SlideShare uma empresa Scribd logo

Controle de segurança da informação nas aplicações interativas do SBTVD

Thatiane Cristina dos Santos de Carvalho Ribeiro
Thatiane Cristina dos Santos de Carvalho Ribeiro

O documento apresenta uma metodologia para garantir a segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital. A proposta permite a autenticação do usuário para evitar modificações nos dados transmitidos e recebidos, garantindo a integridade, confiabilidade e disponibilidade das informações. O middleware Ginga é responsável por fornecer um ambiente seguro para a execução dessas aplicações interativas.

Engenharia
1 de 17
Baixar para ler offline
See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/307793269 Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Article · July 2015 DOI: 10.17921/1415-6571.2013v17n26p87-102 CITATIONS 0 READS 142 4 authors, including: Some of the authors of this publication are also working on these related projects: smart cities View project 4G and Image Digital Process View project Becerra Sablón Universidade São Francisco 6 PUBLICATIONS   1 CITATION    SEE PROFILE Yuzo Iano University of Campinas 233 PUBLICATIONS   325 CITATIONS    SEE PROFILE All content following this page was uploaded by Yuzo Iano on 11 September 2017. The user has requested enhancement of the downloaded file.
RESUMO: O trabalho apresenta uma metodologia para a transmissão de informações com segurança nas aplicações interativas no Sistema Brasileiro de Televisão Digital. O método permite a integridade, confiabilidade e disponibilidade dos parâmetros em uma transmissão. A certificação digital na programação das aplicações digitais é testada com os protocolos das camadas de aplicação e transporte da rede de interatividade. A proposta permite que as aplicações interativas que manipulam dados confidenciais dos usuários possuam rotinas de autenticação do usuário para que não haja modificação de dados no receptor. Dessa forma, a televisão digital terá um procedimento para a segurança para as aplicações interativas. ABSTRACT: The paper presents a methodology for the transmission of information is held securely in interactive applications in the Brazilian System of Digital Television. The method allows the integrity, reliability and availability of the parameters in a transmission. Digital certification program in digital applications is tested with the application layer protocols and transport network interactivity. The proposal allows interactive applications that handle sensitive data of the users have routines for user authentication so that no data modification at the receiver. Thus, digital TV will have a procedure for security for interactive applications. CONTROLE DE SEGURANÇA DA INFORMAÇÃO NAS APLICAÇÕES INTERATIVAS DO SISTEMA BRASILEIRO DE TELEVISÃO DIGITAL Publicação Anhanguera Educacional Ltda. Coordenação Instituto de Pesquisas Aplicadas e Desenvolvimento Educacional - IPADE Correspondência Sistema Anhanguera de Revistas Eletrônicas - SARE rc.ipade@anhanguera.com v.17 • n.26 • 2013 • p. 87-102 Thatiane Cristina Santos de Carvalho Ribeiro – Universidade Estadual de Campinas - FEEC/Unicamp Vicente Idalberto Becerra – Universidade Estadual de Campinas - FEEC/Unicamp João Paulo Covre – Universidade Estadual de Campinas - FEEC/Unicamp Yuzo Iano – Universidade Estadual de Campinas - FEEC/Unicamp REVISTA DE CIÊNCIAS GERENCIAIS Palavras-chave: Ginga, Televisão Digital, Segurança da Informação, SBTVD Keywords: Ginga, Digital Television, Information Security, SBTVD. Artigo Original Recebido em: 20/09/2013 Avaliado em: 04/11/2013 Publicado em: 23/06/2014
88 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital 1. Introdução A TV Digital oferece para o usuário não apenas melhor qualidade de imagem e som, mas também uma gama de novos serviços e aplicações de entretenimento e de informações. Assim sendo, a adoção da TV Digital no Brasil aliada ao avanço da tecnologia, permite que serviços e aplicações sejam disponibilizados mesmo em localidades remotas, contribuindo para a universalização e democratização de informações e serviços eletrônicos, permitindo a inclusão social de uma parcela maior da população brasileira. A interatividade possibilita utilizar a televisão digital para fazer transações pessoais, comerciais como se estivesse usando a internet. Isso gera a necessidade de mecanismos de seguranças capazes de identificar ameaças durante a transição de informações através das aplicações interativas. O middleware do Sistema Brasileiro de Televisão Digital, conhecido como Ginga, proporciona um ambiente onde as transações de informações em aplicações como bancárias (t-banking) e de comércio (t-commerce) são realizadas, que será melhor explicada na seção 2.3. Nessas transações os dados pessoais dos usuários devem ser protegidos e a proteção das aplicações deve manter a disponibilidade, confiabilidade e a integridade dos dados [1]. A proposta objetiva manter o controle da segurança da informação para aplicações interativas do Sistema Brasileiro de Televisão Digital. Como todos os outros sistemas embarcados, as aplicações precisam ter uma rotina que determina se estas foram desenvolvidas de maneira que assegura que os dados não serão violados. 2. O Sistema Brasileiro de Televisão Digital - SBTVD O governo brasileiro através do decreto nº 5820 de 2006, determinou os requisitos básicos para o Sistema de TV Digital, entre eles se destaca o baixo custo e robustez na recepção, flexibilidade e capacidade de evolução, interatividade. Visando promover a inclusão digital, sendo um requisito fundamental [2]. AarquiteturapropostaparaopadrãoBrasileirodeTelevisãoDigitalbaseia-senomodelo de referência da União Internacional de Telecomunicações - UTI [2]. No projeto optou-se por representar de forma única as funções de multiplexação e transporte, agrupadas na camada de transporte. De forma análoga, a codificação de canal, modulação e transmissão estão representadas em um único módulo. É definido como uma plataforma multimídia capaz de transmitir sinais de áudio e vídeo de alta qualidade, bem como dados, utilizando o sinal de radiodifusão. A capacidade de transmissão de dados, que podem estar vinculados ou não à programação, possibilita o desenvolvimento de novos serviços e aplicações digitais, como mostra a Figura 1 [3].
89 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Atua como uma plataforma de comunicação onde a fonte de conteúdo, representada no diagrama pela produção de conteúdo, e os usuários finais, que fazem uso das aplicações interativas, e está dividido em duas entidades complementares: a difusão e acesso e o terminal de acesso, como mostra a Figura 1. Figura 1. Diagrama de Fluxo de informação do Sistema Brasileiro [3] Os processos de Difusão e Acesso são constituídos pelos módulos de codificação e empacotamento das informações a serem transmitidas para os receptores. Para que os sinais de áudio, vídeo e os dados, originados na Produção de Conteúdo, possam ser transmitidos, estes precisam ser codificados, o que inclui a sua compactação e a inserção de informações que permitam, posteriormente, a sua decodificação, pelos Codificadores de Áudio, de Vídeo e de Dados, respectivamente. Uma vez codificados, os sinais são processados pela Camada de Transporte, que os empacota e transmite em um único sinal de transporte, ou fluxo de transporte (Transport Stream - TS), acrescentando-lhes informações auxiliares de controle. Na etapa seguinte, o sinal gerado na Camada de Transporte passa por um processamento adicional no módulo de Codificação de Canal, Modulação e Transmissão, por onde é transmitido. O sinal recebido pelo Terminal de Acesso, através de antenas receptoras, no módulo de Recepção, Demodulação e Decodificação de Canal, passa por um processo de demodulação e de decodificação de canal, de onde resulta o sinal de transporte que será enviado à etapa de demultiplexação, no módulo da Camada de Transporte. Os sinais codificados de Áudio, Vídeo e Dados, que são então submetidos aos Decodificadores de Áudio, de Vídeo e ao Middleware, respectivamente. Os Decodificadores de Áudio e Vídeo reconstituem os sinais originais, para que possam ser corretamente exibidos. O Middleware, por outro lado, além de decodificar os dados recebidos, é responsável por tratar as instruções, funcionando como uma plataforma de execução de software.
90 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital 2.1. Padrões que compõe o Sistema Brasileiro de TV Digital Na Figura 2 apresenta-se o os padrões adotados para Sistema Brasileiro de TV Digital. Figura 2. Padrões de referência do sistema brasileiro de TV digital terrestre. [3] • Para codificação de áudio foi adotado o padrão Moving Picture Expert Group – parte 4 - MPEG4 com 2 níveis de perfil para receptores fixos e móveis (Advanced Audio Coding - AAC@L4 – para multicanal 5.1 e High Efficiency Advanced Audio Coding -HEAAC v1@L4 – para estéreo) e 1 nível de perfil para receptores portáteis (HEAAC v2@L3 – dois canais). • Para codificação de vídeo foi adotado o padrão MPEG4-AVC com o nível de perfil (alto), High Profile - HP@L4.0 para receptores fixos e móveis e o nível de perfil (básico), Basic Profile - BP@L1.3 para receptores portáteis. • Para o sistema de transporte (multiplexação e demultiplexação) foi adotado o padrão MPEG-2 Systems. • Para o processo de modulação foi adotado o padrão Band Segmented Transmission Orthogonal Frequency Division Multiplexing - BST-OFDM/SBTVD-T. • Para a camada de middleware foi adotado o padrão GINGA [3]. 2.2. Canal de Interatividade A interatividade possibilita ao usuário interagir encaminhando ou recebendo informações e solicitações. O canal de interatividade, também chamado de canal de retorno, é um meio que possibilita essa operação e é constituído pela interconexão das redes de televisão com as redes de telecomunicação, resultando em dois canais de comunicação: canal de descida e o canal de retorno, como são apresentados na Figura 3[4].
91 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Figura 3. Diagrama do sistema canal de retorno [4] Ocanaldedescidaestabeleceacomunicaçãonosentidoemissoras/programadoraspara os usuários, sendo constituído pelos canais de radiodifusão, podendo ter uma comunicação broadcast (ponto-multiponto), aberta e disponível a todos os usuários ou unicast (ponto a ponto) individualizada. O canal de retorno estabelece a comunicação no sentido dos usuários para as emissoras/programadoras, e é composto por qualquer tecnologia de redes de acesso que estabeleça essa ligação. A interatividade ocorre quando há a transferência e troca de dados, de ambos os lados [5][6]. A interação do usuário-aplicações, serviços e conteúdos interativos são classificadas em três categorias: local, intermitente e permanente [7]. A interatividade local é a mais básica das três categorias. O difusor é composto pelo provedor do serviço, que gera o sinal que contêm os programas televisivos a ser transmitidos através do canal de difusão para o receptor de forma unidirecional. Já na categoria de interatividade intermitente, também conhecida como remota unidirecional, difere da anterior, pois há um difusor de serviço e outro provedor de interação. Na interatividade permanente, a comunicação dos dados no canal de interação deixa de ser unidirecional para se tornar bidirecional, existindo um canal de retorno dedicado no receptor digital [7] [8]. Aplicações Interativas Para o desenvolvimento, estudo, especificações e protótipos de aplicações interativas compatíveis com o padrão de middleware que compreende um conjunto de serviços e aplicações interativas disponibilizadas através de um televisor e um decodificador, chamado Set-top-Box [11]. A TV interativa permite que o telespectador através dos aplicativos interaja com a programação, como por exemplo, escolhendo a câmera (ângulo) em um jogo de futebol, participando de votações e jogos de auditório, escolhendo suas preferências em aplicativos interativos como previsão de tempo, bolsas de valores, notícias de última hora, etc. [11]
