INForum 2015 - Sessão de Segurança

=============================================================================

INForum 2015 - Sessão de Segurança de Sistemas de Computadores e Comunicações

http://inforum.org.pt/INForum2015/sessoes/seguranca-de-sistemas-de-computadores-e-comunicacoes.html

Universidade da Beira Interior - 7 e 8 de Setembro de 2015

=============================================================================

* Datas Importantes:

Submissão de resumos de artigos 1 de Junho de 2015
Submissão de artigos 8 de Junho de 2015
Notificação aos autores dos artigos 27 de Junho de 2015
Submissão de artigos 'camera-ready' 11 de Julho de 2015


* Motivação e Objectivos:

A Segurança dos Sistemas de Computadores e das Comunicações em Rede tem evoluído
quer na vertente da defesa, quer na vertente do ataque. A maior parte das
contribuições científicas conhecidas centram-se na defesa dos sistemas
relativamente a ataques conhecidos, argumentando essencialmente que a principal
função dos administradores e responsáveis de segurança deve ser a defesa. No
entanto, a defesa sem o conhecimento dos procedimentos, motivações e técnicas de
ataque a sistemas de computadores carece de conhecimento essencial, necessário a
uma verdadeira consciência de defesa. No último ano, alimentado simultaneamente
por revelações, avanços científicos e incidentes noticiados pelos media
internacionais, os assuntos da segurança, privacidade e confiança em sistemas de
informação tornaram-se tópicos de interesse, levando alguns a afirmar que este
será o ano em que os mecanismos que lhe estão associados se tornam ainda mais
assunto principal. Esta tendência aparece, curiosamente, ao mesmo tempo que novos
paradigmas de computação e tecnologia ganham espaço e amadurecem, revelando novos
desafios que importa resolver, nomeadamente nos domínios da computação em nuvem e
móvel. Por outro lado, o ciberespaço é hoje considerado o quinto domínio de
guerra, motivando a investigação e desenvolvimento de novos mecanismos de defesa e
ataque, por vezes financiados por instituições governamentais, dos quais são
exemplos algumas peças de malware modernas.

A sessão pretende promover a divulgação de trabalhos de investigação científica
com ênfase para os domínios aplicacionais quer à indústria, quer às forças
judiciárias, quer às forças militares. O debate e consequente enriquecimento, dos
académicos e profissionais no domínio da segurança, sobre a aplicação de técnicas
de segurança ofensiva à defesa dos sistemas de computadores e das comunicações em
rede, é um imperativo na atual sociedade cada vez mais dependente do
ciberespaço. As consequências dos ataques no ciberespaço que no domínio
da Ciber-segurança quer no domínio da Ciber-defesa tem assumido uma importância
cada vez mais determinante no normal funcionamento das sociedades e da sua
soberania. Entende-se que os fóruns subordinados ao tema da segurança dos
sistemas de computadores e das comunicações em rede, devem promover o bem comum e
o debate saudável entre os meios académicos, industriais, judiciais e militares.

* Tópicos de Interesse:

- Segurança em Redes
- Segurança em Redes sem Fios
- Segurança em Redes Ad-Hoc
- Segurança em Redes de Sensores
- Segurança em Sistemas Distribuídos
- Confiabilidade de Sistemas e Redes de Computadores
- Sistemas de Deteção de Intrusões
- Sistemas Tolerantes a Intrusões
- Segurança em Computação Móvel e Ubíqua
- Segurança em Internet das Coisas
- Integridade e Segurança de Dados e Sistemas
- Segurança em Software
- Segurança Baseada em Hardware
- Controlo de Acessos
- Autenticação e Biometria
- Gestão de Confiança e Identidades Digitais
- Anonimato e Privacidade
- Votação Eletrónica
- Segurança de Infraestruturas de Computação Críticas
- Criptografia e Criptoanálise
- Métodos Formais em Segurança
- Modelos, Políticas e Protocolos de Segurança
- Segurança Baseada em Linguagens
- Segurança em Aplicações e Serviços Web
- Segurança em Bases de Dados
- Segurança na Cloud
- Privacidade e Confiabilidade na Cloud
- Suporte de Cumprimento e Legalidade na Cloud
- Computação Forense na Cloud
- Privacidade em Redes de Distribuição de Conteúdos
- Segurança e Redes Sociais
- Deteção e Resposta a Incidentes
- Segurança Ofensiva
- Combate ao Cibercrime
- Gestão de Crises
- Operações Centradas em Rede
- Gestão de Segurança da Informação
- Engenharia Social
- Ciber-defesa
- Estratégia de Ciber-segurança/Ciber-defesa


