em serviços de telecomunicações, o controle de uso pode limitar o tráfego
volume.
• Pontos de informação de política que podem ser consultados para outras entradas para o algoritmo de decisão
ritmo,
. . . Delegação e Revogação
Delegação e concessão de direitos de acesso referem-se a situações em que um principal, ou um sub-
ject, obtém um acesso direto de outra pessoa. A literatura de pesquisa não tem rm
definições para esses termos, e a literatura comercial ainda menos. Concessão tende a ser usada
em um sentido genérico; direitos de acesso concedidos geralmente se referem aos direitos de acesso atuais de um sujeito
que entrega uma solicitação a um monitor de referência. A delegação é às vezes, mas nem sempre, usada
mais estritamente para conceder direitos de acesso de curta duração durante a execução de um processo. Para
exemplo, XACML distingue entre administração de política e delegação dinâmica que
“Permite que alguns usuários criem políticas de duração limitada para delegar certos recursos a
outros ” [ 6 ]
Uma segunda distinção possível permite que a delegação se refira apenas à concessão de direitos de acesso detidos
pelo delegador, ao conceder acesso também inclui situações em que um diretor de gestão
atribui direitos de acesso a terceiros, mas não tem permissão para exercer esses direitos por conta própria.
Os direitos nem sempre podem ser concedidos para sempre. O concedente pode definir uma data de expiração no
delegação, um direito pode ser válido apenas para a sessão atual, ou pode haver uma revogação
mecanismo como o Online Certi cate Status Protocol (OCSP) para certificados X. (ver
Seção . . ) . OCSP é compatível com todos os principais navegadores. Listas de revogação são adequadas quando
verificações online não são viáveis e quando se sabe com antecedência onde um direito concedido pode ser
consumido.
www.cybok.org
. . . Monitor de Referência
autorização
https://translate.googleusercontent.com/translate_f 367/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
autenticação eu
ACL
eueu
.......... .............................
......... ...... ................................. ............
eu
. ..........
................ eu
. ..........
. ..........
solicitação referência objeto
- - -
........
...... .......................
monitor
diretor
Em sua definição original, o monitor de referência era a máquina abstrata mediando todas as ações
cesses por sujeitos a objetos. O kernel de segurança foi uma implementação confiável do
monitor de referência. A Trusted Computing Base (TCB) era a totalidade dos mecanismos de proteção
nismos dentro de um sistema de computador responsável por fazer cumprir uma política de segurança (as definições seguem
[ 6 ]). Tem havido algum erro de interpretação desde então. O componente do monitor de referência
nos sistemas operacionais atuais, por exemplo, o Monitor de referência de segurança no Windows, na verdade
ser o kernel de segurança de cima, e TCB é hoje às vezes usado em um sentido limitado para
representam apenas o kernel de segurança. Um monitor de referência executa duas tarefas.
• Ele autentica qualquer evidência fornecida pelo sujeito com uma solicitação de acesso. Tradição-
almente, a identidade do usuário pela qual o assunto estava falando foi autenticada.
No entanto, a autorização também significa o processo de definição de uma política de segurança; diretores
estão autorizados a acessar certos recursos. Isso sobrecarrega o prazo de autorização, aplicando
tanto para diretores quanto para solicitações, mas com significados diferentes. Uma convenção que se refere
a “diretores autorizados” e “solicitações aprovadas” resolveria esse problema. Figura . rep-
ressente a visão de controle de acesso adotada na pesquisa de sistemas operacionais ao redor. Dentro
Seção . . . , a autorização significará a concessão de direitos de acesso aos principais.
O algoritmo de decisão executado pelo monitor de referência deve identificar a política aplicável
leis e regras, e tentar coletar as evidências às quais essas regras se referem a partir de informações de política
Pontos . Para situações em que mais de uma regra é aplicável para uma determinada solicitação, regra com
algoritmos de binamento especificam a decisão final.
• Monitores de referência que veem apenas as chamadas do sistema para recursos protegidos, mas não o
todo o programa executado. Este tipo de monitor de referência, denominado monitor de execução em
[ ], é implementado em muitos sistemas operacionais.
• Monitores de referência que podem ver todo o programa e analisar seu comportamento futuro
antes de tomar uma decisão de controle de acesso.
• As instruções que protegem todas as operações relevantes de segurança estão incluídas no programa; dentro
todos os outros aspectos do programa embutido devem se comportar como antes. Este tipo de referência
monitor, chamado de monitor de referência em linha em [ ], é usado principalmente para lidar com software
questões de segurança, consulte, por exemplo, [ 6 ]
www.cybok.org
.. Teoria
. . . Modelos de Segurança
Modelos de segurança são especificações de alto nível de sistemas destinados a garantir certa segurança
políticas. Esses modelos podem ser usados em uma análise de segurança formal para mostrar que um nível inferior
a especificação implementa fielmente o modelo.
https://translate.googleusercontent.com/translate_f 368/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O modelo Biba captura políticas de integridade baseadas em níveis de integridade [] . As regras de acesso são
o dual do modelo BLP , sem leitura e sem escrita, mas não tem predecessores no
mundo dos documentos em papel. As políticas de baixa marca d'água em Biba introduzem políticas dinâmicas
(mutável na terminologia de UCON, Seção . . 0,8) que adaptam o nível de integridade de um
objeto dependendo do nível de integridade do sujeito executando a operação de acesso.
O modelo Clark-Wilson [ ] coloca transações bem formadas como uma camada intermediária
entre principais e objetos; itens de dados restritos só podem ser acessados por meio de trans-
ações; os usuários (principais) são 'rotulados' com as transações que estão autorizados a executar.
Este modelo captura a maneira como os dados são processados em sistemas corporativos. A muralha chinesa
modelo [ 6 ] formaliza políticas dinâmicas de conflito de interesses que se aplicam ao consultor financeiro
empresas importantes ao trabalhar para clientes que são concorrentes comerciais. Portanto, o ato
de acessar dados para um cliente remove dinamicamente as permissões para acessar dados de outro
clientes na classe de conflito de interesses relevante.
O modelo Harrison, Ruzo e Ullman (HRU) [ 68] fornece um contexto para examinar um núcleo
questão na gestão de políticas: é possível decidir se um direito de acesso pode vazar
a um sujeito por meio de alguma sequência de comandos? Este problema é indecidível em geral,
mas pode ser decidido sob certas restrições.
. . . Políticas aplicáveis
www.cybok.org
Controle de acesso e lógicas de delegação [6 ] especificar cálculos para raciocinar sobre o composto
princípios em sistemas distribuídos. O cálculo para controle de acesso em sistemas distribuídos
[ ] foi desenvolvido como uma especificação formal para partes dos Sistemas Distribuídos Digitais
Arquitetura de segurança. Em tal arquitetura, sessões criptograficamente protegidas podem ser es-
estabelecido entre as partes. Por exemplo, quando uma sessão é estabelecida com um principal em
alguma outra máquina, a chave de sessão pode ser tratada como um assunto para controle de acesso que
fala por esse diretor.
Em sistemas federados onde várias organizações colaboram, as políticas de segurança podem ser definidas por
diferentes partes. Isso exige um entendimento comum dos nomes dos principais, no-
tributos e valores de atributos para que as políticas emitidas por uma das partes possam ser usadas nas decisões por
alguma outra parte. Chegar a esse entendimento comum aumenta os desafios práticos
para RBAC listado na Seção . . ..
Primeiro, apresentamos os conceitos básicos para este domínio. Em seguida, cobriremos o acesso com base na origem
trol, examinando cross-site scripting do ponto de vista do controle de acesso. Acesso Federado
O controle e o uso de criptografia no controle de acesso são explorados posteriormente.
.. Conceitos Básicos
https://translate.googleusercontent.com/translate_f 369/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A literatura sobre controle de acesso em sistemas distribuídos usa os seguintes termos relacionados, mas
a distinção entre esses termos é uid.
• Um certificado é uma estrutura de dados assinada digitalmente, criada por um emissor, vinculando um sub
ject (não deve ser confundido com o termo assunto como introduzido anteriormente) para alguns
atributos. A ênfase está na proteção por uma assinatura digital.
• Uma credencial é algo apresentado para obter acesso. Exemplos de credenciais são pass-
palavras ou impressões digitais. Em sistemas distribuídos, uma credencial pode ser uma estrutura de dados
reter atributos do assunto. A ênfase está nas evidências submetidas à decisão
algoritmo.
X. certi cados [ ] pode ser usado para implementar o controle de acesso centrado no usuário. Identidade
certificados vinculam identidades de usuário a chaves de verificação públicas. Atributo certificados vinculam usuário
identidades para direitos de acesso. Os certificados de atributos correspondem estreitamente às entradas de ACL .
www.cybok.org
A política de protótipo para aplicativos da web é a Same-Origin-Policy (SOP), afirmando que um script
só pode se conectar de volta à origem de onde veio ou que um cookie HTTP só está incluído
em solicitações para o domínio que colocou o cookie. Duas páginas têm a mesma origem se
eles compartilham protocolo, nome de host e número de porta. Certas ações podem ser isentas do
política de mesma origem. Por exemplo, uma página da web pode conter links para imagens de outros domínios,
refletindo uma visão de que as imagens são dados inócuos, sem efeitos colaterais malignos. Existe
variações do SOP, por exemplo, políticas para cookies que também consideram o caminho do diretório. Há
também a opção de definir o HttpOnly ag em um cabeçalho de resposta HTTP Set-Cookie para que
o cookie não pode ser acessado por scripts do lado do cliente.
Sender Policy Framework (SPF) [ 6] implementa controle de acesso baseado na origem no e-mail
sistema como uma medida contra spoo ng o domínio de envio de um e-mail. Proprietários de domínio
publicar políticas SPF em sua zona DNS . Um servidor SMTP pode então usar a parte do domínio de
a identidade MAIL FROM para pesquisar a política e consultar esta política para verificar se o IP
endereço do cliente SMTP está autorizado a enviar e-mail desse domínio.
. . . Cross-site Scripting
Ataques de script entre sites em aplicativos da web podem ser tratados como casos de falha na autenticação
cação no controle de acesso. O navegador permite que todos os scripts que chegam em uma página da web falem pelo
origem dessa página. Um navegador executaria um script injetado pelo invasor no contexto
de uma origem diferente do atacante. Política de segurança de conteúdo (CSP) re nes SOP-baseada ac-
controle de cesso. O servidor web transmite uma política ao navegador que caracteriza os scripts
autorizado a falar por esse servidor [ ] Normalmente, isso é feito especificando um caminho de diretório
no servidor da web onde os scripts autorizados (e outros elementos da web) serão colocados.
https://translate.googleusercontent.com/translate_f 370/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Quando os mashups de aplicativos da web se tornaram populares, isso expôs outra limitação do
a mesma política de origem: não havia nenhum mecanismo embutido para especificar exceções ao
SOP. Os designers de mashup inicialmente tiveram que encontrar maneiras de contornar o SOP imposto pelo
navegadores. O protocolo Cross-Origin Resource Sharing (CORS) foi então introduzido para sup-
políticas de portas para compartilhamento de recursos de origem cruzada
8] Quando
[ um script solicita uma conexão
para um destino diferente de sua própria origem, o navegador pede ao destino para autorizar a conexão
solicitação. A decisão no destino considera as evidências fornecidas pelo navegador, como o
origem do script ou credenciais do usuário associadas à solicitação.
O CORS especifica um conjunto de cabeçalhos HTTP para facilitar essa troca. Solicitações anteriores em
incluir um cabeçalho Access-Control-Request-Method que informa o alvo sobre o
acesso pretendido. A resposta lista métodos e cabeçalhos que o alvo concede ao
origem. As solicitações CORS são enviadas por padrão sem as credenciais do usuário. O alvo pode definir o
Access-Control-Allow-Credentials: cabeçalho verdadeiro para indicar as credenciais do usuário
podem ser fornecidos com solicitações de acesso a um recurso. O alvo também deve especificar uma origem
no cabeçalho Access-Control-Allow-Origin. Caso contrário, o navegador não passará
a resposta do alvo ao script que fez a solicitação.
www.cybok.org
https://translate.googleusercontent.com/translate_f 371/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Criptografia baseada em atributos
A computação em nuvem aumentou o interesse no controle de acesso a dados criptografados no passado
década. Armazenar dados em formato criptografado protege sua confidencialidade, mas cria um man-
desafio de gestão. A criptografia baseada em atributos (ABE) aborda esse desafio por construção
ing esquemas de criptografia que impõem políticas de descriptografia baseadas em atributos. As políticas são lógicas
predicados sobre atributos, representados como estruturas de acesso. O gerador de chaves é confiável
Terceiro que gera chaves privadas e tem que verificar a política / atributos de um usuário antes
emissão de uma chave privada. O Key Generator está, portanto, em posição de recriar chaves privadas.
A criptografia baseada em atributo de política de chave (KP-ABE) funciona com políticas que definem o acesso de um usuário
direitos de acesso [ ] A partir da estrutura de acesso correspondente, o Gerador de Chaves cria um pri-
vate a chave de descriptografia. Os documentos são criptografados em um conjunto de atributos. Na política de texto cifrado
Criptografia baseada em atributos (CP-ABE) [ ], a política refere-se ao documento e ao acesso
estrutura é usada para criptografia. A chave privada do usuário criada pelo Gerador de Chaves depende
no conjunto de atributos do usuário. Em ambas as variantes, a descriptografia é possível se e somente se o dado em-
tribute set satisfaz a estrutura de acesso fornecida.
Em sistemas distribuídos, as solicitações de acesso podem ser assinadas digitalmente. Os direitos de acesso poderiam então
ser concedida diretamente à chave de verificação pública, sem a necessidade de vincular a chave pública a
algum outro principal . SPKI/ SDSI usa certificados de autorização para implementar o centro de chave
controle de acesso, onde (nomes de) chaves públicas são vinculados a direitos de acesso [ 8 ] O direito de
além disso, delegar um direito de acesso é controlado por uma delegação ag.
Chaves criptográficas raramente são princípios adequados para controle de acesso, Contudo. Eles iriam
precisa ter um significado óbvio no domínio do aplicativo que fornece o contexto para um
dada política de segurança. Na maioria dos casos, as chaves criptográficas seriam assuntos falando por alguns
diretor. A delegação restrita refina o mecanismo básico de delegação de SPKI/ SDSI então
que as políticas de separação de tarefas podem ser aplicadas [ 8 ]
. AUTENTICAÇÃO
[ 8 , 8 , 8 , 86 , 8 , 88 ]
A autenticação em um sentido restrito verifica a identidade de um usuário que faz login - local ou remotamente
- e vincula a identidade do usuário correspondente a um assunto. Autenticação do usuário com base na senha
palavras é um método comum. Alguns aplicativos adotaram autenticação biométrica como
uma alternativa. A autenticação em sistemas distribuídos geralmente envolve o estabelecimento de chaves. Algum
taxonomias de segurança, portanto, reduzem a autenticação a uma propriedade de 'pulsação' para separar autenticação
ticação do estabelecimento-chave. O projeto de protocolos de autenticação é uma área madura em
pesquisa de segurança com bom suporte de ferramentas para análise formal. Protocolos padrão, como
Kerberos, SAMLou OAuth são amplamente implantados hoje.
Daremos uma breve visão geral do gerenciamento de identidade antes de passar para o baseado em senha e
autenticação biométrica do usuário. Em seguida, cobrimos os protocolos de autenticação do Needham-
Protocolo Schroeder via Kerberos e SAML para OAuth. , observando esse OAuth. é mais
de um protocolo de autorização do que de um protocolo de autenticação. Concluímos com uma visão geral
de formalizações de propriedades de autenticação que servem como base para uma análise formal
de protocolos de autenticação.
.. Gerenciamento de identidade
Seguindo o NIST , “os sistemas de gerenciamento de identidade são responsáveis pela criação, uso e ter-
minação de identidades eletrônicas ” . Isso inclui aspectos operacionais ao criar e excluir
identidades eletrônicas. Na criação, uma questão é quão fortemente as identidades eletrônicas devem
estar ligado a pessoas. Em algumas áreas sensíveis, vínculos fortes devem ser estabelecidos e documentados
comentado. Por exemplo, as regras de lavagem de dinheiro podem exigir uma verificação completa de um
identidade do titular da conta. Em outras áreas, as identidades eletrônicas não precisam estar vinculadas a uma pessoa.
A privacidade por design implica que tais aplicativos devem usar identidades eletrônicas que não podem
estar ligado a pessoas. O gerenciamento de identidade também pode vincular direitos de acesso a uma identidade eletrônica
https://translate.googleusercontent.com/translate_f 372/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tidade, seja diretamente ou por meio de alguma camada indireta, como uma função. Identidades eletrônicas devem
ser encerrado quando não for mais necessário, por exemplo, quando uma pessoa deixa uma organização.
Deve-se ter cuidado para que isso seja feito em todos os sistemas onde essa identidade foi registrada.
Identidades eletrônicas existem em diferentes camadas. Existem identidades para fins de sistema interno,
como identidades de usuário em um sistema operacional. Essas identidades devem ser exclusivas localmente e
pode ser criado por administradores de sistema (Linux). Isso pode levar a problemas quando uma identidade
tidade é retirada de uso e reatribuída posteriormente. O novo usuário pode obter acesso não intencional a
recursos aos quais o predecessor tinha acesso. Quando as organizações se fundem, as colisões entre
podem surgir identidades que o gerenciamento de identidade deve abordar. Alternativamente, identidades
podem ser longas sequências aleatórias (Windows). A probabilidade de um dos problemas apenas homens-
suposto surgir é então insignificante, mas quando uma conta de usuário é recriada, uma nova identidade aleatória
é atribuído, portanto, os direitos de acesso devem ser reatribuídos do zero.
Identidades eletrônicas, como nomes de usuário e endereços de e-mail, podem ser sequências aleatórias, mas
muitas vezes é preferível atribuir identidades compreensíveis. Há, por exemplo, mérito em com
comunicar-se com endereços de e-mail significativos. Os endereços de e-mail podem ser retirados de uso e
reatribuído posteriormente, mas um usuário pode então receber e-mails destinados ao proprietário anterior.
Os aplicativos da Web costumam usar endereços de e-mail como identidades eletrônicas. Isso é conveniente para
entrar em contato com o usuário, e é conveniente para os usuários, pois eles não precisam se lembrar de um novo
identidade. Existem alternativas, como FIDO UAF (Seção . . .), onde identificação eletrônica
tidades são chaves públicas criadas aleatoriamente e um canal de apoio para redefinir senhas não é
necessário, pois nenhuma senha é usada.
O gerenciamento de identidade também pode ser visto da perspectiva de uma pessoa. Uma pessoa usando
identidades com diferentes organizações podem querer gerenciar como as identidades são reveladas
para outras partes.
www.cybok.org
.. Autenticação de usuário
Os pedidos de acesso são emitidos por assuntos. Os assuntos podem ser associados a atributos de segurança
quando eles são criados ou durante sua vida. A autenticação pode então ser vista como o servidor
vício que valida os atributos de segurança de um assunto quando ele é criado. Quando os assuntos são
criado devido a alguma ação do usuário, e quando seus atributos de segurança dependem do
protegendo a identidade do usuário, a autenticação do usuário deve dar um grau razoável de garantia de que
a identidade do usuário ligada ao assunto pertence ao usuário que desencadeou a criação do
o sujeito. O grau de garantia (força de autenticação) deve ser proporcional
com a gravidade do risco que se deseja mitigar. O termo autenticação baseada em risco, portanto,
afirma o óbvio.
A autenticação do usuário também pode oferecer suporte à responsabilidade, conforme detalhado na Seção .6.
A cerimônia de autenticação se refere às etapas pelas quais um usuário deve passar para ser autenticado.
Existem sistemas de controle de acesso onde os atributos de segurança de um assunto persistem através de
o tempo de vida desse assunto. Muitos sistemas operacionais adotam essa abordagem. Mudanças de política
não afetam os processos ativos, mas o tempo de vida dos sujeitos é limitado, o que limita o período
quando a nova política não é aplicada de forma consistente. Alternativamente, os atributos de um assunto são
verificado cada vez que emite um pedido. Por exemplo, um usuário já conectado a um banco
o aplicativo é autenticado novamente ao solicitar uma transferência de fundos. Quando o foco se move
desde o assunto até as solicitações individuais, a autenticação pode ser vista como o serviço que
verifica a validade dos atributos de segurança submetidos com a solicitação ao algoritmo de decisão
ritmo.
. . . Senhas
Quando as senhas são empregadas para autenticação do usuário, medidas de proteção no sistema
lado incluem o armazenamento de senhas com hash (Unix, Linux) ou criptografadas (Windows), o salt-
de senhas e arquivos de senhas ocultas que movem dados confidenciais para fora do mundo legível
https://translate.googleusercontent.com/translate_f 373/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
arquivos de senha. As medidas de proteção do lado do usuário incluem orientação sobre a escolha adequada
e manipulação de senhas e programas de conscientização de segurança que tentam incutir um comportamento que
garante a ligação entre uma pessoa e um diretor. As recomendações nesta área são alteradas
ing. As Diretrizes de Identidade Digital publicadas pelo NIST baseiam-se nas avaliações dos observados
eficácia das regras de senha anteriores e refletem o fato de que os usuários de hoje precisam gerenciar
senhas de idade para várias contas [ 88] As novas recomendações aconselham
• contra a expiração automática da senha; as senhas só devem ser alteradas quando houver
uma razão;
• contra regras para senhas complexas; o comprimento da senha é mais importante do que a complexidade;
• contra dicas de senha ou autenticação baseada em conhecimento; em uma era de redes sociais
muitas informações sobre uma pessoa podem ser encontradas em fontes públicas;
• para habilitar “mostrar senha ao digitar” e permitir campos de senha para colar.
Os protocolos baseados em senha para autenticação remota são RADIUS, DIAMETER (ambos cobertos
na Área de Conhecimento de Segurança de Rede (Capítulo )) , Autenticação HTTP Digest e para
em certa medida Kerberos (Seção ...) A orientação da senha é discutida mais detalhadamente no Hu-
Man Factors Knowledge Area (Capítulo ) .
www.cybok.org
Vários argumentos bem ensaiados explicam por que as senhas funcionam mal na prática. Biomet-
rics são uma alternativa que evita a carga cognitiva associada à autenticação baseada em senha
ção Impressão digital e reconhecimento facial são os dois métodos principais implantados para o usuário biométrico
autenticação, conhecida como verificação nesse domínio.
Os recursos biométricos devem ser suficientemente exclusivos para distinguir entre os usuários, mas ngerprints
ou rostos não podem ser considerados segredos. As impressões digitais são deixadas em muitos lugares, por exemplo.
Os recursos biométricos são, portanto, melhor tratados como informações públicas ao conduzir uma segurança
a análise e o processo de captura dos recursos durante a autenticação deve oferecer um ade-
nível adequado de detecção de vitalidade , seja por meio da supervisão desse processo ou por meio do dispositivo
recursos. O emprego da biometria para autenticação do usuário faz as seguintes suposições:
• Os recursos biométricos identificam exclusivamente uma pessoa; padrões de rosto, impressões digitais e íris
podem servir de exemplo.
• Os recursos são estáveis; os efeitos do envelhecimento no reconhecimento da impressão digital são pesquisados, por exemplo,
dentro [ 8 ]
A autenticação do usuário, conhecida como verificação em biometria, começa a partir de um modelo capturado por
um dispositivo. Do modelo, um vetor de recurso é extraído. Por exemplo, o modelo pode ser
a imagem de uma impressão digital, as características são as posições das chamadas minúcias (terminações de crista,
bifurcações, verticilos, etc.). Os usuários inicialmente registram um vetor de recurso de referência. Durante a autenticação
cation, um novo modelo é capturado, os recursos são extraídos e comparados com a referência
valores. Um usuário é autenticado se o número de recursos correspondentes exceder um determinado limite.
Este processo pode falhar por vários motivos:
• Falha na captura: pode ocorrer no momento do registro, quando não é possível extrair um
número suficiente de recursos ou durante a autenticação.
• Spoo ng: para enganar o dispositivo que captura o template, algum objeto que carrega o usuário
recursos são apresentados. A detecção de vivacidade tenta garantir que os modelos sejam capturados
da própria pessoa que está sendo autenticada [ ]
A autenticação biométrica com base no reconhecimento facial ou ngerprints é cada vez mais usada em
portões de controle automatizado de fronteira [ ] Também se tornou um recurso em dispositivos móveis, consulte
por exemplo][Uma pesquisa das abordagens atuais de última geração para autenticação biométrica é
dado em [ ]
https://translate.googleusercontent.com/translate_f 374/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. . . Tokens de autenticação
A autenticação por senha depende de “algo que você conhece”. Construções de autenticação biométrica
sobre “quem você é”. Em outra alternativa, os usuários recebem um dispositivo (também conhecido como token ou secu-
chave rity , não deve ser confundida com uma chave criptográfica) que calcula uma OTP sincronizada com
o autenticador ou uma resposta a um desafio definido pelo autenticador. Posse do
dispositivo é então necessário para uma autenticação bem-sucedida, que é, portanto, baseada em “algo
você tem".
Um token pode ser um pequeno dispositivo portátil com um display LED para mostrar um OTP que
o usuário entra em um formulário de login; RSA SecureID e YubiKey são exemplos para este tipo de
símbolo. Um token pode vir com um teclado numérico, além do display LED e com um
botão 'assinar'. O titular pode então receber um desafio, por exemplo, um número de 8 dígitos, digite-o no
teclado, pressione 'assinar' para pedir ao token para calcular e exibir a resposta e, em seguida, digite
a resposta em um formulário de login. Alguns serviços de e-banking usam este tipo de token para conta
autenticação do titular. Com dispositivos PhotoTAN, o desafio é enviado como um código QR para o
computador do usuário e digitalizado da tela pelo dispositivo PhotoTAN. Quando autenticação
é baseado em um segredo compartilhado entre o token e o servidor, diferentes tokens devem ser usados para
servidores diferentes.
O autenticador FIDO é um token que pode criar pares de chave pública / chave privada; chaves públicas
servem como identificadores, as chaves privadas são usadas para gerar assinaturas digitais [ 6 ] Em FIDO
UAF, os usuários registram uma chave pública com um servidor. O mesmo token pode ser usado para diferentes
servidores, mas com chaves diferentes. A autenticação do usuário é baseada em um padrão de desafio-resposta
(Seção . . .), onde o autenticador do usuário assina digitalmente a resposta ao servidor
desafio. A resposta é veri cada usando a chave pública registrada no servidor.
Aplicativos em smartphones podem fornecer a mesma funcionalidade que tokens de autenticação, mas inteligente-
telefones não são dispositivos de segurança dedicados. A autenticação do usuário pode então ser comprometida
por meio de ataques ao smartphone. Isso pode se tornar ainda mais fácil quando os smartphones vêm com
um mecanismo de autenticação secundário para uso quando um dispositivo está parcialmente bloqueado, com menos
cerimônia de autenticação onerosa, mas também menos segura. Isso cria um conflito entre o
interesses dos fabricantes de smartphones que valorizam a facilidade de uso de um dispositivo de comunicação,
e os interesses dos fornecedores de aplicativos confidenciais que procuram um token de segurança.
. . . Autenticação Comportamental
A autenticação comportamental analisa "o que você faz", prestando-se naturalmente ao auto contínuo
autenticação . Dinâmica de teclas [ , ] pode ser capturado sem equipamento dedicado.
Os recursos característicos da escrita à mão são a velocidade de escrita e a pressão da caneta [ 6] Aqui, spec-
canetas ciais ou blocos de escrita precisam ser implantados. O reconhecimento de voz precisa de um microfone. Inteligente-
os telefones vêm com vários sensores, como telas sensíveis ao toque e microfones que estão sendo
utilizado para autenticação comportamental hoje. Os requisitos de autenticação comportamental
são iguais aos listados na Seção . . .:
www.cybok.org
https://translate.googleusercontent.com/translate_f 375/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A autenticação multifator combina vários métodos de autenticação do usuário para aumentar o nível de segurança
curidade. A Diretiva Europeia de Serviços de Pagamento (PSD, Diretiva (UE) / 66), escrita
para a regulamentação de prestadores de serviços financeiros, prescreve FA para pagamentos online (com um
poucas exceções). PSD, portanto, é um estudo de caso sobre a implementação de soluções de FA em grande escala .
Os dois fatores podem ser uma senha e um token de autenticação para a transação de computação
Números de autenticação (TANs) vinculados exclusivamente ao conteúdo de uma transação. O token poderia
ser um dispositivo separado; se o dispositivo estiver vinculado a apenas um serviço de pagamento, os clientes teriam
para transportar vários dispositivos com eles. Para dispositivos que podem ser usados com vários serviços, alguns
nível de padronização prévia é necessário. A aliança FIDO tem promovido seus padrões
para autenticação de dois fatores compatível com PSD.
O token pode ser um smartphone registrado no serviço; os clientes poderiam então instalar
aplicativos para vários serviços no mesmo dispositivo. Esta abordagem tem sido favorecida por muitos
bancos. No entanto, quando as senhas (ou PINs) e os TANs são tratados pelo mesmo dispositivo, o
dois mecanismos não são mais independentes, reduzindo os ganhos de segurança reivindicados para FA.
Em contraste com os serviços de confiança europeus e regulamento de identificação eletrônica (eID Direc-
tiva - Regulamento (UE) No /) que especifica requisitos sobre a criação de assinaturas seguras
dispositivos, o PSD não impõe requisitos de segurança aos dispositivos usados para a autenticação do usuário
comunicação, mas quer “permitir o uso de todos os tipos comuns de dispositivos (como computadores,
tablets e telemóveis) para a realização de diversos serviços de pagamento ”. PSD e o eID
A diretiva, portanto, atinge diferentes equilíbrios entre facilidade de uso e segurança, um compromisso notório
muito difícil de acertar.
www.cybok.org
. . . Protocolo Needham-Schroeder
. . . Kerberos
Os usuários compartilham uma senha com um servidor de autenticação Kerberos (KAS) com o qual estão registrados.
A partir dessa senha, o cliente e o KAS derivam uma chave de criptografia simétrica. Em sua resposta
a um pedido do cliente o KAS envia uma chave de sessão criptografada para o cliente, junto com um
tíquete contendo essa chave de sessão criptografada sob uma chave compartilhada entre o KAS e o
servidor . Se a senha correta for inserida no cliente, a chave de sessão pode ser descriptografada.
O tíquete é encaminhado para o servidor . Cliente e servidor agora compartilham a chave de sessão, e o
servidor pode retornar um autenticador construído com a chave de sessão .
Um Ticket Granting Server (TGS) pode fornecer uma camada adicional de indireção entre o cliente e
servidor. O KAS emitiria uma chave de sessão para o TGS e um Ticket Granting Ticket (TGT) para
o cliente. Com a chave de sessão e o TGT, o cliente então solicita um tíquete para o recurso
servidor. O TGS verifica o TGT e pode aplicar uma política de controle de acesso para decidir se
para emitir um tíquete para uso com o servidor. Se o pedido for aprovado, o TGS emite outro
chave de sessão e um tíquete criptografado sob uma chave secreta compartilhada entre o TGS e o servidor.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, nonce eu . autenticador
- cliente J
. eK UID (Kses), tíquete . bilhete
eu eu
KAS servidor
www.cybok.org
. . . SAML
Tokens de segurança contendo asserções são usados para passar informações sobre um principal (geralmente
um usuário final) entre uma autoridade SAML (também conhecida como provedor de identidade (IdP) ou parte declarante), e
um consumidor SAML (também conhecido como provedor de serviços (SP) ou parte confiável). Asserções podem ser aprovadas
por meio do cliente para a parte confiável (perfil POST do navegador, Figura .) ou ser puxado pela confiança
parte da parte declarante por meio de um identificador (artefato) passado pelo cliente (artefato do navegador
per l, Figura .) A especificação de mensagens e asserções SAML é baseada em XML.
https://translate.googleusercontent.com/translate_f 377/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
busca.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, credencial de login eu
- cliente
. afirmação
. afirmação
6
eu . pedido de autenticação eu
IdP - SP
-. pedido de conexão
Figura . : Fluxo de mensagem no perfil SAML POST.
..........
......... ....... ................................. ............
...... ......................
. ..........
................
. ..........
. ..........
........
...... .......................
do utilizador
. UID, SID, credencial de login eu
- cliente
. artefato . artefato
eu . artefato eu
J
IdP -
RP
. afirmação
Figura . : Fluxo de mensagem no per l do artefato SAML .
www.cybok.org
SAML foi introduzido como um meta-protocolo para isolar os serviços da web da autenticação subjacente
protocolos de cação e de diferentes protocolos de comunicação subjacentes. Foi concebido
como um protocolo de logon único federado, em que a parte confiável decide como usar asserções
ao tomar decisões de acordo com sua própria política de segurança.
Na implantação prática do SAML, analisando documentos XML - o preço a ser pago por em-
manipulando um meta-protocolo - pode criar sobrecargas não triviais e pode introduzir vulnerabilidades de segurança
habilidades. Além disso, o advento dos smartphones tornou mais fácil o acesso à internet
de dispositivos móveis de usuário, removendo uma das razões para a introdução de um meta-protocolo ser-
entre os serviços da Web e os sistemas de TI subjacentes.
Protocolos mais recentes, como OAuth. [86] e OpenID Connect [ 8] executado diretamente sobre HTTP
e fornecer autenticação e autorização. As partes envolvidas incluem um usuário que possui
recursos, o proprietário do recurso, um servidor de recursos que armazena os recursos do usuário, um chamado
aplicativo cliente que deseja ter acesso a esses recursos e uma autorização
Servidor (COMO) que pode autenticar usuários e aplicativos cliente.
Os clientes devem ser registrados no AS. Eles receberão um ID de cliente público e um cliente
segredo compartilhado com o AS. Este segredo é usado para estabelecer sessões seguras entre o
cliente e o AS. O cliente também registra redirect_ URIs com o AS. O AS irá redirecionar um
agente de usuário apenas para aqueles registrados redirect_URIs. A definição adequada dos URIs redirect_ é
principalmente uma questão para o cliente, e também pode ser aplicada pelo AS. Configurações fracas estão abertas
à exploração por invasores.
Em uma execução de protocolo OAuth (uma visão geral de alto nível é fornecida na Figura . ), o agente do usuário
(navegador) abriu uma janela para o aplicativo cliente. Na janela do cliente, uma autoridade
a solicitação de instalação pode ser acionada; a solicitação também contém um redirect_URI. O agente de usuário
em seguida, normalmente transmite a solicitação de autorização e a autorização do usuário para o AS . UMA
sessão segura entre o agente do usuário e o AS é necessária e pode já existir se o
o usuário fez login anteriormente no AS. Se a autorização for concedida, uma concessão de autorização é
retornou ao agente do usuário , que o passará para o redirect_URI fornecido pelo cliente .
O cliente então publica a concessão de autorização e um URI de redirecionamento para o AS . É assumido
que o AS pode autenticar esta mensagem como vinda do cliente. Se o pedido for válido,
o AS retorna um token de acesso ao URI de redirecionamento fornecido, onde o token pode ser usado para
recuperar o recurso do servidor de recursos 6 .
As solicitações de autorização e as concessões de autorização são vinculadas por meio de uma ID de solicitação, chamada de estado em
OAuth. Omitir o ID do pedido ou usar um valor xed introduziu vulnerabilidades no aplicativo
cátions usando OAuth, consulte, por exemplo,, [ ]
..........
......... ....... ................................. ............
...... ......................
. ..........
................
https://translate.googleusercontent.com/translate_f 378/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. ..........
. ..........
........
...... .......................
do utilizador
. solicitação de autenticação + aprovação
eu . pedido de autorização
do utilizador J
- agente
. concessão de autorização . concessão de autorização
eu . concessão de autorização eu
autor. J cliente
servidor - (aplicativo)
6. token de acesso
Figura . : Fluxo de mensagem em OAuth. .
www.cybok.org
Há uma mudança fundamental em foco em comparação com os protocolos SSO , como Kerberos e
SAML, apesar de um considerável grau de semelhança nos fluxos de mensagens. Em um OAuth. pró-
tocol run o usuário não é mais a parte que está solicitando acesso a um recurso de propriedade de alguém
outra coisa, mas a parte que concede acesso aos recursos de propriedade do usuário. OAuth. assim foi
vem um protocolo de autorização. Várias suposições sobre relações de confiança pré-existentes
entre as partes devem ser atendidas para que o OAuth seja seguro. Por outro lado, não se pode tomar por
concedido que as propriedades de segurança OAuth ainda se mantêm quando o protocolo é implantado em um novo
contexto.
O OpenID Connect coloca a autenticação do usuário de volta no OAuth. mensagem ow. O cliente
aplicativo agora funciona como uma parte confiável, e o servidor de autorização torna-se um autenticador
servidor de cação e autorização que emite tokens de identificação assinados digitalmente (asserções de autenticação
na dicção SAML ). Um token de identificação contém o nome do emissor, o nome do autenticado
usuário (chamado assunto ), a parte confiável pretendida (chamada público ), o nonce que foi
enviado com a solicitação de autenticação, um indicador da força da autenticação e outros campos.
.. Facetas de autenticação
Nós esboçamos como a autenticação de usuário em sistemas distribuídos primeira sessão integrada
e estabelecimento de chave com o processo de verificação da identidade de um usuário, e posteriormente estabelecido
práticas de autorização para acessar os recursos de um usuário. Em segurança de comunicação, entidade par
autenticação refere-se ao processo de verificação da identidade do par em uma conexão e
autenticação de origem de dados para o processo de verificação da origem de itens de dados individuais.
A autenticação do usuário, seja relativa a um sistema local ou a um sistema remoto, envolve três
aspectos:
• criar um novo assunto, por exemplo, um novo processo ou uma nova sessão com uma nova chave de sessão,
• vincular uma entidade externa, por exemplo, uma pessoa, a uma identidade interna.
Autenticação de entidade de acordo com a definição em ISO/ IEC 8 pode ser implementado com
mecanismos de resposta ao desafio. Quando provador e verificador compartilham um segredo, o verificador envia
um desafio imprevisível para o provador que constrói sua resposta em função do
desafio e o segredo compartilhado. Por exemplo, a autenticação HTTP digest usa o hash de
o desafio, uma senha e outros dados que vinculam a autenticação a um determinado HTTP
solicitação.
Quando a criptografia de chave pública é usada, o verificador precisa da chave pública do provador. Com um digi-
tal esquema de assinatura, o verificador poderia enviar o desafio de forma clara e o provador poderia
https://translate.googleusercontent.com/translate_f 379/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 474 O Conhecimento em Segurança Cibernética
www.cybok.org
responda com o desafio assinado. Com um esquema de criptografia de chave pública, o verificador poderia entrar
criptografar o desafio sob a chave pública do provador; uma resposta construída a partir do descriptografado
desafio autenticaria o provador. O último mecanismo é usado com a plataforma confiável
Módulos (TPMs) onde a descriptografia bem-sucedida de dados criptografados sob o endosso público
chave de ment de um TPM autentica o TPM. Em ambos os casos, o verificador precisa de uma cópia autêntica
da chave de verificação pública do provador. Quando os usuários são identificados por chaves públicas arbitrárias, não
A infraestrutura de chave pública é necessária e a chave pública pode ser definida diretamente em um registro
Estágio.
. . . Propriedades de Correspondência
O protocolo Public-Key Needham-Schroeder usa criptografia de chave pública com seu desafio
mecanismo de resposta [ 8 ] Neste protocolo, um provador malicioso pode descriptografar um desafio
e reutilizá-lo em um protocolo executado com um terceiro fingindo ser o verificador original; o terceiro
parte, então, responderia ao verificador, embora o verificador não esteja envolvido em um protocolo
executado com o terceiro [ 8 ] Este cenário equivaleria a um ataque se a incompatibilidade em
as suposições sobre a execução de um protocolo são relevantes para a segurança. O ataque seria detectado se
as identidades do provador e verificador estão incluídas em todas as mensagens. Observe que neste 'ataque' o
o verificador ainda conclui corretamente que o provador está vivo.
• Dinamismo : sempre que o verificador (iniciador) conclui uma execução de protocolo, o provador também tinha
esteve envolvido em uma execução de protocolo.
• Acordo fraco : sempre que o verificador (iniciador) conclui uma execução de protocolo aparentemente
com um determinado provador, o provador também estava envolvido em uma execução de protocolo, aparentemente com
aquele verificador.
• Acordo não injetivo : sempre que o verificador (iniciador) conclui uma execução de protocolo
parentemente com um determinado provador, o provador também estava envolvido em uma execução de protocolo, ap-
parentemente com aquele verificador, e o respondente e o receptor concordam com um conjunto específico de dados
itens pertencentes a uma execução de protocolo.
• Acordo : sempre que o verificador (iniciador) conclui um protocolo executado aparentemente com um
dado provador, o provador também estava envolvido em uma execução de protocolo, aparentemente com aquele
verificador, respondente e receptor concordam com um conjunto específico de itens de dados relativos a
um protocolo executado, e cada protocolo executado do verificador corresponde a um protocolo único
corrida do provador.
As propriedades de correspondência são propriedades intensionais bem adequadas para a análise de protocolo nos-
verificando o modelo. Esta linha de pesquisa reverteu a decisão anterior de separar puros
autenticação de entidade de concordar em chaves de sessão e, novamente, acordo adicionado em certos
itens de dados para autenticação. TAMARIN [ ] e ProVerif [ ] são exemplos de ferramentas que
suporte a análise automatizada de protocolos de autenticação.
www.cybok.org
Voltando a uma visão holística da autenticação, pode-se usar isso como um termo geral para mecanismos
nismos que criam um novo assunto e o associam a evidências relevantes para decisões de acesso.
Se esta rota for tomada, verificar a identidade de um usuário torna-se apenas um caso especial de autenticação
cátion.
Por exemplo, o controle de acesso em sistemas distribuídos pode fazer uso de criptografia de chave pública
(Seção ...) As chaves públicas podem então ser interpretadas como assuntos para fins de acesso
ao controle. As verificações realizadas por uma autoridade certificadora antes de emitir um certificado seriam
então equivalem à autenticação de uma entidade externa.
A autenticação pode servir ao propósito de dar crédito a uma entidade pelas ações que ela executou,
ou de estabelecer qual entidade é responsável por uma ação [ 6] No primeiro caso, um ataque
equivale a ganhar créditos não merecidos e a autenticação é quebrada se o invasor for bem-sucedido
em fazer uma vítima realizar ações sob a identidade do atacante. No segundo caso, um at-
aderência equivale a detectar a responsabilidade para outra pessoa e a autenticação é quebrada se o
o atacante consegue realizar ações sob a identidade da vítima.
.6 PRESTAÇÃO DE CONTAS
[ , CH. ], [ 8, CH. 8]
A responsabilidade foi definida como "a meta de segurança que gera o requisito para ac-
ções de uma entidade a serem rastreadas exclusivamente para essa entidade. Isso apóia o não repúdio, a dissuasão,
isolamento de falhas, detecção e prevenção de intrusão e recuperação pós-ação e ação legal ”
[ ]
Esta definição convida investigações em psicologia para determinar o que torna um eficaz
dissuasor, investigações sobre questões jurídicas para determinar o padrão de provas exigidas
em um tribunal de justiça e investigações técnicas sobre a coleta, proteção e análise de
evidências. Esta área de conhecimento se concentrará nesses aspectos técnicos.
Os processos citados fazem uso de logs de eventos. Esses registros podem ser mantidos pelo
sistema operacional, por dispositivos de rede ou por aplicativos (Seção .6. vai dar um ex-
amplo). A natureza dos eventos depende da atividade que está sendo monitorada.
A responsabilidade é tão forte quanto a qualidade das evidências coletadas durante as operações. Sys-
Dez administradores podem definir políticas de auditoria que definem quais eventos serão registrados. Exemplos
para tais eventos são tentativas de autenticação bem-sucedidas e malsucedidas e decisões sobre
pedidos de acesso. Os sistemas operacionais e ferramentas de auditoria fornecem menus para orientar os administradores
através desta tarefa. Políticas de controle de acesso que especificam como obrigações certas solicitações
deve ser registrada também a influência sobre a qual as evidências são coletadas.
A responsabilidade é tão forte quanto a proteção das evidências coletadas durante as operações.
https://translate.googleusercontent.com/translate_f 381/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os invasores podem tentar ocultar seus rastros excluindo entradas de registro incriminatórias, uma vez que tenham
adquiriu privilégios suficientes. Eles poderiam então modificar as políticas de auditoria para que ações futuras
não são registrados, mas não devem ser capazes de alterar as evidências já coletadas.
A resistência à adulteração pode depender de medidas físicas como imprimir o registro em um papel sem fim
bobinar ou gravar o log em WORM (Grave uma vez, leia várias) memória como um disco óptico. Tamper
resistência poderia ser suportada por criptografia. Armazenando o log como uma cadeia hash [ , ]
torna evidente quando as entradas foram removidas, mas não garante que as entradas não possam
estar perdido.
As políticas de auditoria devem abordar situações em que o registro é interrompido, por exemplo, porque o registro
le ficou sem espaço. É então aceitável sobrescrever entradas antigas ou o sistema deve
ser interrompido até que a auditoria adequada seja ativada novamente? Este conflito entre disponibilidade e ac-
a contabilização tem que ser resolvida.
Os registros de auditoria podem criar grandes volumes de dados e muitas entradas não são relevantes para a segurança, de modo que
o processamento automatizado é necessário. Os padrões de ataque conhecidos podem ser detectados por suas assinaturas.
As técnicas de aprendizado de máquina podem ajudar a detectar anomalias. Lições aprendidas ao aplicar
esta abordagem para detecção de intrusão de rede é discutida em [ ] Técnicas de visualização
tente chamar a atenção dos administradores para os eventos mais relevantes.
www.cybok.org
A responsabilidade é tão forte quanto o método de autenticação do usuário quando legal ou disciplinar
ações plinárias devem ser apoiadas. Isso se relaciona a aspectos técnicos da autenticação
mecanismo e também para a resiliência do usuário a ataques de phishing e engenharia social. Dizendo
os usuários não cair em ataques óbvios de phishing é fácil, mas um ataque de spear phishing bem projetado-
a aderência não será óbvia.
Às vezes, existem soluções técnicas para esses conflitos entre objetivos legais. Levar a
exemplo de uma empresa que não tem permissão para registrar quais sites externos os funcionários con
conectar-se a: quando um site externo é atacado de dentro da rede da empresa, é desejável
que o autor do crime pode ser responsabilizado. Para atingir ambos os objetivos, o portal da empresa
registraria para solicitações de saída apenas o endereço IP interno e o número da porta usado com
o endereço IP global . Portanto, não há registro de sites visitados. Se um ataque for relatado,
o site afetado pode fornecer o número da porta de origem do ataque, estabelecendo o link
entre o endereço IP interno e o site visitado.
Por outro lado, o registro pode ter impactos indesejados sobre a privacidade. Obtenha a transparência do certificado
[RFC 6 6] como exemplo. Certi cate Transparency é um serviço de registro para os emissores de
Certificados TLS. As autoridades certificadoras participantes registram a emissão de certificados com
este serviço. Os proprietários de domínio podem escanear o registro em busca de certificados de seu domínio que possuam
não solicitado, ou seja, detecta falhas de autenticação nos emissores. Este serviço foi introduzido em
reação a ataques onde tais certificados errados foram usados para personificar o
domínio afetado e torna os emissores responsáveis perante os proprietários do domínio.
Subdomínios privados são subdomínios criados apenas para uso interno. Quando um certificado para um pri-
vado subdomínio for solicitado, o certificado será registrado no Certificado de Transparência
log divulgando a existência do subdomínio privado ao público [ ]
https://translate.googleusercontent.com/translate_f 382/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os nós que mantêm o log precisam sincronizar suas versões do log. As despesas gerais
para sincronização, ou consenso , dependem do modelo de falha para os nós e para o
rede de comunicação e sobre as regras de adesão ao sistema distribuído. Os sistemas podem ser
www.cybok.org
aberto a qualquer pessoa ou regido por um serviço de adesão. O interesse recente em blockchains
estende-se a este tipo de soluções de registro.
A definição dada inclui tanto a responsabilidade das pessoas jurídicas quanto os investimentos técnicos
violações de segurança. Os padrões de evidência podem ser mais elevados no primeiro caso.
Rastrear ações exclusivamente para uma entidade leva à atribuição cibernética , o processo de rastreamento e
identificar os autores de um ataque cibernético. Evidência circunstancial, como semelhança em
malware pode ser usado neste processo, e a atribuição incorreta devido a falsas operações ag é um
emitir. Pedindo DRM para proteger a propriedade intelectual dos proprietários de conteúdo, porque digi-
tal conteúdo pode ser copiado facilmente, mas assumir que o malware não pode ser copiado seria
incongruente.
APLICANDO O CONHECIMENTO
Os mecanismos de segurança de TI não devem ser implantados por si mesmos, mas por uma razão. A rea-
filho tem que vir de um aplicativo que precisa de proteção. Uma política organizacional seria
capturar os requisitos de proteção e, em seguida, ser implementado por uma política automatizada (Sec-
ção . . .) Às vezes, esse processo pode começar a partir de uma política organizacional claramente definida.
As políticas que regem o acesso a documentos em papel classificados são um exemplo. Há o
tradução em políticas automatizadas não teve que preencher uma grande lacuna conceitual, embora
houve reviravoltas imprevistas, por exemplo, a política de não escrever no modelo BLP . Estes específicos
circunstâncias podem ter gerado a expectativa injustificada de que essa abordagem funcionaria
em geral. O fato de que essas políticas foram aplicadas em organizações altamente hierárquicas e
estavam razoavelmente estáveis são outros pontos dignos de nota.
Sinclair et al. pintar um quadro de um mundo muito diferente [ ] Suas observações podem ser somadas
marized sob os títulos de tradução (de políticas organizacionais para automatizadas) e
automação . Qualquer tradução tem que começar a partir de um documento de origem, no nosso caso, uma organização
política internacional. O tradutor terá problemas quando a fonte for ambígua ou inconsistente.
Esta situação é mais provável de surgir em organizações com estrutura matricial, onde vários
entidades estão definindo políticas, do que em organizações estritamente hierárquicas. Além disso, quanto mais amplo o
lacuna de idioma entre o documento de origem e o documento de destino, o mais difícil
tradução se torna, e mais difícil é verificar se a tradução atende a
espírito da fonte. A última etapa é um pré-requisito para a certificação da política , ou seja, gestão
aprovação de uma determinada política automatizada.
As políticas organizacionais podem deixar deliberadamente as decisões a critério dos responsáveis pelo caso,
por exemplo, para lidar com situações onde nenhuma das regras existentes é diretamente aplicável ou onde
https://translate.googleusercontent.com/translate_f 383/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Autenticação, autorização e responsabilidade KA (AAA) | Outubro Página
www.cybok.org
A literatura sobre operações de segurança tem a dizer mais sobre os pontos levantados nesta seção
do que a literatura de pesquisa sobre segurança de TI, que tem o hábito de abstrair os problemas para um
ponto onde muitos dos problemas estranhos encontrados na vida real desapareceram [ ],
e então confundir seus modelos simplificados com a realidade.
CONCLUSÕES
O controle de acesso continua se adaptando às mudanças nos aplicativos dos sistemas de TI. Controle de acesso
foi originalmente concebido para a proteção de dados confidenciais em sistemas multiusuário e multinível
sistemas de cura. O controle de acesso sem a identidade do usuário era literalmente impensável. Formulários
mudaram desde então e alguns exigem novos modos de controle de acesso. Pode-se então reservar
'controle de acesso' para a configuração original e inventa novos termos para cada novo modo de acesso
ao controle. O DRM pode servir de exemplo. Este KA não seguiu este caminho, mas aplicou 'acesso
controle ',' autenticação 'e' autorização 'de forma mais geral, mantendo-se fiel ao genérico
significados desses termos. As identidades dos usuários perderam sua proeminência ao longo desse caminho. Código
(aplicativos) e domínios da web tomaram seu lugar.
Autenticação originalmente significava o serviço que vincula entidades externas como usuários humanos para
ações internas no sistema de TI; hoje, também pode denotar o serviço que verifica as evidências
associado a solicitações de acesso que são enviadas para avaliação por um algoritmo de decisão.
Projeto e análise de protocolos de autenticação criptográfica para sistemas distribuídos é um
área de conhecimento madura. As soluções criptográficas para outros aspectos do controle de acesso são de
dez mais de interesse acadêmico do que prático.
www.cybok.org
Seção Cita
. Autorização [ , , , , ]
. . Controle de acesso [ , , ],
. . Aplicação do controle de acesso [ ]
. . Teoria [ ]
https://translate.googleusercontent.com/translate_f 384/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. Controle de acesso em sistemas distribuídos [ , , , ]
. . Conceitos Básicos
. . Políticas baseadas na origem [ ]
. . Controle de acesso federado [ , ]
. . Criptografia e controle de acesso [ ]
. Autenticação [ 8 , 8 , 8 , 86 , 8 , 88 ]
. . Gerenciamento de identidade [ 88 ]
. . Autenticação em Sistemas Distribuídos [ 8 , 8 , 8 , 86]
. . Facetas de autenticação [8]
.6 Responsabilidade [ , CH. ], [ 8, CH. 8]
.6. Aspectos tecnicos [ , CH. ], [ 8, CH. 8]
.6. Privacidade e responsabilidade
.6. Logs Distribuídos
.6. Conceitos Relacionados
Página 481
https://translate.googleusercontent.com/translate_f 385/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
IV Plataforma de Software
Segurança
Página 483
482
Capítulo
Segurança de software
Frank Piessens KU Leuven
https://translate.googleusercontent.com/translate_f 386/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
INTRODUÇÃO
O objetivo deste capítulo de Segurança de Software é fornecer uma visão geral estruturada de
categorias de vulnerabilidades de implementação de software e de técnicas que podem ser usadas
para prevenir ou detectar tais vulnerabilidades, ou para mitigar sua exploração. Esta visão geral é
pretende ser útil para o corpo docente para a concepção de cursos e currículos na área de software
segurança, bem como para profissionais da indústria para a verificação de habilidades e a concepção de trabalho
descrições nesta área.
• As imagens postadas por um usuário só podem ser vistas por seus amigos (confidencialidade)
Diferentes requisitos de segurança podem estar em conflito entre si, por exemplo, bloquear um
sistema na aparência de um ataque é bom para a confidencialidade e integridade do sistema,
mas ruim para a disponibilidade.
Uma falha de segurança é um cenário em que o sistema de software não atinge seu objetivo de segurança
e uma vulnerabilidade é a causa subjacente de tal falha. A determinação de um
a causa subjacente geralmente não é absoluta: não há critérios objetivos para determinar o que
vulnerabilidade é responsável por uma determinada falha de segurança ou onde ela está localizada no código. Um
pode dizer que a vulnerabilidade está na parte do código que deve ser corrigida para evitar
falha de segurança específica, mas os xes podem ser necessários em vários lugares e, muitas vezes, várias
estratégias de mitigação são possíveis onde cada estratégia de mitigação requer um x ou conjunto diferente
de xes.
Este documento, o Software Security KA, cobre essas vulnerabilidades de implementação também
como contra-medidas para eles. Muitos outros aspectos são relevantes para a segurança do software
sistemas baseados, incluindo fatores humanos, segurança física, implantação segura e procedimentos
aspectos reais, mas não são abordados neste capítulo. O impacto da segurança nas várias
Outros requisitos comuns de segurança da informação, como não repúdio ou autenticação de dados, podem ser vistos
como instâncias ou refinamentos de integridade de uma perspectiva de software. Mas de outras perspectivas, por exemplo
de uma perspectiva legal, a semântica desses requisitos pode ser mais envolvente.
https://translate.googleusercontent.com/translate_f 387/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
fases do ciclo de vida do software são discutidas no Secure Software Lifecycle Knowledge
Área (Capítulo 6) Problemas de segurança específicos para software em execução na web ou plataforma móvel
os formulários são discutidos na Web & Mobile Security Knowledge Area (Capítulo ) .
O restante deste capítulo está estruturado da seguinte forma. Tópico . (Categorias) discute
categorias amplamente relevantes de vulnerabilidades de implementação, mas sem a ambição de de-
escrever uma taxonomia completa. Em vez disso, o tópico discute como as categorias de vulnerabilidades
muitas vezes podem ser definidas como violações de uma especificação parcial do sistema de software, e
é improvável que exista uma taxonomia completa útil de tais especificações parciais. O
discussão de contramedidas para vulnerabilidades de implementação é estruturada em termos de
onde no ciclo de vida do sistema de software eles são aplicáveis. Tópico . (Prevenção) dis-
discute como a linguagem de programação e a interface de programação de aplicativos (API) design pode
evitar que vulnerabilidades sejam introduzidas durante o desenvolvimento de software programado
nesse idioma e usando essa API. Além disso, as práticas de codificação defensivas podem contribuir para
a prevenção de vulnerabilidades. Tópico . (Detecção) cobre técnicas para detectar vulnerabilidades
capacidades no código-fonte existente, por exemplo, durante o desenvolvimento e teste. Tópico . (Mit-
igation) discute como o impacto das vulnerabilidades restantes pode ser mitigado em tempo de execução.
É importante notar, no entanto, que algumas técnicas de contramedida podem, em princípio, ser
aplicado em todas as três fases, portanto, esta não é uma classificação ortogonal. Por exemplo, um específico
verificação dinâmica (digamos, uma verificação de limites de array) pode ser exigida pela linguagem específica
(Prevenção, a contramedida é construída pelo designer da linguagem), pode ser usada como
um oráculo de teste (Detecção, a contramedida é usada pelo testador de software) ou pode ser
inline no programa para bloquear ataques em tempo de execução (Mitigação, a contramedida é aplicada
na implantação).
CONTENTE
. CATEGORIAS DE VULNERABILIDADES
[ ][ , c, c, c6, c, c, c] [ 6, c6, c] [ , c] [ , c, c, c, c, c]
www.cybok.org
vulnerabilidades de implementação, mas esta seleção é, pelo menos até certo ponto, subjetiva.
Categorias específicas de vulnerabilidades de implementação podem muitas vezes ser descritas como violações de
uma especificação (formal ou informal) de algum subcomponente do sistema de software. Tal
uma especificação assume a forma de um contrato que torna explícito o que o subcomponente ex-
pectos de, e fornece aos seus clientes. Na violação de tal contrato, o sistema de software
https://translate.googleusercontent.com/translate_f 388/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
entra em um estado de erro, e o comportamento posterior do sistema de software é tipicamente comportamento
que não foi considerado pelos desenvolvedores do sistema e depende da implementação do sistema
detalhes de mentação. Os invasores do sistema podem estudar os detalhes de implementação e explorar
para fazer com que o sistema se comporte de uma forma que seja desejável para o invasor.
• Uma vulnerabilidade espacial é um bug onde o programa está indexando em um contíguo válido
intervalo de células de memória, mas o índice está fora dos limites. O exemplo arquetípico é um
vulnerabilidade de buffer over ow onde o programa acessa um array (um buffer) com um
índice fora dos limites.
• Uma vulnerabilidade temporal é um bug em que o programa acessa a memória que já foi
alocado ao programa, mas desde então foi desalocado. Um exemplo típico é derefer-
encing um ponteiro pendurado.
Um ataque consiste em fornecer dados ao programa para acionar a vulnerabilidade, o que torna
o programa viola o contrato de gerenciamento de memória. O invasor escolhe a entrada como
que o programa acesse uma célula de memória de interesse do invasor:
www.cybok.org
• Em um ataque de corrupção de código , os modos de acesso à memória inválidos compilaram o código do programa
para o código específico do invasor.
• Em um ataque de sequestro de controle , o acesso inválido à memória modi ca um ponteiro de código (para
instância, um endereço de retorno na pilha ou um ponteiro de função) para fazer o processador
executar o código fornecido pelo invasor (um ataque de injeção direta de código ) ou para fazer o processo
sor reutilizar o código existente do programa de maneiras inesperadas (um ataque de reutilização de código , também
conhecido como ataque de injeção indireta de código , como um ataque return-to-libc ou return-
ataque de programação orientada ).
• Em um ataque apenas de dados , o acesso inválido à memória modifica outras variáveis de dados do
programa, possivelmente resultando em maiores privilégios para o invasor.
https://translate.googleusercontent.com/translate_f 389/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Vulnerabilidades de geração de saída estruturada
Os programas muitas vezes têm que construir dinamicamente uma saída estruturada que será então consumida
por outro programa. Os exemplos incluem: a construção de consultas SQL a serem consumidas por
um banco de dados, ou a construção de páginas HTML para serem consumidas por um navegador da web. Um pode
pense no código que gera a saída estruturada como um subcomponente. O pretendido
estrutura da saída e como a entrada para o subcomponente deve ser usada na saída,
pode ser pensado como um contrato ao qual esse subcomponente deve aderir. Por exemplo,
quando fornecido com um nome e senha como entrada, a saída pretendida é uma consulta SQL que
seleciona o usuário com o nome e a senha fornecidos na tabela do banco de dados de usuários.
Uma prática de programação insegura comum é construir essa saída estruturada por meio
de manipulação de cordas. A saída é construída como uma concatenação de strings onde alguns
dessas cadeias de caracteres são derivadas (direta ou indiretamente) da entrada para o programa. Esta prática
é perigoso, porque deixa a estrutura pretendida da string de saída implícita, e mali-
valores cuidadosamente escolhidos para strings de entrada podem fazer com que o programa gere uma saída não intencional.
Por exemplo, um programador pode construir uma consulta SQL como:
query = "select * from users where name = '" + name
+ "'" e pw =' "+ senha +" '"
com a intenção de construir uma consulta SQL que verifique o nome e a senha no
cláusula where. No entanto, se a string de nome for fornecida por um invasor, o invasor pode definir
nome para "John '-", e isso removeria a verificação de senha da consulta (observe que
- inicia um comentário em SQL)
Uma vulnerabilidade de geração de saída estruturada é um bug onde o programa constrói tal
saída tendida. Isso é particularmente perigoso no caso em que a saída estruturada representa
envia o código que se destina a incluir a entrada fornecida como dados . Dados de entrada escolhidos maliciosamente
pode então influenciar o código de saída gerado de maneiras não intencionais. Essas vulnerabilidades são
também conhecidas como vulnerabilidades de injeção (por exemplo, injeção de SQL ou injeção de script). O nome 'injec-
ção 'refere-se ao fato de que a exploração dessas vulnerabilidades, muitas vezes, fornecerá entradas de dados
que fazem com que a saída estruturada contenha instruções de código adicionais, ou seja, exploração em
jects novas instruções não intencionais na saída. Vulnerabilidades de geração de saída estruturada
são relevantes para muitos tipos diferentes de resultados estruturados:
• Uma vulnerabilidade de injeção de SQL é uma vulnerabilidade de geração de saída estruturada onde o
a saída estruturada consiste em código SQL . Essas vulnerabilidades são particularmente relevantes
para software de aplicativo da web do lado do servidor, onde é comum o aplicativo interagir
agir com um banco de dados back-end, construindo consultas parcialmente baseadas na entrada fornecida
por meio de formulários da web.
• Uma vulnerabilidade de injeção de comando é uma vulnerabilidade de geração de saída estruturada onde
a saída estruturada é um comando shell enviado pelo aplicativo ao sistema operacional
tem shell.
• Uma vulnerabilidade de injeção de script , às vezes também chamada de Cross-Site Scripting (XSS) vul-
nerabilidade é uma vulnerabilidade de geração de saída estruturada onde a saída estruturada é
Código JavaScript enviado a um navegador da web para execução do lado do cliente.
Esta lista não é exaustiva. Outros exemplos incluem: injeção XPath, injeções HTML ,
Injeção de CSS, injeção de PostScript e muito mais.
Vários fatores podem contribuir para a dificuldade de evitar vulnerabilidade de geração de saída estruturada
capacidades:
• A saída estruturada pode estar em um idioma que suporte sublinguagens com um signi -
estrutura sintática extremamente diferente. Um exemplo importante de um caso tão problemático
é HTML, que oferece suporte a sub-idiomas, como JavaScript, CSS e SVG.
Técnicas de ataque para explorar vulnerabilidades de geração de saída estruturada geralmente de-
depende da natureza da linguagem de saída estruturada, mas uma ampla gama de técnicas de ataque
para explorar injeção de SQL ou injeção de script são conhecidas e documentadas.
https://translate.googleusercontent.com/translate_f 390/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A Web & Mobile Security Knowledge Area (Capítulo ) fornece uma discussão mais detalhada
de tais técnicas de ataque.
Essas suposições podem ser novamente consideradas como parte de uma especificação do programa. Esta
especificação não é mais um contrato entre dois sub-componentes do programa (um chamador
e um receptor), mas é um contrato entre o ator que executa o programa e seu ambiente
(todos os atores concorrentes), onde o contrato especifica as suposições feitas sobre como o
ambiente irá interagir com os recursos do programa. Por exemplo, a especificação pode
dizem que o programa depende de acesso exclusivo a um conjunto de recursos por um intervalo específico de
www.cybok.org
sua execução: somente o ator que executa o programa terá acesso ao conjunto de recursos
para o intervalo especificado.
As violações de tal especificação são bugs de simultaneidade , também comumente chamados de raça
condições , porque uma consequência desses bugs é que o comportamento do programa pode
depende de qual ator simultâneo acessa um recurso primeiro ('ganha uma corrida'). Simultaneidade e
os problemas correspondentes de obter programas corretos na presença de simultaneidade, é um
importante subárea da ciência da computação, com importância muito além da área de cibersecu-
ridade [ 8]
Mas os bugs de simultaneidade também podem ser bugs de segurança. Bugs de simultaneidade muitas vezes introduzem
determinismo: o comportamento de um programa dependerá do tempo exato ou intercalação de
as ações de todos os atores concorrentes. Em ambientes adversários, onde um invasor controla alguns
dos atores simultâneos, o invasor pode ter controle suficiente sobre o tempo das ações para
in uenciar o comportamento do programa de forma que um objetivo de segurança seja violado. Uma competição de corrida
A vulnerabilidade de partição é um bug de simultaneidade com tais consequências de segurança. Muito comum
instância é o caso em que o programa verifica uma condição em um recurso e, em seguida, confia em
essa condição ao usar o recurso. Se um invasor pode intercalar suas próprias ações em
invalidar a condição entre a verificação e o tempo de uso, isso é chamado de tempo de verificação
Tempo de uso (TOCTOU) vulnerabilidade.
Vulnerabilidades de condição de corrida são relevantes para muitos tipos diferentes de software. Dois importantes
as áreas importantes onde ocorrem são:
• Condições de corrida no sistema de arquivo: programas privilegiados (ou seja, programas que funcionam com
mais privilégios do que seus chamadores, por exemplo, serviços de sistema operacional) frequentemente precisam
para verificar alguma condição em um arquivo, antes de executar uma ação nesse arquivo em nome de
um usuário menos privilegiado. Deixar de realizar verificação e ação atomicamente (de modo que nenhum controle
o ator atual pode intervir) é uma vulnerabilidade de condição de corrida: um invasor pode invalidar
a condição entre o cheque e a ação.
• Corridas no estado da sessão em aplicativos da web: os servidores da web são frequentemente multi-threaded
para fins de desempenho, e as solicitações HTTP consecutivas podem ser tratadas por diferentes
tópicos. Portanto, duas solicitações HTTP pertencentes à mesma sessão HTTP podem acessar
o estado da sessão simultaneamente. Deixar de levar isso em consideração é uma vulnerabilidade à condição de corrida
que pode levar à corrupção do estado da sessão.
.. Vulnerabilidades de API
Uma interface de programação de aplicativo ou API, é a interface através da qual um software
componente se comunica com outro componente, como uma biblioteca de software, operando
sistema, serviço da Web e assim por diante. Quase todo software é programado para um ou mais
APIs pré-existentes. Uma API vem com uma especificação / contrato (explícito ou implícito) de como
deve ser usado e quais serviços ele oferece, e assim como os contratos que consideramos em pré-
várias subseções, as violações desses contratos podem muitas vezes ter consequências significativas
para segurança. Se o cliente da API violar o contrato, o sistema de software entra novamente
um estado de erro, e o comportamento posterior do sistema de software dependerá da implementação
detalhes de instalação da API, e isso pode permitir que um invasor quebre o objetivo de segurança do
sistema geral de software. Esta é essencialmente uma generalização da ideia de implementação
vulnerabilidades como violações de contrato de subseções . . , . . e . . para API arbitrária
https://translate.googleusercontent.com/translate_f 391/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
contratos.
www.cybok.org
Claro, algumas APIs são mais sensíveis à segurança do que outras. Uma ampla classe de APIs que são
sensíveis à segurança são APIs para bibliotecas que implementam funcionalidades de segurança como criptografia
ou lógica de controle de acesso. De um modo geral, um sistema de software deve usar toda a 'segurança
componentes 'em que se baseia de forma funcionalmente correta, ou é provável que viole uma segurança
objetivo. Isso é particularmente desafiador para bibliotecas criptográficas: se uma biblioteca criptográfica
oferece uma API flexível, então, o uso correto dessa API (no sentido de que um determinado objetivo de segurança é
alcançado) é conhecido por ser difícil. Há evidências empíricas substanciais [ ] que os desenvolvedores
freqüentemente cometem erros no uso de APIs criptográficas, introduzindo vulnerabilidades.
Uma preocupação ortogonal para o uso seguro é a implementação segura da API criptográfica.
Implementações seguras de criptografia são abordadas na Área de Conhecimento de Criptografia
(Capítulo )
Intimamente relacionados aos canais laterais estão os canais ocultos . Um canal secreto é um canal de informação
nel onde o invasor também controla o programa que está vazando informações através do
canal, ou seja, o invasor usa um canal lateral para extrair informações propositalmente.
Os canais laterais desempenham um papel importante no campo da criptografia, onde a lacuna de abstração
entre () a descrição matemática (ou nível de código-fonte) de um algoritmo criptográfico
e () a implementação física desse algoritmo, mostrou-se relevante para se-
curiosidade [ ] Foi demonstrado que, a menos que uma implementação proteja cuidadosamente contra
isso, canais laterais com base no consumo de energia ou tempo de execução podem facilmente vazar a criptografia
chave gráfica usada durante a execução de um algoritmo de criptografia. Isso quebra a segurança
objetivos de criptografia para um modelo de invasor onde o invasor pode monitorar fisicamente
o processo de criptografia. Ataques de canal lateral contra implementações criptográficas (e
contramedidas correspondentes) são discutidas na Área de Conhecimento de Criptografia (Cap-
ter )
Mas os canais laterais são amplamente relevantes para a segurança de software em geral. Canais laterais podem ser
estudado para qualquer cenário onde o software é implementado em termos de uma abstração de camada inferior,
www.cybok.org
mesmo que a abstração da camada inferior em si ainda não seja uma implementação física. Um importante
exemplo é a implementação da Arquitetura do Conjunto de Instruções de um processador (É UM) em termos
de uma microarquitetura. A execução do código assembly escrito no ISA terá efeitos
https://translate.googleusercontent.com/translate_f 392/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
no estado micro-arquitetônico; por exemplo, um efeito pode ser que alguns valores são copiados
da memória principal para um cache. O ISA abstrai esses efeitos, mas sob ataque
modelos onde o invasor pode observar ou influenciar esses efeitos micro-arquitetônicos, eles
constituem um canal lateral.
Os canais laterais, e em particular os canais laterais baseados em software, são mais comumente um contra
ameaça de dentialidade: eles vazam informações sobre a execução do software para um invasor que mon-
efeitos de itoring na camada de abstração inferior. Mas os canais laterais também podem constituir um
ameaça de integridade caso o invasor possa modificar o estado de execução do software confiando em
efeitos de camada inferior. Esses ataques são mais comumente chamados de ataques de injeção de falha .
Ataques de injeção de falha física podem usar tensão ou falha do relógio, temperaturas extremas ou
radiação eletromagnética para induzir falhas. A injeção de falhas baseada em software usa software para
conduzir os componentes de hardware do sistema fora de sua faixa de especificações com a objeção
tiva de induzir falhas nesses componentes. Um exemplo famoso é o ataque Rowhammer
que usa padrões de acesso à memória criados com códigos maliciosos para acionar uma interação indesejada
entre células de memória DRAM de alta densidade que faz com que os bits de memória sejam ip.
. .6 Discussão
. .6. Uma melhor conexão com os objetivos gerais de segurança precisa de especificações mais complexas
ções
Para ter uma garantia mais forte de que o sistema de software atende a um objetivo de segurança, um
pode formalizar o objetivo de segurança como uma especificação. Durante a fase de design, em decomposição
posição do sistema em sub-componentes, deve-se especificar o comportamento do sub-
componentes tais que, em conjunto, impliquem a especificação do sistema geral. Com tal
design, a conexão entre uma vulnerabilidade de implementação como uma violação de uma especificação
por um lado, e o objetivo geral de segurança do sistema por outro, é muito
mais forte.
Existem, no entanto, objetivos de segurança de software que não podem ser expressos como propriedades de
traços de execução individuais. Um exemplo amplamente estudado de tal objetivo de segurança é a informação
segurança de fluxo de informação . Uma especificação de linha de base deste objetivo de segurança para sequências determinísticas
www.cybok.org
Mas uma especificação de fluxo de informação é mais complexa do que as especificações que consideramos
nas seções anteriores, porque são necessárias duas execuções para mostrar uma violação do especi ca-
ção Vulnerabilidades de vazamento de informações são violações de informações (orientadas pela confidencialidade)
política ow. Eles também podem ser entendidos como violações de uma especificação, mas agora
uma especificação que fala sobre várias execuções do sistema de software. Isso tem pro
encontraram consequências para o desenvolvimento de contramedidas para lidar com essas vulnerabilidades
https://translate.googleusercontent.com/translate_f 393/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
laços [ ]
. .6. As vulnerabilidades do canal lateral são diferentes
Vulnerabilidades de canal lateral são, por definição, não violações de uma especificação na abstração
nível de utilização do código-fonte do software: eles usam intrinsecamente efeitos dos quais a fonte
resumos de código. No entanto, se alguém desenvolve um modelo da infraestrutura de execução do software
software que é detalhado o suficiente para modelar ataques de canal lateral e, em seguida, vulnerabilidades de canal lateral
pode novamente ser entendido como violações de uma especificação parcial. Pode-se escolher localizar
a vulnerabilidade na infraestrutura de execução, fornecendo uma especificação para a execução
infra-estrutura que diz que não deve introduzir mecanismos de comunicação adicionais.
Isso é essencialmente o que a teoria da abstração completa [ ] requer. Alternativamente, pode-se
refine o modelo da linguagem do código-fonte para expor os efeitos usados em um lado específico
ataques de canal, tornando possível expressar vulnerabilidades de canal lateral na fonte
nível de código. Lidar com vulnerabilidades gerais de canal lateral de software ainda não está bem abaixo
permaneceu, e não são conhecidas contra-medidas realistas geralmente aplicáveis. Pode-se, é claro,
isolar a execução, ou seja, evitar execuções simultâneas no mesmo hardware, mas que então
contradiz outros objetivos, como a utilização otimizada de hardware.
www.cybok.org
. PREVENÇÃO DE VULNERABILIDADES
[ , , ][ , c]
Uma vez que uma categoria de vulnerabilidades é bem compreendida, uma questão importante é como a introdução
a redução de tais vulnerabilidades no software pode ser evitada ou, pelo menos, menos provável.
As abordagens mais eficazes erradicam categorias de vulnerabilidades por meio do projeto do
linguagem de gramática ou API.
Nos casos em que a escolha ou redesenho da linguagem de programação ou API em si não é uma opção
ção, categorias específicas de vulnerabilidades podem ser tornadas menos prováveis impondo uma codificação segura
práticas.
https://translate.googleusercontent.com/translate_f 394/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Este tópico fornece uma visão geral dessas técnicas que podem impedir a introdução de vul-
capacidades.
. garantindo que não pode haver nenhum erro de execução não interceptado com relação ao expresso
especificação.
www.cybok.org
Uma especificação de linguagem de programação inclui inerentemente uma especificação de toda a memória
recursos de alocação, acesso e desalocação fornecidos por esse idioma. Portanto, o especi -
cação do subcomponente de gerenciamento de memória está sempre disponível. Uma linguagem de programação
linguagem é chamada de memória segura se a definição da linguagem implica que não pode haver nenhuma armadilha
erros de gerenciamento de memória. Linguagens como C ou C ++ não são seguras para a memória porque a linguagem
a definição de linguagem permite implementações da linguagem que podem ter membros não capturados
erros de gerenciamento de dados, mas mesmo para essas linguagens, pode-se construir implementações específicas
que são seguros para a memória (geralmente à custa do desempenho).
Uma linguagem pode ser protegida pela memória por meio de uma combinação de:
. a seleção cuidadosa dos recursos que suporta: por exemplo, os idiomas podem escolher
evitar estado mutável, ou pode escolher evitar alocação de memória dinâmica, ou pode escolher
para evitar a desalocação manual contando com a coleta de lixo,
. imposição de verificações dinâmicas: por exemplo, impondo que todo acesso à matriz deve ser
limites verificados, e
. imposição de verificações estáticas, normalmente na forma de um sistema de tipo estático: por exemplo, objeto
o acesso ao campo pode ser garantido com segurança por meio de um sistema de tipo.
Uma causa importante para vulnerabilidades de geração de saída estruturada é que o programador
deixa a estrutura pretendida da saída implícita e calcula a saída estruturada por
manipulação de cordas. Uma linguagem de programação pode ajudar a prevenir tais vulnerabilidades, fornecendo
recursos de linguagem que permitem ao programador tornar explícita a estrutura pretendida, assim
fornecer uma especi cação. A implementação da linguagem pode, então, garantir que nenhuma armadilha
erros em relação a essa especificação são possíveis.
A primeira abordagem é fornecer um sistema de tipos que suporte a descrição de dados estruturados.
Esta abordagem foi elaborada rigorosamente para dados XML: a linguagem de programação sup-
porta documentos XML como valores de primeira classe e tipos de expressão regular [ ] apoiar o
descrição da estrutura de documentos XML usando a operação de expressão regular padrão
tor. Um programa de tipo correto que produz um documento XML de um determinado tipo tem garantia de
gerar saída XML da estrutura descrita pelo tipo.
https://translate.googleusercontent.com/translate_f 395/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Uma segunda abordagem é fornecer recursos de linguagem primitiva para alguns dos usos comuns
casos de geração estruturada de produtos. Consulta Integrada de Linguagem (LINQ) é uma extensão de
a linguagem C # com sintaxe para escrever expressões de consulta. Escrevendo a consulta como um expres-
(ao contrário de construir uma consulta SQL concatenando strings), a estrutura pretendida de
a consulta é explícita e o provedor LINQ que compila a consulta para SQL pode fornecer
garante que a consulta gerada tenha a estrutura pretendida.
Vulnerabilidades de condição de corrida na memória heap alocada são frequentemente ativadas por aliasing , o ex-
existência de vários ponteiros para a mesma célula de memória. Se dois threads simultâneos contiverem um
alias para a mesma célula, existe o potencial de uma condição de corrida nessa célula. A existência de
aliasing também leva a vulnerabilidades de gerenciamento de memória temporal, quando a memória é tratada.
localizado por meio de um alias, mas acessado por meio de outro alias. A noção de propriedade
ajuda a mitigar as complicações que surgem devido ao aliasing. A essência da ideia é
que, embora possam existir vários aliases para um recurso, apenas um desses aliases é o proprietário
do recurso e algumas operações só podem ser realizadas por meio do proprietário. Um dono
regime de navio impõe restrições sobre como os apelidos podem ser criados e quais operações são permitidas
por meio desses aliases. Ao fazer isso, um regime de propriedade pode evitar vulnerabilidades à condição de corrida
capacidades, ou pode suportar gerenciamento automático de memória sem um coletor de lixo. Para
exemplo, um regime de propriedade simples para células de memória alocada em heap pode impor a
restrições que: () aliases só podem ser criados se houver garantia de que sairão do escopo antes
o proprietário faz, () apelidos só podem ser usados para leitura e () o proprietário pode escrever em uma célula
somente se nenhum apelido existir atualmente. Este regime simples evita disputas de dados: nunca pode haver
uma leitura e gravação simultâneas na mesma célula. Ele também suporta gerenciamento automático de memória
mento sem coleta de lixo: uma célula de heap pode ser desalocada assim que o proprietário for
fora do escopo. Claro, este regime simples ainda é bastante restritivo, e um corpo significativo de
existem pesquisas sobre a concepção de regimes de propriedade menos restritivos que ainda podem fornecer
garantias.
Um regime de propriedade pode ser imposto pela linguagem de programação por meio de um tipo
sistema, e várias linguagens de pesquisa têm feito isso com o objetivo de prevenir dados
corridas ou vulnerabilidades de gerenciamento de memória. A linguagem de programação Rust, um sistema recente
linguagem de programação tems, é a primeira linguagem mainstream a incorporar uma propriedade
sistema de tipo.