92 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Os aplicativos interativos da TV digital são responsáveis por conferir a TV uma nova plataforma computacional que permitir a navegação do usuário por informações disponibilizadas, por envio de dados ao provedor do conteúdo utilizando a própria infra­ estrutura da internet, caracterizando a utilização do canal de retorno. [12] 2.3. GINGA – O middleware do Sistema Brasileiro de Televisão Digital Arquitetura do Middleware Ginga O Middleware é a camada de software intermediário, entre o hardware /Sistema Operacional e as aplicações, no Sistema Brasileiro de Televisão Digital, é conhecido como Ginga. O middleware proporciona um ambiente onde as transações de informações em aplicações são realizadas. Nessas transações os dados pessoais dos usuários devem ser protegidos e a proteção das aplicações deve manter a disponibilidade, confiabilidade e a integridade dos dados [1]. O middleware no padrão brasileiro consiste de máquinas de execução das linguagens oferecidas, e bibliotecas de funções, que permitem o desenvolvimento rápido e fácil de aplicações. O universo das aplicações pode ser dividido em três módulos principais: Ginga- CC, Ginga-NCL e Ginga-J, sendo que os dois últimos compõem a camada de serviços específicos e estão separados pelo tipo de aplicações que são responsáveis. O Ginga-NCL é responsável pelas Aplicações Declarativas e o Ginga-J pelas Aplicações Interativas. Existem dois tipos de aplicações, chamadas declarativas e as procedurais. Um conteúdo declarativo deve ser baseado em uma linguagem declarativa, isto é, em uma linguagem que enfatiza a descrição declarativa do problema, ao invés da sua decomposição em uma implementação algorítmica. Um conteúdo procedural deve ser baseado em uma linguagem não declarativa, podem ser baseadas em módulos, orientadas a objetos [9]. Na linguagem procedural, o programador possui um maior poder sobre o código, estabelecendo o fluxo de controle e execução de seu programa, cada passo é informado ao computador [10][11]. O Ginga-NCL, também chamado de Máquina de Apresentação é um subsistema lógico do Sistema Ginga que processa documentos NCL, conforme mostra a Figura 4. Figura 4. Arquitetura em alto nível do middleware Ginga [10]
93 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Um componente-chave do Ginga-NCL é o mecanismo de decodificação do conteúdo informativo (NCL formatter), e o mecanismo LUA, que é responsável pela interpretação dos scripts LUA, programação procedural com poderosas construções para descrição de dados baseadas em tabelas associativas e semântica extensível. [12][13]. 3. Segurança da Informação O termo Segurança da Informação significa proteger uma informação ou um sistema de informação do acesso, uso, divulgação, modificação ou destruição não autorizada; provendo integridade, confidencialidade e disponibilidade. A garantia de integridade significa proteger o conteúdo contra modificação ou destruição imprópria do conteúdo, inclui ainda a garantia da autenticidade da fonte da informação e o não repúdio pelo seu expedidor. A confidencialidade é relacionada à privacidade, restringindo o acesso e divulgação das informações. Já a característica de disponibilidade garante acesso à informação quando esta for necessária de maneira rápida e precisa. A segurança na televisão digital terrestre, nada mais é do que a aplicação destes conceitos aos casos de uso da televisão digital [13]. Os principais objetivos são assegurar a proteção da informação, via mecanismos de controle, contra possíveis ameaças existentes - ataques (ação intencional), acidentes (mau uso), defeitos ou falhas - que ocorram onde a informação estiver sendo criada, processada, armazenada ou transmitida. A Segurança da Informação também possibilita saber o quanto o sistema é resiliente, ou seja, o poder de recuperar-se após uma falha ou um ataque. Os requisitos da segurança da informação são: Integridade: tem como objetivo principal a proteção à exatidão e complexidade da informação e dos métodos de processamento. Esse requisito protege a informação contra qualquer alteração não autorizada. A violação da integridade pode ser o primeiro passo de um possível ataque e ainda alterar a confiabilidade do dado e ou sistema; Confidencialidade: o objetivo desse requisito é assegurar que a informação esteja acessível somente às pessoas autorizadas, refere-se proteção aos dados e sistemas para não serem expostos aos usuários não autorizados. O impacto da violação da confidencialidade das informações ou sistemas pode expor publicamente dados pessoais, corporativos e de governo indevidamente; Disponibilidade: assegurar aos usuários autorizados o acesso à informação e aos ativos associados. Este se refere ao fato do dado e ou sistema estar liberado para ser acessado pelo usuário no tempo correto; Autenticidade: é a garantia de que a identidade alegada ou atribuída ao usuário da informação seja verdadeira. A correta identificação do usuário ou ponto de origem (dispositivo) também retrata o requisito autenticidade;
94 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Responsabilidade: permite que as ações de uma determinada entidade em questão sejam rastreadas (imputabilidade) com impossibilidade de sua repudiação, negação ou retratação; Privacidade: é o direito do usuário em restringir o conhecimento e o acesso aos seus dados pessoais. Uma das formas de preservar a privacidade nas suas transações eletrônicas e ou aplicações é assegurar o anonimato do usuário. A privacidade é considerada como um aspecto de sigilo ou confidencialidade. [14] 3.1. A Segurança em Serviços da Televisão Digital Interativa O usuário pode receber um sinal de áudio e vídeo com qualidade superior, possibilita que ele tenha a interatividade com diversos serviços interativos, associados ou não a programação. São exemplos de aplicações interativas: distribuição de imagem em eventos esportivos, placar em tempo real, legendas e áudios em vários idiomas, previsão do tempo, indicativos financeiros, entre outras. Para que seja assegurada a proteção do receptor/conversor alguns aspectos devem ser tratados como a segurança dos sistemas embarcados, a segurança em mobilidade (smartphones) e a segurança na plataforma e computação para transações comerciais. A Figura 5 apresenta como é realizada a difusão de Aplicações em televisão digital [14]. Figura 5. Difusão de Aplicações em Televisão Digital [14] As relações comerciais entre empresas por meio eletrônico foram potencializadas pelos cartões de crédito, internet e a globalização. A segurança da troca de informações não é mais preocupação apenas das empresas, mas do cliente ou consumidor. A segurança da informação é parte estratégica do negócio ou serviço podendo traduzir em lucro, aumento de competitividade e fator de redução de perdas. 3.2. Ameaças e Vulnerabilidades As vulnerabilidades são pontos em que o sistema é susceptível a ataques. Consideramos aqui também, além das fragilidades do sistema, erros que nele existam. A identificação
95 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 das vulnerabilidades técnicas nem sempre é trivial, requerendo, em geral, profundo conhecimento de Tecnologia da Informação e de Comunicação. Os tipos de ameaças e vulnerabilidades irão variar conforme o ambiente interno e externo da organização. A infraestrutura de dados e de comunicação utilizada, a organização dos processos, a cultura de segurança dos usuários, o apoio da direção à política de segurança da informação, a competitividade do mercado, a visibilidade da organização, tudo isso são fatores a serem considerados. Identificar os riscos importa em identificar as ameaças e as vulnerabilidades que podem ser aproveitadas por estas aos sistemas de informação envolvidos e o impacto que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Contudo, diversas são as vulnerabilidades associadas a procedimentos ou ao comportamento humano. A questão das senhas é um bom exemplo. É fácil entender que, quanto mais complexas as senhas, mais difícil se torna a descoberta delas. Porém, na mesma proporção, mais difícil se torna decorá-las. Uma única senha igual para todos os sistemas facilita a memorização, mas por outro lado se traduz em uma vulnerabilidade que afeta todos os sistemas em questão. Outra alternativa encontrada por algumas pessoas quando a senha é muito complexa é anotar a senha em algum papel. A vulnerabilidade da senha é acrescida pela vulnerabilidade do acesso ao papel com a senha. Sistemas de verificação de vulnerabilidades Sistemas operacionais e demais programas de suporte, tais como o navegador da Internet, máquina Java, frameworks e players, devem ser mantidos sempre atualizados. Normalmente eles possuem algum tipo de controle interno, que pode ser centralizado, informando ou até mesmo atualizando de vez o programa. Incluem-se nesta categoria os programas de proteção, tais como antivírus e antispywares. Existem ainda sistemas capazes de verificar se alguma porta do computador está desprotegida e se a configuração do sistema operacional e da rede está compatível com os requisitos de segurança até então conhecidos, só podem ser executadas por especialistas. [15] Os ataques contra a confidencialidade podem ter por resultado a liberação de informação não autorizada para fins de divulgação ou fraude. Ataques contra a integridade irão contra a confiabilidade da informação. E ataques contra a disponibilidade irão contra o suporte ao serviço ou a destruição da informação. [16] Cada parte do Sistema de Televisão digital tem a sua necessidade de segurança, desde a produção de hardware, o produtor de conteúdo de televisão até a oferta de serviços interativos ao usuário final, como em qualquer sistema embarcado. A Tabela 1 mostra as partes do sistemas, as vulnerabilidades e as ações de seguranças correspondente.
96 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Tabela 1 – Necessidade de Segurança no Sistema de Televisão Digital [16] Vulnerabilidade Parte do Sistema de Televisão Digital Necessidade de Segurança TransaçãoFraudulenta-Perda/Roubo de Conteúdo Usuário Final Privacidade e integridade dos dados pessoais e execuçãoseguradesoftwarebaixadoeinstalado Pirataria de Conteúdo Provedor de Conteúdo Proteção de Conteúdo e Gestão de direitos autorais Falsificação,violaçãooucorrupçãodas aplicações Provedor de Aplicações Comunicação segura fim-a-fim Irretratabilidade e autencidade Uso ilegítimo do serviço Provedor de Serviço Acesso seguro a rede Pirataria de Software e clonagem de Hardware Fabricante/Integrador de Hardware e Software Proteção da propriedade Intelectual Instruções Maliciosas Redessemfioouredescabeadas Interceptação de informação resultando em uma captura de dados, comprometendo a integridade do usuário e ações legais. Dispositivos que usam várias redes Portabilidade do dispositivo cria o abandono da segurança impostapelaempresaeexpõeos seus protocolos de segurança Propagação de malware pode resultar em perda de informações, corrupção de dados e indisponibilidade. Falta de política de acesso aos dispositivos ProvedordeAplicaçõeseUsuário Final Propagaçãodemalwareseperdadeinformações. InstalaçõesdeAplicativosdeterceiros ProvedordeAplicaçõeseUsuário Final Propagaçãodemalwares,perdadeinformaçõese invasão na rede da empresa. 4. Metodologia 4.1. Prova do conceito O modelo prático que permite testar o conceito de vulnerabilidade é apresentado na Figura 6. A metodologia proposta segue o modelo top-down, que envolve a concepção do protótipo, definição dos testes, a conclusão do script e análise dos resultados obtidos. Figura 6. Metodologia de Identificação de Riscos [17] Para a criação das aplicações interativas, o middleware oferece uma linguagem de programação, que foi testada usando vulnerabilidades conhecidas de outros sistemas, possibilitando a identificação de falhas e pontos onde o sistema se torna inseguro, colocando em risco as informações do usuário. As aplicações foram expostas as vulnerabilidades e identificou-se uma rotina para que a programação seja feita de forma segura. [18]
