cristina 1º semana da informtica est setúbal
TRANSCRIPT
Análise da Segurança e Privacidade nos Serviços de Redes Sociais
Universidade do Minho
Cristina Freitas
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Informação contida na apresentação
Motivações, problema, público-alvo e questões a responder;
Estruturação do estudo;
Problemas, Mecanismos, e Funcionalidades;
Exemplos de análises de 3 funcionalidades;
Conclusões gerais, necessidades mais urgentes.
1
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Motivação e Problemática envolvente
Factores de motivação:
o aumento do número de serviços de redes sociais nos últimos anos;
o elevado crescimento do número de utilizadores;
o aumento da complexidade e da quantidade das ameaças e dos ataques nesta área;
estudos reduzidos alusivos à Segurança destes serviços.
2
----
Problema:
Deficiências que existem ao nível da Segurança e
Privacidade nos serviços de redes sociais.
.
-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Público-alvo
Desenvolvedores Utilizadores finais
3
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Questões a responder
i. Quais são os problemas de Segurança e Privacidade?
ii. Quais são os mecanismos de Segurança e Privacidade?
iii. Em que funcionalidades e como são usados estes mecanismos?
iv. Do que protegem os mecanismos?
4
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Estruturação do estudo
5
Revisão de Literatura
Selecção das plataformas
Formulário de testes
ExploraçãoApresentações dos serviços
Grelha de observação
Análise por funcionalidade
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Serviços seleccionados
6
Redes Sociais Puras Redes de Contactos Microbloggings Redes de partilha de Recursos
Jogos e Realidade Virtual
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
27 Problemas
7
Relacionados com/Exemplos:
Privacidade: Reconhecimento de faces Marcas indesejadas Informação indesejada nos resultados de pesquisa
Variantes aos problemas tradicionais de SI: Spam Vírus Phishing BotsIdentidade: Personificação
Palavra-passe: Ataque de força bruta
Sociais: Assédio, Perseguição, Ameaças, Ofensas
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
18 Mecanismos
8
Exemplos:
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
16 Funcionalidades
9
Armazenamento e partilha de vídeos
Associação de metadados
Armazenamento e partilha de documentos
Cancelamento da conta
Reactivação da conta do utilizador
Registo
Gestão de perfil do utilizador
Alteração de dados
Recuperação de dados
Gestão de contactos
Pesquisa
As funcionalidades comuns aos 18 serviços de redes sociais explorados
Gestão de grupos
Armazenamento e partilha de imagens
Envio e recepção de mensagens
Partilha de URLs
Gestão de álbuns/listas de reprodução
As funcionalidades divergentes entre os 18 serviços de redes sociais explorados
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
10
1. Registo 1.1. Definição da palavra-passe
2. Pesquisa
3. Eliminação da conta de utilizador
Problemas de Segurança e Privacidade Análise da Segurança e Privacidade Recomendações de Segurança e Privacidade
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
11
Problemas: Definição da palavra-passe
Roubo de identidade (roubo da palavra-passe)
ataque de força bruta, dicionário, e crack da palavra-passe
através
-
Utilizador desconhece a vulnerabilidade da palavra-passe-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
12
Mecanismos associados à definição da palavra-passe
Hi5
Frien
dster
Faceb
ookSo
nico
Linked
In
Researc
hGate
Academ
iaNaym
sPlurk
Identi.ca
Presen
t.ly
Blip.fm
YouTu
beFlic
krScr
ibdTw
ine
Delicious
0
1
2
3
4
Impedimento de definição de palavras-passe óbvias/fracas
Sensíveis à capitalização
Exigência de combinações de caracteres
Número mínimo exigido de 8 caracteres
Hi5
Face
book
Linke
dIn
Academia
Plurk
Identi.ca
Blip.fm Fli
ckrTwine
012345678
Número de caracteres mínimo exigido para a definição da palavra-passe.
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
13
Recomendações: Definição da palavra-passe
Devem ser implementadas as quatro restrições de definição da palavra-passe mencionadas
Retiradas das normas NIST PE 800-14 (1996) NIST PE 800-44 versão 2 (2007)
-
Deve também existir um mecanismo de avaliação de palavra-passe-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
14
Problemas: Pesquisa
Divulgação de informação indesejada nos resultados da mesma
Mecanismos associados à pesquisa
Hi5
Face
book
Linke
dIn
Academia
Plurk
Identi.ca
Blip.fm Fli
ckrTwine
0
1
2
3
Ocultação total do perfil nos resulta-dos de Pesquisa através das restantes opções de Privacidade
Autenticação
Opções de privacidade alusivas à pesquisa
-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
15
Recomendações: Pesquisa
.
A pesquisa concernente a utilizadores deve ser permitida apenas a utilizadores registados;
-
Devem ser implementadas opções de Privacidade direccionadas para a pesquisa;-
Devem ser incluídas opções de Privacidade alusivas a APIs e motores de busca externos.-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
16
Problemas: Eliminação da conta de utilizador
- Dificuldade na eliminação definitiva de perfil
Dificuldade na eliminação de informação secundária-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
17
Eliminação da conta de utilizador
Hi5
Frie
ndst
er
Face
book
Soni
co
Link
edIn
Acad
emia
Nay
ms
Rese
arch
Gat
e
Plur
k
Twitt
er
Iden
ti.ca
Pres
ent.l
y
Blip
.fm
YouT
ube
Flic
kr
Scrib
d
Twin
e
Del
icio
us
0
1
2
3
4
5
Não existe informação relativa à eliminação definitiva da conta
Eliminação definitiva da conta imediatamente após o cancelamento
CAPTCHA associada ao cancelamento
Autenticação associada ao cancelamennto
Permite cancelar directamente a conta de utilizador
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Exemplos
18
Recomendações: Eliminação da conta de utilizador
Três tipos deeliminação
Eliminação temporária
Eliminação definitiva
Eliminação automática
Fazer acompanhar o cancelamento da conta de utilizador de:
Autenticação;Envio de instruções via correio electrónico.
--
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Reflexão
Verificámos a existência de várias falhas de Segurança e Privacidade nos serviços de redes sociais;
Muitas vezes a implementação dos mecanismos de Segurança e Privacidade não é a mais assertiva;
Informação documental alusiva aos serviços é insuficiente e dúbia;
O contacto com os serviços é complicado;
O presente estudo pode ser replicado.
19
--
-
--
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Conclusões
Nos ciclos de desenvolvimento não é dada prioridade à Segurança e Privacidade;
Não existem normas de Segurança e Privacidade direccionadas para o desenvolvimento deste tipo de serviços;
O cumprimento das recomendações das normas de Segurança e Privacidade que se enquadram neste tipo de serviços é inferior ao esperado inicialmente;
É necessário que os serviços revejam a informação que disponibilizam;
20
-
-
-
-
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Conclusões (Cont.)
Verificam-se lacunas substanciais, associadas à:
Definição da palavra-passe;Privacidade de uma forma genérica;Eliminação de informação primária e secundária.
A Web semântica irá agravar alguns problemas, pelo que é necessário dar início às melhorias alusivas à Privacidade.
21
-
-
...
Sumário
Introdução
Estudo
Resultados
Análise e Reflexões
Conclusões
Fim da apresentação
21
Agradeço a atenção
Questões