. . . Outras vulnerabilidades
Muitas outras categorias de vulnerabilidades podem, em princípio, ser abordadas por meio de programas
ming design de linguagem e verificação estática de tipo. Há, por exemplo, um amplo corpo de re-
pesquisa em abordagens baseadas em linguagem para garantir a segurança do fluxo de informações [ 8] Esses
as abordagens até agora foram integradas principalmente em linguagens de protótipo de pesquisa. FAGULHA
é um exemplo de uma linguagem do mundo real que implementou análise de fluxo de informações no
compilador. Técnicas de segurança de fluxo de informações baseadas em linguagem também tiveram uma profunda influência
uência nas técnicas de detecção estática de vulnerabilidades (Tópico .)
www.cybok.org
.. Design API
https://translate.googleusercontent.com/translate_f 396/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O desenvolvimento de software não depende apenas de uma linguagem de programação, mas também de
APIs, implementado por bibliotecas ou estruturas. Assim como o design da linguagem impacta o provável
capa de introdução de vulnerabilidades, o mesmo acontece com o design da API . O princípio básico é o mesmo: o
API deve ser projetada para evitar erros de execução (onde agora, erros de execução são violações
da especificação da API ) e, em particular, erros de execução não capturados . Deve ser difícil
para o programador violar um contrato de API , e se o contrato for violado, isso deve ser
preso, levando, por exemplo, ao encerramento do programa ou ao tratamento de erros bem de nido
haviour.
Onde a própria linguagem de programação não impede uma certa categoria de vulnerabilidades
(por exemplo, C não evita vulnerabilidades de gerenciamento de memória, Java não evita corrida
condições ou vulnerabilidades de geração de saída estruturada), a probabilidade de introduzir estes
vulnerabilidades podem ser reduzidas oferecendo uma API de nível superior:
• Várias bibliotecas que fornecem APIs menos propensas a erros para gerenciamento de memória em C ou C ++
foram propostas. Essas bibliotecas oferecem ponteiros gordos (onde ponteiros mantêm limites
informações e verificar se os acessos estão vinculados), coleta de lixo (onde o homem-
desalocação final não é mais necessária), ou ponteiros inteligentes (que suportam uma propriedade
regime para automatizar a desalocação com segurança).
• Várias bibliotecas que fornecem APIs menos propensas a erros para fazer a geração de saída estruturada para
vários tipos de saída estruturada e para várias linguagens de programação foram
proposto. Os exemplos incluem APIs de declaração preparada que permitem a um programador separar
arate a estrutura de uma instrução SQL a partir da entrada do usuário que precisa ser conectada
essa estrutura, ou implementações de biblioteca de consulta integrada de linguagem, onde a consulta ex-
pressões são construídas usando chamadas API em vez de usar sintaxe de linguagem.
• Várias bibliotecas que fornecem APIs menos propensas a erros para criptografia foram propostas.
Essas bibliotecas usam simplificação (ao custo de flexibilidade), padrões seguros, melhor documentação
implementação e implementação de casos de uso mais completos (por exemplo, inclua
suporte para tarefas auxiliares, como armazenamento de chaves) para tornar menos provável que um desenvolvedor
cometerá erros.
Uma API de linguagem de programação também determina a interface entre os programas na linguagem
medida e o sistema circundante. Por exemplo, JavaScript em um navegador não expõe
uma API para o sistema de arquivos local. Como consequência, os programas JavaScript em execução no navegador
possivelmente não pode acessar o sistema de arquivo. Essas APIs menos privilegiadas podem ser usadas para conter ou
código não confiável da sandbox (consulte a Seção ..), mas também podem prevenir vulnerabilidades. Objeto
sistemas de capacidade [ ] leva essa ideia mais longe, fornecendo uma linguagem e API que suporta
estruturar o código de forma que cada parte do código tenha apenas os privilégios de que realmente precisa (assim
apoiando o princípio do menor privilégio ).
O projeto de APIs criptográficas que mantêm o material da chave criptográfica em uma proteção separada
domínio de ção, por exemplo, em um Módulo de Segurança de Hardware (HSM) vem com seu próprio desafio
desafios. Essas APIs têm um objetivo de segurança: a API para um HSM tem o objetivo
www.cybok.org
de manter as chaves de criptografia que usa confidenciais - não deve ser possível extrair o
chave do HSM. Pesquisas mostraram [ , c 8] que manter tal objetivo de segurança
é extremamente desafiador. A API HSM tem uma APIvulnerabilidade de nível se houver uma sequência de
Chamadas de API que extraem chaves confidenciais do HSM. Observe que este é um defeito de design da API
em oposição aos defeitos de implementação considerados no Tópico.
.. Práticas de Codificação
A probabilidade de introduzir as várias categorias de vulnerabilidades discutidas no Tópico .
pode ser substancialmente reduzido pela adoção de práticas de codificação seguras. As diretrizes de codificação podem
também ajudam contra vulnerabilidades de natureza mais genérica que não podem ser tratadas por lan-
orientação ou design de API , como, por exemplo, a diretriz para senhas não embutidas em código. Seguro
práticas de codificação podem ser formalizadas como coleções de regras e recomendações que de-
escrever e ilustrar padrões de código bons e ruins.
https://translate.googleusercontent.com/translate_f 397/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A primeira abordagem para projetar tais diretrizes de codificação é heurística e pragmática: o programa
comunidade ming é solicitada a fornecer recomendações e regras de codificação seguras aos candidatos
com base na experiência de como as coisas deram errado no passado. Essas regras propostas são vet-
tratados e discutidos pela comunidade até que se chegue a um consenso de que a regra é suficiente
apropriado para ser incluído em um padrão de codificação. Padrões influentes para fins gerais
o desenvolvimento de software inclui os padrões de codificação SEI CERT para C [ ] e Java [ ]
Para o desenvolvimento de sistemas críticos, padrões de codificação mais rigorosos e rígidos têm sido
desenvolvido. As diretrizes MISRA [ ] viram amplo reconhecimento e adoção para
desenvolvimento de sistemas críticos em C. O subconjunto SPARK de Ada [ 6] foi projetado para suprir
codificação de portas para permitir a verificação formal da ausência de classes de vulnerabilidades.
• evitar funções API fornecidas por linguagem perigosa (por exemplo, não use o sistema
função tem () em C),
• tentativa de evitar comportamento indefinido ou erros de execução não capturados (por exemplo, não
acessar a memória liberada em C),
• mitigações contra certas vulnerabilidades causadas pelo tempo de execução da linguagem (por exemplo, não
armazenar segredos em Java Strings, pois o Java runtime pode manter essas Strings armazenadas em
a pilha indefinidamente), ou,
• regras proativas e defensivas que o tornam menos provável de se deparar com um comportamento indefinido (por exemplo,
excluir a entrada do usuário de strings de formato).
Além disso, vulnerabilidades específicas de canal lateral podem ser tratadas por regras de codificação, por exemplo
evitar o fluxo de controle ou acessos à memória que dependem de segredos pode evitar esses segredos
de vazamento por meio de canais laterais baseados em cache ou preditor de ramificação.
Quando não são impostos por um sistema de tipo, os regimes de propriedade para gerenciar com segurança voltam
fontes, como memória alocada dinamicamente, também podem ser a base para a identificação de programação
ioms e diretrizes de codificação. Por exemplo, a aquisição de recursos é inicialização (RAII)
idioma, semântica de movimentação e ponteiros inteligentes essencialmente suportam um regime de propriedade para C ++,
mas sem garantias impostas pelo compilador.
Um desafio importante com as diretrizes de codificação seguras é que seu número tende a crescer ao longo
tempo e, portanto, os programadores são susceptíveis de se desviar das práticas seguras codificadas no
www.cybok.org
diretrizes. Portanto, é importante fornecer suporte de ferramenta para verificar a conformidade do software
com as regras de codificação. Tópico . . discute como as ferramentas de análise estática podem automaticamente
detectar violações contra regras de codificação seguras.
. DETECÇÃO DE VULNERABILIDADES
[ 6, ][ , c]
Para o código-fonte existente, onde a prevenção total da introdução de uma classe de vulnerabilidades
não foi possível, por exemplo, porque a escolha da linguagem de programação e / ou APIs
foi determinada por outros fatores, é útil aplicar técnicas para detectar a presença de
vulnerabilidades no código durante a fase de desenvolvimento, teste e / ou manutenção do
Programas.
As técnicas para detectar vulnerabilidades devem fazer concessões entre os dois seguintes
propriedades que uma técnica de detecção pode ter:
• Uma técnica de detecção é válida para uma determinada categoria de vulnerabilidades se puder
concluir que um determinado programa não tem vulnerabilidades dessa categoria. Uma de-
A técnica de proteção, por outro lado, pode ter falsos negativos , ou seja, vulnerabilidades reais
que a técnica de detecção falha em encontrar.
• Uma técnica de detecção está completa para uma determinada categoria de vulnerabilidades, se houver vulnerabilidade
bilidade que ele encontra é uma vulnerabilidade real. Uma técnica de detecção incompleta por outro
mão pode ter falsos positivos , ou seja, pode detectar problemas que não são reais
vulnerabilidades.
Os trade-offs são necessários, porque segue do teorema de Rice que (para categorias não triviais
de vulnerabilidades) nenhuma técnica de detecção pode ser sólida e completa.
https://translate.googleusercontent.com/translate_f 398/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
número). Isso normalmente é feito por verificação estática do código do programa, enquanto torna adequado
abstrações das execuções para encerrar a análise.
Alcançar a integridade pode ser feito realizando execuções reais e concretas de um programa
que são testemunhas de qualquer vulnerabilidade relatada. Isso normalmente é feito por detecção dinâmica
onde a técnica de análise tem que fornecer dados concretos para o programa que aciona
uma vulnerabilidade. Uma abordagem dinâmica muito comum é o teste de software, onde o testador escreve
casos de teste com entradas concretas e verificações específicas para as saídas correspondentes.
Na prática, as ferramentas de detecção podem usar uma combinação híbrida de tecnologia de análise estática e dinâmica
técnicas para obter um bom equilíbrio entre solidez e integridade.
É importante observar, no entanto, que algumas técnicas de detecção são heurísticas por natureza e
portanto, as noções de integridade e integridade não são precisamente definidas para eles. Para
exemplo, técnicas heurísticas que detectam violações de práticas de codificação seguras, conforme descrito
no . . estão verificando a conformidade com as regras e recomendações definidas informalmente e
nem sempre é possível definir sem ambigüidade os falsos positivos ou falsos negativos. Mais-
mais, essas abordagens podem destacar 'vulnerabilidades' que talvez não sejam exploráveis neste
ponto no tempo, mas deve ser corrigido, no entanto, porque eles são 'quase acidentes', ou seja, podem ser-
vêm facilmente exploráveis por erros de manutenção futuros.
Técnicas de análise de programas estáticos e dinâmicos são amplamente estudados em outras áreas de
ciência do computador. Este tópico destaca as técnicas de análise mais relevantes para a segurança de software
ridade.
Outra abordagem importante para a detecção de vulnerabilidades é realizar uma revisão manual do código
e auditoria. Essas técnicas são abordadas na Área de Conhecimento do Ciclo de Vida de Software Seguro
(Capítulo 6) Ao usar a detecção de estática com suporte de ferramenta, faz sentido ajustar tal sub-
revisão de código sequente e outras atividades de verificação. Por exemplo, se a detecção de estática for boa
para uma determinada categoria de vulnerabilidades, pode-se considerar não revisar ou testar
categoria de vulnerabilidades em fases posteriores.
.. Detecção Estática
As técnicas de detecção estática analisam o código do programa (código-fonte ou código binário) para encontrar
vulnerabilidades. Em oposição às técnicas dinâmicas, as estáticas têm a vantagem de
pode operar em código incompleto que não é (ainda) executável e que em uma única execução de análise
eles tentam cobrir todas as execuções de programas possíveis. Grosso modo, pode-se distinguir
duas importantes classes de técnicas, que se diferenciam em seu objetivo principal.
Primeiro, existem técnicas de análise estática que detectam violações de regras que são formais
codificação de heurísticas de prática de programação segura. A técnica de análise estática constrói um
modelo semântico do programa, incluindo, por exemplo, uma árvore de sintaxe abstrata e abstrac-
ções do fluxo de dados e do fluxo de controle no programa. Com base neste modelo, a técnica
pode ag violações de regras sintáticas simples, como, não use esta função API perigosa ,
ou use apenas esta função API com uma string constante como primeiro parâmetro.
Existem muitas variantes de análise estática de contaminação. Variações importantes incluem () quanto ab-
straction é feita do código, por exemplo, path-sensitive versus path-insensitive, ou context-
análise sensível versus não sensível ao contexto, e () se as influências causadas pela
O fluxo de controle do grama em vez do fluxo de dados do programa são levados em consideração (frequentemente distintos
usando os termos análise de contaminação versus análise de fluxo de informações ).
Para reduzir o número de falsos positivos, uma análise de contaminação pode levar em consideração a higienização
executado pelo programa. Valores contaminados que foram processados por higienização designada
funções (que são assumidas para validar que os valores são inofensivos para processamento posterior)
https://translate.googleusercontent.com/translate_f 399/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ter sua mácula removida.
Um desafio importante é que as análises de contaminação devem ser configuradas com os conjuntos certos de
fontes, pias e desinfetantes. Na prática, tais con gurações atualmente ocorrem frequentemente de forma manual.
almente, embora alguns trabalhos recentes tenham adicionado assistência a ferramentas em que, por exemplo, a máquina
o aprendizado é usado para apoiar os analistas de segurança nesta tarefa.
www.cybok.org
Em segundo lugar, existem técnicas de análise estática que visam ser sólidas para categorias bem de nidas
de vulnerabilidades (mas geralmente na prática ainda fazem concessões e desistem da solidez para
alguma extensão). Para categorias de vulnerabilidades que podem ser entendidas como especi cação ou
violações de contrato, o principal desafio é expressar formalmente essa especificação subjacente.
Feito isso, o grande corpo de conhecimento sobre análise estática e verificação de programa
desenvolvidos em outras áreas da ciência da computação podem ser usados para verificar o cumprimento das
especificação. As três principais técnicas relevantes são a verificação do programa, a interpretação abstrata
tação e verificação de modelo.
A verificação do programa usa uma lógica de programa para expressar as especificações do programa e depende de
o programador / verificador para fornecer uma abstração adequada do programa na forma de
invariantes de loop dutivo ou pré e pós-condições de função para tornar possível construir
uma prova que cobre todas as execuções do programa. Para linguagens imperativas com memória dinâmica
alocação, lógica de separação [ ] é uma lógica de programa que pode expressar ausência de memória-
vulnerabilidades de gerenciamento e condição de corrida (para corridas de dados em células de memória), bem como
conformidade com contratos fornecidos pelo programador nas APIs do programa. Verificação de conformidade
com uma especificação de lógica de separação normalmente não é automática: é feita por pro interativos
verificação de grama em que as anotações do programa são usadas para fornecer invariantes, pré-condições
e pós-condições. No entanto, se alguém estiver interessado apenas na ausência de gerenciamento de memória
vulnerabilidades, essas anotações às vezes podem ser inferidas, tornando a técnica
matic. Também evitando o uso de certos recursos de linguagem (por exemplo, ponteiros) e aderindo a
um estilo de codificação passível de verificação pode ajudar a tornar a verificação automática.
A verificação de modelo é uma técnica automática que explora exaustivamente todos os estados alcançáveis
do programa para verificar se nenhum dos estados viola uma determinada especificação. Porque
do problema de explosão de estado, a verificação de modelo só pode explorar exaustivamente
programas e, na prática, técnicas para limitar a exploração precisam ser usados, por exemplo,
limitando o número de vezes que um loop de programa pode ser executado. Verificação de modelo limitado
não soa mais, mas ainda pode encontrar muitas vulnerabilidades.
A maioria das implementações práticas dessas técnicas de análise desiste da solidez para alguns
extensão. Para ser sólida e finalizadora, uma análise estática deve superestimar o
possíveis comportamentos do programa que analisa. A sobreaproximação leva a falsos positivos.
Linguagens de programação reais têm recursos que são difíceis de superestimar sem liderança
a um número inaceitável de falsos positivos. Portanto, as implementações práticas têm
para fazer compensações de engenharia e subestimar alguns recursos de linguagem. Esta
torna a implementação inadequada, mas mais útil no sentido de que reduz o número
de falsos positivos. Essas compensações de engenharia são bem resumidas no artigo 'Solidez
Manifesto '[ ]
www.cybok.org
https://translate.googleusercontent.com/translate_f 400/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Detecção Dinâmica
Técnicas de detecção dinâmica executam um programa e monitoram a execução para detectar vul-
capacidades. Assim, se suficientemente eficientes, eles também podem ser usados para vulnerabilidade just-in-time
mitigação (ver tópico). Existem dois aspectos importantes e relativamente independentes para dy-
detecção dinâmica: () como se deve monitorar uma execução de modo que as vulnerabilidades sejam destruídas
detectado, e () quantas e quais execuções de programa (ou seja, para quais valores de entrada) devem
um monitor?
. . . Monitoramento
Para categorias de vulnerabilidades que podem ser entendidas como violações de uma propriedade específica
de uma única execução (Ver Tópico .6), a detecção completa pode ser realizada monitorando
por violações dessa especificação. Para outras categorias de vulnerabilidades ou durante o monitoramento
para violações de uma especificação é muito caro, monitores aproximados podem ser definidos.
Asserções, pré-condições e pós-condições, conforme apoiado pelo projeto por contrato ap-
proach para construção de software [ , c] pode ser compilado no código para fornecer um monitor
para vulnerabilidades de API em tempo de teste, mesmo se o custo dessas verificações de tempo de execução compiladas
pode ser muito alto para usá-los no código de produção.
Monitorar as condições da corrida é difícil, mas algumas abordagens para monitorar corridas de dados em
células de memória compartilhada existem, por exemplo, monitorando se todos os acessos à memória compartilhada
siga uma disciplina de bloqueio consistente.
• Fuzzing caixa preta , onde a geração de valores de entrada depende apenas da entrada / saída
põe o comportamento do programa que está sendo testado, e não em sua estrutura interna. Muitos dif-
diferentes variantes de fuzzing da caixa preta foram propostas, incluindo () puramente aleatório
teste, onde os valores de entrada são amostrados aleatoriamente a partir do domínio de valor apropriado,
www.cybok.org
() fuzzing baseado em modelo, onde um modelo do formato esperado de valores de entrada (typi-
na forma de uma gramática) é levado em consideração durante a geração de valores de entrada,
e () fuzzing baseado em mutação, onde o fuzzer é fornecido com um ou mais
valores de entrada e gera novos valores de entrada, realizando pequenas mutações no
valores de entrada fornecidos.
• Fuzzing de caixa branca , onde a estrutura interna do programa é analisada para auxiliar na
a geração de valores de entrada apropriados. A principal tecnologia de difusão sistemática de caixa branca
nique é a execução simbólica dinâmica . A execução simbólica dinâmica executa um programa
com valores de entrada concretos e constrói ao mesmo tempo uma condição de caminho , um ex lógico
pressão que especifica as restrições sobre os valores de entrada que devem ser cumpridos
para o programa seguir este caminho de execução específico. Resolvendo os valores de entrada que fazem
não satisfaça a condição do caminho da execução atual, o fuzzer pode certificar-se de que
https://translate.googleusercontent.com/translate_f 401/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
esses valores de entrada irão conduzir o programa para um caminho de execução diferente, melhorando assim
cobertura.
Mesmo com boas técnicas para evitar a introdução de vulnerabilidades em novos códigos, ou para detectar
vulnerabilidades no código existente, é provável que haja uma quantidade substancial de código legado com
vulnerabilidades em uso ativo no futuro previsível. Conseqüentemente, a prevenção da vulnerabilidade e
técnicas de proteção podem ser complementadas com técnicas que mitiguem a exploração de
vulnerabilidades restantes. Essas técnicas de mitigação são normalmente implementadas na execução
infraestrutura de instalação, ou seja, o hardware, sistema operacional, carregador ou máquina virtual, ou então são
embutido no executável pelo compilador (um chamado 'monitor de referência embutido'). Um importante
O objetivo principal dessas técnicas é limitar o impacto no desempenho e maximizar
compatibilidade com programas legados.
Mas há uma diferença importante nos requisitos de desempenho para monitores usados durante
teste de ing (discutido no Tópico . ) e monitores usados em tempo de execução para mitigar ataques. Para
detecção de ataques em tempo de execução, o desafio é identificar violações detectáveis de forma eficiente de
propriedades que devem ser mantidas para o rastreamento de execução do programa. Uma grande variedade de
técnicas são utilizadas:
• Os canários de pilha detectam violações da integridade dos registros de ativação na pilha de chamadas,
e, portanto, detectar alguns ataques que exploram vulnerabilidades de gerenciamento de memória para
modificar um endereço de retorno.
• Sem execução (NX) a memória de dados detecta tentativas de direcionar o contador do programa para os dados
memória em vez de memória de código e, portanto, detecta muitos ataques de injeção direta de código.
www.cybok.org
• Integridade de Fluxo de Controle (CFI) é uma classe de técnicas que monitora se o tempo de execução
o fluxo de controle do programa está em conformidade com algumas especificações do controle esperado
ow e, portanto, detecta muitos ataques de reutilização de código.
Na detecção de um ataque, o monitor de tempo de execução deve reagir de forma adequada, geralmente por terminação
o programa sob ataque. A rescisão é uma boa reação para garantir que um ataque pode fazer
nenhum dano adicional, mas tem naturalmente um impacto negativo nas propriedades de disponibilidade.
A realização mais importante desta ideia é a randomização do layout do espaço de endereço (ASLR),
onde o layout do código, pilha e / ou memória heap é randomizado no carregamento ou na execução
Tempo. Tal randomização pode ser de baixa granularidade , por exemplo, apenas realocando aleatoriamente
o endereço base do código, segmentos de pilha e heap, ou refinado onde os endereços de in-
https://translate.googleusercontent.com/translate_f 402/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
funções individuais na memória de código, registros de ativação na pilha ou objetos na pilha são
escolhidos aleatoriamente.
.. Limitando privilégios
A exploração de uma vulnerabilidade de software influencia o comportamento do software em
ataque de forma que algum objetivo de segurança seja violado. Ao impor limites gerais sobre o que
o software pode fazer, o potencial de danos dos ataques pode ser substancialmente reduzido.
Sandboxing é um mecanismo de segurança onde o software é executado dentro de um ambiente controlado
(a 'caixa de areia') e onde uma política pode ser aplicada aos recursos que o software em
a sandbox pode acessar. O sandbox pode ser usado para restringir software não confiável, mas pode
também pode ser usado para mitigar o impacto da exploração em software vulnerável: após uma
explorar o software, o invasor ainda está confinado à sandbox.
A ideia genérica de sandboxing pode ser instanciada usando qualquer um dos mecanismos de isolamento
que os sistemas de computador modernos fornecem: o sandbox pode ser uma máquina virtual rodando sob
a supervisão de um monitor de máquina virtual, ou pode ser um processo no qual a operação
sistema impõe uma política de controle de acesso. Além disso, vários sandboxes específicos para fins
www.cybok.org
mecanismos foram desenvolvidos para classes específicas de software, como, por exemplo, cadeias
que pode proteger o acesso à rede e ao sistema de arquivos em ambientes de hospedagem virtual. O Java
O Runtime Environment implementa um mecanismo de sandbox destinado a conter
Código Java, ou para isolar o código de diferentes partes interessadas dentro do mesmo Java Virtual Ma-
chine, mas várias vulnerabilidades significativas foram encontradas nesse mecanismo de sandbox
ao longo dos anos [ 6]
Compartimentalização é um mecanismo de segurança relacionado, mas ner-grained, onde o software
em si é dividido em vários compartimentos e onde alguns limites são aplicados no
privilégios de cada um desses compartimentos. Novamente, isso requer algum mecanismo subjacente
para fazer cumprir esses limites. Por exemplo, um navegador compartimentado pode contar com a operação
controle de acesso do processo do sistema para limitar os privilégios de seu mecanismo de renderização, negando-o
le acesso ao sistema. A exploração de uma vulnerabilidade de software no mecanismo de renderização agora é
mitigado na medida em que, mesmo após uma exploração bem-sucedida, o invasor ainda está bloqueado de
acessando o sistema de arquivo. Formas muito refinadas de compartimentalização podem ser alcançadas
por sistemas de capacidade de objeto [ ], onde cada objeto de nível de aplicativo pode ser um separado
domínio de proteção.
Para mitigar vulnerabilidades de canal lateral, pode-se isolar o código vulnerável, por exemplo, em
um núcleo separado ou em hardware separado, de modo que a informação vazando pelo lado
o canal não é mais observável para os invasores.
Parno et al. [ ] fornecem uma excelente visão geral desta classe de técnicas.
CONCLUSÕES
Vulnerabilidades de implementação de software vêm em muitas formas e podem ser atenuadas por uma ampla
gama de contramedidas. Tabela . resume a relação entre as categorias de
vulnerabilidades discutidas neste capítulo, e a prevenção, detecção e mitigação relevantes
técnicas comumente usadas para combatê-los.
https://translate.googleusercontent.com/translate_f 403/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Memória gestão linguagens seguras para a memória, muitos estáticos e dinâmicos empilhar canários, NX, CFI,
vulnerabilidades ponteiros gordos / inteligentes, cod- técnicas de detecção ASLR, sandboxing
regras ing
Geração de saída estruturada- tipos de expressão regular, análise de contaminação detecção de tempo de execução
vulnerabilidades de ção LINQ, estado preparado-
mentos
Vulnerabilidade à condição de corrida tipos de propriedade, codificação detecção estática e dinâmica sandbox
ities diretrizes ção
Agradecimentos
https://translate.googleusercontent.com/translate_f 404/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 506 O Conhecimento em Segurança Cibernética
www.cybok.org
]
]
] ]
[ 6
]
[
[ [
[
]
]
[
[
Du: segurança
Dowd:
do computador
arteanderson8security
Pierce Padrão
:: TPL:swebokv
de codificação
Xadrez: Canálise estática
. Categorias de vulnerabilidades
. . Vulnerabilidades de gerenciamento de memória c, c c c6
. . Vulnerabilidades de geração de saída estruturada c, c c c
. . Vulnerabilidades de condição de corrida c c
. . Vulnerabilidades de API c6 c, c
. . Vulnerabilidades de canal lateral c
. Prevenção de vulnerabilidades
. . Sistemas de Design de Linguagem e Tipos c
. . Design API c8 c
. . Práticas de Codificação *
. Detecção de vulnerabilidades
. . Detecção Estática *
. . Detecção Dinâmica c
. Mitigando a exploração de vulnerabilidades
. . Detecção de Ataques em Tempo de Execução c
. . Diversidade de software automatizado c
. . Limitando privilégios c
LEITURA ADICIONAL
www.cybok.org
Software sub-reptício [ ]
A segurança de software neste capítulo é sobre como prevenir, detectar e remover implementos de software
vulnerabilidades de mentação. No entanto, outra interpretação sensata e diferente do termo
é que se trata de proteger o próprio código do software, por exemplo, contra engenharia reversa -
https://translate.googleusercontent.com/translate_f 405/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
do código, contra a extração de segredos do código ou contra adulteração indesejada
com o código antes ou durante a execução. Ofuscação, marca d'água e proteção contra adulteração são
exemplos de técnicas para proteger o software contra tais ataques. Software sub-reptício é
um livro-texto rigoroso sobre essa noção de segurança de software.
Recursos OWASP
O Open Web Application Security Project (OWASP) é um projeto sem fins lucrativos, dirigido por voluntários ou
ganisation que organiza eventos e oferece um rico conjunto de recursos relacionados à aplicação
segurança e segurança de software. Eles oferecem guias orientados para a prática sobre desenvolvimento seguro
e em testes de segurança, bem como uma coleção de ferramentas e instrumentos de conscientização.
Todos esses recursos estão disponíveis publicamente em https://www.owasp.org.
www.cybok.org
https://translate.googleusercontent.com/translate_f 406/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 509
Capítulo
Segurança da web e móvel
Sascha Fahl Leibniz University Hannover
https://translate.googleusercontent.com/translate_f 407/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. INTRODUÇÃO
O objetivo desta área de conhecimento é fornecer uma visão geral dos mecanismos de segurança, em-
tachas e defesas em ecossistemas móveis e da web modernos. Esta visão geral é destinada a
uso em cursos acadêmicos e para orientar profissionais do setor interessados nesta área.
A segurança da web e móvel se tornou o principal meio pelo qual muitos usuários interagem
com a Internet e os sistemas de computação. Conseqüentemente, seu impacto na segurança geral da informação
é significativa, devido à enorme prevalência de web e móvel aplicativos ( apps). Cobertura
segurança da web e móvel, esta área de conhecimento enfatiza a interseção de sua segurança
mecanismos de segurança, vulnerabilidades e mitigações. Ambas as áreas compartilham muito em comum e têm
experimentou uma rápida evolução nas características e funcionalidades oferecidas por seus clientes
aplicativos (apps). Este fenômeno, às vezes chamado de aplicação, é um motorista moderno
ecossistemas da web e móvel. Os aplicativos da web e do cliente móvel normalmente interagem com o servidor
interfaces de aplicativos usando tecnologias da web. Este segundo fenômeno, também às vezes
chamado webi cação, afeta igualmente os ecossistemas da web e móvel. No s, web e
a segurança móvel tinha um forte foco na segurança do lado do servidor e da infraestrutura. Navegadores da web
foram usados principalmente para renderizar e exibir sites estáticos sem conteúdo dinâmico. O foco
no lado do servidor prevaleceu mesmo com o surgimento das primeiras linguagens de script, como Perl e
PHP. No entanto, o conteúdo da web se tornou mais dinâmico no s, e a segurança do lado do servidor
teve que lidar com ataques de injeção. Da mesma forma que os navegadores da web, os primeiros dispositivos móveis limitaram
funcionalidade e eram usados principalmente para fazer chamadas ou enviar SMS. Segurança móvel naquela época
focado em controle de acesso, chamadas e segurança de SMS .
O surgimento da web moderna e das plataformas móveis trouxe mudanças notáveis. Uma quantia signi cativa
do código do aplicativo da web não é mais executado no lado do servidor, mas sim no navegador.
Suporte de navegador da Web para Java, Adobe Flash, JavaScript e plug-ins e extensões de navegador
trouxe muitos novos recursos para o cliente, o que levou a uma mudança drástica do ataque sur-
cara na web. Surgiram novos tipos de ataques, como Cross-Site Scripting e plug-ins
provou ser vulnerável, por exemplo, os plug-ins do navegador Adobe Flash são conhecidos por serem atraentes
alvo para atacantes. Em resposta a essas novas ameaças, os fornecedores de navegadores e o desenvolvimento de sites
operadores e operadores tomaram medidas. Por exemplo, o Google Chrome desativou o Adobe Flash plu-
gin por padrão em [ ] e novas práticas recomendadas de segurança foram desenvolvidas [ ] de forma similar
para navegadores da web, os dispositivos móveis tornaram-se mais inteligentes e mais ricos em recursos. Smartphones e
os tablets são equipados com sensores, incluindo movimento, GPS e câmeras. Eles têm extenso
poder de computação, capacidade de armazenamento e estão conectados à Internet -. Android moderno
e dispositivos iOS rodam sistemas operacionais completos e cada vez mais ricos em recursos e complexos
estruturas de aplicativos. Aplicativo móvels podem solicitar acesso a todos os recursos dos dispositivos e
sensores usando controle de acesso baseado em permissão e processam informações altamente confidenciais do usuário
ção Ser poderoso, rico em recursos e conectado torna os clientes móveis promissores e atraentes
alvos positivos para os invasores.
Ecossistemas modernos da web e móvel são os principais motores para o aumento da aplicação e
o lema "há um aplicativo para tudo" resume muitas das características tecnológicas e de segurança
velopments nos últimos anos. O appi cação tendência resultou em milhões de aplicações que vão desde
aplicativos simples ashlight para aplicativos de rede social online, de aplicativos de banco online para dispositivos móveis
e jogos baseados em navegador. Também desencadeou a fusão de tecnologias e mecanismos de segurança
anismos usados em aplicativos da web e móveis. Ambos os ecossistemas são tipicamente cliente-servidor
orientado. Navegadores da web e aplicativos móveiss se comunicam com serviços de back-end, muitas vezes usando
tecnologias focadas na web. A comunicação é baseada principalmente no Hypertext Transfer Pro-
https://translate.googleusercontent.com/translate_f 408/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
tocol (HTTP) e sua extensão segura HTTPS. Navegadores da web e aplicativos móveis
tendem a trocar principalmente Hypertext Markup Language (HTML ) ,documentos JSON e XML
e ambos fazem uso extensivo da linguagem de programação JavaScript, no servidor e
do lado do cliente. Webi cation descreve a conversão para essas tecnologias da web.
Esta área de conhecimento enfoca a tendência de aplicação e uma introdução à tecnologia principal
tecnologias do fenômeno da webi cação . Figura . fornece uma visão geral das entidades
envolvidos e suas interações.
Lado do Servidor
<html>
<head>
<title> Este é um exemplo </title>
</head>
ebsites
<script src = "myscripts.js"> </script>
<body>
As plataformas web e móveis modernas introduziram novas formas de controle de acesso com base em permissões
diálogos de ação . Embora uma discussão mais geral sobre controle de acesso esteja incluída no Authen-
Área de Conhecimento (Capítulo ) de Autorização e Responsabilidade (AAA ), este Conhecimento
A área discute especificações da web e móveis. Os aplicativos da web e móveis fazem uso extensivo
dos protocolos HTTP e HTTPS . Portanto, discutiremos a infraestrutura de chave pública da Web
(PKI) e HTTPS estendendo a Segurança da Camada de Transporte (TLS) na seção Segurança de rede
Área de Conhecimento (Seção .) Da mesma forma, discutiremos a autenticação específica para web e celular
aspectos de cação, referindo os leitores ao Authentication, Authorization & Accountability (AAA)
www.cybok.org
Área de Conhecimento (Capítulo ) para uma discussão mais geral sobre autenticação. Finalmente, nós
abordar atualizações de software frequentes como uma medida de segurança crucial. Enquanto atualizações de software
são igualmente importantes em sistemas de computador tradicionais, a centralização da web e móvel
ecossistemas, apresenta novos desafios e oportunidades.
As seções a seguir enfocam a segurança do lado do servidor e do cliente específico da web e móvel, como
pects. No entanto, não abordaremos vulnerabilidades de software comuns (cf. a Seção de Software-
curity Knowledge Area (Capítulo )) e segurança do sistema operacional (cf. Sistemas operacionais
& Área de Conhecimento de Virtualização (Capítulo )) em geral. Seção . primeiro cobre phishing
https://translate.googleusercontent.com/translate_f 409/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e ataques e defesas de clickjacking. Ambos afetam os clientes da web e móveis e exploram o hu-
dificuldade do homem em analisar corretamente os URLs ou identificar mudanças na aparência visual
de sites. Como os clientes móveis e da web ricos em recursos armazenam dados confidenciais, iremos então dis-
cussa problemas de segurança de armazenamento do lado do cliente e mitigações. Finalmente, Seção . discute fis-
ataques físicos a clientes móveis, incluindo ataques de borrão e ressalto de ombro. Seção .
aborda os desafios do lado do servidor, começando com uma visão geral dos ataques de injeção frequentes.
Discutimos ataques de SQL e injeção de comando que permitem que usuários mal-intencionados manipulem
consultas de banco de dados para back-ends de armazenamento de aplicativos da web e comandos que são executados.
Isso é seguido por uma discussão sobre ataques de cross-site scripting e de falsificação de solicitação entre sites
e erros de configuração comuns do lado do servidor que podem levar a back-ends de serviço vulneráveis.
No geral, a discussão dos desafios de segurança do lado do cliente e do servidor visa servir como o
sublinhando a divisão natural entre entidades em ecossistemas da web e móveis. Adicionalmente,
os aspectos escolhidos ilustram a diferença entre a web e o mundo móvel de outros
ecossistemas.
Devido ao seu foco na interseção da segurança web e móvel, esta área de conhecimento
não cobre aspectos que são exclusivos da web ou móvel, como a segurança do dispositivo móvel,
segurança de rede móvel (ou seja, G / G / G / G) (consulte Camada Física e Telecomunicações
Área de Conhecimento (Capítulo )) e malware móvel. Alguns desses aspectos são discutidos
na Área de Conhecimento de Segurança de Hardware (Capítulo 8), a tecnologia de malware e ataque
Área de Conhecimento (Capítulo 6) e a Área de Conhecimento de Segurança de Rede (Capítulo). Nós também
não discuta ataques de canal lateral; o conceito e exemplos de segurança de canal lateral são
fornecido na Área de Conhecimento de Segurança de Hardware (Capítulo 8)
[6, , , , 6, , 8, , ]
Esta seção descreve conceitos e abordagens fundamentais da web e dispositivos móveis modernos
plataformas que afetam a segurança. As informações apresentadas nesta seção se destinam a servir
como base para entender melhor os desafios de segurança nas seções a seguir. Sim-
semelhante a outros produtos de software e sistemas de computador, sistemas operacionais móveis e aplicativos
cations e navegadores da web, bem como servidores da web, podem conter bugs exploráveis. Pur-
As vulnerabilidades de software são discutidas na Área de Conhecimento de Segurança de Software (Cap-
ter ) .
www.cybok.org
.. Appi cation
Nos últimos dez anos, o aumento dos dispositivos móveis e do acesso onipresente à Internet
mudou a forma como o software é produzido, distribuído e consumido, alterando como os humanos interagem
agir com dispositivos de computador e com software instalado nos dispositivos. Enquanto Internet normal
os navegadores têm sido a forma dominante de acessar conteúdo na web na era pré-móvel,
o conceito de aplicação mudou signi cativamente a maneira como os usuários acessam o conteúdo online [ ]
Appi cation descreve o fenômeno de sair de uma plataforma baseada na web para acessar
cesse a maioria das ferramentas e mídias digitais online com um navegador da web por meio de aplicativos móveis
com pequenos conjuntos de recursos altamente especializados. À medida que os dispositivos móveis cresceram e se tornaram os principais
interface para acesso à web em todo o mundo [ ], o número de aplicativos aumentou enormemente nos últimos
década. “Existe um aplicativo para tudo” tornou-se o mantra dos ecossistemas de software aplicados,
que produziu inúmeras aplicações para todos os tipos de casos de uso e áreas de aplicação. Vários
os aplicativos se parecem com aplicativos de desktop ou móveis locais nativos. No entanto, eles são frequentemente (móveis)
aplicativos da web que se comunicam com serviços de back-end, que então terceirizam
tarefas de instalação e armazenamento para o cliente. A mudança para a aplicação teve um impacto signi cativo
na web e na segurança móvel, criando mais desafios de segurança no lado do cliente. O aumento de
a aplicação também impactou o cenário do desenvolvedor. Na era de pré-aplicação, a decapagem de software
O desenvolvimento foi dominado principalmente por desenvolvedores experientes. Devido à ferramenta mais extensa
e suporte de estrutura, a barreira de entrada no mercado é menor em ecossistemas aplicados. Este em-
atrai desenvolvedores mais inexperientes e tem consequências negativas para a web e dispositivos móveis
segurança em geral (cf. Área de Conhecimento de Fatores Humanos (Capítulo ) ).
https://translate.googleusercontent.com/translate_f 410/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A Ascensão do Desenvolvedor Cidadão A tendência de aplicação atrai muitos não profissionais
desenvolvedores de software chamados de desenvolvedores cidadãos. Muitos deles não têm um engenheiro de software
educação, mas fazer uso de várias APIs e ferramentas simples disponíveis para construir aplicativos para diferentes
plataformas. Oltrogge et al. [ ] descobriram que a adoção de gêneros de aplicativos on - line fáceis de usar-
tors (OAGs) para desenvolver, distribuir e manter aplicativos tem um impacto negativo na segurança do aplicativo.
Aplicativos gerados tendem a ser vulneráveis a ataques de recon guração e injeção de código e dependem de um
infraestrutura insegura.
.. Webi cação
As plataformas web e móveis modernas deram origem a outro fenômeno. Muitos dos aplicativos
ções não são aplicativos nativos escritos em linguagens de programação compiladas, como Java ou
Kotlin e C / C ++ (por exemplo, para aplicativos Android) ou Objective-C e Swift (por exemplo, para aplicativos iOS). Em vez de,
eles são baseados em tecnologias da web, incluindo Python, Ruby, Java ou JavaScript do lado do servidor
scripts e JavaScript do lado do cliente. Além de aplicativos convencionais da web que visam reg-
navegadores da web mais comuns, os aplicativos da web para celular são construídos com mais frequência usando essas tecnologias da web
tecnologias. Em particular, os aplicativos da web para celular fazem uso intenso da linguagem JavaScript.
Esta seção fornece uma breve introdução às tecnologias essenciais necessárias para explicar
vulnerabilidades e mitigações posteriormente no KA. Incluímos Localizadores Uniformes de Recursos (URLs),
o protocolo de transferência de hipertexto (HTTP), a linguagem de marcação de hipertexto (HTML ) , em cascata
Folhas de estilo (CSS) e a linguagem de programação JavaScript. Para informações mais detalhadas,
sugerimos ler [ ]
www.cybok.org
Localizadores Uniformes de Recursos (URLs) [ ] são um conceito central na web. Um URL é um bom
string de texto formada e totalmente qualificada que endereça e identifica um recurso em um servidor.
Barras de endereço nas interfaces de usuário do navegador moderno (UIs) use os URLs para ilustrar o controle remoto
endereço de um documento processado. Uma string de URL absoluta totalmente qualificada consiste em vários segmentos
mentos e contém todas as informações necessárias para acessar um determinado recurso. A sintaxe
de um URL absoluto é: scheme: // credentials @ host: port / resourcepath? query_parameters # fragments.
Cada segmento tem um significado particular (cf. Tabela .)
esquema: Indica o protocolo que um cliente da web deve usar para recuperar um recurso.
Os protocolos comuns na web são http: e https:
credenciais@ Pode conter um nome de usuário e senha que podem ser necessários para
recuperar um recurso de um servidor remoto.
hospedeiro Especi es um nome DNS que não diferencia maiúsculas de minúsculas (por exemplo, cybok.org) , um IPv bruto
(por exemplo...) ou endereço IPv6 (por exemplo, [:::::::]) para indicar o
localização do servidor que hospeda um recurso.
O protocolo de transferência de hipertexto (HTTP) é o mecanismo mais amplamente usado para trocar
documentos entre servidores e clientes na web. Embora o HTTP seja usado principalmente para trans-
fer documentos HTML , ele pode ser usado para quaisquer dados. Embora HTTP /. [ ] é o mais novo
https://translate.googleusercontent.com/translate_f 411/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
revisão de protocolo, a versão de protocolo mais amplamente suportada é HTTP /. [ ] . HTTP é
um protocolo baseado em texto usando TCP / IP. Um cliente HTTP inicia uma sessão enviando um HTTP
pedido a um servidor HTTP . O servidor retorna uma resposta HTTP com o arquivo solicitado.
A primeira linha de uma solicitação do cliente inclui informações sobre a versão do HTTP (por exemplo, HTTP / 1.1). O
o cabeçalho da solicitação restante consiste em zero ou mais pares nome: valor. Os pares são separados
arado por uma nova linha. Os cabeçalhos de solicitação comuns são User-Agent - incluem navegador em
formação, Host - o nome do host do URL , Aceitar - que carrega todos os tipos de documentos suportados,
Comprimento do conteúdo - o comprimento de toda a solicitação e Cookie - consulte a seção . 0,8. O
o cabeçalho da solicitação é encerrado com uma única linha vazia. Os clientes HTTP podem passar qualquer
conteúdo para o servidor. Embora o conteúdo possa ser de qualquer tipo, os clientes geralmente enviam HTML
conteúdo para o servidor, por exemplo, para enviar dados do formulário. O servidor HTTP responde ao pedido
com um cabeçalho de resposta seguido pelo conteúdo solicitado. O cabeçalho da resposta contém o
versão de protocolo compatível, um código de status numérico e um status opcional legível por humanos
www.cybok.org
esta mensagem. A notificação de status é usada para indicar o sucesso da solicitação (por exemplo, status 200),
condições de erro (por exemplo, status 404 ou 500) ou outros eventos excepcionais. Cabeçalhos de resposta
também pode conter cabeçalhos de cookies - cf. Seção . 0,8. As linhas de cabeçalho de resposta adicionais são
opcional. O cabeçalho termina com uma única linha vazia seguida pelo conteúdo real do re-
recurso procurado. Semelhante ao conteúdo da solicitação, o conteúdo pode ser de qualquer tipo, mas muitas vezes é
um documento HTML .
Embora os cookies não fizessem parte do HTTP RFC original [ ], eles são um dos mais
extensões de protocolo importantes. Cookies permitem que servidores remotos armazenem vários nomes = valor
pares no armazenamento do cliente. Os servidores podem definir cookies enviando um Set-Cookie: nome = valor re-
sincronizar o cabeçalho e consumi-los lendo o cabeçalho do pedido Cookie: name = value do cliente .
Os cookies são um mecanismo popular para manter sessões entre clientes e servidores e para
autenticar usuários.
HTTP é baseado em solicitação-resposta e perfeitamente adequado para casos de uso de transferência de dados unidirecional. Como-
sempre, para melhor latência e uso mais eficaz da largura de banda, conexão de rede bidirecional
são necessárias. As conexões bidirecionais não apenas permitem que os clientes extraiam dados do servidor,
mas também o servidor para enviar dados ao cliente a qualquer momento. Portanto, o proto WebSocket
col [ ] fornece um mecanismo no topo do HTTP. As conexões WebSocket começam com um registro
Solicitação HTTP ular que inclui um cabeçalho Upgrade: WebSocket. Depois do WebSocket
o aperto de mão for concluído, ambas as partes podem enviar dados a qualquer momento, sem a necessidade de executar um novo
aperto de mão.
A linguagem de marcação de hipertexto (HTML) [ 6] é o método mais amplamente usado para produzir
e consumir documentos na web. A versão mais recente é HTML. A sincronização HTML
imposto é bastante simples: uma estrutura de árvore hierárquica de tags, parâmetros de tag name = value
e nós de texto formam um documento HTML . O Modelo de Objeto de Domínio (DOM) define o log-
estrutura ical de um documento HTML e regras como ele é acessado e manipulado. Como-
nunca, os fornecedores de navegadores concorrentes introduziram todos os tipos de recursos personalizados e
a linguagem HTML de acordo com seus desejos. As muitas implementações de navegador diferentes e divergentes
resultaram em apenas uma pequena parte dos sites na Internet aderindo ao HTML
sintaxe do padrão. Portanto, as implementações dos modos de análise de HTML e recuperação de erros variam
muito entre navegadores diferentes.
A sintaxe HTML vem com algumas restrições sobre o que pode ser incluído em um parâmetro
valor ou dentro de um nó de texto. Alguns caracteres (por exemplo, colchetes angulares, aspas simples e duplas
e e comercial) compõem os blocos da marcação HTML . Sempre que eles são usados para um diferente
fim, como partes de substrings de um texto, eles precisam ser ignorados. Para evitar indesejáveis
efeitos colaterais, o HTML fornece um esquema de codificação de entidade. No entanto, a falha em
aplicar a codificação a caracteres reservados ao exibir informações controladas pelo usuário pode
levar a problemas graves de segurança da web, como script entre sites (consulte a Seção .)
https://translate.googleusercontent.com/translate_f 412/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Cascading Style Sheets (CSS) [ 6] são um mecanismo consistente e flexível para manipular
a aparência de documentos HTML . O objetivo principal do CSS era fornecer uma
linguagem de descrição direta e simples baseada em texto para substituir os muitos fornecedores específicos
Parâmetros de tag HTML que levam a muitas inconsistências. No entanto, semelhante ao HTML divergente
implementações de análise, navegadores diferentes também implementam comportamento de análise CSS diferente .
CSS permite que as tags HTML sejam dimensionadas, posicionadas ou decoradas sem serem limitadas pelo
restrições de marcação HTML originais . Semelhante aos valores da tag HTML , os valores dentro do CSS podem ser
controlado pelo usuário ou fornecido externamente, o que torna o CSS crucial para a segurança da web.
. . . JavaScript
JavaScript [ ] é uma linguagem de programação orientada a objetos simples, mas poderosa, para a web.
Ele é executado no lado do cliente em navegadores da web e no lado do servidor como parte de aplicativos da web. O lan-
gage deve ser interpretado em tempo de execução e tem uma sintaxe inspirada em C. Suporta JavaScript
um modelo de objeto sem classes, fornece coleta de lixo automática e tipos fracos e dinâmicos
ing. JavaScript do lado do cliente não oferece suporte a mecanismos de E / S prontos para uso. Em vez disso, alguns
interfaces predefinidas limitadas são fornecidas pelo código nativo dentro do navegador. Lado do servidor
JavaScript (por exemplo, Node.js [ ]) suporta uma ampla variedade de mecanismos de I / O, por exemplo, rede
e le acesso. A discussão a seguir se concentrará no JavaScript do cliente em navegadores da web.
Cada documento HTML em um navegador recebe seu contexto de execução JavaScript. Todos os scripts em
um contexto de documento compartilha a mesma sandbox (consulte a Seção .) Comunicação intercontexto
conexão entre scripts é suportada por APIs específicas do navegador. No entanto, a execução con
os textos são estritamente isolados uns dos outros em geral. Todos os blocos de JavaScript em um contexto são
executados individualmente e em uma ordem bem definida. O processamento do script consiste em três fases:
A análise valida a sintaxe do script e a traduz em uma representação binária intermediária
por motivos de desempenho. O código não tem efeito até que a análise seja concluída. Blocos
com erros de sintaxe são ignorados e o próximo bloco é analisado.
Resolução de função registra todas as funções globais nomeadas que o analisador encontrou em um bloco. Tudo
funções registradas podem ser alcançadas a partir do seguinte código.
A execução executa todas as instruções de código fora dos blocos de função. No entanto, as exceções podem
ainda levam a falhas de execução.
Embora o JavaScript seja uma linguagem de script muito poderosa e elegante, ele traz novos desafios
desafios e problemas de segurança, como vulnerabilidades de Cross-Site Scripting (consulte a Seção .)
. . .6 WebAssembly
. . . WebViews
WebViews são mais uma tendência em webi cação e aplicativos móveiss. Eles permitem a integração fácil
ção de conteúdo da web em aplicativo móvels [ ] Os desenvolvedores podem integrar o aplicativos com HTML e
JavaScript e se beneficiam das vantagens de portabilidade. WebViews são executados no contexto de
aplicativo móvelse permitem uma rica interação bidirecional com o conteúdo da web hospedado. Aplicativo móvels
https://translate.googleusercontent.com/translate_f 413/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pode invocar JavaScript de dentro do conteúdo da web e monitorar e interceptar eventos no
conteúdo web. Ao mesmo tempo, APIs JavaScript específicas permitem que o aplicativo WebViews para interagir com
conteúdo e sensores fora do contexto do WebView. A interação do conteúdo da web com na-
conteúdo ativo do aplicativo levanta novas questões de segurança e permite que ambos os aplicativos-to-web e web-to-aplicativo
ataques [ 6 , 6 , 6] Ataques de aplicativo para web, permitir aplicativo maliciosos para injetar JavaScript em
WebViews hospedados com o objetivo de extrair informações confidenciais ou enganar WebViews para a navegação
acessar e apresentar aos usuários sites não confiáveis e potencialmente maliciosos. Web-to-app
ataques injetam conteúdo da web não confiável em um aplicativo e alavancam um aplicativoponte de JavaScript para
o aplicativo host subjacente. O objetivo de um ataque web-to-app é a escalada de privilégios para o nível
do processo de seu aplicativo de hospedagem.
Os fenômenos de aplicação e webi cação levaram a uma nova forma de distribuição de software.
Em vez de fontes de download descentralizadas, lojas de aplicativos centralizadas que são ilus-
tratado na próxima seção emergiu.
.. Lojas de aplicativos
As lojas de aplicativos são plataformas de distribuição digital centralizadas que organizam o gerenciamento
ment e distribuição de software em muitos ecossistemas móveis e da web. Exemplos famosos
são a loja da web do Chrome para extensões para o navegador Chrome, AppStore da Apple para iOS
aplicativos e Google Play para aplicativos Android. Os usuários podem navegar, baixar, avaliar
e analise os aplicativos móveis ou plug-ins e extensões do navegador. Os desenvolvedores podem fazer upload
seu software para lojas de aplicativos que gerenciam todos os desafios de distribuição de software,
incluindo o fornecimento de armazenamento, largura de banda e partes do anúncio e vendas. Ser-
antes da publicação, a maioria das lojas de aplicativos implanta processos de aprovação de aplicativos para teste
confiabilidade, aderência às políticas da loja e para verificação de segurança [ 6 , 6]
A maior parte do software disponível em ecossistemas que possuem lojas de aplicativos é distribuído
através das lojas. Apenas alguns usuários carregam software paralelamente (ou seja, instalam software de outro
fontes do que a loja). As lojas de aplicativos permitem que os provedores controlem quais aplicativos são
disponíveis em suas lojas, o que lhes permite proibir aplicativos específicos. Enquanto isso pode
dar origem a acusações de censura, a implantação de técnicas de verificação de segurança
ajudou a reduzir significativamente a quantidade de software malicioso disponível nas lojas [ 6 ]
e para reduzir o número de aplicativos que sofrem de vulnerabilidades devido ao uso indevido
de APIs de segurança por desenvolvedores [ ] As técnicas de verificação de segurança implantadas incluem estática e
análise dinâmica aplicada a binários de aplicativos e instâncias em execução de aplicativos. Dentro
além das técnicas de verificação de segurança, as lojas de aplicativos exigem que os aplicativos sejam assinados
por chaves do desenvolvedor ou da loja de aplicativos. No Android, a assinatura do aplicativo não depende do
mesmas infraestruturas de chave pública usadas na web. Em vez disso, os desenvolvedores são encorajados a usar
certificados autoassinados e obrigados a assinar atualizações de aplicativos com a mesma chave para evitar
atualizações maliciosas [ 6 ] O procedimento de assinatura do aplicativo em dispositivos iOS requer um aplicativos para
ser assinado pela Apple. App sem assinaturas não podem ser instalados em dispositivos iOS. Lojas de aplicativos
não apenas permitem que desenvolvedores e usuários tenham acesso centralizado à publicação e distribuição de software
e download, eles também permitem que os usuários avaliem e analisem os aplicativos publicados. Avaliação do utilizador
e as análises têm como objetivo ajudar outros usuários a tomar decisões de download mais informadas, mas
www.cybok.org
Impacto das classificações e resenhas dos usuários na segurança de aplicativos Nguyen et al. [66] vigarista-
conduziu uma análise em grande escala de comentários de usuários para aplicativos Android e seu impacto na segurança
patches. Eles descobriram que a presença de comentários de usuários relacionados à segurança e privacidade para aplicativos
ções são fatores que contribuem para futuras atualizações de aplicativos relacionados à segurança.
.. Sandboxing
Ambas as plataformas móveis e de navegador modernas usam diferentes técnicas de sandbox
para isolar aplicativos e sites e seu conteúdo uns dos outros (cf. Operating Sys-
área de conhecimento de virtualização (Capítulo )) [ 6 , 68] Isso também visa proteger
a plataforma contra aplicativos e sites maliciosos. Principais navegadores da web (por exemplo, Google
Cromada [ 6 ]) e plataformas móveis (por exemplo, Android [ ]) implementar isolamento em um operador
nível de processo do sistema operacional. Cada aplicativo ou site é executado em seu próprio processo . Por padrão,
processos isolados não podem interagir uns com os outros e não podem compartilhar recursos. Em navegadores,
o isolamento do site serve como uma segunda linha de defesa como uma extensão da política de mesma origem
(cf. Seção ...)
https://translate.googleusercontent.com/translate_f 414/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Isolamento de aplicativo
Plataformas móveis modernas fornecem a cada aplicativo seu sandbox rodando em um dedicado
processo e seu próprio armazenamento de sistema de arquivo. As plataformas móveis aproveitam a op-
erar mecanismos de proteção de processo do sistema para identificação de recurso de aplicativo e
isolamento. Por exemplo, sandboxes de aplicativos no Android [ ] são configurados no nível do kernel. Se-
a segurança é aplicada por meio de recursos do sistema operacional padrão, incluindo IDs de usuário e grupo
bem como contextos de segurança. Por padrão, o sandboxing impede que os aplicativos acessem
entre si e permite apenas acesso limitado aos recursos do sistema operacional. Para acessar pro
recursos de aplicativo e sistema operacional interligadoscomunicação de aplicativo por meio de
é necessário terfaces.
. . . Isolamento de Conteúdo
O isolamento de conteúdo é uma das principais garantias de segurança nos navegadores modernos. A ideia principal
é isolar documentos com base em sua origem para que não possam interferir uns nos outros.
A política da mesma origem (SOP) [ ] foi introduzido e afeta o JavaScript e seus
interação com o DOM de um documento, solicitações de rede e armazenamento local (por exemplo, cookies). O
A ideia central por trás do SOP é que dois contextos de execução JavaScript separados são permitidos apenas para
manipular o DOM de um documento se houver uma correspondência exata entre o host do documento e o
protocolo, nome DNS e números de porta. Solicitações de manipulação de origem cruzada não são permitidas.
Mesa . ilustra os resultados da validação de SOP de amostra . Semelhante ao JavaScript-DOM-interação,
o SOP limita os recursos JavaScript XMLHttpRequest para apenas emitir solicitações HTTP para
a origem do documento hospedeiro.
Um dos principais problemas do SOP é que ele depende do DNS em vez de endereços IP . Atacantes que podem
alterar intencionalmente o endereço IP de uma entrada DNS pode, portanto, contornar a segurança SOP
garantias.
www.cybok.org
Como o código que impõe a política de mesma origem ocasionalmente contém bugs de segurança,
os navegadores introduziram uma segunda linha de defesa: os sites são renderizados em seus próprios processos
que funcionam em uma caixa de areia. Os sites de sandbox têm como objetivo evitar ataques como roubo
cookies entre sites e senhas salvas [ ]
Outra camada adicional de defesa para fazer cumprir a política de mesma origem e melhorar a aplicação da web
segurança de plicação é a Política de Segurança de Conteúdo (CSP) mecanismo [ ] Um CSP é principalmente
destina-se a evitar ataques de injeção de código, como XSS (consulte a Seção ..), que exploram o
a confiança dos navegadores em relação ao conteúdo enviado por um servidor da web. Isso permite que scripts maliciosos sejam
executado nos navegadores dos clientes. O CSP permite que os desenvolvedores da web e operadores de servidor limitem o
número de origens que os navegadores devem considerar como fontes confiáveis de conteúdo - incluindo
código executável e arquivos de mídia. Um CSP pode ser usado para que os servidores possam desabilitar globalmente
execução de código no cliente. Para habilitar CSP, desenvolvedores ou operadores podem configurar um
servidor da web para enviar um cabeçalho de resposta HTTP Content-Security-Policy ou adicionar um HTML
<meta> tag para um site. Os navegadores compatíveis apenas executarão código ou carregarão mídia
arquivos de origens confiáveis.
Exemplo: Cabeçalho da Política de Segurança de Conteúdo O seguinte CSP permite aos usuários de um aplicativo da web
cação para incluir imagens de qualquer origem, mas para restringir os dados de mídia (mídia de áudio ou vídeo) para
o domínio confiável- media.com confiável . Além disso, os scripts são restritos ao trusted-scripts.com
origem na qual o desenvolvedor da web confia:
Política de segurança de conteúdo: default-src 'self'; img-src *; media-src
Trusted-media.com; script-src trusted-scripts.com
https://translate.googleusercontent.com/translate_f 415/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os sistemas de permissão em plataformas móveis e web modernas permitem a proteção da privacidade de
seus usuários e reduzem a superfície de ataque, controlando o acesso aos recursos. O controle de
o acesso a recursos em um sistema de computador tradicional requer a definição precisa de todos
envolveram os princípios de segurança e os recursos protegidos no sistema. Finalmente, um acesso con
O sistema trol requer um mecanismo não contornável e confiável para avaliar as solicitações de acesso
(o monitor de referência ) e políticas de segurança sólidas que definem o curso apropriado de ação
para todos os pedidos de acesso. Com base nas políticas de segurança, o monitor de referência pode decidir
se concede ou nega acesso (cf. Autenticação, Autorização e Conta-
habilidade (AAA) Área de Conhecimento (Capítulo ) ).
As plataformas móveis e web modernas divergem dos sistemas convencionais de computador em vários
maneiras:
www.cybok.org
. . . Os princípios de segurança
Os sistemas de computador tradicionais são principalmente sistemas multiusuário com usuários humanos e profissionais
cesses em execução em seu nome. As plataformas móveis e da web modernas estendem os sistemas convencionais
sistemas do usuário também devem considerar todos os desenvolvedores envolvidos que têm seus aplicativos instalados
no sistema como princípios de segurança.
. . . O Monitor de Referência
Tipicamente, os sistemas de computador convencionais implementar controle de acesso, como parte do operacional
Sistema (SO), por exemplo, o sistema de arquivos e a pilha da rede. Os processos no nível do usuário podem estender
esta funcionalidade do sistema operacional e implementar seus próprios mecanismos de controle de acesso.
Como os sistemas de computador convencionais, as plataformas móveis e da web modernas são baseadas no sistema operacional
mecanismos de controle de acesso de baixo nível. Além disso, as extensas estruturas sobre as quais
aplicativos são desenvolvidos e implantados, fornecem interfaces estendidas. Web e estilo modernos
plataformas biliares usam comunicação entre processos (IPC) para separação de privilégios e compartimentos
mentalização entre aplicativos e entre aplicativos e o sistema operacional em vez de permitir
acesso direto aos recursos. Mecanismos de controle de acesso em processos de chamada são usados para
tectar interfaces IPC .
. . . A Política de Segurança
Em sistemas de computador convencionais, um processo pode ter diferentes níveis de privilégio. Pode correr
como o superusuário, como um serviço do sistema, com privilégios de nível de usuário ou com privilégios de convidado . Tudo
processos que compartilham o mesmo nível de privilégio têm o mesmo conjunto de permissões e podem
acessar os mesmos recursos.
As plataformas móveis e da web modernas fazem uma distinção clara entre sistema e terceiros
aplicativos: o acesso a recursos críticos de segurança e privacidade só é concedido a pessoas designadas
processos e aplicativos de terceiros, por padrão, não têm acesso a recursos críticos. Se
tal acesso é necessário, os desenvolvedores de aplicativos devem solicitar permissões de um conjunto
disponível apenas para todos os aplicativos de terceiros. A maioria das permissões permite que os desenvolvedores usem des-
processos de sistema acionados como representantes para acessar recursos sensíveis protegidos. Esses sistemas
Dez processos servem como monitores de referência e impõem políticas de controle de acesso.
As plataformas móveis e da web implementam abordagens de permissão distintas. Primeiro, as plataformas dis-
distinguir diferentes níveis de privilégio. Uma distinção comum são dois níveis (por exemplo, conforme implementado
no Android): normais (por exemplo, acesso à Internet) e permissões perigosas (por exemplo, acesso a
câmera ou microfone). Embora os desenvolvedores de aplicativos tenham que solicitar tanto o normal quanto
permissões perigosas para conceder aos seus aplicativos acesso aos respectivos recursos, o
os níveis são diferentes para os usuários do aplicativo. Permissões normais são concedidas silenciosamente, sem qualquer aplicação
interação com o usuário. No entanto, sempre que os aplicativos exigem permissões perigosas, o
A plataforma móvel ou web subjacente apresenta aos usuários diálogos de permissão. Enquanto mais cedo
As versões do Android mostravam aos usuários uma lista de todas as permissões necessárias de um aplicativo em in-
tempo de espera, plataformas móveis e navegadores modernos apresentam diálogos de permissão em tempo de execução.
Uma caixa de diálogo de permissão geralmente é mostrada na primeira vez que um aplicativo solicita acesso ao
recurso de resposta. Os usuários do aplicativo podem, então, conceder ou negar o acesso ao aplicativo
https://translate.googleusercontent.com/translate_f 416/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Dependendo do sistema, mais níveis podem ser implementados.
para o recurso. Sistemas modernos de controle de acesso baseados em permissão permitem maior flexibilidade
e controle para desenvolvedores e usuários.
(a) Permissões de instalação que ainda podem ser encontradas (b) Permissões de tempo de execução em aplicativos modernos
em aplicativos legados
www.cybok.org
https://translate.googleusercontent.com/translate_f 417/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
aplicativos trocam informações com navegadores. Em plataformas móveis, aplicativos trocam informações
mação com servidores backend (web). Em ambos os casos, HTTPS deve sempre ser usado para segurança
conexões de rede entre clientes e servidores. Para estabelecer conexões de rede seguras,
a infraestrutura de chave pública da web é usada. Usando os certificados PKI e X da web , clientes
e os servidores podem autenticar uns aos outros e trocar material de chave criptográfica para mais
transporte de informações criptografadas. Este KA não fornecerá mais detalhes sobre como a autenticação
processo de autenticação e os procedimentos de troca de chaves funcionam em detalhes (cf. a Segurança da Rede
Área de Conhecimento (Capítulo )). Em vez disso, oferece uma visão geral dos aspectos específicos da web e
plataformas móveis.
HTTPS é o protocolo de rede seguro mais amplamente implantado na web e em dispositivos móveis. Acabou
coloca HTTP em cima do protocolo TLS para fornecer autenticação do servidor e integridade e
confidencialidade para dados em trânsito. Enquanto HTTPS oferece autenticação mútua de servidores e
clientes baseados em certificados X., o uso principal é a autenticação dos acessados
servidor. Semelhante ao TLS , o HTTPS protege o tráfego HTTP contra espionagem e adulteração
evitando ataques man-in-the-middle. Uma vez que HTTPS encapsula o tráfego HTTP , ele protege
URLs , informações de cabeçalho HTTP , incluindo cookies e conteúdo HTTP contra invasores. Como-
nunca, ele não criptografa os endereços IP e números de porta de clientes e servidores. Enquanto
HTTPS pode esconder as informações trocadas por clientes e servidores, ele permite bisbilhoteiros
para aprender os domínios de nível superior dos navegadores de sites que os usuários visitam e para identificar os
servidores de back-end com os quais os aplicativos móveis se comunicam.
Ambos os navegadores da web e aplicativos móveis autenticam servidores HTTPS , verificando X. certi -
certificados assinados por CAs das Autoridades de Certificação. Navegadores e aplicativos móveis vêm com uma lista de
autoridades de certificação pré-instaladas ou contam com uma lista de CAs pré-instaladas no host operacional
sistema. Uma lista de autoridade certificada pré-instalada em navegadores modernos e em dispositivos móveis modernos
plataformas normalmente contém centenas de CAs. Para ser confiável, um certificado de servidor HTTPS
precisa ser assinado por um CA pré-instalado.
Os navegadores modernos apresentam aos usuários uma mensagem de aviso (por exemplo, consulte a Figura . ) quando o
o certificado do servidor não pôde ser validado. As mensagens de aviso destinam-se a indicar um
ataque man-in-the-middle. No entanto, razões comuns para mensagens de aviso são cer-
certificados, certificados que foram emitidos para um nome de host diferente, erros de rede entre os
cliente e servidor e erros no cliente, como relógios mal configurados [ ] Na maioria dos casos,
os usuários do navegador podem clicar em uma mensagem de aviso e visitar um site, mesmo se o servidor
o certificado não pôde ser validado [ ] Os navegadores usam indicadores coloridos no endereço
barra para exibir as informações de segurança de um site. Sites carregados via HTTP, sites
carregado via HTTPS que carrega algum de seu conteúdo (por exemplo, arquivos CSS ou JavaScript) em um HTTP
conexão6 e sites que usam um certificado inválido, mas para os quais o usuário clicou
um aviso é exibido como inseguro. Sites HTTPS com um certificado válido são exibidos
com um indicador de segurança correspondente (por exemplo, consulte a Figura . ) Em contraste, os usuários de celular,
aplicativo sem navegadors não podem verificar facilmente se um aplicativo usa o protocolo HTTPS
tocol com um certificado válido. Sem indicadores de segurança visual semelhantes aos usados em navegadores
Estão disponíveis. Em vez disso, os usuários precisam confiar que os desenvolvedores de aplicativos farão todo o necessário
medidas de segurança para conexões HTTPS .
Consulte a Área de Conhecimento de Segurança de Rede (Capítulo) para obter detalhes sobre o processo de validação.
6 Chamado de conteúdo misto.
www.cybok.org
https://translate.googleusercontent.com/translate_f 418/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
certi confiável -
cate
A partir de então, a maioria dos sites populares oferece suporte a HTTPS, e a maioria das conexões
de clientes para servidores na web e aplicativos móveis usam HTTPS para proteger seus usuários
contra ataques man-in-the-middle. Para aumentar ainda mais a adoção de HTTPS, operação do servidor
tors são encorajados a usar HTTPS para todas as conexões e implantar HTTP Strict Transport Se-
gurança (HSTS) [ 6] Além disso, os usuários do navegador podem instalar extensões e plug-ins para reescrever
URLs HTTP inseguros para URLs HTTPS seguros [ ] se possível, e quadro de aplicativo móvel-
funciona fazer HTTPS o protocolo de rede padrão para conexões HTTP .
O uso de HTTPS protege o conteúdo contra invasores, mas não preserva os metadados
(por exemplo, quais sites um usuário visita). Consulte o Privacy & Online Rights Knowledge
Área (Capítulo ) para obter mais informações, incluindo navegação privada e a rede Tor.
Autoridades de certificação desonestas e transparência de certificados A PKI da web permite que todos
autoridade de certificação raiz confiável para emitir certificados para qualquer domínio. Embora isso permita o site
operadores escolham livremente uma CA para o seu site, no passado, algumas CAs emitiram ações fraudulentas
certificados para fins maliciosos. Um dos exemplos mais proeminentes é a DigiNotar CA ,
Em que [ 8] emitiu certificados fraudulentos para vários sites, incluindo o Gmail do Google
serviço. Ninguém foi acusado pelo ataque. No entanto, a DigiNotar faliu. Cer-
transparência de ti cate [ ] foi introduzido para combater a emissão fraudulenta de certificados. Certificado
a transparência fornece uma estrutura de dados à prova de violação e monitora todos os programas de emissão de certificados
cesses de CAs participantes. Embora não possa evitar a emissão fraudulenta de certificados, melhora
as chances de detecção. Os clientes podem verificar o funcionamento correto da transparência do certificado
provedores e só devem se conectar a sites que usam certificados X. que incluem um
carimbo de data / hora do certificado. A transparência do certificado é apoiada pela maioria das principais autoridades certificadoras
e fornecedores de navegadores.
www.cybok.org
.. Autenticação
A autenticação na web e em plataformas móveis é um importante mecanismo de segurança
assinado para permitir que usuários humanos afirmem sua identidade para aplicativos da web, dispositivos móveis ou
aplicativos móveis. A autenticação anda de mãos dadas com a autorização que descreve as especificações
i cação de privilégios de acesso a recursos. Os privilégios de acesso especificados são usados posteriormente
para conceder ou negar acesso a recursos para usuários autenticados. Esta seção não dará um de-
visão geral adaptada dos conceitos de autenticação e autorização (cf. Autenticação, Autori-
Área de Conhecimento (Capítulo ) de avaliação e responsabilidade (AAA ), mas se concentrará na autenticação
mecanismos e tecnologias relevantes para plataformas web e móveis.
. . . Autenticação HTTP
https://translate.googleusercontent.com/translate_f 419/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Autenticação HTTP básica [8 ] é um mecanismo cujos resultados são usados para fazer cumprir
controle de acesso aos recursos. Ele não depende de identificadores de sessão ou dados de cookies. Nem faz
o esquema de autenticação HTTP básico requer a configuração de páginas de login dedicadas, pois todos
os principais navegadores fornecem um formulário de login integrado. Um servidor pode acionar esta autenticação
opção enviando um cabeçalho de resposta contendo o status “HTTP 401 Unauthorized”
tus code e um campo “WWW-Authenticate: Basic”. Credenciais inseridas neste formulário
pelo cliente são combinados com um “:” (“Nome de usuário: Senha”), codificado em Base6 para trânsito
(“VXNlcm5hbWU6UGFzc3dvcmQK”) e adicionado como cabeçalho de autorização para a próxima solicitação
(“Autorização: Basic VXNlcm5hbWU6UGFzc3dvcmQK”). Um exemplo de troca seja-
entre o servidor e o cliente é mostrado na Figura . . O esquema de autenticação básico não é se-
cura, pois as credenciais são transmitidas após uma codificação Base6 simples, o que é trivial para
marcha ré. Assim, as credenciais de login são transmitidas em texto simples pela rede, o que al-
permite que invasores ou observadores de rede roubem facilmente as credenciais. Portanto, HTTP básico
a autenticação não deve ser usada sem aprimoramentos adicionais que garantem o sigilo
tialidade e integridade, como HTTPS.
Autenticação HTTP baseada em formulário em que os sites usam um formulário para coletar credenciais de login
é uma forma de autenticação amplamente prevalente em aplicativos modernos da web e móveis. Por esta
www.cybok.org
Os dispositivos móveis implantam uma variedade de mecanismos de autenticação para desbloquear dispositivos, conceder aos usuários
acessar e proteger seus dados de acesso ilegítimo. Os mecanismos mais comuns para
autenticação de dispositivo móvel são senhas, PINs, padrões e recursos biométricos.
Os usuários podem usar senhas alfanuméricas comuns, incluindo caracteres especiais. Contudo,
uma vez que a autenticação do dispositivo móvel é uma tarefa frequente [ 8 ], muitos usuários tendem a desbloquear seus
dispositivo móvel usando PINs numéricos. Dispositivos Android também suportam padrões de desbloqueio (ver Fig-
ure .6) Em vez de escolher uma senha ou PIN, os usuários podem escolher um padrão de desbloqueio de um
grade x.
Dispositivos móveis modernos permitem que os usuários se autentiquem usando recursos biométricos, incluindo n-
gerprint e reconhecimento facial. Esses recursos de autenticação dependem do prim de segurança de hardware
itivas, como o TrustZone da ARM (cf. a área de conhecimento de fatores humanos (Capítulo 8)).
(a) PIN (b) Padrão (c) Senha (d) Impressão digital em (e) Reconhecimento facial
ditador Indicador de ção
Padrões de desbloqueio do Android semelhantes a senhas (consulte a seção . .) padrões de desbloqueio do dispositivo
sofrem de múltiplas fraquezas. Uellenbeck et al. [8 ] conduziu um estudo para investigar os usuários '
escolhas de × padrões de desbloqueio. Eles encontraram evidências empíricas de que os usuários tendem a escolher preconceituosos
padrões, por exemplo, os usuários normalmente começam no canto superior esquerdo e selecionam uma reta longa de três pontos
linhas. Portanto, semelhante a senhas regulares (cf. Área de Conhecimento de Fatores Humanos (Capítulo ) ), o
a entropia dos padrões de desbloqueio é bastante baixa. Além de os usuários escolherem padrões de desbloqueio fracos, o
mecanismo é vulnerável a ataques de ombro (consulte a Seção .) Como contramedida,
De Luca et al. [8 ] propõe o uso da parte traseira de um dispositivo para autenticar usuários.
https://translate.googleusercontent.com/translate_f 420/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. 0,8 Biscoitos
Os servidores da Web podem associar informações com estado a clientes específicos usando HTTP cook-
s [ 8 ] Informações de cookies (por exemplo, IDs de itens adicionados ao carrinho de compras em uma loja online)
é armazenado pelo cliente. Os cookies permitem que clientes e servidores incluam suas identidades de sessão únicas
em cada solicitação-resposta HTTP , evitando a necessidade de autenticação repetida. Sessão
os cookies expiram quando a sessão é fechada (por exemplo, quando o cliente fecha o navegador), mas persistem
os cookies de barraca só expiram após um determinado período de tempo.
A autenticação baseada em cookies permite que os clientes restabeleçam as sessões toda vez que enviam
missões para o servidor com um cookie válido. O gerenciamento de sessão baseado em cookies é vulnerável
ao sequestro de identificadores de sessão [ 8 ] Os sequestradores que publicam cookies de sessão válidos podem
conectar-se ao servidor atacado com os privilégios da vítima autenticada.
Os cookies também podem ser usados para rastrear usuários em várias sessões de provedores. Isso seja-
o comportamento geralmente está colocando em risco a privacidade do usuário (cf. a Adversarial Behaviors Knowledge Area
(Capítulo ) e a Área de Conhecimento de Direitos Online e Privacidade (Capítulo)).
.. Senhas e alternativas
As senhas são o mecanismo mais amplamente implantado para permitir que os usuários se autentiquem em sites
e aplicativos móveis e proteger suas informações confidenciais contra acesso ilegítimo
conectados. Eles são o método dominante para autenticação de usuário devido ao seu baixo custo, capacidade de implantação
facilidade, comodidade e boa usabilidade. No entanto, o uso de senhas para a maioria das contas online
prejudica a segurança da conta [ ] Uma vez que os humanos tendem a se esforçar para memorizar muitos
senhas complicadas, eles geralmente escolhem senhas fracas e reutilizam a mesma senha
para várias contas. As senhas fracas podem ser facilmente adivinhadas por invasores da Internet ou online.
As senhas reutilizadas amplificam a gravidade de todos os ataques de senha. Um comprometido online
conta resulta em todas as outras contas protegidas com a mesma senha como vulneráveis. Enquanto
no passado, as diretrizes de senha frequentemente recomendavam o uso de senhas complexas,
as diretrizes de aluguel afirmam que exigir senhas complexas na verdade enfraquece a segurança da senha
e desaconselhar políticas que incluam complexidade de senha [ 8 , 86] Esses aspectos
são discutidos mais detalhadamente na Área de Conhecimento de Fatores Humanos (Capítulo ) .
Os provedores de serviços online implantam várias contramedidas para resolver problemas de segurança com
senhas fracas e reutilização de senhas:
www.cybok.org
. . . Políticas de senha
https://translate.googleusercontent.com/translate_f 421/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
As políticas de senha são conjuntos de regras para incentivar os usuários a escolherem senhas mais fortes. Algum
as políticas de senha também tratam do problema de memorização. Para oferecer suporte a senhas mais fortes,
a maioria das regras aborda o comprimento e composição da senha, listas negras e o período de validade de um
senha [ 8 , 88]
Medidores de força da senha (PSMs) buscam o mesmo objetivo das políticas de senha e têm como objetivo
coragem na escolha de senhas mais fortes. PSMs normalmente fornecem feedback visual ou atribuem
pontuação de senhas para expressar a força da senha (consulte a Figura .) [ 8]
No entanto, abordando senhas fracas e reutilização de senha através da implantação de políticas restritivas
cies ou PSMs tem apenas um efeito limitado na segurança geral da senha [ ] Conseqüentemente, serviço
os provedores podem usar extensões para senhas simples para aumentar a segurança da autenticação.
. . . Gerenciadores de senha
Os gerenciadores de senha podem ajudar os usuários a gerar, armazenar e recuperar senhas fortes. Forte
as senhas são geradas e armazenadas usando geradores de números aleatórios seguros e
criptografia. Eles vêm como aplicativos instaláveis localmente, serviços online ou hardware local
dispositivos. Embora possam ajudar os usuários a usar senhas mais diversificadas e fortes, seu efeito
sobre a segurança geral de senha é limitada devido a problemas de usabilidade [ ] Para um mais detalhado
discussão, consulte a Área de Conhecimento de Fatores Humanos (Capítulo ) .
. . . Autenticação multifator
Em vez de exigir apenas um fator (por exemplo, uma senha), sistemas de autenticação multifator
exigem que os usuários apresentem vários fatores durante o processo de autenticação [ ] Local na rede Internet
as senhas são frequentemente complementadas com um segundo fator para autenticação de dois fatores ( FA)
Mais comumente, o segundo fator normalmente faz uso de um dispositivo móvel. Então, além de um
senha, os usuários precisam ter seu dispositivo em mãos para receber um token único para autenticação
com sucesso. A Diretiva Europeia de Serviços de Pagamento (PSD ) requer FA para todos online
serviços de pagamento em ambientes web e móveis (cf. Autenticação, Autorização e
Área de Conhecimento (Capítulo ) de Responsabilidade (AAA ).
. . . WebAuthn
. . .6 OAuth
https://translate.googleusercontent.com/translate_f 422/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
como nomes de usuário e senhas. Em nome de seus usuários, os provedores de serviços OAuth fornecem
tokens de acesso que autorizam informações específicas da conta a serem compartilhadas com aplicativos de terceiros
plicações. Sucessores mais recentes do protocolo OAuth, incluindo OAuth [86] ou OpenID
Conecte-se [ ] apoiam federações (cf. a autenticação, autorização e responsabilidade
(AAA) Área de Conhecimento (Capítulo )). Grandes fornecedores de serviços online, como Google ou
O Facebook pode atuar como provedores de identidade para autenticar usuários, ajudando-os a reduzir
o número de credenciais de login e contas. Embora esses protocolos tenham como objetivo fornecer
segurança, a implementação correta e segura de tais protocolos complexos mostrou ser
sujeito a erros e pode permitir que usuários mal-intencionados executem ataques de falsificação de identidade
6] [
A maioria dos componentes críticos nas plataformas modernas e móveis da web têm um lançamento curto
ciclos. Navegadores da web, incluindo Google Chrome e Mozilla Firefox, implementam atualização automática
recursos e frequentemente envia novas versões e patches de segurança para seus usuários.