97 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Para determinar o risco, é preciso avaliar a probabilidade associada a cada agente de ameaça, vetor de ataque, e fraqueza de segurança e combiná-lo com uma estimativa do impacto técnico e de negócios. 4.2. Segurança e Riscos para o sistema de televisão digital O sistema de Televisão Digital pode ser comparado analogamente ao sistema telefonia móvel, pois são dois sistemas embarcados, cuja camada física são similares e oferecem serviços ao usuário final de maneira que pode-se analisar os sistemas da mesma forma, monitorando as possíveis vias de infecção e trançando a distribuição dos vírus. A Figura 7 mostra as vias que devem ser asseguradas no Sistema de Televisão Digital. Figura 7. Vias de infecção, ameaças, danos e vias de espalhamento de vírus para o SBTVD As rotas de infecção são os meios onde as informações são trocadas, são as tecnologias usadas principalmente para o envio e o recebimento de informações entre o usuário e o provedor de aplicação. As ameaças são possíveis ataques as informações e a serviços disponíveis aos usuários, comprometendo a confiabilidade, integridade e disponibilidade das informações. Os danos podem causar erros nas funcionalidades, perda de economia, inconvenientes, distúrbios na rede e danos na privacidade do usuário.
98 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital As tecnologias usadas para a transmissão de informações são conhecidas como forma de espalhamento e um exemplo comum é a rede de transmissão Bluetooth. 4.3. Requisitos de Segurança para o SBTVD Na primeira fase do SBTVD foram levantados os seguintes requisitos de segurança para terminais de acesso: • Identificação e autenticação do terminal de acesso, • Soquete de comunicação segura, • Segurança na atualização de software/firmware, • Identificação e autenticação de usuários locais, • Identificação e autenticação de usuários de serviços, • Restrição de programação, proteção de conteúdo, • Sincronização de relógio e • Armazenamento seguro de certificados digitais raiz. Vários recursos tecnológicos da Certificação Digital serão utilizados na TV Digital: certificados digitais, certificados digitais para aplicações, certificados SSL, certificados de atributos, carimbo do tempo etc. 4.4. Certificado SSL - Secure Sockets Layer O SSL foi desenvolvido para fornecer serviços de segurança e de compressão de dados gerados pela camada de aplicação. O SSL pode receber dados de qualquer protocolo da camada de aplicação, mas é usado principalmente pelo HTTP (HyperText Transfer Protocol). Os dados recebidos pela camada de aplicação são comprimidos, assinados e criptografados. Os dados são passados para um protocolo da camada de transporte confiável, como o TCP. Figura 8. Protocolos SSL Handshake Protocol – fornece parâmetros de segurança, usados para negociar o conjunto de cifras, a fim de autenticar o servidor perante o cliente e o cliente perante o servidor. A troca de informações visa à formação de segredos criptográficos.
99 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 ChangeCipherSpec Protocol – sinaliza com prontidão os segredos criptográficos. Alert Protocol – informa a ocorrência de erros e condições anormais, descreve o problema e seu nível (aviso ou fatal). Record Protocol – transporta mensagens de camada superior e é comprimido usando o protocolo hash negociado. O fragmento comprimido e o MAC são criptografados. O cabeçalho SSL é acrescentado à mensagem e enviado pelo emissor. No receptor o processo é o inverso. 5. Testes, simulações e Resultados 5.1. Testes O NCLua HTTP implementa alguns dos principais recursos do protocolo HTTP/1.0. Ele é um módulo escrito inteiramente em linguagem Lua para ser utilizado em scripts NCLua. Pela simplicidade do protocolo HTTP, o módulo possui apenas algumas funções que permitem a geração de requisições e tratamento de respostas. Na figura 9 apresenta-se o modelo proposto para os testes com realização de uma conexão TCP no Ginga-NCL. A aplicação estabelece uma conexão a um servidor, envia uma requisição e fica aguardando o retorno. Aplicação TV Digital NCL/Lua HTTP:// SSL Banco de Dados TCP HTTPS:// Figura 9. Modelo para os testes com o protocolo SSL e aplicações de Televisão Digital As implementações realizadas simplificam diversas chamadas de funções e corotinas tais como, tpc.send1 , tcp.receive2 , necessárias à realização de uma conexão TCP no Ginga- NCL, encapsulando diversos detalhes do processo de comunicação. O módulo NCLua HTTP facilita o envio de requisições, encapsulando todo o gerenciamento das requisições assíncronas do protocolo TCP no Ginga-NCL. O módulo também permite a realização de requisições que requerem autenticação básica. Para realizar tal autenticação, os dados de login e senha devem ser codificados. As implementações agilizam a construção de aplicações com interatividade realizando acesso ao canal de retorno por meio de protocolos padronizados. Existem diversas categorias de aplicações interativas que podem ser construídas com uso dos protocolos implementados, 1 Envia uma requisição ao servidor. 2 Suspende a co-rotina até que algum dado seja obtido.
100 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital tais como jogos, informações (notícias, horóscopo, previsão do tempo, etc), educação (T-Learning), governo eletrônico (T-Government), comércio eletrônico (T-Commerce), saúde (T-Health), bancárias (T-Banking) e outras. 5.2. Ameaças e vulnerabilidades testadas As rotinas identificadas como vulneráveis na linguagem NCL e Lua são as rotinas do pacote OS (operacionais), de carga e execução de comandos e o pacote IO (entrada e saída de dados). As vulnerabilidades em Lua estão ligadas as rotinas utilizadas nas aplicações[19]. Caso não haja um isolamento das informações todo o sistema será afetado pela rotina maliciosa que manipulará os dados do usuário. As rotinas perigosas geram inserções de dados na saída modificando a aplicação original e resultado esperado, como a utilização de arquivos não permitidos, a exposição de dados confidenciais e deixando o sistema vulneráveis a ataques de outros programas. Estas rotinas identificadas se não utilizadas de forma correta podem gerar a injeção de comandos e execução de scripts que obtém as seguintes informações: permissão de escrita e leitura, captura de arquivos ou inserção de arquivos sem proprietário, permissão de arquivos de senhas entre outras. 6. Considerações finais A segurança da informação para os sistemas de TV Digital, principalmente as aplicações em Ginga-NCL e Lua deve ter parâmetros que assegurem que as rotinas não permitam a invasão indesejada e que protejam os dados dos usuários nas transações realizadas nas aplicações. O Sistema de Televisão Digital deve ser tratado como os sistemas embarcados e para o desenvolvimento de aplicações seguras é preciso levar em consideração algumas ações, como: planejar a segurança; avaliar a vulnerabilidade de segurança do aplicativo; modelar a ameaça de segurança; avaliar o impacto de segurança; avaliar o risco de segurança; especificar as necessidades de segurança; fornecer informação de segurança; verificar e validar a segurança; monitorar o comportamento de segurança; gerenciar a segurança; garantir a segurança. As aplicações interativas que manipulam dados confidenciais dos usuários devem ter rotinas de autenticação do usuário e sem essa autenticação não pode ser permitida o acesso e nem a modificação de nenhum dado que o receptor contenha. Desta forma, a confiabilidade, a integridade e disponibilidades estarão asseguradas. A autenticidade, a responsabilidade e privacidade são asseguradas na aplicação segura quando constantemente verificada, validada e monitorada as informações do usuário. Uma vez que as aplicações remetem a sites digitalmente certificados (sites seguros) as
101 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 informações dos usuários estarão protegidas, pois mecanismos do protocolo de segurança SSL, que se localiza entre a camada de aplicação (camada que o usuário usa) e a camada de transporte (onde é feito o encapsulamento das informações e o envio para o destino). Agradecimentos Nossos agradecimentos à CAPES (Coordenação de Aperfeiçoamento Pessoal de Nível Superior),aCapesRH-TVD,aoCNPq,aFaepex/UNICAMP,aRNP/CTIC(RedeNacionalde Pesquisa/Centro de Pesquisa e Desenvolvimento em Tecnologias Digitais para Informação e Comunicação) e a PRP/Unicamp pelo incentivo para a realização deste trabalho. Referências PICCOLO, L.S.G.; BARANAUKAS, M.C. Desafios de Design para a TV Digital Interativa, Universidade Estadual de Campinas, Novembro de 2006. SCHIEFLER, G.H.C. TV Digital: A nova ferramenta governamental para a inclusão social. Google Knol, 29 jul. 2008. GIOIA, F. Multiplexação de Sinais, Serviços de Informação (SI) e Transmissão de Dados no Padrão Brasileiro de TV Digital. Escola de Engenharia – Universidade Federal Fluminense (UFF). 2008. BECKER, V.; ZUFFO, M.K. Desenvolvimento de Interfaces para TV Digital Interativa. In: XIV Simpósio Brasileiro de Sistemas Multimídia e Web, 2008, Vila Velha-ES. Anais: Minicursos - XIV Simpósio Brasileiro de Sistemas Multimídia e Web. SBC, 2008, 2008. p.49- 97. MANHÃES, M.A.R.; SHIEH, P.J. Canal de Interatividade: Conceitos, Potencialidades e Compromissos, Wireless Brasil. 23 de agosto de 2005. ZIMMERMANN, F. Canal de Retorno em TV Digital: Técnicas e abordagens para efetivação da interatividade televisiva, Universidade Federal de Santa Catarina, 2007. OLIVEIRA, C.T. Um estudo sobre o middleware para Televisão Digital Interativa, Centro Federal de Educação Tecnológica do Ceará- CEFETCE, julho de 2005. PATACA, D.M. Tecnologias de Interação Inovadoras: Interatividade na TV Digital, CPQD, 24 de abril de 2008. MONTEZ, C.; PICCIONI, C. Um Estudo sobre Emuladores de Aplicações para a Televisão Digital Interativa. Universidade Federal de Santa Catarina, Florianópolis. 2004. GHISI, B.C.; LOPES, G.F.F.S. Integração de Aplicações para TV Digital Interativa com
102 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Redes Sociais. In: Webmedia ‘10 (Workshop de TV Digital Interativa), 2010. SOARES, L.F.G.; RODRIGUES, R.F.; MORENO, M.F. Ginga-NCL: the Declarative Environment of the Brazilian Digital TV System. In: Journal of the Brazilian Computer Society. No. 4, Vol. 13. p.37-46. ISSN: 0104-6500. Porto Alegre, RS, 2007. PAULINELLI, F.; OMAIA, D.; BATISTA, C.E.C.F.; SOUZA FILHO, G.L. Xtation: um Ambiente de Testes de Aplicações para TV Digital Interativa Baseado no Middleware de Referência do Sistema Brasileiro de Televisão Digital. In: WebMedia 2006, 2006, Natal. Anais do WebMedia 2006 - DEMOS AND TOOLS, 2006. NUNES, F.J.B.; BELCHIOR, A.D.; ALBUQUERQUE, A.B. Security Engineering Approach to Support Software Security. In: 6th World Congress on Services, 2010, Miami. 6th World Congress on Services, 2010. SOUZA FILHO, G.L.; LEITE, L.E.C.; BATISTA, C.E.C. F. Ginga-J: The Procedural Middleware for the Brazilian Digital TV System. In: Journal of the Brazilian Computer Society. No. 4, Vol.13. p.47- 56. ISSN: 0104-6500. Porto Alegre, RS, 2007. JUCÁ, P.M.; LUCENA, U.; FERRAZ, C. Desenvolvendo Aplicações da Televisão Digital. In: Congresso de Tecnologia de Rádio, Televisão e Telecomunicações, 2005, São Paulo, 2005. BRAGA, A.M.; Restani, G.S. Hacking Ginga: uma avaliação de segurança da plataforma de aplicações interativas da TV digital brasileira. In: X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, Fortaleza, 2010. OWASP. Top 10 (2010). The Ten Most Critical Web Application Security Risks. 2010. www.owasp.org/index.php/Category:OWASP_Top_Ten_Project. Acesso em 10/11/2013 SANTOS, T.C.; SABLON, V.I.B.; IANO, Y. Segurança da Informação para Aplicações Interativas no Sistema Brasileiro de Televisão Digital. In: Eleventh LACCEI Latin American and Caribbean Conference for Engineering and Technology (LACCEI’2013). View publication statsView publication stats

