发布求助
文献互助 智能选刊 最新文献

Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)最新文献

筛选
英文 中文
An Ontological Approach to Mitigate Risk in Web Applications 降低Web应用程序风险的本体论方法
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20135
Marcius M. Marques, C. G. Ralha
{"title":"An Ontological Approach to Mitigate Risk in Web Applications","authors":"Marcius M. Marques, C. G. Ralha","doi":"10.5753/sbseg.2014.20135","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20135","url":null,"abstract":"Information Security (InfoSec) is becoming a high priority asset to support business activities, as organizations struggle to assure that data is available and secure in web applications. However, security is not a concern from the beginning of the development process, mainly because developers are not security specialists. Consequently, vulnerable systems are designed and when attacked can compromise organization's data and operations, enclosing high financial losses. Because most attacks targets the application layer, we propose an intelligent approach based on ontology to mitigate risks in web applications. An ontological approach can contribute to InfoSec knowledge dissemination and reduce the burden of implementing secure web applications on organizations. The ontology is based on the OWASP Top 10 Project, applied to reduce the gap between the application developer and the security knowledge. The proposed model is employed in the development's design phase; with more secure web applications as the outcome. The extensible and reusable developed ontology is evaluated in a prototype scenario of a web application named 'SMS Broadcast'. The results show that vulnerabilities can be reduced by increasing the security awareness of web developers during the application development process.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"752 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"122974863","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 6
CloudSec - Um Middleware para Compartilhamento de Informações Sigilosas em Nuvens Computacionais CloudSec -在计算云中共享敏感信息的中间件
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20137
Rick Lopes de Souza, Hylson Vescovi Netto, L. C. Lung, Ricardo Felipe Custódio
{"title":"CloudSec - Um Middleware para Compartilhamento de Informações Sigilosas em Nuvens Computacionais","authors":"Rick Lopes de Souza, Hylson Vescovi Netto, L. C. Lung, Ricardo Felipe Custódio","doi":"10.5753/sbseg.2014.20137","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20137","url":null,"abstract":"A necessidade de compartilhar e manipular dados sensíveis é um desafio para grande parte dos provedores de conteúdo que utilizam a nuvem para armazenamento. No entanto, desenvolver aplicações que garamtam sigilo em nuvem é uma tarefa complexa e requer integração de múltiplos aspectos de segurança e interoperabilidade. Para contornar esses desafios, esse trabalho tem como principal objetivo propor uma arquitetura de middleware para garantir o compartilhamento seguro de documentos sigilosos em nuvem utilizando provedores de nuvens públicas para o armazenamento dos dados e módulos de segurança criptográficos para o gerenciamento de chaves criptográficas. Este trabalho tem como principais características: o uso da criptografia baseada em identidade, uso de nuvens híbridas, gerenciamento de chaves criptográficas simplificado, garantia de segurança ponto a ponto e utilização de módulos de segurança criptográficos.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"45 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"117068503","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 0
Software implementation of SHA-3 family using AVX2 软件使用AVX2实现SHA-3系列
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20146
Roberto Cabral, L. Julio
{"title":"Software implementation of SHA-3 family using AVX2","authors":"Roberto Cabral, L. Julio","doi":"10.5753/sbseg.2014.20146","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20146","url":null,"abstract":"The Keccak algorithm was the winner of the competition organized by NIST to choose the new standard hash algorithm, called SHA-3. In this work, we present the details of our software implementation in conformity with draft FIPS 202. We follow two approaches for the implementation of SHA-3, the first one computes the digest for a single message, and the other one computes in parallel four digests from four different messages. The performance for the single implementation was accelerated using vector instructions of 128/256 bits, and it is as fast as the best implementation optimized for 64 bits published on eBASH. The parallel implementation is about 2.5 faster than the single message implementation. The cryptographic primitive extendable-output functions, which is part of the draft FIPS 202, were also implemented.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"1 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"114213757","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 1
