EspecializaçãoemCiber-Segurança

MiguelP.CorreiaMarçode2017

Introdução• Especializaçãomotivadapelaimportânciaeconómicaepela

procuradeprofissionaisdestaáreadainformática

• AespecializaçãoprocuraconcretizaraInformation Assuranceand Security Knowledge Area doACM/IEEEComputer ScienceCurricula2013

• Inclui5cadeiras

Fun!

• Ciber-Crime• Ciber-Guerra• Ciber-Espionagem• Ciber-Terrorismo

MOTIVAÇÃOPARAAESPECIALIZAÇÃO

CSCurricula2013• “InCS2013,the Information Assurance and Security KAis

added tothe Bodyof Knowledge inrecognition of the world’sreliance on information technology and its critical roleincomputer science education”– ACM/IEEEComputer Science Curricula2013,Strawman Draft,pg 76

(February 2012)

Mercadodaciber-segurança• “GlobalCyber Security spending 2011:$60billion”

– PWC,Cyber Security M&Areview,Nov.2011

• “With acumulative market valued at $65.5billion (2013–2018),the U.S.FederalCybersecurity market will grow steadily– at about 6.2%CAGRover the next six years.”– U.S.FederalCybersecurity Market Forecast 2013-2018,April 2013

Carreiras em segurança• Técnicas– Networksecurityengineer– Securityarchitect– Securityoperations– Securitysystemsadministrator

• Auditoria/investigação– Securityanalyst– Forensicsexpert

• Gestão– ChiefInformationSecurityOfficer– Diretor desegurança

• Etc.

SegurançaemPortugal• Gabinete Nacionalde Segurança(dependênciadoPM)• CentroNacionaldeCibersegurança (CNCS)• PolíciaJudiciária– UnidadedeCombateaoCibercrime• ProcuradoriaGeraldaRepública,GabineteCibercrime• ForçasArmadas• ANACOM(reguladorsectortelecomunicações)• ComissãoNacionaldeProteçãodeDados• AssociaçãoPortuguesaparaaPromoçãodaSegurançada

Informação(AP2SI)• empresasquefornecem:Deloitte,KPMG,Nokia,Level 8,

S21sec/SysValue,Integrity,Dognaedis,Integrity,DataRecoverCenter,Bright Pixel,…

• empresasqueconsomem:PT,EDP,...

MassacríticanoDEI

• DocentesdoDEIcominvestigaçãofortenaárea:– PedroAdão– JanCederquist– RicardoChaves– MiguelCorreia– AnaMatos– MiguelPardal– NunoSantos– MiguelMiradaSilva– RodrigoRodrigues– eváriosoutros,esquecidose/ouemmenorgrau

AESPECIALIZAÇÃOEMCIBER-SEGURANÇA

Objectivos• Aespecializaçãotemporobjectivodaraosalunosas

capacidadestécnicasnecessáriaspara• analisar,protegereadministrar• asegurançadesistemasinformáticos• pessoais,empresariaisegovernamentais• peranteaameaçadeataquesinformáticos.

Transversalidade• “The Information Assurance and Security KAis unique among the

setof KA’s presented here given the manner inwhich the topics arepervasive throughout other Knowledge Areas.”– ACM/IEEECSCurricula2013,Strawman Draft,pg 76(Feb.2012)

• NoDEI/MEIC:– ASO– asprimeiraspreocupaçõesdesegurançasurgiramnofimdosanos

60associadasaossistemasoperativos,tendodepoisevoluídoparaasredesesistemasdistribuídos;UCdeSistemasDistribuídosdaLEIC

– SI– asegurançaéfundamentalparaossistemasdeinformaçãocontemporâneos

– MTP– osoftwarepodeserumafontedeinsegurançaimportantesenãoforadequadamentedesenvolvidoemantido

– ExistemaindaligaçõesmaisténuesàsáreasdeIAeCGM

Cadeiras• SegurançaInformáticaemRedeseSistemas– SIRS

• SegurançaemSoftware– SSof

• SistemasdeElevadaConfiabilidade– SEC

• CiberSegurançaForense– CSF

• CriptografiaeProtocolosdeSegurança– CPS

SIRS

SSof SEC CSF CPS

Ondefunciona

• NoTagus...• ...mastêmhavidomuitosinteressadoseasUCtêmfuncionadonos2campus

PROGRAMASDASCADEIRAS

SegurançaInformáticaemRedeseSistemas

• Introdução• Vulnerabilidadesesegurançaem

redes• Firewallsesistemasdedetecção

deintrusões• Desenvolvimentodecódigo

seguro• Certificação• Criptografiasimétrica,

assimétrica,funçõesderesumocriptográficas

• Autenticaçãodemensagenseassinaturasdigitais

• Gestãoeprotocolosdedistribuiçãodechavessimétricas

• Certificadosdigitaiseinfraestruturasdedistribuiçãodechavespúblicas

• Autenticaçãoeprotocolosdeautenticação

• Autorização• Segurançaemredessemfios• Redesprivadasvirtuaisecanais

seguros

• Maisinformação:https://fenix.ist.utl.pt/disciplinas/sirs4/2013-2014/1-semestre/