Recomendados

ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013
ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013
ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013Fabricia Graça
 
Rd1 02 comunicacao
Rd1 02 comunicacaoRd1 02 comunicacao
Rd1 02 comunicacaorbraga79
 
Convergência Artigo
Convergência ArtigoConvergência Artigo
Convergência ArtigoMmm
 
Convergencia art02
Convergencia art02Convergencia art02
Convergencia art02Gabriel Martins
 
Projeto básico scm.doc
Projeto básico scm.docProjeto básico scm.doc
Projeto básico scm.docLucio Bartmann
 
Protocolos ethernet
Protocolos ethernetProtocolos ethernet
Protocolos ethernetredesinforma
 
S.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesS.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesMilione Changala
 
GSM
GSMGSM
GSMMilione Changala
 

Recomendados

ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013
ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013
ArtigoConvergenciadeRedesIPTV_PTN_04_12_2013Fabricia Graça
 
Rd1 02 comunicacao
Rd1 02 comunicacaoRd1 02 comunicacao
Rd1 02 comunicacaorbraga79
 
Convergência Artigo
Convergência ArtigoConvergência Artigo
Convergência ArtigoMmm
 
Convergencia art02
Convergencia art02Convergencia art02
Convergencia art02Gabriel Martins
 
Projeto básico scm.doc
Projeto básico scm.docProjeto básico scm.doc
Projeto básico scm.docLucio Bartmann
 
Protocolos ethernet
Protocolos ethernetProtocolos ethernet
Protocolos ethernetredesinforma
 
S.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesS.c.s.f 02 evoluções das comunicações celulares
S.c.s.f 02 evoluções das comunicações celularesMilione Changala
 
GSM
GSMGSM
GSMMilione Changala
 
Artigo telefonia movel no brasil
Artigo telefonia movel no brasilArtigo telefonia movel no brasil
Artigo telefonia movel no brasilRafael Albani Scardua
 
TCEd sessao presencial 09-10
TCEd sessao presencial 09-10TCEd sessao presencial 09-10
TCEd sessao presencial 09-10Pedro Almeida
 
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Júlio César Magro
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
M2M-VPN Platform
M2M-VPN PlatformM2M-VPN Platform
M2M-VPN PlatformSandro Tamman
 
Licenciamento SCM Anatel
Licenciamento SCM AnatelLicenciamento SCM Anatel
Licenciamento SCM AnatelSmart Tech - Telecom
 
Projeto Migração Data Center Racco
Projeto Migração Data Center RaccoProjeto Migração Data Center Racco
Projeto Migração Data Center RaccoOscar Barufaldi
 
Vo ip
Vo ipVo ip
Vo ipdercilio junior
 
I2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátilI2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátilElaine Cecília Gatto
 
TV Digital Javaneiros 2010
TV Digital Javaneiros 2010TV Digital Javaneiros 2010
TV Digital Javaneiros 2010JUGMS
 
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03Lúcio Pinto da Costa Junior
 
Catalogo servicos ingles
Catalogo servicos inglesCatalogo servicos ingles
Catalogo servicos inglesjorgerobertocosta
 
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...Oscar Barufaldi
 
Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)Mmm
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosEmerson Carlos
 
Redes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSIRedes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSILuis Ferreira
 
TV DIGITAL MÓVEL
TV DIGITAL MÓVELTV DIGITAL MÓVEL
TV DIGITAL MÓVELElaine Cecília Gatto
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
Apresentação oswaldo
Apresentação oswaldoApresentação oswaldo
Apresentação oswaldolabmidiaufmg
 
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...Aline Diniz
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)Mmm
 

Mais conteúdo relacionado

Mais procurados

TCEd sessao presencial 09-10
TCEd sessao presencial 09-10TCEd sessao presencial 09-10
TCEd sessao presencial 09-10Pedro Almeida
 
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Júlio César Magro
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
Projeto Migração Data Center Racco
Projeto Migração Data Center RaccoProjeto Migração Data Center Racco
Projeto Migração Data Center RaccoOscar Barufaldi
 
I2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátilI2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátilElaine Cecília Gatto
 
TV Digital Javaneiros 2010
TV Digital Javaneiros 2010TV Digital Javaneiros 2010
TV Digital Javaneiros 2010JUGMS
 
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03Lúcio Pinto da Costa Junior
 
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...Oscar Barufaldi
 
Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)Mmm
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosEmerson Carlos
 
Redes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSIRedes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSILuis Ferreira
 

Mais procurados (17)

Artigo telefonia movel no brasil
Artigo telefonia movel no brasilArtigo telefonia movel no brasil
Artigo telefonia movel no brasil
 
TCEd sessao presencial 09-10
TCEd sessao presencial 09-10TCEd sessao presencial 09-10
TCEd sessao presencial 09-10
 
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
Módulo de Análise de Parâmetros de Qualidade de Serviço em Aplicações de Áudi...
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Ginga
 
M2M-VPN Platform
M2M-VPN PlatformM2M-VPN Platform
M2M-VPN Platform
 
Licenciamento SCM Anatel
Licenciamento SCM AnatelLicenciamento SCM Anatel
Licenciamento SCM Anatel
 
Projeto Migração Data Center Racco
Projeto Migração Data Center RaccoProjeto Migração Data Center Racco
Projeto Migração Data Center Racco
 
Vo ip
Vo ipVo ip
Vo ip
 
I2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátilI2 ts sistema de recomendação para tv digital portátil
I2 ts sistema de recomendação para tv digital portátil
 
TV Digital Javaneiros 2010
TV Digital Javaneiros 2010TV Digital Javaneiros 2010
TV Digital Javaneiros 2010
 
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
TCC.INATEL.VIVO.RJ.T66.2011.Lúcio.Pinto.Costa.Junior_v03
 
Catalogo servicos ingles
Catalogo servicos inglesCatalogo servicos ingles
Catalogo servicos ingles
 
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
RFP Contratação de Serviços de Data Center e Rede MPLS - Racco Cosméticos 20...
 
Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)Convergência Digital (interativa-si.blogspot.com)
Convergência Digital (interativa-si.blogspot.com)
 
Tecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlosTecnologia voip estudo das falhas, emerson carlos
Tecnologia voip estudo das falhas, emerson carlos
 
Redes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSIRedes de Comunicação 11º M1 - TGPSI
Redes de Comunicação 11º M1 - TGPSI
 
TV DIGITAL MÓVEL
TV DIGITAL MÓVELTV DIGITAL MÓVEL
TV DIGITAL MÓVEL
 

Semelhante a Controle de segurança da informação nas aplicações interativas do SBTVD

Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
Apresentação oswaldo
Apresentação oswaldoApresentação oswaldo
Apresentação oswaldolabmidiaufmg
 
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...Aline Diniz
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Gingalabmidiaufmg
 
ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)Mmm
 
TV Digital interativa - Projeto TeouVi
TV Digital interativa - Projeto TeouViTV Digital interativa - Projeto TeouVi
TV Digital interativa - Projeto TeouViLucas Augusto Carvalho
 
Ra 2009 Bentow. SmartBand
Ra 2009 Bentow. SmartBandRa 2009 Bentow. SmartBand
Ra 2009 Bentow. SmartBandbentow
 
Introdução à TV digital interativa
Introdução à TV digital interativaIntrodução à TV digital interativa
Introdução à TV digital interativaMaurilio Alberone
 
Sistema de recomendação para tv digital portátil
Sistema de recomendação para tv digital portátilSistema de recomendação para tv digital portátil
Sistema de recomendação para tv digital portátilElaine Cecília Gatto
 
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...Cisco do Brasil
 
VANETs – redes veiculares
VANETs – redes veicularesVANETs – redes veiculares
VANETs – redes veicularesDouglas de Paula
 
Aula 2 - Conceitos básicos de comunicação de dados.pdf
Aula 2 - Conceitos básicos de comunicação de dados.pdfAula 2 - Conceitos básicos de comunicação de dados.pdf
Aula 2 - Conceitos básicos de comunicação de dados.pdfMaraLuizaGonalvesFre
 
17 rio wireless lte broadcast - oi alberto boaventura v1.1
17 rio wireless lte broadcast - oi alberto boaventura v1.117 rio wireless lte broadcast - oi alberto boaventura v1.1
17 rio wireless lte broadcast - oi alberto boaventura v1.1Alberto Boaventura
 
Dataprev prova interatividade na TV Digital
Dataprev prova interatividade na TV DigitalDataprev prova interatividade na TV Digital
Dataprev prova interatividade na TV DigitalCampus Party Brasil
 

Semelhante a Controle de segurança da informação nas aplicações interativas do SBTVD (20)

Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Ginga
 
Apresentação oswaldo
Apresentação oswaldoApresentação oswaldo
Apresentação oswaldo
 
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
Implantação do serviço de iptv em uma rede acadêmica um estudo de caso na fac...
 
Tv interativa se faz com Ginga
Tv interativa se faz com GingaTv interativa se faz com Ginga
Tv interativa se faz com Ginga
 
ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)ConvergêNcia Digital (Interativa.Blogspot.Com)
ConvergêNcia Digital (Interativa.Blogspot.Com)
 
TV Digital interativa - Projeto TeouVi
TV Digital interativa - Projeto TeouViTV Digital interativa - Projeto TeouVi
TV Digital interativa - Projeto TeouVi
 
Ra 2009 Bentow. SmartBand
Ra 2009 Bentow. SmartBandRa 2009 Bentow. SmartBand
Ra 2009 Bentow. SmartBand
 
Introdução à TV digital interativa
Introdução à TV digital interativaIntrodução à TV digital interativa
Introdução à TV digital interativa
 
Sistema de recomendação para tv digital portátil
Sistema de recomendação para tv digital portátilSistema de recomendação para tv digital portátil
Sistema de recomendação para tv digital portátil
 
Aula Unesp -Pos TV Digital
Aula Unesp -Pos TV DigitalAula Unesp -Pos TV Digital
Aula Unesp -Pos TV Digital
 
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...
Medianet 2.2: Redução de custos e decisões planejadas com visibilidade aprimo...
 
webmedia10
webmedia10webmedia10
webmedia10
 
VANETs – redes veiculares
VANETs – redes veicularesVANETs – redes veiculares
VANETs – redes veiculares
 
Aula 2 - Conceitos básicos de comunicação de dados.pdf
Aula 2 - Conceitos básicos de comunicação de dados.pdfAula 2 - Conceitos básicos de comunicação de dados.pdf
Aula 2 - Conceitos básicos de comunicação de dados.pdf
 
Automação traduzido
Automação traduzidoAutomação traduzido
Automação traduzido
 
VOIP EM REDES LOCAIS
VOIP EM REDES LOCAISVOIP EM REDES LOCAIS
VOIP EM REDES LOCAIS
 
17 rio wireless lte broadcast - oi alberto boaventura v1.1
17 rio wireless lte broadcast - oi alberto boaventura v1.117 rio wireless lte broadcast - oi alberto boaventura v1.1
17 rio wireless lte broadcast - oi alberto boaventura v1.1
 
TV Digital - Latinoware
TV Digital - LatinowareTV Digital - Latinoware
TV Digital - Latinoware
 
Dataprev prova interatividade na TV Digital
Dataprev prova interatividade na TV DigitalDataprev prova interatividade na TV Digital
Dataprev prova interatividade na TV Digital
 