As plataformas móveis também fornecem atualizações automáticas de aplicativos para aplicativos de terceiros. Enquanto isso
abordagem geralmente resulta em atualizações mais rápidas e na distribuição oportuna de patches de segurança,
atualizações automáticas de aplicativos móveis só são habilitadas por padrão para dispositivos conectados a
Wi-fi. Dispositivos conectados a uma rede celular (por exemplo, G / G) não se beneficiam de ap-
atualizações de plicação por padrão. Este comportamento de atualização garante que a maioria dos aplicativos de terceiros
datas são instaladas em dispositivos móveis dentro de uma semana [ ] Aplicativo automático de terceiros
as atualizações funcionam bem em dispositivos móveis. Comportamento de atualização do sistema operacional móvel fortemente de-
pends na plataforma. Em particular, muitos dispositivos Android que não são do Google sofrem de desatualização
e versões inseguras do sistema operacional.
De modo geral, as plataformas móveis e da web modernas reconheceram as desvantagens de dispositivos não automáticos
www.cybok.org
Bibliotecas de terceiros desatualizadas Embora as atualizações frequentes de software sejam cruciais em geral,
datas de bibliotecas de terceiros é uma medida de segurança particularmente importante para desenvolvedores de software
que precisam corrigir seu próprio código e distribuir atualizações, enquanto também rastreiam vulnerabilidades em li-
braries que eles usam e atualizando-os para melhor segurança. Derr et al. [ 8] realizou uma medição
estudo de frequências de atualização de bibliotecas de terceiros em aplicativos Android e descobri que um signi cativo
número de desenvolvedores usam bibliotecas desatualizadas, expondo seus usuários a problemas de segurança no local afetado
bibliotecas de terceiros. Lauinger et al. [ ] conduziu um estudo semelhante para bibliotecas JavaScript na web
aplicativos e também encontrou muitos sites que incluem bibliotecas desatualizadas e vulneráveis.
[ , , , , , , 6, , 8, , , , ]
Esta seção cobre ataques e suas contramedidas com foco no cliente. Discute
problemas em navegadores da web modernos e dispositivos móveis. Os problemas de segurança ilustrados
aspectos leves que têm dominado as discussões sobre segurança nos últimos anos. Nós nos concentramos em ataques
que exploram as fraquezas na interação entre usuários e navegadores da web e aplicativos móveis.
Em seguida, discutimos os desafios resultantes da tendência de armazenar cada vez mais informações
no cliente em vez do servidor. Por fim, discutimos ataques físicos que não se concentram em
explorar software ou vulnerabilidades humanas, mas explorar pontos fracos em dispositivos móveis.
.. Phishing e clickjacking
Esta seção apresenta dois problemas prevalentes que exploram os pontos fracos da interface do usuário de ambos
clientes da web e móveis. Phishing e clickjacking dependem de problemas que os humanos enfrentam de maneira adequada
https://translate.googleusercontent.com/translate_f 423/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
verificar URLs e o conteúdo dinâmico de documentos HTML renderizados .
. . . Phishing
Ataques de phishing são ataques fraudulentos que visam roubar informações confidenciais, incluindo login
credenciais e números de cartão de crédito das vítimas [ ] Tipos comuns de ataques de phishing
usar e-mail, sites ou dispositivos móveis para enganar as vítimas. Os atacantes se disfarçam como
partes confiáveis e enviar e-mails falsos, mostrar sites falsos ou enviar SMS falsos ou instantâneos
mensagens. Sites falsos podem parecer autênticos. Os invasores podem usar o login roubado com sucesso
credenciais ou números de cartão de crédito para se fazer passar por vítimas e acessar contas online importantes
contagens. Ataques de phishing bem-sucedidos podem resultar em roubo de identidade ou perda de dinheiro.
Os invasores costumam forjar sites que parecem legítimos para enganar os usuários, fazendo-os acreditar que
estão interagindo com o site genuíno. Para iniciar um ataque de phishing, os invasores plantam manip-
links ulados nos usuários por meio de e-mail, site ou qualquer outra forma de comunicação eletrônica. O ma-
link nipulado leva a um site forjado que parece pertencer à organização genuína
por trás do site em questão. Os invasores costumam falsificar mídias sociais e bancos on-line
ou sites de provedores de pagamento eletrônico. Eles enganam as vítimas para que sigam links manipulados
usando URLs com erros ortográficos, subdomínios ou ataques homográficos.
www.cybok.org
Para fazer sites forjados parecerem ainda mais autênticos, alguns phishers alteram o endereço de um navegador
substituindo a barra de endereço original por uma imagem do URL legítimo ou substituindo
a barra de endereço original com uma nova. Ataques de manipulação da barra de endereço requerem o uso de
Comandos JavaScript. Além disso, os phishers aproveitam o nome de domínio internacionalizado (IDN)
ataques homográficos [ ] Esses ataques exploram que os usuários não conseguem distinguir facilmente diferentes
codificações de caracteres. Por exemplo, as letras "l" e "I" (maiúscula i) são difíceis de distinguir, e
substituindo os caracteres latinos "a" pelo caractere cirílico "a" no URL https://paypal.com,
os usuários podem ser redirecionados de forma enganosa para um site do PayPal com phishing. ] Ataques
[ que envolvem
URLs manipulados e barras de endereço são ainda mais difíceis de detectar em navegadores móveis, uma vez que o
a barra de endereços não é visível durante a navegação normal. O phishing de sites é um dos mais frequentes
ataques frequentes. A maioria dos usuários humanos acha difícil localizar URLs e sites de phishing [ ]
. . . Clickjacking
Em um ataque de clickjacking, os invasores manipulam a aparência visual de um site para enganar os usuários
clicar em um link, botão ou imagem falsa. Clickjacking também é conhecido como interface do usuário
ataque de reparação e pertence à classe de ataques de deputados confusos [ ] Atacantes enganam seus
vítimas usando camadas transparentes ou opacas sobre sites originais. Enquanto as vítimas acreditam que eles
clicou no elemento de sobreposição, o elemento do site original foi clicado. Os atacantes podem
assim, fazer suas vítimas desencadearem ações arbitrárias no site original. O site de ataque
usa um iFrame para carregar o site de destino e pode fazer uso do posicionamento absoluto
recursos de iFrames para alinhamento visual correto. Assim, é difícil para as vítimas detectar o
elementos de ataque no site original. Ataques clickjacking são particularmente perigosos
https://translate.googleusercontent.com/translate_f 424/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
quando as vítimas já se conectaram a uma conta online e visitaram as configurações da conta
local na rede Internet. Nesses casos, um invasor pode induzir a vítima a executar ações em um local confiável
site quando a vítima já está conectada. Um dos ataques de clickjacking mais proeminentes atingiu
a página de configurações do plugin Adobe Flash [ ] Os invasores usaram iFrames invisíveis para enganar seus
cf. https://www.chromium.org/developers/design-documents/idn-in-google-chrome
www.cybok.org
vítimas para alterar as configurações de segurança do plugin e permitir que os invasores acessem
o microfone e a câmera das máquinas de suas vítimas.
Os ataques de clickjacking podem ser usados para lançar outros ataques contra sites e seus
usuários, incluindo Cross-Site Request Forgery e ataques Cross-Site Scripting (consulte a Seção
ção . .) [ ]
Um ataque de clickjacking não é um erro de programação, mas um problema conceitual com JavaScript.
Portanto, a detecção e a prevenção não são triviais. Detecção e prevenção de ataques de clickjacking
pode ser feito tanto do lado do servidor quanto do lado do cliente. Os usuários de navegadores da Web podem desabilitar o JavaScript e
iFrames para evitar ataques de clickjacking. No entanto, uma vez que isso quebraria muitos
sites, diferentes plug-ins de navegador (por exemplo, NoScript [ ]) permitir a execução controlada de
Scripts JavaScript em nome do usuário. Para conter o impacto dos ataques de clickjacking,
os usuários devem sair de contas online ao sair de um site, embora isso possa ser im-
prático. Para evitar ataques de clickjacking no lado do servidor, os desenvolvedores de sites precisam
para se certificar de que um site não pode ser enquadrado, ou seja, um site não carrega se estiver dentro de um
iFrame. Os sites podem incluir código JavaScript para detectar se um site foi colocado em
um iframe e sair do iframe. Essa técnica de defesa é chamada de FrameBusting [ 6]
No entanto, como os usuários podem ter desativado o JavaScript, esse método não é confiável. O rec-
O mecanismo de defesa recomendado do lado do servidor é definir um cabeçalho de resposta HTTP adequado . O
O cabeçalho X-FRAME-OPTIONS pode ser definido como DENY, o que impedirá que um site seja carregado
dentro de um iframe.
https://translate.googleusercontent.com/translate_f 425/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Historicamente, o armazenamento do navegador do lado do cliente era usado apenas para armazenar informações de cookies (consulte a Seção
ção . 0,8) No entanto, devido ao seu design simples e capacidade limitada, os cookies não podem ser usados
para armazenar grandes ou complexas quantidades de informações. Com o surgimento do HTML, mais poderoso e
existem alternativas ricas em recursos para armazenamento do lado do cliente no navegador. Isso inclui WebStor-
era [ ], que é semelhante a cookies e armazena pares de valores-chave e IndexedDB [ 8], que
serve como um banco de dados no estilo dos bancos de dados noSQL e pode ser usado para armazenar documentos,
outros arquivos e blobs binários.
Como mencionado, o principal problema de segurança com os mecanismos de armazenamento do lado do cliente é que o malware
usuários ciosos podem manipulá-los. Para garantir a integridade de informações confidenciais (por exemplo, ses-
informações de segurança), os desenvolvedores são aconselhados a assinar criptograficamente os dados armazenados no
cliente e verifique-o na recuperação.
Em aplicativos móveis, lidar com a segurança de armazenamento do lado do cliente também depende do tipo de informação
mecanismo de mação e armazenamento, por exemplo, armazenamento privado de um aplicativo ou armazenamento público, tal
como um cartão SD . Mais importante ainda, os dados devem ser assinados e verificados digitalmente (cf. o Cryptog-
Raphy Área de Conhecimento (Capítulo )) para fins de armazenamento de navegador e cliente móvel.
Recomenda-se que os desenvolvedores assinem e criptografem informações confidenciais e apliquem as
higienização de entrada do usuário. Isso é particularmente relevante para armazenamento compartilhado, como SD-cartões que
não use mecanismos de controle de acesso seguro. Em vez disso, o mecanismo de administração de acesso adequado
anismos são fornecidos para áreas de armazenamento que são privadas para um aplicativo.
www.cybok.org
.. Ataques Físicos
Em vez de atacar o código de aplicativos móveis ou da web, os ataques físicos visam explorar bugs
e pontos fracos que resultam do uso de um dispositivo. Nós nos concentramos em dois exemplos representativos
abaixo de.
. . . Ataques de manchas
Em um ataque de mancha, um invasor tenta aprender senhas, PINs ou padrões de desbloqueio inseridos em um
dispositivo touchscreen. O principal problema em inserir informações confidenciais de desbloqueio por meio de um
touchscreen são as manchas oleosas que os dedos dos usuários deixam ao desbloquear um dispositivo. Nós-
com câmeras e software de processamento de imagem baratos, um invasor pode recuperar a graxa
rastreia e infere padrões de desbloqueio, senhas e PINs [ ] Para realizar um ataque de borrão, um
o invasor precisa de uma visão clara da tela de destino.
https://translate.googleusercontent.com/translate_f 426/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . . Shoulder Sur ng
O ombro sur ng é um ataque físico em que um invasor tenta obter informações confidenciais
como senhas, PINs, padrões de desbloqueio ou números de cartão de crédito [ ] Para surfar no ombro
Durante o ataque, o invasor precisa ter uma visão clara da tela do alvo. O invasor pode montar um
ombro sur ng ataque diretamente olhando por cima do ombro da vítima ou de um
alcance usando ferramentas dedicadas, como câmeras ou telescópios. Ataques de ombro são
particularmente perigoso para usuários de dispositivos móveis durante a autenticação no dispositivo ou online
serviços em espaços públicos, como trens, ferrovias e aeroportos.
[ 8, , , , , , , , 6, ]
Esta seção discute a segurança do lado do servidor. Ele fornece detalhes para aspectos comuns do servidor
segurança, incluindo vulnerabilidades e mitigações bem conhecidas. A seção discute a raiz
causas, ilustra exemplos e explica atenuações. Os aspectos discutidos abaixo são centrais
tral para a web e ambientes móveis e dominou muitas das discussões sobre segurança
nesta área no passado.
.. Vulnerabilidades de injeção
Ataques de injeção ocorrem sempre que os aplicativos sofrem de validação insuficiente de entrada do usuário
para que os invasores possam inserir código no fluxo de controle do aplicativo (cf. o Software
Área de Conhecimento de Segurança (Capítulo )). Vulnerabilidades de injeção prevalentes para web e mo-
aplicativos de bile são injeções de SQL e Shell [ ] Devido à higienização inadequada do usuário
entrada, as solicitações para um banco de dados ou comandos do shell podem ser manipulados por um invasor. Tal
ataques podem vazar ou modificar informações armazenadas no banco de dados ou emitir comandos em um sistema
tem de maneiras que os desenvolvedores ou operadores não pretendiam. O principal objetivo dos ataques de injeção
é contornar a autenticação e expor informações confidenciais, como credenciais de login,
informações de identificação pessoal ou propriedade intelectual valiosa de empresas.
As vulnerabilidades de injeção podem ser tratadas com a higienização adequada das informações controladas pelo invasor
mação e implantação de políticas de controle de acesso adequadas. O objetivo da higienização de insumos é filtrar
www.cybok.org
entrada inválida e perigosa. Além disso, políticas rígidas de controle de acesso podem ser implementadas
para evitar que o código injetado acesse ou manipule informações [ 8]
. . . Injeção SQL
SQL-Ataques de injeção referem-se a injeções de código em consultas de banco de dados emitidas para relacional
bancos de dados usando a Structured Query Language (SQL) Muitos aplicativos da web e móveis
permitem que os usuários insiram informações por meio de formulários ou parâmetros de URL . A injeção de SQL ocorre se
essa entrada do usuário não é filtrada corretamente para caracteres de escape e, em seguida, usada para construir SQL
afirmações. Permitir que invasores modifiquem as instruções SQL pode resultar em acesso malicioso ou
manipulação das informações armazenadas no banco de dados.
A intenção do extrato é recuperar as informações do cartão de crédito para uma determinada entrada do usuário. A
exemplo para uma entrada esperada 123456789.
No entanto, a declaração acima permite valores maliciosos para a variável user_input. Um atacante
pode fornecer 'OR' 1 '=' 1 como entrada que renderizaria a seguinte instrução SQL :
Em vez de recuperar informações detalhadas do cartão de crédito apenas para um número de cartão de crédito específico, o
extrato recupera informações de todos os cartões de crédito armazenados na tabela do banco de dados. Uma teia potencial
aplicativo com a vulnerabilidade de injeção de SQL acima pode vazar informações confidenciais de cartão de crédito
para todos os usuários do aplicativo.
https://translate.googleusercontent.com/translate_f 427/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
As consequências da vulnerabilidade de injeção de SQL acima podem ser diretamente visíveis para o
atacante se todos os detalhes do cartão de crédito estiverem listados em uma página de resultados. No entanto, o impacto de um SQL
a injeção também pode ser escondida e não visível para o invasor.
injeções cegas de SQL [ ], não exibem os resultados da vulnerabilidade diretamente para o at-
tacker (por exemplo, porque os resultados não estão listados em um site). No entanto, o impacto de um
ataque pode ainda ser visível através da observação de informações como parte de uma resposta verdadeiro-falso
patrocinador do banco de dados. Os invasores podem ser capazes de determinar a resposta verdadeiro-falso
com base na resposta do aplicativo da web e na forma como o site é exibido.
segunda ordem Em contraste com os tipos anteriores de ataques de injeção de SQL , os ataques de segunda ordem
ocorre sempre que a entrada enviada pelo usuário é armazenada no banco de dados para uso posterior. Outras Partes
do aplicativo, então, dependem da entrada do usuário armazenada sem escapar ou filtrar apropriadamente
erly.
Uma maneira de atenuar os ataques de injeção de SQL é com o uso de instruções preparadas [ , ]
Em vez de incorporar a entrada do usuário em instruções SQL brutas (veja acima), instruções preparadas
use variáveis de espaço reservado 8 para processar a entrada do usuário. Variáveis de espaço reservado são limitadas ao armazenamento
valores de um determinado tipo e proíbem a entrada de fragmentos de código SQL arbitrários . Injeções de SQL
ataques resultariam em valores de parâmetro inválidos na maioria dos casos e não funcionariam como pretendido
por um invasor. Além disso, as instruções preparadas são suportadas por muitos desenvolvedores de aplicativos da web
estruturas operacionais no nível de codificação usando Mapeamento Objeto Relacional (ORM) interfaces.
8 Também chamadas de variáveis de vinculação.
www.cybok.org
ORMs não exigem que os desenvolvedores escrevam consultas SQL , mas geram banco de dados
declarações do código. Embora as declarações preparadas sejam um mecanismo de mitigação eficaz, um
outra maneira simples é escapar caracteres na entrada do usuário que têm um meio especial
em instruções SQL . No entanto, essa abordagem é propensa a erros e muitos aplicativos que
aplicar alguma forma de escape de SQL ainda são vulneráveis a ataques de injeção de SQL . As razões
pois os erros geralmente são listas incompletas de caracteres que requerem escape. Quando escap-
for usado, os desenvolvedores devem confiar nas funções fornecidas pelo desenvolvimento de aplicativos da web
frameworks (por exemplo, a função mysqli_real_escape_string () em PHP) em vez de im-
complementando sua própria funcionalidade de escape.
. . . Injeções de Comando
Este tipo de ataque de injeção afeta aplicativos vulneráveis que podem ser explorados para execução
comandos arbitrários no sistema operacional host de um aplicativo da web [ 8] Semelhante ao SQL
ataques de injeção, injeções de comando são principalmente possíveis devido à validação insuficiente de entrada do usuário
data. Os comandos vulneráveis geralmente são executados com os mesmos privilégios do aplicativo host.
Uma atenuação para ataques de injeção de comando é construir as strings de comando, incluindo todos
parâmetros de uma forma segura que não permite que os invasores explorem a entrada de string maliciosa. Em anúncio-
dição para validação de entrada adequada devido ao escape, seguindo o princípio do menor privilégio e
restringir os privilégios dos comandos do sistema e do aplicativo de chamada é recomendado.
O número de comandos do sistema que podem ser chamados deve ser limitado pelo uso de literais de string.
de strings brutas fornecidas pelo usuário. A fim de aumentar ainda mais a segurança, revisões regulares de código são rec-
recomendado, e bancos de dados de vulnerabilidade (por exemplo, o CVE [ ] banco de dados) deve ser monitorado
para novas vulnerabilidades. Finalmente, se possível, a execução de comandos do sistema deve ser evitada
completamente. Em vez disso, o uso de chamadas de API na respectiva estrutura de desenvolvimento é recomendado
consertado.
Os arquivos fornecidos pelos usuários, como imagens ou PDFs, devem ser manuseados com cuidado. Arquivos maliciosos
acionar a execução de comando indesejado no sistema operacional host do servidor, sobrecarregar
o sistema host, acionar ataques do lado do cliente ou desfigurar aplicativos vulneráveis [ ]
Exemplo: Rede Social Online Um exemplo de aplicação poderia ser uma rede social online
que permite aos usuários fazer upload de sua imagem de avatar. Sem técnicas adequadas de mitigação no local, o
o próprio aplicativo da web pode ser vulnerável. Um usuário malicioso pode fazer upload de um arquivo .php. Acessando
https://translate.googleusercontent.com/translate_f 428/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
esse arquivo pode solicitar que o servidor o processe como um arquivo PHP executável. Esta vulnerabilidade seria
permitir que os invasores executem código no servidor com as permissões do processo PHP e
também controlar o conteúdo veiculado para outros usuários do aplicativo.
Para evitar ataques através de arquivos carregados pelo usuário, ambos os metadados, incluindo nomes de arquivos e o
o conteúdo real dos arquivos carregados pelo usuário precisa ser restrito e filtrado, por exemplo, procurando por mal-
ware em arquivos carregados. Os nomes de arquivos e caminhos devem ser construídos usando literais de string em
em vez de strings brutas e tipos mime apropriados para respostas HTTP usadas sempre que possível.
www.cybok.org
Arquivos que estão disponíveis apenas para download e não devem ser exibidos in-line no navegador,
pode ser marcado com um cabeçalho de resposta HTTP Content-Disposition [ ] Outro sucesso
A mitigação de sucesso para o problema acima é servir arquivos de um domínio diferente. Se o domínio for
não é um subdomínio do domínio original, o SOP . . . evita cookies e outras críticas
as informações sejam acessíveis ao arquivo malicioso. Além disso, JavaScript e HTML
os arquivos também são protegidos pelo SOP .
Este tipo de vulnerabilidade é uma forma particular da injeção de comando acima ou do usuário
carregou as vulnerabilidades [ ] Por exemplo, os invasores podem explorar um comando injec-
ção, use um caminho malformado em um banco de dados ou um nome de arquivo manipulado. O caminho do arquivo resultante
de uma dessas vulnerabilidades pode ser criado para apontar para um arquivo local no servidor, por exemplo, um
.htaccess ou o arquivo / etc / shadow. Um aplicativo da web vulnerável pode então acessar o
Caminho de arquivo criado com códigos maliciosos e, em vez de carregar um arquivo benigno, leia e envie o conteúdo
do arquivo escolhido pelo invasor e, por exemplo, vazamento de credenciais de login no arquivo / etc / shadow.
Além da higienização dos parâmetros de caminho do arquivo, como inicial / e .. na entrada do usuário,
a aplicação do princípio do menor privilégio é recomendada. Um aplicativo da web deve ser
executado com privilégios mínimos e de forma que não possa acessar arquivos sensíveis.
Cross-Site Scripting (XSS) [ ] ataques são vulnerabilidades de injeção que permitem aos invasores
injetar scripts maliciosos (por exemplo, JavaScript) em sites benignos. Eles podem ocorrer sempre
usuários de sites maliciosos podem enviar scripts de cliente para aplicativos da web que redistribuem
o código malicioso para outros usuários finais. Exemplos comuns de sites vulneráveis a
Os ataques XSS são fóruns de mensagens que recebem conteúdo do usuário e o mostram a outros usuários. O
A causa raiz primária das vulnerabilidades de XSS são os aplicativos da web que não implementam de forma eficaz
mecanismos de validação de entrada. Dados não confiáveis e não validados fornecidos pelo usuário podem conter
scripts do lado do cliente. Sem a validação adequada da entrada do usuário, um JavaScript malicioso anteriormente
fornecido por um usuário, pode ser distribuído para outros usuários e manipular o site que eles são
visitar ou roubar informações confidenciais. Em um ataque XSS , o navegador do cliente não consegue detectar o
código malicioso, uma vez que é enviado do host remoto original, ou seja, com base na política de mesma origem
as medidas de segurança são ineficazes. Nós distinguimos dois tipos de ataques XSS :
armazenado Em um ataque XSS armazenado , o script malicioso é armazenado permanentemente no servidor de destino
(por exemplo, em um banco de dados) e distribuído às vítimas sempre que solicitam o armazenamento
script, por exemplo, como parte de um comentário em um fórum de mensagens. Ataques XSS armazenados são
também chamado de XSS permanente ou Tipo I.
refletido Em um ataque XSS refletido , o script malicioso não é armazenado permanentemente no
servidor de destino, mas refletido pelo servidor para as vítimas. Scripts maliciosos refletidos
os ataques são distribuídos por diferentes canais. Uma maneira comum de entregar um ma-
script licious é criar um link para o site de destino. O link contém o script e
clicar no link executa o script malicioso no contexto de execução do script do site.
Re ete XSS ataques também são chamados não-permanente ou Tipo-II XSS.
A prevenção de ambos os tipos de ataques XSS requer validação rigorosa da entrada do usuário e escape por
o servidor. O meio mais eficaz de validação de entrada é uma abordagem de lista branca, que nega
qualquer entrada que não seja explicitamente permitida. Para codificação de entidade adequada e segura, o uso de um
https://translate.googleusercontent.com/translate_f 429/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
A biblioteca de codificação de segurança é recomendada, uma vez que escrever codificadores é muito difícil e codificar
a revisão em combinação com o uso de ferramentas de análise estática de código também é valiosa.
Já que eliminar as vulnerabilidades XSS inteiramente devido à sanitização de entrada do usuário é difícil, diferente
abordagens são discutidas na literatura. Uma abordagem promissora é a randomização de
Tags e atributos de HTML . Os aplicativos da web randomizam seus pedidos para que os clientes possam distinguir
entre conteúdo benigno e confiável e conteúdo malicioso potencialmente não confiável. Enquanto
um invasor não conhece o mapeamento de randomização, os clientes podem distinguir com sucesso
confiável de scripts não confiáveis [ ]
Cross Site Request Forgery (CSRF) [ ] ataques enganam as vítimas, fazendo com que enviem mensagens maliciosas
Solicitações HTTP para servidores remotos. A solicitação maliciosa é executada em nome do usuário
e herda sua identidade e permissões. Ataques CSRF são tão perigosos porque a maioria
solicitações para servidores remotos incluem credenciais e informações de sessão associadas a um
identidade do usuário, incluindo cookies de sessão. Usuários autenticados são particularmente atraentes para vic-
tims para invasores, uma vez que pode ser difícil para servidores remotos distinguir entre benignos e
solicitações maliciosas, desde que sejam enviadas da máquina da vítima. Ataques CSRF fazem
não permite que invasores acessem facilmente a resposta do servidor para a solicitação mal-intencionada. Portanto,
o objetivo principal de um ataque CSRF é enganar as vítimas para que enviem solicitações de mudança de estado para
servidores remotos. Alvos atraentes são solicitações que alteram as credenciais ou objetivos da vítima
perseguir algo.
Exemplo: Banco online No seguinte cenário de banco online, Alice deseja trans-
fer EUR para Bob usando um site de banco online que é vulnerável a um ataque CSRF . Um ser-
A solicitação inicial de um usuário autenticado Alice para o cenário mencionado pode ser semelhante a GET
https://myonlinebank.net/transaction?to=bob&value=50. Em uma primeira etapa, um invasor
pode criar um URL malicioso , como https://myonlinebank.et/transaction?to=attacker&value= e re-
coloque o destinatário pretendido da transação com a conta do invasor. A segunda etapa para
O ataque CSRF bem-sucedido exige que o invasor engane Alice para que envie a solicitação mal-intencionada
com seu navegador da web, por exemplo, enviando um e-mail de SPAM contendo a solicitação que Alice subse-
clica frequentemente. No entanto, os ataques CSRF não estão limitados a solicitações HTTP GET, mas também afetam
Solicitações POST, por exemplo, criando tags <form> maliciosas.
Muitos equívocos levam a contramedidas ineficazes. Ataques CSRF não podem ser pré-
exalado usando cookies secretos porque todos os cookies são enviados de uma vítima para o controle remoto
servidor. Além disso, o uso de HTTPS é ineficaz, desde que a solicitação maliciosa seja enviada de
a vítima, porque o protocolo não importa e o uso de solicitações POST para sensíveis
as informações são insuficientes, pois os invasores podem criar formulários HTML maliciosos com campos ocultos.
Para prevenir eficazmente ataques CSRF , é recomendado incluir tokens randomizados em sen-
solicitações importantes, por exemplo, adicionando-as aos cabeçalhos da solicitação. Os tokens devem ser únicos por
sessão e gerado com um gerador de número aleatório seguro para evitar que os invasores
prevendo-os. Os servidores não devem aceitar solicitações de clientes autenticados que não
inclua um token válido.
www.cybok.org
Um único componente inseguro costuma ser suficiente para permitir que um invasor acesse o aplicativo da web
e intensificar ainda mais seu ataque de dentro. É por isso que implantar e manter
um aplicativo da web seguro requer mais do que focar no código do próprio aplicativo. Cada
componente da pilha de aplicativos da web precisa ser configurado com segurança e mantido atualizado
(consulte a Seção .)
https://translate.googleusercontent.com/translate_f 430/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
The Heartbleed Vulnerability Um exemplo famoso de uma vulnerabilidade crítica que afetou muitos
pilhas de aplicativos da web são Heartbleed [ 6] Heartbleed era uma vulnerabilidade amplamente
usou a biblioteca OpenSSL e fez com que os servidores da web vazassem informações armazenadas nos membros dos servidores da web
ory. Isso incluiu informações de certificado TLS , como chaves privadas, detalhes de criptografia de conexão,
e quaisquer dados comunicados pelo usuário e servidor, incluindo senhas, nomes de usuário e crédito
informações do cartão [ ] Para corrigir os sistemas afetados, os administradores tiveram que atualizar seu OpenSSL li-
braries o mais rápido possível e, idealmente, também revogar certificados e solicitar que os usuários alterem
suas senhas.
Conforme discutido anteriormente, o princípio do menor privilégio pode reduzir o ataque de um aplicativo da web
superfície tremendamente. As configurações adequadas de rewall e balanceador de carga servem como exemplos:
. . . Firewall
Para proteger um servidor da web, um firewall deve ser configurado para permitir o acesso apenas de fora
onde o acesso é necessário. O acesso deve ser limitado a portas como 8 e para solicitações HTTP
através da Internet e restringindo as portas de configuração do sistema para SSH e semelhantes para o interno
rede (cf. Área de conhecimento de segurança de rede (capítulo ) ).
. . . Balanceadores de carga
Um balanceador de carga é um componente amplamente implantado em muitos aplicativos da web. Balanceadores de carga
controlar o tráfego HTTP entre servidores e clientes e fornecer controle de acesso adicional para
recursos de aplicativos da web. Eles podem ser usados para direcionar solicitações e respostas a diferentes
servidores ou portas da web, equilibre a carga de tráfego entre vários servidores da web e proteja áreas
de um site com mecanismos de controle de acesso adicionais. A abordagem mais comum para
controlar o acesso é o uso de arquivos .htaccess. Eles podem restringir o acesso ao conteúdo no
servidor da web original e instrui os balanceadores de carga a exigir autenticação adicional.
Os balanceadores de carga também podem servir para fins de limitação de taxa. Eles podem limitar o tamanho da solicitação, permitido
métodos e caminhos de solicitação ou limites de tempo definidos. O principal uso da limitação de taxa é reduzir o
impacto potencialmente negativo de ataques de negação de serviço em um servidor web e impedir os usuários
de sistemas de spam, bem como restringir e prevenir comportamentos inesperados.
Além disso, os balanceadores de carga podem ser usados para fornecer conexões TLS seguras para aplicativos da web
cátions. Ao gerenciar TLS, os balanceadores de carga servem como um ponto de extremidade de conexão de rede para
a criptografia TLS e estabelecer novas conexões TLS com o serviço de aplicativo ou
conectar ao servidor de aplicativos da web usando HTTP simples. Se o servidor de aplicativos da web não for
hospedado na mesma máquina, o uso de conexões de rede simples pode vazar informações para o
Rede interna. No entanto, se o servidor de aplicativos da web não fornecer HTTPS propriamente dito, usando
um balanceador de carga como um ponto de extremidade TLS aumenta a segurança.
Erros de configuração de HTTPS Uma pedra angular da segurança da web e móvel é o correto e
configuração segura de HTTPS em servidores web. No entanto, Holz et al. [ ] descobriu que um signi cativo
número de sites populares implementam certificados inválidos com cadeias de certificados incompletos, emitidos
para o nome de host errado ou tempo de vida expirado. Em um estudo semelhante, Fahl et al. [ ] con rmou estes
descobertas e também perguntou aos operadores de sites as razões para implantar certificados inválidos. A maioria
os operadores não estavam cientes do uso de um certificado inválido ou usaram um propositalmente porque eles
não confiava na PKI da web. Krombholz et al. [ , ] conduziu um conjunto de estudos e descobriu
que os operadores têm dificuldade em configurar HTTPS corretamente, ou eles abrigam equívocos
sobre os recursos de segurança do HTTPS.
. . . Bancos de dados
Semelhante a balanceadores de carga e firewalls, muitos aplicativos da web incluem bancos de dados para armazenar
informações do usuário permanentemente. Muitas vezes, os bancos de dados são operados como um serviço adicional que é
hospedado em outro servidor. O servidor de aplicativos interage com o banco de dados por meio de bibliotecas
e APIs. É importante evitar vulnerabilidades de injeção no servidor. Além disso, erros
na implementação de bibliotecas de banco de dados ou permissões grosseiras exigidas pelo aplicativo
pode levar a vulnerabilidades.
Para reduzir o vetor de ataque, a maioria dos sistemas de banco de dados fornece gerenciamento de usuário, para limitar o usuário
privilégios para criar, ler, excluir ou modificar entradas em tabelas e em bancos de dados. Desta maneira
um banco de dados por aplicativo pode ser criado e determinados usuários com permissões somente leitura
pode ser usado pelo servidor de aplicativos.
https://translate.googleusercontent.com/translate_f 431/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Um aspecto importante para aumentar a segurança do banco de dados é a decisão sobre como armazenar os dados.
Criptografar dados antes do armazenamento no banco de dados pode ajudar. No entanto, especialmente para senhas
ou outras informações que só precisam ser comparadas para igualdade, hash antes que o armazenamento possa
aumentar tremendamente a segurança. No caso de vazamento de dados, as informações confidenciais permanecem
ilegível. Para armazenar senhas com segurança, desenvolvedores de aplicativos móveis e da web são recomendados
para usar uma função hash segura, como Argon [ ] ou PBKDF [ ] em combinação com
um sal específico de credencial criptograficamente forte. Um sal é um xed criptograficamente forte
valor aleatório de comprimento e precisa ser gerado novamente para cada conjunto de credenciais [ 6]
Os desenvolvedores de vazamentos de senha tendem a armazenar senhas simples, informações de cartão de crédito ou outros
informações confidenciais em bancos de dados em vez de criptografá-los ou hash (cf. o Human Fac-
tors Knowledge Area (Capítulo )) . Conseqüentemente, muitos vazamentos de bancos de dados de senha ou cartão de crédito
formação coloca os usuários em risco [ ] Navegadores modernos e gerenciadores de senha ajudam os usuários a evitar
senhas que fizeram parte de uma violação de dados anterior [ 8]
www.cybok.org
. CONCLUSÃO
Como mostramos, a segurança da web e móvel é um tópico amplo e diversificado que cobre muitas áreas
eas. Esta área de conhecimento enfatizou uma abordagem intersetorial, explorando as condições de segurança
conceitos e mecanismos que podem ser encontrados tanto na web quanto no mundo móvel. Portanto
baseia-se e amplia os insights de outra área de conhecimentos, em particular o Software
Área de Conhecimento de Segurança (Capítulo ), Área de Conhecimento de Segurança de Rede (Capítulo ), Huu-
Man Factors Área de Conhecimento (Capítulo) , Sistemas Operacionais e Conhecimento de Virtualização
Área (Capítulo ), Área de Conhecimento de Direitos Online e Privacidade (Capítulo), Autenticação, Au-
Área de conhecimento (Capítulo ) de torização e responsabilidade (AAA ) e a camada física e
Área de Conhecimento de Telecomunicações (Capítulo )
Mais tarde, dividimos a discussão em aspectos do lado do cliente e do lado do servidor. Em particular, este Knowl-
A edge Area tem se concentrado em ataques e defesas que prevaleciam em clientes da web e móveis
e servidores e que dominou as discussões nos últimos anos.
Seção Referências
https://translate.googleusercontent.com/translate_f 432/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. . Erros de configuração do lado do servidor e componentes vulneráveis [ , , , 8]
LEITURA ADICIONAL
Os recursos a seguir fornecem uma visão mais profunda sobre a segurança da web e móvel, bem como
orientações e recomendações para prevenir e lidar com as vulnerabilidades apresentadas
e discutido acima.
www.cybok.org
Desenvolvedores Android
A documentação oficial do ecossistema de desenvolvimento Android, incluindo anúncios de segurança
vice para armazenamento do lado do cliente, webviews, permissões, bancos de dados Android e conexão de rede
ções. Ele também inclui informações para versões desatualizadas do sistema operacional e o Google
Processo de atualização do jogo. Disponível em https://developer.android.com
https://translate.googleusercontent.com/translate_f 433/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 542
O Conhecimento em Segurança Cibernética
www.cybok.org
Página 543
https://translate.googleusercontent.com/translate_f 434/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Capítulo 6
Ciclo de vida seguro do software
Laurie Williams North Carolina State University
www.cybok.org
INTRODUÇÃO
O objetivo desta área de conhecimento do Ciclo de Vida do Software Seguro é fornecer uma visão geral de
processos de desenvolvimento de software para a implementação de software seguro desde a concepção do
software para o uso operacional do software. Esta implementação pode envolver nova codificação
bem como a incorporação de bibliotecas e componentes de terceiros. O objetivo desta visão geral
é para uso em cursos acadêmicos na área de segurança de software; e para orientar os profissionais da indústria
profissionais que desejam usar um ciclo de vida de software seguro.
A Área de Conhecimento de Segurança de Software (Capítulo ) fornece uma visão geral estruturada de
desenvolvimento e codificação de software e as categorias conhecidas de implementação de software
vulnerabilidades e de técnicas que podem ser usadas para prevenir ou detectar tais vulnerabilidades
ou para mitigar sua exploração. Em contraste, esta área de conhecimento do ciclo de vida do software seguro
concentra-se nos componentes de um processo de desenvolvimento de software abrangente para prevenir
e detectar defeitos de segurança e responder em caso de exploração.
Esta área de conhecimento começará com uma história de modelos de ciclo de vida de software seguro. Seção
fornece exemplos de três processos prescritivos de ciclo de vida de software seguro; a Microsoft
Ciclo de vida de desenvolvimento seguro, pontos de contato e SAFECode. A seção discute como esses
processos podem ser adaptados em seis domínios específicos: agile / DevOps, mobile, cloud computing,
internet das coisas, veículos rodoviários e cartão de comércio eletrônico / pagamento. A seção fornece informações
em três estruturas para avaliar o processo de ciclo de vida de software seguro de uma organização.
https://translate.googleusercontent.com/translate_f 435/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
CONTENTE
6 MOTIVAÇÃO
[ 8, , , , , , , , 6]
www.cybok.org
• Os patches podem introduzir novas vulnerabilidades ou outros problemas. Patches de vulnerabilidade são
considerado urgente e pode ser apressado, potencialmente introduzindo novos problemas para um sistema
tem. Por exemplo, os primeiros patches da Microsoft para o Meltdown chip aw introduziu um
vulnerabilidade ainda mais séria no Windows . A nova vulnerabilidade permitiu que os invasores
para ler a memória do kernel muito mais rápido e para escrever sua própria memória, e pode permitir um
invasor para acessar todos os processos de computação em nível de usuário em execução em uma máquina.
• Frequentemente, os patches não são aplicados pelos clientes. Usuários e administradores de sistema podem ser
relutante em aplicar patches de segurança. Por exemplo, o heartbleed altamente divulgado vul-
A nerabilidade no OpenSSL permite que os invasores explorem sistemas vulneráveis de forma fácil e silenciosa,
roubar senhas, cookies, cripto-chaves privadas e muito mais. A vulnerabilidade era
relatado em abril; mas em janeiro, uma varredura revelou, acessível pela Internet
dispositivos permaneceram sem patch [ ] Assim que uma vulnerabilidade é relatada publicamente, os invasores
formular um novo mecanismo para explorar a vulnerabilidade com o conhecimento de que muitos
as organizações não adotarão o x.
'Computação confiável é a maior prioridade para todo o trabalho que estamos fazendo. Nós
deve levar a indústria a um nível totalmente novo de confiabilidade em computação ...
Computação confiável é a computação tão disponível, confiável e segura quanto
eletricidade, água e telefonia '.
https://translate.googleusercontent.com/translate_f 436/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O memorando da Trustworthy Computing causou uma mudança na empresa. Duas semanas depois, a Microsoft
anunciou o atraso do lançamento do Windows .NET Server [ ] para garantir uma segurança adequada
revisão (referido como o Windows Security Push), conforme exigido pelo Trustworthy da Microsoft
Iniciativa de computação descrita neste memorando. Em, funcionários da Microsoft Howard e Le
Blanc [ ] publicou publicamente uma segunda edição de um livro sobre como escrever código seguro para prevenir
vulnerabilidades, para detectar erros de design e implementação, e para melhorar o código de teste e
documentação. A primeira edição foi leitura obrigatória para todos os membros do Windows
equipe durante o Push.
https://meltdownattack.com/ Meltdown permite que os hackers contornem uma barreira entre os aplicativos e o computador
memória para roubar dados sensíveis.
https://www.cyberscoop.com/microsoft-meltdown-patches-windows- -memory-management /
http://heartbleed.com/
www.cybok.org
Durante os anos seguintes, a Microsoft mudou seu processo de desenvolvimento para construir
produtos por meio de uma revisão abrangente de seu processo de desenvolvimento desde o plano inicial
durante o fim da vida útil do produto. Seus produtos continham comprovadamente menos vulnerabilidades
[ ] Após o uso interno do processo, a Microsoft codificou e contribuiu com seu estágio em
processo de desenvolvimento ternal, o Ciclo de Vida de Desenvolvimento de Segurança da Microsoft (SDL) para o com
comunidade através de seu livro intitulado The Security Development Lifecycle [ ] em 6. Fiel a
A intenção original de Gates, o Microsoft SDL, forneceu a base para a tecnologia da informação
tecnologia, fornecendo o primeiro ciclo de vida abrangente e prescritivo documentado.
Também em 6, McGraw publicou o primeiro livro sobre as melhores práticas de segurança de software [ 6]
Conforme discutido no restante desta área de conhecimento, as organizações construíram sobre a base
estabelecido pela Microsoft e pela Viega e McGraw [ 8, ]
Processos de ciclo de vida de software seguro são abordagens proativas para construir segurança em um produto
uct, tratando a 'doença' de software inseguro e mal projetado na fonte, em vez de 'ap-
usar um band-aid para interromper os sintomas por meio de uma abordagem reativa de penetração e patch.
Esses processos trabalham a segurança do software profundamente em todo o processo de desenvolvimento do produto
e incorporar pessoas e tecnologia para resolver e prevenir problemas de segurança de software. Esta
seção fornecerá informações sobre três processos proeminentes de ciclo de vida de software seguro e
em seguida, reflita sobre as semelhanças entre eles na Tabela 6..
https://translate.googleusercontent.com/translate_f 437/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Conforme discutido na Seção 6., A Microsoft usou um processo de desenvolvimento interno, o Security
Ciclo de Vida de Desenvolvimento (SDL), para melhorar a segurança de seus produtos. Howard e Lipner
[ ] divulgou um instantâneo desse processo em 6. Desde então, a Microsoft tem continuado
foi criado para desenvolver seu SDL e fornecer recursos atualizados para a comunidade [ ], Incluindo
um maior foco nos requisitos de conformidade que estão sendo impostos ao setor.
Atualmente [ ], o Microsoft SDL contém práticas que são enumeradas abaixo. Para
cada uma das práticas, técnicas para implementar a prática podem ser mencionadas embora
o SDL não prescreve a técnica específica.
Muitas vezes, a educação formal desses profissionais não inclui segurança cibernética. Addi-
opcionalmente, vetores de ataque, ferramentas de segurança, linguagens de programação seguras e experiências
estão em constante evolução, portanto, o conhecimento e o material do curso devem ser atualizados. Em andamento
O treinamento em segurança cibernética é essencial para organizações de software.
. Requisitos de segurança definidos . Os requisitos de segurança devem ser definidos durante o início
fases de projeto e planejamento inicial. Fatores que influenciam esses requisitos incluem o
requisitos funcionais específicos do sistema, a conformidade legal e da indústria
requisitos, padrões internos e externos, incidentes de segurança anteriores e
ameaças.
Os requisitos de segurança devem ser continuamente atualizados para refletir as mudanças na função necessária
nacionalidade, padrões e o cenário de ameaças.
. Relatórios de métricas definidas e conformidade . Lord Kelvin é citado como tendo declarado: 'Se você puder
não medir, não dá para melhorar '. A equipe de gestão deve compreender e
ser responsabilizado por níveis mínimos aceitáveis de segurança usando métricas de segurança
[ ] Um subconjunto dessas métricas pode ser definido como indicadores-chave de desempenho (KPIs) para
relatórios de gestão. O rastreamento de defeitos deve rotular claramente os defeitos de segurança e
itens de trabalho de segurança como tal para permitir a priorização precisa, gestão de risco, rastreamento
e relatórios do trabalho de segurança. Além disso, os produtos cada vez mais devem cumprir
www.cybok.org
com os padrões regulatórios, como o Payment Card Industry Data Security Standard
(PCI DSS), ou o Regulamento geral de proteção de dados da UE [ ] (GDPR), que pode im-
apresentam etapas de processo e métricas adicionais para conformidade, relatórios e auditorias.
. Executar modelagem de ameaças . Por meio do uso de modelagem de ameaças [, 6], equipes con
examinar, documentar e discutir as implicações de segurança dos projetos no contexto de seus
ambiente operacional planejado e de forma estruturada. As equipes devem considerar
https://translate.googleusercontent.com/translate_f 438/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
as motivações de seus adversários e os pontos fortes e fracos dos sistemas para
defender contra os cenários de ameaça associados. Uma abordagem é considerar o () o
interatores mal-intencionados e benevolentes com o sistema; () o design do sistema e
seus componentes (ou seja, processos e armazenamentos de dados), () os limites de confiança do sistema
tem; e () o fluxo de dados do sistema dentro e através dos limites de confiança de / para
seus interatores. As ameaças podem ser enumeradas usando uma abordagem sistemática de consideração -
cada componente do sistema em relação ao STRIDE (spoo ng, adulteração, repúdio,
Divulgação de informações, negação de serviço, elevação de privilégio) [ ] ameaças:
(a) Falsificação de identidade . As ameaças de spoofing permitem que um invasor se faça passar por outro usuário ou
permitir que um servidor não autorizado se faça passar por um servidor válido.
(c) Repúdio . Ameaças de repúdio estão associadas a usuários que negam desempenho
uma ação sem que outras partes tenham qualquer forma de provar o contrário.
(e) Negação de serviço . Uma negação de serviço (DoS) ataque nega serviço a usuários válidos por
tornando o sistema indisponível ou inutilizável.
(f) Elevação de privilégio . Um usuário sem privilégios obtém acesso privilegiado e, portanto,
tem acesso suficiente para comprometer ou destruir o sistema.
A modelagem de ameaças ajuda a equipe a enumerar as ameaças, para que o design do sistema possa
ser fortificado e os recursos de segurança podem ser selecionados. Além de STRIDE, outros modelos
existem para formular modelos de ameaças, como métodos6, incluindo árvores de ataque [ 6]
que são diagramas conceituais de ameaças aos sistemas e possíveis ataques para atingir
essas ameaças. Uma prática intimamente relacionada à modelagem de ameaças é a Análise de Risco Arquitetural
sis, como será discutido na seção. . bala .
www.cybok.org
O design de recursos seguros envolve obedecer aos princípios de segurança atemporais definidos
apresentado por Saltzer e Schroeder [8] e reformulado por Viega e McGraw [ 8] dentro
. Os oito princípios de Saltzer e Schroeder são:
• Mediação completa . Cada acesso a cada objeto deve ser verificado para autorização
ção
• Design aberto . O design não deve depender da ignorância dos invasores, mas
em vez da posse de chaves ou senhas.
• Separação de privilégios . Um mecanismo de proteção que requer duas chaves para desbloquear
https://translate.googleusercontent.com/translate_f 439/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
é mais robusto do que aquele que requer uma única chave quando duas ou mais decisões
deve ser feito antes de o acesso ser concedido.
• Menor privilégio . Cada programa e cada usuário deve operar usando o mínimo
de privilégios necessários para concluir o trabalho.
• Design para atualização . A segurança do software deve ser projetada para mudanças, como
para patches de segurança e alterações de propriedades de segurança.
Em, o IEEE Center for Secure Design [ ] enumerou os dez principais projetos de segurança
aws e orientações fornecidas sobre técnicas para evitá-los. Essas diretrizes são
do seguinte modo:
(b) Use um mecanismo de autenticação que não possa ser ignorado ou adulterado.
(d) Separe estritamente os dados e as instruções de controle, e nunca processe as instruções de controle
ções recebidas de fontes não confiáveis.
(e) Definir uma abordagem que garanta que todos os dados sejam explicitamente validados.
(i) Entenda como a integração de componentes externos muda sua superfície de ataque.
. Gerenciar o risco de segurança do uso de componentes de terceiros . A grande maioria dos soft-
Os projetos de ware são construídos usando componentes de terceiros proprietários e de código aberto. O
Grupo de serviços de auditoria Black Duck On-Demand [ ] conduziu auditorias de código aberto em
mais, aplicativos comerciais e componentes de código aberto encontrados em% dos
aplicativos com uma média de componentes por aplicativo. Cada um desses componentes
nents podem ter vulnerabilidades na adoção ou no futuro. Uma organização deve
ter um inventário preciso de componentes de terceiros [ 66], use continuamente uma ferramenta
para fazer a varredura de vulnerabilidades em seus componentes e ter um plano para responder quando uma nova vulnerabilidade
nerabilidades são descobertas. Ferramentas proprietárias e disponíveis gratuitamente podem ser usadas para identificar
https://translate.googleusercontent.com/translate_f 440/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tificar as dependências dos componentes do projeto e verificar se há algum conhecido, divulgado publicamente
fechado, vulnerabilidades nesses componentes.
8. Use ferramentas aprovadas . Uma organização deve publicar uma lista de ferramentas aprovadas e seus
verificações e configurações de segurança associadas, como opções e avisos do compilador / vinculador.
Os engenheiros devem usar a versão mais recente dessas ferramentas, como versões do compilador e
aproveite as vantagens das novas funções e proteções de análise de segurança. Freqüentemente, o resultado
O software tant deve ser compatível com as versões anteriores.
. Realizar teste de segurança de análise estática (SAST) . As ferramentas SAST podem ser usadas para uma
revisão do código de segurança acoplado para encontrar instâncias de padrões de codificação inseguros e para ajudar
certifique-se de que as políticas de codificação seguras estão sendo seguidas. SAST pode ser integrado ao
commit e pipeline de implantação como uma porta de check-in para identificar vulnerabilidades a cada vez
o software é construído ou empacotado. Para aumentar a eficiência, as ferramentas SAST podem ser integradas em
https://w.eff.org/Privacy/Crypto/Crypto_misc/DESCracker/HTML/ 8 6_eff_des_faq.html
www.cybok.org
o ambiente do desenvolvedor e ser executado pelo desenvolvedor durante a codificação. Algumas ferramentas SAST
detectar certos bugs de implementação, como a existência de inseguros ou outros banidos
funções e substituir automaticamente por (ou sugerir) alternativas mais seguras conforme o desenvolvimento
oper está codificando ativamente. Consulte também a Área de Conhecimento de Segurança de Software (Seção ..)
. Executar teste de segurança de análise dinâmica (DAST) . DAST realiza verificação em tempo de execução
de software compilado ou empacotado para verificar a funcionalidade que só é aparente quando
todos os componentes estão integrados e funcionando. DAST muitas vezes envolve o uso de um conjunto de pré-
ataques construídos e strings malformadas que podem detectar corrupção de memória, privilégio do usuário
problemas, ataques de injeção e outros problemas críticos de segurança. Ferramentas DAST podem empregar
fuzzing , uma técnica automatizada de entrada de casos de teste inválidos e inesperados conhecidos
em um aplicativo, geralmente em grande volume. Semelhante ao SAST , o DAST pode ser executado pelo desenvolvedor
oper e / ou integrado ao pipeline de construção e implantação como um portão de check-in. DAST
pode ser considerado um teste de penetração automatizado. Veja também a Segurança do Software
Área de Conhecimento (Seção ..)
. Realize o teste de penetração . O teste de penetração manual é um teste de caixa preta de uma execução
sistema operacional para simular as ações de um invasor. O teste de penetração é muitas vezes per-
formado por profissionais de segurança qualificados, que podem ser internos a uma organização ou
consultores, simulando oportunisticamente as ações de um hacker. O objetivo de um
teste de penetração é descobrir qualquer forma de vulnerabilidade - de pequena implementação
bugs nos principais problemas de design resultantes de erros de codificação, falhas de configuração do sistema,
design aws ou outras deficiências de implantação operacional. Os testes devem tentar ambos
uso indevido não autorizado e acesso aos ativos alvo e violações das premissas.
Um recurso amplamente referenciado para a estruturação de testes de penetração é o OWASP Top
Riscos de segurança de aplicativos da Web mais críticos . Como tal, o teste de penetração pode encontrar
a mais ampla variedade de vulnerabilidades, embora geralmente menos eficiente em comparação com
SAST e DAST [ ] Os testadores de penetração podem ser chamados de hackers de chapéu branco ou
hackers éticos. No modelo de penetração e patch, o teste de penetração foi o único
linha de análise de segurança antes de implantar um sistema.
. Estabeleça um Processo Padrão de Resposta a Incidentes . Apesar de um ciclo de vida de software seguro,
as organizações devem estar preparadas para ataques inevitáveis. As organizações devem proativamente
preparar um Plano de Resposta a Incidentes (IRP) O plano deve incluir quem contatar em
caso de uma emergência de segurança, estabeleça o protocolo para mitigação de vulnerabilidade eficiente,
para resposta e comunicação do cliente e para a rápida implantação de um x. O
O IRP deve incluir planos para o código herdado de outros grupos dentro da organização
e para código de terceiros. O IRP deve ser testado antes de ser necessário. Lições aprendidas
por meio de respostas ao ataque real deve ser fatorado de volta no SDL.
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
https://translate.googleusercontent.com/translate_f 441/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
O consultor internacional de segurança de software, Gary McGraw, forneceu sete Software Security
Pontos de toque [ 6] codificando uma vasta experiência industrial com a construção de produtos seguros
ucts. McGraw usa o termo ponto de contato para se referir às melhores práticas de segurança de software que
pode ser incorporado a um ciclo de vida de software seguro. McGraw diferencia vulnerabilidades
que são bugs de implementação e aqueles que são erros de design [ ] . Bugs de implementação
são erros localizados, como buffer over ow e erros de validação de entrada, em um único pedaço de
código, tornando a localização e a compreensão mais fáceis. Os problemas de design são problemas sistêmicos em
o nível de design do código, como tratamento de erros e sistemas de recuperação que falham em um
remediar a moda ou os sistemas de compartilhamento de objetos que por engano incluam problemas de confiança transitiva
6] [
Kuhn et al. [66] analisou os dados de vulnerabilidade 8 - 6 do US National Vulnera-
Banco de dados de mobilidade (NVD) e descobriu que 6% das vulnerabilidades eram bugs de implementação.
Os sete pontos de contato ajudam a prevenir e detectar erros e falhas.
Esses sete pontos de contato são descritos abaixo e são fornecidos em ordem de eficácia
com base na experiência de McGraw com a utilidade de cada prática ao longo de muitos anos, portanto
prescritivo:
A revisão de código é usada para detectar bugs de implementação. A revisão manual do código pode ser usada,
mas requer que os auditores tenham conhecimento sobre vulnerabilidades de segurança antes
eles podem examinar o código com rigor. 'Revisão de código com uma ferramenta' (também conhecido como o uso de estática
ferramentas de análise ou SAST) tem se mostrado eficaz e pode ser usado por engenheiros
que não possuem conhecimento especializado em segurança. Para uma discussão mais aprofundada sobre a análise estática,
veja a seção. . bala .
Análise de risco arquitetônico, que também pode ser referida como modelagem de ameaça (consulte a Seção
ção . bullet), é usado para prevenir e detectar falhas de design. Designers e arquitetos
fornecer uma visão de alto nível do sistema de destino e documentação para suposições, e
identificar possíveis ataques. Por meio da análise de risco arquitetônico, os analistas de segurança descobrem
e classificar os problemas de arquitetura e design para que a mitigação possa começar. Por exemplo, análise de risco
sis pode identificar um possível tipo de ataque, como a capacidade de os dados serem interceptados e
leitura. Essa identificação levaria os designers a olhar para todos os tráfegos de seu código
permite ver se a interceptação era uma preocupação e se a proteção adequada (ou seja, criptografar
ção) estava em vigor. Essa revisão que a análise solicitou é o que revela o design
aws, como dados confidenciais são transportados em claro.
Nenhum sistema pode ser perfeitamente seguro, então a análise de risco deve ser usada para priorizar a segurança
esforços de segurança e vincular as preocupações em nível de sistema às medidas de probabilidade e impacto que
importa para a empresa que está desenvolvendo o software. A exposição ao risco é calculada por multiplicação
a probabilidade de ocorrência de um evento adverso pelo custo associado a esse
evento [ 6 ]
• Análise de resistência de ataque . A análise de resistência ao ataque usa uma lista de verificação / sistemática
abordagem de considerar cada componente do sistema em relação às ameaças conhecidas , como é
feito na modelagem de ameaças da Microsoft discutida na Seção. . bala . Em formação
http://nvd.nist.gov
www.cybok.org
sobre ataques conhecidos e padrões de ataque são usados durante a análise, identificando
riscos na arquitetura e compreensão da viabilidade de ataques conhecidos. Ameaça
modelagem com a incorporação de ataques baseados em STRIDE, conforme discutido na Seção
. . bullet, é um exemplo de processo para realizar análise de resistência a ataques.
https://translate.googleusercontent.com/translate_f 442/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• Análise de ambigüidade . A análise de ambigüidade é usada para capturar a atividade criativa re-
quis descobrir novos riscos. A análise de ambiguidade requer dois ou mais experientes
analistas que realizam atividades de análise separadas em paralelo no mesmo sistema.
Através da unificação da compreensão da análise múltipla, as divergências entre
os analistas podem descobrir ambigüidade, inconsistência e novos erros.
. Teste de penetração .
O teste de penetração pode ser orientado pelo resultado da análise de risco arquitetônico (Veja
Seção . . bala ). Para uma discussão mais aprofundada sobre o teste de penetração, consulte a seção. . ,
bala .
. Casos de abuso .
Este ponto de contato codifica "pensar como um invasor". Os casos de uso descrevem o sistema desejado
comportamento dele por atores benevolentes. Casos de abuso [ ] descrever o sistema ser-
haviour quando sob ataque por um ator malicioso. Para desenvolver casos de abuso, um analista
https://www.owasp.org/index.php/Category:OWASP_Application_Security_Veri cation_Standard_Project # tab = Home
O erro humano é responsável por um grande número de violações. Os analistas de sistema devem
também considere as ações de usuários benevolentes, como ser vítima de um ataque de phishing,
que resultam em uma violação de segurança. Essas ações podem ser consideradas casos de uso indevido [ ]
e deve ser analisado de forma semelhante aos casos de abuso, considerando qual caso de uso o uso indevido
caso ameaça e o forti cação ao sistema para mitigar o caso de uso indevido.
Os ataques e atenuações identificados pela análise de casos de abuso e uso indevido podem ser
usado como entrada nos requisitos de segurança (Seção.. marcador.); teste de penetração
(Seção.. Marcador); e teste de segurança baseado em risco (Seção.. bullet).
6. Requisitos de segurança .
https://translate.googleusercontent.com/translate_f 443/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Para uma discussão mais aprofundada sobre os requisitos de segurança, consulte a Seção. . bala .
. Operações de segurança .
A segurança da rede pode ser integrada à segurança do software para aprimorar a postura de segurança.
Inevitavelmente, os ataques acontecerão, independentemente das aplicações dos outros pontos de contato.
Compreender o comportamento do invasor e o software que permitiu um ataque bem-sucedido é
uma técnica defensiva essencial. O conhecimento obtido pela compreensão dos ataques pode ser
realimentou os seis outros pontos de contato.
Os sete pontos de contato devem ser alternados várias vezes conforme o produto de software
uct evolui. Os pontos de contato também são agnósticos no processo, o que significa que as práticas podem ser
incluído em qualquer processo de desenvolvimento de software.
6.. . SAFECode
O Fórum de Garantia de Software para Excelência em Código (SAFECode) é uma organização sem fins lucrativos , global,
organização liderada pela indústria dedicada a aumentar a confiança nas informações e comunicações
produtos e serviços de tecnologia por meio do avanço da garantia de software eficaz
métodos. A missão do SAFECode é promover as melhores práticas para desenvolver e entregar
software, hardware e serviços mais seguros e confiáveis. A organização SAFECode pub-
ensina as 'Práticas fundamentais para o desenvolvimento de software seguro: elementos essenciais de um
programa de ciclo de vida de desenvolvimento seguro '[ 68] diretriz para promover a adoção em todo o setor
de práticas fundamentais de desenvolvimento seguro. As práticas fundamentais tratam de garantir
ance - a capacidade do software de resistir a ataques que tentam explorar o design ou implementar
erros de mentação. As oito práticas fundamentais delineadas em suas diretrizes são descritas
abaixo de:
www.cybok.org
As entradas para ASC incluem o seguinte: princípios de design seguro (consulte a Seção.
bala ); práticas seguras de codificação; requisitos legais e da indústria com os quais o aplicativo
plicação precisa estar em conformidade (como HIPAA , PCI , GDPRou SCADA); políticas internas e
padrões; incidentes e outros feedbacks; ameaças e riscos. O desenvolvimento de ASC ser-
gins antes da fase de design e continua ao longo do ciclo de vida para fornecer
e controles acionáveis e ser responsivo às mudanças nos requisitos de negócios e
o ambiente de ameaças em constante evolução.
. Design . O software deve incorporar recursos de segurança para estar em conformidade com a segurança interna
práticas e leis ou regulamentos externos. Além disso, o software deve resistir a conhecidos
ameaças baseadas no ambiente operacional. (consulte a seção.. bullet.) Ameaça
modelagem (ver Seção.. marcador), revisões arquitetônicas e revisões de projeto podem ser
usado para identificar e resolver problemas de design antes de sua implementação no código-fonte.
O projeto do sistema deve incorporar uma estratégia de criptografia (ver Seção.. Bullet
6) para proteger dados confidenciais de divulgação ou alteração não intencional enquanto os dados são
em repouso ou em trânsito.
O projeto do sistema deve usar uma abordagem padronizada para identificar e acessar o homem
agement para realizar autenticação e autorização. A padronização fornece
consistência entre os componentes e orientações claras sobre como verificar a presença de
os controles adequados. Autenticar a identidade de um principal (seja um usuário humano, outro
serviço ou componente lógico) e verificar a autorização para executar uma ação são
controles fundamentais do sistema. Vários esquemas de controle de acesso foram desenvolvidos
optou para dar suporte à autorização: obrigatória, discricionária, baseada em função ou baseada em atributo.
Cada um deles tem vantagens e desvantagens e deve ser escolhido com base no projeto
características.
Os arquivos de registro fornecem as evidências necessárias na análise forense quando ocorre uma violação para mitigar
igate ameaças de repúdio. Em um aplicativo bem projetado, sistema e arquivos de registro de segurança
fornecem a capacidade de entender o comportamento de um aplicativo e como ele é usado em qualquer
momento, e para distinguir o comportamento do usuário benevolente do comportamento do usuário mal-intencionado.
https://translate.googleusercontent.com/translate_f 444/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Como o registro afeta os recursos do sistema disponíveis, o sistema de registro deve
ser projetado para capturar as informações críticas sem capturar o excesso de dados. Poli-
códigos e controles precisam ser estabelecidos em torno do armazenamento, prevenção de adulteração e monitoramento
arquivos de log de itoring. OWASP fornece recursos valiosos na concepção e implementação
exploração madeireira
.
. Práticas de codificação seguras . Vulnerabilidades de nível de código não intencionais são introduzidas por pro
erros de gramática. Esses tipos de erros podem ser evitados e detectados por meio de
o uso de padrões de codificação; selecionando os idiomas mais apropriados (e seguros),
estruturas e bibliotecas, incluindo o uso de seus recursos de segurança associados (consulte
Seção . . marcador 8); usando ferramentas de análise automatizadas (consulte a Seção.. marcadores e
); e revisar manualmente o código.
www.cybok.org
Cuidado especial também deve ser dado ao tratamento de erros imprevistos de uma forma controlada e
maneira elegante por meio de manipuladores de erros genéricos ou manipuladores de exceções que registram os eventos.
Se os manipuladores genéricos forem chamados, o aplicativo deve ser considerado como estando em um
estado inseguro de forma que a execução posterior não seja mais considerada confiável.
6. Gerenciar descobertas de segurança . As primeiras cinco práticas produzem artefatos que contêm ou geram
erar achados relacionados à segurança do produto (ou falta dela). As descobertas em
esses artefatos devem ser rastreados e ações devem ser tomadas para remediar a vulnerabilidade
bilidades, conforme estabelecido nos Critérios Comuns (consulte a Seção).
procedimento [ 6 ] Alternativamente, a equipe pode aceitar conscientemente o risco de segurança quando
o risco é considerado aceitável. A aceitação do risco deve ser rastreada, incluindo
uma classificação de gravidade; um plano de remediação, uma expiração ou um prazo de reavaliação; e a área
para revisão / validação.
Definições claras de gravidade são importantes para garantir que todos os participantes tenham
comunicar com uma compreensão consistente de um problema de segurança e seu impacto potencial.
Um possível ponto de partida é o mapeamento para os níveis de gravidade, atributos e limites
usado pelo Common Vulnerability Scoring System (CVSS) como –8. é crítico,
8. -. é alto, etc. Os níveis de gravidade são usados para priorizar as mitigações com base em
sua complexidade de exploração e impacto nas propriedades de um sistema.
https://translate.googleusercontent.com/translate_f 445/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
8https://wiki.sei.cmu.edu/con uence / display / seccode / SEI + CERT + Coding + Standards
https: // www. rst.org/cvss/
https://www.iso.org/standard/ .html e https://www.iso.org/standard/ .html
www.cybok.org
www.cybok.org
https://translate.googleusercontent.com/translate_f 446/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
• Planejando o
Educação e
implementação e
conhecimento • Fornecer treinamento
implantação de seguro
desenvolvimento
• Definir métricas e
relatórios de conformidade
• Planejando o
Início do projeto • Definir e usar implementação e
criptografia implantação de seguro
padrões desenvolvimento
• De nir segurança
Análise e requisitos • Casos de abuso • Segurança do aplicativo
requisitos
• Executar ameaça • Requisitos de segurança definição de controle
modelagem
Arquitetônico e
• Estabelecer design • Risco arquitetônico
projeto detalhado • Projeto
requisitos análise
• Desempenho dinâmico
análise de segurança
• Codificação segura
teste (DAST)
• Revisão de código (ferramentas) práticas
Implementação • Realizar penetração
• Teste de penetração • Gerenciar risco de segurança
e testando testando
inerente ao uso de
• Segurança baseada em risco
• Definir e usar componentes de terceiros
testando
criptografia
• Teste e validação
padrões
• Gerenciar o risco de
usando terceiros
componentes
Liberação,
• Estabeleça um padrão
implantação e • Resposta à vulnerabilidade
resposta a incidentes • Operações de segurança
Apoio, suporte e divulgação
processar
www.cybok.org
Os modelos de ciclo de vida de software seguro discutidos na Seção 6.. pode ser integrado com qualquer
modelo de desenvolvimento de software e são agnósticos de domínio. Nesta seção, informações sobre seis
adaptações para proteger o ciclo de vida do software são fornecidas.
As metodologias ágeis de desenvolvimento de software podem ser centradas em requisitos funcionais, com o
funcionalidade sendo expressa como histórias de usuário . SAFECode [ ] fornece software prático
https://translate.googleusercontent.com/translate_f 447/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
orientação de segurança para profissionais ágeis. Esta orientação inclui um conjunto de 6 recomendações
histórias focadas em segurança que podem ser tratadas de forma semelhante à estória de usuário focada em funcionalidade
ries. Essas histórias são baseadas em problemas de segurança comuns, como os listados no
OWASP Top MostRiscos críticos de segurança de aplicativos da Web. As histórias são mapeadas para
Enumerações de fraqueza comum (CWEs) identificadores, conforme aplicável. O foco na segurança
as histórias são formuladas em um formato semelhante às histórias de funcionalidade (ou seja, como [parte interessada], eu quero
[nova funcionalidade] para que eu possa [objetivo]). Por exemplo, uma história com foco em segurança usando este para-
tapete é fornecido: Como garantia de qualidade, quero verificar se todos os usuários têm acesso ao
recursos que eles exigem e que estão autorizados a usar , que são mapeados para CWE-86 e CWE-
86 As histórias focadas na segurança são subdivididas em gerenciáveis e concretas
tarefas que pertencem às funções da equipe, incluindo arquitetos, desenvolvedores, testadores e segurança
especialistas, e são mapeados para SAFECode Fundamental Practices [ 68] Finalmente, operacional
as tarefas de segurança foram especi cadas por SAFECode. Essas tarefas não estão diretamente ligadas a histórias, mas
são tratados como trabalho de manutenção contínua (como, verificar continuamente a cobertura de estática
ferramentas de análise de código ) ou como um item que requer atenção especial (como rastreamento de bug de configuração
para rastrear vulnerabilidades de segurança ).
Com uma abordagem DevOps para o desenvolvimento de software, o desenvolvimento e as operações são totalmente integrados
rada para permitir a entrega rápida e contínua de valor aos usuários finais. Microsoft publicou
um modelo de ciclo de vida de software seguro DevOps [ ] que inclui atividades para operações engi-
neers fornecer feedback rápido e antecipado para a equipe para criar segurança nos processos de DevOps.
O modelo Secure DevOps contém oito práticas, incluindo oito das práticas no
Ciclo de vida de desenvolvimento de segurança da Microsoft discutido na seção. . :
www.cybok.org
. Executar modelagem de ameaças . Veja a seção. . bala . A modelagem de ameaças pode ser per-
percebida como uma redução do ritmo rápido de DevOps. No entanto, os produtos que são implantados
rapidamente em um processo de implantação DevOps deve ter uma arquitetura geral definida
dentro do qual o processo DevOps faz alterações e adiciona recursos. Aquela arquitetura
deve ser modelado de ameaça, e quando a equipe precisa mudar a arquitetura, o
o modelo de ameaça também deve ser atualizado. Novos recursos que não possuem uma arquitetura
o impacto representa uma mudança nula no modelo de ameaça.
(b) As ferramentas não devem exigir conhecimentos de segurança além do que é transmitido pelo treinamento.
(c) As ferramentas devem evitar uma alta taxa de falsos positivos de problemas de relatório.
https://translate.googleusercontent.com/translate_f 448/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
formação através do processo de CI / CD , como por meio de Infraestrutura como Código ou outro
scripts de implantação. Ferramentas, como CredScan , podem identificar vazamentos de credenciais, como
aqueles no código-fonte e arquivos de configuração. Alguns tipos de credenciais comumente encontrados
tials incluem senhas padrão, senhas embutidas em código, strings de conexão SQL e
Certi cados com chaves privadas.
6.. Móvel
As preocupações de segurança para aplicativos móveis diferem do software de desktop tradicional em alguns aspectos importantes
formas, incluindo armazenamento local de dados, comunicação entre aplicativos, uso adequado de criptografia
APIs e comunicação de rede segura. O Projeto de Segurança Móvel OWASP [ ] é um
recursos para desenvolvedores e equipes de segurança para construir e manter aplicativos móveis seguros;
consulte também a Área de Conhecimento de Segurança da Web e Móvel (Capítulo ) .
Quatro recursos são fornecidos para ajudar no ciclo de vida do software seguro de aplicativos móveis:
. OWASP Mobile Application Security Veri cation Standard (MASVS) Requer segurança-
e Veri cação . O MASVS define um modelo de segurança de aplicativo móvel e listas
requisitos de segurança genéricos para aplicativos móveis. O MASVS pode ser usado por arquitetos,
desenvolvedores, testadores, profissionais de segurança e consumidores para definir e compreender
as qualidades de um aplicativo móvel seguro.
(a) Um guia geral de teste de aplicativo móvel que contém um teste de segurança de aplicativo móvel-
metodologia e técnicas gerais de análise de vulnerabilidade conforme se aplicam a
segurança de aplicativos móveis. O guia também contém casos de teste técnico adicionais que
são independentes do sistema operacional, como autenticação e gerenciamento de sessão
, comunicações de rede e criptografia.
(b) Guias de teste dependentes do sistema operacional para teste de segurança móvel no An-
plataformas droid e iOS, incluindo noções básicas de segurança; casos de teste de segurança; reverso en-
técnicas de engenharia e prevenção; e técnicas e prevenção de adulteração.
. Lista de verificação de segurança de aplicativos móveis . A lista de verificação6 é usado para avaliações de segurança e
contém links para o caso de teste MSTG para cada requisito.
. Modelo de ameaça móvel . O modelo de ameaça [ ] fornece uma lista de verificação de itens que devem
ser documentado, revisado e discutido ao desenvolver um aplicativo móvel. Cinco
áreas são consideradas no modelo de ameaça:
(b) Dados móveis . Esta seção do modelo de ameaça define os dados do aplicativo
armazena, transmite e recebe. Os diagramas de fluxo de dados devem ser revisados para de-
termine exatamente como os dados são tratados e gerenciados pelo aplicativo.
(c) Identificação do agente de ameaça . Os agentes de ameaça são enumerados, incluindo humanos
https://translate.googleusercontent.com/translate_f 449/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e programas automatizados.
https://www.owasp.org/index.php/OWASP_Mobile_Security_Testing_Guide
6https://github.com/OWASP/owasp-mstg/tree/master/Checklists
www.cybok.org
(d) Métodos de ataque . Os ataques mais comuns utilizados por agentes de ameaça são de-
necessário para que os controles possam ser desenvolvidos para mitigar os ataques.
(b) Use um projeto de banco de dados de 'esquema separado' e tabelas para cada inquilino ao construir
aplicativos multilocatários em vez de depender de uma coluna 'TenantID' em cada tabela.
(c) Ao desenvolver aplicativos que alavancam a plataforma de um provedor de serviços em nuvem como
um serviço (PaaS) serviços, garantir que os serviços comuns sejam projetados e implantados em
uma forma que garante que a segregação do inquilino seja mantida.
. Tokenização de dados confidenciais . Uma organização pode não desejar gerar e armazenar
propriedade intelectual em um ambiente de nuvem que não está sob seu controle. Tokenização é um
método de remoção de dados confidenciais de sistemas onde eles não precisam existir ou
desassociar os dados do contexto ou da identidade que os torna sensíveis. O
os dados confidenciais são substituídos por um token para esses dados. O token é usado posteriormente para reingressar
os dados confidenciais com outros dados no sistema de nuvem. Os dados sensíveis são criptografados
e protegido dentro do sistema central de uma organização que pode ser protegido com
várias camadas de proteção e redundância apropriada para recuperação de desastres e negócios
continuidade. Práticas:
www.cybok.org
https://translate.googleusercontent.com/translate_f 450/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
(c) Considere o mascaramento de dados, uma abordagem que pode ser usada no teste de pré-produção e
depurar sistemas nos quais um conjunto de dados representativo é usado, mas não precisa
têm acesso a dados confidenciais reais. Esta abordagem permite o teste e depuração
isentos dos requisitos de proteção de dados sensíveis.
. Pools de computação confiáveis . Trusted Compute Pools são grupos físicos ou lógicos
sistemas de recursos / sistemas de computação em um data center que compartilham uma postura de segurança.
Esses sistemas fornecem verificação medida da infraestrutura de inicialização e tempo de execução
para lançamento medido e verificação de confiança. As medições são armazenadas em um confiável
localização no sistema (referido como Módulo de plataforma confiável (TPM)) e veri -
cação ocorre quando um agente, serviço ou aplicativo solicita a cotação de confiança do
TPM. Práticas:
(a) Garantir que a plataforma para o desenvolvimento de aplicativos em nuvem forneça medição de confiança
recursos e as APIs e serviços necessários para seus aplicativos para ambos
questionar e verificar as medidas da infraestrutura em que estão operando.
(c) Auditar a confiabilidade dos ambientes em que seus aplicativos são executados usando o serviço de atestado
vícios ou recursos de atestado nativos de seu provedor de infraestrutura.
(c) Ao desenvolver aplicativos em nuvem para serem usados por usuários corporativos, desenvolvedores
deve considerar o suporte de Single Sign On (SSO) soluções.
6. Problemas de domínio compartilhado . Vários provedores de nuvem oferecem domínios que os desenvolvedores podem usar
para armazenar o conteúdo do usuário ou para preparar e testar seus aplicativos em nuvem. Como tal, estes
www.cybok.org
domínios, que podem ser usados por vários fornecedores, são considerados 'domínios compartilhados'
ao executar o script do lado do cliente (como JavaScript) e ao ler dados. Práticas:
(a) Certifique-se de que seus aplicativos em nuvem estejam usando domínios personalizados sempre que a nuvem
a arquitetura do provedor permite que você faça isso.
A Agência da União Europeia para a Cibersegurança (ENISA) [ ] conduziu um estudo aprofundado e profundo
análise dependente dos benefícios de segurança da informação e principais riscos de segurança da nuvem com-
colocando. A análise relata que as concentrações massivas de recursos e dados no
a nuvem apresenta um alvo mais atraente para os invasores, mas as defesas baseadas na nuvem podem ser mais
robusto, escalonável e econômico.
https://translate.googleusercontent.com/translate_f 451/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
A Internet das Coisas (IoT) é utilizado em quase todos os aspectos de nossa vida diária, incluindo o
extensão em setores industriais e aplicações (ou seja, IOT industrial (IIoT)). Internet das coisas e IIoT con-
stitute uma área de rápido crescimento que apresenta desafios de segurança únicos. [Deste ponto em diante
incluímos IIoT quando usamos IoT.] Alguns deles são considerados no Sistema Ciber-Físico
tems Área de Conhecimento de Segurança (Capítulo ), mas consideramos especificamente o ciclo de vida do software
questões aqui. Os dispositivos devem ser provisionados com segurança, a conectividade entre esses dispositivos e
a nuvem deve ser segura e os dados armazenados e em trânsito devem ser protegidos. No entanto, o
os dispositivos são pequenos, baratos e com recursos limitados. Construir segurança em cada dispositivo pode não ser
considerada econômica pelo fabricante, dependendo do valor do dispositivo
e a importância dos dados que coleta. Uma IoTsolução baseada em muitas vezes tem um grande número de
dispositivos distribuídos geograficamente. Como resultado desses desafios técnicos, as preocupações com a confiança
existir com a IoT, a maioria dos quais atualmente não tem resolução e precisa de pesquisas.
No entanto, o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) [ 6] recomenda
quatro práticas para o desenvolvimento de IoT segurasistemas baseados em
. Uso de identificação por radiofrequência (RFID) tags . Sensores e seus dados podem ser tam-
perecido com, excluído, descartado ou transmitido de forma insegura. Existem 'coisas' falsas no
Mercado. Identificadores únicos podem atenuar este problema anexando radiofrequência
Identi cação (RFID) tags para dispositivos. Os leitores ativam uma tag, fazendo com que o dispositivo amplie
lançar ondas de rádio dentro de uma largura de banda reservada para uso de RFID por governos internacionais
cionalmente. As ondas de rádio transmitem identificadores ou códigos que fazem referência a informações exclusivas
associado ao dispositivo.
. Não usar ou permitir o uso de senhas ou credenciais padrão . Dispositivos IoT são
muitas vezes não foi desenvolvido para exigir que os usuários e administradores alterem as senhas padrão
durante a configuração do sistema. Além disso, os dispositivos muitas vezes carecem de interfaces de usuário intuitivas para mudanças
credenciais de ing. As práticas recomendadas são exigir que as senhas sejam alteradas ou
design em interfaces intuitivas. Como alternativa, os fabricantes podem randomizar as senhas
por dispositivo em vez de ter um pequeno número de senhas padrão.
Além disso, o Departamento de Digital, Cultura, Mídia e Esporte do Reino Unido forneceu o Código
de prática para a segurança IoT do consumidor. Incluído no código de prática estão as diretrizes
para melhorar a segurança dos produtos de IoT do consumidor e serviços associados. Dois dos
as diretrizes se sobrepõem aos marcadores do NIST e acima. A lista completa de diretrizes inclui o seguinte
a seguir: () Sem senhas padrão; () Implementar uma política de divulgação de vulnerabilidade; ( ) Manter
software atualizado; () Armazenar com segurança credenciais e dados sensíveis à segurança; () Comuni-
cate com segurança (ou seja, use criptografia para dados confidenciais); (6) Minimize as superfícies de ataque expostas;
() Garantir a integridade do software (por exemplo, uso de inicialização segura); (8) Certifique-se de que os dados pessoais são pro
detectado (ou seja, de acordo com o GDPR); () Tornar os sistemas resilientes a interrupções; ( ) Monitor
dados de telemetria do sistema; () Facilitar para os consumidores a exclusão de dados pessoais; ( ) Faço
instalação e manutenção de dispositivos fáceis; e () Validar dados de entrada. Finalmente, a Microsoft
forneceu uma arquitetura de segurança da Internet das Coisas.