SegurançaemSoftware• Panorâmicaeprotecção

– Desenvolvimentodesoftwareseguro;– Princípiosdeprojecto;– Protecçãoemsistemasoperativos.

• VulnerabilidadesemSoftware– Bufferoverflows;– Corridas;– AplicaçõesWebebasesdedados– Cópiaemodificaçãodesoftware;

• Técnicasdesegurançadesoftware– Auditoriadesoftware;– Testedesoftware;– Análisedeprogramas;– Validaçãoecodificação.

• Controlodoambientedeexecução– Protecçãodinâmica;– Virtualizaçãoesegurança;– Trustedcomputing;

• Segurançabaseadaemlinguagem– Análisedefluxosdeinformação.– Sistemasdetiposparaasegurança;– Desenvolvimentodecódigodebaixo

nívelseguro;– Compilaçãocertificada;– Códigoportadordeprova;

• Casodeestudo:segurançaemJava– Sandboxingeinspecçãodapilha;– FalhasdesegurançaemJava;– Princípiosdeprogramaçãoseguraem

Java• Maisinformação:

https://fenix.ist.utl.pt/disciplinas/ssof2/2013-2014/1-semestre/

SistemasdeElevadaConfiabilidade• Dependabilityfundamentals

– Taxonomy(fault,error,failure)– Reliability,availability,

maintainability,safety,security– Faultassumptionandcoverage– Space,Time,andValue

redundancy.Coding.TripleModularRedundancy

– Errorprocessing.Backwardandforwardrecovery.

– Failuredetectionandsystemdiagnosis.Watchdogs

• SecureHardware– Securitydevices– Smartcards– TrustedPlatformModule– Biometricsystems

• Securingthesystem– Physicalsecurity– Physicalprotectionofsystems– Intrusiontolerance

• Byzantinefaulttolerance– ByzantineLeaderElection– ByzantineBroadcast– ByzantineMemory– ByzantineConsensus– ByzantineReplicatedState

Machines• HumanFactors

– Humanfactorsinsecurity– Socialengineering

CiberSegurançaForense• Fundamentosdaanáliseforense• Metodologia• Tiposdedados• Análiseforensederedes• Análisededadosdarede• Análisedossistemasdegestãoactivos• Análiseforensedesistemas• AnálisedesistemasWindows• AnálisedesistemasLinux• Análisedesistemasmóveis• Aspectoslegais(US,Europa)• Maisinformação:https://fenix.ist.utl.pt/disciplinas/csf/2013-2014/1-semestre/

CriptografiaeProtocolosdeSegurança(DM)

• Motivação– conceitosbásicoseproblemascentraisdacriptografia.

• Sistemascriptográficosdechaveprivada– Cifrassequenciais.Contributodateoriadainformação.Formasdeataque:dividirpara

conquistarecorrelaçãorápida.Cifrasporblocos.Exemplostípicos:DESeAES.Segurançaperfeitaecomputacional.

• Sistemascriptográficosdechavepública– SistemaRSA.Algoritmosdefactorizaçãoeprimalidade.Análisecriptográficaquântica.

Coordenadasprojectivas.Curvaselípticas.InteirosdeGauss.AlgoritmodeEuclidesparapolinómios.TeoremadeHilbert.BasesdeGröbner.Sistemascriptográficoselípticosehiperelípticos.

• Protocolosdechavepública– EsquemadeassinaturaElGamaleDSS.Algoritmosdeassinaturadigitalbaseadosem

curvaselítpticas.Assinaturascegas.Funçõesdedispersão.EsquemasdedistribuiçãodechavesdeDiffie-Hellman.Distribuiçãoquânticadechaves.ProtocoloestaçãoparaestaçãoeMTI.Códigosdeautenticação.EsquemadepartilhadesegredosdeShamir.Sistemasdeprovacomconhecimentonulo.EsquemasdeSchnorreFiat-Shamir.Computaçãoseguraeaplicações.

• Maisinformação:https://fenix.ist.utl.pt/disciplinas/cps-2/2012-2013/1-semestre

Dissertações