Speed data
Speed dataSpeed data
Speed data
 

Controle de segurança da informação nas aplicações interativas do SBTVD

  • 1. See discussions, stats, and author profiles for this publication at: https://www.researchgate.net/publication/307793269 Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Article · July 2015 DOI: 10.17921/1415-6571.2013v17n26p87-102 CITATIONS 0 READS 142 4 authors, including: Some of the authors of this publication are also working on these related projects: smart cities View project 4G and Image Digital Process View project Becerra Sablón Universidade São Francisco 6 PUBLICATIONS   1 CITATION    SEE PROFILE Yuzo Iano University of Campinas 233 PUBLICATIONS   325 CITATIONS    SEE PROFILE All content following this page was uploaded by Yuzo Iano on 11 September 2017. The user has requested enhancement of the downloaded file.
  • 2. RESUMO: O trabalho apresenta uma metodologia para a transmissão de informações com segurança nas aplicações interativas no Sistema Brasileiro de Televisão Digital. O método permite a integridade, confiabilidade e disponibilidade dos parâmetros em uma transmissão. A certificação digital na programação das aplicações digitais é testada com os protocolos das camadas de aplicação e transporte da rede de interatividade. A proposta permite que as aplicações interativas que manipulam dados confidenciais dos usuários possuam rotinas de autenticação do usuário para que não haja modificação de dados no receptor. Dessa forma, a televisão digital terá um procedimento para a segurança para as aplicações interativas. ABSTRACT: The paper presents a methodology for the transmission of information is held securely in interactive applications in the Brazilian System of Digital Television. The method allows the integrity, reliability and availability of the parameters in a transmission. Digital certification program in digital applications is tested with the application layer protocols and transport network interactivity. The proposal allows interactive applications that handle sensitive data of the users have routines for user authentication so that no data modification at the receiver. Thus, digital TV will have a procedure for security for interactive applications. CONTROLE DE SEGURANÇA DA INFORMAÇÃO NAS APLICAÇÕES INTERATIVAS DO SISTEMA BRASILEIRO DE TELEVISÃO DIGITAL Publicação Anhanguera Educacional Ltda. Coordenação Instituto de Pesquisas Aplicadas e Desenvolvimento Educacional - IPADE Correspondência Sistema Anhanguera de Revistas Eletrônicas - SARE rc.ipade@anhanguera.com v.17 • n.26 • 2013 • p. 87-102 Thatiane Cristina Santos de Carvalho Ribeiro – Universidade Estadual de Campinas - FEEC/Unicamp Vicente Idalberto Becerra – Universidade Estadual de Campinas - FEEC/Unicamp João Paulo Covre – Universidade Estadual de Campinas - FEEC/Unicamp Yuzo Iano – Universidade Estadual de Campinas - FEEC/Unicamp REVISTA DE CIÊNCIAS GERENCIAIS Palavras-chave: Ginga, Televisão Digital, Segurança da Informação, SBTVD Keywords: Ginga, Digital Television, Information Security, SBTVD. Artigo Original Recebido em: 20/09/2013 Avaliado em: 04/11/2013 Publicado em: 23/06/2014
  • 3. 88 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital 1. Introdução A TV Digital oferece para o usuário não apenas melhor qualidade de imagem e som, mas também uma gama de novos serviços e aplicações de entretenimento e de informações. Assim sendo, a adoção da TV Digital no Brasil aliada ao avanço da tecnologia, permite que serviços e aplicações sejam disponibilizados mesmo em localidades remotas, contribuindo para a universalização e democratização de informações e serviços eletrônicos, permitindo a inclusão social de uma parcela maior da população brasileira. A interatividade possibilita utilizar a televisão digital para fazer transações pessoais, comerciais como se estivesse usando a internet. Isso gera a necessidade de mecanismos de seguranças capazes de identificar ameaças durante a transição de informações através das aplicações interativas. O middleware do Sistema Brasileiro de Televisão Digital, conhecido como Ginga, proporciona um ambiente onde as transações de informações em aplicações como bancárias (t-banking) e de comércio (t-commerce) são realizadas, que será melhor explicada na seção 2.3. Nessas transações os dados pessoais dos usuários devem ser protegidos e a proteção das aplicações deve manter a disponibilidade, confiabilidade e a integridade dos dados [1]. A proposta objetiva manter o controle da segurança da informação para aplicações interativas do Sistema Brasileiro de Televisão Digital. Como todos os outros sistemas embarcados, as aplicações precisam ter uma rotina que determina se estas foram desenvolvidas de maneira que assegura que os dados não serão violados. 2. O Sistema Brasileiro de Televisão Digital - SBTVD O governo brasileiro através do decreto nº 5820 de 2006, determinou os requisitos básicos para o Sistema de TV Digital, entre eles se destaca o baixo custo e robustez na recepção, flexibilidade e capacidade de evolução, interatividade. Visando promover a inclusão digital, sendo um requisito fundamental [2]. AarquiteturapropostaparaopadrãoBrasileirodeTelevisãoDigitalbaseia-senomodelo de referência da União Internacional de Telecomunicações - UTI [2]. No projeto optou-se por representar de forma única as funções de multiplexação e transporte, agrupadas na camada de transporte. De forma análoga, a codificação de canal, modulação e transmissão estão representadas em um único módulo. É definido como uma plataforma multimídia capaz de transmitir sinais de áudio e vídeo de alta qualidade, bem como dados, utilizando o sinal de radiodifusão. A capacidade de transmissão de dados, que podem estar vinculados ou não à programação, possibilita o desenvolvimento de novos serviços e aplicações digitais, como mostra a Figura 1 [3].
  • 4. 89 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Atua como uma plataforma de comunicação onde a fonte de conteúdo, representada no diagrama pela produção de conteúdo, e os usuários finais, que fazem uso das aplicações interativas, e está dividido em duas entidades complementares: a difusão e acesso e o terminal de acesso, como mostra a Figura 1. Figura 1. Diagrama de Fluxo de informação do Sistema Brasileiro [3] Os processos de Difusão e Acesso são constituídos pelos módulos de codificação e empacotamento das informações a serem transmitidas para os receptores. Para que os sinais de áudio, vídeo e os dados, originados na Produção de Conteúdo, possam ser transmitidos, estes precisam ser codificados, o que inclui a sua compactação e a inserção de informações que permitam, posteriormente, a sua decodificação, pelos Codificadores de Áudio, de Vídeo e de Dados, respectivamente. Uma vez codificados, os sinais são processados pela Camada de Transporte, que os empacota e transmite em um único sinal de transporte, ou fluxo de transporte (Transport Stream - TS), acrescentando-lhes informações auxiliares de controle. Na etapa seguinte, o sinal gerado na Camada de Transporte passa por um processamento adicional no módulo de Codificação de Canal, Modulação e Transmissão, por onde é transmitido. O sinal recebido pelo Terminal de Acesso, através de antenas receptoras, no módulo de Recepção, Demodulação e Decodificação de Canal, passa por um processo de demodulação e de decodificação de canal, de onde resulta o sinal de transporte que será enviado à etapa de demultiplexação, no módulo da Camada de Transporte. Os sinais codificados de Áudio, Vídeo e Dados, que são então submetidos aos Decodificadores de Áudio, de Vídeo e ao Middleware, respectivamente. Os Decodificadores de Áudio e Vídeo reconstituem os sinais originais, para que possam ser corretamente exibidos. O Middleware, por outro lado, além de decodificar os dados recebidos, é responsável por tratar as instruções, funcionando como uma plataforma de execução de software.
  • 5. 90 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital 2.1. Padrões que compõe o Sistema Brasileiro de TV Digital Na Figura 2 apresenta-se o os padrões adotados para Sistema Brasileiro de TV Digital. Figura 2. Padrões de referência do sistema brasileiro de TV digital terrestre. [3] • Para codificação de áudio foi adotado o padrão Moving Picture Expert Group – parte 4 - MPEG4 com 2 níveis de perfil para receptores fixos e móveis (Advanced Audio Coding - AAC@L4 – para multicanal 5.1 e High Efficiency Advanced Audio Coding -HEAAC v1@L4 – para estéreo) e 1 nível de perfil para receptores portáteis (HEAAC v2@L3 – dois canais). • Para codificação de vídeo foi adotado o padrão MPEG4-AVC com o nível de perfil (alto), High Profile - HP@L4.0 para receptores fixos e móveis e o nível de perfil (básico), Basic Profile - BP@L1.3 para receptores portáteis. • Para o sistema de transporte (multiplexação e demultiplexação) foi adotado o padrão MPEG-2 Systems. • Para o processo de modulação foi adotado o padrão Band Segmented Transmission Orthogonal Frequency Division Multiplexing - BST-OFDM/SBTVD-T. • Para a camada de middleware foi adotado o padrão GINGA [3]. 2.2. Canal de Interatividade A interatividade possibilita ao usuário interagir encaminhando ou recebendo informações e solicitações. O canal de interatividade, também chamado de canal de retorno, é um meio que possibilita essa operação e é constituído pela interconexão das redes de televisão com as redes de telecomunicação, resultando em dois canais de comunicação: canal de descida e o canal de retorno, como são apresentados na Figura 3[4].
  • 6. 91 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Figura 3. Diagrama do sistema canal de retorno [4] Ocanaldedescidaestabeleceacomunicaçãonosentidoemissoras/programadoraspara os usuários, sendo constituído pelos canais de radiodifusão, podendo ter uma comunicação broadcast (ponto-multiponto), aberta e disponível a todos os usuários ou unicast (ponto a ponto) individualizada. O canal de retorno estabelece a comunicação no sentido dos usuários para as emissoras/programadoras, e é composto por qualquer tecnologia de redes de acesso que estabeleça essa ligação. A interatividade ocorre quando há a transferência e troca de dados, de ambos os lados [5][6]. A interação do usuário-aplicações, serviços e conteúdos interativos são classificadas em três categorias: local, intermitente e permanente [7]. A interatividade local é a mais básica das três categorias. O difusor é composto pelo provedor do serviço, que gera o sinal que contêm os programas televisivos a ser transmitidos através do canal de difusão para o receptor de forma unidirecional. Já na categoria de interatividade intermitente, também conhecida como remota unidirecional, difere da anterior, pois há um difusor de serviço e outro provedor de interação. Na interatividade permanente, a comunicação dos dados no canal de interação deixa de ser unidirecional para se tornar bidirecional, existindo um canal de retorno dedicado no receptor digital [7] [8]. Aplicações Interativas Para o desenvolvimento, estudo, especificações e protótipos de aplicações interativas compatíveis com o padrão de middleware que compreende um conjunto de serviços e aplicações interativas disponibilizadas através de um televisor e um decodificador, chamado Set-top-Box [11]. A TV interativa permite que o telespectador através dos aplicativos interaja com a programação, como por exemplo, escolhendo a câmera (ângulo) em um jogo de futebol, participando de votações e jogos de auditório, escolhendo suas preferências em aplicativos interativos como previsão de tempo, bolsas de valores, notícias de última hora, etc. [11]