A Administração Nacional de Segurança de Tráfego Rodoviário dos EUA (HTSA) de nes veículo cibernético rodoviário
segurança como a proteção de sistemas eletrônicos automotivos, redes de comunicação, con
algoritmos trol, software, usuários e dados subjacentes de ataques maliciosos, danos, unau-
acesso autorizado ou manipulação . O HTSA fornece quatro diretrizes para o setor automotivo
da indústria para consideração em seu ciclo de vida de desenvolvimento de software seguro:
. A equipe deve seguir um processo de desenvolvimento de produto seguro com base em um sistema
abordagem de engenharia com o objetivo de projetar sistemas livres de segurança irracional
riscos, incluindo aqueles de ameaças e vulnerabilidades de segurança cibernética em potencial.
www.cybok.org
. Esses requisitos de segurança devem ser incorporados aos requisitos de segurança do produto-
mentos, conforme estabelecido na Seção. . marcador, Seção. . ponto 6 e seção. . bala
.:
(a) Limitar o acesso do desenvolvedor / depuração aos dispositivos de produção, como por meio de um
porta de depuração ou através de um console serial.
(b) Chaves (por exemplo, criptográficas) e senhas que podem fornecer informações não autorizadas, el-
nível de acesso a plataformas de computação de veículos deve ser protegido de
divulgação. As chaves não devem fornecer acesso a vários veículos.
(c) As características de diagnóstico devem ser limitadas a um modo específico de operação do veículo que
cumpre o propósito pretendido do recurso associado. Por exemplo, um diagnóstico
operação nóstica que pode desativar os freios individuais de um veículo pode ser restringida
operar apenas em baixas velocidades ou não desabilitar todos os freios ao mesmo tempo.
(d) A criptografia deve ser considerada uma ferramenta útil na prevenção de pessoas não autorizadas
recuperação e análise de rmware.
(e) Limitar a capacidade de modificar o rmware e / ou empregar técnicas de assinatura para torná-lo
mais desafiador para malware ser instalado em veículos.
(f) O uso de servidores de rede em ECUs de veículos deve ser limitado a função essencial-
alidade, e os serviços sobre essas portas devem ser protegidos para evitar o uso por pessoas não autorizadas
partidos aumentados.
(g) Técnicas de isolamento lógico e físico devem ser usadas para separar os processadores,
redes de veículos e conexões externas conforme apropriado para limitar e controlar o caminho
caminhos de vetores de ameaças externas para recursos ciberfísicos de veículos.
(h) O envio de sinais de segurança como mensagens em barramentos de dados comuns deve ser evitado,
mas quando usado deve empregar um esquema de autenticação de mensagem para limitar o pos-
sibilidade de spoo ng de mensagens.
(i) Um registro imutável de eventos suficiente para permitir a análise forense deve ser principal
tidos e examinados periodicamente por pessoal de manutenção qualificado para detectar
tendências de ataque cibernético.
(j) Os métodos de criptografia devem ser empregados em qualquer comunicação operacional baseada em IP
https://translate.googleusercontent.com/translate_f 453/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
cação entre servidores externos e o veículo, não devendo aceitar
certificados.
(k) Planejar e projetar recursos que possam permitir mudanças no roteamento da rede
regras a serem propagadas rapidamente e aplicadas a um, um subconjunto ou todos os veículos
www.cybok.org
Engenharia (SAE) A International está desenvolvendo em conjunto uma Norma internacional, ISO
Veículos rodoviários - engenharia de segurança cibernética 6. O padrão irá especificar os requisitos mínimos
sobre os processos e atividades de engenharia de segurança e definirá os critérios de avaliação. Ex-
plicitamente, o objetivo é fornecer um processo estruturado para garantir que a segurança cibernética seja projetada em
adiantado e integrado em todo o processo de ciclo de vida de hardware e software.
A adoção de um ciclo de vida de software seguro na indústria automotiva pode ser impulsionada por
islação, como por meio do US SPY Car Act ou do Intelligent and Con-
Veículos conectados (ICVs) iniciativa 8.
. Instale e mantenha uma configuração de firewall para proteger os dados do titular do cartão.
. Não use padrões fornecidos pelo fornecedor para senhas de sistema e outros parâmetros de segurança
ters.
. Restrinja o acesso aos dados do titular do cartão de acordo com a necessidade de conhecimento da empresa.
www.cybok.org
https://translate.googleusercontent.com/translate_f 454/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
As organizações podem desejar ou ser solicitadas a avaliar a maturidade de seu desenvolvimento seguro
ciclo da vida. Quatro abordagens de avaliação são descritas nesta seção.
6.. SAMM
O modelo de maturidade do Software Assurance (SAMM) é uma estrutura aberta para ajudar a organização
ções formular e implementar uma estratégia de segurança de software que é feita sob medida para o
riscos enfrentados pela organização. Os recursos são fornecidos para o SAMM para permitir que uma organização
ção para fazer o seguinte:
Porque cada organização utiliza seu próprio processo de software seguro (ou seja, seu próprio sistema exclusivo
binação das práticas estabelecidas nas Seções e), o SAMM fornece uma estrutura para
descrever iniciativas de segurança de software de uma maneira comum. Os designers SAMM enumerados
atividades executadas por organizações em apoio aos seus esforços de segurança de software. Alguns ex-
atividades amplas incluem: construir e manter modelos de casos de abuso por projeto; especificar segurança
requisitos baseados em riscos conhecidos; e identificar a superfície de ataque do software. Estes ativos
As propriedades são categorizadas em uma das práticas de segurança. As práticas de segurança são mais
agrupados em uma das quatro funções de negócios. As funções de negócios e práticas de segurança
são como segue:
www.cybok.org
As avaliações SAMM são realizadas por meio de autoavaliações ou por um consultor que escolhe
sen pela organização. As planilhas são fornecidas pelo SAMM para pontuar a avaliação,
fornecer informações para a organização sobre seu nível de maturidade atual:
•: Ponto de partida implícito que representa as atividades na Prática que está sendo não cumprida.
https://translate.googleusercontent.com/translate_f 455/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Avaliações podem ser realizadas periodicamente para medir as melhorias em uma organização
programa de garantia de segurança.
6.. BSIMM
Gary McGraw, Sammy Migues e Brian Chess desejavam criar um modelo descritivo do
estado da prática no ciclo de vida de desenvolvimento de software seguro. Como resultado, eles bifurcaram um
versão inicial do SAMM (ver Seção.) para criar a estrutura original do Edifício Se-
curity In Maturity Model (BSIMM) [ 8 , 8] dentro . Desde então, o BSIMM tem sido
usado para estruturar um estudo empírico de vários anos do estado atual de iniciação de segurança de software
tivas na indústria.
Porque cada organização utiliza seu próprio processo de software seguro (ou seja, seu próprio sistema exclusivo
binação das práticas estabelecidas nas Seções e), o BSIMM fornece uma estrutura para
descrever iniciativas de segurança de software de uma maneira comum. Com base em suas observações, o
Os designers da BSIMM enumeraram as atividades executadas por organizações em apoio aos seus
esforços de segurança de software. Alguns exemplos de atividades incluem: construir e publicar recursos de segurança
turas; usar ferramentas automatizadas junto com uma revisão manual; e integrar ferramentas de segurança de caixa preta
no processo de garantia de qualidade. Cada atividade está associada a um nível de maturidade e é
categorizado em uma das práticas. As práticas são agrupadas em uma de quatro
domínios. Os domínios e práticas são os seguintes:
. Domínio: Governança
(c) Treinamento
. Domínio: Inteligência
www.cybok.org
. Domínio: implantação
As avaliações BSIMM são realizadas por meio de entrevistas pessoais por profissionais de segurança de software
profissionais da Cigital (agora Synopsys) com líderes de segurança em uma empresa. Por meio das entrevistas, o
O rm obtém um scorecard sobre quais atividades de segurança de software o rm usa. Após
a rm completa as entrevistas, eles recebem informações comparando-se com
as outras organizações que foram avaliadas. Avaliações BSIMM foram realizadas
desde 8. Anualmente, os resultados gerais das avaliações de todas as rms são publicados, re-
Consultoria no BSIMM através de relatórios BSIMM. Desde que o estudo BSIMM começou em 8, 6
rms participaram da avaliação BSIMM , às vezes várias vezes, compreendendo 8
medições distintas. Para garantir a relevância contínua dos dados relatados, o BSIMM
relatar medições excluídas com mais de meses e relatadas em medidas distintas
mentos coletados de rms.
O objetivo deste Critério Comum (CC) é fornecer um veículo para reconhecimento internacional
nição de um produto de tecnologia da informação segura (TI) (onde o SAMM e o BSIMM eram
avaliações de um processo de desenvolvimento). O objetivo do CC é para produtos de TI que tenham
https://translate.googleusercontent.com/translate_f 456/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ganhou um certificado CC de um Organismo de Certificação / Validação autorizado (CB) a ser adquirido
ou usado sem necessidade de avaliação adicional. Os Critérios Comuns buscam fornecer fundamentos
pela confiança na confiabilidade dos julgamentos nos quais o certificado original foi baseado
exigindo que um OC que emite certificados de Critérios Comuns deve atender a alta e consistente
padrões. Um desenvolvedor de uma nova linha de produtos pode fornecer diretrizes para o desenvolvimento seguro
configuração e configuração desse produto. Esta diretriz pode ser enviada como uma proteção
Perfil (o padrão para produtos semelhantes que se seguem). Qualquer outro desenvolvedor pode adicionar ou
mude esta diretriz. Os produtos que ganham a certificação nesta linha de produtos usam a proteção
per l de ção como o delta contra o qual eles constroem.
• EAL : testado funcionalmente . Aplica-se quando as ameaças à segurança não são consideradas graves. O
avaliação fornece evidências de que o sistema funciona de uma maneira consistente com sua
documentação e que fornece proteção útil contra ameaças identificadas.
• EAL : testado estruturalmente . Aplica-se quando as partes interessadas exigem baixo a moderado
segurança garantida de forma independente, mas o registro de desenvolvimento completo não é prontamente
https://www.commoncriteriaportal.org/ccra/index.cfm
www.cybok.org
• EAL : Testado e verificado metodicamente . Aplica-se quando as partes interessadas exigem um moderador
nível de segurança garantido de forma independente e uma investigação completa do sistema
e seu desenvolvimento, sem reengenharia substancial.
• EAL : Metodicamente projetado, testado e revisado . Aplica-se quando as partes interessadas exigem
moderada a alta segurança garantida de forma independente em produtos de commodities e são pré-
parados para incorrer em custos adicionais de engenharia específicos de segurança.
• EAL : semi-formalmente projetado e testado . Aplica-se quando as partes interessadas exigem alto,
segurança garantida de forma independente em um desenvolvimento planejado e exige um rigoroso de-
abordagem de desenvolvimento que não acarrete custos excessivos de segurança especializada
técnicas de engenharia.
Esta área de conhecimento forneceu uma miríade de práticas possíveis que uma organização pode incluir
em seu ciclo de vida de software seguro. Algumas dessas práticas, como as discutidas na Seção
, potencialmente se aplicam a qualquer produto. Outras práticas são de domínio específico, como aquelas dis-
xingado na seção.
As organizações que adotam novas práticas, muitas vezes gostam de aprender e adotar práticas que são
usado por organizações semelhantes a elas [ 8 ] Ao escolher quais práticas de segurança
para incluir em um ciclo de vida de software seguro, as organizações podem considerar olhar para o mais recente
BSIMM [ 8 , 8] resultados que fornecem informações atualizadas sobre a adoção de práticas
na indústria.
DISCUSSÃO
https://translate.googleusercontent.com/translate_f 457/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8]
Este capítulo forneceu uma visão geral de três softwares seguros proeminentes e prescritivos
processos de ciclo de vida e seis adaptações desses processos que podem ser aplicados em um determinado
domínio. No entanto, o panorama da segurança cibernética em termos de ameaças, vulnerabilidades, ferramentas e
práticas está sempre evoluindo. Por exemplo, uma prática não foi mencionada em nenhum dos
esses nove processos é o uso de um programa de recompensa de bug para a identificação e resolução
de vulnerabilidades. Com um programa de recompensa por bug, as organizações compensam indivíduos e / ou
pesquisadores para encontrar e relatar vulnerabilidades. Esses indivíduos são externos ao
organização produtora do software e pode trabalhar de forma independente ou por meio de uma recompensa por bug
organização, como HackerOne .
Embora a maior parte desta área de conhecimento se concentre em práticas técnicas, o sucesso
a adoção dessas práticas envolve mudanças organizacionais e culturais em uma organização
ção A organização, começando pela liderança executiva, deve apoiar o treinamento extra,
recursos e etapas necessárias para usar um ciclo de vida de desenvolvimento seguro. Além disso, cada desenvolvimento
O oper deve cumprir sua responsabilidade de participar de tal processo.
Uma equipe e uma organização precisam escolher as práticas de segurança de software adequadas para
desenvolver um ciclo de vida de software seguro personalizado com base no caráter da equipe e da tecnologia
istics e sobre o risco de segurança do produto.
Embora este capítulo forneça práticas para o desenvolvimento de produtos seguros, as informações
curiosidade é muitas vezes devido a desincentivos econômicos [ 8 ] que leva as organizações de software a
escolha a rápida implantação e liberação de funcionalidade em vez da produção de produtos seguros
ucts. Como resultado, cada vez mais governos e grupos da indústria estão impondo segurança cibernética
padrões nas organizações como uma questão de conformidade legal ou como uma condição para ser
considerado fornecedor. Os requisitos de conformidade podem levar a uma adoção mais rápida de um de-
ciclo de vida do desenvolvimento. No entanto, essa adoção orientada para conformidade pode desviar os esforços de
os verdadeiros problemas de segurança, concentrando-se excessivamente nos requisitos de conformidade em vez de nos
a prevenção e detecção pragmática das preocupações de segurança mais arriscadas.
]
68
[
] ]
]
8
[ [
[ undamental
HowardSDL
Viega- HowardWSC
SAFECodeF
6. Motivação ccc
6. Processos de ciclo de vida de software seguros prescritivos
6.. Processos de Ciclo de Vida de Software Seguro cccc
6.. Comparando os modelos de ciclo de vida de software seguro
6. Adaptações do Ciclo de Vida do Software Seguro
6.. Desenvolvimento Ágil de Software e DevOps c
6.. Móvel
6.. Computação em Nuvem
6.. Internet das coisas (IoT)
6.. Veículos rodoviários
6. .6 Comércio eletrônico / Indústria de cartões de pagamento
6. Avaliando o Ciclo de Vida do Software Seguro
6. Adotando um Ciclo de Vida de Software Seguro
https://www.hackerone.com
https://translate.googleusercontent.com/translate_f 458/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 573 O Conhecimento em Segurança Cibernética
www.cybok.org
LEITURA ADICIONAL
https://www.cisco.com/c/en/us/about/trust-center/technology-built-in-security.html#~stickynav=
https://blogs.msdn.microsoft.com/microsoft_press/ 6 / / / free-ebook-the-security-development-lifecycle /
www.cybok.org
https://translate.googleusercontent.com/translate_f 459/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Garantia [ 8 ]
Este livro fornece um tutorial sobre as melhores práticas para a construção de sistemas de software que exibem
segurança operacional superior e por considerar a segurança em todo o desenvolvimento do sistema
ciclos de vida de aquisição e operação. Este livro fornece sete princípios básicos de software como
segurança e mostra como aplicá-los de forma coerente e sistemática. Este livro aborda
tópicos importantes, incluindo o uso de padrões, requisitos de segurança de engenharia para ac-
Quiring COTS software, aplicando DevOps, análise de malware para antecipar futuro vulnerabili-
laços e planejamento de melhorias contínuas.
www.cybok.org
Controles de segurança
O governo e as organizações de padrões forneceram controles de segurança para serem integrados em
um software ou sistema de vida seguro:
. Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) foi o autor do Sys-
tems Engenharia de Segurança Considerações sobre Resiliência Cibernética para a Engenharia [ 8 ]
estrutura (NIST SP 8 - 6). Esta estrutura fornece recursos sobre segurança cibernética
Conhecimento, habilidades e capacidade (KSAs), e tarefas para uma série de funções de trabalho para realizar
os resultados de resiliência cibernética identificados com base em uma perspectiva de engenharia de sistemas
tiva nos processos do ciclo de vida do sistema.
. Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) fornecer recursos para software seguro
https://translate.googleusercontent.com/translate_f 460/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
desenvolvimento:
(a) Desenvolvimento de aplicativos : recomendações para o desenvolvimento seguro, pro-
cura e implantação de aplicativos genéricos e específicos da plataforma.
(c) O canal furado da codificação segura : uma discussão de como a segurança pode ser mais tecida
perfeitamente no processo de desenvolvimento, especialmente por desenvolvedores que não são
especialistas em segurança.
6https://tsfdn.org
https://tsfdn.org/ts-framework/
8https://www.sei.cmu.edu/education-outreach/curricula/software-assurance/index.cfm
https://www.ncsc.gov.uk/
https://www.ncsc.gov.uk/collection/application-development
https://www.ncsc.gov.uk/collection/developers-collection
https://www.ncsc.gov.uk/blog-post/leaky-pipe-secure-coding
Materiais de treinamento
Os materiais de treinamento estão disponíveis gratuitamente na Internet. Alguns sites incluem o seguinte:
. SAFECode oferece cursos de treinamento de segurança de software gratuitos fornecidos via web on-demand
elencos .
https://translate.googleusercontent.com/translate_f 461/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
https://tsfdn.org/resource-library/
https://www.sei.cmu.edu/education-outreach/curricula/software-assurance/index.cfm
https://safecode.org/training/
Página 577
Segurança de infraestrutura V
https://translate.googleusercontent.com/translate_f 462/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 579
578
Capítulo
Segurança de rede
Universidade Sanjah Jha de Nova Gales do Sul
www.cybok.org
INTRODUÇÃO
A onipresença da Internet nos permite conectar todos os tipos de dispositivos à rede e
obtenha acesso sem precedentes a uma ampla gama de aplicativos e serviços a qualquer hora, em qualquer lugar.
No entanto, nossa forte dependência da tecnologia de rede também a torna um alvo atraente para
usuários mal-intencionados que desejam comprometer a segurança de nossas comunicações e / ou
causar interrupções em serviços que são essenciais para nossa sobrevivência diária em um mundo conectado.
https://translate.googleusercontent.com/translate_f 463/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Neste capítulo, vamos explicar os desafios associados à proteção de uma rede sob um va-
variedade de ataques a uma série de tecnologias de rede e protocolos de segurança amplamente usados,
junto com desafios e soluções de segurança emergentes. Este capítulo tem como objetivo fornecer o necessário
formação necessária para compreender outras áreas do conhecimento, em particular a Segurança
Área de Conhecimento de Gestão de Operações e Incidentes (Capítulo 8), que tem uma visão mais holística
visão de segurança e trata dos aspectos operacionais. Uma compreensão de rede básica
pilha de protocolo e TCP/ IP suite é assumido. Livros básicos de rede explicam a diversão
princípios da camada ISO modelo OSI e protocolo da Internet [8 ] Ao considerar o
segurança da Internet e LAN sem fio (WLAN) tecnologias, às vezes pode ser instruído
objetivo de considerar como certos protocolos originais são concebidos sem ter segurança
em mente ou com más decisões de design de segurança. Isso não é apenas de interesse histórico: con
projetos temporários são freqüentemente limitados por seus predecessores por razões pragmáticas.
CONTENTE
. ARQUITETURA DE INTERNET
Um sistema complexo, como aplicativos distribuídos em execução em uma variedade de tecnologias de rede
tecnologias são mais bem compreendidas quando vistas como arquitetura em camadas. Figura . mostra o -
camada protocolo ISO pilha OSI e a interação entre as várias camadas. O modelo também
nos permite entender os problemas de segurança em cada camada e a interação entre eles.
A Internet é a arquitetura predominante hoje. No entanto, ele usa apenas cinco camadas do
pilha de protocolo na figura . ou seja, camadas - e camadas. As camadas de apresentação e sessão
mostrados na caixa pontilhada são opcionais na pilha do protocolo IP e algumas ou todas as funções
pode ser customizado de acordo com os requisitos do aplicativo. A segurança da rede requer criptografia
técnicas como chaves públicas e simétricas para criptografia e assinatura, bloqueio e transmissão
cifras, hashing e assinatura digital, conforme descrito na Área de Conhecimento de Criptografia
(Capítulo ) Faremos uma abordagem aplicada para entender como essas técnicas ajudam
construir uma rede segura.
www.cybok.org
Cliente Servidor
Communicaëon
Rede
L3. Rede Líquido. Camada L3. Rede L3. Rede Líquido. Camada L3. Rede
L2. Link de dados Camada D / L L2. Link de dados L2. Link de dados Camada D / L L2. Link de dados
L1. Fisica Phy. Camada L1. Fisica L1. Fisica Phy. Camada L1. Fisica
https://translate.googleusercontent.com/translate_f 464/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Em um ataque de spoo ng de IP, um invasor tenta se passar por um usuário autorizado criando um
pacote com um endereço IP forjado e ajustando alguns outros campos para torná-lo legítimo.
Tendo visto exemplos de ataques de rede, vamos agora examinar a segurança de cada
camada da pilha de protocolo.
https://translate.googleusercontent.com/translate_f 465/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
seção, visto que é usado por vários protocolos de segurança de rede. O exemplo acima também
alcança o não repúdio, pois pode ser provado que o hash (ou em outros casos, o todo
mensagem) foi assinada pela chave privada de Alice e ela não podia negar esse fato.
www.cybok.org
assinado pela chave privada do registrador e pode ser verificado por qualquer um usando a chave pública do registrador
chave. Normalmente, a identidade de um usuário, a chave pública e as informações de CA são usadas como entrada para o hash
função. O hash é então assinado com o CAchave privada para produzir um Certificado de Chave Pública -
cate (PKC) Os campos no certificado incluem um identificador único / número de série, uma assinatura
algoritmo utilizado pela CA e o período de validade. O IETF RFC e ITU-X. Stan-
dardos prescreveram o formato e o padrão para o gerenciamento de PKI [8 ] Organizações podem
também gerenciam sua própria PKI privada. CAs também publicam uma lista de certificados revogados que têm
expirou ou foi revogado. A rede de confiança é um esquema alternativo onde os usuários podem
criar uma comunidade de partes confiáveis assinando certificados mutuamente sem a necessidade de um registro
istrar. Continuando com nosso exemplo de e-mail, Alice poderia enviar seu certificado para Bob junto com
sua mensagem de e-mail. Bob agora pode verificar a validade do certificado apresentado por Al-
gelo. Em nosso exemplo simples, Alice e Bob poderiam usar essas técnicas para construir um e-mail seguro
sistema. Muito boa privacidade (PGP) foi um dos primeiros sistemas de e-mail a propor o
abordagem de segurança descrita acima, embora usando a web de confiança para certificados. Geralmente,
para que os sistemas sejam compatíveis entre plataformas e entre fornecedores, aplicativos
os desenvolvedores usam o protocolo padrão da camada de aplicativo, o Simple Mail Transfer
Protocolo (SMTP) para trocar mensagens entre servidores de e-mail. O conteúdo em si é para-
emaranhados com base em um conjunto de padrões chamados Multipurpose Internet Mail Extensions (MIME) Como
os protocolos originais da Internet não tinham recursos de segurança, uma versão segura do SMIME foi desenvolvida
aberto para adicionar uma verificação de integridade e certificados ao cabeçalho do e-mail. As funções de
a verificação do certificado e a verificação da lista de revogação são realizadas automaticamente por Alice
e os agentes de correio de Bob.
O modelo de PKI existente enfrentou vários desafios, como evidenciado por uma série de documentos
casos comprovados em que as Autoridades de Certificação emitiram certificados por engano ou sob coerção
cion, ou através de sua própria infraestrutura sendo atacada. Nos últimos anos, temos visto muitos
soluções como a fixação de certificados e registros públicos imutáveis de certificados emitidos sendo
implementado para evitar que o modelo de confiança da PKI seja prejudicado. [ ]
https://translate.googleusercontent.com/translate_f 466/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
que a confidencialidade não é um problema signi cativo para esta transação. Mais de meia dúzia de IETF
RFCs cobrem DNSSEC. Um estudo de Chung et al. [ ] sugere que apenas% dos domínios usam
os mecanismos DNSSEC para segurança. Muito poucos registradores suportam DNSSEC e outros mecanismos
nismos, uma vez que a comunicação de informações DNSSEC tem várias vulnerabilidades de segurança. DDoS de-
cerca não faz parte do DNSSEC. Veremos os mecanismos de defesa no IDS/ IPS na seção .8.
www.cybok.org
Alice (Receptor)
Bob (remetente)
Internet
https://translate.googleusercontent.com/translate_f 467/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ChangeCipherSpec
Finalizado
Agora vamos trazer Alice (servidor) e Bob (cliente) de volta à ação. Alice está configurada com
seus pares de chave pública / privada, conforme descrito em . .. Vale ressaltar que alguns desses
técnicas básicas também são usadas em protocolos de segurança em outras camadas, que iremos discutir
neste capítulo. O protocolo TLS tem fases: handshake, derivação de chave e transferência de dados,
conforme mostrado na figura ..
.. Aperto de mão
. Primeiro Bob e Alice trocam as mensagens TCP SYN, SYNACK e ACK de três vias . Isto
deve-se notar que esta etapa não faz parte do TLS/ SSL.
. Bob então envia uma mensagem ClientHello para Alice junto com os pacotes de cifras (cifras e
as funções hash que ele suporta) e um nonce, um grande número aleatório, específico escolhido -
para esta execução do protocolo.
. Alice responde com uma mensagem de ServerHello junto com sua escolha dos pacotes de criptografia
(por exemplo, AES para confidencialidade, RSA para a chave pública, SHA para Message Authentica-
Código de ção (MAC)), um certificado contendo sua chave pública e um nonce. Além disso, ela
também pode solicitar o certificado do cliente e parâmetros para outras extensões TLS .
. Bob verifica a validade do certificado e tem certeza de que pertence a Alice. Ele inicia
a mensagem ClientKeyExchange. Isso pode usar uma variedade de métodos de troca de chaves, por exemplo,
RSA ou o Dif e-Hellman (e variantes) para estabelecer uma chave simétrica para o seguinte
sessão. Por exemplo, ao usar RSA, Bob poderia gerar um segredo pré-mestre de 8 bits
www.cybok.org
(PMS) e criptografá-lo com a chave pública de Alice obtida usando as etapas descritas acima
e envie para Alice.
. Bob envia um ClientCipherSpec e uma Mensagem Concluída sugerindo que o gerador de chave
ação e autenticação estão completas.
6. Alice também tem a chave compartilhada neste ponto. Ela responde com um ChangeCipherSpec e
uma mensagem finalizada para Bob.
. Bob descriptografa a mensagem com a chave simétrica negociada e executa uma mensagem
verificação de integridade.
Depois de completar com sucesso as etapas acima, um túnel seguro é estabelecido e o en-
os dados criptografados do aplicativo agora podem ser enviados, conforme mostrado na parte inferior da figura .. Os detalhes
do protocolo de troca e processamento de mensagens pode ser encontrado em [ 8 ]
.. Derivação de chave
O cliente nonce, servidor nonce e PMS são inseridos em uma função pseudo-aleatória para produzir
um segredo mestre. Todos os outros dados de chave para esta conexão são derivados deste segredo mestre
em conjunto com os parâmetros adicionais. As seguintes quatro chaves comuns são derivadas
https://translate.googleusercontent.com/translate_f 468/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
em ambas as extremidades:
. Chave de criptografia de sessão para dados enviados de Bob para Alice (chave de criptografia do cliente).
. Chave de criptografia de sessão para dados enviados de Alice para Bob (chave de criptografia do servidor).
. Chave MAC da sessão para dados enviados de Bob para Alice ( chave MAC do cliente ).
. Chave MAC da sessão para dados enviados de Alice para Bob ( chave MAC do servidor ).
Bob e Alice derivam chaves separadas para criptografia e integridade em cada direção para melhorar
segurança. A geração dessas chaves efêmeras permite o sigilo de encaminhamento perfeito, pois essas chaves
não pode ser reutilizado em sessões futuras. Por exemplo, Eva poderia capturar todas as comunicações
entre Alice e Bob. Ela poderia fingir ser Bob e repetir a sequência de comandos
enviado por Bob no final do dia. Esse ataque é chamado de ataque de repetição de conexão . O TLS e
a maioria dos outros protocolos usa uma sessão específica, um número aleatório, para evitar esse ataque.
O algoritmo de geração de PMS usa um nonce na combinação. O ataque de repetição da conexão
falhar, pois Alice teria um conjunto de chaves diferente de Eva para a nova sessão devido a este novo
nonce.
.. Transferência de dados
TCP é um protocolo de transporte orientado a bytes onde os dados da camada de aplicação são enviados como um fluxo
de bytes. Os algoritmos de verificação de integridade requerem dados de comprimento fixo para um cálculo MAC . Se aplicável
cátions têm que coletar e passar dados de comprimento fixo para esses algoritmos, mais atrasos serão
incorridos. Portanto, o TLS define um formato de registro, conforme mostrado na figura . , onde o comprimento de
os dados enviados em cada registro podem ser indicados juntamente com o tipo de registro (dados ou controle).
Um MAC também é anexado ao final de cada registro. Por exemplo, se os dados são enviados de Bob
para Alice, a chave MAC da sessão para os dados enviados de Bob para Alice são usados para gerar este
MAC. Além disso, os dados mais o MAC são criptografados usando a chave de criptografia de sessão para dados
enviado de Bob para Alice.
www.cybok.org
0 byte 1 2 3 4
Tipo de conteúdo
Versão Comprimento
Carga útil
MAC
Preenchimento
(apenas cifras de bloco)
Como o número de sequência TCP não é criptografado, um possível ataque MITM poderia simplesmente capturar
os segmentos TCP e troque os registros TLS entre esses segmentos. Um receptor iria
não ser capaz de detectar esse ataque, pois a integridade dos registros TLS permanece inalterada. O
O TLS fornece um mecanismo separado onde o remetente e o destinatário controlam o registro
número de sequência sem trocá-lo explicitamente. No entanto, os cálculos do MAC em ambos
termina usa este número de sequência na mistura. Qualquer reorganização de registros MITM falhará em um
verificação de integridade.
Tendo discutido os detalhes técnicos do TLS, agora consideramos como ele funciona no
presença de certos ataques. Em um ataque de detecção de senha, Eva captura alguns pacotes e
deseja obter senhas em HTTPS ou outro tráfego de aplicativo c. Como os dados do usuário são criptografados,
https://translate.googleusercontent.com/translate_f 469/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
a senha não pode ser detectada. Em um ataque IP Spoo ng, Mallory usa endereços IP forjados
para enganar Bob fazendo-o aceitar dados falsos. Mallory deve estar na posse da chave secreta como
bem como o endereço IP forjado para ter sucesso. Um ataque MITM é evitado usando uma chave pública
certificados para autenticar os correspondentes.
Observamos que, em um ataque relacionado à camada de transporte denominado ataque DDoS SYN Flooding , um grupo
de máquinas atacantes continuam enviando mensagens TCP SYN para solicitar uma conexão e permitir que o
servidor alocar recursos. No entanto, este tipo de ataque pode ser tratado pelo TCP e, portanto,
não é duplicado no TLS. Uma defesa conhecida como SYN Cookies foi implementada em
muitos sistemas operacionais [RFC 8]. O servidor não abre uma conexão pela metade imediatamente
ao receber uma solicitação de conexão TCP . Ele seleciona um número de sequência inicial (ISN) usando um
função hash sobre endereços IP de origem e destino, números de porta do segmento SYN,
bem como um número secreto conhecido apenas pelo servidor. O servidor então envia ao cliente este ISN ,
também conhecido como Cookie, na mensagem SYNACK. Se o pedido for de um legítimo
remetente, o servidor recebe uma mensagem ACK com um novo número de sequência que é ISN mais
. Uma vez que a validação é feita, o servidor abre uma conexão TCP . Um remetente DDoS iria
ou não responde com ACK ou não tem o ISN correto em sua resposta. Portanto, não
Fontes TCP foram perdidas.
Nesta seção, vimos vários mecanismos para proteger a comunicação ponta a ponta
canal por meio de protocolos de transporte. No entanto, se o conteúdo que está sendo transferido torna-se um acesso
para um invasor fora do canal de comunicação, eles podem comparar o volume do
material criptografado e fazer inferências. Como consequência, pode comprometer
confidencialidade da mensagem.
Além disso, muitas organizações preferem que seu tráfego seja totalmente criptografado ao sair de sua rede.
trabalhos. No início da rede, várias redes privadas estavam em uso. No entanto, principal-
manter uma rede privada pode não ser rentável. Uma solução alternativa é fazer uso de
a Internet para conectar várias ilhas de redes privadas pertencentes a uma organização. Também,
empregadores e funcionários desejam um ambiente de trabalho flexível, onde as pessoas possam trabalhar
em casa, ou conecte-se de um quarto de hotel ou saguão de aeroporto sem comprometer sua segurança
https://translate.googleusercontent.com/translate_f 470/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ridade. Já determinamos que a Internet não é segura. O conceito de Virtual Private
Rede (VPN) na Internet pública requer um conjunto de mecanismos de segurança da camada de rede
www.cybok.org
que exploraremos nesta seção. Começamos nossa discussão com adições de segurança ao
protocolo IP da camada de rede denominado IPsec. Figura . mostra que um funcionário trabalhando de
casa acessa um servidor no trabalho, o cliente VPN em seu host encapsula datagramas IPv
em IPsec e criptografa a carga útil IPv contendo segmentos TCP ou UDP ou outras mensagens de controle
sábios. O gateway corporativo detecta o datagrama IPSec, descriptografa-o e decapsula-o
de volta ao datagrama IPv antes de encaminhá-lo ao servidor. Cada resposta do servidor
também é criptografado pelo gateway. Observamos que a criptografia não é obrigatória no IPsec. Figura
. é um dos vários modos de operação do IPsec. Por exemplo, pode haver duas empresas
redes, cada uma com seu próprio gateway IPsec se comunicando pela Internet aberta.
Público
Internet IPSec
IP TCP / UDP Carga útil de dados
Cabeçalho Cabeçalho Cabeçalho
Rede Empresarial
IP IPSec TCP / UDP Carga útil de dados
Cabeçalho Cabeçalho Cabeçalho
Criptografado
Rede doméstica
Começamos com um exemplo simples que mostra a confidencialidade dos dados usando criptografia. Como-
sempre, o IPsec também fornece integridade de dados, autenticação de origem e prevenção de ataques de repetição.
Novamente, o conjunto de modos / configurações / padrões fornecidos pelo IPsec é extenso; interessado
os leitores devem acessar as RFCs IETF relevantes para obter os formatos e detalhes do protocolo.
O IPsec oferece suporte aos modos de operação de túnel e transporte. No modo de transporte, conforme mostrado
na figura . , o cabeçalho IP original é usado, mas o restante da carga útil é criptografado. Dentro
nosso exemplo de figura . , se o modo de transporte for usado, será necessário um endereço IPv roteável.
Isso pode ser alcançado se o endpoint estiver atrás de um NAT. Detalhes do NAT transversal podem ser encontrados
na RFC 6.
No resto desta seção, discutiremos o modo alternativo amplamente usado de encapsulamento em de-
cauda. Se os dispositivos de borda (roteadores / gateways) de duas redes são compatíveis com IPsec, o resto do
os servidores / hosts não precisam se preocupar com o IPsec. Os dispositivos de borda realizam o encapsulamento de
cada IP incluindo o cabeçalho. Isso cria virtualmente um túnel seguro entre as duas extremidades de
vícios. O dispositivo receptor de ponta, então, desencapsula o datagrama IPv e encaminha dentro
sua rede usando o encaminhamento de IP padrão. Outras configurações possíveis para um túnel podem in-
Volve um host compatível com IPsec e um gateway compatível com IPsec (como na figura .) Um túnel entre
www.cybok.org
dois hosts compatíveis com IPsec também são possíveis sem envolver roteadores de borda. O modo de tunelamento
continua a ser amplamente utilizado devido à sua simplicidade, uma vez que não requer suporte ao protocolo IPsec
nos hosts finais. Além disso, a negociação de chaves é simplificada, já que dois dispositivos de borda podem lidar com
https://translate.googleusercontent.com/translate_f 471/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
conexões em nome de vários hosts em suas respectivas redes. Uma vantagem adicional
é que tudo, incluindo o endereço IP de origem / destino, é criptografado, tornando assim
análise de tráfego mais difícil. O ESPv permite usar o Traf c Flow Con dentiality (TFC) mecha-
nismos que adiciona preenchimento de comprimento arbitrário para ofuscar o padrão de tráfego e evitar evitar
ataques de análise estatística de tráfego. Kiral et al. [ ] relataram resultados experimentais explorando
preenchimento e várias outras técnicas, como framgementation de pacotes, introdução de arti -
atraso interpacote cial, inserção de pacotes fictícios para evitar a análise de tráfego.
Dados Dados
TCP TCP
Dados Dados
hdr hdr
IP original ESP TCP ESP ESP ESP IP original TCP ESP ESP
Dados Dados
hdr hdr hdr trlr Auth hdr hdr hdr trlr Auth
O IPsec oferece suporte a um conjunto de formatos para implementar a segurança. A carga útil de segurança de encapsulamento
(ESP) formato suporta confidencialidade usando pacotes IP criptografados, integridade de dados usando hash
funções e autenticação de origem. Se um aplicativo não exigir confidencialidade, ele pode
basta usar o cabeçalho de autenticação (AH) formato, que suporta integridade de dados e fonte
autenticação. O IETF RFC de nes o algoritmo de criptografia NULL com ESP para alcançar
o mesmo resultado. No total, temos quatro opções diferentes de comunicação: Modo de transporte
com ESP, Modo de transporte com AH, Modo túnel com ESP e modo túnel com AH. Desde a
Os túneis VPN são totalmente criptografados, o modo Túnel com ESP continua sendo o protocolo de escolha.
Duas entidades que participam da comunicação IPsec estabelecem Associação de Segurança (SA) para
cada direção do link. Essencialmente, uma série de variáveis são registradas em um banco de dados chamado
o banco de dados de associação de segurança (TRISTE) para pesquisa durante o processamento do protocolo IPsec, alguns-
o que é semelhante ao estado de conexão TCP . Algumas das informações do estado incluem o tipo
de criptografia usada (por exemplo, AES ou DES), a chave de criptografia, o tipo de verificação de integridade usada
(por exemplo, SHA- ou MD), a chave de autenticação e assim por diante. Uma janela anti-repetição também é usada
para determinar se um pacote AH ou ESP de entrada é uma repetição.
www.cybok.org
Quando um grande número de pontos de extremidade usa IPsec, a distribuição das chaves se torna um desafio.
A RFC 6 define o protocolo Internet Key Exchange (IKEv). Os leitores observarão um
semelhança entre TLS . e IKE, em que o IKE também requer um processo de handshake inicial para
negociar algoritmos criptográficos e outros valores, como nonces e trocar identidades
e certificados. Iremos pular os detalhes de uma complexa troca de protocolo de duas fases que
resulta no estabelecimento de uma quantidade chamada SKEYSEED. Esses SKEYSEEDs são usados para
gerar as chaves usadas durante uma sessão, conforme nos lembramos das SAs de IPsec. Notamos que o IKEv tem
evoluiu do IKEv, Internet Security Association e Key Management Protocol (ISAKMP),
e vários outros esforços anteriores. O ISAKMP é um framework que define os procedimentos para
autenticação do ponto de comunicação, criação e gerenciamento de associações de segurança,
e as técnicas de geração de chaves. Ele também pode fornecer mitigação de ameaças contra DoS e
ataque de repetição. De nido na RFC 8, ISAKMP também faz parte do IKEv para troca de chave.
.. Mascaramento de IP
Devido à falta de espaço de endereço IPv, Network Address Translation (NAT) foi designado
para que os endereços IP privados possam ser mapeados em um endereço IP externamente roteável pelo
https://translate.googleusercontent.com/translate_f 472/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Dispositivo NAT [8 ] Para um pacote IP de saída, o dispositivo NAT muda a fonte privada
Endereço IP para um endereço IP público do link de saída. Como consequência, ofusca o
endereço IP interno do mundo externo. Para um potencial invasor, os pacotes parecem ser
vindo do dispositivo NAT , não do host / servidor real por trás do dispositivo NAT .
.. Segurança IPv6
Nossas discussões sobre segurança até agora assumiram o uso de IPv. A escassez de IPv
endereços resultaram no desenvolvimento de um novo protocolo IPv6, já que o mecanismo NAT
vários aws. Como a adoção do IPv6 está aumentando gradualmente, devemos destacar os benefícios de segurança
e ts e desafios associados à implantação do IPv6. Por exemplo, o uso de 8 bits
espaço de endereço significa que os invasores precisam de muito mais tempo para verificar as portas, ao contrário do IPv,
onde todo o espaço de endereço pode ser verificado em algumas horas. Vários problemas de segurança
associado com ARP, que pode ser discutido posteriormente neste capítulo, desaparece como camada IPv6
endereços são derivados diretamente de endereços de camada sem qualquer necessidade de resolução de endereço
ção No entanto, isso permite que os invasores deduzam informações sobre o host / servidores que podem ser
útil ao lançar ataques. O uso da função hash para geração de endereço é recomendado
como técnica de mitigação. Além disso, o IPv6 permite um endereço gerado criptograficamente
(CGA) em que um endereço está vinculado a uma chave de assinatura pública. Isso ajuda na autenticação
entre roteadores para troca segura de mensagens. Inicialmente, o IPsec foi obrigatório para ser usado em
Redes IPv6, mas devido a dificuldades de implementação continua a ser uma recomendação. De várias
RFCs informativos da IETF e white papers específicos do fornecedor fornecem um tratamento abrangente
dos desafios de segurança do IPv6.
www.cybok.org
A Internet usa um sistema hierárquico onde cada AS é gerenciado por um ISP, troca de rota-
informações com outros ASs usando o Border Gateway Protocol (BGP) Veja RFC 6 e
RFC 6 para os detalhes do protocolo BGP . Depois de receber um IP pre x [8 ], o alcançável-
informações, de seu vizinho, o roteador verifica as informações recém-recebidas em relação
seu conhecimento armazenado para ver se há um caminho melhor para chegar a uma rede de destino. Está em-
a formação é atualizada localmente e propagada para seus vizinhos imediatos. O distribuído
sistema permite que as redes se alcancem globalmente.
Nos últimos anos, os ataques ao BGP foram vistos com a aparente intenção de interromper
Serviços do YouTube em todo o mundo. Toda a Internet sofreu uma interrupção em outro país devido
à configuração incorreta ou à publicidade maliciosa de atualizações falsas do BGP . De qualquer jeito,
isso destaca a falha de segurança no protocolo BGP . Esta vulnerabilidade surge porque
https://translate.googleusercontent.com/translate_f 473/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
de falta de integridade e autenticação para mensagens BGP . Descreveremos alguns bem conhecidos
ataques ao protocolo BGP .
No que é conhecido como um ataque de sequestro de rota BGP , um roteador malicioso pode anunciar um IP
Pre x, dizendo que a melhor rota para um serviço é por meio de sua rede. Assim que o tráfego começar
a fluir por meio de sua rede, ele então escolherá descartar todos os pacotes para este serviço por um
uma variedade de razões, incluindo censura. Ele também pode ler todos os pacotes não criptografados.
Além disso. o invasor pode desviar o tráfego por meio de um AS desavisado, assim, de repente,
vincando sua carga. Em uma negação de serviço BGP (DoS) ataque , um roteador malicioso enviaria um
avalanche de tráfego BGP para uma vítima AS, enquanto mantém seu roteador de fronteira ocupado para que ele possa
não processa nenhuma atualização válida. O invasor também pode propagar atualizações BGP espúrias e
tabelas de roteamento corrompidas para evitar que o tráfego chegue ao destino pretendido.
A IETF está trabalhando atualmente em um padrão chamado BGPSec para abordar essas questões de segurança.
Este trabalho é baseado em uma proposta anterior denominada S-BGP [ ] O núcleo do esquema está no
uso de PKI para verificar as assinaturas dos vizinhos que enviam as atualizações. Dois vizinhos
os roteadores podem usar mecanismos IPsec para segurança ponto-a-ponto para trocar atualizações. Nós vamos
agora veja um exemplo simples em que um roteador BGP recebe um caminho ZZZ YYY XXX. O BGP
O roteador verifica a assinatura de AS XXX usando mecanismos PKI que aprendemos anteriormente. Isto
www.cybok.org
em seguida, verifica a assinatura gerada por YYY e posteriormente por ZZZ. Isso nos permite verificar
a origem e autenticidade de toda a cadeia de atualizações. No entanto, essa abordagem envolve grandes
despesas gerais. A verificação da assinatura tem um custo, implementando o BGPO segundo exigiria o
roteadores de borda para verificar um número maior de assinaturas na inicialização. Hardware criptográfico adicional
e a memória certamente ajudaria a manter o desempenho no caminho certo.
Apesar desses BGPSec e outros esforços de padronização, poucos roteadores implantam esses
mecanismos devido a custos adicionais e uma falta de benefícios de curto prazo, a menos que haja uma
sensus para comandar globalmente [ ] Os custos do mecanismo são uma barreira adicional, mas menor
para implantação generalizada. As propostas de segurança existentes do BGP sofrem de um padrão ecológico clássico
problema de nomic. Uma nova implantação de BGPSec beneficia principalmente (não implantação) outras operadoras
do que aqueles que implantam o mecanismo; assim, a recompensa do implantador está no futuro, enquanto o
as perdas de redes não implantadas são acumuladas antecipadamente.
O software suplicante está normalmente disponível em várias plataformas de sistema operacional ou também pode ser fornecido por
fornecedores de chipsets. Um suplicante (cliente) que deseja acessar uma rede deve usar o Extensível
Protocolo de autenticação (EAP) para se conectar ao AS por meio de um autenticador.
https://translate.googleusercontent.com/translate_f 474/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Authenmcator
Protegido
A infraestrutura
RADIUS, LDAP,
Diretório Acmve
Servidor..
Authenmcamon
Suplicante Suplicante Servidor
O envio das credenciais de um suplicante em texto simples é problemático por vários motivos. Para proteger
proteger contra qualquer espionagem, o EAP usa um túnel para autenticação e autorização
ção Uma ampla gama de protocolos de encapsulamento EAP está disponível. Segurança da camada de transporte EAP
(EAP-TLS), EAP para identidade de assinante GSM (EAP-SIM) e autenticação protegida por EAP
Protocolo (EAP-PEAP) são alguns dos exemplos para estabelecer um túnel seguro. EAP-PEAP ,
também conhecido como 'EAP dentro do EAP'é um dos protocolos mais populares. Se cavarmos mais fundo, seja-
antes que a porta seja desbloqueada, um processo complexo é usado para gerar uma chave de criptografia dinâmica
usando um aperto de mão -way. Essencialmente, todos esses protocolos estabelecem um túnel TLS , mas diferem
na escolha de algoritmos de hash, o tipo de credenciais usadas, se um certificado do lado do cliente é
usado, etc. A maioria dos protocolos usaria um certificado do lado do servidor.
https://translate.googleusercontent.com/translate_f 475/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
EAP TLS
EAP
Eixo
Dispositivo wireless
Suplicante
Uma vez que o suplicante e o AS se autenticam mutuamente, eles juntos geram uma chave mestra (MK)
Como já discutimos, o autenticador tem desempenhado o papel de um relé até este
apontar. Durante este processo, o suplicante obtém uma Chave Mestra Pairwise (PMK) O AS também
deriva o mesmo PMK e o envia ao autenticador. Deste ponto em diante, o suplicante
e o autenticador usa o PMK para derivar a chave temporal (TK) usado para a criptografia de mensagem
ção e integridade. O processo de derivação de chave é semelhante ao que aprendemos no TLS anteriormente.
Iremos revisitar a geração de chaves e a relação entre as várias chaves em detalhes posteriormente em
a rede robusta e segura (RSN) seção.
Os switches Ethernet continuam encaminhando entradas de tabela em uma memória endereçável de conteúdo (CAM)
À medida que um switch aprende sobre um novo host de destino, ele atualiza a tabela e para todos os comandos futuros
comunicações, esta entrada da tabela é consultada para encaminhar um quadro. Ao contrário de broadcast Ethernet ou
WLAN, esses quadros não estão acessíveis a hosts conectados a outras portas. No entanto, se o
switch não tem um mapeamento para um novo controle de acesso à mídia (MAC) endereço, ou seja, qual
porta para a qual encaminhar um novo quadro, ele carregará o quadro em todas as suas portas de saída. Um atacante
poderia criar vários quadros com endereços aleatórios para preencher um CAM inteiro. Isso seria
resultar na mudança de fluxo de todos os quadros de dados de entrada para todas as portas de saída, já que lá
www.cybok.org
não há espaço disponível para inserir um novo mapeamento. Isso torna o quadro disponível para o invasor
anexado a uma dessas portas. Como consequência, um ataque de fluxo de MAC também afetaria
todas as VLANs preenchendo seu CAM. No entanto, esse tipo de ataque exige que um invasor controle
um dispositivo que está diretamente conectado a um switch Ethernet ou possivelmente a algum usado, mas desconhecido
tomadas de parede Ethernet que ainda estão conectadas a uma porta. Mitigando este tipo de ataque
exigiria a autenticação e verificação dos endereços MAC de algum banco de dados local de
endereços legítimos antes de preencher a entrada da tabela de encaminhamento.
MAC Spoo ng: os ataques ocorrem quando um invasor escuta um link e detecta o MAC
endereço de um host de destino. Em seguida, ele se disfarça como um host legítimo, alterando o MAC de seu host
endereço para coincidir com o endereço MAC detectado recentemente . O invasor inundou a rede com
o endereço MAC recém-con gurado enquanto direciona o tráfego para si mesmo alterando a chave
encaminhamento de entrada da tabela. O switch agora é enganado para encaminhar os frames destinados ao
host de destino para o host de ataque.
O endereço MAC não foi projetado nem deve ser usado para fins de segurança. O 8. X, que
https://translate.googleusercontent.com/translate_f 476/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
discutimos anteriormente, é um bom ponto de partida para prevenir o acesso de usuários não autorizados.
qualquer serviço em uma rede. Como um problema secundário, um usuário pode optar por falsificar seu MAC
endereço para proteger sua privacidade. Os sistemas operacionais mais populares suportam MAC
randomização de endereços para evitar que os dispositivos sejam rastreados com base em um endereço MAC.
Protocolo de resolução de endereço (ARP) Spoo ng: os ataques ocorrem quando um invasor envia uma mensagem falsa
Mensagem ARP em uma LAN, vinculando o endereço IP do alvo ao seu próprio endereço MAC . Uma vez
consegue comprometer a tabela ARP , começará a receber todos os dados pretendidos
para o endereço IP do alvo. ARP spoo ng também pode ser usado para ataques DoS populando
a tabela ARP com vários endereços IP correspondentes a um único endereço MAC de um alvo
servidor, por exemplo. Isso então redirecionaria o tráfego desnecessário para o destino, mantendo-o ocupado
processamento dessas mensagens. ARP Spoo ng também é útil em sequestro de sessão e MITM
ataques.
Na verdade, um esquema de mitigação estabeleceria limites no número de endereços que podem ser aprendidos
por porta em um switch. Alguns fornecedores usam um processo de verificação onde inspecionam o MAC
endereço e informações de endereço IP em pacotes ARP contra o MAC- Ligações IP contidas
em uma tabela de ligação confiável. Isso permite qualquer pacote ARP que não tenha uma entrada no
tabela de ligação a ser descartada. A tabela de ligação deve ser atualizada com frequência para evitar o bloqueio
atualizações legítimas.
Salto de VLAN :Ataques de salto de VLAN permitem que um host de ataque em uma VLAN obtenha acesso a
recursos em outras VLANs que normalmente seriam restritas. Existem dois métodos principais
de salto de VLAN : switch spoo ng e double tagging.
Em um ataque de switch spoo ng, um host de ataque personifica um switch de entroncamento respondendo
aos protocolos de tagging e trunking (por exemplo, IEEE 8. Q ou Dynamic Trunking Protocol) tipi-
normalmente usado em um ambiente de VLAN . O invasor agora consegue acessar o tráfego para vários
ple VLANs. Os fornecedores atenuam esses ataques por meio da configuração adequada do switch. Por exemplo, o
portas são atribuídas a uma função de entroncamento explicitamente e as outras são configuradas como portas de acesso
só. Além disso, qualquer protocolo de negociação automática de tronco pode ser desabilitado. Em uma dupla marcação em
aderência, um invasor consegue enviar seu quadro para mais de uma VLAN inserindo duas VLAN
tags para um quadro que ele transmite. No entanto, esse ataque não permite que eles recebam uma resposta.
Novamente, os fornecedores fornecem métodos de configuração recomendados para lidar com essas possíveis atitudes
tachas. Uma pesquisa abrangente de ataques e defesa Ethernet pode ser encontrada em [ ]e
cursos específicos do fornecedor.
www.cybok.org
Para autenticação, os pontos de acesso (APs) anunciar por meio de quadros de beacon se a autenticação
cátion é necessário ou não. No entanto, nem todos os APss suportam esse recurso. Se a autenticação for
necessário, antes da associação, um host conectado a um AP receberia um nonce de 8 bits da
o AP. Ele criptografaria o nonce com a chave compartilhada e o enviaria de volta ao AP. O AP
iria descriptografar esta resposta com a chave compartilhada e verificar se ela corresponde ao nonce
enviado originalmente. O receptor extrairia o IV recebido em texto simples, a entrada IV e compartilhada
chave secreta para PRNG, obtenha um keystream, XOR o keystream com os dados criptografados para descriptografar
dados + ICV e finalmente verificar a integridade dos dados com o ICV.
O protocolo WEP tem vários problemas de design. Primeiro, o uso de um -bit IV introduz um fraco
24
ness no esquema em que 2 ou 6 milhões de IVs exclusivos podem ser exauridos em links de alta velocidade
em menos de horas. Dado que os IVs são enviados em texto simples, um bisbilhoteiro pode detectar facilmente
isso reutiliza e monta um ataque de texto simples conhecido. Usar o RC em WEP permite que o Fluhrer,
Martin e Shamir (FMS) ataques. No FMS, um invasor pode recuperar a chave em um RC en-
stream criptografado capturando um grande número de mensagens nesse stream [ 6] O linear
https://translate.googleusercontent.com/translate_f 477/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
O algoritmo CRC é bom para detectar erros de link aleatórios, mas é uma escolha ruim para mal-intencionado
modificando a mensagem. Técnicas criptográficas fortes, como autenticação de mensagem
códigos e assinaturas, conforme discutido em protocolos de camada superior, são mais adequados para essa tarefa.
Dado o pobre design de segurança do WEP, a Wi-Fi Alliance assumiu o trabalho de proteção sem fio
redes. Um padrão provisório denominado Wi-Fi Protected Access (WPA) foi rapidamente desenvolvido
optou por compatibilidade de hardware com versões anteriores, enquanto o WPA estava sendo elaborado. WPA usa o
Protocolo de Integridade de Chave Temporal (TKIP), mas mantém o RC para compatibilidade. O Pré-Compartilhado
Chave (PSK), também conhecido como WPA-Pessoal, é semelhante ao WEP-Chave. No entanto, o PSK é usado
diferentemente, um nonce e PSK são hash para gerar uma chave temporal. Em seguida, um cryp-
A função de mistura gráfica é usada para combinar esta chave temporal, o MAC Temporal (TMAC),
e o contador de sequência resultando em uma chave para criptografia (8 bits) e outra chave para
integridade (6 bits). Como consequência, cada pacote é criptografado com uma chave de criptografia exclusiva
para evitar FMSataques de estilo. Além disso, o WPA estende o WEP IV para 8 bits, que é usado como um
contador de sequência de pacotes. Levaria anos para repetir o mesmo IV. Um pacote recebido
de ordem, seria descartado pela estação receptora. Vários novos campos incluem um novo Frame
Verificar sequência (FCS) campo, um CRC- checksum para correção de erros e uma função hash
com base no novo campo Michael (MIC) para uma verificação de integridade. O WPA teve sua própria participação
de ataques, conforme relatado na literatura [ ]
www.cybok.org
. O WPA depende de um hardware mais poderoso que suporta um modo de contador AES de 8 bits com
o protocolo de código de autenticação de mensagem de encadeamento de blocos de criptografia (CCMP) Esses métodos
são discutidos na Área de Conhecimento de Criptografia (Capítulo ). Ele também fornece um melhor
-way handshake e método de geração de chave temporária.
Em 8, um novo padrão WPA foi aceito para fazer uma transição gradual e, eventualmente, voltar
coloque o WPA . O WPA supera a falta de sigilo direto perfeito no WPA e no WPA .
O PSK é substituído por uma nova distribuição de chaves chamada Autenticação Simultânea de
Igual a (SAE) com base na troca de chaves IETF Dragon y. O modo WPA -Pessoal usa um
Criptografia de 8 bits, enquanto o WPA-Enterprise usa criptografia de bits.
Os mecanismos de derivação da chave RSN estão envolvidos até certo ponto, como pode ser visto na figura .8.
Forneceremos um resumo disso, como muitos outros protocolos (incluindo GSM celular) Segue
um esquema semelhante ao esquema de chave em pares fornece um mecanismo para gerar
chaves de sessão cada vez que um usuário inicia uma nova sessão.
Como ponto de partida, o dispositivo do usuário e o AP teriam uma chave pré-compartilhada (PSK) usando
métodos de banda. No entanto, esta não é uma solução escalonável e em uma configuração corporativa usando
o IEEE 8. X, uma chave de sessão mestre (MSK) normalmente é gerado durante a autenticação
Estágio. Com essas duas opções disponíveis, uma Chave Mestra Pairwise (PMK) pode ser gerado
das duas maneiras a seguir: usando o PSK como o PMK ou derivando o PMK do MSK
usando a função pseudo-aleatória (PRF) O PSK também usa os endereços de host e AP
ao gerar o PTK, fornecendo, assim, defesa adicional contra sequestro de sessão e
representação. Além disso, um nonce é usado na mistura para obter um bom material de codificação aleatória.
O PTK agora está dividido em três formas, gerando chaves separadas para cada função.
O RSN também atende a uma geração de chave de grupo onde um host pode se comunicar com uma
grupo de elenco, conforme mostrado na figura .. Esta chave é gerada pelo AP e distribuída com segurança
aos hosts associados usando as chaves de pares seguras derivadas acima. Esta chave de grupo pode ser
alterado periodicamente com base em uma variedade de políticas de rede. O Grupo Temporal Key gener-
método de ação não está definido nos padrões.
https://translate.googleusercontent.com/translate_f 478/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Confirma em
Chave
Caminho EAP Chave AAA
128 bits
≥ 256 bits
128 bits
Componentes de PTK
Os filtros de pacotes, também conhecidos como sistema de firewall, podem ser colocados junto com roteadores ou implementados como
servidores especializados. Em ambos os casos, eles são guardiões, inspecionando todas as entradas / saídas
tráfego c. Os ltros são definidos com base em uma política de segurança da rede e os pacotes são tratados de acordo com
cordialmente. Embora os rewalls desempenhem um papel fundamental na proteção de uma rede, derrubar um rewall pode
potencialmente causar estragos em organizações que dependem de tecnologia de rede.
www.cybok.org
https://translate.googleusercontent.com/translate_f 479/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
PRF usando
HMAC-SHA-1
Chave mestre de grupo Chave temporal de grupo
O nível de segurança mais alto fornecido por um AG vem às custas de hardware / software adicional
recursos de ware. Além disso, um AG pode desacelerar a conexão, como autenticação, política
verificações e manutenção de estado são realizadas para manter o controle de cada sessão que está ocorrendo
o AG. Outra complexidade envolvida com um AG é a necessidade de configurá-lo para cada aplicação
ou, possivelmente, ser implementados como vários servidores de aplicativos específicos.
www.cybok.org
https://translate.googleusercontent.com/translate_f 480/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ver informações de camada superior e muitos mais atributos de sessões além do que um pacote
ltro ou parede podem servir. Um IDS monitoraria o tráfego de rede com a ajuda de agentes / sen-
detecta / monitora na rede e dispara alarmes quando detecta (ou pensa que tem) suspeita
atividade ciosa. Essencialmente, o IDS compararia o tráfego com o que considera normal
mau tráfego e, usando uma série de técnicas, geraria um alerta. Falsos alarmes são enormes
problema para administradores de rede / segurança, apesar de décadas de pesquisa. Por exemplo, falso
positivos podem ser gerados pelo IDS para hosts legítimos que realizam
comportamento que pode parecer malicioso. Vamos agora considerar uma situação em que um legítimo
domínio acessado com freqüência por hosts em uma rede torna-se temporariamente inacessível. O
consultas de DNS com falha para o mesmo domínio nesta instância seriam geradas para muitos hosts
e pode parecer suspeito, mas não deve ser considerado atividade maliciosa. Da mesma forma, um falso
negativo causaria a classificação da atividade maliciosa como benigna.
Neste exemplo simples, a ação é 'alerta'. A fonte é definida para qualquer fluxo TCP com
qualquer endereço. O destino é definido como. 68. / na porta 8. A regra está definida
para verificar se o pacote contém uma string 'GET' e, em seguida, gerar um alerta. O 'sid'
ou Snort Identi er refere-se à regra Snort usada. Snort fornece um longo conjunto de regras, mas
permite que os usuários definam seus próprios.
O IDS gera uma carga de trabalho pesada, pois precisa comparar um grande número de assinaturas.
A velocidade de detecção desempenha um papel fundamental na prevenção desses ataques. Vários sistemas implantados
sistemas de detecção paralelos e distribuídos que podem lidar com altas taxas de tráfego em grandes
redes e permitir a detecção online; outros exploram o paralelismo no nível do hardware em
a fim de superar os atrasos de processamento para que os pacotes e ows possam ser processados em
altas velocidades, proporcionando resultados mais rápidos. Muitas pesquisas também se concentraram em soluções mais rápidas
padrões ou correspondência de regras com o objetivo de reduzir atrasos no processamento de pacotes.
www.cybok.org
• Os sistemas de detecção de intrusão baseados em anomalias usam recursos estatísticos do tráfego normal
para comparar com o tráfego monitorado c. O critério para capturar o tráfego normal poderia
ser uso de largura de banda, protocolos, portas, taxa de chegada e burstiness [886] Por exemplo, um
uma grande porcentagem de varreduras de portas geraria um alerta. Os ataques podem ser detectados por
monitorar hosts ou redes quanto ao comportamento típico de diferentes ataques. Um link de destino
Ataque Ooding visa sobrecarregar um link específico na rede, desconectando assim
selecionar uma região de rede ou servidor selecionado da rede. Observando um aumento em
pacotes traceroute na rede podem indicar um fluxo de link de destino próximo
Ataque DDoS .
Apesar de usar técnicas de aprendizado de máquina, como regressão linear, rede neural
funciona, Deep Learning etc., que treina um classificador a partir de dados normais ou maliciosos e
use-o para identificar o mesmo comportamento em dados futuros, os falsos positivos desses sistemas
permanecer alto [ 8]
https://translate.googleusercontent.com/translate_f 481/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os sistemas IPS monitoram o tráfego em tempo real, descartando qualquer pacote malicioso suspeito, bloqueando
tráfego de endereços de origem maliciosos ou redefinição de conexões suspeitas. Na maioria dos casos,
um IPS também teria recursos de IDS . Vários IDSAs ferramentas / IPS geram um alerta para um spam
estágio de preparação, que é indicado por um aumento nas consultas DNS MX que os bots de spam geram
para descobrir um servidor de e-mail antes de enviar e-mails de spam.
O sistema IPS é pró-ativo e, em tese, deve funcionar de forma autônoma sem intervenção
de um administrador de segurança / rede. Por exemplo, ao inspecionar os cabeçalhos, se um sistema IPS
Se suspeitar que um e-mail não é seguro, isso pode impedir que ele seja encaminhado a um usuário final.
No entanto, o risco de bloquear o tráfego legítimo é um grande problema devido a falsos positivos ou
a configuração incorreta desses sistemas. Na prática, no entanto, os sistemas IPS são geralmente configurados para
detecte modos e comece a bloquear o tráfego apenas quando a confiança na incidência for verdadeira
positivo torna-se alto.
IDSOs fornecedores / IPS fornecem atualizações regulares de assinatura e as equipes de segurança terão que determinar
quais implantar, dependendo do ambiente de rede em que está implantado. IDS/ IPS pode
também ser software, implantado na camada de aplicativo em terminais estratégicos. Estes não
tem seu próprio sistema operacional, contando com o host, mas pode ser reajustado para oferecer suporte e proteger
o dispositivo específico em que é implantado.
www.cybok.org
qualquer informação de volta para a rede de controle da barragem. Uma cobertura abrangente deste tópico
pode ser encontrado na Área de Conhecimento de Operações de Segurança e Gerenciamento de Incidentes (Capítulo 8)
Por exemplo, um ataque DDoS pode ser inferido pelo controlador central com mais precisão, e um
o aplicativo de mitigação de ameaças pode reprogramar dinamicamente as chaves no perímetro da rede
para soltar vacas de tráfego maliciosas. Um usuário em uma máquina infectada pode ser automaticamente roteado para
um servidor da web emitindo uma notificação de quarentena. Outro grupo de pesquisadores se concentrou em
proteger a própria plataforma SDN . Os controladores SDN usam um algoritmo de Spanning Tree (SPTA)
para atualizações de topologia. Em um ataque DoS , um adversário pode anunciar um link falso e forçar
o SPTA para bloquear portas legítimas. Hong et al. [ ] fornecem uma série de vetores de ataque em
https://translate.googleusercontent.com/translate_f 482/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
implementações práticas de switch SDN .
Os comutadores SDN estão sujeitos a um ataque de canal lateral de temporização . Liu et al. [] apresentar vários em-
vetores de aderência. Um invasor pode enviar um pacote e medir o tempo que leva para a mudança
processar este pacote. Conforme discutido acima, para um novo pacote, o switch precisará buscar um
nova regra do controlador, resultando em atraso adicional sobre os fl uxos que já
ter regras instaladas no switch. Por exemplo, o invasor pode determinar se um ex
mudança entre um IDS e um servidor de banco de dados ocorreu, ou se um host visitou
www.cybok.org
um site específico. Uma possível contramedida introduziria atraso para os primeiros pacotes
conjuntos de todos os fluxos, mesmo que exista uma regra
] Os
[ switches SDN armazenam regras na memória cache
para pesquisas rápidas. As regras são normalmente eliminadas da memória após um tempo limite especificado
período ou removido devido a certas outras decisões de política. Liu et al. [ ] também descrevem poten-
ataques iniciais, observando o comportamento de remoção da regra de cache. Eles sugerem contramedidas
como uma configuração proativa de regras ou transformação da estrutura de regras (por exemplo, fusão) para tornar qualquer
inferência difícil. Zerkane et al. [ ] analisaram metodicamente e relataram SDN
vulnerabilidades.
Uma tendência recente em redes é o uso de Virtualização de Funções de Rede (NFV) O objetivo
é reduzir o capex e permitir a rápida introdução de novos serviços no mercado. Spe-
middleboxes de rede socializados, como rewalls, codificadores / decodificadores, DMZs e deep packet
unidades de inspeção são dispositivos normalmente fechados de caixa preta executando software proprietário [ ]
Os pesquisadores do NFV propuseram a implantação dessas caixas intermediárias inteiramente como virtualizadas
módulos de software e gerenciados por meio de APIs padronizadas e abertas. Esses módulos são chamados
Funções de rede virtual (VNFs) Um grande número de ataques possíveis diz respeito ao Virtual
Máquina (hipervisor), bem como funções virtuais de configuração. Lal et al. [ 6] fornecer uma mesa
dos problemas de segurança do NFV e as melhores práticas para solucioná-los. Por exemplo, um invasor pode
comprometer um VNF e gerar outros novos VNFs para alterar a configuração de uma rede por
bloqueando certas portas legítimas. Os autores sugerem introspecção do hipervisor e zona de segurança
como técnicas de mitigação. Yang et al. [ ] fornecem uma pesquisa abrangente sobre segurança
problemas em NFV.
https://translate.googleusercontent.com/translate_f 483/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 605 O Conhecimento em Segurança Cibernética
www.cybok.org
]
] 8
8
[ ]
[ ]
[ 886
[
866
urose: aha
K Stallings:
T 6
https://translate.googleusercontent.com/translate_f 484/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 607
Capítulo 8
Segurança de Hardware
Ingrid Verbauwhede KU Leuven
https://translate.googleusercontent.com/translate_f 485/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
A segurança de hardware cobre uma ampla gama de tópicos, desde computação confiável a circuitos de Trojan.
Para classificar esses tópicos, seguimos as diferentes camadas de abstração de hardware apresentadas por
o gráfico Y de Gajski & Kuhn. As diferentes camadas do processo de design de hardware serão apresentadas
produzido na seção 8.. Está ligado ao importante conceito de raiz de confiança e associado
modelos de ameaças no contexto da segurança de hardware. Em seguida, segue a seção 8. sobre medição
e avaliar a segurança do hardware. As próximas seções reduzem gradualmente o nível de abstração.
Seção 8. descreve plataformas seguras, ou seja, um sistema completo ou system-on-chip confiável
base de computação. A próxima seção 8. cobre o suporte de hardware para segurança de software: o que
características que um processador programável deve incluir para oferecer suporte à segurança do software. Esta seção é
intimamente relacionado à Área de Conhecimento de Segurança de Software (Capítulo ). Registrar nível de transferência
é o próximo nível de abstração abaixo, abordado na seção 8.. O foco neste nível é normalmente o
implementação eficiente e segura de algoritmos criptográficos para que possam ser mapeados
em ASIC ou FPGA. Esta seção está intimamente relacionada à Área de Conhecimento de Criptografia (Cap-
ter ). Todas as implementações também precisam de proteção contra ataques físicos, o mais importante
contra ataques de canal lateral e de falha. Ataques físicos e contramedidas são descritos
na seção 8.6. Seção 8. descreve as fontes de entropia no nível de abstração mais baixo, fechar
para a tecnologia CMOS . Inclui o projeto de geradores de números aleatórios e fisicamente
funções não clonáveis. A última seção técnica descreve aspectos relacionados ao hardware
processo de design em si. Este capítulo termina com a conclusão e uma visão geral do hardware
segurança.
https://translate.googleusercontent.com/translate_f 486/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
portas lógicas básicas, como portas NAND, NOR ou ipops, chamadas de nível lógico. Indo um
camada de abstração para cima, no nível de transferência de registro, os portões são agrupados para formar módulos,
registradores, ALU's, etc, e seu funcionamento é sincronizado por um relógio. Esses módulos são então
composto para formar processadores, especificados por conjuntos de instruções, sobre os quais aplicativos e
algoritmos podem ser implementados.
Ao subir nas camadas de abstração, os detalhes das camadas subjacentes são ocultados. Isso reduz
complexidade de design em camadas de abstração mais altas. As camadas de abstração são representadas por
círculos concêntricos na figura 8.. Sobre esses círculos, o gráfico Y de Gajski & Kuhn apresenta
atividades de design, representadas por três eixos: um eixo comportamental, que descreve o comportamento ou o que
precisa ser implementado (também conhecido como especificações), um eixo estrutural que descreve como algo é
www.cybok.org
Sistemas
Algoritmos
Processadores
Registrar transferências
ALUs, RAM, etc.
Lógica
Gates, ipops, etc.
Corrente electrica
Transistores
Layout do transistor
Layout de célula
Layout do módulo
Planos de chão
Partições físicas
Domínio Físico
implementado e um eixo físico, como os layouts são compostos juntos no portão, módulo,
chip, nível de placa. Uma atividade de design real é uma 'caminhada' por este espaço de design. Tipicamente
começa-se com as especificações no topo do domínio comportamental. Estas especificações
(= o que) são decompostos em componentes no mesmo nível de abstração (= como) se movendo
do eixo comportamental ao eixo estrutural. Um componente estrutural em uma abstração
nível torna-se um componente comportamental em um nível abaixo.
Como um exemplo de um passeio pelo espaço de design: Suponha que um designer de hardware seja solicitado
para implementar um protocolo de segurança leve e de baixo consumo de energia para uma Internet das Coisas (IoT) de
vice. Este designer receberá apenas especificações sobre o que precisa ser projetado: uma segurança
protocolo visa fornecer confidencialidade e integridade (= o quê) e um conjunto de criptografia
algoritmos (= componentes) para suportar o protocolo. Os cripto-algoritmos são fornecidos como um
especificação comportamental para o designer de hardware, que tem a opção de implementá-la como
um coprocessador dedicado, como um programa de montagem, ou apoiá-lo com um conjunto de instruções personalizadas
ções. Dependendo dos custos e volumes, a escolha de uma tecnologia CMOS alvo ou FPGA
plataforma é feita. Este nível comportamental será traduzido em uma transferência de registro mais detalhada
descrição do nível (por exemplo, VHDL ou Verilog). No nível de transferência de registro (RTL), as decisões precisam
a ser feito se esta for uma versão paralela ou sequencial, um design dedicado ou programável,
com ou sem contra-medidas contra ataques de canal lateral e de falha, etc.
Essencial para a divisão em camadas de abstração de design, é a criação de modelos sobre como
ponentes se comportam. Por exemplo, para simular o rendimento ou consumo de energia de uma unidade aritmética,
modelos de qualidade das portas subjacentes precisam estar disponíveis. Da mesma forma, o conjunto de instruções Ar-
arquitetura é um modelo de processador disponível para o programador.
https://translate.googleusercontent.com/translate_f 487/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Por exemplo, para um desenvolvedor de aplicativos, um Módulo de plataforma confiável (TPM) ou uma identidade de assinante
Módulo (SIM) são uma raiz de confiança que o desenvolvedor usa para construir um aplicativo de segurança.
Para o designer TPM , o TPM é a composição de componentes menores que são compostos
juntos para fornecer funcionalidade de segurança. Nas camadas de abstração de hardware mais baixas, básicas
as raízes da confiança são o armazenamento seguro da chave na memória ou a qualidade do True Random
Gerador de números.
A segurança do hardware é usada como um facilitador para a segurança do software e do sistema. Por esta razão,
o hardware fornece serviços básicos de segurança, como armazenamento seguro, isolamento ou atestado.
O software ou sistema considera o hardware como a base de computação confiável. E assim
do ponto de vista de um sistema ou aplicativo, o hardware deve se comportar como um componente confiável.
No entanto, a implementação de hardware pode violar a suposição de confiança. Por exemplo, circuitos de Trojan
ou ataques de canal lateral podem vazar a chave ou outros dados confidenciais para um invasor. Portanto, difícil
o próprio ware também precisa de segurança. Além disso, o hardware precisa de segurança em todas as camadas de abstração.
Portanto, em cada camada de abstração, um modelo de ameaça e suposições de confiança associadas precisam
para ser feito. Uma definição alternativa para uma raiz de confiança no contexto da abstração de design
camadas é, portanto: “Uma raiz de confiança é um componente em uma camada de abstração inferior, sobre a qual
o sistema depende de sua segurança. Sua confiabilidade não pode ser verificada ou é verificada
em uma camada de abstração de design de hardware inferior. "
Exemplo: os protocolos de segurança assumem que a chave secreta está armazenada de forma segura e não acessa
sível para o atacante. A raiz da confiança, na qual o protocolo se baseia, é a disponibilidade de
memória segura para guardar esta chave. Para o designer do protocolo, esta memória segura é uma cor preta
caixa. O designer de hardware deve decompor este requisito para uma memória segura em um
conjunto de requisitos em uma camada de abstração inferior. Que tipo de memória será usada? Em que
ônibus a chave vai viajar? Quais outros componentes de hardware ou software têm acesso ao
armazenar? Pode haver vazamentos de canal lateral?
Exemplo: é durante esta tradução dos requisitos da camada de abstração superior do protocolo
ou desenvolvedores de aplicativos de segurança em camadas de abstração mais baixas para os designers de hardware
que ocorrem muitas vulnerabilidades de segurança. Implementações de algoritmos criptográficos usados
a serem consideradas caixas pretas para o invasor: apenas entradas / saídas no nível do algoritmo são
disponível para montar ataques de criptanálise principalmente matemáticos. No entanto, com a aparência
ance de ataques de canal lateral (consulte a seção 8.6) essa suposição de caixa preta não é mais válida.
Levando em consideração o vazamento de canal lateral, o invasor tem as informações de nível de algoritmo
www.cybok.org
Neste capítulo, propomos organizar os diferentes tópicos de segurança de hardware, seus associados
modelos de ameaças atenuados e raiz de confiança de acordo com as camadas de abstração de design de hardware, como
não há nenhum outro corpo geral conhecido de conhecimento disponível para organizar os tópicos. Este ou-
ganização tem a vantagem de poder ser usada para identificar o estado da arte em diferentes
subtópicos de segurança de hardware. Por exemplo, no contexto específico de implementação de hardware
mentações de algoritmos criptográficos, o estado da arte é bem avançado e robusto
existem contramedidas para proteger as implementações criptográficas contra uma ampla gama de
ataques de canal lateral, conforme mostrado em detalhes na seção 8.. No entanto, no contexto do processo geral
segurança, por exemplo, para isolar dados relacionados ao processo ou para fornecer execução segura, nova segurança
perigos continuam a ser descobertos regularmente.
Este exercício é repetido para cada camada de abstração e descrito em detalhes em cada um dos
seções seguintes.
www.cybok.org
Nível de abstração Raiz de confiança - Estrutural (como) - Ameaças de exemplo Projeto HW típico
funcionalidade exemplos Atividades
Transferência de registro Criptografia específica Blocos de construção, Canal Lateral Síntese lógica
Ataque,
Tabela 8.: Camadas de abstração de design vinculadas a modelos de ameaças, raiz de confiança e atividades de design
https://translate.googleusercontent.com/translate_f 489/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uma funcionalidade limitada. Eles são normalmente desenvolvidos como coprocessadores em sistemas maiores
lasca. Exemplos típicos são coprocessadores para oferecer suporte à chave pública ou criptografia de chave secreta
algoritmos. O tempo no nível do processador é normalmente medido em ciclos de instrução.
Processadores de uso geral e de domínio específico são compostos em conjunto a partir de computadores
unidades operacionais, multiplicadores e ALU's, memória e interconexão. Esses módulos são normalmente
descrito no nível de transferência de registro: tempo constante e resistência contra canal lateral
ataques tornam-se o foco. O tempo neste nível é normalmente medido em ciclos de clock.
Multiplicadores, ALU, memórias, interconexão e infraestrutura de ônibus são criadas a partir de portões e
ip-ops no nível lógico. Neste nível de abstração de design, o foco está no vazamento através de
canais laterais, ataques elétricos, eletromagnéticos e de falha. O tempo é normalmente medido em
tempo absoluto (nsec) com base nas bibliotecas de células padrão disponíveis ou plataformas FPGA .
O projeto de fontes de entropia requer conhecimento e insights sobre o comportamento dos transis-
tores e a tecnologia subjacente de semicondutor de óxido de metal complementar (CMOS) .
design dessas primitivas de segurança de hardware é, portanto, posicionado no circuito e trans-
nível do sistor. Da mesma forma, o projeto de sensores e escudos contra adulteração física exige
uma visão da tecnologia. No nível do circuito e da tecnologia, é medido em tempo absoluto,
por exemplo, atraso nsec ou frequência de relógio GHz.
A tabela 8. não pretende ser completa. A ideia é ilustrar cada camada de abstração
com um exemplo. Nas próximas seções, os objetivos de segurança de hardware e suas ameaças associadas
os modelos serão discutidos em detalhes em relação e relevância para cada camada de abstração.
www.cybok.org
8.. FIPS -
FIPS - é um padrão NIST dos EUA usado para a avaliação de módulos criptográficos. FIPS -
define os níveis de segurança de a (sendo o mais baixo). O seguinte fornece uma descrição do
quatro níveis do ponto de vista da segurança do hardware físico. Ao lado dos requisitos físicos,
também existem funções, serviços e requisitos de autenticação (para obter mais detalhes, consulte [ ]e
outros KAs).
O nível de segurança requer apenas que um algoritmo criptográfico aprovado seja usado, por exemplo, AES ou
SHA-, mas não impõe requisitos de segurança física. Daí uma implementação de software
ção poderia atingir o nível. O nível requer um primeiro nível de evidência de violação. O nível também requer
a evidência de violação, mas no topo requer resistência à violação.
O NIST define adulteração como um ato intencional, mas não autorizado, resultando na modificação
de um sistema, componentes de sistemas, seu comportamento pretendido ou dados, [ ]
Evidência de adulteração significa que há uma prova ou testemunho de que adulterar um hardware
módulo aconteceu. Por exemplo, um selo quebrado indica que um dispositivo foi aberto. Um sensor de luz
pode observar que a tampa de um pacote de chips foi levantada.
A resistência à adulteração significa que, além das evidências de adulteração, são adicionados mecanismos de proteção
para o dispositivo. Por exemplo, por revestimento extra ou camadas densas de metal, é difícil sondar o registro principal
ters.
