Cibersegurança/Segurança da Informação/Digital
Diego Aranha
Mais sobre o palestrante
Pesquisador de Segurança de Computadores e Engenharia Criptográfica na Universidade de Aarhus.
Diego Aranha é professor associado no Departamento de Ciência da Computação da Universidade de Aarhus, na Dinamarca, onde conduz pesquisas em engenharia criptográfica e segurança de sistemas do mundo real. Também lidera o Pacote de Trabalho de Segurança Cibernética na DIGIT e contribui para o COBRA como Investigador Principal.
Recebeu dois prêmios Google Latin America Research Awards por privacidade e o prêmio Innovators Under 35 Brazil do MIT TechReview por meu trabalho em votação eletrônica.
Diego coordenou a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral.
Tem experiência na área de Criptografia e Segurança Computacional, com ênfase em implementação eficiente de algoritmos criptográficos e projeto de primitivas criptográficas para fornecimento de anonimato computacional.
Interesses de pesquisa:
- Criptografia segura e eficiente em software
- Criptografia de curva elíptica (ECC) e criptografia baseada em emparelhamento (PBC)
- Segurança em Redes de Sensores Sem Fio (RSSFs) e Internet das Coisas (IoT)
- Análise de canal lateral (SCA) e contramedidas
- Criptografia baseada em suposições físicas (PUFs)
- Computação que preserva a privacidade
- Anonimato computacional
- Votação eletrônica
- Segurança de sistemas
AT0424
Palestras
Análise de segurança de aplicativos bancários na plataforma Android
Sobre a palestra:
O volume de transações bancárias realizadas por dispositivos móveis cresce a cada ano. Nessa palestra, reportamos resultados de uma análise de segurança em aplicativos bancários, sob dois aspectos principais: segurança da conexão SSL/TLS estabelecida e configuração do servidor propriamente dito, com ênfase em ataques clássicos e recentes ao protocolo SSL/TLS, sob perspectiva das melhores práticas de segurança.
Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Economica Federal, Citibank, HSBC, Itaú e Santander. Foi possível montar um ataque de personificação do servidor com sucesso na maioria dos aplicativos e obter informaçõess sigilosas, credenciais de autenticação e dados financeiros.
As observações coletadas não se resumiram apenas aos ataques de personificacação, mas também a falhas na configuração dos servidores e decisões de projeto questionáveis, como integração com redes sociais. Apesar da ênfase no setor financeiro, as recomendações são aplicáveis a outros tipos de serviço.
Aperfeiçoamento do voto eletrônico no Brasil
O sistema de votação eletrônica no Brasil não satisfaz requisitos mínimos de segurança e transparência.
Enquanto o primeiro problema torna o sistema vulnerável a ataques internos e externos, conforme demonstrado nos Testes Públicos de Segurança organizados pelo TSE em 2012, o segundo problema limita a possibilidade de verificação dos resultados por parte da sociedade.
O objetivo da palestra é examinar e propor aperfeiçoamentos para os mecanismos de transparência instalados no sistema, com correspondente incremento em segurança.
Deixem a criptografia em paz!
Sobre a palestra:
A palestra trata da evolução das técnicas criptográficas e outras tecnologias de preservação da privacidade sob um ponto de vista histórico, até o desenvolvimento da chamada criptografia fim-a-fim implementada em aplicativos modernos para troca de mensagens.
Discute também algumas das formas propostas para interceptar informações nessas plataformas, suas limitações fundamentais e correspondente impacto em segurança.
A ideia é desmistificar o debate atual em torno da criptografia e sugerir formas concretas que podem ser utilizadas para fins de investigação sem comprometer a segurança de infra-estruturas de comunicação.