  • 7. 92 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Os aplicativos interativos da TV digital são responsáveis por conferir a TV uma nova plataforma computacional que permitir a navegação do usuário por informações disponibilizadas, por envio de dados ao provedor do conteúdo utilizando a própria infra­ estrutura da internet, caracterizando a utilização do canal de retorno. [12] 2.3. GINGA – O middleware do Sistema Brasileiro de Televisão Digital Arquitetura do Middleware Ginga O Middleware é a camada de software intermediário, entre o hardware /Sistema Operacional e as aplicações, no Sistema Brasileiro de Televisão Digital, é conhecido como Ginga. O middleware proporciona um ambiente onde as transações de informações em aplicações são realizadas. Nessas transações os dados pessoais dos usuários devem ser protegidos e a proteção das aplicações deve manter a disponibilidade, confiabilidade e a integridade dos dados [1]. O middleware no padrão brasileiro consiste de máquinas de execução das linguagens oferecidas, e bibliotecas de funções, que permitem o desenvolvimento rápido e fácil de aplicações. O universo das aplicações pode ser dividido em três módulos principais: Ginga- CC, Ginga-NCL e Ginga-J, sendo que os dois últimos compõem a camada de serviços específicos e estão separados pelo tipo de aplicações que são responsáveis. O Ginga-NCL é responsável pelas Aplicações Declarativas e o Ginga-J pelas Aplicações Interativas. Existem dois tipos de aplicações, chamadas declarativas e as procedurais. Um conteúdo declarativo deve ser baseado em uma linguagem declarativa, isto é, em uma linguagem que enfatiza a descrição declarativa do problema, ao invés da sua decomposição em uma implementação algorítmica. Um conteúdo procedural deve ser baseado em uma linguagem não declarativa, podem ser baseadas em módulos, orientadas a objetos [9]. Na linguagem procedural, o programador possui um maior poder sobre o código, estabelecendo o fluxo de controle e execução de seu programa, cada passo é informado ao computador [10][11]. O Ginga-NCL, também chamado de Máquina de Apresentação é um subsistema lógico do Sistema Ginga que processa documentos NCL, conforme mostra a Figura 4. Figura 4. Arquitetura em alto nível do middleware Ginga [10]
  • 8. 93 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Um componente-chave do Ginga-NCL é o mecanismo de decodificação do conteúdo informativo (NCL formatter), e o mecanismo LUA, que é responsável pela interpretação dos scripts LUA, programação procedural com poderosas construções para descrição de dados baseadas em tabelas associativas e semântica extensível. [12][13]. 3. Segurança da Informação O termo Segurança da Informação significa proteger uma informação ou um sistema de informação do acesso, uso, divulgação, modificação ou destruição não autorizada; provendo integridade, confidencialidade e disponibilidade. A garantia de integridade significa proteger o conteúdo contra modificação ou destruição imprópria do conteúdo, inclui ainda a garantia da autenticidade da fonte da informação e o não repúdio pelo seu expedidor. A confidencialidade é relacionada à privacidade, restringindo o acesso e divulgação das informações. Já a característica de disponibilidade garante acesso à informação quando esta for necessária de maneira rápida e precisa. A segurança na televisão digital terrestre, nada mais é do que a aplicação destes conceitos aos casos de uso da televisão digital [13]. Os principais objetivos são assegurar a proteção da informação, via mecanismos de controle, contra possíveis ameaças existentes - ataques (ação intencional), acidentes (mau uso), defeitos ou falhas - que ocorram onde a informação estiver sendo criada, processada, armazenada ou transmitida. A Segurança da Informação também possibilita saber o quanto o sistema é resiliente, ou seja, o poder de recuperar-se após uma falha ou um ataque. Os requisitos da segurança da informação são: Integridade: tem como objetivo principal a proteção à exatidão e complexidade da informação e dos métodos de processamento. Esse requisito protege a informação contra qualquer alteração não autorizada. A violação da integridade pode ser o primeiro passo de um possível ataque e ainda alterar a confiabilidade do dado e ou sistema; Confidencialidade: o objetivo desse requisito é assegurar que a informação esteja acessível somente às pessoas autorizadas, refere-se proteção aos dados e sistemas para não serem expostos aos usuários não autorizados. O impacto da violação da confidencialidade das informações ou sistemas pode expor publicamente dados pessoais, corporativos e de governo indevidamente; Disponibilidade: assegurar aos usuários autorizados o acesso à informação e aos ativos associados. Este se refere ao fato do dado e ou sistema estar liberado para ser acessado pelo usuário no tempo correto; Autenticidade: é a garantia de que a identidade alegada ou atribuída ao usuário da informação seja verdadeira. A correta identificação do usuário ou ponto de origem (dispositivo) também retrata o requisito autenticidade;
  • 9. 94 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Responsabilidade: permite que as ações de uma determinada entidade em questão sejam rastreadas (imputabilidade) com impossibilidade de sua repudiação, negação ou retratação; Privacidade: é o direito do usuário em restringir o conhecimento e o acesso aos seus dados pessoais. Uma das formas de preservar a privacidade nas suas transações eletrônicas e ou aplicações é assegurar o anonimato do usuário. A privacidade é considerada como um aspecto de sigilo ou confidencialidade. [14] 3.1. A Segurança em Serviços da Televisão Digital Interativa O usuário pode receber um sinal de áudio e vídeo com qualidade superior, possibilita que ele tenha a interatividade com diversos serviços interativos, associados ou não a programação. São exemplos de aplicações interativas: distribuição de imagem em eventos esportivos, placar em tempo real, legendas e áudios em vários idiomas, previsão do tempo, indicativos financeiros, entre outras. Para que seja assegurada a proteção do receptor/conversor alguns aspectos devem ser tratados como a segurança dos sistemas embarcados, a segurança em mobilidade (smartphones) e a segurança na plataforma e computação para transações comerciais. A Figura 5 apresenta como é realizada a difusão de Aplicações em televisão digital [14]. Figura 5. Difusão de Aplicações em Televisão Digital [14] As relações comerciais entre empresas por meio eletrônico foram potencializadas pelos cartões de crédito, internet e a globalização. A segurança da troca de informações não é mais preocupação apenas das empresas, mas do cliente ou consumidor. A segurança da informação é parte estratégica do negócio ou serviço podendo traduzir em lucro, aumento de competitividade e fator de redução de perdas. 3.2. Ameaças e Vulnerabilidades As vulnerabilidades são pontos em que o sistema é susceptível a ataques. Consideramos aqui também, além das fragilidades do sistema, erros que nele existam. A identificação
  • 10. 95 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 das vulnerabilidades técnicas nem sempre é trivial, requerendo, em geral, profundo conhecimento de Tecnologia da Informação e de Comunicação. Os tipos de ameaças e vulnerabilidades irão variar conforme o ambiente interno e externo da organização. A infraestrutura de dados e de comunicação utilizada, a organização dos processos, a cultura de segurança dos usuários, o apoio da direção à política de segurança da informação, a competitividade do mercado, a visibilidade da organização, tudo isso são fatores a serem considerados. Identificar os riscos importa em identificar as ameaças e as vulnerabilidades que podem ser aproveitadas por estas aos sistemas de informação envolvidos e o impacto que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Contudo, diversas são as vulnerabilidades associadas a procedimentos ou ao comportamento humano. A questão das senhas é um bom exemplo. É fácil entender que, quanto mais complexas as senhas, mais difícil se torna a descoberta delas. Porém, na mesma proporção, mais difícil se torna decorá-las. Uma única senha igual para todos os sistemas facilita a memorização, mas por outro lado se traduz em uma vulnerabilidade que afeta todos os sistemas em questão. Outra alternativa encontrada por algumas pessoas quando a senha é muito complexa é anotar a senha em algum papel. A vulnerabilidade da senha é acrescida pela vulnerabilidade do acesso ao papel com a senha. Sistemas de verificação de vulnerabilidades Sistemas operacionais e demais programas de suporte, tais como o navegador da Internet, máquina Java, frameworks e players, devem ser mantidos sempre atualizados. Normalmente eles possuem algum tipo de controle interno, que pode ser centralizado, informando ou até mesmo atualizando de vez o programa. Incluem-se nesta categoria os programas de proteção, tais como antivírus e antispywares. Existem ainda sistemas capazes de verificar se alguma porta do computador está desprotegida e se a configuração do sistema operacional e da rede está compatível com os requisitos de segurança até então conhecidos, só podem ser executadas por especialistas. [15] Os ataques contra a confidencialidade podem ter por resultado a liberação de informação não autorizada para fins de divulgação ou fraude. Ataques contra a integridade irão contra a confiabilidade da informação. E ataques contra a disponibilidade irão contra o suporte ao serviço ou a destruição da informação. [16] Cada parte do Sistema de Televisão digital tem a sua necessidade de segurança, desde a produção de hardware, o produtor de conteúdo de televisão até a oferta de serviços interativos ao usuário final, como em qualquer sistema embarcado. A Tabela 1 mostra as partes do sistemas, as vulnerabilidades e as ações de seguranças correspondente.
  • 11. 96 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Tabela 1 – Necessidade de Segurança no Sistema de Televisão Digital [16] Vulnerabilidade Parte do Sistema de Televisão Digital Necessidade de Segurança TransaçãoFraudulenta-Perda/Roubo de Conteúdo Usuário Final Privacidade e integridade dos dados pessoais e execuçãoseguradesoftwarebaixadoeinstalado Pirataria de Conteúdo Provedor de Conteúdo Proteção de Conteúdo e Gestão de direitos autorais Falsificação,violaçãooucorrupçãodas aplicações Provedor de Aplicações Comunicação segura fim-a-fim Irretratabilidade e autencidade Uso ilegítimo do serviço Provedor de Serviço Acesso seguro a rede Pirataria de Software e clonagem de Hardware Fabricante/Integrador de Hardware e Software Proteção da propriedade Intelectual Instruções Maliciosas Redessemfioouredescabeadas Interceptação de informação resultando em uma captura de dados, comprometendo a integridade do usuário e ações legais. Dispositivos que usam várias redes Portabilidade do dispositivo cria o abandono da segurança impostapelaempresaeexpõeos seus protocolos de segurança Propagação de malware pode resultar em perda de informações, corrupção de dados e indisponibilidade. Falta de política de acesso aos dispositivos ProvedordeAplicaçõeseUsuário Final Propagaçãodemalwareseperdadeinformações. InstalaçõesdeAplicativosdeterceiros ProvedordeAplicaçõeseUsuário Final Propagaçãodemalwares,perdadeinformaçõese invasão na rede da empresa. 4. Metodologia 4.1. Prova do conceito O modelo prático que permite testar o conceito de vulnerabilidade é apresentado na Figura 6. A metodologia proposta segue o modelo top-down, que envolve a concepção do protótipo, definição dos testes, a conclusão do script e análise dos resultados obtidos. Figura 6. Metodologia de Identificação de Riscos [17] Para a criação das aplicações interativas, o middleware oferece uma linguagem de programação, que foi testada usando vulnerabilidades conhecidas de outros sistemas, possibilitando a identificação de falhas e pontos onde o sistema se torna inseguro, colocando em risco as informações do usuário. As aplicações foram expostas as vulnerabilidades e identificou-se uma rotina para que a programação seja feita de forma segura. [18]