O nível aumenta os requisitos de modo que o módulo criptográfico possa operar em sistemas físicos
ambientes fisicamente desprotegidos. Neste contexto, os ataques físicos de canal lateral representam um
ameaça importante. Se algum desses componentes físicos depender de dados confidenciais sendo pro-
cesso, a informação vaza. Uma vez que o dispositivo está em operação normal, uma violação clássica
mecanismo de evidência não perceberá que o dispositivo está sob ataque. Veja mais adiante na seção 8.6.
https://translate.googleusercontent.com/translate_f 490/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
8.. Critérios comuns e EMVCo
“Critérios comuns para avaliação de segurança de tecnologia da informação" é um padrão internacional
para segurança de produtos de TI (ISO/ IEC 8), em resumo conhecido como Critérios Comuns (CC) CC é um
procedimento muito genérico aplicável à avaliação de segurança de produtos de TI. Várias festas
estão envolvidos neste procedimento. O cliente definirá um conjunto de especificações de segurança para
seu produto. O fabricante projetará um produto de acordo com essas especificações. A
laboratório de avaliação independente verificará se o produto atende às reivindicações feitas na segurança
requisitos. Os organismos de certificação irão emitir uma certificação de que o procedimento foi correto
seguido e que o laboratório de avaliação de fato con rmou as afirmações feitas. O conjunto de segurança
as especificações são coletadas em um assim chamado perfil de proteção.
www.cybok.org
para EAL, para projeto formalmente verificado e testado, correspondendo ao EAL de nível mais alto. CC
subdivide ainda o processo de avaliação em várias classes, onde a maioria das classes
verifique a conformidade do dispositivo em teste. A ª classe (AVA) trata da vulnerabilidade real
avaliação de capacidade de carga. É a classe mais importante do ponto de vista de segurança de hardware, pois
procura por vulnerabilidades e testes associados. Irá atribuir uma classificação sobre a dificuldade de ex-
execute o teste, chamado de identificação, e o possível benefício que um invasor pode obter com o
penetração, chamada de exploração. A dificuldade é função do tempo necessário para realizar
o ataque, a experiência do invasor de leigo a vários especialistas, quanto conhecimento
a borda do dispositivo é necessária desde informações públicas simples até fontes de hardware detalhadas
código, o número de amostras necessárias e o custo e disponibilidade de equipamentos para realizar
o ataque, etc. Um alto nível de dificuldade resultará em uma pontuação alta e um alto nível de AVA
aula. A pontuação mais alta que se pode obter é um nível AVA de, que é necessário para obter um top
Pontuação EAL .
Seu uso está bem estabelecido no campo dos smartcards e elementos seguros à medida que são usados
em aplicações de telecomunicações, nanceiras e de identidade do governo. Também é usado na área de Hardware
Módulos de segurança, Módulos de plataforma confiável e alguns mais [ ] Para certas classes de
aplicativos conjuntos mínimos de requisitos são definidos em perfis de proteção. Existe
perfis de proteção para Módulo de plataforma confiável (TPM), Javacards, passaportes biométricos, SIM
cartões, elementos de segurança, etc.
Como a certificação vem de um único órgão, existem acordos entre os países para que
as certi cações em um país são reconhecidas em outros países. Como exceção EMVCo
é uma organização privada para definir as especificações para a interoperabilidade mundial de pagamentos
transações. Tem seu próprio procedimento de certificação semelhante ao CC.
https://translate.googleusercontent.com/translate_f 491/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
8 PLATAFORMAS SEGURAS
Esta seção descreve os objetivos e o estado da arte em plataformas seguras. Neste alto nível
de abstração, o designer do sistema recebe um chip ou placa completa como computação confiável
base. Os designers do sistema assumem que a raiz confiável fornece um conjunto de criptográficas
funções, protegidas pelo hardware e software dentro do invólucro físico. Comum
para essas plataformas é que elas são peças autônomas de silício com uma política de acesso estrita. De-
dependendo da funcionalidade fornecida, a resistência à violação de hardware e os níveis de proteção,
e a interface de comunicação, essas plataformas seguras são usadas em diferentes aplicativos
campos (automotivo, nanceiro, telecomunicações). Três plataformas importantes são a Segurança de Hardware
Módulo (HSM), o Módulo de Identificação de Assinante ou SIM e o Módulo de Plataforma Confiável
(TPM) Estes são brevemente descritos a seguir.
Um HSM é usado como um co-processador, conectado a um sistema host. Sua arquitetura tipicamente
inclui um microprocessador / microcontrolador, um conjunto de cripto co-processadores, volátil seguro e
memória não volátil, TRNG, relógio em tempo real e E / S. As operações ocorrem normalmente dentro de um
invólucro inviolável. Nas gerações anteriores, dentro do invólucro, vários componentes re-
lado em uma placa.
Recentemente, em alguns domínios de aplicação, como automotivo, a funcionalidade HSM não é mais
fornecido como um módulo autônomo, mas agora está integrado como um co-processador seguro em um maior
Sistema em um Chip (SoC) Na verdade, a lei de Moore permite maior integração em um SoC. o que
exatamente o que está coberto pela funcionalidade do HSM depende do domínio do aplicativo. Portanto,
a conformidade com os níveis de segurança também é avaliada por laboratórios de avaliação independentes especializados
de acordo com perfis de proteção específicos.
www.cybok.org
chamados de 'processadores específicos de domínio'. Existem perfis de proteção específicos, dependendo da aplicação
domínio de cação: nanceiro, automotivo, TV paga, etc.
https://translate.googleusercontent.com/translate_f 492/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uma conexão sem fio NFC . Construir um elemento seguro é um desafio para um hardware de de-
signatário, uma vez que é necessário combinar a segurança com os requisitos de não segurança de cir-
cuits: fator de forma pequeno (sem memória externa), baixo consumo de energia e / ou baixo consumo de energia em
combinação com resistência à violação e resistência contra ataques físicos, como
ataques de canal e falha (consulte a seção 8.6)
O TPM é implementado como um módulo de segurança separado, bem como um elemento seguro, mas com
uma interface de barramento específica para uma plataforma de PC, por exemplo, por meio da interface de barramento LPC ou IC . Seu arqui-
tecture consiste no mínimo em um microcontrolador embutido, vários coprocessadores criptográficos,
armazenamento seguro volátil e não volátil para chaves raiz e um número aleatório verdadeiro de alta qualidade
gerador. Inclui motores de hardware para funções hash (SHA e SHA 6), chave pública
(RSA e ECC), chave secreta (AES) e cálculos HMAC . Uma vez que um TPM é um módulo separado,
a proteção física e a resistência à violação são essenciais para a segurança. Próximo ao seu escopo principal de
proteção de integridade, o TPM também tem aplicativos em criptografia de disco, gerenciamento de direitos digitais,
etc.
O TPM mais recente. versão amplia o escopo do aplicativo de PC orientado para também
suporte a rede, incorporado, automotivo, IoT, e assim por diante. Ele também fornece uma
abordagem possível na funcionalidade incluída. Quatro tipos de TPM são identificados: o dedicado
Circuito integrado 'elemento discreto' TPM fornece o mais alto nível de segurança. Um passo abaixo
no nível de proteção é o ' TPM integrado'como um módulo IP em um SoC maior. Os níveis mais baixos
de proteção são fornecidos pelo rmware e software TPM.
A adoção de TPMs evoluiu de forma diferente do que era originalmente o foco do TCG.
Originalmente, o foco principal era o suporte de uma inicialização segura e o software associado
pilha, para que uma medição completa do software instalado possa ser feita. O problema
é que a complexidade desta base de software completa cresce muito rapidamente, tornando-se muito difícil
para medir completamente todas as variações nas configurações válidas. Assim, os TPMs são menos usados para
proteger uma pilha de software completa até as camadas superiores de software. Ainda a maioria dos novos PCs
agora têm TPMs, mas eles são usados para proteger as chaves de criptografia, evitar reversão de rmware,
e auxiliar no processo de boot em geral.
Os objetivos de segurança mais importantes neste nível de abstração de design são apoiar a proteção
ção, isolamento e atestado para o software em execução em uma plataforma de processador [ 8], [ ],
[ ]
• Proteção: "Um conjunto de mecanismos para garantir que vários processos compartilhando o pro-
processador, memória ou dispositivos de E / S não podem interferir, intencionalmente ou não, com
https://translate.googleusercontent.com/translate_f 493/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uns aos outros lendo ou escrevendo os dados uns dos outros. Esses mecanismos também isolam
o sistema operacional do processo do usuário "[ 8] Em uma arquitetura de computador tradicional
tura, geralmente o kernel do sistema operacional faz parte da Trusted Computing Base (TCB), mas o resto de
o software não.
• Com o isolamento, um mecanismo de hardware é adicionado para controlar o acesso a peças de software
ware e dados associados. O isolamento separa duas partes: um módulo de software pode
precisa de proteção do software circundante é um caso. Portanto, um modelo protegido Ar-
arquitetura (PMA) fornece uma garantia de hardware de que um pedaço de software funciona incorretamente
derivado de influências externas indesejadas. O caso oposto, se quisermos limitar o
efeitos de software possivelmente contaminado em seu ambiente, ele será colocado em sandbox ou colocado
em um 'compartimento'. As arquiteturas de módulo protegido são uma solução apenas de hardware: o
OS não faz parte do TCB. Mais detalhes são descritos na seção 8..
www.cybok.org
ção, o suporte de hardware pode ser limitado apenas ao suporte de nível de máquina. Proteção de memória
pode ser adicionado como um módulo de hardware opcional ao processador.
Outros objetivos de segurança mais avançados para oferecer suporte à segurança de software podem incluir:
• A proteção de memória refere-se à proteção de dados quando eles viajam entre os processos
unidade sor e a memória on-chip ou off-chip. Ele protege contra espionagem de ônibus ou
ataques de canal ou ataques de injeção de falha mais ativos.
• O controle de integridade é um mecanismo de segurança para evitar que ataques de malware sejam redirecionados
o fluxo de execução de um programa. No hardware, o fluxo de controle do programa é
comparado no tempo de execução com o fluxo de controle esperado do programa.
• A análise do fluxo de informações é um mecanismo de segurança para acompanhar o fluxo de dados confidenciais
enquanto viaja através dos diferentes componentes do processador, da memória para o cache
vários barramentos em arquivos de registro e unidades de processamento e vice-versa. Isso é importante em
o contexto de ataques de canal lateral físico e micro-arquitetônico.
Como uma observação lateral: um grande corpo de conhecimento sobre abordagens apenas de software está disponível na literatura
ature. Principalmente, eles oferecem um nível mais fraco de segurança, pois não estão enraizados em uma raiz de hardware
de confiança. Por exemplo, para controle de integridade de fluxo, abordagens apenas de software podem instruir o software
código para verificar ramificações ou saltos, enquanto o suporte de hardware pode calcular MACs no y
e compare-os com os MACs associados armazenados.
https://translate.googleusercontent.com/translate_f 494/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
TEE foi originalmente uma iniciativa da Global Platform, um consórcio de empresas, para padronizar
ize uma parte do processador como uma parte segura e confiável. TEE desde então evoluiu e cobre em
geral, as modificações de hardware feitas aos processadores para fornecer isolamento e atestado
para aplicativos de software. Existe um grande corpo de conhecimento tanto do lado industrial quanto
bem como do lado acadêmico.
TEE é um conceito que fornece uma área segura do processador principal “para fornecer ponta a ponta
segurança, protegendo a execução de código autenticado, confidencialidade, autenticidade, pri-
vacy, integridade do sistema e direitos de acesso aos dados ”[ ] É importante que o TEE seja isolado
do chamado Rich Execution Environment (REE), que inclui o sistema operacional não confiável. O
o raciocínio por trás dessa divisão é que é impossível garantir uma execução segura e evitar
malware no mundo normal devido à complexidade do sistema operacional e todos os outros aplicativos executados-
ning lá. Os ricos recursos são acessíveis a partir do TEE, enquanto o oposto não é possível.
A Plataforma Global não especifica as especificações de como essas propriedades de segurança devem ser
implementado. Três opções principais de hardware são sugeridas. A opção assume que cada pro
www.cybok.org
componente do processador no IC pode ser dividido em uma parte confiável e uma parte rica, ou seja, o núcleo do processador,
os aceleradores de criptografia, a memória volátil e não volátil são todos divididos. Opção assume
que haja uma área separada de coprocessador seguro no SoC com um hardware bem de nido
interface com o resto do SoC. A opção pressupõe um coprocessador seguro fora do chip dedicado,
muito parecido com um elemento seguro.
A Plataforma Global também define um perfil de proteção baseado em Critérios Comuns (consulte a seção 8..)
para o TEE. Ele assume que o pacote do circuito integrado é uma caixa preta [ ] e assim
o armazenamento seguro é assumido pelo fato de que o ativo seguro permanece dentro do SoC. Segue-se
os procedimentos do pacote de garantia de critérios comuns EAL com alguns recursos extras. Isto
presta atenção extra à avaliação do gerador de números aleatórios e ao conceito de
tempo crescente monotônico.
A divisão aplicada pelo ARM Trustzone é, no entanto, uma divisão binária. Aplicativos de diferentes locais
dors podem coexistir no mundo seguro e, portanto, se um componente confiável violar o
segurança do sistema, a segurança não pode mais ser garantida. Para resolver este problema, protegido
arquiteturas de módulo são introduzidas.
Ambientes de execução confiáveis também estão sendo criados no contexto de código aberto, mais especificamente
icamente no contexto da arquitetura RISC-V.
https://translate.googleusercontent.com/translate_f 495/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Ainda mais avançadas são as soluções com uma base de software zero confiável: apenas o hardware é
confiável. É o caso do projeto Sancus [ ] Ele implementa um contador de programa baseado
sistema de controle de acesso à memória. Hardware extra é fornecido para comparar o programa atual
contador com limites armazenados do módulo protegido. O acesso aos dados só é possível se
o contador do programa está na faixa correta da seção de código. Progresso do programa em
a seção de código também é controlada pelo hardware para que a entrada, o progresso e a saída corretos
do módulo pode ser garantido.
Extensão de proteção de software da Intel (SGX) também são um mecanismo de proteção em pequena granularidade.
Módulos de software de um aplicativo são colocados em enclaves de memória. Enclaves são de nidos em
o espaço de endereço de um processo, mas o acesso aos enclaves é restrito. Enclaves são criados, ini-
tializado e liberado por software de sistema possivelmente não confiável, mas operando no enclave pode
ser feito apenas pelo software do aplicativo. Minimizando o hardware extra para suportar SGX, e
especialmente evitar a degradação do desempenho é uma meta importante. Os detalhes do difícil
a microarquitetura de ware não foi divulgada: ainda assim, suas partes mais importantes são uma memória
unidade de criptografia, uma série de verificações de acesso à memória forçadas por hardware e memória segura
registros de intervalo [ ]
Para se proteger contra ataques de software específicos, mais contramedidas individuais de hardware
foram introduzidos. Um exemplo é uma pilha de sombra de hardware: para evitar sobrecarga de buffer
ataques e para proteger a integridade do controle, os endereços de retorno são colocados na pilha e
a pilha de sombra. Quando uma função carrega um endereço de retorno, o hardware irá comparar o
endereço de retorno da pilha para a pilha de sombra. Eles devem concordar para um correto
Retorna.
Outro exemplo é a proteção de endereços de salto e retorno para evitar sobrecarga de buffer em
tachas e outros abusos de ponteiros. Uma opção simples, mas restritiva, é usar memória somente leitura,
que fixa o ponteiro. Uma nova técnica recente é o uso de autenticação de ponteiro. O au
www.cybok.org
O código de autenticação depende de primitivas criptográficas. Um desafio para esses algoritmos é que
eles devem criar a tag de autenticação com latência muito baixa para entrar no caminho crítico de um
microprocessador. As arquiteturas ARMV8-A usam, portanto, uma criptografia de baixa latência dedicada
algoritmo Qarma [ 6] Nesta abordagem, os bits não utilizados em um ponteiro de 6 bits são usados para armazenar
https://translate.googleusercontent.com/translate_f 496/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
uma etiqueta. Esta tag é calculada com base em uma chave e no estado do programa, ou seja, endereço atual
e função. Essas marcas são calculadas e verificadas no y.
Técnica geral de software da área de distribuição de espaço de endereço ou canários de pilha: seu
o objetivo é dificultar a previsão do endereço de destino do salto. Uma descrição detalhada
pode ser encontrado na Área de Conhecimento de Segurança de Software (Capítulo ) .
Uma arquitetura de hardware é normalmente descrita em uma linguagem de descrição de hardware, como
como Verilog de VHDL. A partir desta descrição, as duas plataformas de hardware mais importantes
os formulários disponíveis para um designer de hardware são ASIC e FPGA. Um aplicativo específico interno
circuito ralado (ASIC) é um circuito dedicado fabricado em silício. Depois de fabricado (cozido),
não pode mais ser modi cado. Um Field Programmable Gate Array (FPGA) é um tipo especial de
dispositivo programável: consiste em matrizes regulares de células de bits, que podem ser programadas por
meio de um fluxo de bits. Este bitstream especial programa cada célula para uma função específica, por exemplo, um
adição de um bit, um registrador, um multiplexador e assim por diante. Ao alterar o fluxo de bits, a função
alidade das mudanças FPGA . Do ponto de vista do Nível de Transferência de Registro (RTL) o real
processo de design para FPGA ou ASIC não difere muito. Opções de design semelhantes são
disponíveis: o designer pode decidir ir para arquiteturas seriais ou paralelas, fazendo uso de
www.cybok.org
vários truques de design para combinar o design com os requisitos. Os truques mais conhecidos são
usar pipelining para aumentar a capacidade ou desenrolar para reduzir a latência, multiplexação de tempo para
reduzir área, etc.
Do ponto de vista da implementação, neste nível de abstração de transferência de registro, um grande corpo de
conhecimento e um grande conjunto de automação de design eletrônico (EDA) existem ferramentas para mapear um aplicativo
cátion em uma plataforma FPGA ou ASIC [ ] Os resultados da implementação devem ser comparados, não
apenas no número de operações, mas também nos requisitos de memória (memória do programa e
memória de dados), requisitos de rendimento e latência, requisitos de energia e potência, banda
requisitos de largura e a facilidade com que as contra-medidas de ataque de canal lateral e falha
pode ser adicionado. Observe que este grande corpo de conhecimento existe para implementações que
foco na eficiência. No entanto, ao combinar eficiência com requisitos de segurança, como
execução em tempo constante ou outras contramedidas, há uma grande falta de suporte para EDA
ferramentas (ver seção 8.8)
https://translate.googleusercontent.com/translate_f 497/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
detalhes dos próprios algoritmos criptográficos são discutidos em Cryptography Knowl-
Área de borda (Capítulo ) Aqui, apenas observações relacionadas à implementação RTL são feitas. Dentro
esta seção apenas notas específicas para as implementações de hardware são feitas.
• Algoritmos de chave secreta: tanto as cifras de bloco quanto as cifras de fluxo resultam geralmente em compactação
e implementações rápidas. As cifras Feistel são escolhidas para projetos com áreas muito restritas
pois o hardware de criptografia e descriptografia é o mesmo. Este não é, por exemplo, o caso para o
Algoritmo AES para o qual a criptografia e a descriptografia requerem unidades diferentes.
• Chave secreta: algoritmos leves. Para dispositivos incorporados, ao longo dos anos, muitos
algoritmos de peso foram desenvolvidos e implementados, por exemplo, Present, Prince, Rect-
ângulo, cifra Simon ou Speck. O foco nesses casos é principalmente no custo da área. Contudo,
recentemente, o peso leve foi estendido para incluir também baixa potência, baixa energia e es-
especialmente baixa latência. A latência é definida como a diferença de tempo entre a entrada de texto simples
e a saída criptografada correspondente ou MAC. Ter uma latência curta é importante na vida real
sistemas de controle de tempo, automotivo, IoT industrial, mas também em criptografia de memória, controle
aplicativos de integridade, etc. Mais conhecimento virá da recente ligação do NIST em
criptografia leve [ ]
• Chave secreta: as cifras de bloco por si só não são diretamente aplicáveis em aplicativos de segurança
cátion. Eles precisam ser combinados com modos de operação para fornecer confidencialidade
ou integridade, etc. (consulte a Área de Conhecimento de Criptografia (Capítulo )). Neste contexto
implementações eficientes de esquemas de criptografia autenticados são necessárias: isto é
o tema da competição CAESAR [ 8] Do ponto de vista da implementação, o
natureza sequencial dos esquemas de criptografia autenticados torna muito difícil
obter altas taxas de transferência, pois o pipelining não pode ser aplicado diretamente.
• Os algoritmos de hash requerem normalmente uma área muito maior em comparação com os algoritmos de chave secreta.
Especialmente o algoritmo SHA e suas diferentes versões são grandes em área e lentos em
execução. Portanto, algoritmos hash leves são um tópico de pesquisa ativa.
www.cybok.org
• Algoritmos resistentes a ataques de computadores quânticos, também conhecidos como algoritmo seguro pós-quântico
ritmos, são os algoritmos de próxima geração que requerem implementação em CMOS existentes
Tecnologia ASIC e FPGA . Gargalos computacionais são as grandes estruturas multiplicadoras
características, com / sem a Transformação Teórica Numérica, os grandes requisitos de memória
e os requisitos de números aleatórios que seguem distribuições específicas. Atualmente,
O NIST está realizando uma competição sobre criptografia pós-quântica [ ] Portanto, é esperado
que depois que os algoritmos forem decididos, as implementações em hardware seguirão.
https://translate.googleusercontent.com/translate_f 498/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
IoT.
8,6. Ataques
No estado atual do conhecimento, os algoritmos criptográficos tornaram-se muito seguros contra
ataques matemáticos e criptanalíticos: este é certamente o caso de algoritmos que são
padronizados ou que receberam uma revisão extensa na literatura de pesquisa aberta. Cur-
Atualmente, o elo mais fraco é principalmente a implementação de algoritmos em hardware e software.
Vazamento de informações da implementação de hardware por meio de ataques de canal lateral e de falha.
É feita uma distinção entre ataques passivos ou de canal lateral e ataques ativos ou de falha.
Uma segunda distinção pode ser feita com base na distância do invasor ao dispositivo: em-
as tacadas podem ocorrer remotamente, perto do dispositivo, ainda não invasivas a ataques invasivos reais.
Mais detalhes sobre várias classes de ataques estão abaixo.
Ataques passivos de canal lateral Ataques gerais de canal lateral são observações passivas de um
plataforma de computação. Por meio de variações dependentes de dados de tempo de execução, consumo de energia
ção ou radiação eletromagnética do dispositivo, o invasor pode deduzir informações secretas
internals. Variações de tempo de execução, consumo de energia ou radiações eletromagnéticas
www.cybok.org
são normalmente captados nas proximidades do dispositivo, enquanto ele é operado em condições normais
dições. É importante observar que a operação normal do dispositivo não é perturbada. Desse modo
o dispositivo não está ciente de que está sendo atacado, o que torna esse ataque bastante poderoso [ ]
Ataques de canal lateral com base em variações no consumo de energia têm sido extensivamente estudados
Ied. Eles são executados perto do dispositivo com acesso à fonte de alimentação ou aos pinos de alimentação.
Faz-se uma distinção entre Análise de Potência Simples (SPA), Diferencial e Ordem Superior
Análise de potência (DPA) e ataques de modelo. No SPA, a ideia é primeiro estudar o alvo para
recursos que dependem da chave. Por exemplo, um alvo típico em tempo e ataques de poder são se-então-
senão ramificações que dependem de bits de chave. Em implementações de algoritmos de chave pública, como
como RSA ou ECC, o algoritmo é executado sequencialmente por todos os bits-chave. Quando o if-branch leva
mais ou menos tempo de computação do que o outro ramo, isso pode ser observado de fora do
lasca. Ataques SPA não estão limitados a algoritmos de chave pública, eles também foram aplicados a
algoritmos de chave secreta ou algoritmos para gerar números primos (caso precisem permanecer
segredo). Portanto, com o conhecimento do funcionamento interno do dispositivo, o SPA requer apenas a coleta
um ou alguns traços para análise.
Com DPA, o invasor coleta vários traços, variando de algumas dezenas para imagens desprotegidas
para milhões no caso de implementações de hardware protegidas. Nesta situação,
o invasor explora o fato de que o consumo instantâneo de energia depende do
dados que são processados. A mesma operação, dependendo da mesma subchave desconhecida,
resultar em diferentes perfis de consumo de energia se os dados forem diferentes. O atacante também
construiu um modelo estatístico do dispositivo para estimar o consumo de energia em função de
os dados e os diferentes valores da subchave. A análise estatística desses traços com base em
análise de correlação, informações mútuas e outros testes estatísticos são aplicados para correlacionar
os valores medidos para o modelo estatístico.
Ataques de canal lateral baseados em radiações eletromagnéticas foram reconhecidos desde o início
no contexto de comunicação militar e equipamento de rádio. Como reação, a OTAN e o
governos de muitos países emitiram TEMPEST [ ] Consiste em especificações sobre
a proteção do equipamento contra radiação eletromagnética não intencional, mas também contra
vazamento de informações por meio de vibrações ou som. Ataques de radiação eletromagnética podem
ser montado à distância, como explicado acima, mas também próximo ao integrado
o circuito. A sondagem eletromagnética no topo de um circuito integrado pode liberar muito localizada
informações de partes específicas de um IC usando um D stepper e ne sondas eletromagnéticas.
Assim, a avaliação eletromagnética tem a possibilidade de fornecer vazamento mais preciso
informações comparadas às medições de potência.
Ataques de temporização são outra subclasse de ataques de canal lateral [ ] Quando o tempo de execução
de um cálculo criptográfico ou de um programa que lida com dados confidenciais, varia em função de
os dados confidenciais, então essa diferença de tempo pode ser detectada pelo invasor. Um ataque de cronometragem
pode ser tão simples quanto um tempo de execução diferente dependente de chave de um if-branch versus um else-
ramificar em uma máquina de estado nito. Ataques de cache, que abusam da diferença de tempo entre um
acerto de cache e falha de cache são uma classe importante de ataques de temporização [ ], [ 6],.
Com um ataque de modelo, o invasor primeiro criará uma cópia ou modelo do dispositivo de destino
[ ] Este modelo é usado para estudar o comportamento do dispositivo para todos ou um grande conjunto de entradas
e valores de dados secretos. Uma ou algumas amostras do dispositivo alvo são então comparadas com o
https://translate.googleusercontent.com/translate_f 499/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
modelos no banco de dados para deduzir informações secretas do dispositivo. Ataques de modelo
são normalmente usados quando o dispositivo original tem contramedidas contra várias execuções.
Por exemplo, pode haver um contador interno para registrar o número de tentativas malsucedidas. Os modelos podem ser
feito com base em tempo, energia ou informações eletromagnéticas. Como aprendizado de máquina e IA
www.cybok.org
as técnicas se tornam mais poderosas, assim como a possibilidade de ataque com ataques de modelo.
Microarquitetura de canais laterais As arquiteturas de processador são muito vulneráveis a temporização em
tachas. O problema do vazamento de informações e a dificuldade de confinamento entre os programas
já foi identi cado no início de [ 8] Variações de tempo posteriores em acertos e erros do cache
tornou-se uma classe importante de ataques temporais [ ] Recentemente, ganhando muita atenção estão
os ataques de canal lateral de microarquitetura, como Specter, Meltdown, Foreshadow. Eles
também se baseiam na observação das diferenças de tempo [ ][ ] A força do
ataques reside no fato de que eles podem ser montados remotamente a partir do software. Processo moderno
sors incluem várias técnicas de otimização para impulsionar o desempenho não apenas com caches,
mas também execução especulativa, execução fora de ordem, preditores de ramificação, etc. Quando múltiplos
processos executados na mesma plataforma de hardware, virtualização e outras técnicas de software
isola os dados das diferentes partes em locais de memória separados. No entanto, através do
execução de ordem ou execução especulativa (ou muitas outras variantes) o hardware do pro
cessador irá acessar locais de memória não destinados ao processo por meio dos chamados
instruções transitórias. Essas instruções são executadas, mas nunca confirmadas. Eles têm como-
já tocou em locais de memória, o que pode criar efeitos de canal lateral, como variações
em tempo de acesso e, portanto, vazamento de informações.
Ataques de falha ativos Ataques de falha são manipulações ativas de plataformas de computação de hardware
[ ] O resultado é que o próprio cálculo ou o fluxo de controle do programa é perturbado.
Com defeito ou nenhuma saída é liberada. Mesmo que nenhuma saída seja liberada ou o dispositivo se reinicie,
esta decisão pode vazar informações confidenciais. Um exemplo famoso é publicado em [ ]:
ele descreve uma implementação de assinatura RSA que faz uso do remanescente chinês
Teorema (CRT) Com uma assinatura de resultado defeituosa e outra correta, e alguns cálculos matemáticos simples
cálculos matemáticos, a chave de assinatura secreta pode ser derivada. Ataques de falha física podem ser um
falha de relógio simples, falha de energia, aquecimento ou resfriamento de um dispositivo. Estes requerem
próximos ao dispositivo, mas não invasivos.
Com o dimensionamento das memórias, mais superfícies de ataque aparecem. Um ataque muito específico à DRAM
memórias, é o ataque RowHammer [ 6, ] Repetindo a leitura de locais específicos
na memória DRAM , os locais vizinhos perderão seus valores. Assim, martelando certas
locais, os bits ips ocorrerão em locais próximos.
Com equipamentos mais caros, e com abertura da tampa do circuito integrado ou gravura
com o silício desativado, informações ainda mais detalhadas do circuito podem ser obtidas. Equipamento
que foi usado inclui falha óptica [ ], ataques de laser [ ] , Feixe de íons focalizado (FIB),
um microscópio eletrônico de varredura (SEM) e outro. Os últimos são normalmente equipamentos que têm
foi projetado para confiabilidade do chip e análise de falha. Este equipamento também pode ser usado ou
mal utilizado para engenharia reversa.
8,6. Contramedidas
Não há contramedidas genéricas que resistam a todas as classes de ataques de canal lateral. De-
pendente no modelo de ameaça (acesso remoto / local, passivo / ativo, etc.) e as suposições
feito na base de computação confiável (ou seja, o que é e o que não está incluído na raiz de confiança),
contramedidas foram propostas em vários níveis de abstração. O mais importante
as categorias estão resumidas abaixo.
Para resistir a ataques de temporização, o primeiro objetivo é fornecer hardware que execute o aplicativo
cátion ou programa em tempo constante independente de entradas secretas, chaves e estado interno. De-
dependendo da granularidade de tempo do equipamento de medição do invasor, tempo constante
www.cybok.org
as contramedidas também precisam ser mais refinadas. No nível de arquitetura do processador, con
https://translate.googleusercontent.com/translate_f 500/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tempo constante
um número significa
constante um número
de ciclos constante
de clock. deda
No nível instruções. Nocircuito,
lógica e do nível RTL , tempo
o tempo constante
constante significa
significa uma constante
profundidade lógica ou caminho crítico independente dos dados de entrada. No nível de instrução, tempo constante
pode ser obtido balanceando os caminhos de execução e adicionando instruções fictícias. Compartilhamento de
recursos, por exemplo, através de caches, tornam as implementações em tempo constante extremamente difíceis de
obtivermos.
No nível RTL , precisamos ter certeza de que todas as instruções rodam no mesmo número de clock
ciclos. operações fictícias ou portas fictícias, dependendo do nível de granularidade. Fornecendo
nível de RTL em tempo constante e descrições de nível de porta são, no entanto, um desafio como ferramentas de design,
ambos os compiladores de hardware e software, irão, por razões de desempenho, sintetizar o
operações fictícias ou lógica que foram adicionadas para equilibrar os cálculos.
Como muitos ataques de canal lateral dependem de um grande número de observações ou amostras,
sação é uma contramedida popular. É usado para proteger contra energia eletromagnética
e ataques de canal lateral de cronometragem. A randomização é uma técnica que pode ser aplicada no algoritmo
nível de ritmo: é especialmente popular para algoritmos de chave pública, que aplicam técnicas como
como cegueira escalar ou cegueira de mensagem [ ] Randomização aplicada na transferência de registro
e o nível do portão é chamado de mascaramento. Os esquemas de mascaramento randomizam os valores intermediários no
cálculos para que seu consumo de energia não possa mais ser vinculado ao sistema interno
cretas. Um grande conjunto de documentos sobre esquemas de mascaramento de nível de portão está disponível, variando de simples
Mascaramento booleano para implementar implementações que são comprovadas como seguras sob certos vazamentos
modelos de idade [ 6] A randomização tem sido eficaz na prática, especialmente como uma chave pública
medida de proteção de implementação. A proteção de algoritmos de chave secreta por mascaramento é
mais desafios. Alguns esquemas de mascaramento requerem uma grande quantidade de números aleatórios, outros
ers assumem modelos de vazamento que nem sempre correspondem à realidade. Neste contexto, romance
técnicas criptográficas resumidas sob o rótulo de criptografia resiliente de vazamento, são de-
veloped que são inerentemente resistentes contra ataques de canal lateral [ , 8] Nesta fase,
ainda há uma lacuna entre a teoria e a prática.
Às vezes, as soluções para vazamento em um nível de abstração, por exemplo, canais de energia, podem ser
abordado em um nível de abstração diferente. Portanto, se houver o risco de uma chave de criptografia
vazamentos de um dispositivo embutido, um protocolo criptográfico que altera a chave em um suf -
suficientemente alta frequência, também evitará o vazamento de informações do canal lateral.
Processadores de uso geral, como CPUs , GPUs, e os microcontroladores não podem ser modificados
ed uma vez fabricado. Protegendo assim contra ataques micro-arquitetônicos após a fabricação
por meio de patches e atualizações de software é extremamente difícil e principalmente à custa de
desempenho reduzido [ ] As atualizações de microcódigo também são uma forma de software, ou seja, rmware
atualização e não uma atualização de hardware. A principal diferença é que a tradução do instruc-
ções para microcódigo é um segredo da empresa e, portanto, para o usuário, parece uma atualização de hardware.
Fornecer soluções genéricas para hardware programável é um desafio, pois é desconhecido antes -
mão qual aplicativo será executado. As soluções para este problema serão um esforço combinado entre
técnicas de hardware e software.
www.cybok.org
A proteção contra ataques de falha é feita no nível de transferência de registro, bem como no circuito
nível. Na RTL, a proteção contra ataques de falha é principalmente baseada na redundância, seja no espaço ou
no tempo e adicionando verificações com base na codificação, como verificações de paridade. O preço é caro
pois os cálculos são executados várias vezes. Um problema em adicionar redundância é que
aumenta a superfície de ataque dos canais laterais. Na verdade, devido aos cálculos redundantes, o
o atacante tem mais rastros disponíveis para executar o tempo, potência ou canal lateral eletromagnético
ataques [ ] No nível do circuito, os monitores do relógio ou da fonte de alimentação podem detectar desvios
das operações normais e disparar um alarme.
Muitos tipos de sensores de nível de circuito são adicionados aos circuitos integrados. Exemplos são sensores de luz
que detectam que a tampa de um pacote foi aberta. Sensores de malha de metal que são dispostos
em camadas de metal de nível superior podem detectar ataques de sondagem. Sensores de temperatura detectam aquecimento ou
resfriamento do circuito integrado. Sensores de antena para detectar sondas eletromagnéticas perto de
a superfície foi desenvolvida: esses sensores medem uma mudança nos campos eletromagnéticos.
E sensores que detectam manipulação da fonte de alimentação ou relógio podem ser adicionados ao dispositivo.
Observe que adicionar sensores para detectar manipulação ativa pode vazar novamente informações extras para
https://translate.googleusercontent.com/translate_f 501/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
o atacante do canal lateral.
Contramedidas conjuntas contra ataques de canal lateral e de falha são desafiadoras e ativas
área de pesquisa.
Em geral, os números aleatórios são subdivididos em duas classes principais: o Pseudo Random Num-
ber Generator (PRNG) também chamado de Gerador de bits aleatórios determinísticos (DRBG) e o verdadeiro
Gerador de números aleatórios (TRNG) ou Gerador de bits aleatórios não determinísticos (NRBG) O
design, propriedades e testes de números aleatórios são descritos em detalhes por importantes padrões
dards, emitido nos EUA pelo NIST . O NIST emitiu o NIST8 - A para aleatório determinístico
geradores de número, o NIST8 - B para fontes de entropia e NIST8 - C para bit aleatório
construções de geração [ ], [ ][ ] Na Alemanha e, por extensão, na maior parte do
Europa, o BSI alemão emitiu dois padrões importantes: o AIS- para funcionalidade
classes e critérios de avaliação para geradores de números aleatórios determinísticos e o AIS-
para geradores físicos de números aleatórios [ , , ]
Um RNG ideal deve gerar todos os números com probabilidade igual. Em segundo lugar, esses números
deve ser independente dos números anteriores ou seguintes gerados pelo RNG, chamado para a frente
e sigilo para trás. As probabilidades são verificadas com testes estatísticos. Cada padrão -
inclui um grande conjunto de testes estatísticos com o objetivo de encontrar deficiências estatísticas. Não ser capaz
prever valores futuros ou derivar valores anteriores é importante não apenas em muitos aplicativos de segurança
plicações, por exemplo, quando isso é usado para geração de chave, mas também em muitos jogos e loterias
formulários.
Geradores de números pseudo-aleatórios são algoritmos determinísticos que geram uma sequência
de bits ou números que parecem aleatórios, mas são gerados por um processo determinístico. Desde uma
PRNG é um processo determinístico, quando começa com o mesmo valor inicial, então o mesmo
sequência de números será gerada. Portanto, é essencial que o PRNG comece com um
valor de inicialização diferente cada vez que o PRNG é iniciado. Esta semente inicial pode ser gerada
compensado por um número aleatório verdadeiro lento gerado ou, no mínimo, por um valor não repetido, por exemplo
conforme fornecido por um contador crescente monotônico. Um PRNG é denominado criptograficamente seguro se
o atacante, que aprende parte da sequência, não é capaz de computar qualquer anterior ou futuro
saídas. PRNGs criptograficamente seguros contam com algoritmos criptográficos para garantir isso
sigilo para a frente e para trás. O sigilo de encaminhamento requer, além disso, uma nova propagação regular para
troduzir novo frescor no gerador. RNG híbrido tem um adicional não determinístico
entrada para o PRNG.
O núcleo de um verdadeiro gerador de números aleatórios consiste em uma fonte de entropia, que é um
fenômenos físicos com comportamento aleatório. Em circuitos eletrônicos, fontes de ruído ou entropia são
geralmente com base em ruído térmico, jitter e metaestabilidade. Essas fontes de ruído nunca são per-
efeito: os bits que eles geram podem mostrar parcialidade ou correlação ou outras variações. Daí eles
https://translate.googleusercontent.com/translate_f 502/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
não tem entropia total. Portanto, eles são normalmente seguidos por extratores de entropia ou con
dicionadores. Esses blocos de construção melhoram a entropia por bit de saída. Mas como a entropia
extrator são processos determinísticos, eles não podem aumentar a entropia total. Então, a saída
comprimento será menor que o comprimento de entrada.
Devido às condições ambientais, por exemplo, devido a variações de temperatura ou tensão, a qualidade
dos números gerados podem variar com o tempo. Portanto, os padrões descrevem
testes que devem ser aplicados no início e continuamente durante o processo de geração
números. Pode-se distinguir três categorias principais de testes. O primeiro é o fracasso total
teste, aplicado na fonte de entropia. Os segundos são testes de saúde online para monitorar o
qualidade dos extratores de entropia. Os terceiros são testes para os bits pós-processados. O
requisitos para esses testes são bem descritos nas diferentes normas e
livros de texto [ ]
www.cybok.org
A principal aplicação de segurança para PUFs é derivar chaves específicas de dispositivos únicos, por exemplo, para uso
em um dispositivo IoT ou cartão inteligente. Tradicionalmente, este armazenamento de chaves exclusivas do dispositivo é feito em
memória não volátil, pois a chave deve permanecer no chip mesmo quando a alimentação é desligada.
A memória não volátil requer, no entanto, etapas extras de fabricação, o que torna os chips com
memória volátil custa mais do que os chips CMOS padrão regulares . Assim, PUFs são prometidos
como alternativa barata para memória não volátil segura, porque a impressão digital de silício exclusiva
está disponível sem as etapas extras de processamento. Na verdade, cada vez que a chave é necessária, ela pode
ser lido do PUF pós-processado e usado diretamente em protocolos de segurança. Eles também podem
substitua os fusíveis, que são grandes e seu estado é relativamente fácil de detectar ao microscópio.
A segunda aplicação de segurança é usar PUFs em aplicações de identificação, por exemplo, para acesso
controle ou rastreamento de mercadorias. A entrada para um PUF é chamada de desafio, a saída, a resposta.
O PUF ideal tem um número exponencial de pares únicos de resposta de desafio, exponencial em
o número de elementos do circuito. A singularidade dos PUFs é medida pela inter-distância
entre diferentes PUFs vendo o mesmo desafio. O PUF ideal tem respostas estáveis:
responde com a mesma resposta, ou seja, não há ruído nas respostas. Além disso, PUF re-
os patrocínios devem ser imprevisíveis e fisicamente impossíveis de clonar.
O PUF ideal infelizmente não existe. Na literatura, duas classes principais de PUFs são de-
ned, caracterizado pelo número de pares de desafio-resposta que podem gerar. Assim chamado
PUFs fracos são circuitos com um número nito de elementos, com cada elemento fornecendo um alto
quantidade de entropia. O número de pares possíveis de desafio-resposta cresce normalmente linear
com a área do circuito integrado. Portanto, eles são chamados de PUFs fracos. O mais conhecido
exemplo é o SRAM PUF [ 8] Esses PUFs são normalmente usados para geração de chaves. O cru
O material de saída do PUF não pode ser usado diretamente para a geração de chaves, pois as respostas do PUF são af-
afetados pelo ruído. Na verdade, as leituras subsequentes do mesmo PUF podem resultar em variações ligeiramente
com respostas barulhentas, normalmente até%. Assim, após a extração de entropia segue seguro
esboçar (semelhante à correção de erros) circuitos para eliminar o ruído e comprimir a entropia
para gerar uma chave de entropia completa [ ] O desafio para o designer de PUF é chegar a
variações de processo e circuitos que podem ser usados como material-chave, mas que não são sensíveis
para ruído transitório. Um segundo desafio é manter todos os módulos de pós-processamento compactos
para que o PUF de geração de chave possa ser incluído em dispositivos IoT incorporados .
A segunda classe são os chamados PUFs fortes. Neste caso, o número de desafios
https://translate.googleusercontent.com/translate_f 503/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pares de resposta aumentam, idealmente exponenciais, com a área de silício. O mais conhecido
exemplo é o árbitro PUF [ 6 ] Um pequeno número de elementos de silício são combinados,
por exemplo, para criar uma cadeia de multiplexadores ou comparadores, de modo que combinações simples de el-
ementos criam o grande espaço de desafio-resposta. Também neste caso, os efeitos do ruído em
os circuitos precisam ser levados em consideração. É prometido que PUFs fortes serão úteis em autenticação
aplicações de comunicação, por exemplo, para controle de acesso. Cada vez que um desafio é aplicado ao PUF, uma
www.cybok.org
uma resposta exclusiva para o chip será enviada. O verificador aceitará a resposta se puder ser
unicamente ligada ao provador. Isso requer que as respostas do PUF sejam registradas em uma forma de
um banco de dados previamente durante uma fase de inscrição.
O problema com PUFs fortes é que há uma forte correlação entre diferentes desafios
pares de resposta da maioria dos circuitos propostos na literatura. Portanto, todos esses circuitos estão quebrados
com técnicas de aprendizado de máquina [ 6 ] e não pode ser usado para fins de autenticação.
O problema fundamental é que operações muito básicas, principalmente lineares, são usadas para combinar
Elementos PUF , o que os torna alvos fáceis para ataques de aprendizado de máquina. Idealmente, estes
deve ser criptográfico ou outras operações computacionalmente difíceis resistentes ao aprendizado de máquina-
ing: infelizmente estes não podem tolerar ruído. Protocolos de segurança leves baseados em PUF são
uma área ativa de pesquisa.
Uma vez que as fundições de silicone e a fabricação de máscaras são extremamente caras, poucos países e
as empresas ainda podem pagar por isso e uma grande consolidação foi e está ocorrendo no setor.
Para infraestrutura crítica, os governos exigem mais ferramentas e técnicas para aumentar o
confiabilidade desse processo de design internacional. Neste tópico, grandes projetos de pesquisa
são definidos para apresentar métodos e ferramentas para aumentar a confiabilidade do design
e, especialmente, para avaliar o risco de inserções de cavalos de Tróia durante o processo de design.
www.cybok.org
https://translate.googleusercontent.com/translate_f 504/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Outra técnica para evitar a perda de propriedade intelectual é o bloqueio lógico [ 6 ] Com isso
técnica, portas extras são adicionadas a um circuito com uma entrada secreta. Somente quando a chave correta é
aplicado às portas secretas, o circuito executará a funcionalidade correta. Este é um ativo
tópico de pesquisa com esquemas de bloqueio lógico sendo propostos e atacados, com solucionadores SAT
sendo uma ferramenta muito útil no ataque aos circuitos.
8,8. Tempo
O conceito de tempo e o conceito de sequência de eventos são essenciais em protocolos de segurança.
O TCG identifica três tipos de sequenciamento: um contador monotônico, um contador de carrapatos e
tempo confiável [ ] Um contador monotônico sempre aumenta, mas o tempo do relógio de parede entre
dois incrementos são desconhecidos. O contador de tiques aumenta com uma frequência definida. Só aumenta
quando a energia está ligada. Ao desligar, o contador de tiques será zerado. Portanto, o contador de carrapatos é
vinculado com um nonce e métodos são previstos para vincular isso com um relógio de parede real. Confiável
o tempo é o mais seguro. Certifica-se de que há um link entre o contador de carrapatos e o
hora do relógio de parede real. Do ponto de vista do hardware, exigirá memória não volátil, contadores,
cristais, energia contínua e um gerador de clock no chip. A conexão com uma parede real
o relógio exigirá sincronização e um canal de comunicação real.
A importância do tempo é colocada em um contexto mais amplo no Conhecimento de Segurança de Sistemas Distribuídos
Área de borda (Capítulo ) .
8 CONCLUSÃO
A segurança de hardware é um tópico muito amplo, cobrindo muitos tópicos diferentes. Neste capítulo, um
a classificação é feita com base nas diferentes camadas de abstração do design. Em cada abstração
camada, o modelo de ameaça, raiz de confiança e objetivos de segurança são identificados.
Por causa do crescimento da IoT, ponta e computação em nuvem, a importância da segurança do hardware
ridade está crescendo. No entanto, em muitos casos, a segurança do hardware está em conflito com outro desempenho
otimizações, como baixa energia ou condições limitadas de operação da bateria. Nestes circun-
posições, a otimização do desempenho é a tarefa de design mais importante. No entanto, também é o mais
causa importante de vazamento de informações. Este é o caso em todas as camadas de abstração: instrução
nível, nível de arquitetura e nível lógico e de circuito.
www.cybok.org
Outra tendência é que o hardware está se tornando mais 'suave'. Esta é uma tendência importante em
arquitetura do cessor, em que a funcionalidade FPGA é adicionada às arquiteturas do processador. A diversão-
A suposição fundamental de que o hardware é imutável se perde aqui. Isso criará um novo
classe de ataques.
Um último grande desafio para a segurança de hardware é a falta de ferramentas EDA para oferecer suporte à segurança de hardware
ridade. As ferramentas EDA são feitas para otimizar o desempenho e a segurança geralmente é deixada para trás.
Um desafio adicional é que é difícil medir a segurança e, portanto, difícil equilibrar
segurança versus otimizações de área, rendimento ou energia.
https://translate.googleusercontent.com/translate_f 505/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 633
Capítulo
Sistemas Ciber-Físicos
Segurança
Alvaro Cardenas University of California Santa Cruz
https://translate.googleusercontent.com/translate_f 506/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
INTRODUÇÃO
Sistemas Ciber-Físicos (CPSs) são sistemas projetados que são construídos a partir de, e dependem de,
a integração perfeita de computação e componentes físicos. Enquanto con automático
sistemas trol como o regulador de vapor existem há vários séculos, é apenas no passado
décadas que a automação de infraestruturas físicas como a rede elétrica, sistemas de água,
ou reações químicas migraram de controles analógicos para computador integrado
controle, muitas vezes comunicando-se por meio de redes baseadas em computador. Além disso, novos avanços
em dispositivos médicos implantáveis, ou veículos autônomos autônomos estão aumentando o papel
de computadores no controle de sistemas ainda mais físicos.
Enquanto os computadores nos dão novas oportunidades e funcionalidades para interagir com o sistema físico
mundo físico, eles também podem permitir novas formas de ataques. O objetivo desta área de conhecimento
é fornecer uma visão geral do campo emergente da segurança CPS .
Em contraste com outras áreas de conhecimento dentro do CyBOK que podem rastrear as raízes de seu campo
de volta a várias décadas, o trabalho em segurança CPS é relativamente novo, e nossa comunidade
ainda não desenvolveu o mesmo consenso sobre as melhores práticas de segurança em comparação com a segurança cibernética
campos descritos em outros KAs. Portanto, neste documento, nos concentramos em fornecer uma visão geral
de tendências de pesquisa e características únicas neste campo.
CPSs são diversos e podem incluir uma variedade de tecnologias, por exemplo, controle industrial
os sistemas podem ser caracterizados por uma hierarquia de camadas de tecnologia (o modelo Purdue [ 66]).
No entanto, os problemas de segurança nas camadas superiores desta taxonomia estão mais relacionados a
problemas de segurança clássicos cobertos em outros KAs. Portanto, o escopo deste documento
concentra-se nos aspectos dos CPSs mais intimamente relacionados à detecção, controle e atuação
desses sistemas (por exemplo, as camadas inferiores do modelo Purdue).
O restante da área de conhecimento é organizado da seguinte forma. Na seção . nós fornecemos uma introdução
produção para CPSs e suas características únicas. Na seção . , discutimos crosscutting
questões de segurança em CPSs geralmente aplicáveis a vários domínios (por exemplo, a rede elétrica ou
sistemas de hicle); em particular, discutimos os esforços para prevenir, detectar e responder a
ataques. Na seção . , resumimos os desafios de segurança específicos em uma variedade de CPS
domínios, incluindo a rede elétrica, sistemas de transporte, veículos autônomos, robótica,
e dispositivos médicos implantáveis. Finalmente, na seção ., examinamos os desafios únicos
A segurança do CPS representa para reguladores e governos. Em particular, delineamos o papel do governo
incentivos para proteções de segurança para CPSs, e como a segurança do CPS se relaciona com os
segurança e condução da guerra.
CONTENTE
RISCOS
[ 6 , 68 , 6 ]
O termo Sistemas Ciber-Físicos (CPSs) surgiu há pouco mais de uma década como uma tentativa de
unificar os problemas comuns de pesquisa relacionados à aplicação de computador embarcado e
tecnologias de comunicação para a automação de sistemas físicos, incluindo aeroespacial,
automotivo, produção química, infraestrutura civil, energia, saúde, manufatura, novo
www.cybok.org
materiais e transporte. CPSs são geralmente compostos por um conjunto de agentes interligados em rede
agindo com o mundo físico; esses agentes incluem sensores, atuadores, processamento de controle
unidades e dispositivos de comunicação, conforme ilustrado na Figura ..
O termo CPSs foi cunhado em 6 por Helen Gill da National Science Foundation (NSF)
nos Estados Unidos [ 6 ] Em seu anúncio do programa, a NSF delineou seu objetivo para
considerando vários setores (como água, transporte e energia) sob uma ótica unificada:
abstraindo das particularidades de aplicações específicas nestes domínios, o objetivo do
O programa CPS é revelar princípios científicos e de engenharia fundamentais transversais que
apoiar a integração de elementos cibernéticos e físicos em todos os setores de aplicativos.
Sensores
Atuadores
s1
a1 Fisica
s2
Sistema
a2 s3
a3 s4
Rede
c1 c2 c3
Controladores Distribuídos
Logo depois que o termo CPS foi cunhado, várias comunidades de pesquisa se reuniram para delinear e
entender como a pesquisa de segurança cibernética do CPS é fundamentalmente diferente quando comparada a
segurança cibernética de TI convencional. Devido à natureza transversal dos CPSs, o fundo
de documentos de posição de segurança antecipada de 6 até o uso do termo CPSs, variou de real
sistemas de tempo [ , ], para sistemas embarcados [ , ], teoria de controle [ ], e cy-
bersecurity [ 6 , , , 6, ]
Embora a pesquisa de segurança cibernética tenha sido considerada anteriormente em outras atividades físicas -
principais - mais notavelmente no Controle de Supervisão e Aquisição de Dados (SCADA) sistemas de
a rede elétrica [ 8] —Estes esforços anteriores concentraram-se na aplicação de sistemas cibernéticos de TI bem conhecidos-
melhores práticas de segurança para sistemas de controle. O que diferencia a posição inicial de segurança do CPS
papéis foi a sua natureza transversal com foco em uma perspectiva multidisciplinar para CPS se-
segurança (indo além da segurança de TI clássica). Por exemplo, enquanto a detecção de intrusão clássica
sistemas monitoram eventos puramente cibernéticos (pacotes de rede, informações do sistema operacional, etc.),
primeiros artigos CPSs trazendo elementos da teoria de controle [6 ] sugeriu que a detecção de intrusão
sistemas para CPSs também podem monitorar a evolução física do sistema e, em seguida, verificá-lo
contra um modelo da dinâmica esperada como forma de melhorar a detecção de ataques.
CPS está relacionado a outros termos populares, incluindo a Internet das Coisas (IoT), Indústria. , ou
a Internet das Coisas Industrial, mas como apontado por Edward Lee, o termo “CPS" é mais
https://translate.googleusercontent.com/translate_f 508/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
fundamental e durável do que todos estes, porque não faz referência direta a nenhum dos im-
abordagens de implementação (por exemplo, "Internet" na IoT) nem aplicações específicas (por exemplo, "Indústria" em
Indústria. ) Em vez disso, concentra-se no problema intelectual fundamental de conjugar o en-
tradições de engenharia dos mundos cibernético e físico [ 6 ]
O restante desta seção está organizado da seguinte forma: na Seção . ., apresentamos o geral adequado
laços do CPS, então na Seção . ., discutimos como os sistemas físicos têm sido tradicionalmente
protegido de acidentes e falhas, e como essas proteções não são suficientes para proteger
o sistema contra ataques cibernéticos. Analisamos esta seção discutindo a segurança e a prioridade
desocupar riscos em CPSs, juntamente com o resumo de alguns dos ataques mais importantes do mundo real
nos sistemas de controle na Seção . ..
.. Características do CPS
CPSs incorporam vários aspectos de sistemas embarcados, sistemas em tempo real, (com e sem fio)
rede e teoria de controle.
Sistemas Embarcados: Uma das características mais gerais dos CPSs é que, porque vários
dos computadores que fazem interface direta com o mundo físico (sensores, controladores ou atuadores
tores) executam apenas algumas ações específicas, eles não precisam do poder de computação geral de
computadores clássicos - ou mesmo sistemas móveis - e, portanto, tendem a ter limitações de
origens. Alguns desses sistemas embarcados nem mesmo executam sistemas operacionais, mas sim
executado apenas em rmware , que é uma classe específica de software que fornece controle de baixo nível
do hardware do dispositivo; dispositivos sem sistemas operacionais também são conhecidos como bare metal
sistemas. Mesmo quando os sistemas embarcados têm um sistema operacional, eles geralmente executam uma
versão inferior para se concentrar nas ferramentas mínimas necessárias para a plataforma.
Sistemas em tempo real: Para sistemas críticos de segurança, o tempo em que os cálculos são realizados
formado é importante para garantir a correção do sistema [ ] Em tempo real
linguagens de gramática podem ajudar os desenvolvedores a especificar os requisitos de tempo para seus sistemas, e
Sistema operacional em tempo real (RTOS) garantir o tempo para aceitar e concluir uma tarefa de
uma aplicação [ 8 ]
Protocolos de rede: outra característica dos CPSs é que esses sistemas embarcados
comunicar uns com os outros, cada vez mais em redes compatíveis com IP. Enquanto muitos críticos
infraestruturas, como sistemas de energia, têm usado comunicações seriais para monitorar
operações em seus sistemas SCADA , foi apenas nas últimas duas décadas que a informação
a troca entre as diferentes partes do sistema migrou das comunicações seriais
para redes compatíveis com IP. Por exemplo, o protocolo de comunicação serial Modbus foi re-
alugado pela Modicon em, e protocolos seriais subsequentes com mais recursos incluídos
IEC 6 8 - - e DNP no s. Todos esses protocolos seriais foram posteriormente adaptados para
redes IP de porta no final e início de s com padrões como Modbus /TCP, e
IEC 6 8 - - [ 8 , 8]
Sem fio: embora a maioria das comunicações de longa distância sejam feitas em redes com fio,
redes sem fio também são uma característica comum dos CPSs. Comunicações sem fio para
sistemas embarcados atraíram atenção significativa da comunidade de pesquisa no início
s na forma de redes de sensores . O desafio aqui é construir redes em cima de
links sem fio de baixa potência e com perdas, onde os conceitos tradicionais de roteamento, como o “salto
distância ”para um destino não são mais aplicáveis, e outras métricas de qualidade do link são mais
confiável, por exemplo, o número esperado de vezes que um pacote deve ser enviado antes de um trans-
missão é bem-sucedida. Embora a maior parte da pesquisa sobre redes de sensores sem fio tenha sido feita
www.cybok.org
em cenários abstratos, uma das primeiras aplicações de sucesso no mundo real dessas tecnologias
gies estava em grandes sistemas de controle de processo com o advento do WirelessHART, ISA e
ZigBee [ 8 , 8 ] Essas três tecnologias de comunicação foram desenvolvidas em cima de
o IEEE 8. . padrão, cuja versão original definia tamanhos de quadros tão pequenos que eles
não conseguiu transportar o cabeçalho dos pacotes IPv6. Uma vez que sistemas embarcados conectados à Internet
deverão crescer para bilhões de dispositivos nos próximos anos, fornecedores e organizações padrão
ções veem a necessidade de criar dispositivos embutidos compatíveis com IPv6. Para poder enviar IPv6
pacotes em padrões sem fio, vários esforços tentaram adaptar o IPv6 às redes incorporadas. A maioria
notavelmente a Força-Tarefa de Engenharia da Internet (IETF) lançou o esforço 6LoWPAN, originalmente
para definir um padrão para enviar pacotes IPv6 além do IEEE 8. . redes, e mais tarde para servir
como uma camada de adaptação para outras tecnologias embarcadas. Outros esforços populares da IETF incluem
https://translate.googleusercontent.com/translate_f 509/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
o protocolo de roteamento RPL para redes de sensores IPv6 e CoAP para incorporação da camada de aplicativo
comunicações dedicadas [ 8 ] No espaço de IoT do consumidor , algumas conexões sem fio integradas populares
protocolos incluem Bluetooth, Bluetooth Low Energy (BLE), ZigBee e Z-Wave [ 86 , 8]
Controle: Finalmente, a maioria dos CPSs observa e tenta controlar variáveis no mundo físico.
Os sistemas de controle de feedback existem há mais de dois séculos, incluindo tecnologias como
o regulador de vapor, que foi introduzido em 88. A maior parte da literatura na teoria de controle em-
tenta modelar um processo físico com equações diferenciais e, em seguida, projetar um controlador
que satisfaz um conjunto de propriedades desejadas, como estabilidade e eficiência. Sistemas de controle
foram inicialmente projetados com detecção analógica e controle analógico, o que significa que a
A lógica trol foi implementada em um circuito elétrico, incluindo um painel de relés, que geralmente
controles de lógica ladder codificados . Os sistemas analógicos também permitiram a integração perfeita de
sinais de controle em um processo físico de tempo contínuo . A introdução do elétron digital
ics e o microprocessador, levou a trabalhar no controle de tempo discreto [ 88 ], como microprocessadores
e os computadores não podem controlar um sistema em tempo contínuo porque a detecção e a atuação
os sinais devem ser amostrados em intervalos de tempo discretos. Mais recentemente, o uso do computador
redes permitiram que os controladores digitais fiquem mais longe dos sensores e atuadores (por exemplo,
bombas, válvulas, etc.), e isso originou o campo dos sistemas controlados em rede [ 8 ]
Outra tentativa recente de combinar os modelos tradicionais de sistemas físicos (como diferentes
equações iniciais) e modelos computacionais (como máquinas de estado nito) são encapsulados no
campo de sistemas híbridos [ ] Os sistemas híbridos desempenharam um papel fundamental na motivação
para a criação de um programa de pesquisa CPS , pois eles eram um exemplo de como a combinação de mod-
els de computação e modelos de sistemas físicos podem gerar novas teorias que permitem
para raciocinarmos sobre as propriedades dos sistemas controlados ciberneticamente e fisicamente.
Tendo discutido essas características gerais dos CPSs, uma ressalva é que os CPSs são diversos,
e incluem veículos modernos, dispositivos médicos e sistemas industriais, todos com diferentes
padrões, requisitos, tecnologias de comunicação e restrições de tempo. Portanto, o
as características gerais que associamos aos CPSs podem não ser verdadeiras em todos os sistemas ou implementar
mentações.
Antes de discutirmos os problemas de segurança cibernética, descrevemos como os sistemas físicos operando
der sistemas de controle automático foram protegidos de acidentes e falhas naturais, e
como essas proteções contra adversários não maliciosos não são suficientes contra
atacantes (ou seja, atacantes que sabem que essas proteções estão em vigor e tentam contornar
ou abusar deles).
www.cybok.org
Organizacional
Resposta
{ Resposta de emergência da planta
}
Proteção física (diques)
Resposta:
Proteção física (dispositivos de alívio) Prevenção e
Contenção
Físico
{
Automático
Ação automática: Bloqueio de segurança
Ao controle Desligamento do sistema ou emergência
Resposta
}
Alarmes críticos, supervisão do operador,
e intervenção manual
Operador
Controles básicos, alarmes de processo, Intervenção
e supervisão do operador Alarmes e
Projeto de processo
1
SP4 5
{
2
Regulatório 3
SP7
SP8 7
SP3 SP5
https://translate.googleusercontent.com/translate_f 510/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Figura . : Camadas de proteção para ICS de segurança crítica.
Segurança: O princípio básico recomendado pela norma geral de segurança para sistemas de controle
(IEC 6 8) é obter requisitos de uma análise de perigo e risco, incluindo a probabilidade
de uma determinada falha, e a consequência da falha, e então projetar o sistema de modo que o
os requisitos de segurança são atendidos quando todas as causas de falha são levadas em consideração. Este genérico
padrão tem servido como base para muitos outros padrões em indústrias específicas, por exemplo,
a indústria de processo (re nários, sistemas químicos, etc.) usa o padrão IEC 6 para projetar
um Sistema Instrumentado de Segurança (SIS) O objetivo de um SIS é prevenir um acidente, por exemplo,
ligar uma válvula de combustível sempre que um sensor de alta pressão dispara um alarme. Uma defesa mais geral
análise de segurança aprofundada usa camadas de proteção [ ], onde os perigos são mitigados por um
conjunto de camadas a partir de () alarmes básicos de baixa prioridade enviados para uma estação de monitoramento, para () o
ativação de sistemas SIS , para () salvaguardas de mitigação, como sistemas de proteção física
(por exemplo, diques) e () protocolos de resposta organizacional para uma resposta / evacuação de emergência da planta
uação. Figura . ilustra essas camadas de proteção de segurança.
Proteção: Um conceito relacionado à segurança é o da proteção nas redes de energia elétrica. Esses
os sistemas de proteção incluem,
• Redução de carga sob frequência (UFLS): se a frequência da rede elétrica for muito baixa,
a redução de carga controlada será ativada. Esta desconexão de porções do elétrico
sistema de distribuição é feito de forma controlada, evitando interrupções na segurança
cargas críticas como hospitais. UFLS é ativado em um esforço para aumentar a frequência de
rede elétrica e evitar que os geradores sejam desconectados.
• Proteção de sobrecorrente: se a corrente em uma linha for muito alta, um relé de proteção será acionado
gerou, abrindo a linha e evitando danos ao equipamento em cada lado das linhas.
• Proteção contra sobretensão / subtensão: se a tensão de um barramento for muito baixa ou muito alta, uma tensão
o relé será acionado.
Confiabilidade: Enquanto os sistemas de segurança e proteção tentam prevenir acidentes, outras abordagens
tente manter as operações mesmo após a ocorrência de falhas no sistema. Por exemplo, o
sistema elétrico é projetado e operado para satisfazer o chamado critério de segurança N, que
significa que o sistema pode perder qualquer um de seus componentes N (como um gerador, sub-
estação, ou linha de transmissão) e continuar operando com os transientes resultantes morrendo
para resultar em uma nova condição operacional de estado estacionário satisfatória, o que significa que o confiável
o fornecimento de energia elétrica continuará.
Tolerância a falhas: uma abordagem semelhante, mas baseada em dados para detectar e prevenir falhas se enquadra
o guarda-chuva da detecção de falhas, isolamento e recon guração (FDIR) [ ] Anomalias são
detectado usando um sistema de detecção baseado em modelo ou um sistema puramente baseado em dados; esta
parte do processo também é conhecida como detecção de dados inválidos . O isolamento é o processo de identificação
qual dispositivo é a fonte da anomalia, e recon guração é o processo de recuperação
da falha, geralmente removendo o sensor com defeito (se houver redundância de sensor suficiente
no sistema).
Controle robusto: finalmente, outro conceito relacionado é o controle robusto [ ] Ofertas de controle robustas
com o problema da incerteza na operação de um sistema de controle. Essas fontes de
as condições operacionais conhecidas podem vir do ambiente (por exemplo, rajadas de vento na op-
eração de aviões), ruído do sensor, dinâmica do sistema não modelado pelos engenheiros, ou
degradação dos componentes do sistema com o tempo. Sistemas de controle robustos geralmente levam o en-
velar as condições operacionais menos favoráveis e, em seguida, projetar algoritmos de controle para que
o sistema opera com segurança, mesmo na pior das hipóteses de incerteza.
Esses mecanismos não são suficientes para fornecer segurança: Antes do CPS, a segurança era a principal
campo de fluxo, havia muita confusão sobre segurança, proteção, tolerância a falhas e
controles robustos foram suficientes para proteger os CPSs de ataques cibernéticos. No entanto, como argumentado sobre um
Uma década atrás [ ], esses sistemas de proteção geralmente pressupõem que sejam independentes e não maliciosos
falhas e, na segurança, suposições de modelo incorretas são a maneira mais fácil para o anúncio
sário para contornar qualquer proteção. Desde então, houve vários exemplos que mostram por que
esses mecanismos não fornecem segurança. Por exemplo, Liu et al. [ ] mostrou como falha-
algoritmos de detecção (detecção de dados ruins) na rede elétrica podem ser contornados por um adversário
que envia dados incorretos que são consistentes com as configurações plausíveis da rede elétrica, mas em
https://translate.googleusercontent.com/translate_f 511/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ao mesmo tempo, está errado o suficiente dos valores reais para causar problemas ao sistema. UMA
exemplo semelhante para sistemas dinâmicos (sistemas com um componente de "tempo") considerados furtivos
ataques [ ] Estes são ataques que injetam pequenos dados falsos em sensores para que a falha
sistema de detecção não os identifica como anomalias, mas, por um longo período de tempo, estes
ataques podem conduzir o sistema a condições operacionais perigosas. Da mesma forma, o N- segurança
critério na rede de energia elétrica assume que se houver uma falha, todos os equipamentos de proteção
irá reagir conforme configurado, mas um invasor pode alterar a configuração do equipamento de proteção
na rede elétrica. Nesse caso, o resultado de uma falha de N na rede elétrica
ser completamente inesperado, pois o equipamento vai reagir de maneiras que não foram previstas pelo
operadores da rede elétrica, levando a potenciais falhas em cascata no sistema de energia em massa.
www.cybok.org
Finalmente, na seção . . ., descreveremos como os ataques do mundo real estão começando a atingir alguns
dessas proteções contra acidentes; por exemplo, o malware Triton especificamente direcionado
sistemas de segurança em um sistema de controle de processo.
Proteção vs. Segurança: A adição de novas defesas de segurança pode representar preocupações de segurança, para
exemplo, uma usina de energia foi desligada porque um computador reiniciou após um patch [ 6]
Atualizações de software e patches podem violar as certi cações de segurança e impedir a desautorização
aumento de usuários de acessar um CPS também pode impedir que os primeiros respondentes acessem o sistema
tem no caso de uma emergência (por exemplo, os paramédicos podem precisar de acesso a um dispositivo médico
que impede conexões não autorizadas). As soluções de segurança devem levar esses CPSs de segurança
em consideração ao projetar e implantar novos mecanismos de segurança.
Por exemplo, ataques à rede elétrica podem causar apagões, levando a casos interdependentes
efeitos do cading em outras infraestruturas críticas vitais, como redes de computadores, sistemas médicos
ou sistemas hídricos que criam efeitos econômicos e de segurança catastróficos em potencial em nosso
sociedade [ ] Ataques a veículos terrestres podem criar acidentes rodoviários [ 8], ataques a
Os sistemas GPS podem enganar os sistemas de navegação e fazer com que os motoristas cheguem ao destino desejado
pelo atacante [ ], e os ataques a drones de consumo podem permitir que os invasores roubem, causando acidentes
amolga ou liga secretamente câmeras e microfones para monitorar as vítimas [ ]
Supervisão/
Configuração
Controlador
Fisica
Atuadores Sensores
Processar
https://translate.googleusercontent.com/translate_f 512/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 641
O Conhecimento em Segurança Cibernética
www.cybok.org
Em geral, um CPS tem um processo físico sob seu controle, um conjunto de sensores que relatam o
estado do processo para um controlador, que por sua vez envia sinais de controle para atuadores (por exemplo, um
válvula) para manter o sistema em um estado desejado. O controlador frequentemente se comunica com um
dispositivo de supervisão e / ou configuração (por exemplo, um sistema SCADA na rede elétrica, ou um dispositivo médico
programador de dispositivo) que pode monitorar o sistema ou alterar as configurações do controlador.
Essa arquitetura geral é ilustrada na Figura ..
Ataques em CPSs podem acontecer em qualquer ponto da arquitetura geral, conforme ilustrado na Figura
ure ., que considera oito pontos de ataque.
8
Supervisão/
Configuração
3
Controlador
4 2
5 6 1
Fisica
Atuadores Sensores
Processar
. Ataque representa um invasor que comprometeu um sensor (por exemplo, se os dados do sensor
não está autenticado ou se o invasor tiver o material chave para os sensores) e injeta
sinais falsos do sensor, fazendo com que a lógica de controle do sistema atue sobre os dados maliciosos.
Um exemplo desse tipo de ataque é considerado por Huang et al. [ ]
. Ataque representa um atacante que pode atrasar ou bloquear qualquer comando de controle, portanto
causando uma negação de controle para o sistema. Este ataque foi considerado como uma negação
de serviço para os atuadores [ ]
www.cybok.org
6. O ataque 6 representa um atacante que pode atacar fisicamente o sistema (por exemplo, fisicamente
destruindo parte da infraestrutura e combinando isso com um ataque cibernético). Esse tipo
de ataque cibernético e físico conjunto foi considerado por Amin et al. [ 6]
8. O ataque 8 representa um invasor que pode comprometer ou se passar pelo sistema SCADA
ou os dispositivos de configuração e enviar controle malicioso ou alterações de configuração
https://translate.googleusercontent.com/translate_f 513/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para o controlador. Esses tipos de ataques foram ilustrados pelos ataques ao
rede elétrica na Ucrânia, onde os invasores comprometeram os computadores na sala de controle
do sistema SCADA [ 8] e ataques em que o dispositivo de configuração de médicos
vícios foram comprometidos [ ]
Embora tradicionalmente a maioria dos ataques considerados aos CPSs tenham sido baseados em software, um
outra propriedade dos CPSs é que a integridade desses sistemas pode ser comprometida mesmo com
uma exploração baseada em computador no que tem sido referido como ataques de transdução [ ]
(esses ataques representam uma maneira física de injetar sinais falsos, conforme abordado por Ataque na Figura
ure . ) Ao direcionar a maneira como os sensores capturam dados do mundo real, o invasor pode injetar um
falsa leitura do sensor ou até mesmo uma falsa ação de atuação, pela manipulação do ambiente físico
em torno do sensor [ , ] Por exemplo, os invasores podem usar alto-falantes para afetar o
giroscópio de um drone [ ], explore antenas de recepção não intencionais nos fios que conectam
sensores para controladores [ ], use interferência eletromagnética intencional para causar um servo
(um atuador) para seguir os comandos do invasor [ ], ou injetar comandos de voz inaudíveis
para assistentes digitais [ ]
Além de problemas de segurança e relacionados à proteção , os CPSs também podem ter profundas implicações de privacidade
complicações não previstas pelos projetistas de novos sistemas. Warren e Brandeis declararam em seu
ensaio seminal 8 O direito à privacidade [ ] que viram uma ameaça crescente de invenções recentes
ções, como "fotografias instantâneas" que permitiam que as pessoas fossem fotografadas sem saber,
e novas indústrias de mídia, como jornais, que publicariam fotos sem seus
consentimento dos sujeitos. A ascensão das tecnologias CPS em geral, e IoT do consumidor em particular,
também desafiam as suposições culturais sobre privacidade.
Os dispositivos CPS podem coletar dados físicos de diversas atividades humanas, como eletricidade
soma, informações de localização, hábitos de direção e dados do biossensor em níveis sem precedentes
de granularidade. Além disso, a forma passiva de coleta deixa as pessoas geralmente inconscientes
de quanta informação sobre eles está sendo coletada. Além disso, as pessoas são amplamente
cientes de que tal coleta os expõe a possível vigilância ou alvos criminosos, como o
os dados coletados por empresas podem ser obtidos por outros atores por meio de uma variedade de
meios ilegais. Por exemplo, os fabricantes de automóveis estão coletando remotamente uma grande variedade
de dirigir dados de histórico de carros em um esforço para aumentar a confiabilidade de seus produtos. Dados
conhecidos por serem coletados por alguns fabricantes incluem velocidade, informações do hodômetro, cabine
temperatura, temperatura externa, status da bateria e faixa. Isso pinta um mapa muito detalhado
de hábitos de direção que podem ser explorados por fabricantes, varejistas, anunciantes, seguradoras de automóveis,
aplicação da lei e stalkers, para citar apenas alguns.
Tendo apresentado os riscos gerais e ataques potenciais aos CPSs , avaliamos nosso primeiro setor
descrição, descrevendo alguns dos ataques mais importantes do mundo real contra CPSs lançados por
atacantes maliciosos.
www.cybok.org
Ataques não direcionados são incidentes causados pelos mesmos ataques que os computadores clássicos de TI
podem sofrer, como o worm Slammer, que visava indiscriminadamente o Windows
servidores, mas que inadvertidamente infectou a usina nuclear Davis-Besse [ ] afetando
a capacidade dos engenheiros de monitorar o estado do sistema. Outro ataque não direcionado ex-
amplo era um controlador sendo usado para enviar spam em uma planta de filtragem de água [ 6]
Ataques direcionados são aqueles em que os adversários sabem que estão visando um CPS, e lá-
Portanto, adapte sua estratégia de ataque com o objetivo de alavancar uma propriedade CPS específica . Nós olhamos em
em particular em ataques que tiveram um efeito no mundo físico, e não se concentre em ataques
usado para fazer o reconhecimento de CPSs (como Havex ou BlackEnergy [ ]).
https://translate.googleusercontent.com/translate_f 514/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tortura, limpezas e segurança extra, e a empresa contratante gastou $, devido ao
incidente [ ]
Nas duas décadas desde o ataque ao Condado de Maroochy, houve outros ataques confirmados
em CPSs [ , , , , , 6, , 8, ] No entanto, nenhum outro ataque
demonstrou as novas ameaças sofisticadas que os CPSs enfrentam, como o worm Stuxnet (descobrir
ered in) visando o programa de enriquecimento nuclear em Natanz, Irã [ 8] Stuxnet inter-
solicitações aceitas para ler, escrever e localizar blocos em um controlador lógico programável (PLC)
Ao interceptar essas solicitações, o Stuxnet foi capaz de modificar os dados enviados e retornados
de, o PLC, sem o conhecimento do operador do PLC . A variante de ataque mais popular
do Stuxnet consistia em enviar velocidades de rotação incorretas para motores que acionam centrífugas
enriquecendo o urânio, fazendo com que as centrífugas quebrassem e precisassem ser substituídas.
Como resultado, o equipamento de centrifugação teve que ser substituído regularmente, diminuindo a quantidade de
Urânio enriquecido que a fábrica de Natanz foi capaz de produzir.
Dois outros ataques con rmados de alto perfil contra CPSs foram em dezembro e 6 at-
tacadas contra a rede elétrica ucraniana [ , ] Esses ataques causaram quedas de energia e
ilustram claramente a evolução dos vetores de ataque. Enquanto os ataques alavancaram um controle remoto
programa de acesso que os atacantes tinham nos computadores dos sistemas SCADA da distribuição
empresas de energia e, como tal, um humano estava envolvido tentando enviar comandos maliciosos,
os ataques em 6 foram mais automatizados graças ao malware Industroyer [ ] que
tinha conhecimento dos protocolos de controle industrial que essas máquinas usam para se comunicar e
pode criar pacotes maliciosos automaticamente.
O exemplo mais recente na corrida armamentista de criação de malware visando sistemas de controle
Há ataques relatados anteriormente aos sistemas de controle [ 8] mas não há nenhuma informação pública corroborando
esses incidentes e a veracidade de alguns ataques anteriores foi questionada.
www.cybok.org
. SEGURANÇA DE CROSSCUTTING
[ , , 6]
A primeira etapa para proteger o CPS é identificar os riscos que esses sistemas podem ter e, em seguida,
priorize como lidar com esses riscos com uma abordagem de defesa em profundidade. Avaliação de risco
consiste em identificar ativos em um CPS [ ], compreendendo sua exposição de segurança e im-
implementar contramedidas para reduzir os riscos a níveis aceitáveis [ 8, 8, , ,
] O teste de penetração é talvez a maneira mais comum de entender o nível de risco
do sistema e pode ser usado para projetar uma estratégia de gerenciamento e correção de vulnerabilidade.
A cadeia de abastecimento também é outro fator de risco, discutido mais adiante no Gerenciamento de Risco e
Área de Conhecimento de Governança (Capítulo ) .
Uma nova área nos CPSs é identificar os atuadores ou sensores que dão ao invasor o máximo
controlabilidade do CPS se eles estiverem comprometidos [ , , , , ] e depois
priorizar a proteção desses dispositivos.
Uma vez que os riscos tenham sido identificados, uma abordagem geral de defesa em profundidade inclui a prevenção,
mecanismos de detecção e mitigação. Nesta seção, examinamos os esforços transversais de segurança
para prevenir, detectar e mitigar ataques, e a próxima seção examinará domínios específicos do CPS
como a rede elétrica e sistemas de transporte inteligentes. Esta seção é dividida em três
partes () evitando ataques (Seção . .), () detectando ataques (Seção . .), e ( )
ataques atenuantes (Seção .)
.. Prevenindo Ataques
A maneira clássica de proteger os primeiros sistemas de controle baseados em computador era tê-los
isolado da Internet e das redes corporativas dos proprietários de ativos. Como negócio
as práticas mudaram e as razões de eficiência criaram mais interconexões de sistemas de controle
com outras redes de tecnologia da informação, o conceito de isolamento de zona de sub-rede foi
adotado por várias indústrias CPS , principalmente no setor de energia nuclear. Esta rede
https://translate.googleusercontent.com/translate_f 515/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
o isolamento é geralmente implementado com a ajuda de rewalls e diodos de dados [ 6]
Por outro lado, existem várias maneiras de quebrar a lacuna de ar, incluindo ataques internos , ou
adicionar nova conectividade à rede por meio de dispositivos móveis. Portanto, para evitar ataques em
CPSs modernos, designers e desenvolvedores devem seguir as mesmas melhores práticas de segurança que
sistemas de TI clássicos; ou seja, eles precisam seguir um ciclo de vida de desenvolvimento seguro para minimizar
vulnerabilidades de software, implementar mecanismos de controle de acesso e fornecer criptografia forte
proteções gráficas junto com um sistema de gerenciamento de chaves seguro [ ]
Embora as melhores práticas de segurança dos sistemas clássicos de TI possam fornecer os mecanismos necessários
para a segurança dos sistemas de controle, esses mecanismos por si só não são suficientes para a defesa
em profundidade de CPSs. Nesta seção, discutiremos como, ao compreender as interações de
o sistema CPS com o mundo físico, devemos ser capazes de
www.cybok.org
No restante desta subseção, vamos nos concentrar em ilustrar os desafios para a implementação
melhores práticas clássicas de segurança de TI em CPSs, incluindo o fato de que vários CPSs são
colocados de sistemas legados, são operados por dispositivos incorporados com recursos limitados, e
enfrentam novas vulnerabilidades, como ataques analógicos.