S-MOVL: Protegendo Sistemas Computacionais contra Ataques de Violação de Memória por meio de Instruções em Hardware S-MOVL:通过硬件指令保护计算机系统免受内存侵犯攻击
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20140
Antonio L. Maia Neto, Omar P. Vilela Neto, Fernando Magno Quintão Pereira, Leonardo B. Oliveira
{"title":"S-MOVL: Protegendo Sistemas Computacionais contra Ataques de Violação de Memória por meio de Instruções em Hardware","authors":"Antonio L. Maia Neto, Omar P. Vilela Neto, Fernando Magno Quintão Pereira, Leonardo B. Oliveira","doi":"10.5753/sbseg.2014.20140","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20140","url":null,"abstract":"A linguagem C não verifica limites de arranjo e abre brechas para ataques de violação de memória, tais como buffer overflow e o buffer overread. A maioria das propostas para adicionar essa funcionalidade à linguagem são implementadas em software, estratégia que prejudica o desempenho de aplicações. Neste trabalho apresentamos uma solução em hardware capaz de realizar a verificação de limites eficientemente.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"6 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"117351291","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 0
Prevenção de Ataques em Sistemas Distribuídos via Análise de Intervalos 通过间隔分析防止分布式系统中的攻击
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20132
Vitor Mendes Paisante, L. F. Z. Saggioro, Raphael Ernani Rodrigues, Leonardo B. Oliveira, Fernando Magno Quintão Pereira
{"title":"Prevenção de Ataques em Sistemas Distribuídos via Análise de Intervalos","authors":"Vitor Mendes Paisante, L. F. Z. Saggioro, Raphael Ernani Rodrigues, Leonardo B. Oliveira, Fernando Magno Quintão Pereira","doi":"10.5753/sbseg.2014.20132","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20132","url":null,"abstract":"A análise de largura de variáveis determina o maior e menor valores que cada variável inteira de um programa pode assumir durante a sua execução. Tal técnica é de suma importância para detectar vulnerabilidades em programas mas, até o momento, não existe abordagem que aplique essa análise em sistemas distribuídos. Tal omissão é séria, uma vez que esse tipo de sistema é alvo comum de ataques de software. O objetivo deste artigo é preencher tal lacuna. Valendo-nos de um algoritmo recente para inferir protocolos de comunicação, nós projetamos, implementamos e testamos uma análise de largura de variáveis para sistemas distribuídos. Nosso algoritmo, ao prover uma visão holística do sistema distribuído, é mais preciso que analisar cada parte daquele sistema separadamente. Demonstramos tal fato via uma série de exemplos e experimentos realizados sobre os programas presentes em SPEC CPU 2006. Um protótipo de nossa ferramenta, implementado sobre o compilador LLVM, está disponível para escrutínio.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"24 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"126109790","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 2
Controlando a Frequência de Desvios Indiretos para Bloquear Ataques ROP 控制间接偏差的频率以阻止ROP攻击
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20133
Mateus Tymburibá Ferreira, Ailton Santos Filho, Eduardo L. Feitosa
{"title":"Controlando a Frequência de Desvios Indiretos para Bloquear Ataques ROP","authors":"Mateus Tymburibá Ferreira, Ailton Santos Filho, Eduardo L. Feitosa","doi":"10.5753/sbseg.2014.20133","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20133","url":null,"abstract":"Em função de seu vasto emprego em investidas contra sistemas computacionais modernos, proteções contra códigos maliciosos baseados na técnica denominada Return-Oriented Programming (ROP) têm sido extensamente estudadas. Apesar disso, ainda não se conhece uma solução definitiva. Este artigo demonstra que, através do controle da frequência de instruções de desvio indireto, é possível evitar a consolidação de ataques ROP. Para isso, foi desenvolvido um protótipo destinado a ambientes Linux, Windows, Android e OSX. Experimentos realizados com exploits confirmaram a eficácia do modelo proposto a um custo computacional comparável e, em alguns casos, inferior àquele alcançado por proteções correlatas.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"44 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"117298567","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 3
Um Mecanismo Agregador de Atributos Mediado pelo Cliente Alinhado ao Programa de E-GOV.BR 与电子政府计划一致的客户中介属性聚合机制。结果