  • 12. 97 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 Para determinar o risco, é preciso avaliar a probabilidade associada a cada agente de ameaça, vetor de ataque, e fraqueza de segurança e combiná-lo com uma estimativa do impacto técnico e de negócios. 4.2. Segurança e Riscos para o sistema de televisão digital O sistema de Televisão Digital pode ser comparado analogamente ao sistema telefonia móvel, pois são dois sistemas embarcados, cuja camada física são similares e oferecem serviços ao usuário final de maneira que pode-se analisar os sistemas da mesma forma, monitorando as possíveis vias de infecção e trançando a distribuição dos vírus. A Figura 7 mostra as vias que devem ser asseguradas no Sistema de Televisão Digital. Figura 7. Vias de infecção, ameaças, danos e vias de espalhamento de vírus para o SBTVD As rotas de infecção são os meios onde as informações são trocadas, são as tecnologias usadas principalmente para o envio e o recebimento de informações entre o usuário e o provedor de aplicação. As ameaças são possíveis ataques as informações e a serviços disponíveis aos usuários, comprometendo a confiabilidade, integridade e disponibilidade das informações. Os danos podem causar erros nas funcionalidades, perda de economia, inconvenientes, distúrbios na rede e danos na privacidade do usuário.
  • 13. 98 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital As tecnologias usadas para a transmissão de informações são conhecidas como forma de espalhamento e um exemplo comum é a rede de transmissão Bluetooth. 4.3. Requisitos de Segurança para o SBTVD Na primeira fase do SBTVD foram levantados os seguintes requisitos de segurança para terminais de acesso: • Identificação e autenticação do terminal de acesso, • Soquete de comunicação segura, • Segurança na atualização de software/firmware, • Identificação e autenticação de usuários locais, • Identificação e autenticação de usuários de serviços, • Restrição de programação, proteção de conteúdo, • Sincronização de relógio e • Armazenamento seguro de certificados digitais raiz. Vários recursos tecnológicos da Certificação Digital serão utilizados na TV Digital: certificados digitais, certificados digitais para aplicações, certificados SSL, certificados de atributos, carimbo do tempo etc. 4.4. Certificado SSL - Secure Sockets Layer O SSL foi desenvolvido para fornecer serviços de segurança e de compressão de dados gerados pela camada de aplicação. O SSL pode receber dados de qualquer protocolo da camada de aplicação, mas é usado principalmente pelo HTTP (HyperText Transfer Protocol). Os dados recebidos pela camada de aplicação são comprimidos, assinados e criptografados. Os dados são passados para um protocolo da camada de transporte confiável, como o TCP. Figura 8. Protocolos SSL Handshake Protocol – fornece parâmetros de segurança, usados para negociar o conjunto de cifras, a fim de autenticar o servidor perante o cliente e o cliente perante o servidor. A troca de informações visa à formação de segredos criptográficos.
  • 14. 99 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 ChangeCipherSpec Protocol – sinaliza com prontidão os segredos criptográficos. Alert Protocol – informa a ocorrência de erros e condições anormais, descreve o problema e seu nível (aviso ou fatal). Record Protocol – transporta mensagens de camada superior e é comprimido usando o protocolo hash negociado. O fragmento comprimido e o MAC são criptografados. O cabeçalho SSL é acrescentado à mensagem e enviado pelo emissor. No receptor o processo é o inverso. 5. Testes, simulações e Resultados 5.1. Testes O NCLua HTTP implementa alguns dos principais recursos do protocolo HTTP/1.0. Ele é um módulo escrito inteiramente em linguagem Lua para ser utilizado em scripts NCLua. Pela simplicidade do protocolo HTTP, o módulo possui apenas algumas funções que permitem a geração de requisições e tratamento de respostas. Na figura 9 apresenta-se o modelo proposto para os testes com realização de uma conexão TCP no Ginga-NCL. A aplicação estabelece uma conexão a um servidor, envia uma requisição e fica aguardando o retorno. Aplicação TV Digital NCL/Lua HTTP:// SSL Banco de Dados TCP HTTPS:// Figura 9. Modelo para os testes com o protocolo SSL e aplicações de Televisão Digital As implementações realizadas simplificam diversas chamadas de funções e corotinas tais como, tpc.send1 , tcp.receive2 , necessárias à realização de uma conexão TCP no Ginga- NCL, encapsulando diversos detalhes do processo de comunicação. O módulo NCLua HTTP facilita o envio de requisições, encapsulando todo o gerenciamento das requisições assíncronas do protocolo TCP no Ginga-NCL. O módulo também permite a realização de requisições que requerem autenticação básica. Para realizar tal autenticação, os dados de login e senha devem ser codificados. As implementações agilizam a construção de aplicações com interatividade realizando acesso ao canal de retorno por meio de protocolos padronizados. Existem diversas categorias de aplicações interativas que podem ser construídas com uso dos protocolos implementados, 1 Envia uma requisição ao servidor. 2 Suspende a co-rotina até que algum dado seja obtido.
  • 15. 100 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital tais como jogos, informações (notícias, horóscopo, previsão do tempo, etc), educação (T-Learning), governo eletrônico (T-Government), comércio eletrônico (T-Commerce), saúde (T-Health), bancárias (T-Banking) e outras. 5.2. Ameaças e vulnerabilidades testadas As rotinas identificadas como vulneráveis na linguagem NCL e Lua são as rotinas do pacote OS (operacionais), de carga e execução de comandos e o pacote IO (entrada e saída de dados). As vulnerabilidades em Lua estão ligadas as rotinas utilizadas nas aplicações[19]. Caso não haja um isolamento das informações todo o sistema será afetado pela rotina maliciosa que manipulará os dados do usuário. As rotinas perigosas geram inserções de dados na saída modificando a aplicação original e resultado esperado, como a utilização de arquivos não permitidos, a exposição de dados confidenciais e deixando o sistema vulneráveis a ataques de outros programas. Estas rotinas identificadas se não utilizadas de forma correta podem gerar a injeção de comandos e execução de scripts que obtém as seguintes informações: permissão de escrita e leitura, captura de arquivos ou inserção de arquivos sem proprietário, permissão de arquivos de senhas entre outras. 6. Considerações finais A segurança da informação para os sistemas de TV Digital, principalmente as aplicações em Ginga-NCL e Lua deve ter parâmetros que assegurem que as rotinas não permitam a invasão indesejada e que protejam os dados dos usuários nas transações realizadas nas aplicações. O Sistema de Televisão Digital deve ser tratado como os sistemas embarcados e para o desenvolvimento de aplicações seguras é preciso levar em consideração algumas ações, como: planejar a segurança; avaliar a vulnerabilidade de segurança do aplicativo; modelar a ameaça de segurança; avaliar o impacto de segurança; avaliar o risco de segurança; especificar as necessidades de segurança; fornecer informação de segurança; verificar e validar a segurança; monitorar o comportamento de segurança; gerenciar a segurança; garantir a segurança. As aplicações interativas que manipulam dados confidenciais dos usuários devem ter rotinas de autenticação do usuário e sem essa autenticação não pode ser permitida o acesso e nem a modificação de nenhum dado que o receptor contenha. Desta forma, a confiabilidade, a integridade e disponibilidades estarão asseguradas. A autenticidade, a responsabilidade e privacidade são asseguradas na aplicação segura quando constantemente verificada, validada e monitorada as informações do usuário. Uma vez que as aplicações remetem a sites digitalmente certificados (sites seguros) as
  • 16. 101 Thatiane Cristina Santos de Carvalho Ribeiro, Vicente Idalberto Becerra Sablón, João Paulo Covre, Yuzo Iano v.17 • n.26 • 2013 • p. 87-102 informações dos usuários estarão protegidas, pois mecanismos do protocolo de segurança SSL, que se localiza entre a camada de aplicação (camada que o usuário usa) e a camada de transporte (onde é feito o encapsulamento das informações e o envio para o destino). Agradecimentos Nossos agradecimentos à CAPES (Coordenação de Aperfeiçoamento Pessoal de Nível Superior),aCapesRH-TVD,aoCNPq,aFaepex/UNICAMP,aRNP/CTIC(RedeNacionalde Pesquisa/Centro de Pesquisa e Desenvolvimento em Tecnologias Digitais para Informação e Comunicação) e a PRP/Unicamp pelo incentivo para a realização deste trabalho. Referências PICCOLO, L.S.G.; BARANAUKAS, M.C. Desafios de Design para a TV Digital Interativa, Universidade Estadual de Campinas, Novembro de 2006. SCHIEFLER, G.H.C. TV Digital: A nova ferramenta governamental para a inclusão social. Google Knol, 29 jul. 2008. GIOIA, F. Multiplexação de Sinais, Serviços de Informação (SI) e Transmissão de Dados no Padrão Brasileiro de TV Digital. Escola de Engenharia – Universidade Federal Fluminense (UFF). 2008. BECKER, V.; ZUFFO, M.K. Desenvolvimento de Interfaces para TV Digital Interativa. In: XIV Simpósio Brasileiro de Sistemas Multimídia e Web, 2008, Vila Velha-ES. Anais: Minicursos - XIV Simpósio Brasileiro de Sistemas Multimídia e Web. SBC, 2008, 2008. p.49- 97. MANHÃES, M.A.R.; SHIEH, P.J. Canal de Interatividade: Conceitos, Potencialidades e Compromissos, Wireless Brasil. 23 de agosto de 2005. ZIMMERMANN, F. Canal de Retorno em TV Digital: Técnicas e abordagens para efetivação da interatividade televisiva, Universidade Federal de Santa Catarina, 2007. OLIVEIRA, C.T. Um estudo sobre o middleware para Televisão Digital Interativa, Centro Federal de Educação Tecnológica do Ceará- CEFETCE, julho de 2005. PATACA, D.M. Tecnologias de Interação Inovadoras: Interatividade na TV Digital, CPQD, 24 de abril de 2008. MONTEZ, C.; PICCIONI, C. Um Estudo sobre Emuladores de Aplicações para a Televisão Digital Interativa. Universidade Federal de Santa Catarina, Florianópolis. 2004. GHISI, B.C.; LOPES, G.F.F.S. Integração de Aplicações para TV Digital Interativa com
  • 17. 102 Revista de Ciências Gerenciais Controle de segurança da informação nas aplicações interativas do Sistema Brasileiro de Televisão Digital Redes Sociais. In: Webmedia ‘10 (Workshop de TV Digital Interativa), 2010. SOARES, L.F.G.; RODRIGUES, R.F.; MORENO, M.F. Ginga-NCL: the Declarative Environment of the Brazilian Digital TV System. In: Journal of the Brazilian Computer Society. No. 4, Vol. 13. p.37-46. ISSN: 0104-6500. Porto Alegre, RS, 2007. PAULINELLI, F.; OMAIA, D.; BATISTA, C.E.C.F.; SOUZA FILHO, G.L. Xtation: um Ambiente de Testes de Aplicações para TV Digital Interativa Baseado no Middleware de Referência do Sistema Brasileiro de Televisão Digital. In: WebMedia 2006, 2006, Natal. Anais do WebMedia 2006 - DEMOS AND TOOLS, 2006. NUNES, F.J.B.; BELCHIOR, A.D.; ALBUQUERQUE, A.B. Security Engineering Approach to Support Software Security. In: 6th World Congress on Services, 2010, Miami. 6th World Congress on Services, 2010. SOUZA FILHO, G.L.; LEITE, L.E.C.; BATISTA, C.E.C. F. Ginga-J: The Procedural Middleware for the Brazilian Digital TV System. In: Journal of the Brazilian Computer Society. No. 4, Vol.13. p.47- 56. ISSN: 0104-6500. Porto Alegre, RS, 2007. JUCÁ, P.M.; LUCENA, U.; FERRAZ, C. Desenvolvendo Aplicações da Televisão Digital. In: Congresso de Tecnologia de Rádio, Televisão e Telecomunicações, 2005, São Paulo, 2005. BRAGA, A.M.; Restani, G.S. Hacking Ginga: uma avaliação de segurança da plataforma de aplicações interativas da TV digital brasileira. In: X Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais, Fortaleza, 2010. OWASP. Top 10 (2010). The Ten Most Critical Web Application Security Risks. 2010. www.owasp.org/index.php/Category:OWASP_Top_Ten_Project. Acesso em 10/11/2013 SANTOS, T.C.; SABLON, V.I.B.; IANO, Y. Segurança da Informação para Aplicações Interativas no Sistema Brasileiro de Televisão Digital. In: Eleventh LACCEI Latin American and Caribbean Conference for Engineering and Technology (LACCEI’2013). View publication statsView publication stats