* Comité de programa

- Miguel Pardal, Instituto Superior Técnico, Universidade Lisboa (Organização)
- Miguel Pupo Correia, Instituto Superior Técnico, Universidade Lisboa (Organização)
- Carlos Ribeiro, Instituto Superior Técnico, Universidade de Lisboa
- Carlos Serrão, ISCTE
- Dulce Domingos, Faculdade de Ciências – Universidade de Lisboa /LASIGE
- Edmundo Monteiro, Universidade de Coimbra
- Henrique Domingos, Universidade Nova de Lisboa
- Henrique Santos, Universidade do Minho
- José Alegria, PT - Portugal Telecom
- José Carlos Lourenço Martins, Academia Militar
- José Manuel Valença, Universidade do Minho
- Manuel Barbosa, Universidade do Minho
- Marco Vieira, Universidade de Coimbra
- Mário M. Freire, Universidade da Beira Interior
- Mário Zenha Rela, Universidade de Coimbra
- Nuno Neves, Faculdade de Ciências, Universidade de Lisboa
- Nuno Santos, Instituto Superior Técnico, Universidade de Lisboa
- Paulo Nunes, Academia Militar
- Paulo Sousa, MAXDATA, Lasige FCUL
- Pedro Adão, Instituto Superior Técnico, Universidade de Lisboa
- Pedro Inácio, Universidade da Beira Interior
- Ricardo Chaves, Instituto Superior Técnico, Universidade de Lisboa
- Rui Miguel Silva, Lab UbiNET - Segurança Informática e Cibercrime /IPBeja
- Salvador Pinto Abreu, Universidade de Évora
- Susana Sargento, Universidade de Aveiro

Como instalar o Java Developer Kit no Windows?

O primeiro passo é fazer download do pacote de instalação.
O ficheiro a obter é o Java Developer Kit, JDK para os amigos :)
http://www.oracle.com/technetwork/java/javase/downloads/index.html

O segundo passo é executar o ficheiro de instalação.

Para se poder compilar e executar programas na linha de comandos da consola, é preciso definir uma variável de ambiente e editar uma outra.

Definir JAVA_HOME com o valor da directoria de instalação.
Por exemplo, C:\Java\jdk\1.7.0_09

Depois, editar a variável PATH, para acrescentar, no início:
%JAVA_HOME%\bin;

Finalmente, para verificar se está tudo OK, abrir uma nova consola e executar os seguintes comandos que devem ser reconhecidos e escrever na consola a versão de Java que foi instalada:

javac -version
java -version 

DPCDPL, PPCPPL e Dropbox

A tecnologia informática continua a evoluir...
Onde antes se usava o DPCDPL*, hoje usa-se o PPCPPL**.
Mas há também quem use o DropBox ;) É preciso é ter cuidado com o que lá se coloca pois a privacidade não é 100% garantida.

* - Diskette Para Cá, Diskette Para Lá
** - Pen Para Cá, Pen Para Lá

(esta piada foi-me contada por um aluno da LEIC aqui há uns anos, ainda antes de Bolonha, e nunca mais me esqueci)

Gestão de disco cheio

Quando é que o disco do computador se pode considerar cheio? Quando o computador já nem sequer arranca? :) Aí já é claramente um pouco tarde demais. Nestes casos a solução passa por arrancar em modo limitado (modo de segurança no Windows) e mover alguns ficheiros para um disco auxiliar. Em casos mais extremos, é mesmo necessário remover o disco do computador e ligar a outra máquina como se fosse um disco externo. Mas antes que se chegue a esta situação, como prevenir esta situação de disco cheio?

Um disco considera-se cheio quando a sua capacidade livre é inferior a 10% da sua capacidade total. Ou seja, um disco de 100GB considera-se cheio quando tem 10GB livres. É verdade que 10GB ainda dá para guardar muita coisa, mas é um sinal de alerta de que é necessário procurar alternativas.

Uma das melhores alternativas actuais consiste em usar um disco auxiliar externo para os ficheiros de grande dimensão e que são muito pouco actualizados, ou seja, ficheiros grandes e cujo acesso é sobretudo para leitura. Estou a falar de ficheiros de músicas, fotografias e videos, se bem que o critério da leitura pode também escolher ficheiros de trabalho com mais de 1 ou 2 anos.