Protegendo sistemas legados: O ciclo de vida dos dispositivos CPS pode ser uma ordem de magnitude maior
do que servidores de computação regulares, desktops ou sistemas móveis. Os consumidores esperam que seus
carros duram mais do que seus laptops, os hospitais esperam que os equipamentos médicos durem mais de uma década,
os ativos da maioria dos sistemas de controle industrial duram pelo menos anos [ 8], e a maioria de
esses dispositivos não serão substituídos até que sejam totalmente depreciados. Alguns desses dispositivos eram
projetado e implantado assumindo um ambiente confiável que não existe mais. Além disso,
mesmo se esses dispositivos foram implantados com mecanismos de segurança no momento, novas vulnerabilidades
laços eventualmente surgirão e se os dispositivos não forem mais suportados pelo fabricante,
então eles não serão corrigidos. Por exemplo, depois que a vulnerabilidade Heartbleed foi descoberta
ered, os principais fabricantes empurraram atualizações para mitigar este problema; no entanto, a maioria embed-
dispositivos que monitoram ou controlam o mundo físico não serão corrigidos (corrigindo alguns
sistemas críticos de segurança podem até violar sua certificação de segurança). Portanto, mesmo se um fornecedor usasse
OpenSSL para criar um canal de comunicação seguro entre dispositivos CPS originalmente, eles
também precisa considerar o suporte do dispositivo por um longo período.
Portanto, para evitar ataques em CPSs , temos que lidar com () projetar sistemas onde
a segurança pode ser continuamente atualizada e () adaptando as soluções de segurança para o legado existente
sistemas [ ]
Alguns dispositivos não podem ser atualizados com esses novos padrões de segurança e, portanto, uma
Uma maneira de adicionar segurança a redes legadas é adicionar um bump-in-the-wire [ ] Normalmente um
bump-in-the-wire é um dispositivo de rede usado para adicionar integridade, autenticação e con
dentialidade para pacotes de rede trocados entre dispositivos legados. O dispositivo legado, portanto
envia pacotes não criptografados e não autenticados e o dispositivo de rede os encapsulará
através de um canal seguro para outro sistema bump-in-the-wire na outra extremidade da comunicação
canal de comunicação que remove as proteções de segurança e fornece o pacote inseguro
para o destino final. Observe que um bump-in-the-wire só pode proteger o sistema contra
partes confiáveis em uma rede, mas se o ponto final estiver comprometido, um bump-in-the-wire não
seja eficaz.
Um conceito semelhante foi proposto para dispositivos sem fio, como dispositivos médicos implantáveis.
Como alguns desses dispositivos sem fio se comunicam por canais inseguros, os invasores podem
ouvir ou injetar pacotes maliciosos. Para evitar isso, um escudo sem fio [ ] pode ser usado perto
os dispositivos vulneráveis. A blindagem sem fio obstruirá qualquer tentativa de comunicação com o vulcão
dispositivos neráveis, exceto aqueles de dispositivos autorizados pelo proprietário da blindagem. Sem fio
escudos também foram propostos para outras áreas, como a proteção da privacidade dos consumidores
usando dispositivos BLE [ ] Devido à sua natureza perturbadora, não está claro se os escudos sem fio
vai encontrar aplicações práticas em aplicações de consumidor.
Segurança leve: embora vários dispositivos incorporados suportem criptografia clássica, para
alguns dispositivos o desempenho de algoritmos criptográficos em termos de consumo de energia,
ou latência, pode não ser aceitável [ ] Para criptografia simétrica, o NIST tem planos para o
https://translate.googleusercontent.com/translate_f 516/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Detectando Ataques
A detecção de ataques pode ser feita observando o estado interno de um dispositivo CPS , monitorando
a interação entre dispositivos para detectar atividades anômalas, ou mesmo usando fora de banda
canais.
Na primeira categoria, o Atestado Remoto é um campo que tem recebido atenção significativa para
detectar malware em sistemas incorporados porque eles geralmente não têm malware forte
próprias proteções [ 6 , 6 , 6 , 6] A comprovação remota depende da verificação
do estado interno atual (por exemplo, RAM) de um dispositivo não confiável por um verificador confiável. Existem
três variantes de atestado remoto: atestado baseado em software, atestado assistido por hardware
ção e atestação híbrida. O atestado baseado em software não depende de nenhuma segurança especial
hardware no dispositivo, mas tem garantias de segurança fracas e geralmente requer wireless
www.cybok.org
intervalo entre o verificador e o dispositivo que está sendo verificado. Em contraste, attes baseados em hardware
(por exemplo, atestado com o apoio de um TPM, TrustZone ou SGX) fornece mais forte
segurança, mas requer hardware seguro dedicado em dispositivos CPSs , que por sua vez aumenta
seu custo, que pode não ser acessível em alguns sistemas embarcados de baixo custo. Hybrid ap-
os proaches tentam encontrar um meio-termo, reduzindo os requisitos de hardware seguro
enquanto supera as limitações de segurança de abordagens puramente baseadas em software [ , 6]
Os requisitos mínimos de hardware seguro incluem um local seguro para armazenar a chave secreta,
https://translate.googleusercontent.com/translate_f 517/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e o código seguro que tem acesso exclusivo a essa chave. Um desafio para a comprovação híbrida é o
fato de que precisa ser ininterrupta e atômica (tem que ser executado do início ao
final), e o (até agora) relativamente longo (- segundos [ , 6 ]) medição segura de em-
a memória em leito pode não ser aplicável para aplicativos de tempo real essenciais para a segurança. Além disso
para o trabalho acadêmico, a indústria também está desenvolvendo padrões para aumentar a segurança de
sistemas com requisitos mínimos de silício. Por exemplo, o Trusted Computing Group
(TCG) Mecanismo de composição de identificador de dispositivo (DADOS) está trabalhando na combinação de hardware simples
capacidades para estabelecer uma identidade forte, atestar software e política de segurança e auxiliar na de-
ploying atualizações de software. Nalizamos nossa descrição de atestado, apontando que a maioria
das propostas práticas para trabalho de atestado para inicialização, mas criando tempo de execução prático
soluções de certificação continuam sendo um desafio difícil.
Detecção de invasão de rede: a segunda categoria de soluções para detecção de ataques depende
no monitoramento das interações dos dispositivos CPS . Em contraste com os sistemas clássicos de TI, onde
modelos de estado finito simples de comunicações de rede irão falhar, os CPSs exibem comparativamente
comportamento de rede mais simples: os servidores mudam com menos frequência, há uma rede mais estável
topologia, uma população de usuários menor, padrões de comunicação regulares e redes hospedam um
menor número de protocolos. Portanto, sistemas de detecção de intrusão, detecção de anomalias também
goritmos e controles de acesso de lista branca são mais fáceis de projetar e implantar do que no clássico
Sistemas de TI [ 66] Se o designer CPS puder dar uma especificação do comportamento pretendido de
a rede, então qualquer tráfego não especificado pode ser classificado como uma anomalia [ 6 ] Porque
a maioria das comunicações em redes CPS são entre máquinas (sem interação humana
prevenção), acontecem de forma automática e periódica e, dada a sua regularidade,
padrões de comunicação podem ser capturados por modelos de estado finito como Deterministic Finite Au-
tomata [ 68, 6 ] ou via cadeias de Markov em tempo discreto [ , ] Enquanto a rede especifica
cation é em geral mais fácil em ambientes CPS quando comparado a TI, ainda é notoriamente
difícil de manter.
Detecção de Ataque Baseada na Física: A principal distinção dos sistemas de controle com relação a
outros sistemas de TI é a interação do sistema de controle com o mundo físico. Em contraste
para trabalhar na detecção de intrusão CPS que se concentra no monitoramento de padrões “cibernéticos”, outra linha
de estudos de trabalho como o monitoramento dos valores do sensor (e da atuação) a partir de observações físicas,
e sinais de controle enviados para atuadores, podem ser usados para detectar ataques; esta abordagem é usual
almente chamado de detecção de ataque baseada na física [ ] Os modelos das variáveis físicas no
sistema (suas correlações no tempo e no espaço) pode ser puramente orientado por dados [ ], ou com base em
modelos físicos do sistema [ ] Existem duas classes principais de anomalias físicas:
anomalias históricas e anomalias de leis físicas .
Anomalias históricas: identifique a configuração física que não vimos antes. Um típico ex
suficiente é colocar limites no comportamento observado de uma variável [ ] Por exemplo, se durante
a fase de aprendizagem, um nível de água em um tanque está sempre entre m e m, então se a água
nível sempre vai acima ou abaixo desses valores, podemos disparar um alerta. Modelos de aprendizado de máquina
do comportamento histórico das variáveis também pode capturar correlações históricas destes
variáveis. Por exemplo, eles podem capturar o fato de que quando o tanque de um nível de água está alto,
www.cybok.org
o nível de água de um segundo tanque no processo é sempre baixo [ ] Um problema com o histórico
O problema é que eles podem gerar um grande número de alarmes falsos.
Anomalias de Direito Físico: Uma abordagem complementar às observações históricas que podem
ter menos alarmes falsos, é criar modelos da evolução física do sistema. Para
exemplo, temos um sensor que monitora a altura de uma bola quicando, então sabemos que
esta altura segue as equações diferenciais das leis da mecânica de Newton. Assim, se um
sensor relata uma trajetória que não é plausível, dadas as leis da física, podemos imediatamente
identificar que algo não está certo com o sensor (uma falha ou um ataque). Da mesma forma, o físico
propriedades dos sistemas hídricos (dinâmica dos fluidos) ou da rede elétrica (leis eletromagnéticas) podem ser
usado para criar modelos de série temporal que podemos usar para confirmar que os comandos de controle
enviadas para o campo foram executadas corretamente e que as informações provenientes dos sensores são
consistente com o comportamento esperado do sistema. Por exemplo, se abrirmos uma entrada
válvula, devemos esperar que o nível de água no tanque suba, caso contrário, podemos ter
um problema com o controle, atuador ou sensor. Modelos da evolução física do
sistema demonstrou ser melhor em limitar o impacto de curto prazo de ataques furtivos
(ou seja, ataques em que o invasor cria um sinal malicioso que está dentro da margem de erro
de nossos modelos físicos) [ ] No entanto, se o ataque persistir por muito tempo e conduzir
o sistema para uma região insegura, selecionando cuidadosamente uma trajetória fisicamente plausível, então
modelos históricos podem ajudar na detecção deste estado anteriormente invisível [ 6]
Além da física do sistema que está sendo controlado, os dispositivos (como atuadores) têm
https://translate.googleusercontent.com/translate_f 518/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dinâmica também, e essas propriedades físicas também podem ser usadas para monitorar a
haviour de dispositivos [ ]
Detecção fora de banda: Outra maneira de monitorar passivamente o sistema físico é por meio
canais fora de banda [ 8] Por exemplo, Distributed Intrusion De-
proteção [ ] monitora as emissões de radiofrequência de uma subestação da rede elétrica para
verifique se há comutação de disjuntor malicioso, mudanças de tap do transformador ou qualquer ação
vação de proteção de relés sem a solicitação direta enviada do servidor SCADA . O básico
ideia é correlacionar comandos de controle enviados pelo servidor SCADA , com a radiofrequência
emissões observadas na subestação. Uma desvantagem potencial dessa abordagem é que o ataque
ers podem lançar ataques de RF imitando a ativação de uma variedade de sistemas elétricos, que podem
fazer com que os analistas de segurança percam a confiança na veracidade dos alertas.
Detecção ativa: além de monitorar passivamente um CPS, um sistema de detecção de intrusão
tem pode consultar ativamente dispositivos para detectar anomalias em como os dispositivos respondem a estes
missões [ 8 ] Além de uma consulta de rede, o sistema de detecção de intrusão também pode enviar um
desafio físico para mudar o comportamento físico do sistema. Esta abordagem também é conhecida
como atestado físico [ , 8 , 8], onde um sinal de controle é usado para alterar o físico
mundo, e em resposta, espera ver as mudanças feitas no mundo físico refletidas em
os valores do sensor. Por exemplo, podemos enviar sinais para alterar a topologia de rede do
rede elétrica para ver se os sensores relatam esta mudança esperada [ 8 ], use uma mudança no campo
de visão de uma câmera para detectar câmeras de vigilância hackeadas [ 8 ], ou use uma marca d'água
sinal em um algoritmo de controle [ 8 ] O conceito de detecção ativa está relacionado à pesquisa sobre
defesa de alvo móvel aplicada a sistemas ciberfísicos [86, 8, 88, 8 ] Contudo,
tanto a detecção ativa quanto a defesa móvel do alvo podem impor perturbações desnecessárias
em um sistema por sua mudança do mundo físico para fins de segurança. Portanto, estes
as técnicas podem ser muito invasivas e caras. Consequentemente, a praticidade de alguns desses
abordagens é incerto.
www.cybok.org
.. Ataques atenuantes
A maioria dos esforços para mitigar falhas em CPSs tem se concentrado na segurança e confiabilidade (o
proteção do sistema contra falhas aleatórias e / ou independentes). Mitigação de ataque é
uma extensão das proteções de segurança e confiabilidade para quando as falhas nos sistemas não são
criado ao acaso pela natureza, mas por um adversário.
A mitigação de ataques está relacionada ao conceito de sistemas de controle resilientes , definidos como aqueles
que mantêm a consciência do estado e um nível aceito de normalidade operacional em resposta a
perturbações, incluindo ameaças de natureza inesperada e maliciosa [ ]
Existem dois tipos principais de tecnologias de mitigação: i) proativas e ii) reativas. Proativo
a mitigação considera as opções de design implantadas no CPS antes de qualquer ataque. No outro
Por outro lado, as respostas reativas só têm efeito depois que um ataque foi detectado, e eles voltam
con gure o sistema online para minimizar o impacto do ataque. Nós primeiro descrevemos
abordagens proativas.
Controle conservador: uma das primeiras ideias para mitigar o impacto dos ataques era op-
erar o sistema com margens de segurança suficientes para que se um ataque ocorresse, seria
mais difícil para o invasor alcançar uma região insegura. Uma ideia intuitiva para este tipo de controle
algoritmo é usar computação multipartidária (MPC) para projetar uma estratégia de controle que preveja
que um ataque acontecerá a partir da próxima etapa de tempo [ ] e, portanto, planeja um ótimo
controle a ação que tentará manter o sistema seguro se o ataque acontecer. Operando um
CPS conservadoramente geralmente vem com o custo de operação abaixo do ideal e custos extras quando
o sistema não está sob ataque.
Estimativa Resiliente: Algoritmos de estimativa resiliente tentam obter este estado de um sistema,
mesmo se um subconjunto de sensores estiver comprometido [ , ] A ideia básica é usar o conhecimento
borda de um CPS e as correlações de todos os valores do sensor. Com redundância suficiente no sensor
medições, um algoritmo de estimativa resiliente pode rejeitar tentativas de ataques e ainda obter
uma estimativa precisa do estado. Esta ideia é semelhante aos códigos de correção de erros nas informações do
ory, onde um subconjunto dos bits transmitidos pode ser corrompido, mas o código de correção de erro
reconstrói a mensagem original. A desvantagem, no entanto, é que nem todos os CPSs terão um
variedade de sensores correlacionados para verificar a consistência de outros, portanto, esta abordagem depende
nas propriedades do sistema.
Fusão do sensor: algoritmos de estimativa resiliente geralmente assumem uma variedade de sensores multimodais
sors para alcançar suas garantias de segurança. Esta também é a ideia por trás da fusão de sensores, onde
https://translate.googleusercontent.com/translate_f 519/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
sensores de diferentes tipos podem ajudar a “con rmar” a medição de outros sensores [ , ,
] Um exemplo básico de fusão de sensores em sistemas automotivos é verificar se ambos
As leituras do LiDAR e as medições da câmera relatam observações consistentes.
Sensores virtuais: quando usamos sistemas de detecção de anomalias de leis físicas , temos, na verdade, um
modelo da evolução física do sistema. Portanto, uma maneira de atenuar os ataques ao
sensores de um CPS é usar um modelo físico do sistema para chegar ao sen-
valores sor que podem então ser fornecidos ao algoritmo de controle [ , 6, 6] Removendo
um valor de sensor com seu valor esperado obtido a partir do modelo do sistema, estamos efetivamente
controlar um sistema usando o controle de malha aberta, o que pode funcionar a curto prazo, mas pode ser
arriscado como uma solução de longo prazo, pois todos os modelos físicos não são perfeitos, e o erro entre
o mundo real e a simulação do modelo podem aumentar com o tempo. Outra consideração importante
eração ao projetar sensores virtuais como um mecanismo de resposta de ataque, é avaliar o
segurança do sistema sempre que o sistema for ativado devido a um falso alarme [ ]
https://translate.googleusercontent.com/translate_f 520/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
. DOMÍNIOS CPS
[ , 6 , 6 , 6 , 6 , 6 , 6 , 6]
Tendo apresentado os princípios gerais para proteger CPSs, nesta seção, discutiremos o domínio-
problemas de segurança específicos para CPSs. Em particular, nos concentramos em sistemas de controle industrial,
redes de energia elétrica, sistemas de transporte, veículos, robôs, dispositivos médicos e
sumer IoT.
Os sistemas de controle são geralmente compostos por um conjunto de agentes em rede, consistindo de sensores,
atuadores, unidades de processamento de controle, como controladores lógicos programáveis (PLCs), Remoto
Unidades Terminais (RTUs) e dispositivos de comunicação. Por exemplo, a indústria de petróleo e gás
usa sistemas de controle integrados para gerenciar operações de refino em sites de fábrica, monitorando remotamente
para a pressão e o fluxo de gasodutos, e controlar o fluxo e as vias de transmissão de gás
sion. As concessionárias de água podem monitorar remotamente os níveis dos poços e controlar as bombas dos poços; monitor
vazões, níveis de tanques ou pressão em tanques de armazenamento; monitorar pH, turbidez e cloro residual;
e controlar a adição de produtos químicos à água.
Os sistemas de controle têm uma hierarquia em camadas [ 66], que pode ser usado para segmentação de rede
e para garantir o controle de acesso. Figura . mostra uma ilustração das camadas inferiores deste
hierarquia.
As camadas superiores operam usando principalmente a tecnologia da informação tradicional: computadores, operação
sistemas de gerenciamento e software relacionado. Eles controlam o sistema de logística de negócios, que
envelhece o cronograma básico de produção da planta, uso de material, níveis de envio e estoque, e
também planta o desempenho e mantém históricos de dados para análises orientadas a dados (por exemplo,
manutenção).
www.cybok.org
servidores em uma sala de controle e esses equipamentos de controle é feito por meio de um Controle de Supervisão
Rede (SCN)
O controle regulatório é feito na camada inferior, que envolve a instrumentação no campo, como
como sensores (termômetros, tacômetros, etc.) e atuadores (bombas, válvulas, etc.). Enquanto tra-
https://translate.googleusercontent.com/translate_f 521/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
tradicionalmente, esta interface tem sido analógica (por exemplo, - miliamperes), o número crescente de
sensores e atuadores, bem como sua inteligência e capacidades aumentadas, deram origem
para novas redes de comunicação de campo (FCNs) onde os PLCs e outros tipos de controladores
interface com caixas de entrada / saída remotas ou diretamente com sensores e atuadores usando novos
Protocolos industriais baseados em Ethernet como ENIP e PROFINET, e redes sem fio como Wire-
lessHART. Várias topologias em anel também foram propostas para evitar um único ponto de falha
para essas redes, como o uso de anel de nível de dispositivo (DLR) sobre ENIP.
Redes SCN e FCN representam Transferência Oblivious (OT) redes, e eles têm diferentes
requisitos de comunicação e diferentes protocolos de rede industrial. Embora o SCN possa tolerar
com atrasos de até a ordem de segundos, o FCN normalmente requer uma ordem de magnitude menor
atrasos de comunicação, normalmente permitindo comunicações entre dispositivos com um período de
nós.
A maior parte do trabalho de monitoramento de segurança de rede para sistemas de controle industrial implantou
sistemas de detecção de intrusão de rede no SCN. No entanto, se um sistema de detecção de anomalias
é implantado apenas na rede de controle de supervisão, em seguida, um PLC comprometido pode enviar ma-
nipulou dados para a rede de campo, enquanto fingia relatar que tudo estava normal de volta
para a rede de controle de supervisão. No ataque Stuxnet, o invasor comprometeu um PLC
uma
(Siemens) e enviou um sinal de controle manipulado u (que era diferente do original
a = u). Após a recepção de u um
nal u, ou seja, u , os conversores de frequência aumentaram periodicamente e
diminuiu as velocidades do rotor bem acima e abaixo de seus níveis de operação pretendidos. Enquanto o
o status dos conversores de frequência y foi então retransmitido de volta para o PLC, o PLC comprometido
relatou um valor manipulado y a = y para o centro de controle (alegando que os dispositivos estavam operando
operando normalmente). Um ataque semelhante foi realizado contra o controlador da Siemens [6 ],
onde os invasores capturaram segundos de variáveis de sensor válidas no PLC, e depois reproduzido
continuamente durante o ataque, garantindo que os dados enviados através do SCN
aos monitores SCADA pareceria normal [6 ] Um estudo sistemático da detectabilidade de
vários ataques ICS (ataques de controlador, sensor ou atuador) foram dados por Giraldo et al. [6 ],
e a recomendação final é implantar monitores de sistema na rede de campo, bem como
na rede de supervisão e em diferentes loops do sistema de controle.
Além da detecção de ataques, evitar que o sistema atinja estados inseguros também é
uma área ativa de pesquisa [ , 6 , 6 6 , 6 , 6 8] A ideia básica é identificar que
uma ação de controle pode causar um problema no sistema e, portanto, um monitor de referência
evitar que este sinal de controle alcance o sistema físico. Outras áreas de pesquisa incluem
a adaptação da segurança em sistemas legados [ , 6] e malware em controle industrial
www.cybok.org
dispositivos [ 6 , 6] Uma pesquisa concisa de pesquisa em segurança ICS foi fornecida por Kroto l e
Gollmann [ 6 ], e as análises das práticas de ponta no campo da segurança ICS incluem
o trabalho de Knowles et al. e Cherdantseva et al. [ , 6]
O sistema de transmissão é uma rede redundante interconectada que abrange grandes regiões
(geralmente um país). Grandes usinas de geração e a rede de transmissão (as duas primeiras
partes da rede elétrica) são geralmente chamados de Sistema de Energia em Massa , e esta energia em massa
O sistema é responsável pelo fornecimento confiável de eletricidade a grandes áreas. Uma interrupção em
a rede elétrica em massa pode causar um apagão em nível de país que exigiria vários dias de
um período de blackstart para reiniciar o sistema. Em contraste, os sistemas de distribuição (a terceira parte do
da rede) são muito menores, suas redes são radiais (não redundantes), e uma falha em seus
O sistema geralmente causa apenas uma interrupção localizada (por exemplo, um apagão em uma vizinhança). Isso é
a razão pela qual a maioria dos esforços do governo e da indústria priorizou a criação de padrões
para segurança no sistema de energia em massa [ 6 ]
Uma das linhas de trabalho mais populares relacionadas à segurança de sistemas de potência é o estudo
de ataques de injeção de dados falsos, a fim de fazer com que os algoritmos na rede elétrica funcionem mal
ter. O mais popular desse tipo de ataque são os ataques de injeção de dados falsos contra
estimativa de estado. Na rede elétrica, os operadores precisam estimar os ângulos de fase x k do
potência medida ow y k na rede de transmissão. Conforme mencionado na seção sobre CPS
segurança, algoritmos de detecção de dados ruins foram feitos para detectar falhas de sensor aleatórias, não estratégias
ataques gic, e como Liu et al. [ , 6 6] mostrado, é possível que um invasor crie
sinais do sensor que não irão disparar um alarme (validação experimental no software usado pelo
setor de energia foi posteriormente con rmado [ 6 ]). Tem havido uma quantidade significativa de seguidores
pesquisa com foco na injeção de dados falsos para estimativa de estado na rede elétrica, incluindo
o trabalho de Dán e Sandberg [ 6 8], que estudam o problema de identificar o melhor k
sensores para proteger a fim de minimizar o impacto dos ataques, e Kosut et al. [6 ], quem
considere os invasores tentando minimizar o erro introduzido na estimativa, e os defensores com
www.cybok.org
um novo algoritmo de detecção que tenta detectar ataques de injeção de dados falsos. Trabalho posterior
inclui [ , 8 , 6 , 6 , 6]
. . . Tabelas inteligentes
Embora a arquitetura da rede elétrica atual tenha servido bem por muitos anos, há um crescimento
necessidade de modernizar as redes elétricas do mundo para atender aos novos requisitos e ad-
vantagem das novas tecnologias. Essa modernização inclui a integração de fontes renováveis
fontes de energia, a implantação de medidores inteligentes, a troca de eletricidade entre
somadores e a grade, etc. Figura .6 ilustra alguns desses conceitos. A justificativa para
modernizar a rede elétrica inclui os seguintes motivos:
Ampla área
Monitoramento
Não Inteligente
Renovável Fasor Relés
Medição
Grande Capacidade
Unidade
Baterias
Clientes
Renovável
Medidor inteligente
Energia
Energia
Baterias
Gestão
Fluxo de eletricidade unilateral
Medidor inteligente Sistemas
Fluxo de eletricidade bidirecional
Inteligente
Eletrodomésticos
https://translate.googleusercontent.com/translate_f 523/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Veículos Plug-in
Eficiência: Um dos principais impulsionadores dos programas de smart grid é a necessidade de fazer mais
uso eficiente do ativo circulante. O pico de demanda por eletricidade está crescendo a cada ano e
então as empresas de serviços públicos precisam gastar mais dinheiro a cada ano em novas usinas de energia e seus
infraestruturas associadas. No entanto, a demanda de pico é necessária apenas 6% do tempo e
portanto, o equipamento necessário para atender a essa demanda de pico permanecerá ocioso pelo resto do
Tempo.
Um dos objetivos da rede inteligente é mudar a rede de acompanhamento de carga para modelagem de carga
dando incentivos aos consumidores para reduzir o consumo de eletricidade nos horários de pico
exigem. Reduzir a demanda de pico - além de aumentar a estabilidade da rede - pode permitir
concessionárias para adiar ou evitar a construção de novas usinas. O controle ou incentivo
as ações usadas para moldar a carga geralmente são chamadas de Resposta à Demanda .
www.cybok.org
A eficiência também trata da integração das fontes de geração novas e renováveis, como
como energia eólica e solar com o objetivo de reduzir a pegada de carbono.
Confiabilidade: O segundo objetivo principal da modernização da rede elétrica é a confiabilidade, especialmente em
a camada de distribuição (a camada de transmissão é mais confiável). Ao implantar novos sensores e
atuadores em toda a rede elétrica, os operadores podem receber dados precisos em tempo real sobre
o status da rede elétrica, que permite melhor consciência situacional, detecção mais rápida de
falhas (ou ataques) e melhor controle do sistema, resultando em menos interrupções. Por exemplo,
a implantação de medidores inteligentes está permitindo que as concessionárias de distribuição identifiquem automaticamente o
local e fonte de uma interrupção.
Escolha do consumidor: O terceiro objetivo é resolver a falta de transparência do poder atual
rede fornece aos consumidores. Atualmente, a maioria dos consumidores recebe apenas atualizações mensais sobre
seu uso de energia. Em geral, os consumidores não sabem seu consumo de eletricidade e
preços que estão pagando em horários diferentes do dia. Eles também não são informados sobre
outro aspecto importante de seu consumo, como a proporção de eletricidade que foi
gerado por meio de recursos renováveis. Essas informações podem ser usadas para moldar o uso
padrão (ou seja, a carga). Um dos objetivos da rede inteligente é oferecer aos consumidores dados em tempo real
e análises sobre seu uso de energia. Aparelhos inteligentes e sistemas de gerenciamento de energia irão
automatizar residências e empresas de acordo com as preferências do consumidor, como redução de custos
ou certificando-se de que mais energia renovável seja consumida.
Para atingir esses objetivos, as principais iniciativas associadas à rede inteligente são os anúncios
infraestrutura avançada de medição, resposta à demanda, automação de transmissão e distribuição,
recursos energéticos distribuídos e integração de veículos elétricos.
Embora a modernização da rede elétrica traga muitas vantagens, também pode criar uma nova ameaça
vetores. Por exemplo, ao aumentar a quantidade de informações do consumidor coletadas, novos
formas de ataque se tornarão possíveis [ 6 ] As tecnologias de smart grid podem ser usadas para inferir
a localização e o comportamento dos usuários, incluindo se eles estão em casa, a quantidade de energia que
eles consomem e o tipo de dispositivos que possuem [ 6 , 6 6]).
Além de novas ameaças à privacidade, outro novo ataque potencial foi referido como load-
alterando o ataque . Ataques de alteração de carga foram previamente estudados em sistemas de demanda-resposta
tems [ 6 , 6 , 8 , 6 , 6 , 6 , 6] Os programas de resposta à demanda fornecem um novo mecanismo
nismo para controlar a demanda de eletricidade para melhorar a estabilidade da rede elétrica e eficiência energética -
ciência. Em sua forma básica, os programas de resposta à demanda fornecem incentivos (por exemplo, via dinâmica
preços) para os consumidores reduzirem o consumo de eletricidade durante as horas de ponta. Atualmente, estes
programas são usados principalmente por grandes consumidores comerciais e agências governamentais gerenciam
em grandes campi e edifícios, e sua operação é baseada em sinais de incentivo informais
por meio de chamadas telefônicas pela concessionária ou pelo provedor de resposta à demanda (por exemplo, uma empresa como
Enel X) pedindo ao consumidor que reduza seu consumo de energia durante os horários de pico. Como
esses programas se tornam mais difundidos (visando consumidores residenciais) e automatizados
(dando aos serviços públicos ou empresas de resposta à demanda a capacidade de controlar diretamente a carga de seus
clientes remotamente) a superfície de ataque para ataques de alteração de carga aumentará. Os ataques
propostas consideram que o adversário obteve acesso ao controle remoto da empresa
carrega e pode alterar uma grande quantidade de carga para afetar o sistema de energia e causar
ineficiências para o sistema, lucros econômicos para o invasor ou causa potencialmente suficiente
carga muda para alterar a frequência da rede elétrica e causar apagões em grande escala.
https://translate.googleusercontent.com/translate_f 524/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Os sistemas de demanda-resposta podem ser generalizados por mercados de energia transativos, onde pro-
consumidores (consumidores com capacidade de geração e armazenamento de energia) podem negociar energia com
uns aos outros, trazendo seus próprios desafios de privacidade e segurança [ 6 ]
www.cybok.org
Mais recentemente Soltan et al. [6 ] estudou o mesmo tipo de ataques de alteração de carga, mas quando o
invasor cria um botnet em grande escala com centenas de milhares de dispositivos IoT de alta energia
(como aquecedores de água e condicionadores de ar). Com um botnet tão grande, o invasor pode causar
(i) instabilidades de frequência, (ii) falhas de linha e (iii) aumento dos custos operacionais. Um trabalho de acompanhamento
por Huang et al. [6 ] mostrou que a criação de um blecaute do sistema - o que exigiria um blackout
período inicial de vários dias para reiniciar a rede - ou até mesmo um apagão de uma grande porcentagem do
A rede de energia em massa pode ser muito difícil em parte porque a rede de energia tem várias proteções
para carregar alterações, incluindo rejeição de carga de subfrequência.
Embora esta coleção em grande escala de dados de sensores possa permitir várias vantagens sociais,
também levanta questões de privacidade significativas. Para lidar com essas preocupações emergentes de privacidade de
dados do sensor, muitas técnicas foram propostas, incluindo privacidade diferencial [ 6]
Embora a privacidade seja uma preocupação importante para esses sistemas, infelizmente não é a única
1. Vulnerabilidades generalizadas, como as dos sensores de tráfego [ , 66 , 66] posso
ser prontamente explorado [ 66 , 66 , 66 , 66] Por exemplo, Wang et al. [ 66] mostrou que
invasores podem injetar dados falsos em serviços de crowdsourcing para causar congestionamento de tráfego falso
alarmes e falsos acidentes, acionando os serviços para redirecionar automaticamente o tráfego.
Problemas semelhantes podem ser encontrados em voos comerciais. Não são apenas os aviões sendo mod-
ernizado ao introduzir potencialmente novos vetores de ataque ao tentar atacar o sistema aviônico
tems através da rede de entretenimento [ 666], mas os sistemas de tráfego aéreo também podem ser vulneráveis
capaz de ataques. Uma nova tecnologia que complementa (ou potencialmente substitui) os sistemas de radar
é a Transmissão de Vigilância Dependente Automática (ADS-B) sistema. ADS-B consiste em ar-
aviões que compartilham suas coordenadas de GPS entre si e com sistemas de controle de tráfego aéreo, mas
esses sistemas atualmente não são autenticados e criptografados, apresentando segurança e privacidade
problemas [ 66 ]
Problemas de software nos sensores de veículos podem causar falhas notórias, como o Ariane
acidente de foguete [ 668], que foi causado por software no sistema de navegação inercial desligado
para baixo, fazendo com que sinais incorretos sejam enviados aos motores. Com avanços na fabricação
e sensores modernos, estamos começando a ver a proliferação de veículos não tripulados (UVs) dentro
mercado consumidor, bem como em outras indústrias. Dispositivos que estavam disponíveis apenas para
agências governamentais diversificaram suas aplicações, desde a gestão agrícola
ment para mapeamento aéreo e transporte de carga [ 66 ] De todos os UVs disponíveis no
mercado comercial (veículos aéreos, terrestres e marítimos), veículos aéreos não tripulados parecem ser
o tipo mais popular com um projetado. mercado global de bilhões de dólares em [6 ]
A expansão de veículos aéreos não tripulados aumentou as preocupações com segurança e privacidade. Dentro
geral, há uma falta de padrões de segurança para drones e foi demonstrado que eles são
vulnerável a ataques que visam os elementos cibernéticos e / ou físicos [ 6 , 6] A partir de
https://translate.googleusercontent.com/translate_f 525/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
do ponto de vista da privacidade, os drones podem permitir que os usuários espionem os vizinhos [ 6 , 6], e habilitar
paternidade literal de helicóptero [ 6 ]
Ataques que acessam remotamente o drone de outra pessoa (por exemplo, um vizinho) para tirar fotos ou vídeos,
roubar drones sem fio (por exemplo, um invasor em um veículo pode assumir o controle de um drone e solicitar que ele
seguir o veículo) e derrubar um drone operado por outra pessoa (o que pode levar a
acusações como manuseio incorreto de um drone em público, o que por sua vez resultou em perigo imprudente -
convicções de mentira) [ ]
Os UVs têm vários sensores que os ajudam a avaliar seus ambientes físicos, como ac-
celerômetros, giroscópios, barômetros, GPS e câmeras. Embora confie nos dados do sensor com-
qualquer forma de validação provou ser uma troca eficaz, a fim de manter a eficácia
demandas de ciência de sistemas em tempo real, não é uma prática sustentável à medida que os UVs se tornam mais
penetrante. Ataques de transdução em sensores mostraram que acelerômetros, giroscópios,
e até mesmo câmeras usadas por drones para estabilização podem ser facilmente atacadas, fazendo com que o drone
funcionar mal, falhar ou mesmo ser assumido pelo invasor [ , , 6]
Mesmo em muitos navios de guerra operacionais, o monitoramento remoto de equipamentos agora é feito com uma
LAN com fio por sistemas como o Sistema Integrado de Avaliação de Condições (ICAS) [ 6 6]
ICAS são geralmente instalados com conexões para controladores lógicos programáveis externos
(PLCs), que são usados no Controle de Supervisão e Aquisição de Dados (SCADA) sistemas para di-
retire o movimento do equipamento de controle que realiza a manipulação real do de-
vícios no navio, como dispositivos de propulsão e direção (leme) [ 6 6 , 6] Portanto, o
a operação segura de navios está altamente relacionada à segurança dos sistemas de controle industrial.
Para veículos terrestres, uma das áreas de interesse é a segurança da Rede de Área do Controlador
(POSSO) O sistema CAN é um barramento de transmissão serial projetado pela Bosch em 8 para permitir o
comunicação de unidades de controle elétrico (ECUs) em carros. Exemplos de ECUs incluem freio
sistemas, o módulo de cronometragem central, unidades de controle telemático, controle de engrenagem e controle do motor.
O protocolo CAN , no entanto, não possui nenhum mecanismo de segurança e, portanto, um atacante
quem pode entrar no barramento CAN em um veículo (por exemplo, por meio de um exploit local ou remoto) pode falsificar
qualquer ECU para ignorar a entrada dos motoristas e desabilitar os freios ou desligar o motor [6 8]
Portanto, a pesquisa considerou maneiras de retro t mecanismos de segurança leves para CAN
sistemas [ 6 ], ou como detectar mensagens CAN falsificadas com base nos caracteres da camada física
características do sinal [ 68 ] (perfis de nível de tensão, tempo, frequência de mensagens, etc.).
No entanto, a segurança de alguns desses sistemas permanece em questão [ 68 ]
Os veículos autônomos também enfrentarão novas ameaças, por exemplo, um veículo malicioso em um
um pelotão automatizado pode fazer com que o pelotão se comporte de forma errática, potencialmente causando acidentes
dentes [ 68 ] Finalmente, novas funcionalidades, como um interruptor de eliminação remoto, podem ser abusadas por invasores,
por exemplo, um invasor desativou remotamente centenas de veículos em Austin, Texas, deixando
seus proprietários sem transporte [ 68 ]
www.cybok.org
Os ataques podem ter como alvo a integridade estrutural (escala, indentação ou vértice) ou integridade do material
(resistência, rugosidade ou cor) dos produtos manufaturados [ 68 ] Testes físicos, por ex-
testes amplos e não destrutivos, como inspeção visual, medida de peso, medida de dimensão,
Varredura a laser D, interferometria, raio-X, TC e testes mecânicos destrutivos como o emprego
as propriedades de tração e rendimento do material podem nos ajudar na detecção de ataques.
Os sistemas robóticos em linhas de montagem automatizadas também podem ser usados para criar peças danificadas ou
causar problemas de segurança [ 68 ] Acidentes de segurança com robôs datam de, quando um trabalhador
na Ford Motor Company foi morto por um robô. Conforme apontado por PW Singer, o trabalhador da Ford
pode ter sido o primeiro, mas ele estaria longe de ser o último, já que robôs mataram vários outros
https://translate.googleusercontent.com/translate_f 526/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pessoas [ 686] Além da fabricação, as armas robóticas também apresentam desafios significativos. Para
exemplo, em uma falha de software em um sistema antiaéreo com dois canhões começou
anel centenas de tiros altamente explosivos e, quando eles foram esvaziados, nove soldados
estavam mortos e quatorze gravemente feridos [ 686] Discutiremos mais tarde neste documento como
novos avanços nas CPSs podem mudar a maneira como as nações travam guerras futuras.
.. Dispositivos médicos
Devido aos seus riscos de segurança e privacidade, os dispositivos médicos incorporados são outro domínio do CPS
que tem recebido atenção significativa na literatura.
Embora não seja um ataque, o erro de software do Therac- é um dos mais conhecidos classi-
exemplos de como os problemas de software podem prejudicar e até matar pessoas. O Therac- era
uma máquina de terapia de radiação controlada por computador que deu overdoses massivas de radiação para
pacientes resultando em mortes e ferimentos [ 68 ] Nossa preocupação aqui é se esses problemas não são
acidental, mas malicioso?
Rushanan et al. [6 ] e Camara et al. [ 688] descrevem os tipos de adversários que medi-
dispositivos de calibração estarão sujeitos, incluindo a capacidade de espionar todos os canais de comunicação
(passivo) ou ler, modificar e injetar dados (ativo). A fim de mitigar possíveis ataques no
interface de telemetria, eles propõem autenticação (por exemplo, biométrica, limite de distância, fora de
canais de banda, etc.), e o uso de um dispositivo vestível externo que permite ou nega ac-
cesso ao dispositivo médico dependendo se este dispositivo extra vestível está presente. Dentro
além da prevenção, eles também discutem a detecção de ataques, observando padrões para distinguir
entre o comportamento seguro e o inseguro.
Em particular, uma nova proposta para estudar a autenticação adequada do programador com o IMD
é o princípio de toque para acessar [6 8 , 68] A ideia básica é que o paciente tenha uma biometria
sinal (como o tempo entre os batimentos cardíacos) que só deve estar disponível para outros dispositivos
www.cybok.org
em contato direto com o paciente. Esta informação “secreta” é então usada pelo programador
e o IMD como uma senha difusa para inicializar sua associação de segurança.
Um desafio importante é ter certeza de que o sinal biométrico usado para dar acesso via toque
de acesso , não é observável remotamente. No entanto, os batimentos cardíacos podem ser inferidos com informações laterais
mação incluindo uma webcam [ 6 ], e um laser infravermelho [ 6]
A segurança vai além dos dispositivos implantáveis. Como infra-estrutura de software e computador de saúde
tura introduzir novas tecnologias, a indústria precisará aumentar seus esforços de segurança. Médico
dados são um alvo principal para roubo e violações de privacidade e ataques de negação de serviço na forma
de ransomware [ 6 ]
À medida que nossas vidas se tornam mais dependentes desses sistemas, sua segurança tornou-se um importante
preocupação crescente e crescente. A segurança desses dispositivos depende da integridade do software
e rmware que executam e os mecanismos de segurança que implementam.
Novos vetores de ataque tornam os dispositivos IoT atraentes para os criminosos, como agentes mal-intencionados usando
Dispositivos IoT para orquestrar negação de serviço distribuída maciça (DDoS) ataques (o Mirai
botnet) [68 , 6], invasores que comprometeram um tanque sh para penetrar na rede interna
de um cassino [ 6 ], ou invasores exigindo ransomware de um hotel para permitir que seus
convidados entram em seus quartos [ ]
Um grande número de dispositivos IoT incluídos em grandes botnets IoT [68 , 6] incluem Internet-
câmeras conectadas. Câmeras conectadas à Internet deram origem a vários relatos de
acesso autorizado por invasores [ 6 ], e feeds de vídeo de várias câmeras estão disponíveis abertamente
https://translate.googleusercontent.com/translate_f 527/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
capaz on-line e detectável por meio de plataformas de indexação da web IoT , como Shodan [6 6], poten-
comprometendo parcialmente a privacidade dos consumidores que não verificam a configuração padrão
mecanismos. As ameaças à IoT vão além do medo da privacidade e de ataques DDoS . Vulnerabilidades em
produtos IoT de consumo , incluindo drones, câmeras IoT , brinquedos inteligentes para crianças e objetos íntimos
dispositivos podem levar não apenas a invasões de privacidade, mas também a danos físicos (drones sendo
usado para prejudicar pessoas), abuso e assédio [ 6 ] Compreendendo as consequências de
esses novos tipos de abusos físicos e mentais exigirão o envolvimento de pessoas mais sociais
cientistas e estudiosos do direito para nos ajudar a definir uma estrutura sobre como raciocinar sobre eles.
Uma área que tem atraído atenção significativa da comunidade de pesquisa é a segurança
de assistentes digitais ativados por voz. Por exemplo, os pesquisadores alavancaram o microfone não
linearidades para injetar comandos de voz inaudíveis para assistentes digitais [ ] Outro trabalho recente
inclui o uso de novos ataques como "agachamento de voz" ou "disfarce de voz" para assumir
aplicativos controlados por voz [ 6 8] Por exemplo, o consumidor pode querer abrir o aplicativo
cação “Capital One”, mas um invasor pode disponibilizar um aplicativo chamado “Capital Won”
e o assistente pessoal controlado por voz pode abrir a segunda funcionalidade. Na “voz
mascarando ”ataque, um aplicativo invasor pode permanecer no controle do sistema e pré-
tendem a seguir os comandos do consumidor para abrir outras funcionalidades, embora na realidade
está personificando as funcionalidades desejadas.
www.cybok.org
Várias das soluções de segurança para IoT de consumidor propuseram a ideia de ter um centro
hub seguro IoT tralizado que medeia as comunicações entre dispositivos IoT em uma casa,
e a Internet [ 6 ] Um dos problemas de depender de um dispositivo externo para mediar a IoT
comunicações é que as conexões entre o dispositivo IoT e os servidores em nuvem podem ser
criptografado e, portanto, este hub precisará tomar decisões de segurança com tráfego criptografado
c[ ] Por outro lado, as comunicações criptografadas de ponta a ponta também podem evitar con
consumidores auditem seus dispositivos IoT para garantir que não estão violando suas expectativas de privacidade
tações. Uma opção para resolver este problema é pedir ao fornecedor do dispositivo IoT para divulgar
sua chave (e girar sua chave) para um terceiro confiável (chamado de "auditor") que pode descriptografar e
mostrar os resultados aos proprietários dos dados [ ]
Nesta seção final do artigo, resumimos alguns dos esforços liderados pela indústria e pelo governo
fortes para tentar melhorar a segurança dos CPSse como aproveitar o novo campo de segurança CPS
para ataques e guerras.
.. Incentivos e regulamentação
A maioria das indústrias no domínio CPS raramente viu ataques sabotando seus processos físicos.
cesso, em parte porque os ataques CPS são difíceis de monetizar pelos criminosos. Além de ser
raros, os ataques aos CPSs não são relatados abertamente, e essa falta de dados atuariais leva a um baixo
estimativas de risco de qualidade; como o Departamento de Energia dos EUA (Corça) declarado em seu fornecimento de energia
Roteiro de segurança cibernética de sistemas [ ]: “Fazendo um forte caso de negócios para a segurança cibernética
os investimentos são complicados pela dificuldade de quantificar o risco em um ambiente de () rapidamente
mudando, () ameaças imprevisíveis, () com consequências que são difíceis de demonstrar. ”
Em resumo, os incentivos de mercado por si só são insuficientes para melhorar a postura de segurança dos CPSs ,
e, como resultado, nossas infraestruturas CPS permanecem bastante vulneráveis a ataques de computador e
com práticas de segurança que estão décadas atrás das práticas recomendadas de segurança atuais usadas em
domínios de TI corporativos. Esta falha do mercado para melhorar a segurança dos CPSs resultou em
vários pedidos de intervenção governamental [ , 6, ]
Regulamento: A obrigatoriedade de padrões de segurança cibernética que as indústrias de CPS devem seguir é um
possível intervenção governamental, e há algum precedente para essa ideia. Antes ,
a North American Electric Reliability Corporation (NERC) padrões meramente sugeridos para
https://translate.googleusercontent.com/translate_f 528/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
os operadores de sistemas de energia nos EUA, mas após o apagão de agosto, regulamentações que
eram opcionais agora são obrigatórios [ 6 ] No entanto, as indústrias de CPS recuaram
contra a regulamentação, argumentando que as regulamentações (por exemplo, obrigando a conformidade com a segurança específica
padrões) irão sufocar a inovação, e que mais regulamentação tende a criar uma cultura de conformidade
segurança em vez de uma cultura de segurança .
Alguns estados dos Estados Unidos estão começando a controlar a regulamentação; por exemplo, recentemente
proposto pelo Senado da Califórnia Bill SB - tornará a Califórnia o primeiro estado dos EUA com um
Lei de segurança cibernética IoT - começando em, qualquer fabricante de um dispositivo que se conecta “diretamente
ou indiretamente "para a Internet deve equipá-la com recursos de segurança" razoáveis ", projetados para
impedir o acesso não autorizado, modificação ou divulgação de informações.
Outra alternativa para impor a regulamentação de forma ampla é usar o "poder do governo de
bolsa ”, exigindo padrões de segurança cibernética apenas para empresas que desejam fazer negócios
com o governo. O objetivo seria que, uma vez que as melhores práticas de segurança fossem desenvolvidas
para atender aos padrões de trabalho com o governo, eles se espalharão para outros mercados
e produtos. Essa abordagem é um equilíbrio razoável entre incentivos e regulamentação. Apenas
Os fornecedores de CPS e IoT que trabalham com o governo federal terão que seguir segurança específica
padrões, mas uma vez que eles são implementados, os mesmos padrões de segurança irão beneficiar outros
mercados onde reutilizam as tecnologias.
Uma das exceções notáveis à falta de regulamentação é a indústria de energia nuclear. Porque
da natureza altamente crítica de segurança desta indústria, a energia nuclear é altamente regulamentada em geral,
e em padrões de segurança cibernética em particular, com processos como o Office for Nuclear
Regulamento (ONR) Princípios de avaliação de segurança no Reino Unido [ ]
Incentivos: uma forma complementar de estimular as empresas a melhorar suas pos- segurança cibernética
ture é que os governos fomentem um mercado de ciber-seguro para proteção CPS . Então, ao invés
de pedir às empresas que sigam padrões específicos, os governos exigiriam que as empresas tivessem
ciberseguro para suas operações [ , , , ] Existe uma visão popular de que
Em certas condições, a indústria de seguros pode incentivar investimentos em proteção [ ]
A ideia é que os prêmios cobrados pelas seguradoras reflitam o sistema cibernético
postura de segurança das empresas CPS ; se uma empresa segue boas práticas de segurança cibernética, o
os prêmios de seguro seriam baixos, caso contrário, os prêmios seriam muito caros (e
isso, em princípio, incentivaria a empresa a investir mais em proteções de segurança cibernética).
Não está claro se este mercado de seguro cibernético crescerá organicamente, ou se precisaria ser
mandatada pelo governo.
Não está claro se os incentivos do governo para melhorar a segurança nos CPSs exigirão primeiro uma catástrofe
ciberataque trófico, mas parece que, no futuro, a escolha não será mais entre
regulamentação governamental e nenhuma regulamentação governamental, mas entre regulamentação governamental inteligente
regulamentação e regulamentação estúpida] [
www.cybok.org
https://translate.googleusercontent.com/translate_f 529/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Cyber-Con ict
As redes de computadores permitem uma extensão à maneira como interagimos com outras pessoas e qualquer conflito
no mundo real , terá sua representação no ciberespaço; incluindo (ciber-) crime, ativismo,
intimidação, espionagem e guerra [ ]
Os cibercriminosos comprometem os computadores em qualquer lugar que possam encontrá-los (mesmo em sistemas de controle
tems). Esses ataques podem não ser direcionados (ou seja, eles não têm a intenção de prejudicar
sistemas de controle), mas podem causar efeitos colaterais negativos: sistemas de controle infectados com mal-
ware pode operar de forma inadequada. O mais famoso ataque não direcionado a sistemas de controle
ocorreu em, quando o worm Slammer afetou o sistema computadorizado de monitoramento de segurança
na usina nuclear Davis-Besse, nos Estados Unidos. Enquanto a planta não estava conectada a
a Internet, o worm entrou na rede da fábrica por meio de um computador infectado de um contratado.
conectado por telefone diretamente à rede da planta, contornando assim o rewall [ ] UMA
exemplo mais recente de um ataque não direcionado ocorreu em 6, quando um sistema de computador
que gerenciava as operações de tratamento de água de uma planta de filtragem de água perto de Harrisburgh Pen-
sylvania, foi comprometida e usada para enviar spam e redistribuir software ilegal [ 6]
Mais recentemente, o ransomware também foi usado para atacar CPSs, como o ataque ao austríaco
hotel [ ], em que os hóspedes não conseguiram ativar as chaves do quarto até que o hotel pagasse
o resgate.
Funcionários insatisfeitos são uma das principais fontes de ataques de computador direcionados contra sistemas de controle
tems [ , , ] Esses ataques são importantes do ponto de vista da segurança porque
eles são causados por insiders: indivíduos com acesso autorizado a computadores e redes
usado por sistemas de controle. Portanto, mesmo se os sistemas tivessem autenticação e autorização adequadas
ção, bem como a pouca informação disponível publicamente sobre eles, os ataques de insiders ainda estariam
seja possível. Como funcionários insatisfeitos geralmente agem sozinhos, as consequências potenciais
de seus ataques podem não ser tão prejudiciais quanto o dano potencial causado por organizações maiores
grupos como terroristas e Estados-nação.
Terroristas e ativistas são outra ameaça potencial aos sistemas de controle. Enquanto não houver
evidências concretas de que terroristas ou ativistas visaram sistemas de controle por meio de ataques cibernéticos,
há uma ameaça crescente de tal ataque no futuro.
Os estados nacionais estão estabelecendo unidades militares com experiência em segurança de computadores para qualquer futuro
con itos. Por exemplo, os EUA estabeleceram o Cyber Command [ ] para conduzir espectro total
operações (capacidades ofensivas) em, e vários outros países também anunciaram
maiores esforços ao mesmo tempo. O papel das redes de computadores na guerra tem sido um tópico
de discussão acadêmica desde 8 [ 6], e os CPSs estão desempenhando uma diferença fundamental na
como as guerras são travadas, a partir de unidades robóticas e veículos não tripulados apoiando soldados no
campo, para discussões de ciberguerra [ ]
Além de terra, ar, mar e espaço, o ciberespaço é agora considerado por muitas nações como um
teatro de conflito adicional. Os tratados internacionais desenvolveram o direito internacional público
a respeito de dois princípios fundamentais do direito da guerra () jus ad bellum o direito de travar uma guerra, e
() jus in bellum conduta aceitável em tempo de guerra. Duas fontes consideraram como a lei de
guerra se aplica ao ciberespaço [ ]: () O Manual de Tallinn e () a Fala de Koh.
O manual de Tallinn é um estudo não vinculativo do centro cooperativo de defesa cibernética da OTAN de
celência, sobre como a lei da guerra se aplica a conflitos cibernéticos, e o discurso de Koh foi um discurso
dada por Harold Koh, um consultor jurídico do Departamento de Estado dos EUA, que explicou como os
prega o direito internacional aplicado ao ciberespaço. Ambas as fontes concordam que um motivo importante
autorizar o uso da força ( jus ad bellum ) em resposta a uma operação cibernética, é quando o
www.cybok.org
os efeitos físicos de um ataque cibernético são comparáveis aos efeitos cinéticos de outros conflitos armados,
por exemplo, quando um ataque de computador desencadeia o derretimento de uma usina nuclear, abre uma barragem
rio ou desativa o controle do tráfego aéreo. O argumento é que os efeitos de qualquer um desses ataques
são semelhantes à aparência de um ataque de míssil de um inimigo. Em contraste, quando há
nenhum dano físico, o problema de determinar quando um ataque cibernético pode ser considerado um uso de
a força do inimigo não foi resolvida, portanto, ataques cibernéticos à infraestrutura financeira ou eleitoral
de uma nação pode não limpar a barra para ser considerada um ato de guerra.
Uma vez que as nações estão envolvidas na guerra, a questão é como alavancar os ataques de computador de uma forma
isso é consistente com a conduta aceitável em tempo de guerra ( jus in bellum ). A norma convencional
é que os ataques devem distinguir entre objetivos militares e não militares. Objeto militar
Os objetivos podem incluir esforços de combate, apoio à guerra e esforços de sustentação da guerra. O problema em
atacar infraestruturas críticas é que algumas das infraestruturas que suportam esses esforços
estão em uso duplo tanto pelos militares quanto pela população civil. Por exemplo, um grande per-
porcentagem de comunicações militares nos EUA usam redes civis em algum momento, e o
https://translate.googleusercontent.com/translate_f 530/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Outro fator a considerar na concepção de ataques CPS é que a "lei da guerra" em geral pro
Hibita ataques incontroláveis ou imprevisíveis, em particular aqueles que negam a população civil.
ção de objetos indispensáveis, como comida ou água. Embora as armas físicas tenham um limite
área geográfica de impacto, as armas cibernéticas podem ter efeitos colaterais mais incontroláveis; para
Por exemplo, os worms podem se replicar e escapar de sua rede alvo pretendida e infectar civis em
frestruturas. Portanto, as nações terão que testar exaustivamente qualquer arma cibernética para minimizar
consequências imprevisíveis.
Em suma, qualquer conflito futuro no mundo físico terá tecnologias capacitadoras no mundo cibernético
mundo, e pode-se esperar que os ataques a computadores tenham um papel fundamental em conflitos futuros. Lá
é uma grande área cinzenta sobre quais tipos de ataques de computador podem ser considerados um ato de
força, e um desafio futuro será projetar ataques cibernéticos que visem apenas objetivos militares
e minimizar os efeitos colaterais civis. Ao mesmo tempo, a atribuição de ataque no ciberespaço irá
ser mais difícil, e os estados-nação podem ser capazes de se safar com operações de sabotagem sem
enfrentando consequências. É responsabilidade da comunidade internacional projetar novos
estruturas para cobrir conflitos cibernéticos e para os Estados-nação delinearem novas doutrinas que abranjam
como conduzir operações cibernéticas com efeitos colaterais físicos.
Finalmente, a ciberguerra também está relacionada à discussão na última seção sobre ciberseguro.
Por exemplo, após o ciberataque NotPetya em [ 8], várias empresas que tinham comprado
perseguiram proteções de ciber-seguro procuraram obter ajuda de suas seguradoras para
cobrir parte de suas perdas. No entanto, algumas seguradoras negaram as alegações citando uma guerra
exclusão que protege as seguradoras de serem sobrecarregadas com custos relacionados a danos de guerra.
Desde então, as seguradoras têm aplicado a isenção de guerra para evitar reclamações relacionadas ao digital
ataques . Este tipo de dano colateral de ataques cibernéticos pode ser mais comum no
futuro, e apresenta um desafio para as indústrias de seguros em sua busca para quantificar o risco de
eventos de grande escala correlacionados.
https://www.nytimes.com/ / / /technology/cyberinsurance-notpetya-attack.html
www.cybok.org
Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) tem diretrizes para segurança
melhores práticas para TI geral na Publicação Especial 8 -. As agências federais dos EUA devem atender
NIST SP 8 -, mas a indústria em geral (e a indústria lidando com o governo dos EUA em
particular) usa essas recomendações como base para sua postura de segurança. Endereçar
a segurança de sistemas de controle em particular, NIST também publicou um guia para industrial
Sistema de Controle (ICS) Segurança [ 6], uma diretriz para a segurança da rede inteligente no NIST-IR 6 [ ],
e uma diretriz para segurança e privacidade de IoT [ ] Embora essas recomendações não sejam
executáveis, eles podem fornecer orientação para analisar a segurança da maioria das empresas de serviços públicos. UMA
esforço mais recente é a estrutura de segurança cibernética do NIST para proteger a infraestrutura crítica,
que foi iniciado por uma ordem executiva do então presidente dos Estados Unidos, Obama [ ], como um esforço
para melhorar a postura de segurança de infraestruturas críticas.
Outro notável esforço liderado pela indústria para proteger infraestruturas críticas é o Norte
American Electric Reliability Corporation (NERC) padrões de segurança cibernética para sistemas de controle
tems [ 6 ] . O NERC está autorizado a fazer cumprir essas normas, e é esperado
que todas as concessionárias de eletricidade que operam o sistema de energia em massa na América do Norte são totalmente compatíveis
com esses padrões.
Todos esses padrões são gerais e flexíveis. Em vez de prescrever uma tecnologia específica,
soluções, eles fornecem uma visão geral de alto nível da variedade de tecnologias de segurança disponíveis (por exemplo,
autenticação, controle de acesso, segmentação de rede, etc.) e, em seguida, fornecer um conjunto de
https://translate.googleusercontent.com/translate_f 531/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
procedimentos para proteger os sistemas, começando com () coleta de dados para identificar o ataque sur-
face de um determinado sistema (isso inclui um procedimento básico de enumeração de rede que busca
enumerar todos os dispositivos e serviços disponíveis na rede do proprietário do ativo), () construir-
criar uma política de segurança com base na superfície de ataque do sistema e () implantar a segurança
contramedidas, incluindo segmentação de rede ou monitoramento de segurança de rede.
Além desses padrões gerais de segurança para sistemas de controle, as indústrias que de-
velar e manter protocolos de controle industrial específicos, como os usados para SCADA, por exemplo,
IEC, ou aqueles na indústria de processo, por exemplo, PROFINET, também lançaram padrões e
documentação para proteção de redes industriais. Lembre-se de que a maioria desses proto-industriais
cols foram desenvolvidos antes que a segurança fosse uma preocupação urgente para os sistemas de controle industrial,
portanto, os links de comunicação não foram autenticados ou criptografados. O novo padrão
IEC 6 destina-se a orientar os proprietários de ativos sobre como implantar uma rede segura para autenticar
e criptografar links de rede, e outras organizações lançaram suporte semelhante, como,
fornecendo extensões de segurança para PROFINET. Em vez (ou além) de usar esses
recomendações de segurança da camada de aplicação final, alguns operadores podem preferir usar
proteções de segurança de camada de redes IP, incluindo TLS e IPSec.
www.cybok.org
Este padrão se baseia estreitamente no Código de Prática para Segurança de IoT do Consumidor do Reino Unido [ ]
Outro padrão IoT mais específico da Internet Engineering Task Force (IETF) para IoT de-
vícios é a descrição de uso do fabricante (LAMA) padrão [ ] O objetivo deste padrão
é automatizar a criação de listas brancas de rede , que são usadas por administradores de rede
para bloquear qualquer conexão não autorizada pelo dispositivo. Outros padrões de segurança de IoT em desenvolvimento
operados pela IETF incluem protocolos para segurança de comunicações, controle de acesso, restrição
comunicações e atualizações de rmware e software [ ]
Todos esses esforços e padrões da indústria têm essencialmente três objetivos: () criar consciência
de questões de segurança em sistemas de controle, () ajudar os operadores de sistemas de controle e segurança de -
cers projetar uma política de segurança, e () recomendar mecanismos básicos de segurança para prevenção
(autenticação, controles de acesso, etc), detecção e resposta a violações de segurança. Para o
a maior parte dos esforços da indústria para proteger os CPSs são baseados nos mesmos princípios técnicos
de sistemas gerais de Tecnologia da Informação. Portanto, as melhores práticas da indústria estão por trás
práticas recomendadas gerais de segurança de TI e a pesquisa de segurança CPS mais recente discutida em
este KA. Esperamos que na próxima década a pesquisa de segurança CPS se torne madura o suficiente para
começar a ter um impacto nas práticas da indústria.
CONCLUSÕES
Como a tecnologia continua a integrar computação, rede e elementos de controle em novos
sistemas ciber-físicos, também precisamos treinar uma nova geração de engenheiros, cientistas da computação
entistas e cientistas sociais para serem capazes de capturar a natureza multidisciplinar da segurança do CPS ,
como ataques de transdução. Além disso, conforme as tecnologias por trás da segurança CPS amadurecem, alguns
deles se tornarão as melhores práticas aceitas pelo setor, enquanto outros podem ser esquecidos. Dentro
8, uma das áreas com maior impulso é a indústria de segurança de rede,
itoring (detecção de intrusão) em redes físicas cibernéticas. Várias empresas start-up no
EUA, Europa e Israel oferecem serviços de perfil e caracterização de redes industriais, para
ajudar os operadores a entender melhor o que é permitido e o que deve ser bloqueado. No outro
Por outro lado, existem outras áreas de pesquisa de segurança do CPS que estão apenas começando a ser analisadas, como o
trabalhar na mitigação de ataques e, em particular, na resposta a alertas de detecção de intrusão
sistemas.
Estamos apenas no ponto de partida para a pesquisa de segurança CPS , e as próximas décadas trarão
novos desafios à medida que continuamos a integrar coisas físicas com recursos de computação.
https://translate.googleusercontent.com/translate_f 532/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Outro
dashandbook
Página 667
https://translate.googleusercontent.com/translate_f 533/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Capítulo
Segurança da Camada Física
e telecomunicações
Srdjan Čapkun ETH Zurique
INTRODUÇÃO
Esta área de conhecimento é uma revisão dos tópicos mais relevantes na segurança da camada física sem fio.
O fenômeno físico utilizado pelas técnicas apresentadas nesta Área do Conhecimento é o
radiação de ondas eletromagnéticas. As frequências consideradas a seguir consistem no
espectro inteiro que varia de alguns Hertz a frequências além da luz visível
(espectro óptico). Esta área de conhecimento cobre conceitos e técnicas que exploram o
forma como esses sinais se propagam através do ar e outros meios de transmissão. É organizado
em seções que descrevem mecanismos de segurança para métodos de comunicação sem fio como
bem como algumas implicações de emanações de radiofrequência não intencionais.
Uma vez que a maioria das frequências usadas para comunicação sem fio residem na especificação de radiofrequência
https://translate.googleusercontent.com/translate_f 534/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
trum e siga as bem compreendidas leis da teoria de propagação de rádio, a maioria deste
A área de conhecimento é dedicada a conceitos de segurança com base em aspectos físicos de rádio fre-
transmissão de freqüência. O capítulo, portanto, começa com uma explicação dos fundamentos
conceitos e técnicas principais que foram desenvolvidos para fazer uso da comunicação sem fio
camada catiônica para confidencialidade, integridade, controle de acesso e comunicação secreta. Esses
técnicas usam principalmente propriedades de modulações de camada física e propagação de sinal para
aumentar a segurança dos sistemas.
Depois de apresentar esquemas para proteger o canal wireless, a Área de Conhecimento continua
faz uma revisão das questões de segurança relacionadas à camada física sem fio, com foco naquelas
aspectos que tornam os sistemas de comunicação sem fio diferentes dos sistemas com fio. Mais não
tably, interferência de sinal, aniquilação de sinal e resiliência de interferência. A seção sobre jamming
é seguido por uma revisão das técnicas capazes de realizar a identificação de dispositivos físicos
(ou seja, impressão digital do dispositivo), extraindo características exclusivas do dispositivo (analógico)
circuitos.
Depois disso, o capítulo continua a apresentar abordagens para realizar distância segura
medições e posicionamento seguro com base em ondas eletromagnéticas. Protocolos para dis-
medições de resistência e posicionamento são projetados para impedir ameaças no físico
camada, bem como a camada lógica. Esses vetores de ataque são abordados em detalhes, juntamente com
estratégias de defesa e os requisitos para a verificação da posição segura.
Em seguida, a área de conhecimento cobre emanações sem fio não intencionais de dispositivos como
de monitores de computador e resume os ataques de canal lateral sem fio estudados na literatura.
Isso é seguido por uma análise sobre spoo ng de sensores analógicos. Emissões não intencionais são
em sua natureza diferente dos sistemas de comunicação sem fio, especialmente porque estes
as interações não são estruturadas. Eles não são projetados para transportar informações, no entanto, eles
também usam - ou podem ser afetados por - ondas eletromagnéticas.
Finalmente, após ter tratado os conceitos fundamentais de segurança física sem fio, este
A área de conhecimento apresenta uma seleção de tecnologias de comunicação existentes e discute
seus mecanismos de segurança. Explica as opções de design e destaca as possíveis deficiências
ao referir-se aos princípios descritos nas seções anteriores. Incluem-se exemplos de
comunicação próxima e comunicação sem fio na indústria de aviação, seguida por
as considerações de segurança das redes celulares. Segurança dos sistemas de navegação global e
de sistemas de posicionamento terrestre é coberto por último, uma vez que os objetivos de segurança de tais sistemas
são diferentes dos sistemas de comunicação e estão principalmente relacionados ao posicionamento de spoo ng re-
silêncio.
www.cybok.org
CONTENTE
[ , 6, , 8, , ]
Proteger redes sem fio é um desafio devido ao meio de transmissão compartilhado que torna
é fácil para adversários remotos espionar, modificar e bloquear a comunicação entre
dispositivos. No entanto, a comunicação sem fio também oferece algumas oportunidades únicas. Sinal de rádio
nais são afetados por reflexão, difração e espalhamento, todos os quais contribuem para uma com-
comportamento multi-caminho plex de sinais comunicados. A resposta do canal, medida em
o receptor, pode, portanto, ser modelado como tendo uma frequência e posição dependente aleatória
componentes. Além disso, dentro do curto espaço de tempo e na ausência de interferência, com
as partes comunicantes irão medir as respostas do canal altamente correlacionadas. Essas respostas podem
portanto, ser usado como aleatoriedade compartilhada, indisponível para o adversário, e formar uma base de
comunicação segura.
Deve-se notar que a criptografia moderna fornece muitos protocolos diferentes para as-
garantir a confidencialidade, integridade e autenticidade dos dados transmitidos por meio de sinais de rádio. Se
as partes que se comunicam estão associadas umas às outras ou compartilham um segredo mútuo, criptográfico
protocolos gráficos podem efetivamente estabelecer comunicação segura, fazendo uso de criptografia
material de keying togrraphic. No entanto, se a mera troca de informações não for o único objetivo de um
sistema sem fio (por exemplo, em um sistema de posicionamento), ou se nenhum segredo pré-compartilhado estiver disponível, criptografar
protocolos gráficos operando em camadas superiores da pilha de protocolo não são suficientes e
construções de camada física podem ser soluções viáveis. Os principais esquemas da camada física são pré-
https://translate.googleusercontent.com/translate_f 535/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
enviado nas seguintes seções.
Os esquemas de estabelecimento de chaves da camada física operam da seguinte maneira. As partes comunicantes
(Alice e Bob) primeiro trocam pacotes de dados pré-acordados e não secretos. Cada parte então mede
assegura a resposta do canal sobre os pacotes recebidos. O acordo principal é, então, tipicamente
executado em três fases.
Fase de quantização: Alice e Bob criam uma série temporal de propriedades de canal que são medidos
sobre os pacotes recebidos. Propriedades de exemplo incluem RSSI e CIR. Qualquer propriedade
que se acredita não ser observável pelo invasor pode ser usado. O tempo medido se-
ries são então quantizados por ambas as partes de forma independente. Esta quantização é normalmente baseada em
limites fixos ou dinâmicos.
www.cybok.org
Fase de reconciliação de informações: uma vez que a fase de quantização pode resultar em discordância
sequências de Alice e Bob, eles precisam reconciliar suas sequências para corrigir qualquer
erros. Isso normalmente é feito aproveitando códigos de correção de erros e tecnologia de ampliação de privacidade
niques. A maioria dos esquemas usa algoritmos simples de passagem de nível para quantização e não usa
técnicas de codificação. No entanto, se a derivação principal usa métodos baseados nos estados do canal
cujas distribuições não são necessariamente simétricas, métodos de quantização mais sofisticados
ods, como aproximar os fenômenos de desvanecimento do canal como uma fonte Gaussiana, ou (multi-
nível) a codificação é necessária [ ]
Fase de verificação chave: nesta última fase, as partes comunicantes con rmam que estabeleçam
lida uma chave secreta compartilhada. Se esta etapa falhar, as partes precisam reiniciar o estabelecimento da chave.
A maioria das pesquisas em técnicas da camada física tem se preocupado com a escolha de
propriedades do canal e da técnica de quantização. Mesmo se a chave da camada física estabelecer
técnicas de mentais parecem atraentes, muitas delas têm se mostrado vulneráveis ao ac-
adversários ativos, fisicamente distribuídos e com várias antenas. No entanto, em uma série de cenários
iOS onde os dispositivos são móveis e onde o invasor é restrito, eles podem ser valiosos
substituição ou aprimoramento de técnicas tradicionais de estabelecimento de chave pública.
www.cybok.org
.. Capacidade de sigilo
A capacidade de sigilo é um conceito teórico da informação que tenta determinar o máximo
taxa má em que um canal sem fio pode ser usado para transmitir informações confidenciais sem
contando com criptografia de camada superior, mesmo se houver um intruso presente. Um resultado famoso
por Shannon [ ] diz que, para um adversário com poder de computação ilimitado, condição-
transmissão totalmente segura só pode ser alcançada se uma cifra one-time-pad for usada para criptografar o
informações transmitidas. No entanto, Wyner mais tarde mostrou que se o canal do invasor ligeiramente
degrada a informação, ou seja, o canal é ruidoso, a capacidade de sigilo pode sim ser pos-
ativo sob certas condições [ ] Isso significa que é possível transmitir uma mensagem secreta
sem vazar qualquer informação para um bisbilhoteiro. Csiszár e Korner estenderam o de Wyner
resultado, mostrando que a capacidade de sigilo é diferente de zero, a menos que o canal do adversário (fio-
tap channel) é menos barulhento do que o canal que transporta a mensagem do legítimo
transmissor para o receptor [ ] Esses resultados teóricos foram refinados para o concreto
modelos de canal, assumindo um certo tipo de ruído (por exemplo, Gaussiano) e layout de canal (por exemplo,
SIMO e MIMO) Os pesquisadores conseguiram derivar expressões matemáticas explícitas
e limites, mesmo quando se leva em consideração fenômenos complexos, como desbotamento, que é
presente em canais sem fio [ ]
Uma implementação prática do conceito de capacidade de sigilo pode ser alcançada principalmente por nós-
os dois métodos descritos acima. As partes comunicantes estabelecem um segredo
extrair recursos do canal sem fio (consulte . .) ou eles se comunicam com
uns aos outros usando estratégias de codificação e transmissão inteligentes, possivelmente contando com
várias antenas (ver . .) Portanto, o estudo da capacidade de sigilo pode ser entendido como
a estrutura teórica da informação para o estabelecimento de chaves e MIMO-segurança suportada
mecanismos no contexto da comunicação sem fio.
.. Jamming amigável
Semelhante à cegueira ortogonal, os esquemas de interferência amigável usam interferência de sinal gerada
colaborando com dispositivos para evitar que um invasor se comunique com o protegido
dispositivo, ou para evitar que o invasor escute mensagens enviadas por dispositivos protegidos
vícios. O Friendly Jamming pode, portanto, ser usado tanto para confidencialidade quanto para controle de acesso.
Ao contrário do Orthogonal Blinding, o Friendly Jamming não aproveita o conhecimento do canal
para o receptor. Se um dispositivo de colaboração (ou seja, o jammer amigável) deseja evitar que não seja autorizado
A comunicação aumentada com o dispositivo protegido irá travar o receptor do dispositivo protegido
vice. Se quiser evitar espionagem, ele transmitirá sinais de interferência nas proximidades de
o dispositivo protegido. Impedir a comunicação com um dispositivo protegido não requer nenhum recurso especial
suposições sobre a localização dos dispositivos de colaboração. No entanto, protegendo contra beirais-
cair requer que o bisbilhoteiro seja incapaz de separar os sinais dos protegidos
dispositivo daqueles originados no dispositivo de colaboração. Para que isso aconteça, o canal de
o dispositivo protegido para o invasor não deve ser correlacionado ao canal da col-
dispositivo de trabalho para o invasor. Para garantir isso, o dispositivo protegido e o colaborador
o dispositivo precisa ser normalmente colocado a menos da metade do comprimento de onda de uma portadora. Esta suposição
baseia-se no fato de que, em teoria, um invasor com várias antenas que tenta distinguir
o sinal de interferência do sinal alvo requer que os dois transmissores sejam separados por
mais da metade de um comprimento de onda. No entanto, a deterioração do sinal é gradual e foi demonstrado
que sob algumas condições, um invasor com várias antenas será capaz de separar esses sinais
e recuperar as mensagens transmitidas.
O bloqueio amigável foi originalmente proposto para a proteção desses implantes médicos (por exemplo,
https://translate.googleusercontent.com/translate_f 537/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 672 O Conhecimento em Segurança Cibernética
www.cybok.org
marcapassos já implantados) que não têm capacidade para realizar operações criptográficas.
A ideia principal era que o dispositivo colaborador (ou seja, 'o escudo') seria colocado em torno do
pescoço do usuário, próximo ao marca-passo. Este dispositivo, então, receberia e congestionaria simultaneamente
toda a comunicação do implante. O escudo seria então capaz de encaminhar o recebido
mensagens para qualquer outro dispositivo autorizado usando técnicas criptográficas padrão.
Uma técnica básica que foi proposta neste contexto são os códigos de integridade , uma modulação
esquema que fornece um método para garantir a integridade (e uma base para autenticação) de
uma mensagem transmitida por um canal público. Os códigos de integridade baseiam-se na observação de que, em
uma configuração móvel e em um ambiente rico em vários caminhos, é difícil para o invasor aniquilar
sinais escolhidos aleatoriamente.
www.cybok.org
https://translate.googleusercontent.com/translate_f 538/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[ , 6]
O congestionamento de comunicação é uma interferência que impede o (s) receptor (es) de sucesso
reconhecer e decodificar com sucesso a mensagem transmitida. Acontece quando o jammer
injeta um sinal que, quando combinado com a transmissão legítima, impede o receptor
extrair as informações contidas na transmissão legítima. Jamming pode ser
cirúrgico e afeta apenas o preâmbulo da mensagem, evitando assim a decodificação, ou pode ser abrangente
abrangente e visa afetar todos os símbolos na transmissão.
Dependendo de seu comportamento, os bloqueadores podem ser classificados como constantes ou reativos . Constante
os bloqueadores transmitem permanentemente, independentemente da transmissão legítima. Atolamento reativo
os mers são mais ágeis quando percebem a transmissão e, em seguida, bloqueiam. Isso permite que eles salvem
energia, bem como para não ser detectado. A força do jammer é normalmente expressa em termos de
potência de saída e sua eficácia como a razão de interferência para sinal no receptor. Além
uma certa razão de interferência para sinal, o receptor não será capaz de decodificar a informação
contido no sinal. Esta proporção é específica para receptores particulares e esquemas de comunicação.
Os principais parâmetros que influenciam o sucesso do bloqueio são a potência de transmissão do
jammer e transmissor benigno, seus ganhos de antena, frequência de comunicação e seus re-
distâncias específicas até o receptor benigno. Esses parâmetros determinarão o bloqueio para
relação do sinal.
Técnicas de espalhamento espectral são normalmente eficazes contra bloqueadores que não podem cobrir o
todo o espectro de comunicação em todos os momentos. Essas técnicas fazem um remetente espalhar um sinal
final em toda a banda disponível de frequências de rádio, o que pode exigir um considerável
quantidade de energia. A capacidade do invasor de impactar a transmissão é limitada pelo
www.cybok.org
M1M2 M3 Ml
M1 H2 … Ml
(ECC) m1 m2 ml
ganho de processamento da comunicação de espalhamento espectral. Este ganho é a razão pela qual
interferência pode ser suprimida em relação ao sinal original e é calculada como uma razão de
a largura de banda de radiofrequência do sinal espalhado para a banda de informação não espalhada (banda base)
largura.
As técnicas de espalhamento espectral usam sequências geradas aleatoriamente para espalhar sinais de informação
nals em uma banda mais ampla de frequências. O sinal resultante é transmitido e, em seguida, difundido
nos receptores, correlacionando-o com a sequência de espalhamento. Para que isso funcione, é essencial
que o transmissor e o receptor compartilham a mesma sequência secreta de propagação. Em FHSS, esta
sequência é o conjunto de frequências centrais e a ordem em que o transmissor e o receptor
alternar entre eles em sincronia. Em DSSS, o sinal de dados é modulado com o espalhamento
seqüência; este processo mistura efetivamente o sinal da portadora com a sequência de propagação, assim
aumentando a largura de banda de frequência do sinal transmitido. Este processo permite tanto
interferências de banda estreita e banda larga devem ser suprimidas no receptor. A menos que o jammer
https://translate.googleusercontent.com/translate_f 539/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pode adivinhar o código de espalhamento, seu sinal de interferência será espalhado no receptor, enquanto
a transmissão legítima será difundida, permitindo sua detecção. O segredo do
códigos de espalhamento são, portanto, cruciais para a resiliência de congestionamento de sistemas de espectro de espalhamento.
É por isso que uma série de sistemas civis que usam a disseminação com códigos de disseminação públicos,
como o GPS e 8. b, permanecem vulneráveis a bloqueios.
Para lidar com tais cenários, técnicas de espalhamento espectral descoordenadas foram propostas: UFH
e UDSSS. Essas técnicas permitem a comunicação de transmissão anti-jamming sem pré-
segredos compartilhados. O salto de frequência descoordenado depende do fato de que, mesmo se o remetente
saltos de uma maneira que não é coordenada com o receptor, a taxa de transferência deste canal
ser diferente de zero. Na verdade, se o receptor for banda larga, ele pode recuperar todas as mensagens transmitidas.
ted pelo remetente. O UFH , entretanto, apresenta novos desafios. Dado que o remetente e o
receptor não são sincronizados e fragmentos de mensagens curtas são transmitidos dentro de cada salto
não são autenticados, o invasor pode injetar fragmentos que fazem a remontagem do
pacotes inviáveis. Para evitar isso, o UFH inclui esquemas de ligação de fragmentos que tornam isso
remontagem possível, mesmo sob envenenamento.
www.cybok.org
edly seleciona uma nova sequência de distribuição selecionada aleatoriamente do conjunto público e espalha
a mensagem com esta sequência. Portanto, UDSSS não requer fragmentação de mensagem
no remetente nem remontagem da mensagem nos destinatários. Os receptores gravam o sinal em
o canal e espalhar a mensagem aplicando sequências do conjunto público, usando um
abordagem de tentativa e erro. Os receptores não estão sincronizados com o início do remetente
mensagem e, portanto, gravar por (pelo menos) duas vezes o tempo de transmissão da mensagem. Após o sam-
pling, o receptor tenta decodificar os dados no buffer usando sequências de código do
definido e aplicando um protocolo de janela deslizante.
A ofuscação de sinais maliciosos não pode apenas enganar o receptor para uma decodificação diferente
dados do que o pretendido, ele também pode ser usado para alterar quaisquer propriedades físicas que o receptor possa
extrair durante a recepção do sinal, como ângulo de chegada ou hora de chegada. Ofuscando
ataques têm se mostrado particularmente eficazes contra sistemas que dependem de
propriedades da camada, incluindo sistemas de posicionamento e alcance.
https://translate.googleusercontent.com/translate_f 540/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Técnicas de identificação de camada física permitem a identificação de dispositivos sem fio por
características únicas de seus circuitos analógicos (rádio); este tipo de identificação também é
referido como Impressão digital de rádio. Mais precisamente, a identificação do dispositivo da camada física é o
processo de impressão digital do circuito analógico de um dispositivo, analisando a comunicação do dispositivo
comunicação na camada física com o objetivo de identificar um dispositivo ou uma classe de dispositivos.
