Extensão da Memória

O texto abaixo apresenta um esboço prático de alto nível da metodologia Commom Criteria e foi elaborado a partir de notas de estudo. O objetivo desse estudo foi entender o funcionamento básico dessa metodologia através da avaliação do relacionamento dos elementos princiais que a compõem. A Common Criteria é o resultado de esforços no desenvolvimento de critérios de avaliação de segurança em TI, o que é muito útil para a comunidade internacional. Ela é um alinhamento e desenvolvimento de um número de fontes criteriosas; norte-americanos, europeus e canadense (ITSEC, TCSEC e CTCPEC respectivamente). Acronismos TOE - Target Of Evaluation Produto ou sistema sujeito a avaliação PP - Protection Profile Classes de dispositivos seguros ST - Security Target Identifica as propriedades de segurança de um TOE Acronismos do processo de ascepção de qualidade EAL - Evaluation Assurance Level Níveis de 1 à 7 (EAL1 - EAL7) utilizados para certificar os produtos avaliados SAR - Security Assurance Re

Projetando um sistema de autenticação, um diálogo em quatro cenas Manhã seguinte na sala do Euripedes. Athena bate na porta. Eurípedes Você está com umas manchas pretas sob os olhos essa manhã. Athena Bem, você sabe. Outra daquelas longas noites. Eurípedes Você resolveu o problema de renvio? Athena Acho que sim. Eurípedes Sente-se Ela se senta Athena Como de hábito, sinto que devo enunciar o problema novamente. Tickets são reusáveis dentro de um limíte de tempo. Digamos oito horas. Se alguém rouba os seus tickets e resolve reusá-los depois de expirados, nós não podemos fazer nada. Eurípedes Esse é o problema.

Projetando um sistema de autenticação, um diálogo em quatro cenas A manhã seguinte. Athena pega o Eurípedes no canto do café. Ela dá um tapinha no seu ombro enquanto ele enche o seu copo. Os dois andam em direção da máquina do café. Athena Tenho uma nova versão do Caronte para resolver os nossos problemas. Eurípedes Sério? Que rápido. Athena Bem, você sabe, problemas dessa natureza me fazem perder o sono. Eurípedes Deve ser o peso na consciência. Vamos repousar naquela salinha de reuniões? Athena Por que não? Os dois se movem para a salinha de reuniões. Athena Iniciarei expondo os problemas novamente: você só precisará fornecer a sua senha somente uma vez. Eu resolvi esse requisito inventando um novo serviço de rede. Ele se chama "concessionária de tickets", um serviço que edita os tickets do Caronte para o usuário que já tenha comprovado a sua identidade para o Caronte. Você pode utilizar essa concessionária de tickets se você tiver um ticket para ela, um ticket-concessor

Projetando um sistema de autenticação, um diálogo em quatro cenas Athena Bem, descobri como tornar seguro um ambiente de rede aberto de modo que um colega inescrupuloso como você não possa utilizar os serviços de rede em nome de outras pessoas. Eurípedes É mesmo? Sente-se. Ela se senta. Athena Antes de eu descrevê-lo, vamos estabelecer as regras básicas do que estamos discutindo? Eurípedes Quais são as regras? Athena Bem, suponha que eu diga algo como: "Eu quero o meu correio eletrônico, portanto eu contato o servidor de correio e solicito que ele envie a correspondência para a minha estação de trabalho.". Na realidade, não sou eu a entidade que contata o servidor de correio. Eu estou utilizando um programa que contata o servidor de correio e resgata a minha correspondência, um programa que é um CLIENTE do programa servidor de correio. Mas não estou querendo dizer que o cliente faz "coisa e tal" todas as vezes que me refiro a uma transação en

Kerberos é um protocolo que implementa um sistema centralizado de autenticação, baseado em tickets, desenvolvido pelo Massachusetts Institute of Technology (MIT). O profissional que tem um bom conhecimento do protocolo Kerberos pode implementar ou interligar sistemas baseados nesse protocolo, mesmo que não seja utilizado o Kerberos em sí. Imagine duas aplicações web distintas, cada uma com a sua base de usuários. É possível utilizar o servidor de uma das aplicações como sendo o KDC (Key Distribution Center) gerando tickets e validando a autenticidade do usuário e se comunicando com o servidor da segunda aplicação e com a aplicação web (browser) para estabelecer a comunicação entre elas através da autenticação via um sistema centralizado. Dependendo do nível de segurança desejado, é possível implementar esse tipo de solução que é muito eficiente e de custo baixo. O texto a ser apresentado é uma tradução de um diálogo escrito em 1988 para ajudar os leitores a entender as razões que fund

Várias empresas procuram meios de utilizar a digitalização de documentos para substituí-los por uma cópia com a mesma validade jurídica e que ofereça maior facilidade para armazenamento e manipulação. Atualmente, o reconhecimento de cópias existe para o processo de microfilmagem ou para o anacrônico modelo baseado em reconhecimento via cartório, que possuem fé pública para legitimar o processo de digitalização de documentos ou outros processos de cópias. No caso da microfilmagem, segundo o Decreto nº 1.799 que regulamente a Lei n° 5433, de 8 de maio de 1968, somente cartórios ou empresas autorizadas poderão efetuar a microfilmagem, segundo padrões e critérios estabelecidos e se responsabilizando pela qualidade do serviço executado. Esse modelo poderia se aplicar da mesma maneira ao processo de digitalização de documentos, bastando para tal uma lei que regulamentasse tal atividade. Original e cópia A única diferença existente entre a microfilmagem e a digitalização de um documento é o s

Token Tabajara é o apelido utilizado por alguns profissionais da área de TI para o cartão de segurança, que foi adotado por vários bancos na implementação da autenticação forte (strong authentication) nos respectivos Internet Banking. Autenticação forte Os bancos adotaram em larga escala o cartão de segurança devido a necessidade de melhorar o controle de acesso dos clientes. O cartão de segurança é aquele cartão plástico com uma matriz de números identificadores/códigos. Os códiogos são solicitados para efetuar transações e são identificados, pelos seus respectivos números identificadores. O controle de acesso dos clientes é efetuado através de identificação, autenticação e autorização. Cada banco adota um procedimento para identificar o usuário, podendo utilizar o número da agência e número da conta, ou número de identificação do cliente entre outros. Posteriormente, o usuário digita senha para acessar o sistema com permissão para consulta. Quando usuário pretende realizar alguma t

Analisarei aqui a responsabilidade sobre a configuração dos processos do RUP de uma maneira alternativa ao proposto pela metodologia. Hora utilizarei UP e hora utilizarei RUP pois um é derivado do outro. Utilizarei RUP quado estiver falando especificamente do produto/processo da Rational. UP/RUP O Processo Unificado é uma metodologia para desenvolvimento de softwares, bem aceita por um segmento dos profissionais do mercado e criticada por outros. O UP prega que o processo seja adaptável, que haja um balanceamento nas prioridades dos interessados, que o grau de colaboração entre as equipes seja elevado e que haja agregação continuada de valor entre outros princípios chaves. Ao meu ver, a complexidade na adoção do RUP está na configuração do ambiente que disponibiliza a metodologia, para que as equipes possam utilizá-la corretamente. O RUP exige um grau elevado de customização para que ele vista bem no projeto que irá usá-lo, e não fique "folgado" ou "apertado&quo