Reflexão sobre Segurança e Web 2.0 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Apresentação ● Conceito ● Práticas Mundiais ● Projecto Pegasus ● Segurança? ● Conclusão adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Apresentação adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● O que é o Cartão do Cidadão? documento físico identificação visual do cidadão autenticação digital assinatura electrónica adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● O que é o Cartão do Cidadão? integra num só documento ● ● ● ● ● Bilhete de Identidade Segurança Social Serviço Nacional de Saúde Contribuinte Eleitor adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Conceito adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Cartão do Cidadão Frente ● fotografia e os elementos de identificação civil Verso ● números de identificação dos diferentes organismos, uma zona de leitura óptica (MRZ) e o chip adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Práticas Mundiais adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Paises com CC Áustria Itália Bélgica Hong Kong Estónia Malásia Finlândia Singapura Suécia adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Áustria Todos os certificados dos cartões da Áustria cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, bem como o standard X509 v3 sobre certificados digitais e PKI. adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Bélgica Todos os certificados do cartão da Bélgica cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI, e ainda o standard BS 7799 sobre segurança e infra-estrutura. adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Estónia cumprem a directiva comunitária sobre assinaturas digitais 1999/93/EC, o ISO/IEC FDIS 7816-9 bem como o standard X509 v3 sobre certificados digitais e PKI. Plataforma de código para assinatura electrónica open source http://www.legaltext.ee/en/andmebaas/ava.asp?tyy p=SITE_ALL&ptyyp=I&m=000&query=Digital adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Projecto Pegasus adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Tarefas e Parceiros Pegasus adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Arquitectura Lógica comunicação coerente e coordenada entre as restantes componentes da prova de conceito, interligando tecnologias e aplicações distintas por meio de standards tecnológicos como XML e web services. adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Infra-estrutura de Chaves Públicas (PKI) RFC 3647: Internet X.509 Infra-estrutura de Chaves Públicas – Políticas de Certificados e Declaração de Pratica de Certificados. RFC 2459: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados e de Listas de Revogação de Certificados. RFC 3039: Internet X.509 Infra-estrutura de Chaves Públicas – Perfis de Certificados Qualificados. RFC 2560: X.509 Infra-estrutura de Chaves Públicas – Protocolo OCSP ETSI TS 101 456: Requisitos de Políticas para Entidades de Certificação que emitam Certificados Qualificados. ETSI TS 101 862: Perfis de Certificados Qualificados. ETSI TS 102 042: Requisito de Políticas para Entidades de Certificação que emitam Certificados de chaves publica. ISO 17799: Guia para as boas práticas de segurança. adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Mensagens suportadas pela Plataforma Integradora XML Definition Schema (XSD) adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Características físicas do chip 244 Kbytes ROM, 6144 bytes RAM, 68 Kbytes EEPROM RSA 1024, 2048 bits DES, TDES, AES CC EAL5+ (in progress) OS ICitizen V2 64K ● Java Card 2.2.1 (http://java.sun.com/products/javacard/) ● Global Platform 2.1 (http://www.globalplatform.org/) ● 64K de memória para aplicações e dados ● Multiple PIN Mangement adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Dados Contidos no Cartão Pedido (Numero e Balcão) BI Nome do Cidadão NIF Naturalidade SS Nacionalidade SNS Data de Nascimento Eleitor Sexo Certificado Filiação Pai Dados de Saúde Filiação Mãe Residência Dados Biométricos (Fotografia e 2 Impressões Digitais) adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações de Suporte Plataforma de CRM, Contact Center: Siebel v7.8 Web server: IIS Server DB Server: Microsoft SQL Server 2000 Ciclo de Vida: Microsoft .NET Framework 2.0, Microsoft DirectX, WebServices (ASPX) SOAP / WSDL / XML adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações – Plataforma de Iteroperabilidade ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server 2004 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações – Plataforma de Iteroperabilidade (Integração e Federação) Windows Server 2003 R2 Microsoft Biztalk Server 2004 Microsoft SQL Server 2000 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações – Plataforma de Iteroperabilidade (Autenticação) Windows Server 2003 R2 incluindo ● ● Active Directory Active Directory Federation Services adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor (v5.01) Microsoft Windows XP SP2 e o browser Internet Explorer (v6.0) adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações de Cliente (teste) Middleware Axalto Smart Card Activity Monitor (v5.01) Microsoft Windows XP SP2 e o browser Internet Explorer (v6.0) Testes em ambientes open source e Macintosh esquecidos por completo adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações de Servidor (Portal do Cidadão) ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET 1.1 migrado para Microsoft .NET Framework 2.0 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações - Backoffice da Conservatoria ASP.NET 2.0.50272 IIS v6.0.3790 Microsoft .NET Framework 2.0 Microsoft Biztalk Server (2004?) adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações - SI Identificação Civil OutSystems: Hub Server – 3.2 JBoss: JBoss-4.0.3SP1 Java: j2sdk-1_4_2_06 Oracle: 9.0.2 WebServices Axis (Apache & JBoss) adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações - SI Segurança Social J2EE – Java 2 Enterprise Edition / Sun Application Server Apache Axis – Apache Extensible Interaction System Oracle 9i Enterprise DBMS adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações - SI Finanças Framework MVC (Model-View-Controller) Struts JDK1.4 WebLogic 8.1 EJB 2.0 J2EE 1.3 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Aplicações – Receita Electrónica DB: Oracle 9i Tecnologia: Oracle Developer Forms 10g e Oracle Developer Reports 10g Servidor: Windows Server 2003 adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Segurança adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Segurança adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Segurança adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Segurança – Postos de Trabalho Microsoft Windows XP Professional (com SP2) Microsoft DirectX 9.x Adobe Acrobat Reader 6.0 (ou superior) Microsoft .NET Framework Runtime 2.0 Siemens Pegasus Enrollment System 1.0 Drivers da Estação de recolha de dados biométricos adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 Conclusões adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Web 2.0 A experiencia da internet aproxima-se dos utilizadores ● Os utilizadores aproximam-se dos serviços ● ● ● http://www.portaldocidadao.pt/ Certidões, Licenças, Registos e Afins Criação de Empresa Online Renovação do Cartão Jovem Euro<26 O que significa a Web 2.0 para os serviços públicos? adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Perguntas É “privado”? A privacidade esta assegurada com este sistema? ● ● ● O meu conceito de privacidade não esta a ser devassado? Estarão os meus dados pessoais mais importantes protegidos? Uma estrutura assente em tecnologias Microsoft e não open source, será a melhor política? adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Perguntas É apresentado como sendo seguro, e é Seguro? ● ● Clonagem do Cartão Fhishing dos Sistemas de Autenticação Com uma infraestrutura assente muitas vezes na parte de servidor e na de cliente em tecnologias Microsoft, estará este sistema vulneravel a virus e a ataques? ● Essa situação esta a ser prevista? adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Perguntas Será esta uma plataforma fiável face ao número de utilizadores? adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Segurança One time password pela INCM (no CRM) autenticação forte do cartão, existem basicamente 3 soluções/tecnologias possíveis: ● ● ● EMV-CAP standard OATH (http://www.openauthentication.org/) solução desenhada à medida para o CC, mas que implicaria leitores especialmente customizados para o efeito. adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006 ● Refrexão Preposição de um grupo de trabalho voluntario a estudar as questões de segurança, e a denunciar falhas Um Wiki como plataforma de trabalho Experiencias no estrangeiro sobre Watchdogs privados de segurança bases de dados e de documentos A minha experiencia no WTH adrianoafonso | [email protected] | www.adrianoafonso.net | setembro 2006