Este tipo de identificação é possível devido a imperfeições de hardware no circuito analógico
introduzido no processo de fabricação. Essas imperfeições são remotamente mensuráveis como
eles aparecem nos sinais transmitidos. Enquanto fabricação e controle de qualidade mais precisos
poderia minimizar tais artefatos, muitas vezes é impraticável devido à produção significativamente maior
custos.
Os sistemas de identificação de dispositivos de camada física visam identificar (ou verificar a identidade de)
www.cybok.org
dispositivos ou suas classes de afiliação, como seu fabricante. Esses sistemas podem ser visualizados
como sistemas de reconhecimento de padrões tipicamente compostos por: uma configuração de aquisição para adquirir sinais
nais de dispositivos sob identificação, também referidos como sinais de identificação, uma característica ex-
módulo de tração para obter informações relevantes de identificação dos sinais adquiridos, também
referido como impressões digitais, e uma correspondência de impressão digital para a comparação de impressões digitais e notify-
sistema de aplicação solicitando a identificação dos resultados da comparação. Tipicamente,
Existem dois módulos em um sistema de identificação: um para inscrição e um para identificação
ção Durante a inscrição, os sinais são capturados de cada dispositivo ou de cada (conjunto de) classe
dispositivo (s) representativo (s) considerado (s) pelo sistema de aplicação. Impressões digitais obtidas de
o módulo de extração de características são então armazenados em um banco de dados (cada ngerprint pode ser vinculado
com alguma forma de ID exclusivo que representa o dispositivo ou classe associada). Durante a identificação
ção, impressões digitais obtidas a partir dos dispositivos sob identificação são comparadas com a referência
ngerprints armazenados durante a inscrição. A tarefa do módulo de identificação pode ser dupla: ei-
reconhecer (identificar) um dispositivo ou sua classe de afiliação entre muitos dispositivos registrados ou
classes (: N comparações) ou verifique se a identidade ou classe de um dispositivo corresponde a uma identidade reivindicada
ou classe (: comparação).
Embora o que permite que um dispositivo ou uma classe de dispositivos sejam identificados de forma única entre outros
dispositivos ou classes de dispositivos é conhecido por ser devido a imperfeições introduzidas no manual
fase de fabricação do circuito analógico, os componentes do dispositivo real que causam estes têm
nem sempre foram claramente identificados em todos os sistemas. Por exemplo, os sistemas de identificação VHF são
com base na exclusividade dos sintetizadores de frequência dos transmissores (osciladores locais), enquanto em
Sistemas RFID , alguns estudos apenas sugeriram que o sistema de identificação proposto pode
dependem de imperfeições causadas pelas antenas e bombas de carga do dispositivo RFID . Identificando
os componentes exatos podem se tornar mais difíceis quando se considera a decomposição relativamente complexa
vícios. Nestes casos, é comum a identificação em todo o circuito analógico, ou em um específico
sub-circuito, a causa das imperfeições. Por exemplo, IEEE 8. transceptores foram identificados
ed considerando recursos relacionados à modulação; a causa dos artefatos de hardware pode ser então
localizado no subcircuito modulador dos transceptores. Conhecer os componentes que fazem
dispositivos exclusivamente identificáveis podem ter implicações relevantes para ataques e aplicações
ções, o que torna a investigação de tais componentes um importante problema aberto e
direção de pesquisa.
https://translate.googleusercontent.com/translate_f 541/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
KA Segurança da Camada Física e Telecomunicações | Outubro Página 6
www.cybok.org
.. Sinais de identificação
Considerando dispositivos que se comunicam por meio de sinais de rádio, ou seja, enviam dados de acordo com
alguma especificação e protocolo definidos, a identificação na camada física visa extrair
obter características únicas dos sinais de rádio transmitidos e usar essas características
para distinguir entre diferentes dispositivos ou classes de dispositivos. Definimos sinais de identificação
como os sinais que são coletados para fins de identificação. As características do sinal são
principalmente com base na observação e extração de informações das propriedades do transmitido
sinais, como amplitude, frequência ou fase durante um determinado período de tempo. Essas janelas de tempo
pode cobrir diferentes partes dos sinais transmitidos. Principalmente, distinguimos entre dados e
partes não relacionadas a dados. As partes de dados dos sinais se relacionam diretamente aos dados (por exemplo, preâmbulo, mi-
transmissão damble, carga útil), o que leva a propriedades relacionadas aos dados consideradas, como
erros de modulação, amplitude do preâmbulo (midâmbulo), frequência e fase, transformação espectral
mações. Partes de sinais não relacionadas a dados não estão associadas à transmissão de dados. Exame-
Os valores incluem os transientes de ativação, regiões quase transientes, sinais de rajada de RF . Estes foram
usado para identificar transceptores sem fio ativos (IEEE 8., 8..) e transponders passivos
(ISO HF RFID).
As características extraídas dos sinais de identificação são chamadas de recursos. Aqueles podem ser
pressuposto ou inferido. Os recursos predefinidos estão relacionados a características de sinal bem conhecidas.
Esses podem ser classificados como in-speci cation e out-speci cation. As especificações são usadas para
controle de qualidade e descrição das tolerâncias a erros. Exemplos de características especificadas
incluem erros de modulação, como deslocamento de frequência, deslocamento de origem I / Q, magnitude e fase
erros, bem como parâmetros relacionados ao tempo, como a duração da resposta. Exemplos de
as características fora de especificação incluem distorção do clock e a duração do transiente de ativação.
Diferentemente das características predefinidas, onde as características consideradas são conhecidas em ad-
vance antes da gravação dos sinais, dizemos que as características são inferidas quando são ex-
extraído de sinais, por exemplo, por meio de algumas transformações espectrais, como Rápida
Transformada de Fourier (FFT) ou Transformada Wavelet Discreta (DWT), sem conhecimento a priori de
uma característica de sinal específica. Por exemplo, transformações wavelet foram aplicadas em
transientes de ativação de sinal e diferentes regiões de sinal relacionadas aos dados. O transformado de Fourier
também foi usada para extrair recursos do transiente de ativação e de outras tecnologias
respostas específicas do dispositivo. Os recursos predefinidos e inferidos podem estar sujeitos a mais
análise estatística para melhorar a sua qualidade e poder de distinção.
. Capacidade de cobrança. Deve ser possível capturar os sinais de identificação com os existentes
equipamentos (disponíveis).
www.cybok.org
. Robustez. Impressões digitais não devem estar sujeitas, ou pelo menos, devem ser avaliadas
no que diz respeito aos aspectos ambientais externos que influenciam diretamente os sinais coletados
nal como interferência de rádio devido a outros sinais de rádio, materiais circundantes, recepção de sinal
ções, absorção, etc., bem como aspectos de posicionamento como a distância e orientação
entre os dispositivos sob identificação e o sistema de identificação. Além disso, n-
gerprints deve ser robusto para aspectos relacionados ao dispositivo, como temperatura, nível de tensão e
nível de poder. Muitos tipos de robustez podem ser aceitáveis para uma identificação prática
https://translate.googleusercontent.com/translate_f 542/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
sistema. Geralmente, a obtenção de recursos robustos ajuda na construção de identificações mais confiáveis
sistemas de cação.
6. Dependência de dados. As impressões digitais podem ser obtidas a partir de recursos extraídos de um
padrão de bits (parte relacionada aos dados do sinal de identificação) transmitido por um dispositivo sob
identificação (por exemplo, o ID reivindicado enviado em um quadro de pacote). Esta dependência tem particular
implicações extremamente interessantes se as impressões digitais puderem ser associadas a ambos os dispositivos
e dados transmitidos por esses dispositivos. Isso pode fortalecer a autenticação e ajudar
evitar ataques de repetição.
Geralmente, esses ataques podem ser divididos em dois grupos: repetição de sinal (P) configuração e repetição de recurso
ataques . Em um ataque de replay de sinal, o objetivo do invasor é observar a identificação analógica
sinais de um dispositivo alvo, capturá-los em uma forma digital (amostragem digital) e, em seguida, transmitir
(reproduzir) esses sinais para o sistema de identificação por algum meio apropriado. O
o invasor não modifica os sinais de identificação capturados, ou seja, o sinal analógico e
a carga útil de dados é preservada. Este ataque é semelhante à reprodução de mensagens no Dolev-Yao
modelo no qual um invasor pode observar e manipular informações atualmente no ar em
vontade. Ao contrário dos ataques de replay de sinal, onde o objetivo do ataque é reproduzir o que foi capturado
sinais de identificação em sua totalidade, recurso de replay attack cria, modi ca ou compõe
sinais de identificação que reproduzem apenas as características consideradas pelo sistema de identificação.
A representação analógica dos sinais forjados pode ser diferente, mas os recursos devem
ser o mesmo (ou pelo menos muito semelhante).
Protocolos de medição de distância segura (ou seja, limite de distância) foram propostos para abordar
a questão da verificação da proximidade entre dispositivos (sem fio). Seu uso é amplo e
varia desde a prevenção de ataques de retransmissão até a habilitação do posicionamento seguro.
Proteger a medição de distância requer protocolos seguros na camada lógica e uma distância
técnica de medição resiliente a ataques da camada física. Para atacar a medição de distância,
um invasor pode explorar as fraquezas da camada de dados e da camada física de medição de distância
técnicas e protocolos de segurança. Ataques de camada de dados podem ser, em grande medida, evitados por
implementação de protocolos de limitação de distância. No entanto, os ataques da camada física são significativos
preocupação, uma vez que podem ser executados independentemente de qualquer primitivo criptográfico de camada superior
que é implementado.
https://translate.googleusercontent.com/translate_f 543/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
medir a distância (normalmente denominado verificador e provador) pode ser mutuamente confiável, no qual
caso o protocolo visa prevenir a manipulação de distância por um invasor externo. Se um de
os dispositivos, o provador, não são confiáveis, ele tentará manipular a distância medida. Outro
os cenários incluem o provador não confiável sendo ajudado por terceiros para trapacear em sua distância.
A literatura sobre limites de distância descreve quatro tipos principais de ataques 'fraudes' correspondentes a
os cenários acima: fraude à distância, fraude ma, fraude terrorista e sequestro à distância.
www.cybok.org
Um sinal de rádio sofre uma perda na intensidade do sinal à medida que viaja pelo meio. O
quantidade de perda ou atenuação na força do sinal é proporcional ao quadrado da dis-
tance viajou. A distância entre o transmissor e o receptor pode, portanto, ser calculada
lated com base na equação de perda de caminho de espaço livre. Na realidade, o sinal experimenta
perdas devido à sua interação com os objetos no ambiente que são difíceis de contabilizar
para com precisão. Isso afeta diretamente a precisão da distância calculada e, portanto,
modelos avançados, como o desvanecimento de Rayleigh e modelos de perda de caminho de distância de registro são normalmente
usado para melhorar a precisão da estimativa de distância. Etiquetas de detecção de proximidade baseadas em Bluetooth
(por exemplo, Apple iBeacon e Passive Keyless Entry and Start Systems) usam a força do
sinal Bluetooth recebido, também conhecido como Indicador de Força do Sinal Recebido (RSSI)
valor como uma medida de proximidade.
Finalmente, o tempo que as ondas de rádio levam para viajar de um ponto a outro pode ser usado para
medir a distância entre os dispositivos. Em RFestimativa de distância baseada em RTT
a distância d entre duas entidades é dada por d = (t rx −t tx ) × c, onde c é a velocidade da luz, t tx
e t rx representam o tempo de transmissão e recepção, respectivamente. O tempo medido de
O vôo pode ser tanto de ida como de ida e volta. Tempo de voo só de ida
a medição requer que os relógios das entidades de medição estejam perfeitamente sincronizados. O
erros devido a relógios incompatíveis são compensados na medição do tempo de voo de ida e volta
mento.
https://translate.googleusercontent.com/translate_f 544/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
nível necessário de precisão, sistemas de medição de distância baseados em tempo de voo usam
Impulse-Radio Ultra Wideband (IR-UWB) ou Chirp-Spread Spectrum (CSS) sinais. IR-UWB
sistemas fornecem precisão de nível de centímetro, enquanto a precisão dos sistemas CSS é da ordem
de - m. Há uma série de sistemas sem fio disponíveis comercialmente que usam chirp e
Tempo de voo de ida e volta UWB para medição de distância hoje.
www.cybok.org
Da mesma forma, um invasor também pode manipular a distância estimada entre o verificador e o
provador em sistemas que usam a propriedade de fase ou frequência do sinal de rádio. Por exemplo,
o invasor pode explorar a propriedade mensurável máxima de dis-
sistemas de medição de distância e executar ataques de redução de distância. A média máxima
distância alcançável, ou seja, o maior valor de distância d max que pode ser estimado usando uma fase
sistema de proximidade baseado, depende diretamente da fase mensurável máxima. Dado que o
o valor da fase varia de a π e, em seguida, reverte, a distância máxima mensurável também
rola após um certo valor. Um invasor pode aproveitar essa distância máxima mensurável
propriedade do sistema para executar o ataque de relé decrescente de distância. Durante o
ataque, o atacante simplesmente retransmite (amplia e encaminha) o sinal de interrogação do verificador
para o provador. O provador determina a fase do sinal de interrogação e retransmite um
sinal de resposta que está bloqueado em fase com o sinal de interrogação do verificador. O atacante então
recebe o sinal de resposta do provador e o encaminha para o verificador, porém com um tempo de de-
colocar. O atacante escolhe o tempo de atraso de forma que as diferenças de fase medidas alcancem
seu valor máximo de e rola. Em outras palavras, o atacante foi capaz de provar ao
verifique se o comprovador está próximo (por exemplo, m de distância), embora o comprovador esteja longe
do verificador.
Em tempo de voo (ToF) com base em sistemas de alcance, a distância é estimada com base no tempo
decorrido entre o verificador transmitir um pacote de alcance e receber uma confirmação
ment de volta do provador. A fim de reduzir a distância medida, um invasor deve de-
aumentar o tempo de ida e volta do sinal. Com base na implementação, um invasor pode
reduza a distância estimada em um sistema de alcance baseado no tempo de voo de mais de uma maneira.
Dado que os sinais de rádio viajam à velocidade da luz, uma diminuição ns na estimativa de tempo
pode resultar em uma redução da distância de cm.
O primeiro tipo de ataque na variação do tempo de voo alavanca a natureza previsível dos dados
contidos nos pacotes de alcance e de confirmação. Uma série de intervalos de tempo de combate
sistemas de integração usam pacotes de dados pré-definidos para variação, tornando trivial para um invasor pré-
dict e geram seu próprio sinal de alcance ou reconhecimento. Um invasor pode transmitir o
pacote de confirmação mesmo antes de receber o pacote de alcance do desafio. Várias obras
mostraram que o padrão de fato para IR-UWB, IEEE 8. . um não faz automaticamente
fornecem segurança contra ataques que diminuem a distância. Dentro [ ] foi mostrado que um atacante
pode potencialmente diminuir a distância medida em até metros, prevendo o
dados de preâmbulo e carga útil com mais de% de precisão, mesmo antes de receber todo o
símbolo. Em um ataque de 'cigarra', o atacante transmite continuamente um pulso com uma potência maior
do que o do provador. Isso degrada o desempenho dos receptores baseados em detecção de energia,
resultando na redução das medições de distância. A fim de prevenir tais ataques, é
https://translate.googleusercontent.com/translate_f 545/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Conforme descrito anteriormente, os sistemas de tempo de ida e volta de ida e volta são implementados usando chirp
ou sinais de banda ultralarga de rádio de impulso. Devido aos seus longos comprimentos de símbolo, ambos implementam
ções têm se mostrado vulneráveis a ataques de detecção precoce e confirmação tardia. Dentro do estojo
de sistemas baseados em chirp, um invasor pode diminuir a distância em mais de 6 me em
alguns cenários até m. Embora os pulsos IR-UWB sejam de curta duração (normalmente
- ns longo), os símbolos de dados são normalmente compostos de uma série de pulsos UWB . Além disso,
IEEE 8. . um padrão IR-UWB permite comprimentos de símbolo longos, variando de ns a tão grandes
como 8 µs. Portanto, mesmo o menor comprimento de símbolo de ns permite que um invasor reduza o
distância em até m executando ataques de detecção precoce e confirmação tardia. Assim,
é claro que, a fim de garantir a proximidade e proteger um sistema de proximidade sem fio contra
ataques de detecção precoce e confirmação tardia, é necessário manter o comprimento do símbolo tão curto quanto
possível.
O projeto de uma camada física para medição de distância segura permanece um tópico em aberto. Contudo,
a pesquisa até agora produziu alguns princípios orientadores para seu design. Apenas rádio RTT com
A modulação UWB de pulso ou multipulso mostrou ser segura contra a camada física
ataques. Como resultado, o IEEE 8. . z grupo de trabalho iniciou a padronização de um novo
camada física para medição de distância segura UWB .
A primeira tentativa de formalizar os requisitos para medição de distância segura com base em
a hora de chegada (ToA) de mensagens transmitidas podem ser encontradas em [ ] Dito presentes de trabalho
uma definição formal de Códigos de Hora de Chegada da Mensagem (MTACs), o núcleo primitivo na con-
construção de sistemas para medição segura de ToA . Se implementado corretamente, os MTACs fornecem
a capacidade de resistir a ataques de redução e ampliação em medições de distância. Isto é
mostrado que sistemas baseados em modulação UWB podem ser implementados de modo que o
os requisitos de segurança são atendidos e, portanto, constituem exemplos de esquemas MTAC .
x
V1 V2
P P
V3
https://translate.googleusercontent.com/translate_f 546/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.. Posicionamento Seguro
Os sistemas de posicionamento seguro permitem que as âncoras de posicionamento (também chamadas de verificadores) calculem o
posição correta de um nó (também chamado de provador) ou permitir que o provador determine o seu próprio
posicione corretamente apesar das manipulações do atacante. Isso significa que o invasor não pode
convencer os verificadores ou o provador de que o provador está em uma posição diferente de sua
posição verdadeira. Isso também é chamado de resiliência de spoo ng. Uma propriedade relacionada é a de seguro
verificação de posição, o que significa que os verificadores podem verificar a posição de um não confiável
provador. Geralmente, presume-se que os verificadores são confiáveis. Nenhuma restrição é imposta ao
atacante, pois controla totalmente o canal de comunicação entre os provadores e os verificadores.
A análise de técnicas de posicionamento de transmissão, como GNSS , mostrou que tal tecnologia
técnicos são vulneráveis a spoo ng se o invasor controlar os sinais na antena do
Receptor GNSS .
Este tipo de abordagem foi proposto para resolver este problema: Multilateração verificável
e Posicionamento seguro com base em estações ocultas .
Quando usado para verificação de posição, a Multilateração Verificável é executada com um provador não confiável.
Cada verificador executa um protocolo de delimitação de distância resiliente à fraude à distância com o comprovador. Sediada
nos limites de distância obtidos, os verificadores computam a posição dos provadores. Se esta posição
www.cybok.org
(dentro de alguns limites de erro de distância e posição) cai dentro do triângulo / pirâmide de verificação
no meio, os verificadores o aceitam como válido. Dado que o provador não é confiável, ele pode ampliar qualquer
das distâncias medidas, mas não pode reduzi-las, uma vez que isso é evitado pelo uso de
protocolos de delimitação de distância. Como no caso de posicionamento seguro, a geometria do tri-
o ângulo / pirâmide impede então o provador de reivindicar uma posição falsa. Ao contrário do caso de
posicionamento seguro, a verificação de posição é vulnerável a ataques de clonagem, em que o provador
compartilha sua chave para seus clones. Esses clones podem então ser colocados estrategicamente para os verificadores
e falsifique qualquer posição aumentando as distâncias para cada verificador individual. Este ataque pode ser
possivelmente endereçado por hardware resistente à violação ou impressão digital do dispositivo.
SPOOFING
[ , ,6, , , , , , ]
Dispositivos eletrônicos emitem ondas eletromagnéticas na forma de sinais de rádio e áudio, pro-
aquecer e criar vibração, tudo o que poderia se correlacionar com informações confidenciais que
os dispositivos processam ou armazenam. Tais emanações, ou mais geralmente referidas como canal lateral
nels, são prevalentes e têm sido extensivamente estudados.
.. Emanações comprometedoras
No contexto militar, técnicas de exploração e proteção contra emissão indesejada
em sistemas de comunicação datam da Segunda Guerra Mundial e ao longo do tempo foram col-
selecionado em um termo abrangente denominado TEMPEST. A primeira demonstração pública de baixo custo em-
aderências em sistemas comerciais usando emanações comprometedoras foi feito em 8 por Wim
van Eck [ 6] Este ataque demonstrou que as informações exibidas em monitores CRT podem
ser interceptado com sucesso a uma distância de centenas de metros. Esta demonstração
estimulou pesquisas sobre as fontes de tais emanações, bem como sobre medidas de proteção.
Ele também destacou que não apenas as informações de vazamento de emissões de rádio. Em geral, existem quatro
categorias de tais emanações: acústica, óptica, térmica e eletromagnética.
Estudos detalhados das fontes e características que levam a tais compromissos foram
desenvolvido ao longo dos anos, e em várias ocasiões, foi demonstrado que comprometer
emanações de monitores analógicos e digitais resultaram da transmissão de informações
www.cybok.org
através de cabos de vídeo analógico e através de interface serial digital de alta velocidade (DVI) cabos.
No entanto, trabalhos mais recentes mostram que tais emanações não se restringem a cabos e, a
agravar a situação, as emissões comprometedoras não são necessariamente causadas por análogos ou
monitores digitais apenas.
Alguns ataques descritos na pesquisa mostraram que sons de alta frequência causados por vibração
de componentes eletrônicos (capacitores e bobinas) no circuito de regulação de tensão do computador
pode ser usado para inferir fatores primos e, portanto, derivar chaves de criptografia RSA . Soa ema-
dados a partir do pressionamento de teclas em um teclado foram usados para inferir o que o usuário está digitando. O resultado
as vibrações podem, por exemplo, ser detectadas pelo acelerômetro de um telefone localizado nas proximidades. Fi-
finalmente, reflexos de diferentes objetos nas proximidades de telas de computador, como colheres,
frascos e retina do usuário foram usados para inferir as informações exibidas em um display.
A crescente disponibilidade de telefones que integram sensores de alta qualidade, como câmeras,
microfones e acelerômetros tornam mais fácil montar ataques bem-sucedidos, já que não há
o equipamento de sensor congelado precisa ser colocado secretamente no lugar.
Para evitar emissões de sinal indesejadas, os dispositivos podem ser mantidos à distância, podem ser blindados e
sinais que são transmitidos devem ser filtrados a fim de remover componentes de alta frequência
isso pode refletir a atividade de comutação no circuito. Além disso, geralmente é aconselhável colocar um
fio de retorno próximo ao fio de transmissão para evitar exploração da corrente de retorno.
Em geral, fios e sistemas de comunicação com informações confidenciais devem ser
separados (com intervalo de ar) de sistemas não confidenciais.
.. Compromisso de sensor
Sensores analógicos demonstraram ser particularmente vulneráveis a ataques de spoo ng. Semelhante
comprometer emanações, sensor spoo ng depende do tipo de fenômeno físico
ena o sensor captura. Pode ser acústica, ótica, térmica, mecânica ou eletromagnética.
Hoje em dia, muitos dispositivos eletrônicos, incluindo carros autônomos, dispositivos médicos e
sistemas de controle de loop, apresentam sensores analógicos que ajudam a observar o ambiente e fazer
decisões de forma totalmente autônoma. Esses sistemas são equipados com proteções sofisticadas
mecanismos de instalação para evitar acesso não autorizado ou comprometimento por meio da comunicação do dispositivo
interfaces de catião, como criptografia, autenticação e controle de acesso. Infelizmente, quando
https://translate.googleusercontent.com/translate_f 548/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
se trata de dados coletados por sensores, o mesmo nível de proteção muitas vezes não está disponível ou
difícil de alcançar, uma vez que as interações adversas com um sensor podem ser difíceis de modelar e pré-
dict. Como resultado, EMI não intencional e especialmente intencional direcionado a sensores analógicos
pode representar uma ameaça realista para qualquer sistema que dependa de leituras obtidas de um afetado
sensor.
EMI tem sido usado para manipular a saída de dispositivos médicos, bem como para comprometer
sistemas de alcance ultrassônico. A pesquisa mostrou que dispositivos eletrônicos de consumo equipados
com microfones são especialmente vulneráveis à injeção de sinais de áudio fabricados [ 6 ]
Sinais ultrassônicos foram usados para injetar comandos de voz silenciosos, e ondas acústicas foram usadas
para afetar a saída de acelerômetros MEMS . Com base em acelerômetros e sistemas intericiais
em MEMS são, por exemplo, amplamente usados em drones (de consumo) e multicópteros
Sem dúvida, os ataques de detecção de sensor ganharam muita atenção e provavelmente impactarão
muitos dispositivos ciberfísicos do futuro. Os designers de sistemas, portanto, devem tomar muito cuidado e
proteger sensores analógicos de entrada adversária, pois um invasor pode desencadear uma decisão crítica
na camada de aplicação de tal dispositivo, expondo-o a EMI intencional. Potencial de
www.cybok.org
as estratégias de cerca incluem, por exemplo, blindagem (analógica) dos dispositivos, sinal de medição
contaminação usando várias métricas ou acomodando monitores EMI dedicados para detectar
e leituras de sensor suspeitas.
Uma estratégia promissora que segue a abordagem de quantificar a contaminação do sinal para detectar
O spoo ng do sensor EMI é apresentado em [ ] A saída do sensor pode ser ligada e desligada ac-
de acordo com um padrão desconhecido para o invasor. EMI adversário nos fios entre o sensor
e o circuito convertendo a leitura em um valor digital, ou seja, o ADC, pode ser detectado durante
os tempos em que o sensor está desligado, uma vez que a saída do sensor deve estar em um nível conhecido. Caso haja
são uctuations nas leituras, um ataque é detectado. Essa abordagem é pensada para ser
especialmente eficaz quando usado para proteger sensores passivos energizados ou não. Tem
demonstrou frustrar com sucesso ataques EMI contra um microfone e um
sistema de sensor de ature. A única modificação necessária é a adição de um interruptor eletrônico
que pode ser operado pela unidade de controle ou microcontrolador para ligar e desligar o sensor. UMA
esquema de detecção de spoo ng de sensor semelhante pode ser implementado para sensores ativos, como
sensores ultrassônicos e infravermelhos, incorporando um mecanismo semelhante a uma resposta de desafio em
o processo de aquisição de medição [ ] Um sensor ativo geralmente tem um elemento emissor
e um elemento receptor. O emissor libera um sinal que é refletido e capturado pelo re-
ceiver. Com base nas propriedades do sinal recebido, o sensor pode inferir informações sobre
a entidade ou o objeto que refletiu o sinal. O emissor pode ser desligado aleatoriamente e
durante esse tempo, o receptor não deve ser capaz de registrar nenhum sinal de entrada. Por outro lado,
um ataque é detectado e a leitura do sensor é descartada.
Esta seção apresenta os mecanismos de segurança de uma seleção de comunicações sem fio existentes
técnicas de aplicação que estão em uso hoje. O foco principal está nas construções de segurança da camada física
bem como qualquer falta dela. As técnicas de comunicação que são discutidas em detalhes são
comunicação próxima, redes de comunicação de tráfego aéreo, redes celulares e globais
sistemas de navegação por satélite.
O NFC foi projetado para transmitir e receber dados apenas a uma distância de alguns centímetros.
Mesmo se os protocolos criptográficos de camada superior forem usados, os protocolos NFC vanilla não oferecem
cura a comunicação e não pode garantir que dois dispositivos de comunicação são, de fato, apenas
a uma curta distância um do outro. NFC é vulnerável a espionagem, ataques man-in-the-middle e
ataques de retransmissão de mensagens.
https://translate.googleusercontent.com/translate_f 549/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Mesmo hoje em dia, o NFC padrão é implantado em contextos críticos de segurança devido ao pressuposto
que os dispositivos de comunicação estão próximos. A pesquisa mostrou, no entanto, que este
www.cybok.org
suposição não pode ser verificada de forma confiável usando protocolos NFC . A distância pode ser feita al-
mais arbitrariamente grande, retransmitindo mensagens entre NFCdispositivos habilitados. O ataque funciona
da seguinte forma: os dispositivos NFC benignos são levados a acreditar que estão se comunicando com
uns aos outros, mas na verdade estão trocando dados com um smartphone modificado. Um adversário
pode colocar estrategicamente um smartphone ao lado de cada dispositivo NFC benigno enquanto os smartphones
eles próprios usam um método de comunicação que pode cobrir longas distâncias, como WiFi. Eles
simplesmente encaminhe as mensagens que os dispositivos benignos estão enviando uns aos outros. Tal ataque
também é referido como um ataque de buraco de minhoca, em que as partes comunicantes são enganadas para que
supondo que eles estão mais próximos do que realmente são. Este é um problema que não pode ser resolvido
usando técnicas na camada lógica ou na camada de dados.
Obviamente, a maioria dos ataques descritos podem ser mitigados protegendo os dispositivos NFC ou
aprimore o protocolo com autenticação de dois fatores, por exemplo. Tais mecanismos não
transferir decisões relevantes de segurança para o usuário de um sistema NFC . Contramedidas
que não impõem sobrecarga ao usuário podem ser categorizados em métodos de camada física e
o aumento com identificadores específicos de contexto ou dispositivo [ 8]
O aumento do protocolo envolve dispositivos NFC sensíveis ao contexto que incorporam informações de localização
no sistema NFC para verificar a proximidade. A detecção de localização pode ser implementada com
a ajuda de uma variedade de serviços diferentes, cada um com sua própria precisão e granularidade. Vigarista-
ceivable são, por exemplo, GNSS/ GPS com base na verificação de proximidade ou aproveitando o ID da célula
da estação base da qual o dispositivo NFC está atualmente mais próximo, a fim de inferir uma noção de
proximidade.
Os métodos da camada física que foram sugeridos na literatura de pesquisa são restritos no tempo
ções e delimitação de distância. Aplicar restrições de tempo estritas nas mensagens de protocolo
pode ser entendido como uma forma rudimentar de delimitação de distância. Conforme discutido na Seção. , dis-
limite de distância determina um limite superior na distância física entre duas comunicações
dispositivos interessantes. Embora o limite de distância seja considerado a abordagem mais eficaz, ele ainda
continua a ser mostrado se o limite de distância segura pode ser implementado na prática para pequenas
NFCdispositivos habilitados.
Embora novas propostas sugiram a revisão desses sistemas e a integração total de medidas de segurança
segurança na camada de dados, como criptografia e autenticação de mensagens, comunicação de tráfego aéreo
redes de comunicação não são usadas apenas para transmissão de informações, mas também para extrair
recursos de camada do sinal para realizar o posicionamento de localização da aeronave.
www.cybok.org
mensagens do transponder. Um invasor sofisticado pode até distorcer totalmente a visão que o ATC tem
em seu espaço aéreo.
https://translate.googleusercontent.com/translate_f 550/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Multilateração
de ADS-B não (MLAT) pode
autenticado e, ser vista como
portanto, uma tecnologia
geralmente que atenua
é implementado algumas com
em conjunto das deficiências
ADS-B . MLAT
não depende da informação transmitida encapsulada na mensagem, mas faz uso
da constelação física e geométrica entre o transmissor (ou seja, o transponder de
aeronave) e vários receptores. Os sistemas MLAT extraem propriedades da camada física do
mensagens recebidas. A hora de chegada de uma mensagem é gravada em diferentes regiões co-localizadas
receptores e, usando a velocidade de propagação do sinal, a localização do transpon-
der pode ser estimado. As técnicas de multilateração inferem a localização da aeronave, mesmo que a
tendas das mensagens ADS-B estão incorretas e, portanto, MLAT fornece um meio de verificação cruzada
as informações de localização divulgadas pelo transponder da aeronave.
Embora o MLAT ofereça segurança adicional com base nas propriedades da camada física, um anúncio distribuído
versário ainda pode manipular mensagens ADS-B . Além de alterar as informações de localização,
um invasor pode modificar ou injetar sinais que afetam a medição do tempo de chegada no re-
ceivers. Se o invasor tiver acesso a várias antenas distribuídas e for capaz de coordenar
emissão de sinal adversário com precisão, ataques semelhantes aos do ADS-B padrão são viáveis
ble. No entanto, quanto mais receptores usados para gravar os sinais, mais difíceis esses ataques
vir a ser. Infelizmente, o MLAT nem sempre é uma solução eficaz na aviação como um recurso estratégico
A colocação do receptor é crucial e os cálculos de tempo de chegada podem ser suscetíveis a caminhos múltiplos
interferência [ ]
Redes 'GSM' de segunda geração (G) foram introduzidas durante os anos e restritas
seus serviços para mensagens de voz e texto. Redes G eram capazes de transportar dados via
um serviço de dados comutados por circuito (CSD) que operava de maneira semelhante ao dial-up
modems, apenas através de redes celulares. O desenvolvimento de e-mail e serviços da web resultou
na necessidade de velocidades e serviços aprimorados
GPP melhorou o padrão G GSM com serviço de dados comutados por pacote, resultando no Gen-
Geral Packet Radio Service (GPRS). Como o GSM , o GPRS fez uso do Registro de localização residencial
(HLR), um componente responsável pelo gerenciamento e autenticação da chave do assinante
ção No entanto, GPRS melhorou GSM adicionando o Nó de Suporte Serving GPRS (SGSN) para
roteamento de tráfego de dados e gerenciamento de mobilidade para melhor entrega de tráfego de dados. Terceira Geração-
ção (G) de redes celulares, também conhecidas como Sistemas Universais de Telecomunicações Móveis
(UMTS), introduziu uma série de melhorias nas redes G, incluindo aprimoramento de segurança
mentos, bem como velocidades e capacidades aumentadas de uplink e downlink. Quarta Geração
(G) redes celulares, também conhecidas como Long Term Evolution (LTE) introduziu um aumento adicional
em velocidades e capacidades de transmissão.
Uma das principais propriedades de segurança que as redes celulares visam proteger é a confidencialidade
da comunicação do link entre a estação móvel e a estação base e corrigir
cobrança. A segurança das redes celulares evoluiu com as gerações de rede, mas todos os
erações têm o mesmo conceito abrangente. Os assinantes são identificados por meio de seu (Universal)
www.cybok.org
Módulos de identidade do assinante, sua identidade internacional de assinante móvel (IMSI) número e
sua chave secreta relacionada. IMSI e as chaves são usadas para autenticar assinantes, bem como para
gerar os segredos compartilhados necessários para proteger a comunicação com a rede celular.
https://translate.googleusercontent.com/translate_f 551/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
estação
qual é autenticada
a estação na rede.
móvel está O SGSN
conectada então
a fim envia o Ka estação
de proteger c para a estação base para
móvel para a estação base sem fio
link.
G AKA ofereceu proteção muito limitada. Ele usava um tamanho de chave inadequado (6 a 6 bits) e um áudio fraco
algoritmos de autenticação e geração de chave (A, A e A8) que foram, uma vez lançados, quebrados,
permitindo espionagem e falsificação de mensagens. Além disso, AKA foi projetado para fornecer
autenticação apenas unilateral da estação móvel para a rede. Uma vez que a rede não
autenticar nas estações móveis, isso permitiu ataques por estações base falsas, violando usuários
privacidade de localização e confidencialidade de sua comunicação.
A autenticação e a derivação da chave são realizadas da seguinte forma. O HLR primeiro gera o
desafio aleatório RAND, a partir dele a resposta esperada XRES, as teclas CK e IK e
o token de autenticação AUTN. Em seguida, ele envia esses valores para o SGSN. O SGSN envia o
RAND, bem como o AUTN para a estação móvel (também denominado como Equipamento do Usuário (UE)),
que então usará sua chave de longo prazo K para gerar a resposta RES e verificar se AUTN
foi gerado pelo HLR. O AUTN é da chave compartilhada e o contador mantido por
tanto o HLR quanto a estação móvel. Ao receber o RES da estação móvel, SGSN
irá compará-lo com o XRES e se eles corresponderem, irá encaminhar o CK e IK para a base
estação. A base e a estação móvel agora podem usar essas chaves para proteger suas comunicações.
bilidade. Isso permite que os invasores de rede gravem essas chaves e, portanto, bisbilhotem no wireless
conexões.
G (LTE) a arquitetura de segurança preservou muitos dos principais elementos das redes G e G,
mas teve como objetivo abordar as deficiências de G em termos de proteção da rede interna
tráfego através da proteção de links de rede e redistribuição de funções diferentes. Para ex-
amplo, o armazenamento de chaves de longo prazo foi movido do HLR para o Home Subscriber Server
(HSS) O gerenciamento de mobilidade foi movido do SGSN para o Mobility Management Engine
(MME)
Um ataque de spoo ng de sinal de GPS é um ataque de camada física em que um invasor transmite especial
sinais de rádio criados oficialmente que são idênticos aos sinais de satélite autênticos. GPS civil é fácil
https://translate.googleusercontent.com/translate_f 552/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
extremamente vulnerável a ataques de spoo ng de sinal. Isso se deve à falta de qualquer autenticação de sinal
e os códigos de difusão publicamente conhecidos para cada satélite, esquemas de modulação e dados
estrutura. Em um ataque de spoo de sinal, o objetivo de um invasor pode ser forçar um alvo
receptor para (i) calcular uma posição incorreta, (ii) calcular um tempo incorreto ou (iii) interromper o
receptor. Devido à baixa potência do sinal de satélite legítimo no receptor, o invasor
sinais de spoo podem obscurecer trivialmente os sinais autênticos. Em um ataque de spoo ng, o GPS
receptor normalmente bloqueia (adquire e rastreia) no sinal mais forte do invasor, portanto, ignora
sinais de satélite.
Um invasor pode influenciar a posição do receptor e a estimativa de tempo de duas maneiras: (i) por manipulação
ulating o conteúdo das mensagens de navegação (por exemplo, a localização de satélites, navegação
hora de transmissão da mensagem) e / ou (ii) modificando a hora de chegada da mensagem de navegação
sábios. O invasor pode manipular o tempo de chegada do receptor mudando temporariamente o
sinais de mensagem de navegação durante a transmissão dos sinais de spoo ng. Podemos classificar spoof-
ataques baseados em quão síncrono (no tempo) e consistente (com relação ao conteúdo
das mensagens de navegação) os sinais de spoo ng são em comparação com o GPS legítimo
sinais atualmente sendo recebidos na verdadeira localização do receptor.
Conteúdo da mensagem não coerente e modificado: neste tipo de ataque, os sinais do atacante
www.cybok.org
Figura . : Ataque de aquisição uniforme em GPS. O spoo ng alinha seu sinal com o legítimo
sinalizar imate e aumentar lentamente a potência de transmissão. Uma vez que o receptor trava no atacante
sinal, ele começa a manipulá-lo.
não estão sincronizados e contêm dados de mensagens de navegação diferentes em comparação com o
sinais autênticos. Atacantes que usam geradores de sinal GPS para executar o ataque de spoo ng
normalmente se enquadram nesta categoria. Um invasor com um pouco de know-how pode executar uma falsificação
de ataque usando esses simuladores devido à sua baixa complexidade, portabilidade e facilidade de uso.
Alguns geradores de sinais de GPS avançados são até capazes de gravar e reproduzir sinais,
entretanto, não em tempo real. Em outras palavras, o atacante usa o simulador para gravar em um par-
determinado momento em um determinado local e, posteriormente, reproduzi-lo. Uma vez que eles são reproduzidos posteriormente, o
os sinais do invasor não são coerentes e contêm dados de mensagem de navegação diferentes dos
sinais legítimos que estão sendo recebidos.
Conteúdo da mensagem não coerente, mas não modificado: neste tipo de ataque, a mensagem de navegação
os conteúdos sage dos sinais de spoo ng transmitidos são idênticos aos sinais GPS legítimos
atualmente sendo recebido. No entanto, o invasor muda temporariamente o sinal de spoo ng assim
manipular o tempo de chegada do sinal de spoo no receptor alvo. Por exemplo, atacantes
capaz de gravação em tempo real e reprodução de sinais de GPS se enquadram nesta categoria, pois
terá o mesmo conteúdo de navegação que o dos sinais GPS legítimos , porém deslocados
em tempo. A localização ou deslocamento de tempo causado por tal ataque no receptor alvo depende
no tempo de atraso introduzido pelo atacante e devido ao tempo de propagação do
sinal retransmitido. O invasor pode pré-calcular esses atrasos e falsificar um receptor
para um local desejado.
Conteúdo da mensagem coerente, mas modificado : O invasor gera sinais de spoo ng que são
sincronizado com os sinais de GPS autênticos . No entanto, o conteúdo da mensagem de navegação
os sábios não são os mesmos dos sinais autênticos vistos atualmente. Por exemplo, Fase-
Os sintetizadores de sinais coerentes são capazes de gerar sinais de spoo ng com o mesmo código
fase como o sinal de GPS legítimo ao qual o receptor de destino está atualmente travado. Adição-
aliado, o invasor modifica o conteúdo da mensagem de navegação em tempo real (e com min-
atraso interno) e reproduz para o receptor alvo. Uma variedade de receptores GPS comerciais foram
mostrou ser vulnerável a este ataque e, em alguns casos, até causou danos permanentes
para os receptores.
Conteúdo da mensagem coerente e não modificado : aqui, o invasor não modifica o conteúdo
da mensagem de navegação e está completamente sincronizado com os sinais GPS autênticos . Até
embora o receptor trave nos sinais de spoo do invasor (devido ao poder mais alto), há
https://translate.googleusercontent.com/translate_f 553/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
não há mudança na localização ou hora computada pelo receptor alvo. Portanto, este não é um
ataque em si, mas é um primeiro passo importante na execução do ataque de controle contínuo.
O ataque de aquisição uniforme é considerado um dos ataques mais fortes da literatura. Em um
maioria dos aplicativos, o receptor alvo já está travado no satélite GPS legítimo
www.cybok.org
sinais lite. As principais etapas são destacadas na Figura . . O objetivo de um atacante é forçar
o receptor para parar de rastrear os sinais GPS autênticos e bloquear os sinais de spoo ng
sem causar qualquer interrupção de sinal ou perda de dados. Isso ocorre porque o receptor alvo pode
potencialmente detectar o ataque com base na perda abrupta do sinal GPS . Em uma aquisição perfeita
ataque, primeiro, o invasor transmite sinais de spoo ng que são sincronizados com o legítimo
sinais de satélite e estão em um nível de potência inferior aos sinais de satélite recebidos. O receptor
ainda está travado nos sinais de satélite legítimos devido à alta potência e, portanto, há
nenhuma mudança na rota dos navios. O invasor, então, aumenta gradualmente o poder da falsificação
sinais até que o receptor alvo pare de rastrear o sinal autêntico e trave no
sinais de spoo. Observe que, durante esta aquisição, o receptor não vê nenhuma perda de bloqueio,
em outras palavras, a aquisição foi perfeita. Mesmo que o receptor alvo agora esteja travado
para o atacante, ainda não há mudança na rota, pois os sinais de spoo ng são coerentes
com os sinais de satélite legítimos, bem como não há modificação no conteúdo do
mensagem de navegação em si. Agora, o invasor começa a manipular o sinal de spoo ng tal
que o receptor calcula uma localização falsa e começa a alterar seu curso. O atacante pode
introduza lentamente uma mudança temporal dos sinais legítimos ou manipule diretamente o
conteúdo da mensagem de navegação para lentamente desviar o curso do navio para um destino hostil.
Se um invasor controla todos os sinais que chegam à (s) antena (s) do receptor, o receptor pode-
não detecta spoo ng. No entanto, se o ataque for remoto e o invasor não puder controlar totalmente o
sinais no receptor, técnicas de detecção de anomalias podem ser usadas para detectar spoo ng. Em par-
particular, controle de ganho automático (AGC) valores, força do sinal recebido (RSS) de indivíduo
satélites, valores de fase da portadora, níveis de ruído estimados, número de satélites visíveis, todos
pode ser usado para detectar spoo ng. Particularmente interessantes são as técnicas baseadas em rastreamento e
análise de picos de autocorrelação que são usados para a detecção de sinais GNSS . Distorção,
o número e o comportamento ao longo do tempo desses picos podem ser usados para detectar até mesmo o mais
ataques sofisticados de aquisição contínua.
A detecção de spoo de GNSS pode ser melhorada se os sinais de spoo ng forem simultaneamente re-
recebido por vários receptores. Isso pode ser usado para a detecção de spoo ng, bem como para
localização de spoofer. Se os receptores sabem suas distâncias mútuas (por exemplo, são colocados em xed
distâncias), o spoofer precisa preservar essas distâncias ao realizar o spoo ng-
aderência. Quando um único spoofer transmite seus sinais, isso resultará na falsificação de todos os receptores
para a mesma posição, permitindo a detecção. Esta técnica de detecção básica pode ser
generalizado para vários receptores, permitindo até a detecção de spoofers distribuídos.
Finalmente, o spoo ng GNSS pode ser dificultado por meio da autenticação e ocultação de GNSS
sinais. Embora atualmente os sistemas GNSS civis não suportem autenticação, assinatura digital
naturezas, bem como assinaturas baseadas em hash, como TESLA podem ser adicionadas para prevenir o at-
tacker de gerar sinais GNSS . Isso, no entanto, não evitaria todos os ataques de spoo ng
uma vez que o invasor ainda pode atrasar seletivamente as mensagens de navegação e, portanto, modificar o
posição computada. Este ataque pode ser evitado pelo uso de propagação com chave atrasada
divulgação. Mesmo esta abordagem ainda não previne totalmente contra spoo de banda larga
receptores que são capazes de retransmitir a banda de frequência GNSS completa entre locais.
Os sinais de GPS militares são autenticados e também tentam alcançar baixa probabilidade de interceptação
como resiliência de interferência por meio do uso de códigos secretos de propagação. Esta abordagem evita alguns
dos ataques de spoo ng, mas ainda não consegue impedir totalmente os ataques de registro e retransmissão. Além disso,
esta abordagem não se adapta bem, pois os códigos secretos de disseminação precisam ser distribuídos para todos
receptores pretendidos, aumentando a probabilidade de seu vazamento e reduzindo a usabilidade.
www.cybok.org
culto para o invasor falsificar sistemas GNS como GPS, atualmente nenhuma medida impede totalmente
https://translate.googleusercontent.com/translate_f 554/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
spoo ng sob modelos de atacantes fortes. Esta é uma área de pesquisa ativa.
CONCLUSÃO
Como mostramos nesta área de conhecimento, a camada física sem fio apresenta ambos os desafios
desafios e oportunidades. Os desafios normalmente vêm da natureza da transmissão sem fio
comunicação e de não ser protegida contra confidencialidade e integridade viola-
ções. A camada física geralmente é independente do aplicativo. Oportunidades derivam do estocástico
natureza do canal, bem como de sua robustez às manipulações refinadas. Sob dif-
Para diferentes modelos de invasores, a camada física pode oferecer suporte a soluções seguras e altamente utilizáveis.
Chave Outro
Tópico
referências referências
[ 8 , 86 ,
. Comunicação Resiliente a Jamming e Jamming [ , 6]
8 , 88]
https://translate.googleusercontent.com/translate_f 555/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8, ,
. Identificação da camada física [ ]
]
www.cybok.org
RECONHECIMENTOS
O autor gostaria de agradecer especialmente a Marc Roeschlin por sua valiosa contribuição. Graças a Aan-
jhan Ranganathan, Davide Zanetti, Boris Danev, Christina Popper, Kasper Rasmussen e Nils
Tippenhauer por permitir a reprodução de textos e figuras selecionados de suas publicações
neste documento.
https://translate.googleusercontent.com/translate_f 556/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
https://translate.googleusercontent.com/translate_f 557/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 697
Apêndice VI
Página 699
698
https://translate.googleusercontent.com/translate_f 558/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Bibliografia
www.cybok.org
[8] C. Herley e DAF Florêncio, “Ninguém vende ouro pelo preço da prata: Desonestidade,
incerteza e a economia subterrânea ”, no 8º Workshop Anual sobre o
Economics of Information Security, WEIS, University College London, Inglaterra,
Reino Unido, junho -,, .
[] H. Berghel, "Hiding data, forensics, and anti-forensics", Commun. ACM , vol. , não. ,
pp. -,.
www.cybok.org
[8] D. Dolev e AC Yao, "Sobre a segurança dos protocolos de chave pública", IEEE Transactions on
Teoria da Informação , vol. , não. , pp. 8–8. [Conectados]. Disponível:
https://doi.org/. / TIT. 8,66
https://translate.googleusercontent.com/translate_f 560/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
-. [Conectados]. Disponível: https://doi.org/. / 6. 6
[] “Isabelle,” https://isabelle.in.tum.de/, acessado: - -.
[] O. Renn, "O papel da percepção de risco para a gestão de risco", Engenharia de confiabilidade e
Segurança do sistema , vol. , não. , pp. - 6, 8, Percepção de risco versus análise de risco.
[Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/S 8
https://translate.googleusercontent.com/translate_f 561/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] NCSC, “Orientação para gerenciamento de risco”, acessado em: - -. [Conectados]. Disponível:
https://www.ncsc.gov.uk/collection/risk-management-collection?curPage=
/ coleção / coleção-gerenciamento-risco / tópicos-essenciais / risco-introdução-
gerenciamento-cyber-segurança-orientação
www.cybok.org
[] “Relatório do governo do Reino Unido - assegurando resiliência cibernética em saúde e cuidados: 8 de outubro
atualização, ”acessado: - -. [Conectados]. Disponível: https://www.gov.uk/government/
publicações / securing-cyber-resilience-in-health-and-care-october- 8-update
[6] A. Sasse e I. Flechais, Segurança utilizável: por que precisamos dela ? Como conseguimos isso? Dentro:
Cranor, LF e Gar nkel, S, (eds.) Segurança e Usabilidade: Projetando sistemas seguros
que as pessoas podem usar. Sebastopol, EUA: O'Reilly,.
[6] D. Weirich e MA Sasse, "Pretty good persuasion: A primeira etapa para a eficácia
segurança de senha no mundo real ”, em Proceedings of the Workshop on New
Security Paradigms , ser. NSPW '. New York, NY, USA: ACM,, pp. -.
[Conectados]. Disponível: http://doi.acm.org/. / 8. 8
[6] W. Leiss, “Documento de orientação da OCDE para comunicação de risco para risco químico
gestão," .
[6] S. Dekker, Just culture: Balancing safety and accountability, nd edition . CRC Press,
.
[6] A. Jaquith, Security Metrics: Replacing Fear, Incertainty, and Doubt . Pearson
Educação, .
[6] MA Sasse, The Cyber Security Body of Knowledge . University of Bristol,, ch.
Fatores humanos, versão. . [Conectados]. Disponível: https://www.cybok.org/
[68] L. Cox, “O que há de errado com matrizes de risco?” Análise de risco: uma publicação oficial do
Society for Risk Analysis , vol. 8, pp. -, 8.
[] Joint Task Force Transformation Initiative, “Security and privacy controls for federal
https://translate.googleusercontent.com/translate_f 562/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 704 O Conhecimento em Segurança Cibernética
www.cybok.org
[6] S. Rass, "Sobre gerenciamento de risco teórico do jogo (parte três) - modelagem e
formulários," .
[] B. Schneier, "Attack trees" , diário do Dr. Dobb , vol. , não. , pp. -,.
[8] N. Leveson, Engenharia de um mundo mais seguro: Pensamento de sistemas aplicado à segurança . MIT
Aperte, .
[8] Grupo aberto, “TOGAF - avaliação de risco,” acessado: - 6-. [Conectados]. Disponível:
https://pubs.opengroup.org/architecture/togaf -doc / arch / chap .html
www.cybok.org
[8] A. Jones e D. Ashenden, Risk Management for Computer Security: Protecting Your
Ativos de rede e informações . Newton, MA, EUA: Butterworth-Heinemann,.
[88] T. Atlantic, “The Obama doctrine,” acesso: - 6-. [Conectados]. Disponível: https:
//www.theatlantic.com/magazine/archive/ 6 / / the-obama-doctrine / /
[8] A. Shostack, ““ Pense como um invasor "é um erro opt-in,” acessado: - 6-.
[Conectados]. Disponível: https:
//adam.shostack.org/blog/ 6 / / think-like-an-attacker-is-an-opt-in-engano /
https://translate.googleusercontent.com/translate_f 563/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
https://www.cybok.org/
[] J. Goldsmith e T. Wu, Who Controls the Internet? Ilusões de um mundo sem fronteiras .
New York, NY: Oxford University Press, 6.
[6] OW Holmes, The Common Law . Boston: Little, Brown and Company, 88.
[] C. Reed, Internet law: text and materials , nd ed. Cambridge University Press, .
[6] “Relatório do Alto Comissariado para os Direitos Humanos sobre o Direito à Privacidade no
Digital Age, ”A / HRC / /, Nações Unidas, 8.
https://translate.googleusercontent.com/translate_f 564/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] "Wood Pulp", Col. 88, 88.
[] JJ Friedberg, “A convergência do direito em uma era de integração política: a madeira
caso da celulose e a doutrina dos efeitos da Alcoa ”, University of Pittsburgh Law Review ,
vol. , pp. 8 - 6,.
[] “LICRA v. Yahoo! Inc & Yahoo France, ”(Tribunal de Grande Instance de Paris, maio
), afirmado em LICRA & UEJF v. Yahoo! Inc e Yahoo France (Tribunal de Grande
Instance de Paris, novembro),.
www.cybok.org
[] K. Kopel, “Operation Seizing Our Sites: How the Federal Government is Taking
Nomes de domínio sem aviso prévio ”, Berkeley Technology Law Journal , vol. 8, pp.
8 -,.
[6] J. Mellyn, “Reach out and Touch Someone: The Growing Use of Domain Name
Seizure as a Vehicle for Extraterritorial Enforcement of US Law ”, Georgetown
Jornal de Direito Internacional , vol. , pp. - 6,.
[] AM Froomkin, “When We Say US (tm), We Mean It!” Houston Law Review , vol. ,
não. , pp. 8–88,.
[] “NOTA DE CASO: Privacidade - Lei de Comunicações Armazenadas - Segundo Circuito Detém Isso
O governo não pode obrigar um provedor de serviços de Internet a produzir
Informações armazenadas no exterior. - Microsoft Corp. v. Estados Unidos, 8 F. d (d
Cir. 6), ” Harvard Law Review , vol. , pp. 6 - 6, 6.
https://translate.googleusercontent.com/translate_f 565/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] "Nota de orientação T-CY #: Acesso transfronteiriço aos dados (artigo)," T-CY (),
Conselho da Europa, Comitê de Convenção de Crime Cibernético (T-CY), dezembro.
www.cybok.org
[] C. Millard, “Forced Localization of Cloud Services: Is Privacy the Real Driver?” IEEE
Cloud Computing , vol. , não. , pp. -,.
https://translate.googleusercontent.com/translate_f 566/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[6] N. Jupillat, “From the Cuckoo's Egg to Global Surveillance: Cyber Espionage that
Becomes Prohibited Intervention, ” North Carolina Journal of International Law ,
vol. , pp. - 88, 6.
[6] J. Hurwitz, "Encryption Congress mod (Apple + CALEA)," Harvard Journal of Law &
Tecnologia , vol. , pp. -,.
[6] L. Sacharoff, “Unlocking the Fifth Amendment: Passwords and Encrypted Devices,”
Fordham Law Revue , vol. 8, pp. -, 8.
[] "Manual sobre legislação europeia de proteção de dados", Agência da União Europeia para
Direitos Fundamentais, 8.
www.cybok.org
[] (8) D. Relatório de revisão sobre a Diretiva (UE) 6/68 voltada para o jurídico
praticantes. INtrodução da reforma da proteção de dados ao sistema judicial
(INFORMAR). [Conectados]. Disponível:
http://informproject.eu/wp-content/uploads/ 8 / /D..pdf.
https://translate.googleusercontent.com/translate_f 567/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ambiente de dados ”, Computer Law & Security Review , vol. , pp. -, 8.
[8] S. Stalla-Bourdillon e A. Knight, “Anonymous Data v. Personal Data - False Debate:
Uma perspectiva da UE sobre anonimato, pseudonimização e dados pessoais ”,
Wisconsin International Law Journal , vol. , não. , pp. 8-, 6.
[8] MJ Wiebe, “Aplicando a Lei de Proteção à Privacidade do Vídeo à Tecnologia Moderna [Ellis
v. Cartoon Network, Inc., 8 F. d (th Cir.)], ” Washburn Law Journal ,
vol. , pp. 6 -, 8.
[8] () Guia para proteção de dados. Information Commissioner's Office (Reino Unido). [Conectados].
Disponível: https://ico.org.uk/for-organisations/guide-to-data-protection
www.cybok.org
[] ——, "Norms of Computer Trespass", Columbia Law Review , vol. 6, não. , pp.
- 8, 6.
[] "Fair and Accurate Credit Transactions Act of", United States Statutes at Large,
vol. , p. ,.
www.cybok.org
[] "Umpqua Bank, et al v. Target Corp, (reclamação)," MDL No. - (PAM / JJK), Fed
Dist Minnesota, (reclamação conduzida em agosto).
[8] RA Epstein, "The Path to" The TJ Hooper ": The Theory and History of Custom in the
Law of Tort ”, The Journal of Legal Studies , vol. , não. , pp. - 8,.
[] PJ Kelley, "The Carroll Towing Company Case and the Teaching of Tort Law", Saint
Louis University Law Journal , vol. , pp. - 8,.
[6] “Dillon v. Twin State Gas & Elec. Co. ” 8 NH, New Hampshire,.
[8] "Hedley Byrne & Co Ltd v. Heller & Partners Ltd", [6] AC 6, 6.
[6] "Uniform Trade Secrets Act," Uniform Law Commission, National Conference of
Commissioners on Uniform State Laws, 8.
[] J. Lane, "NTP, Inc. v. Research in Motion, Ltd .: Inventions Are Global, But Politics Are
Ainda local - um exame da caixa do BlackBerry ”, Berkeley Tech. LJ , vol. , pp.
-, 6.
[] C. Zieminski, "Game Over for Reverse Engineering: How the DMCA and Contracts
Have Affected Innovation, ” Journal of Technology Law & Policy , vol. , pp. 8 -,
8
https://translate.googleusercontent.com/translate_f 570/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[8] “Lei Modelo UNCITRAL sobre Comércio Eletrônico com Guia para Promulgação 6 com
artigo adicional bis conforme adotado em 8, ”Nações Unidas,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 571/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] D. Thaw, “The Ef cacy of Cybersecurity Regulation,” Georgia State University Law
Review , vol. , pp. 8 -,.
[] "Código de Prática para Segurança de IoT do Consumidor", Governo do Reino Unido: Departamento de
Digital, Culture, Media & Sport, 8.
[6] IY Liu, “A doutrina de devida diligência sob o Manual de Tallinn. , ” Lei da Informática e
Security Review , vol. , p. -,.
[8] ——, “Reconsiderando as consequências para o Cyber Hostil Patrocinado pelo Estado
Operations Under International Law ”, The Cyber Defense Review , vol. , não. , pp.
-, 8.
[8] “Manual do Serviço Conjunto da Lei do Conflito Armado”, Publicação do Serviço Conjunto
8, Ministério da Defesa do Reino Unido,.
[8] “Manual de Leis de Guerra do Departamento de Defesa”, Departamento de Defesa dos EUA, dezembro
6
[8] "Law of Armed Con ict Deskbook", Departamento de Direito Internacional e Operacional,
Centro Jurídico e Escola do Juiz Advogado Geral do Exército dos Estados Unidos
(TJAGLCS),.
www.cybok.org
[8] “Código de conduta do CREST para indivíduos qualificados no CREST (versão 8.),” Crest (GB)
Ltd., 6.
https://translate.googleusercontent.com/translate_f 572/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] “The Equities Process,” National Cyber Security Center (UK), 8. [Online]. Disponível:
https://www.gchq.gov.uk/information/equities-process
[6] N. Asokan, “Ethics in Information Security,” IEEE Security & Privacy , maio / junho.
[8] M. Goldstein, A. Stevenson e L. Picker, “Hedge Fund and Cybersecurity Firm Team
Up to Short-Sell Device Maker, ” The New York Times , 8 de setembro 6.
[] D. Feldman, "The Nature of Legal Scholarship," Modern Law Review , vol. , pp.
8–, 8.
[] GA Spann, "Baby M and the Cassandra Problem", Georgetown Law Journal , vol. 6,
pp. -, 8.
[] K. Takayanagi, "Contact of the Common Law with the Civil Law in Japan," O
American Journal of Comparative Law , vol. , pp. 6–6,.
[] ——, "Responsabilidade por danos causados por inteligência artificial", Lei da Informática e Segurança
Review , vol. , não. , pp. 6–8,.
[] D. Gerard, Attack of the Foot Blockchain: Bitcoin, Blockchain, Ethereum & Smart
Contratos ,.
https://translate.googleusercontent.com/translate_f 573/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Dezembro sobre a jurisdição e o reconhecimento e execução de sentenças em
assuntos civis e comerciais ”, Jornal Oficial da União Europeia , vol. L, pp.
-,.
[] AM Froomkin, “Wrong Turn in Cyberspace: Using ICANN to Route around the APA
e a Constituição ”, Duke Law Journal , vol. , pp. - 8,.
[] RH Weber, “'Rosa é uma rosa, é uma rosa é uma rosa' - e o código e a lei?”
Computer Law & Security Review , vol. , pp. - 6, 8.
[] “Resposta conjunta da sociedade civil ao guia de discussão sobre um protocolo adicional para
a Convenção de Budapeste sobre Crimes Cibernéticos ”, The Electronic Frontier Foundation (EFF),
European Digital Rights (EDRi), Association for Civil Rights (ADC), Derechos
www.cybok.org
[] (6) Canary Watch - One Year Later. Electronic Frontier Foundation. [Conectados].
Disponível: https://www.eff.org/deeplinks/ 6 / / canary-watch-one-year-later
[8] "R v. Gold and Schifreen", [88] AC 6, [88] Crim LR (HL), 88.
[] B. Sterling, The Hacker Crackdown: Law and Disorder on the Electronic Frontier .
Bantam Books,. [Conectados]. Disponível:
https://github.com/bdesham/the-hacker-crackdown
https://translate.googleusercontent.com/translate_f 574/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[Conectados]. Disponível: http://scholarship.richmond.edu/jolt/vol / iss /
www.cybok.org
[6] ——. () Opinião: BBC Click explorou os pobres e vulneráveis do mundo. [Conectados].
Disponível: https://www.computerweekly.com/opinion/Opinion-BBC-Click-exploited-
mundos-pobres-e-vulneráveis
[8] D. Etcovitch e T. van der Merwe, "Coming in from the Cold: A Safe Harbor from the
CFAA and the DMCA § for Security Researchers, ”Research Publication No.
8-, Berkman Klein Centre, 8.
[6] J. Stempel e N. Bose, “Target in $. milhões de liquidação com bancos sobre dados
violação ” , Reuters , dezembro.
[8] FD Prager, "The In uence of Mr. Justice Story on American Patent Law", o
American Journal of Legal History , vol. , pp. - 6, 6.
www.cybok.org
https://translate.googleusercontent.com/translate_f 575/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] P. Samuelson, “Intellectual Property and the Digital Economy: Why the
Regulamentações anti-evasão precisam ser revisadas, ” Berkley Technology Law
Journal , vol. , pp. - 66,.
[] R. Romano. () Uma nova lei destinada a coibir o tráfico sexual ameaça o futuro de
a internet como a conhecemos. [Conectados]. Disponível: https://www.vox.com/culture/ 8 / /
/ 6 / fosta-sesta-backpage- -internet-freedom
[6] JE Cohen, "The Zombie First Amendment," William and Mary Law Review , vol. 6,
pp. - 8,.
[] B. Lee, "Where Gutenberg Meets Guns: The Liberator, D -print Weapons, and the
Primeira Emenda ”, North Carolina Law Review , vol. , pp. -,.
[6] J. Markoff, "Engenheiros da Apple, se De ant, Estariam em Sincronização com Código de Ética", o
New York Times , 8 de março 6.
[6] "Estados Unidos v. Arthur Andersen LLP," F. d 8 (th Cir), revertido por [ 6 ],
.
[6] A. Whitten e JD Tygar, “Por que Johnny não consegue criptografar: Uma avaliação de usabilidade do PGP
. . ” em USENIX Security Symposium , vol. 8,.
www.cybok.org
[68] A. Adams e MA Sasse, "Os usuários não são o inimigo", Comunicações da ACM ,
vol. , não. , pp. - 6,.
[6] A. Naiakshina, A. Danilova, E. Gerlitz, E. von Zezschwitz e M. Smith, “" Se você quiser, eu
pode armazenar a senha criptografada. "um estudo de campo de armazenamento de senha com freelance
desenvolvedores ”, em Proceedings of the ACM SIGCHI Conference on Human Factors
in Computing Systems, CHI,, Glasgow, UK, May -,, .
https://translate.googleusercontent.com/translate_f 576/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
segurança do estado e a insegurança do cidadão, ” Politics & Governance , vol. 6,
não. , pp. - 8, 8.
[6] C. Herley, “More is the answer,” IEEE Security & Privacy , vol. , não. , pp. -,
.
[8] SL P eeger, MA Sasse e A. Furnham, “Do elo mais fraco a herói da segurança:
Transformando o comportamento de segurança da equipe ”, Journal of Homeland Security and Emergency
Management , vol. , não. , pp. 8 -,.
www.cybok.org
[8] J. Foer, Moonwalking with Einstein: The Art and Science of Remembering Everything .
Penguin Books,.
https://translate.googleusercontent.com/translate_f 577/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[6] I. Kirlappos, S. Parkin e MA Sasse, “Shadow security as a tool for the learning
organização ”, ACM SIGCAS Computers and Society , vol. , não. , pp. -,.
[8] KM Ramokapane, A. Rashid e JM Such, “" Eu me sinto estúpido, não posso deletar ... ": Um estudo
das práticas de exclusão de nuvem dos usuários e estratégias de enfrentamento ”, no décimo terceiro Simpósio
em Privacidade e segurança utilizáveis, SOUPS, Santa Clara, CA, EUA, julho -,. ,
, pp. - 6.
[] KM Ramokapane, A. Mazeli e A. Rashid, “Pule, pule, pule, aceite !!!: Um estudo sobre
a usabilidade do fabricante do smartphone forneceu recursos padrão e do usuário
privacidade ”, em Proceedings of Privacy Enhancing Technologies (PoPETS) ,.
[6] E. Hollnagel, “Is safety a subject for science?” Safety Science , vol. 6, pp. -,
https://translate.googleusercontent.com/translate_f 578/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
.
[] C. Perrow, “Organização para reduzir as vulnerabilidades da complexidade,” Journal of
Contingencies and Crisis Management , vol. , não. , pp. -,.
[] LJ Camp, “Modelos mentais de privacidade e segurança,” IEEE Technol. Soc. Mag. , vol. 8,
não. , pp. - 6,.
[8] D. Florêncio, C. Herley e A. Shostack, “FUD: a plea for intolerance”, Commun. ACM ,
vol. , não. 6, pp. -,.
[] P. Roe, "The 'value' of positive security," Review of International Studies , vol. , não. ,
pp. -, 8.
[] M. Green e M. Smith, “Os desenvolvedores não são o inimigo !: A necessidade de segurança utilizável
APIs, ” IEEE Security & Privacy , vol. , não. , 6.
www.cybok.org
https://translate.googleusercontent.com/translate_f 579/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] Y. Acar, M. Backes, S. Fahl, D. Kim, ML Mazurek e C. Stransky, “You get where
que você está procurando: O impacto das fontes de informação na segurança do código ”, em Segurança
e Privacidade (SP), 6 Simpósio IEEE diante . IEEE, 6, pp. 8 -.
[] N. Patnaik, J. Hallett, e A. Rashid, “Usabilidade cheiros: Uma análise dos desenvolvedores '
luta com bibliotecas de criptografia ”, no décimo quinto simpósio sobre privacidade e segurança utilizáveis
(SOUPS), Santa Clara, EUA . Associação USENIX,.
www.cybok.org
para segurança utilizável? três estudos de caso organizacionais ”, IEEE Security & Privacy , vol. ,
não. , pp. -, 6.
[6] JM Haney, M. Theofanos, Y. Acar e SS Prettyman, “" Tornamos isso um grande negócio em
a empresa ": mentalidades de segurança em organizações que desenvolvem criptografia
produtos ”, no Décimo Quarto Simpósio sobre Privacidade e Segurança Utilizáveis, SOUPS 8,
Baltimore, MD, EUA, agosto -, 8. , 8, pp. -.
[8] Assembleia Geral da ONU, "Declaração universal dos direitos humanos", 8 de dezembro,
artigo . [Conectados]. Disponível:
https://www.un.org/en/udhrbook/pdf/udhr_booklet_en_web.pdf
https://translate.googleusercontent.com/translate_f 580/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] SD Warren
Computadores
e LD Brandeis,
, DG Johnson
"O direito
e JW
à privacidade",
Snapper, Eds.em
Wadsworth
Questões Publ.
ÉticasCo.,
no Uso
8. de
[] S. Gürses e C. Diaz, "Two tales of privacy in online social networks," IEEE Security
and Privacy , vol. , não. , pp. -,.
[8] N. Borisov, I. Goldberg e EA Brewer, “Comunicação oficial ou, por que não
para usar PGP ”, em WPES . ACM,.
www.cybok.org
[] MW Lucas, PGP & GPG: Email for the Practical Paranoid , st ed. Sem Starch Press,
6
[6] Open Whisper Systems, "Signal Protocol library for Java / Android". [Conectados].
Disponível: https://github.com/signalapp/libsignal-protocol-java
https://translate.googleusercontent.com/translate_f 581/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] E. Hesamifard, H. Takabi, M. Ghasemi e RN Wright, “Privacy-preserving machine
aprendizagem como serviço ” , PoPETs , 8.
[6] W. Aiello, Y. Ishai e O. Reingold, “Transferência alheia a preços: Como vender digital
mercadorias ”, em Advances in Cryptology - EUROCRYPT ,.
[6] P. Grubbs, T. Ristenpart e V. Shmatikov, “Por que seu banco de dados criptografado não é
seguro ”, no HotOS ,.
[8] Á. Kiss, J. Liu, T. Schneider, N. Asokan e B. Pinkas, “Private set intersection for
tamanhos de conjuntos desiguais com aplicativos móveis ” , PoPETs ,.
https://translate.googleusercontent.com/translate_f 582/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] S. Nagaraja, P. Mittal, C. Hong, M. Caesar e N. Borisov, “Botgrep: Finding PP bots
com análise estruturada de gráficos ”, no Simpósio de Segurança USENIX ,.
www.cybok.org
[8] ED Cristofaro e G. Tsudik, “Practical private set intersection protocolos with linear
complexidade ”, em Criptografia Financeira ,.
[8] B. Pinkas, T. Schneider, C. Weinert e U. Wieder, "Eficiente PSI baseado em circuito via
hashing do cuco ”, em EUROCRYPT () , 8.
[] R. Henry e I. Goldberg, “Pensando dentro da caixa BLAC: protocolos mais inteligentes para mais rápido
lista negra anônima ”, no Workshop anual da ACM sobre Privacidade no Eletrônico
Sociedade, WPES ,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 583/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] R. Chow e P. Golle, "Faking contextual data for fun, pro t, and privacy," in ACM
Workshop sobre Privacidade na Sociedade Eletrônica, WPES ,.
www.cybok.org
[] JJ Kim, “Um método para limitar a divulgação em microdados com base em ruído aleatório e
transformação ”, em Anais da seção sobre métodos de pesquisa por levantamento .
American Statistical Association, 86.
https://translate.googleusercontent.com/translate_f 584/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Da teoria à prática ,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 585/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] H. Zang e J. Bolot, “O anonimato de dados de localização não funciona: uma grande escala
estudo de medição ”, na Conferência sobre Computação Móvel e Redes,
MOBICOM,, pp. - 6.
[] S. Gambs, M. Killijian e MN del Prado Cortez, “Mostre-me como você se move e eu vou
dizer quem você é ”, Trans. Privacidade de dados ,.
www.cybok.org
[6] J. Lin, B. Liu, NM Sadeh e JI Hong, “Modeling users 'mobile app privacy
preferências: Restaurando a usabilidade em um mar de configurações de permissão ”, em Simpósio em
Privacidade e segurança utilizáveis, SOUPS ,.
[8] World Wide Web Consortium (WC), “Platform for Privacy Preferences (PP),”.
[Conectados]. Disponível: https://www.w.org/PP
[6] J. Byun e N. Li, “Controle de acesso baseado em propósito para proteção de privacidade em relacionamento
sistemas de banco de dados ”, VLDB J. , 8.
[6] H. Liu, P. Maes e G. Davenport, "Desvendando o tecido do gosto das redes sociais", Int.
J. Semantic Web Inf. Syst. , 6.
https://translate.googleusercontent.com/translate_f 586/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
para mídias sociais:
Conferência, WWW,,um pp.estudo
6 -. exploratório no Facebook ”, na International World Wide Web
www.cybok.org
[6] CA Neff, "A veri able secret shuf e and its application to e-vote," in ACM
Conferência sobre Segurança de Computadores e Comunicações . ACM,.
[] DJ Solove, ““ Não tenho nada a esconder "e outros mal-entendidos sobre privacidade”, San
Diego Law Review ,.
[] D. Boneh e P. Golle, "Mistura quase totalmente correta com aplicativos para votação", em
Conferência ACM sobre Segurança de Computadores e Comunicações, CCS ,.
[] A. Fujioka, T. Okamoto e K. Ohta, “Um esquema de votação secreto prático para larga escala
eleições ”, em AUSCRYPT ,.
[] A. Kiayias, M. Korman e D. Walluck, “Um sistema de votação na Internet que oferece suporte ao usuário
privacidade ”, na Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC 6) , 6.
https://translate.googleusercontent.com/translate_f 587/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
www.cybok.org
[6] I. Wagner e D. Eckhoff, "Técnica de métricas de privacidade: uma pesquisa sistemática", ACM
Comput. Surv. , 8.
[6] McAfee, “A execução de malware sem arquivo com o PowerShell é mais fácil do que você pode imaginar,”
https://translate.googleusercontent.com/translate_f 588/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
. [Conectados]. Disponível: https://www.mcafee.com/enterprise/en-us/assets/
solution-briefs / sb- leless-malware-execution.pdf
[6 8] ars TECHNICA, “Uma onda de malware invisível e infalível está infectando bancos em todo o
globo ”. [Conectados]. Disponível: https:
//arstechnica.com/information-technology/ / / a-rash-of-invisible- leless-
malware-is-infecting-banks-around-the-globe /? comments = & post = 866
[6] MITER, “Base de conhecimento ATT & CK.” [Conectados]. Disponível: https://attack.mitre.org
www.cybok.org
[6] A. Moser, C. Kruegel e E. Kirda, “Explorando múltiplos caminhos de execução para malware
análise ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE,.
[6] I. Yun, S. Lee, M. Xu, Y. Jang e T. Kim, “QSYM: A Practice Concolic Execution
https://translate.googleusercontent.com/translate_f 589/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
motor adaptado
Simpósio , 8. para difusão híbrida ”, em Proceedings of the USENIX Security
[6 8] C. Cadar e K. Sen, "Simbólica execução para teste de software: Três décadas depois,"
em Comunicações da ACM ,.
www.cybok.org
[6] A. Moser, C. Kruegel e E. Kirda, "Limites de análise estática para detecção de malware",
na Conferência de Aplicativos de Segurança de Computadores,. ACSAC. Vigésima terceira
Anual . IEEE,, pp. -.
[66] F. Peng, Z. Deng, X. Zhang, D. Xu, Z. Lin e Z. Su, "X-Force: Force-executing binary
programas para aplicativos de segurança ”, no Simpósio de Segurança USENIX
(Segurança USENIX , pp. 8–8.
[666] K. Ilgun, R. Kemmerer e P. Porras, "Análise de transição de estado: uma intrusão baseada em regras
abordagem de detecção ”, IEEE Transactions on Software Engineering , vol. , não. , pp.
8 -,.
[66] V. Paxson, "Bro: um sistema para detecção de intrusos de rede em tempo real", Computador
redes , vol. , não. -, pp. - 6,.
[66] W. Lee, SJ Stolfo e KW Mok, “Uma estrutura de mineração de dados para intrusão de edifícios
modelos de detecção ”, em Proceedings of the IEEE Symposium on Security and
Privacidade . IEEE,, pp. -.
https://translate.googleusercontent.com/translate_f 591/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 740
O Conhecimento em Segurança Cibernética
www.cybok.org
[6] D. Wagner e P. Soto, "Mimetismo ataques em sistemas de detecção de intrusão baseados em host,"
em Proceedings of th ACM Conference on Computer and Communications
Segurança . ACM, pp. - 6.
[6] G. Cleary, M. Corpin, O. Cox, H. Lau, B. Nahorney, D. O'Brien, B. O'Gorman, J.-P. Poder,
S. Wallace, P. Wood e C. Wueest, “Relatório de ameaças à segurança da Internet,” Symantec, Tech.
Rep., 8.
[6] P. Szor, The Art of Computer Virus Research and Defense . Symantec Press,,
CH. Técnicas avançadas de evolução de código e kits geradores de vírus de computador.
[6] N. Falliere e E. Chien, "Zeus: King of the bots", Symantec, Tech. Segurança do representante
Resposta, . [Conectados]. Disponível:
https://www.symantec.com/content/dam/symantec/docs/security-center/white-
papers / security-response-zeus-king-of-bots- -en.pdf
[68] B. Krebs, "Federais para acusar o suposto autor de trojan SpyEye." [Conectados]. Disponível:
https://krebsonsecurity.com/ / / feds-to-charge-alegado-spyeye-trojan-author /
#mais-
[68] D. Gilbert, “Inside SpyEye: How the Russian hacker behind the bilhões-dollar malware
foi retirado ”, outubro, International Business Times. [Conectados]. Disponível:
https://www.ibtimes.com/inside-spyeye-how-russian-hacker-behind-billion-dollar-
malware-foi-retirado-
www.cybok.org
[68] C. Rossow, "Ampli cation hell: Revisiting network protocol for DDoS abuse." dentro
NDSS ,.
https://translate.googleusercontent.com/translate_f 592/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[68] Y. Ji, S. Lee, M. Fazzini, J. Allen, E. Downing, T. Kim, A. Orso e W. Lee, "Enabling
investigação de ataque de host cruzado eficiente com marcação de fluxo de dados eficiente e
rastreamento, ”em Simpósio de Segurança USENIX . Associação USENIX, 8, pp.
-.
[6] Y. Cao e J. Yang, "Para fazer os sistemas esquecerem com o desaprendizado da máquina", em
Simpósio IEEE sobre Segurança e Privacidade . IEEE,, pp. 6 - 8.
[6] W. Guo, D. Mu, J. Xu, P. Su, G. Wang e X. Xing, “LEMNA: Explaining deep learning
aplicativos de segurança baseados em
Segurança de computadores e comunicações (CCS '8) , 8.
www.cybok.org
https://translate.googleusercontent.com/translate_f 593/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] M. Konte, N. Feamster e J. Jung, “Fast ux service networks: Dynamics and roles
na hospedagem de golpes on-line ”, Georgia Institute of Technology, Tech. Rep., 8.
[] FBI New York Field Of ce, "Operação fantasma clique: International cyber ring that
infectou milhões de computadores desmontados ”, abril. [Conectados]. Disponível:
https://www.fbi.gov/news/stories/international-cyber-ring-that-infected-millions-of-
desmontado por computadores
www.cybok.org
Journal of African Studies / La Revue Canadienne Des ÉTudes Africaines , vol. , não. ,
pp. 6 - 8,.
[] N. Christin, “Viajando pela Rota da Seda: Uma análise de medição de um grande anônimo
mercado online ”, na Conferência internacional sobre a World Wide Web (WWW) . ACM,
, pp. -.
[] T. Jordan e P. Taylor, Hacktivismo e guerras cibernéticas: Rebeldes com uma causa? Routledge,
.
[8] K. Zetter, Countdown to Zero Day: Stuxnet e o lançamento do primeiro digital do mundo
arma . Livros da Broadway,.
https://translate.googleusercontent.com/translate_f 594/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] C. Grier, K. Thomas,
caracteres V. Paxson
ou menos ”, noseAnais
M. Zhang, “@ spam: the
da ª Conferência underground
ACM on
sobre Computador e
segurança das comunicações . ACM,, pp. -.
www.cybok.org
[] J. Suler, "The online disinhibition effect," Cyberpsychology & Behavior , vol. , não. , pp.
- 6,.
[6] P. Snyder, P. Doer er, C. Kanich e D. McCoy, “Fifteen minutes of indesejado fame:
Detectando e caracterizando doxing, ”em Proceedings of the Internet
Conferência de medição . ACM,, pp. -.
https://translate.googleusercontent.com/translate_f 595/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[] J. Wolak, D. Finkelhor e K. Mitchell, “Está sempre conversando online com pessoas desconhecidas
arriscado? Distinguir estilos de interação online em uma amostra nacional da Internet juvenil
usuários ”, Cyberpsychology & Behavior , vol. , não. , pp. -, 8.
[8] C. Guitton, “Uma revisão do conteúdo disponível nos serviços ocultos do Tor: O caso
contra o desenvolvimento posterior ”, Computers in Human Behavior , vol. , não. 6, pp.
