Apresentação utilizada na palestra - 1º semana informática do Instituto Politécnico de Setúbal. Esta apresentação é baseada na dissertação de mestrado cujo título é "Análise da segurança e privacidade nos serviços de redes sociais".
Segurança no Desenvolvimento de Aplicações - Dextra
Cristina 1º Semana Da Informtica Est SetúBal
1. Universidade do Minho Análise da Segurança e Privacidade nos Serviços de Redes Sociais Cristina Freitas
2. Informação contida na apresentação Motivações, problema, público-alvo e questões a responder; Estruturação do estudo; Problemas, Mecanismos, e Funcionalidades; Exemplos de análises de 3 funcionalidades; Conclusões gerais, necessidades mais urgentes. 1
3. Motivação e Problemática envolvente Factores de motivação: oaumento do número de serviços de redes sociais nos últimos anos; o elevado crescimento do número de utilizadores; o aumento da complexidade e da quantidade das ameaças e dos ataques nesta área; estudos reduzidos alusivos à Segurança destes serviços. - - - - Problema: Deficiências que existem ao nível da Segurança e Privacidade nos serviços de redes sociais. . - 2
5. Questões a responder Quais são os problemas de Segurança e Privacidade? Quais são os mecanismos de Segurança e Privacidade? Em que funcionalidades e como são usados estes mecanismos? Do que protegem os mecanismos? 4
10. 16 Funcionalidades Armazenamento e partilha devídeos Registo Gestão de perfil do utilizador Alteração de dados Recuperação de dados Gestão de contactos Pesquisa Associação de metadados Gestão de grupos Armazenamento e partilha de imagens Envio e recepção de mensagens Reactivação da conta do utilizador Cancelamento da conta Armazenamento e partilha de documentos Partilha de URLs Gestão de álbuns/listas de reprodução As funcionalidades comuns aos 18 serviços de redes sociais explorados As funcionalidades divergentes entre os 18 serviços de redes sociais explorados 9
11. Exemplos Registo 1.1. Definição da palavra-passe Pesquisa Eliminação da conta de utilizador Para cada exemplo: Problemas de Segurança e Privacidade Análise da Segurança e Privacidade Recomendações de Segurança e Privacidade 10
12. Exemplos Problemas: Definição da palavra-passe - Roubo de identidade(roubo da palavra-passe) ataque de força bruta, dicionário, ecrack da palavra-passe através - Utilizador desconhece a vulnerabilidade da palavra-passe 11
13. Exemplos Mecanismos associados à definição da palavra-passe Número de caracteres mínimo exigido para a definição da palavra-passe. 12
14. Exemplos Recomendações: Definição da palavra-passe - Devem ser implementadas as quatro restrições de definição da palavra-passe mencionadas Retiradas das normas NIST PE 800-14 (1996) NIST PE 800-44 versão 2 (2007) - Deve também existir um mecanismo de avaliação de palavra-passe 13
15. Exemplos Problemas: Pesquisa - Divulgação de informação indesejada nos resultados da mesma Mecanismos associados à pesquisa 14
16. Exemplos Recomendações: Pesquisa - A pesquisa concernente a utilizadores deve ser permitida apenas a utilizadores registados; - . Devem ser implementadas opções de Privacidade direccionadas para a pesquisa; - Devem ser incluídas opções de Privacidade alusivas a APIs e motores de busca externos. 15
17. Exemplos Problemas: Eliminação da conta de utilizador - Dificuldade na eliminação definitiva de perfil - Dificuldade na eliminação de informação secundária 16
19. Exemplos Recomendações: Eliminação da conta de utilizador Eliminação temporária Três tipos deeliminação Eliminação definitiva Eliminação automática Fazer acompanhar o cancelamento da conta de utilizador de: Autenticação; Envio de instruções via correio electrónico. - - 18
20. Reflexão - Verificámos a existência de várias falhas de Segurança e Privacidade nos serviços de redes sociais; Muitas vezes a implementação dos mecanismos de Segurança e Privacidade não é a mais assertiva; Informação documental alusiva aos serviços é insuficiente e dúbia; O contacto com os serviços é complicado; O presente estudo pode ser replicado. - - - - 19
21. Conclusões - Nos ciclos de desenvolvimento não é dada prioridade à Segurança e Privacidade; Não existem normas de Segurança e Privacidade direccionadas para o desenvolvimento deste tipo de serviços; O cumprimento das recomendações das normas de Segurança e Privacidade que se enquadram neste tipo de serviços é inferior ao esperado inicialmente; É necessário que os serviços revejam a informação que disponibilizam; - - - 20
22. Conclusões (Cont.) - Verificam-se lacunas substanciais, associadas à: Definição da palavra-passe; Privacidade de uma forma genérica; Eliminação de informação primária e secundária. A Web semântica irá agravar alguns problemas, pelo que é necessário dar início às melhorias alusivas à Privacidade. . . . - 21