Não convém depois esquecer que é necessário fazer cópias de salvaguarda (backup) dos ficheiros que estão no computador e no disco auxiliar. Ou seja, será necessário ter um disco de backup do disco principal e do disco auxiliar.

(foto)

Problemas a remover memória USB em Windows

O que fazer quando se tenta fazer o "safe remove" de uma memória USB ou de um disco externo e o computador diz que está ocupado?

A causa provável é existir um ficheiro do disco que ainda está a ser usado.

1 - Confirmar se não existe nenhum documento do disco aberto

2- Confirmar se não existe nenhum programa - como o Word, por exemplo - que tenha lido documentos do disco e que se tenha "esquecido" de os libertar

3 - Se mesmo assim não se estiver a conseguir identificar o programa responsável, pode-se instalar o Process Explorer dos SysInternals utilities.

Com este programa, pode-se fazer uma pesquisa (através do botão dos binóculos) pelo nome do disco, vamos supor que é "F:". O Process Explorer indica todos os programas que estão a mexer em ficheiros no disco F e permite "matá-los" se eles mesmo assim se recusarem a fechar. Não é muito "diplomático", mas funciona :-)

Perspectivas de um Sistema de Informação

Um ponto importante sobre a análise de sistemas de informação é perceber que existem diferentes perspectivas. Cada perspectiva representa uma forma diferente de pensar o sistema, correspondendo a diferentes níveis de abstracção.

A seguir reproduzo um excerto da minha tese de Mestrado que define 3 perspectivas:

• Negócio (conceptual);
• Sistema (lógica);
• Tecnologia (física).

A perspectiva de negócio (conceptual) descreve o sistema com entidades informacionais (ex. Cliente, Fornecedor) e com processos de negócio (ex. Fazer Encomenda, Aceitar Reclamação). Os processos definem os requisitos.

A perspectiva de sistema (lógica) descreve o sistema formal ou semi-formalmente, mas ainda de forma abstracta. Ou seja, é produzida a especificação.
A perspectiva de tecnologia (física) descreve a concretização do sistema em bases de dados e programas concretos. Ou seja, é produzida a implementação.

A perspectiva de negócio é traduzida para a perspectiva de sistema, ou seja, os conceitos de negócio informais são representados com objectos ou com outro formalismo. Isto é feito de forma não automática.

A perspectiva de sistema é detalhada na perspectiva de tecnologia, onde a descrição abstracta é vinculada a tecnologia concreta. Por exemplo, os objectos abstractos são implementados com objectos Java.

O sistema de informação cumpre os objectivos para que foi desenhado, quando as perspectivas estão alinhadas, ou seja, os requisitos são satisfeitos pela forma como foi efectuada a especificação e depois a implementação.

Ver também: A framework de Zachman

Preparação e gestão de laboratórios

Segue-se um resumo das tarefas de preparação e gestão de laboratórios para disciplinas de Engenharia Informática. Esta lista foi afinada por 8 anos de experiência ;-)

--

Tarefas:

• Instalação de software nos laboratórios (Pedido ~ 1 mês antes do início das aulas; guia de instalação; verificação)
• Projecto
• Protótipo do projecto
• Enunciado do projecto (Definição de objectivos, método e datas de avaliação)
• Esclarecimento de dúvidas por meios electrónicos
• Preparação de avaliação dos projectos (Datas, salas, inscrições)
• Avaliação dos projectos (Correcção de código, visualizações, discussões)
• Aulas de laboratório
• Gestão de turnos (Horários, inscrições, e restante logística)
• Planeamento das aulas de laboratório (Definição de objectivos para cada semana)
• Preparação do material das aulas de laboratório
• Gestão da página da disciplina
• Gestão de pautas de avaliação
• Correcção de provas teóricas escritas

Sugestões:

• Ter um horário marcado para reuniões de coordenação (semanal ou quinzenal, dependendo do grau de novidade do programa e de experiência dos docentes);
• Na preparação das aulas, pode haver um responsável por preparar e verificar todo o material antes de ser publicado. O material deve ser publicado com antecedência de 1 semana ou mais;
• Utilizar endereço de correio partilhado para contacto, com respostas a dúvidas com CC para todos. Pode haver um responsável por responder aos alunos em cada dia da semana;
• Utilizar área de ficheiros partilhados, com repositório de controlo de versões SVN (ou outro), para facilitar a partilha de documentos e de código fonte;