8 - 8,.
[] C. Herley, “Por que os golpistas nigerianos dizem que são da Nigéria?” em Workshop sobre
a Economia da Segurança da Informação (WEIS) ,.
https://translate.googleusercontent.com/translate_f 596/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] B. Krebs, nação do spam: a história interna do crime cibernético organizado - a partir da epidemia global
para sua porta da frente . Sourcebooks, Inc.,.
[6] S. Hinde, “Spam: the evolution of a nuisance,” Computers & Security , vol. , não. 6, pp.
- 8,.
[6] BS McWilliams, reis do Spam: a verdadeira história por trás dos vendedores ambulantes que empurram
pornografia, pílulas e% * @) # ampliações . "O'Reilly Media, Inc.",.
[6] D. Samosseiko, “The Partnerka — O que é, e por que você deveria se importar,” em Proc. de
Virus Bulletin Conference ,.
[6] N. Spirin e J. Han, "Pesquisa sobre detecção de spam na web: princípios e algoritmos",
Acm Sigkdd Explorations Newsletter , vol. , não. , pp. –6,.
[68] ——, “Pesquisa do mal: compromisso e recompromisso de hosts da Internet para phishing,”
em Conferência Internacional sobre Criptografia Financeira e Segurança de Dados . Springer,
, pp. 6–.
[6] J. Onaolapo, E. Mariconti e G. Stringhini, “O que acontece depois de você ser pwnd:
Compreendendo o uso de credenciais de webmail que vazaram na natureza ”, em Proceedings of
a 6 Conferência de Medição da Internet . ACM, 6, pp. 6 -.
www.cybok.org
[] M. McCormick, “Roubo de dados: uma ameaça interna prototípica,” em Insider Attack and Cyber
Segurança . Springer, 8, pp. –68.
[6] A. Bouveret, Cyber Risk for the Financial Sector: A Framework for Quantitative
Avaliação . Fundo Monetário Internacional, 8.
[8] M. Karami, Y. Park e D. McCoy, “Teste de estresse dos booters: Understanding and
minando os negócios de serviços de DDoS ”, em Proceedings of the th International
Conferência na World Wide Web . ACM, 6, pp. -.
[86] M. Conway, "Cyberterrorism: Hype and reality," Information Warfare: Separating Hype
Da Realidade , pp. -,.
www.cybok.org
[] G. Greenwald, nenhum lugar para se esconder: Edward Snowden, a NSA e a vigilância dos EUA
estado . Macmillan,.
[] AK Al-Rawi, “Cyber warriors in the middle east: The case of the syrian electronic
exército ”, Public Relations Review , vol. , não. , pp. - 8,.
[] L. Bilge e T. Dumitras, “Antes que soubéssemos: um estudo empírico de ataques de dia zero
no mundo real ”, nos Anais da conferência ACM sobre Computador e
segurança das comunicações . ACM, pp. 8–8.
[6] R. Langner, "Stuxnet: Dissecting a cyberwarfare weapon," IEEE Security & Privacy ,
vol. , não. , pp. -,.
[] J. Slay e M. Miller, "Lessons Learn from the Maroochy Water Breach", em Critical
Proteção de infraestrutura , vol. /. Springer Boston, novembro, pp.
–8.
https://translate.googleusercontent.com/translate_f 598/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ataques direcionados através da lente de uma ONG. ” no Simpósio de Segurança USENIX .
Associação USENIX,, pp. - 8.
www.cybok.org
https://translate.googleusercontent.com/translate_f 599/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
- 8.
[8] CY Cho, J. Caballero, C. Grier, V. Paxson e D. Song, “Insights from the inside: A
visão do gerenciamento de botnets da in ltration ” , LEET , vol. , pp. -,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 600/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] PJ Brantingham, PL Brantingham et al. , Criminologia ambiental . sábio
Publicações Beverly Hills, CA, 8.
[8 6] A. PAdmos,
https://github.com/arnepadmos/resources/tree/master/methodologies/model,
.
[8] LP Swiler e C. Phillips, "Um sistema baseado em gráfico para análise de vulnerabilidade de rede",
Sandia National Labs., Albuquerque, NM (Estados Unidos), Tech. Rep., 8.
[8] B. Cheswick, “Uma noite com Berferd em que um biscoito é atraído, suportado e
estudou ”, no Simpósio de Segurança USENIX,, pp. -.
[8] D. Moore, C. Shannon et al. , “Código-vermelho: um estudo de caso sobre a propagação e as vítimas de um
worm da Internet ”, em Proceedings of the nd ACM SIGCOMM Workshop on Internet
medição . ACM, pp. - 8.
[8] A. Dwyer, "The NHS cyber-attack: A look at the complex environment conditions of
WannaCry ”, RAD Magazine , vol. , 8.
[8] LE Cohen e M. Felson, “Mudança social e tendências da taxa de criminalidade: uma atividade de rotina
abordagem (), ”em Classics in Environmental Criminology . CRC Press, 6, pp.
-.
[8] RVG Clarke, Prevenção do crime situacional . Criminal Justice Press Monsey, NY,
.
[8 6] MR Albert, “E-comprador, cuidado: por que a fraude de leilão online deve ser regulamentada”,
American Business Law Journal , vol. , não. , pp. –6,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 601/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
modelos e aplicações ”, ACM Computing Surveys (CSUR) , vol. , não. , p. , 8.
[8] S. Axelsson, "A falácia da taxa básica e a dificuldade de detecção de intrusão", ACM
Trans. Inf. Syst. Secur. , vol. , não. , pp. 86–, agosto.
www.cybok.org
[86] R. van Rijswijk-Deij, A. Sperotto e A. Pras, “DNSSEC e seu potencial para DDoS
ataques: um estudo de medição abrangente ”, em Proceedings of the
Conference on Internet Measurement Conference . ACM, pp. - 6.
[868] M. Kührer, T. Hupperich, C. Rossow e T. Holz, “Exit from hell? reduzindo o impacto
de amplificação de ataques DDoS. ” no Simpósio de Segurança USENIX,, pp. -.
[86] N. Feamster, J. Jung e H. Balakrishnan, “Um estudo empírico da rota dos bogons
anúncios, ” ACM SIGCOMM Computer Communication Review , vol. , não. , pp.
6 -,.
https://translate.googleusercontent.com/translate_f 602/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] X. Chen, H. Bos e C. Giuffrida, “Codearmor: Virtualizing the code space to counter
ataques de divulgação ”, em Segurança e Privacidade (EuroS & P), IEEE Europeu
Simpósio em diante . IEEE,, pp. -.
www.cybok.org
[8] S. Patton, W. Yurcik e D. Doss, “An achilles 'heel in signature-based ids: Squealing
falsos positivos no snort ”, em Proceedings of RAID , vol. . Citeseer,.
[8] JJ Davis e AJ Clark, “Pré-processamento de dados para intrusão de rede baseada em anomalias
detecção: A review, ” Computers & Security , vol. , não. 6-, pp. -,.
[88] M. Almgren, H. Debar e M. Dacier, “Uma ferramenta leve para detecção de servidor web
ataques. ” em Proceedings of NDSS ,.
[886] TTT Nguyen e G. Armitage, “Uma pesquisa de técnicas para o tráfego da Internet
classificação usando aprendizado de máquina, ” IEEE Communications Surveys Tutorials ,
vol. , não. , pp. 6–6, Quarto 8.
[88] B. Kolosnjaji, A. Zarras, G. Webster e C. Eckert, “Deep learning for classi cation of
sequências de chamada do sistema de malware ”, em Australasian Joint Conference on Arti cial
Inteligência . Springer, 6, pp. -.
[8] D. Maiorca, I. Corona e G. Giacinto, “Olhar para o saco não basta para encontrar o
https://translate.googleusercontent.com/translate_f 603/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
bomba: uma evasão de métodos estruturais para detecção de arquivos pdf maliciosos ”, em
Anais do 8º Simpósio ACM SIGSAC sobre Informação, Computador e
Segurança das comunicações . ACM,, pp. -.
www.cybok.org
[8] E. Gandotra, D. Bansal e S. Sofat, “Malware analysis and classi cation: A survey,”
Journal of Information Security , vol. , não. , p. 6,.
[] OS Saydjari, “Defesa cibernética: arte para a ciência,” Communications of the ACM , vol. ,
não. , pp. -,.
[] B. Morin, L. Mé, H. Debar e M. Ducassé, “Um modelo baseado em lógica para apoiar o alerta
correlação na detecção de intrusão ”, Information Fusion , vol. , não. , pp. 8 -,
.
www.cybok.org
https://translate.googleusercontent.com/translate_f 604/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] K. Julisch e M. Dacier, “Alarmes de detecção de intrusão de mineração para acionáveis
conhecimento ”, nos Anais da Oitava Conferência Internacional ACM SIGKDD sobre
Descoberta de conhecimento e mineração de dados . ACM, pp. 66–.
[8] X. Liao, K. Yuan, X. Wang, Z. Li, L. Xing e R. Beyah, “Acing the IOC game: Toward
descoberta e análise automática de inteligência contra ameaças cibernéticas de código aberto ”, em
Proceedings of the 6 ACM SIGSAC Conference on Computer and Communications
Segurança . ACM, 6, pp. - 66.
https://translate.googleusercontent.com/translate_f 605/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
pp. - 8,.
[] JM Ahrend, M. Jirotka e K. Jones, “On the colaborative Practices of cyber
analistas de inteligência de ameaças para desenvolver e utilizar ameaças e defesa tácitas
conhecimento ”, em Consciência Situacional Cibernética, Análise e Avaliação de Dados
(CyberSA), 6 Conferência Internacional On . IEEE, 6, pp. -.
www.cybok.org
[6] E. Casey, Digital Evidence and Computer Crime: Forensic Science, Computers and the
Internet , ed. Academic Press,, iSBN: 8-68.
https://translate.googleusercontent.com/translate_f 606/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
e laboratórios de calibração. [Conectados]. Disponível:
https://webstore.iec.ch/preview/info_isoiec% Bed. % Den.pdf
[8] S. Gar nkel, AJ Nelson e J. Young, “Uma estratégia geral para análise forense diferencial
análise ”, em The Proceedings of the Twelfth Annual Digital Forensic Researcg
Conferência (DFRWS) , pp. S –S, : . 6 / j.diin. . .. [Conectados].
Disponível: http://www.sciencedirect.com/science/article/pii/S 8 6 8X
www.cybok.org
[] J. von Neumann, "Primeiro esboço de um relatório sobre o EDVAC", IEEE Annals of the History of
Computing , vol. , não. , pp. -,, : . / 8. 8 8.
https://translate.googleusercontent.com/translate_f 607/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Artigo Técnico, Revisão. . [Conectados]. Disponível:
http://idema.org/wp-content/plugins/download-monitor/download.php?id=
www.cybok.org
, : . / 6. 6 8. [Conectados]. Disponível:
http://doi.acm.org/. / 6. 6 8
[6] C. King e T. Vidas, “Análise empírica de retenção de dados de disco de estado sólido quando usado
com sistemas operacionais contemporâneos ”, em Anais do th Annual DFRWS
Conferência. DFRWS '. ,, pp. S –S, : . 6 / j.diin. . .. [Conectados].
Disponível: http://dfrws.org/ / procedures / - .pdf
[66] MH Ligh, A. Case, J. Levy e A. Walters, The Art of Memory Forensics: Detecting
Malware e ameaças na memória do Windows, Linux e Mac , st ed. Wiley,, iSBN:
8-88.
[6] S. Jeon, J. Bang, K. Byun e S. Lee, “Um método de recuperação de registro excluído para
Banco de dados SQLite, ” Personal and Ubiquitous Computing , vol. 6, não. 6, pp. -,
, : . / s - - 8-.
[] B. Wu, M. Xu, H. Zhang, J. Xu, Y. Ren e N. Zheng, A Recovery Approach for SQLite
Registradores de história de YAFFS . Springer Berlin Heidelberg,, pp. -, :
. / 8- -6 - 68 8- _.
https://translate.googleusercontent.com/translate_f 608/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] D. Kahn, The Codebreakers . Simon e Schuster, 6.
[] J. Katz e Y. Lindell, Introdução à Criptografia Moderna, Segunda Edição . CRC
Aperte, .
[8] AK Lenstra e HWL Jr., The Development of the Number Field Sieve , ser.
Notas de aula em matemática. Springer,.
[8] PQ Nguyen e B. Vallée, Eds., The LLL Algorithm - Survey and Applications , ser.
Segurança e criptografia da informação. Springer,.
[8] J. Daemen e V. Rijmen, The Design of Rijndael: AES - The Advanced Encryption
Standard , ser. Segurança e criptografia da informação. Springer,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 609/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Syst. Rev. , vol. , não. , pp. -, abril. [Conectados]. Disponível:
http://doi.acm.org/. / 8.
[] V. van der Veen, N. Dutt-Sharma, L. Cavallaro e H. Bos, “Memory errors: The past,
o presente e o futuro ”, em RAID , outubro. [Conectados]. Disponível:
http://www.few.vu.nl/~herbertb/papers/memerrors_raid .pdf
[] B. Grill, A. Bacs, C. Platzer e H. Bos, "Boas botas - uma análise em grande escala de
bootkits e novas maneiras de detê-los ”, em DIMVA , setembro. [Conectados]. Disponível:
http://www.cs.vu.nl/% Eherbertb / papers / bootkits_dimva .pdf
[6] Y. Kim, R. Daly, J. Kim, C. Fallin, JH Lee, D. Lee, C. Wilkerson, K. Lai e O. Mutlu,
“Inverter bits na memória sem acessá-los: um estudo experimental de DRAM
erros de perturbação ”, em Proceeding of the st Annual International Symposium on
Computer Architecuture , ser. ISCA '. Piscataway, NJ, EUA: IEEE Press,, pp.
6 -. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 66 6. 66 6
[] F. Liu, Y. Yarom, Q. Ge, G. Heiser e RB Lee, "canal lateral de cache de último nível
www.cybok.org
https://translate.googleusercontent.com/translate_f 610/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
https://www.vusec.net/download/?t=papers/dedup-est-machina_sp 6.pdf
[6] P. Larsen e A.-R. Sadeghi, Eds., The Continuing Arms Race: Code-Reuse Attacks
e defesas . Nova York, NY, EUA: Association for Computing Machinery and
Morgan e Claypool, 8.
www.cybok.org
sistema operacional confiável e de auto-reparo ”, SIGOPS Oper. Syst. Rev. , vol. , não. , pp.
8–8, 6 de julho [Online]. Disponível: http://doi.acm.org/. /.
[8] P.-H. Kamp e RNM Watson, “Jails: con ning the onipotent root,” in
Proceedings of SANE , Maastricht, The Netherlands, May.
[] PG Neumann, Novas Soluções para Segurança Cibernética . MIT Press,, ch. Fundamental
Princípios de segurança.
https://translate.googleusercontent.com/translate_f 611/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] D. Ferraiolo e D. Kuhn, "Role-based access controls," in Proceedings of the th
Conferência Nacional Anual de Segurança de Computadores . NSA / NIST,, pp. - 6.
[] PA Karger e RR Schell, “Trinta anos depois: Lessons from the multics security
avaliação ”, em Proceedings of the 8th Annual Computer Security Applications
www.cybok.org
Conferência , ser. ACSAC '. Washington, DC, EUA: IEEE Computer Society,,
pp. -. [Conectados]. Disponível: http://dl.acm.org/citation.cfm?id= 8. 8
[6] R. Fabry, "A visão do usuário sobre as capacidades", Relatório Trimestral do ICR. Instituto dos EUA de Chicago
for Computer Research, pp. páginas C-C8, 6 de novembro.
www.cybok.org
https://translate.googleusercontent.com/translate_f 612/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
https://translate.googleusercontent.com/translate_f 613/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] E. Goktas, E. Athanasopoulos, H. Bos e G. Portokalidis, “Fora de controle:
Superando a integridade do controle ”, em IEEE Security & Privacy , dezembro. [Conectados].
Disponível: http://www.cs.vu.nl/% Eherbertb / papers / outofcontrol_sp .pdf
[6] E. Bauman, G. Ayoade e Z. Lin, “Uma pesquisa sobre monitoramento baseado em hipervisor:
Abordagens, aplicações e evoluções ”, ACM Comput. Surv. , vol. 8, não. , pp.
: -:, agosto. [Conectados]. Disponível: http://doi.acm.org/. /
[6] J. Forristal, “NT web technology vulnerabilities,” Phrack Magazine , vol. 8, não. , Dez.
8, publicado como rain.forest.puppy.
[6] B. Hartman, D. Flinn e K. Beznosov, Enterprise Security with EJB and CORBA .
Wiley,.
[8] I. Stoica et al., “Chord: A scalable peer-to-peer lookup service for internet
aplicações ”, In Proc. SIGCOMM , pp. - 6,.
[8] B. Cohen, “BitTorrent protocol speci cation,” BitTorrent, Tech. Rep., 8. [Online].
Disponível: http://www.bittorrent.org/beps/bep_ .htm
https://translate.googleusercontent.com/translate_f 614/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[88] F. Swiderski e W. Snyder, Threat Modeling . Springer,.
[8] A. Avizienis, J.-C. Laprie, B. Randell e C. Landwehr, “Conceitos básicos e
taxonomia de computação confiável e segura, ” IEEE Transactions on Dependable
Secure Computing , vol. , não. , pp. -, janeiro.
[] A. Uzunov, “Uma pesquisa de soluções de segurança para sistemas de publicação / assinatura distribuídos,”
Computadores e Segurança , vol. 6, pp. -, 6.
www.cybok.org
[6] J. Liang, N. Naoumov e K. Ross, “The Index Poisoning Attack in PP File Sharing
Systems, ”em INFOCOM , 6, pp. -.
[] JR Douceur, "The sybil attack", em Intl. Workshop sobre sistemas ponto a ponto .
Springer-Verlag,, pp. - 6.
[6] D. Wallach, "A survey of peer-to-peer security issues," in Software Security - Theories
and Systems , ser. Notas de aula em Ciência da Computação. Springer, vol. 6, pp.
-.
[8] M. Reiter, “How to secure replicate servers,” ACM Trans. Linguagem de programação
Systems , pp. Vol. 6,, 86–,.
https://translate.googleusercontent.com/translate_f 615/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
systems ”, ACM Computing Surveys , vol. , não. , 6.
[] P. DuBois e M. Prefácio By-Widenius, MySQL . Publicação de novos pilotos,.
[] https://www.microsoft.com/en-us/sql-server.
[] https://www.mongodb.com.
[] M. Burrows, "O serviço de bloqueio chubby para sistemas distribuídos fracamente acoplados", em
Anais do Simpósio sobre Desenho e Implementação de Sistemas Operacionais .
Associação USENIX, 6, pp. -.
www.cybok.org
[] E. Brewer, “CAP: Doze anos depois: Como as regras mudaram,” IEEE Computer , pp.
-, fevereiro
[6] M. Castro e B. Liskov, "Practical byzantine fault tolerance and proactive recovery",
ACM Transactions on Computer Systems (TOCS) , vol. , não. , pp. 8–6,.
[8] M. Castro e B. Liskov, “Practical byzantine faut tolerance,” Proc. de OSDI , pp.
-,.
https://translate.googleusercontent.com/translate_f 616/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 771 O Conhecimento em Segurança Cibernética
www.cybok.org
[] A. Bessani et al, "Armazenamento seguro em uma nuvem de nuvens", ACM Eurosys , pp. - 6,.
[] J. Park e R. Sandhu, "The UCON ABC usage control model," ACM Transactions on
Segurança da Informação e do Sistema (TISSEC) , vol. , não. , pp. 8–,.
[] RS Sandhu, D. Ferraiolo e R. Kuhn, “The NIST model for role based access
controle: Rumo a um padrão unificado ”, em Proceedings of th ACM Workshop on Role
Controle de acesso baseado em julho, pp. –6.
[6] MC Libicki, “Cyberspace is not a war ghting domain,” ISJLP , vol. 8, pág. ,.
[6] N. Hardy, “The confused deputy,” Operating Systems Reviews , vol. , não. , pp.
6–8, 88.
[6] E. Rissanen, “eXtensible access control markup language (XACML),” Oasis, Tech.
Rep. Xacml-. -core-spec-os-en,, versão. .
[6] “Critérios de Avaliação de Sistema de Computadores Confiáveis do DoD,” Departamento de Defesa dos EUA,
8, DOD. 8-STD.
www.cybok.org
[6] DFC Brewer e MJ Nash, "The Chinese Wall security policy", em Proceedings of
o 8 Simpósio IEEE sobre Segurança e Privacidade , 8, pp. 6–.
[6] N. Li, BN Grosof e J. Feigenbaum, "Delegação lógica: Uma abordagem baseada em lógica para
autorização distribuída ”, ACM Transactions on Information and System Security
(TISSEC) , vol. 6, não. , pp. 8–,.
https://translate.googleusercontent.com/translate_f 618/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
ACM,, pp. -.
[] V. Goyal, O. Pandey, A. Sahai e B. Waters, “Attribute-based encryption for
controle de acesso refinado de dados criptografados ”, em Proceedings of the th ACM
conferência sobre segurança informática e de comunicações . ACM, 6, pp. 8-8.
[6] M. Wong e W. Schlitt, "Sender policy framework (SPF) para autorizar o uso de
domínios no e-mail, versão ”, RFC 8, Tech. Rep., 6.
www.cybok.org
[8] G. Lowe, "Quebrando e corrigindo o protocolo de chave pública needham-schroeder usando fdr,"
em Workshop Internacional de Ferramentas e Algoritmos para Construção e Análise
de sistemas . Springer, 6, pp. - 66.
[6] M. Ammar, Y. Yoshida e T. Fukumura, “Uma nova abordagem eficaz para on-line
verificação de assinaturas usando recursos de pressão ”, IEEE Transactions on Systems,
Man and Cybernetics , vol. SMC-6, no. , pp. -, 86.
www.cybok.org
[] R. Sommer e V. Paxson, “Outside the closed world: On using machine learning for
detecção de intrusão de rede, ”em Simpósio IEEE sobre segurança e privacidade . IEEE,
, pp. - 6.
https://translate.googleusercontent.com/translate_f 620/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
bibliografia | Outubro Página
www.cybok.org
www.cybok.org
[] MS Miller, “Composição robusta: Rumo a uma abordagem unificada para controle de acesso e
controle de simultaneidade ”, Ph.D. dissertação, Johns Hopkins University, Baltimore,
Maryland, EUA, 6 de maio.
Disponível: www.misra.org.uk
[] EJ Schwartz, T. Avgerinos e D. Brumley, “Tudo que você sempre quis saber sobre
análise dinâmica de manchas e execução simbólica direta (mas pode ter ficado com medo
to ask), ”em Proceedings of the IEEE Symposium on Security and Privacy , ser. SP
'. Washington, DC, EUA: IEEE Computer Society,, pp. -.
[6] P. Holzinger, S. Triller, A. Bartel e E. Bodden, “Um estudo aprofundado de mais de dez
anos de exploração java ”, nos Anais da 6 ACM SIGSAC Conference on
Segurança de computadores e comunicações , ser. CCS '6, 6, pp. -.
[8] J. Viega e G. McGraw, Building Secure Software: How to Avoid Security Problems
o caminho certo . Addison-Wesley Professional,.
www.cybok.org
[] E. Rescorla, “HTTP over TLS,” Internet Requests for Comments, RFC Editor, RFC
8 8 de maio. [Conectados]. Disponível: http://www.rfc-editor.org/rfc/rfc 8 8.txt
https://translate.googleusercontent.com/translate_f 622/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
senhas: uma estrutura para avaliação comparativa da autenticação da web
esquemas ”, no Simpósio IEEE sobre Segurança e Privacidade . IEEE, maio. [Conectados].
Disponível: https:
//www.microsoft.com/en-us/research/publication/the-quest-to-replace-passwords-
uma estrutura para avaliação comparativa de esquemas de autenticação da web /
[] E. Enge, “Mobile VS. Uso da área de trabalho em, ”. [Conectados]. Disponível: https:
//www.per cientdigital.com/insights/our-research/mobile-vs-desktop-usage-study
[] M. Zalewski, The Tangled Web: A Guide to Securing Modern Web Applications , st ed.
São Francisco, CA, EUA: No Starch Press,.
[6] E. Leung, “Aprenda a estilizar HTML usando CSS,” agosto. [Conectados]. Disponível:
https://developer.mozilla.org/en-US/docs/Learn/CSS
[6] ——, "Repensando a segurança de aplicativos de sistema baseados na web", em Proceedings of the
ª Conferência Internacional sobre a World Wide Web , ser. WWW '. República e
Cantão de Genebra, Suíça: Direção de conferências internacionais na World Wide Web
Committee,, pp. 66-6. [Online]. Disponível:
https://doi.org/. / 6. 66
[6] Apple Inc., “Diretrizes para análise da App Store,”. [Conectados]. Disponível:
https://developer.apple.com/app-store/review/guidelines/
[6] Desenvolvedores Android, “Assine seu aplicativo | Desenvolvedores Android, ”. [Conectados]. Disponível:
https://developer.android.com/studio/publish/app-signing
[66] DC Nguyen, E. Derr, M. Backes e S. Bugiel, “Short text, large effect: Measuring
o impacto das avaliações dos usuários na segurança e privacidade de aplicativos Android ”, em Proceedings of the
Simpósio IEEE sobre Segurança e Privacidade, maio . IEEE, maio. [Conectados].
Disponível: https://publications.cispa.saarland/ 8 /
[6] A. Barth, C. Reis, C. Jackson e equipe do Google Chrome, “The security architecture
do navegador chromium ”, 8 de janeiro. [Online]. Disponível:
http://seclab.stanford.edu/websec/chromium/chromium-security-architecture.pdf
https://translate.googleusercontent.com/translate_f 623/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] A. Barth, “The web origin concept,” Internet Requests for Comments, RFC Editor, RFC
6 de dezembro. [Conectados]. Disponível: http://www.rfc-editor.org/rfc/rfc6 .txt
www.cybok.org
[8] Acesso, “O elo mais fraco da cadeia: Vulnerabilidades na autoridade de certificação SSL
sistema e o que deve ser feito sobre eles ”. [Conectados]. Disponível:
https://www.accessnow.org/cms/assets/uploads/archive/docs/
Weakest_Link_in_the_Chain.pdf
[8] J. Reschke, "The 'Basic' HTTP Authentication Scheme," Internet Requests for
Comentários, Internet Engineering Task Force (IETF), RFC 6, setembro.
[Conectados]. Disponível: https://tools.ietf.org/html/rfc 6
[8] A. Barth, "mecanismo de gerenciamento de estado Http," Internet Requests for Comments,
Editor RFC, RFC 6 6, abril. [Conectados]. Disponível:
http://www.rfc-editor.org/rfc/rfc6 6.txt
[86] National Cyber Security Center (NCSC), Reino Unido, “Administração de senha para o sistema
https://translate.googleusercontent.com/translate_f 624/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
www.cybok.org
https://translate.googleusercontent.com/translate_f 625/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] E. Derr, S. Bugiel, S. Fahl, Y. Acar e M. Backes, “Keep me updated: An empírico
estudo de capacidade de atualização de biblioteca de terceiros no Android ”, em Proceedings of the ACM
SIGSAC Conference on Computer and Communications Security , ser. CCS '. Novo
York, NY, USA: ACM,, pp. 8 -. [Conectados]. Disponível:
http://doi.acm.org/. / 6.
[] F. Callegati e M. Ramilli, “Amedrontado por links,” IEEE Security Privacy , vol. , não. 6, pp.
- 6 de novembro
[] G. Maone, “NoScript - Bloqueador de JavaScript / Java / Flash para uma experiência mais segura do Firefox! -
o que é? - InformAction, ”. [Conectados]. Disponível: https://noscript.net/
[] J. Manico, D. Righetto e P. Ionescu, “JSON web token for Java. Trapaça OWASP
www.cybok.org
https://translate.googleusercontent.com/translate_f 626/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
http://doi.acm.org/. /. 6
[] F. Quinkert, T. Lauinger, WK Robertson, E. Kirda e T. Holz, “Não é o que parece
como: ataques de medição e registos defensivos de domínios homográficos “, em th
Conferência IEEE sobre Comunicações e Segurança de Rede, CNS, Washington,
DC, EUA, junho - ,,, pp. - 6. [Conectados]. Disponível:
https://doi.org/. / CNS. 0,88 6
www.cybok.org
https://translate.googleusercontent.com/translate_f 627/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
IMC '. New York, NY, USA: ACM,, pp. -. [Conectados]. Disponível:
http://doi.acm.org/. / 688 6. 688 6
[] S. Fahl, Y. Acar, H. Perl e M. Smith, “Why Eve e Mallory (also) love webmasters:
Um estudo sobre as causas básicas de erros de configuração de SSL ”, em Proceedings of the th ACM
Simpósio sobre Segurança da Informação, Computação e Comunicações , ser. ASIA CCS
'. New York, NY, USA: ACM,, pp. -. [Conectados]. Disponível:
http://doi.acm.org/. / 6.
www.cybok.org
[6] OWASP, “OWASP - password storage cheat sheet,”. [Conectados]. Disponível: https:
//cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html
[] Instituto Poneman, "8 cost of a data violação study: Global Overview", 8 de julho
conectados. [Conectados]. Disponível: https:
//securityintelligence.com/series/ponemon-institute-cost-of-a-data-breach- 8 /
[] T. Greene, "Esse problema do Heartbleed pode ser mais difundido do que você pensa", janeiro
, conectados. [Conectados]. Disponível: https://www.networkworld.com/article/ 6 /
security / that-hearbleed-problem-may-be-mais-pervasive-than-you-think.html
https://translate.googleusercontent.com/translate_f 628/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
index.php / OWASP_Secure_Software_Development_Lifecycle_Project, 8.
www.cybok.org
[] Synopsys, “8 segurança de código aberto e análise de risco,” Synopsys Center for Open
Fonte de Pesquisa e Inovação, Tech. Rep., 8. [Online]. Disponível:
https://www.blackducksoftware.com/open-source-security-risk-analysis- 8
[] PK Manadhata e JM Wing, "An attack surface metric", IEEE Trans. Softw. Eng. ,
vol. , não. , pp. - 86, maio. [Conectados]. Disponível:
http://dx.doi.org/. / TSE. .6
www.cybok.org
https://translate.googleusercontent.com/translate_f 629/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] G. Elahi e E. Yu,”,“Uma
trade-offs abordagem
nos Anais orientada a objetivos
da 6ª Conferência para de
Internacional modelagem
Conceitose análise de segurança
Modelagem , ser. ER '. Berlin, Heidelberg: Springer-Verlag,, pp. -.
[Conectados]. Disponível:
http://dl.acm.org.prox.lib.ncsu.edu/citation.cfm?id= 8 8. 8
[6] V. Saini, Q. Duan e V. Paruchuri, "Modelagem de ameaças usando árvores de ataque", J. Comput.
Sci. Coll. , vol. , não. , pp. -, 8 de abril. [Online]. Disponível:
http://dl.acm.org.prox.lib.ncsu.edu/citation.cfm?id=.
[6] L. Williams, A. Meneely e G. Shipley, “Protection poker: The new software security
"jogo" ;, ” IEEE Security Privacy , vol. 8, não. , pp. -, maio.
[6] G. McGraw, “The new killer app for security: Software Inventory,” Computer , vol. ,
não. , pp. 6–6, 8 de fevereiro.
[6] NIST Computer Security, "Guide for conduzing risk assessments", National Institute
de Padrões e Tecnologia, Tech. Rep. Publicação especial 8 - Revisão,.
[Conectados]. Disponível: https://csrc.nist.gov/publications/detail/sp/8 - / rev- / nal
www.cybok.org
https://translate.googleusercontent.com/translate_f 630/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
cibersegurança-é-dirigida-em /
[] G. McGraw, “De mainframes a carros conectados: como o software dirige o
indústria automotiva ”, Security Ledger , vol. Agosto, 8 de agosto.
[8] GA Moore, Crossing the Chasm: Marketing and Selling Disruptive Products to
Clientes tradicionais . Harper Collins,.
[8] R. Anderson, “Por que a segurança da informação é difícil - uma perspectiva econômica,” em
Décima Sétima Conferência Anual de Aplicativos de Segurança de Computadores , dezembro, pp.
8–6.
www.cybok.org
[8] W. Stallings, Network Security Essentials, Applications and Standards (6ª edição) ,
6ª ed. Pearson, 6.
[] S. Kent, C. Lynn e K. Seo, “Design and analysis of the secure border gateway
protocolo (S-BGP), ”em Proceedings DARPA Information Survivability Conference e
Exposição. DISCEX ' , vol. , Jan, pp. 8– vol. .
https://translate.googleusercontent.com/translate_f 631/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] A. Stubble eld, J. Ioannidis e AD Rubin, "Using the Fluhrer, Mantin, and Shamir
ataque para quebrar o WEP, ”no NDSS ,.
[8] R. Sommer e V. Paxson, “Outside the closed world: On using machine learning for
detecção de intrusão de rede, ”em Simpósio IEEE sobre Segurança e Privacidade , maio
, pp. - 6.
[6] S. Lal, T. Taleb e A. Dutta, "NFV: Security ameaças and best practices," IEEE
Communications Magazine , vol. , não. 8, pp. -, ago.
[8] JY Kim, W. Hu, D. Sarkar e S. Jha, "ESIoT: Enabling secure management of the
internet das coisas ”, nos Anais da ª Conferência ACM sobre Segurança e
Privacidade em redes sem fio e móveis , ser. WiSec '. Nova York, NY, EUA: ACM,
, pp. -. [Conectados]. Disponível: http://doi.acm.org/. / 8. 8
www.cybok.org
[] V. Lomne, "Certi cação de critérios comuns de um smartcard: uma visão geral técnica",
CHES 6 Tutorial. [Conectados]. Disponível:
https://iacr.org/workshops/ches/ches 6 / apresentações / CHES 6-Tutorial.pdf
[6] W. Slegers, Security Evaluation Scheme for IoT Platforms, version. , TrustCB,.
[Conectados]. Disponível: https://www.trustcb.com/iot/sesip/
[6] R. Avanzi, “The qarma block cipher family - quase matrizes mds sobre anéis com
zero divisores, construções quase simétricas com mansões não involutórias
rodadas centrais e heurísticas de pesquisa para s-box de baixa latência ”, Cryptology ePrint
Arquivo, Relatório 6 /, 6, https://eprint.iacr.org/ 6 /.
www.cybok.org
https://translate.googleusercontent.com/translate_f 633/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Disponível: https://doi.org/. / 8- - - - _8
[8] BW Lampson, “Uma nota sobre o problema de confinamento”, Communications ACM , vol. 6,
não. , pp. 6–6,.
[] O. Mutlu, “O problema do martelo de remo e outras questões que podemos enfrentar como memória
torna-se mais denso ” , na Conferência Design, Automation and Test in Europe, DATE,
Lausanne, Suíça, março - ,,, pp. 6–.
www.cybok.org
https://translate.googleusercontent.com/translate_f 634/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] S. Belaïd, V. Grosso e F. Standaert, “Masking and leaage-resilient primitives: One,
o (s) outro (s) ou ambos? ” Cryptography and Communications , vol. , não. , pp. 6 - 8,
.
www.cybok.org
[8] J. Guajardo, SS Kumar, G.-J. Schrijen, e P. Tuyls, “FPGA intrinsic PUFs and their
use para proteção de IP ”, em Hardware criptográfico e sistemas incorporados - CHES
. Springer Berlin Heidelberg,, pp. 6–8.
https://translate.googleusercontent.com/translate_f 635/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Computer & Communications Security , ser. CCS '. ACM,, pp. -.
[6] EA Lee, “The past, present and future of cyber-físico systems: A focus on
modelos ” , Sensors , vol. , não. , pp. 8 - 86,.
www.cybok.org
https://translate.googleusercontent.com/translate_f 636/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Aplicando
e simpósio adetecnologia
tecnologiasem fio no controle
e aplicações de processos
embarcadas industriais
. IEEE, em tempo real ”, em tempo real IEEE
8, pp. - 86.
[8] VC Gungor, GP Hancke et al. , “Redes de sensores sem fio industriais: desafios,
princípios de design e abordagens técnicas. ” IEEE Trans. Eletrônica Industrial ,
vol. 6, não. , pp. 8–6,.
www.cybok.org
[8] Z. Sheng, S. Yang, Y. Yu, A. Vasilakos, J. Mccann e K. Leung, “A survey on the IETF
pacote de protocolos para a Internet das coisas: padrões, desafios e oportunidades, ”
IEEE Wireless Communications , vol. , não. 6, pp. - 8,.
[88] K. Ogata, Discrete-time control systems . Prentice Hall Englewood Cliffs, NJ,,
vol. .
[] Y. Liu, P. Ning e MK Reiter, “Ataques de injeção de dados falsos contra estimativa de estado
em redes de energia elétrica ”, nos Anais da conferência sobre Computador e
segurança das comunicações (CCS) . ACM,, pp. -.
[] AA Cardenas, S. Amin, Z.-S. Lin, Y.-L. Huang, C.-Y. Huang e S. Sastry, “Attacks
contra sistemas de controle de processo: avaliação de risco, detecção e resposta ", em
Anais do simpósio ACM sobre informação, computador e comunicações
segurança , pp. - 66.
[6] B. Krebs. (8 de junho) Incidente cibernético responsabilizado pelo desligamento da usina nuclear.
http://www.washingtonpost.com/wp-dyn/content/article/ 8/6 / /
AR 8 6 8.html.
[8] A. Greenberg, "Hackers matam um jipe remotamente na rodovia? Comigo nele" , Wired ,
vol. , p. ,.
[] KC Zeng, S. Liu, Y. Shu, D. Wang, H. Li, Y. Dou, G. Wang e Y. Yang, “All your GPS
são nossos: Rumo à manipulação furtiva dos sistemas de navegação rodoviária, ”em º
Simpósio de Segurança USENIX (USENIX Security 8) , 8, pp. -.
www.cybok.org
https://translate.googleusercontent.com/translate_f 637/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] S. McLaughlin, “CPS: Stateful policy enforcement for control system device use,”
em Anais da Conferência Anual de Aplicativos de Segurança de Computadores (ACSAC) .
New York, NY, USA: ACM,, pp. - 8.
[8] K. Zetter. (6, março) Por dentro do astuto e sem precedentes hack do poder da Ucrânia
grade. Revista WIRED. [Conectados]. Disponível: http://www.wired.com/ 6 / / inside-
astuto-sem precedentes-hack-ukraines-power-grid /
[] Y. Son, H. Shin, D. Kim, Y. Park, J. Noh, K. Choi, J. Choi e Y. Kim, "Rocking drones
com ruído sonoro intencional em sensores giroscópicos ”, em Segurança USENIX
Simpósio (Segurança USENIX),, pp. 88–8 6.
www.cybok.org
[6] R. Esposito. (6 de outubro) Hackers penetram nos computadores do sistema de água. [Conectados].
Disponível: https://www.computerworld.com/article/ 8 / hackers-break-into-
water-system-network.html
[8] T. Reed, At the Abyss: An Insider's History of the Cold War . Presidio Press, março
.
[] B. Krebs, “FBI: smart meter hacks provavelmente se espalharão”, abril. [Conectados]. Disponível:
http://krebsonsecurity.com/ / / fbi-smart-meter-hacks-provável-para-espalhar /
[6] “Procurador dos Estados Unidos, Distrito Leste da Califórnia. Homem de salgueiros preso por
hacking no sistema de computador Tehama Colusa Canal Authority, ”novembro.
[Conectados]. Disponível: https://www.computerworld.com/article/ / insider-
charge-with-hacking-california-canal-system.html
[] “Procurador dos Estados Unidos, Distrito Leste da Califórnia. Homem de Sacramento se declara culpado
para tentar desligar a rede elétrica da Califórnia ”, novembro. [Conectados].
www.cybok.org
Disponível: http:
//www.usdoj.gov/usao/cae/press_releases/docs/ / - - DenisonPlea.pdf
[8] D. Kravets. (, Março) Feds: Hacker desativou detecção de vazamento de plataforma de petróleo offshore
sistema. http://www.wired.com/threatlevel/ / / feds-hacker-dis /.
[] J. Leyden. (8, janeiro) Adolescente polonês descarrila bonde após hackear rede ferroviária.
http://www.theregister.co.uk/ 8 / / / tram_hack /.
[] A. Greenberg, “'Crash override': O malware que derrubou uma rede elétrica,” Wired
Revista , pp. -,.
[] A. Cherepanov, "Win / industroyer, uma nova ameaça para sistemas de controle industrial",
Papel branco. ESET ,.
[6] R. Langner, Robust Control System Networks: How to Achieve Reliable Control After
Stuxnet . Momentum Press,.
[8] P. Ralston, J. Graham e J. Hieb, “Avaliação de risco de segurança cibernética para SCADA e
DCS networks, ” transações ISA , vol. 6, não. , pp. 8 -,.
[] P. Craig, J. Mortensen e J. Dagle, “Metrics for the National SCADA Test Bed
Programa, ”PNNL-8, Paci c Northwest National Laboratory (PNNL), Richland, WA
(EUA), Tech. Rep., 8.
www.cybok.org
[] PP Tsang e SW Smith, "YASIR: A baixa latência de alta integridade de segurança retro t para
sistemas SCADA lecacy, ”em ª Conferência Internacional de Segurança da Informação (IFIC
SEC) , 8 de setembro, pp. -.
[] K. Fawaz, K.-H. Kim e KG Shin, “Protecting privacy of BLE device users.” dentro
Simpósio de Segurança USENIX , 6, pp. -.
https://translate.googleusercontent.com/translate_f 640/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] S. Koteshwara e A. Das, “Comparative study of authenticated encryption targeting
aplicações IoT leves ”, IEEE Design & Test , vol. , não. , pp. 6–,.
[6] K.-A. Shim, “Uma pesquisa de primitivas criptográficas de chave pública em sensor sem fio
redes ”, IEEE Communications Surveys & Tutorials , vol. 8, não. , pp. –6, 6.
[6] K. Eldefrawy, N. Rattanavipanon e G. Tsudik, "Hydra: design híbrido para controle remoto
atestado (usando um microkernel formalmente verificado), ”nos Anais do th ACM
Conferência sobre Segurança e Privacidade em Redes Wireless e Móveis . ACM, pp.
-.
[6] R. Berthier e WH Sanders, “detecção de intrusão baseada em especificação para detecção avançada
infraestruturas de medição ”, nos Anais do Simpósio Internacional Paci c Rim sobre
Computação confiável (PRDC) . IEEE,, pp. 8 -.
https://translate.googleusercontent.com/translate_f 641/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 802 O Conhecimento em Segurança Cibernética
www.cybok.org
[8] T. Roth e B. McMillin, "Physical attestation of cyber process in the smart grid",
em Workshop Internacional sobre Segurança de Infraestruturas Críticas de Informação . Springer,
, pp. 6–.
www.cybok.org
https://translate.googleusercontent.com/translate_f 642/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[8] J. Rowe, KN Levitt, T. Demir e R. Erbacher, "Arti cial Diversity as maneuvers in a
controle teórico de defesa de alvos móveis ”, no National Symposium on Moving Target
Pesquisa ,.
[8] J. Giraldo, A. Cardenas e RG Sanfelice, “Uma defesa de alvo móvel para revelar
ataques cibernéticos no CPS e minimizar seu impacto ”, na American Control Conference ,
.
www.cybok.org
[6] P. Hu, H. Li, H. Fu, D. Cansever e P. Mohapatra, “Estratégia de defesa dinâmica contra
ameaça persistente avançada com insiders, ”em IEEE Conference on Computer
Comunicações (INFOCOM) . IEEE,, pp. -.
https://translate.googleusercontent.com/translate_f 643/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] Y. Yuan, F. Sun e H. Liu, “Controle resiliente de sistemas ciber-físicos contra
atacante inteligente: uma abordagem de jogo stackelberg hierárquica ”, para aparecer em
International Journal of Systems Science ,.
[6] L. Sha, "Usando simplicidade para controlar a complexidade", IEEE Software , vol. 8, não. , pp.
- 8 de julho.
[6] T. Koppel, Lights out: a cyberattack, uma nação despreparada, sobrevivendo ao rescaldo .
Livros da Broadway, 6.
www.cybok.org
[6] B. Nassi, A. Shabtai, R. Masuoka e Y. Elovici, “Sok-security and privacy in the age
de drones: ameaças, desafios, mecanismos de solução e lacunas científicas ”, arXiv
pré-impressão arXiv:. ,.
[6] C. Feng, VR Palleti, A. Mathur, e D. Chana, “Uma estrutura sistemática para gerar
invariantes para detecção de anomalias em sistemas de controle industrial. ” no NDSS ,.
[6] CM Ahmed, J. Zhou e AP Mathur, “Noise matter: Using sensor and process
ruído ngerprint para detectar ataques cibernéticos furtivos e autenticar sensores no CPS, ”
em Proceedings of th Annual Computer Security Applications Conference .
ACM, 8, pp. 66-8.
https://translate.googleusercontent.com/translate_f 644/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
, pp. -.
[6] RM Lee, MJ Assante e T. Conway, “Analysis of the cyber attack on the
Rede elétrica ucraniana ”, SANS Industrial Control Systems, Tech. Rep., 6. [Online].
Disponível: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_.pdf
[6] R. Langner, “Para matar uma centrífuga: uma análise técnica do que os criadores do stuxnet tentaram
para alcançar ”, Arlington, VA: Langner Group , vol. , p. ,. [Conectados]. Disponível:
http://www.langner.com/en/wp-content/uploads/ / /To-kill-a-centrifuge.pdf
www.cybok.org
[6] A. Le, U. Roedig e A. Rashid, “Lasarus: Lightweight attack surface scale for
sistemas de controle industrial legados ”, no Simpósio Internacional de Engenharia Segura
Software e sistemas . Springer,, pp. 6–.
[6] S. McLaughlin, S. Zonouz, D. Pohly e P. McDaniel, “Um verificador de segurança confiável para
código do controlador de processo ”, em Proceedings of the ISOC Network and Distributed
Simpósio de Segurança de Sistemas (NDSS) ,.
[6 6] Y. Liu, P. Ning e MK Reiter, “Ataques de injeção de dados falsos contra estimativa de estado
em redes de energia elétrica ”, ACM Transactions on Information and System Security
(TISSEC) , vol. , não. , p. ,.
https://translate.googleusercontent.com/translate_f 645/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
[6] O. Kosut, L. Jia, R. Thomas e L. Tong, “Malicious Data Attacks on Smart Grid
Estimativa de estado: estratégias e contramedidas de ataque ”, no primeiro IEEE Smart Grid
Conferência de Comunicações (SmartGridComm) , outubro.
[6] MA Rahman, E. Al-Shaer, M. Rahman et al. , “Um modelo formal para verificação de sigilo
ataques na estimativa de estado em redes de energia ", em Proceedings of Conference on Smart
Comunicações de rede (SmartGridComm) . IEEE,, pp. -.
www.cybok.org
https://translate.googleusercontent.com/translate_f 646/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[6] A. Laszka, A. Dubey, M. Walker e D. Schmidt, “Providing privacy, safety, and
segurança em sistemas de energia transativa baseados em IoT usando livros-razão distribuídos ”, em
Anais da Sétima Conferência Internacional sobre a Internet das Coisas . ACM,
, p. .
[6] S. Soltan, P. Mittal e HV Poor, "BlackIoT: IoT botnet of high wattage devices can
interromper a rede elétrica, ”em o Simpósio de Segurança USENIX (USENIX Security 8) ,
8, pp. -.
[66] (8 de outubro) Vulnerabilidades do sensor de tráfego das redes Sensys (Atualização A).
https://ics-cert.us-cert.gov/advisories/ICSA- - - A.
[66] (, março) Estudantes israelenses falsificam o aplicativo waze com congestionamento de tráfego falso. http: //
www.popsci.com/article/gadgets/israeli-students-spoof-waze-app-fake-traf c-jam.
www.cybok.org
[66] (6, junho) Proprietários cansados de traficar e o waze estão em guerra novamente. adivinha quem é
ganhando? https://www.washingtonpost.com/local/traf c-weary-homeowners-and-
waze-estão-em-guerra-novamente-adivinha-quem-está-ganhando / 6/6 / / c 66df 6- d- e6-
b 8 - eb _story.html.
[66] A. Costin e A. Francillon, “Ghost in the air (traf c): On insegurity of ADS-B protocol
e ataques práticos a dispositivos ADS-B ”, Black Hat USA , pp. -,.
[66] D. Jenkins e B. Vasigh, O impacto econômico dos sistemas de aeronaves não tripuladas
integração nos Estados Unidos . Associação para Sistemas de Veículos Não Tripulados
Internacional (AUVSI),.
[6] () O Gartner prevê que milhões de drones serão enviados. [Conectados]. Disponível:
https://dronelife.com/ / / / gartner-predicts- -million-drones-shipped- /
[6] R. Altawy e AM Youssef, "Segurança, privacidade e aspectos de segurança dos drones civis:
Uma pesquisa, ” ACM Transactions on Cyber-Physical Systems , vol. , não. , p. , 6.
[6] RJ Rosen, “Então é assim que começa: Guy se recusa a parar de espionar drones em Seattle
https://translate.googleusercontent.com/translate_f 647/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
mulher," . [Conectados]. Disponível:
https://www.theatlantic.com/technology/archive/ / / so-this-is-how-it-started-
cara-se-recusa-a-parar-zangão-espionando-em-Seattle-mulher / 6 /
[6] OB Waxman, “O pai mais embaraçoso do mundo drone segue a filha para
escola," . [Conectados]. Disponível:
https://time.com/ 8 / dad-daughter-drone-school /
www.cybok.org
[68] K. Poulsen. (, Março) Hacker desativa mais do que carros remotamente. WIRED.
[Conectados]. Disponível: https://www.wired.com/ / / hacker-bricks-cars /
[686] PW Singer, com fios para a guerra: A revolução robótica e con ito no século XXI .
Penguin,.
https://translate.googleusercontent.com/translate_f 648/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
“Protegendo neuroestimuladores
sobre Segurança sem
e Privacidade de fio,”eem
Dados Proceedings
Aplicativos of the8,Eighth
. ACM, pp. 8-8.ACM Conference
[6] D. Hambling, “O Pentágono tem um laser que pode identificar pessoas à distância por
sua pulsação ”, MIT Technology Review ,.
www.cybok.org
[6] C. Kolias, G. Kambourakis, A. Stavrou e J. Voas, “DDoS in the IoT: Mirai and other
botnets ” , Computer , vol. , não. , pp. 8–8,.
[6] L. Mathews, “Criminals Hacked A Fish Tank To Steal Data From A Casino,”.
[Conectados]. Disponível: https://www.forbes.com/sites/leemathews/ / / /
criminosos-hackeado-um-tanque-para-roubar-dados-de-um-cassino / # dba8c 6 b
[6] AK Simpson, F. Roesner e T. Kohno, “Protegendo dispositivos IoT domésticos vulneráveis com
um gerenciador de segurança no hub ”, em IEEE International Conference on Pervasive
Workshops de Computação e Comunicações (Workshops PerCom) . IEEE, pp.
- 6.
[] M. Schmitt, “International law in cyberspace: The Koh Speech and the Tallinn
manual justaposto ”, Harvard International Law Journal Online , vol. ,.
[] Grupo de Trabalho de Sistemas de Controle do Setor de Energia, "Roteiro para alcançar o fornecimento de energia
segurança cibernética de sistemas ”, Departamento de Energia dos EUA, Tech. Rep.,. [Conectados].
Disponível: https://www.energy.gov/ceser/downloads/roadmap-achieve-energy-
entrega-sistemas-cibersegurança-
[] B. Schneier, "The internet of things will upend our industry," IEEE Security and Privacy ,
vol. , não. , pp. 8–8,.
[6] K. Fu. (6) Interrupção da infraestrutura: segurança da Internet das coisas. US House of
Representantes. [Conectados]. Disponível: http://docs.house.gov/meetings/IF/IF /
6 6/8 / HHRG- -IF -Wstate-FuK- 6 6.pdf
https://translate.googleusercontent.com/translate_f 649/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] NIST, EUA, "Guidelines for smart grid cyber security (vol. To)," NIST IR-6 8, ago ,
.
www.cybok.org
https://translate.googleusercontent.com/translate_f 650/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] H. Tschofenig e E. Baccelli, "Cyberphysical security for the masses: A survey of
o pacote de protocolo de internet para segurança da internet das coisas ”, IEEE Security Privacy ,
vol. , não. , pp. -, setembro.
[6] R. Liu e W. Trappe, Securing Wireless Communications at the Physical Layer , st ed.
Springer Publishing Company, Incorporated,.
[] AD Wyner, "The wire-tap channel" , jornal técnico do sistema Bell , vol. , não. 8, pp.
- 8,.
[6] C. Popper, "On secure wireless communication under adversarial interferência", PhD
tese, ETH Zurique,.
www.cybok.org
[8] H. Yang, S. Bae, M. Son, H. Kim, SM Kim e Y. Kim, “Hiding in plain signal:
Ataque de ofuscamento de sinal físico em LTE ”, no 8º Simpósio de Segurança USENIX
(Segurança USENIX) . Santa Clara, CA: Associação USENIX, agosto, pp. -.
[Conectados]. Disponível:
https://www.usenix.org/conference/usenixsecurity / presentation / yang-hojoon
https://translate.googleusercontent.com/translate_f 651/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
eAtaques
Sensor de
Networks
limitação
, L.deButtyán,
distânciaVD
emGligor,
redes sem
e D.fio
Westhoff,
”, em Segurança
Eds. Berlim,
e privacidade em ad-hoc
Heidelberg: Springer Berlin Heidelberg, 6, pp. 8 -.
[6] S. Capkun e J.‑P. Hubaux, “Posicionamento seguro em redes sem fio,” IEEE Journal
em Áreas Selecionadas em Comunicações , vol. , não. , pp. -, 6 de fevereiro.
www.cybok.org
[] D. Genkin, A. Shamir e E. Tromer, “extração de chave RSA via acústica de largura de banda baixa
criptanálise ”, em Advances in Cryptology - CRYPTO , JA Garay e R. Gennaro,
Eds. Berlin, Heidelberg: Springer Berlin Heidelberg,, pp. - 6.
[6] W. van Eck, “radiação eletromagnética de unidades de exibição de vídeo: uma escuta
risco?" Computadores e Segurança , vol. , não. , pp. 6 - 86, 8. [Conectados]. Disponível:
http://www.sciencedirect.com/science/article/pii/ 6 88 6X
[6] D. Forsberg, G. Horn, W.-D. Moeller e V. Niemi, LTE Security , nd ed. Wiley
Publicação,.
https://translate.googleusercontent.com/translate_f 652/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
análise da autenticação G ”, nos Anais da 8 Conferência ACM SIGSAC
em Computer and Communications Security , ser. CCS '8. New York, NY, USA: ACM,
8, pp. 8 - 6. [Online]. Disponível:
http://doi.acm.org/. /. 8 6
www.cybok.org
[6] PK Gopala, L. Lai e H. El Gamal, "On the secret capacity of fading channels", em
Simpósio Internacional IEEE sobre Teoria da Informação . IEEE, pp.
6–.
[] W. Shen, P. Ning, X. He e H. Dai, “Ally friendly jamming: How to jam your inimigo
e manter sua própria conectividade sem fio ao mesmo tempo ”, em IEEE
Simpósio sobre Segurança e Privacidade . IEEE, pp. - 88.
https://translate.googleusercontent.com/translate_f 653/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
friendly
não. , pp.jamming
6–66,. ”, IEEE Transactions on Information Forensics and Security , vol. 6,
www.cybok.org
[8] W. Wang, Z. Sun, S. Piao, B. Zhu e K. Ren, "Wireless Physical-layer identi cation:
Modelagem e validação ”, IEEE Transactions on Information Forensics and Security ,
vol. , não. , pp. - 6, 6.
www.cybok.org
https://translate.googleusercontent.com/translate_f 654/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
[] L. Bussard e W. Bagga, “Prova de conhecimento de limite de distância para evitar tempo real
ataques ”, na Conferência Internacional de Segurança da Informação IFIP . Springer, pp.
- 8.
[8] S. Drimer, SJ Murdoch et al. , “Mantenha seus inimigos próximos: Distância contra
ataques de retransmissão de cartão inteligente. ” no simpósio de segurança USENIX , vol. ,.
[8 6] S. Čapkun e J.‑P. Hubaux, “Posicionamento seguro de dispositivos sem fio com aplicativo
às redes de sensores ”, no infocom IEEE , no. CONF,.
[8] JT Chiang, JJ Haas e Y.-C. Hu, “Veri cação de localização segura e precisa usando
delimitação de distância e multilateração simultânea ”, nos Anais do segundo
Conferência ACM sobre segurança de rede sem fio . ACM, pp. 8-.
https://translate.googleusercontent.com/translate_f 655/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
reconstrução da entrada
8ª Conferência digitada
ACM sobre a partirde
Segurança deComputadores
reflexões comprometedoras ", em
e Comunicações Proceedings
. ACM, pp. of the
- 6.
[8] X. Liu, Z. Zhou, W. Diao, Z. Li e K. Zhang, “Quando o bem se torna mau: Pressionamento de tecla
inferência com smartwatch ”, nos Anais da nd ACM SIGSAC Conference on
Segurança de computadores e comunicações . ACM, pp. - 8.
[8] C. Kasmi e JL Esteves, “Ameaças IEMI para a segurança da informação: Comando remoto
injeção em smartphones modernos ”, IEEE Transactions on Electromagnetic
Compatibility , vol. , não. 6, pp. -,.
[8 6] Y. Park, Y. Son, H. Shin, D. Kim e Y. Kim, “Esta não é a sua dose: Sensor spoo ng
ataque à bomba de infusão médica ”, no Workshop USENIX sobre ofensiva
Tecnologias (WOOT 6) , 6.
www.cybok.org
[8] AN Bikos e N. Sklavos, “LTE / SAE security issues on G wireless networks,” IEEE
Security & Privacy , vol. , não. , pp. –6,.
[8] C. Bonebrake e LR O'Neil, "Ataques à confiabilidade do tempo do GPS", IEEE Security &
Privacidade , vol. , não. , pp. 8–8,.
https://translate.googleusercontent.com/translate_f 656/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
8 -,.
[8] Techopedia. [Conectados]. Disponível: https://www.techopedia.com/dictionary
[8] VR Segovia e A. Theorin, "History of control history of PLC and DCS," University
de Lund ,.
[8] Industrial Internet Consortium, “The Industrial Internet Vocabulary Technical Report
V. , ”IIconsórcio, Tech. Rep., 8 de maio.
www.cybok.org
[8] JA Simpson e ESC Weiner, Eds., Dicionário de Inglês Oxford . Universidade de Oxford
Pressione, 8.
https://translate.googleusercontent.com/translate_f 657/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
Página 823
https://translate.googleusercontent.com/translate_f 658/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Siglas
Gateway de aplicativo AG .
Cabeçalho de autenticação AH .
www.cybok.org
Correspondência aproximada de AM .
Ponto de acesso AP .
aplicativo de aplicativo.
Sistema autônomo AS .
Servidor de autorização AS .
AV AntiVirus.
BAN Burrows-Abadi-Needham.
BLP Bell-LaPadula.
www.cybok.org
Teste de Turing público totalmente automatizado CAPTCHA para diferenciar computadores de humanos.
CC Common Criteria.
CC Common Criteria.
https://translate.googleusercontent.com/translate_f 660/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
CDA Cyber Defense Alliance.
Expressão de evento comum do CEE .
www.cybok.org
https://translate.googleusercontent.com/translate_f 661/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Espectro CSS Chirp-Spread.
Folhas de estilo em cascata CSS .
www.cybok.org
www.cybok.org
https://translate.googleusercontent.com/translate_f 662/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
EE de ponta a ponta.
Criptografia E EE End-to-end.
ELK ElasticSearch-Kibana-Logstash.
www.cybok.org
https://translate.googleusercontent.com/translate_f 663/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Sistema de arquivos FS .
Circuito integrado IC .
https://translate.googleusercontent.com/translate_f 664/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Controle de acesso baseado em identidade IBAC .
Circuito integrado IC .
www.cybok.org
IND indistinguível.
Protocolo de Internet IP .
Representação intermediária de IR .
https://translate.googleusercontent.com/translate_f 665/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Vetor de inicialização IV .
www.cybok.org
Área de Conhecimento KA .
ME Management Engine.
https://translate.googleusercontent.com/translate_f 666/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
MK Master Key.
Aprendizado de máquina de ML .
Multilateração MLAT .
NS não seguro.
https://translate.googleusercontent.com/translate_f 667/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
NX sem execução.
OU Roteador Onion.
Sistema operacional OS .
OT Oblivious Transfer.
Tecnologia Operacional OT .
OW unidirecional .
www.cybok.org
PP ponto a ponto.
https://translate.googleusercontent.com/translate_f 668/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Número de identificação pessoal PIN .
PoS Proof-of-Estaca.
www.cybok.org
Resposta rápida de QR .
Freqüência de rádio RF .
https://translate.googleusercontent.com/translate_f 669/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
RIP Routing INformation Protocol.
RNG Random Number Generator.
www.cybok.org
RSA Rivest-Shamir-Adleman.
Associação de Segurança SA .
SD Secure Digital.
https://translate.googleusercontent.com/translate_f 670/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 838
O Conhecimento em Segurança Cibernética
www.cybok.org
Provedor de Serviços SP .
www.cybok.org
https://translate.googleusercontent.com/translate_f 671/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
SSL Secure Sockets Layer.
Logon único de SSO .
Chave Temporal TK .
www.cybok.org
UF Universal nd Factor.
Composabilidade Universal UC .
https://translate.googleusercontent.com/translate_f 672/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Protocolo de datagrama do usuário UDP .
Equipamento do usuário UE .
UF Universal Forgery.
Interface do usuário UI .
UWB Ultra-Wideband.
www.cybok.org
Máquina Virtual VM .
Desativar XD Execute.
XN Execute Never.
Conhecimento ZK Zero.
https://translate.googleusercontent.com/translate_f 673/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
www.cybok.org
https://translate.googleusercontent.com/translate_f 674/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
Página 843
Glossário
golpear uma versão particular de fraude de taxa antecipada específica para a Nigéria.
ALARP Um método para reduzir o risco a níveis tão baixos quanto razoavelmente possível.
Notificação de alerta de que um ataque específico foi direcionado às informações de uma organização
sistemas (Fonte = NIST IR 8r). No contexto SOIM , um alerta deve se referir a um
evento, ou grupo de eventos, de interesse a partir de uma perspectiva de segurança, representando qualquer
um sintoma ou consequência de ataque . Um alerta é necessariamente o resultado de um
processo de análise realizado por um sensor do Sistema de Detecção de Intrusão em rastreamentos de eventos .
anonimato O estado de não ser identificável dentro de um conjunto de sujeitos, o conjunto de anonimato.
www.cybok.org
O Circuito Integrado Específico de Aplicação ASIC é uma classe de circuitos integrados, onde o
o circuito é sintonizado para um aplicativo específico ou conjunto de aplicativos. Por exemplo, um TPM é um
ASIC dedicado para aplicações de segurança.
ataque Uma tentativa de obter acesso não autorizado a serviços de um Sistema de Informação ,
recursos ou informações ou uma tentativa de comprometer a integridade do sistema. (Fonte =
https://translate.googleusercontent.com/translate_f 675/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
NIST IR 8r).
superfície de ataque O conjunto de pontos de entrada onde um invasor pode tentar acesso não autorizado.
As abordagens de segurança se esforçam para manter a superfície de ataque o menor possível.
autenticação verificando um valor de atributo reivindicado.
botnet Uma rede de computadores comprometidos (ou bots) que é controlada por um invasor para
lançar atividades maliciosas coordenadas.
provedores de serviços de hospedagem à prova de balas que são conhecidos por não cumprir a lei
solicitações de remoção de aplicação. Isso é possível por estar localizado em
países com legislação frouxa de crimes cibernéticos ou por operadoras de provedores de serviços ativamente
subornar as autoridades locais.
Comportamento anômalo bizantino quando uma entidade / invasor envia mensagens diferentes (embora válidas)
informações para destinatários diferentes. O leitor é encaminhado a [ ] para o técnico
definição.
www.cybok.org
crime cibernético crime que tem um alcance maior em comparação com sua contraparte
através do uso da tecnologia.
www.cybok.org
Sistemas cibernéticos de sistema físico projetados que são construídos a partir de, e dependem,
integração perfeita de computação e componentes físicos [ 8 ]
cyberbullying - enviar ou postar material prejudicial ou se envolver em outras formas de relacionamento social
agressão por meio da Internet ou de outras tecnologias digitais.
doxing um ataque em que as informações privadas da vítima são divulgadas publicamente online.
DRAM DRAM é memória de acesso aleatório dinâmico. Muito popular por causa de sua alta
densidade. Requer apenas um transistor e uma pequena capacitância para armazenar um bit de
https://translate.googleusercontent.com/translate_f 677/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
dados. Requer atualização regular. Ele perde seu valor quando a fonte de alimentação é desligada
fora.
ataque de download drive-by um ataque em que uma página da web tenta explorar um software
vulnerabilidade no navegador da vítima com o objetivo de instalar malware.
evento Qualquer ocorrência observável em uma rede ou sistema. (Fonte = NIST IR 8r). Vestígio
de atividade fornecida por um ambiente de computação. No contexto SOIM , esta é uma peça
de evidências registradas de que uma atividade foi realizada no sistema monitorado. Eventos
são adquiridos sequencialmente pelo sensors para obter um traço da atividade em um computador ou
rede, para encontrar indicador de comprometimento.
explorar software ou dados que se aproveitam de uma vulnerabilidade em um sistema para causar
Consequências não-intencionais. (Fonte = Glossário NCSC).
exploit kit uma ferramenta que coleta um grande número de vulnerabilidades e são vendidas no preto
mercado para outros criminosos usarem.
sistema de arquivos ( sistema de arquivos) Um subsistema do sistema operacional que é responsável pelo
armazenamento persistente e organização de arquivos de usuário e sistema em uma partição / volume.
rewall Um gateway que limita o acesso entre redes de acordo com a segurança local
política. (Fonte = NIST IR 8r).
fullz roubado registros de cartão de crédito que também contêm informações de faturamento.
HDL A linguagem de descrição de hardware é uma linguagem especial para descrever hardware digital
no nível de transferência de registro. As linguagens mais conhecidas são VHDL e Verilog.
criptografia homomórfica Uma forma de criptografia que, ao computar em textos cifrados,
gera um resultado criptografado que, quando descriptografado, corresponde ao resultado do
cálculo como se tivesse sido executado no texto simples.
honeypot Um sistema (por exemplo, um servidor Web) ou recurso do sistema (por exemplo, um arquivo em um servidor, um e-mail
endereço, uma tabela ou linha ou coluna em um banco de dados) que é projetado para ser atraente para
crackers e intrusos em potencial e sem usuários autorizados além de seus
administradores (Fonte = NIST IR 8r). No contexto de SOIM, os honeypots podem ser
operado localmente como um método de detecção adicional que complementa o sensor IDSs, ou por
um provedor de serviços CTI externo .
https://translate.googleusercontent.com/translate_f 678/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
geralmente silício CMOS. Um nome comum é 'chip' ou 'chip de silício'.
www.cybok.org
impacto A magnitude do dano que pode ser esperado como resultado das consequências de
divulgação não autorizada de informações, modificação não autorizada de informações,
destruição não autorizada de informações, ou perda de informações ou sistema de informações
disponibilidade (Fonte = NIST IR 8r). No contexto de SOIM, esta é a extensão de
danos causados pelo ataque à infraestrutura de TIC ou às empresas
processos.
www.cybok.org
suite especificada pelo Internet Architecture Board (IAB), e (b) o nome e endereço
espaços administrados pela Internet Corporation for Assigned Names and Numbers
(ICANN). (Fonte = NIST IR 8r).
Rede da Internet das Coisas de objetos físicos ou "coisas" incorporadas à eletrônica,
https://translate.googleusercontent.com/translate_f 679/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
software, sensores e conectividade para permitir que objetos troquem dados com o
fabricante, operador e / ou outros dispositivos conectados. A IoT se refere a dispositivos,
que são frequentemente restritos nas capacidades de comunicação e computação, agora
tornando-se mais comumente conectado à Internet e a vários serviços que são
construído com base nas capacidades que esses dispositivos fornecem em conjunto .
Sistema de detecção de intrusão (IDS) Produto de hardware ou software que reúne e analisa
informações de várias áreas de um computador ou rede para identificar possíveis
violações de segurança, que incluem ambas as intrusões (ataques de organizações externas)
e uso indevido (ataques de dentro das organizações). Consulte também sensor. (Fonte = NIST
IR 8r).
key-logger Um vírus ou dispositivo físico que registra as teclas digitadas para capturar secretamente
informações como senhas ou detalhes do cartão de crédito (Fonte = Glossário BSI).
eleição de líder Após a substituição de um líder existente, em caso de falha de um líder ou por
justiça ou equilíbrio de carga, o processo de eleição de uma nova entidade para realizar o
atividades de liderança de coordenação.
ação legal O processo pelo qual uma pessoa traz uma reclamação legal a um tribunal para
adjudicação ou para fazer cumprir os resultados de uma adjudicação anterior. Este é o método usado
para fazer cumprir um direito de ação.
pessoa jurídica Uma entidade investida de características pessoais suficientes para merecer uma
identidade separada de seus membros constituintes. Essas características incluem: o
direito de iniciar ou responder a uma ação legal em nome da entidade; o direito de possuir
ativos em nome da entidade; e o direito de assumir obrigações em nome da entidade.
Pessoas jurídicas geralmente incluem: estados; organização governamental internacionals;
entidades públicas ou privadas constituídas de acordo com a lei de um estado e investidas por aquele
estado com as características de personalidade, como um inglês público limitado
empresa (PLC), uma sociedade de responsabilidade limitada de Delaware (LLP), uma sociedade francesa
anonyme (SA), uma gesellschaft mit beschränkter hafting (GmbH) alemã, a cidade de
Nova York, etc.
Probabilidade Uma medida que captura o grau de possibilidade de uma ameaça explorar um
vulnerabilidade e, portanto, produzir um resultado indesejável.
https://www.ietf.org/topics/iot/
www.cybok.org
aquisição lógica O processo de obtenção dos dados depende de uma ou mais camadas de software
como intermediários para adquirir os dados do dispositivo de armazenamento.
volume lógico Uma coleção de volumes físicos apresentados e gerenciados como uma única unidade.
metadados Informações sobre os dados ou enviadas junto com os dados, por exemplo, o endereço IP, a localização,
ou o sistema operacional a partir do qual uma mensagem é enviada.
https://translate.googleusercontent.com/translate_f 680/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
malware metamórfico Malware do qual cada iteração ou instância possui um código diferente
do anterior. As mudanças no código tornam difícil reconhecer os diferentes
iterações são o mesmo malware (em contraste com malware polimórfico).
meterpreter Uma ferramenta que permite que um invasor controle o computador da vítima executando um
escudo invisível e estabelecendo um canal de comunicação de volta para o atacante
máquina.
middleware Uma camada de software entre o sistema operacional e a camada de aplicativo
projetado para facilitar a interconexão e interação entre distribuídas
componentes. Freqüentemente chamada de "cola de software" que une os componentes.
mula de dinheiro: uma pessoa que é recrutada por um criminoso para realizar a lavagem de dinheiro.
operação de obrigação a ser realizada em conjunto com uma solicitação de acesso que tinha sido
garantido.
overlay Refere-se à rede de sobreposição em sistemas ponto a ponto que é uma rede virtual
ligando um conjunto específico de nós como construído em cima dos nós da rede física.
www.cybok.org
partição (volume físico) Uma alocação contígua de blocos para uma finalidade específica, como
como a organização de um sistema de arquivos.
dns passivo Um mecanismo para coletar grandes quantidades de dados DNS armazenando respostas DNS
de servidores. (Fonte = RFC.
PCB A Placa de Circuito Impresso é uma placa especializada que contém os diferentes componentes integrados
circuitos. É feito de um material isolado com fiação de cobre para conectar os pinos do
diferentes circuitos integrados entre si e com o exterior.
sinônimo de permissão para direito de acesso.
phishing uma fraude que atrai os usuários a fornecer credenciais de acesso a serviços online para um
Criminoso.
programa potencialmente indesejado Um programa que pode não ser desejado por um usuário e muitas vezes é
baixado junto com um programa que o usuário deseja. Os exemplos incluem adware,
https://translate.googleusercontent.com/translate_f 681/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
spyware, etc.
principal nas políticas, a entidade ativa em uma solicitação de acesso.
Controlador lógico programável (PLC) Uma unidade baseada em computador reforçada industrialmente que
executa funções de controle discretas ou contínuas em uma variedade de plantas de processamento e
ambientes de fábrica. Foi originalmente concebido como um equipamento de substituição de relé para
a indústria automotiva. Ao contrário do DCS, eles podem ser vendidos como autônomos
equipamento (em vez de um sistema integrado como DCS) [ 8 ]
prova Veja a discussão na Seção . ..
RAM RAM é memória de acesso aleatório. É a memória em um circuito integrado para armazenar valores
(dados ou código).
www.cybok.org
ransomware Software malicioso que torna os dados ou sistemas inutilizáveis até a vítima
faz um pagamento. (Fonte = NIST IR 8).
o monitor de referência é o componente abstrato que medeia todos os acessos aos objetos.
remessa de mula uma pessoa que é recrutada por um criminoso para enviar mercadorias compradas com
cartões de crédito roubados no exterior.
direito de ação um direito decorrente de lei para uma pessoa a tomar uma ação legal contra a outra.
Raiz de confiança Uma raiz de confiança é um componente usado para realizar uma função de segurança, sobre a qual
um designer confia, mas cuja confiabilidade não pode ser explicitamente verificada [ ]
segurança No contexto da análise de malware, um requisito de que o malware deve ser evitado
de causar danos aos sistemas e redes conectados enquanto é executado no
ambiente de análise.
modelo de segurança especificações de alto nível de um sistema projetado para garantir certa segurança
políticas.
Sensor Um dispositivo que percebe certas características do mundo real e as transfere
em uma representação digital [ 8 8]
Equipamento sensor (software e / ou hardware) destinado a detectar e alertar
ataques cibernéticos, também conhecidos como Sistema de Detecção de Intrusão (IDS)
sextorção um crime em que um patife atrai as vítimas para realizar atos sexuais na frente de um
câmera (por exemplo, uma webcam em uma sala de chat), grava esses atos e, mais tarde, pede um
pagamento monetário para não divulgar a filmagem.
Ataque de canal lateral Ataque de canal lateral Um ataque baseado em informações obtidas do
implementação de um sistema (por exemplo, o de um algoritmo criptográfico) em vez de
fraquezas no algoritmo (por exemplo, aqueles descobertos por meio de criptanálise). Canal Lateral
ataques podem ser montados com base em dados de monitoramento ou variações dependentes de chave em
tempo de execução, consumo de energia ou radiação eletromagnética do integrado
circuitos.
assinatura Um padrão de byte característico usado em código malicioso ou um indicador, ou conjunto de
indicadores, que permitem a identificação de atividades maliciosas na rede. (Fonte =
NIST IR 8r). Uma definição mais atual é um indicador de compromisso.
afundamento Uma técnica usada por um servidor DNS para fornecer informações falsas para evitar que
uso de um nome de domínio.
espaço livre A diferença entre o armazenamento alocado para um objeto de dados, como arquivo, ou
um volume e o armazenamento em uso real.
SOC System-on-chip é um circuito integrado muito grande que combina vários grandes
componentes, que nas gerações anteriores podem ter consistido em vários chips em
uma placa de circuito.
spam O abuso de sistemas de mensagens eletrônicas para enviar indiscriminadamente não solicitado
https://translate.googleusercontent.com/translate_f 682/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
mensagens em massa. (Fonte = NIST IR 8).
www.cybok.org
SRAM SRAM é Static Random Access Memory, um tipo de memória que torna mais fácil
endereçar cada bit individual, exigindo normalmente 6 transistores por bit. SRAM perde seu
valores quando a fonte de alimentação é desligada.
estado Uma pessoa jurídica que normalmente possui as seguintes quali cações: um permanente
população; um território definido; Um governo; e uma capacidade legal para entrar em
relações com outros estados. No contexto do direito internacional público e da diplomacia,
confirmar o status de uma entidade como um 'estado' é uma decisão normalmente tomada individualmente
por outros estados por meio de proclamação, troca de embaixadores, etc. No contexto
de uma federação (por exemplo, Estados da Austrália, Províncias do Canadá, Länder da Alemanha,
Estados Unidos), o reconhecimento normalmente ocorre de acordo com o
procedimentos constitucionais dessa federação.
sujeita uma entidade em um sistema de TI que fala por um principal (às vezes usado como um
sinônimo de principal).
Controle de supervisão e aquisição de dados Um sistema de controle de supervisão que integra
sistemas de aquisição de dados remotos com sistemas de transmissão de dados e
Software de interface homem-máquina (HMI) para fornecer um monitoramento centralizado e
sistema de controle para inúmeras entradas e saídas de processo. Sistemas SCADA são
projetado para coletar informações de campo, transferi-las para uma instalação de computador central e
exibir as informações para o operador graficamente ou textualmente, permitindo assim que o
operador para monitorar ou controlar um sistema inteiro de um local central quase real
Tempo. Os sistemas SCADA e os sistemas de controle distribuído (DCS) são frequentemente conectados em rede
juntos. É o caso do controle de energia elétrica, embora a energia elétrica
instalação de geração é controlada por um DCS, o DCS deve se comunicar com o SCADA
sistema para coordenar a produção com transmissão e distribuição
demandas [ 6 ]
território Uma região delimitada de espaço geográfico (ou seja, espaço real, incluindo ar e água).
Freqüentemente usado na lei para descrever os limites de um estado (por exemplo, o território da República
da Itália).
ameaça Um indivíduo, evento ou ação que tem a capacidade de explorar uma vulnerabilidade.
token uma estrutura de dados que codifica o resultado de uma decisão de acesso.
trace conjunto ordenado de eventos, geralmente do mesmo tipo, reunidos em um recipiente para fácil
acesso sequencial. Um rastreamento é, por exemplo, uma captura de pacote ou um arquivo de log. O pedido é
não necessariamente cronológico, mas é fixo no momento da gravação do traço.
Transdutor Um dispositivo que converte variações em uma quantidade física, como pressão ou
brilho, em um sinal elétrico, ou vice-versa [ 8 ]
triagem A triagem é um exame forense parcial realizado em tempo (significativo) e
restrições de recursos ..
trojan Um programa de computador que parece ter uma função útil, mas também tem uma função oculta
e função potencialmente maliciosa que foge dos mecanismos de segurança, às vezes por
https://translate.googleusercontent.com/translate_f 683/684
19/04/2021 O Corpo de Conhecimento de Segurança Cibernética
explorar autorizações legítimas de uma entidade do sistema que invoca o programa.
(Fonte = NIST IR 8).
Trusted Computing Base A Trusted Computing Base (TCB) é a raiz típica de confiança para
um sistema de computador. Ele contém todos os componentes de hardware e software, que precisam
ser confiável e cuja confiabilidade não possa ser explicitamente verificada. Se segurança
vulnerabilidades ocorrem no TCB, então a segurança de todo o sistema do computador pode
estar em risco.
Módulo de plataforma confiável Um Módulo de plataforma confiável é um componente funcional que pode
realizar operações criptográficas, gerenciar chaves e fornecer atestado remoto
Serviços. Quando implementado como um co-processador criptográfico e incorporado em um
plataforma de computador pessoal, fornece raízes de confiança para que a plataforma possa identificar
em si, sua configuração atual e software em execução ..
desvinculabilidade A propriedade de dois (ou mais) itens em um sistema que garante que esses itens
não são nem mais nem menos relacionados do que estão relacionados com o a priori
conhecimento do adversário.
vírus Uma seção oculta e auto-replicante de software de computador, geralmente lógica maliciosa, que
se propaga infectando - ou seja, inserindo uma cópia de si mesmo e tornando-se parte de -
outro programa. Um vírus não pode funcionar sozinho; requer que seu programa hospedeiro seja executado
para tornar o vírus ativo. (Fonte = glossário de segurança SANS).
VLSI Very Large Scale Integration é uma coleção de automação de design eletrônico
técnicas para traduzir uma descrição HDL nos polígonos reais necessários para o
confecção de máscaras de um circuito integrado. As ferramentas VLSI tornaram possível gerenciar o
complexidade de projetar grandes circuitos integrados.
vulnerabilidade Algo aberto a ataques ou uso indevido que pode levar a um indesejável
resultado.
webi cação O processo de uso de tecnologias da web para exibir e transferir conteúdo no
web e dispositivos móveis ..
WiFi Uma família de tecnologias de rádio que é usada para a rede local sem fio
(WLAN).
worm Um programa de computador que pode ser executado de forma independente, pode propagar um funcionamento completo
versão de si mesmo em outros hosts em uma rede, e pode consumir o computador
recursos de forma destrutiva. (Fonte = glossário de segurança SANS).
YARA YARA é uma ferramenta usada principalmente na análise de malware . Descreve famílias de malware
usando padrões textuais ou binários. (Fonte = Wikipedia).
https://translate.googleusercontent.com/translate_f 684/684