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20130
Marcondes Maçaneiro, Fábio Zoz, M. Wangham
{"title":"Um Mecanismo Agregador de Atributos Mediado pelo Cliente Alinhado ao Programa de E-GOV.BR","authors":"Marcondes Maçaneiro, Fábio Zoz, M. Wangham","doi":"10.5753/sbseg.2014.20130","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20130","url":null,"abstract":"O uso de múltiplos provedores de identidades (IdPs) em sistemas de IdM pode trazer vantagens para os usuários, principalmente, para privacidade de seus dados. Este artigo descreve um mecanismo agregador de atributos capaz de coletar e unir os atributos dos usuários disponibilizados em múltiplos IdPs, para que estes possam ser apresentados para provedores que exigem atributos que não estão em umúnico IdP. O mecanismo proposto é inovador ao adotar uma abordagem mediada pelo cliente, que faz uso de um aplicativo executado no ambiente do usuário e que segue as recomendações da arquitetura ePING do Programa Gov.br. Os resultados obtidos com a implementação e uso do mecanismo proposto demonstram que este traz mais flexibilidade para um sistema federado e garante a privacidade dos usuários sem prejudicar a interoperabilidade do sistema e de uma aplicação de E.Gov.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"63 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"123464420","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 0
Identificação e Caracterização de Comportamentos Suspeitos Através da Análise do Tráfego DNS 通过DNS流量分析识别和描述可疑行为
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20129
Kaio R. S. Barbosa, Eduardo Souto, Eduardo L. Feitosa, G. B. Martins
{"title":"Identificação e Caracterização de Comportamentos Suspeitos Através da Análise do Tráfego DNS","authors":"Kaio R. S. Barbosa, Eduardo Souto, Eduardo L. Feitosa, G. B. Martins","doi":"10.5753/sbseg.2014.20129","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20129","url":null,"abstract":"O Sistema de Nomes de Domínios (DNS) fornece mecanismos para traduzir os nomes de domínios em endereços IP. Este serviço é usado tanto por usuários legítimos quanto aplicações suspeitas que podem solicitar endereços dos servidores de email antes de enviar spam. Este trabalho apresenta uma metodologia que utiliza teoria dos grafos para distinguir padrões entre consultas legítimas e maliciosas no tráfego. As resoluções de nomes são modeladas em um grafo que ilustra o padrão de comunicação entre hosts e como as consultas foram realizadas. Para validação da proposta, o tráfego DNS do domínio .br é investigado. Os resultados mostram uma redução de 35% do total de hosts a serem analisados e a presença de comportamentos suspeitos.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"12 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"115878760","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 0
Detecção Estática e Consistente de Potenciais Estouros de Arranjos 静态和一致的检测潜在的溢出安排
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20142
Bruno Adriano Rodrigues Silva
{"title":"Detecção Estática e Consistente de Potenciais Estouros de Arranjos","authors":"Bruno Adriano Rodrigues Silva","doi":"10.5753/sbseg.2014.20142","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20142","url":null,"abstract":"Estouros de arranjos, uma vulnerabilidade de software bastante conhecida na literatura especializada em segurança, são frequentemente utilizados por adversários que têm o objetivo de corromper o fluxo de controle do programa. Isto é possível em linguagens fracamente tipadas como C e C++ onde os acessos à arranjos não são verificados. Uma possível solução é a inserção de código para verificação de todos os acessos à arranjos de forma a evitar aqueles fora dos limites. Entretanto o custo em tempo de execução seria proibitivo. Este trabalho propõe a detecção de potenciais estouros de arranjos via análise estática de código, o que permitiria ao desenvolvedor, a inserção de código de verificação apenas nos traços estáticos possivelmente vulneráveis. Verificou-se que cerca de 41% do código fonte dos benchmarks SPEC CPUINT 2006 estão vulneráveis à este tipo de ataque.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"14 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"116520265","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 0
A randomized graph-based scheme for software watermarking 一种基于随机图的软件水印方案
Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014) Pub Date : 2014-11-03 DOI: 10.5753/sbseg.2014.20119
L. Bento, D. Boccardo, R. Carlos, Santos Machado, J. Szwarcfiter, R. Janeiro
{"title":"A randomized graph-based scheme for software watermarking","authors":"L. Bento, D. Boccardo, R. Carlos, Santos Machado, J. Szwarcfiter, R. Janeiro","doi":"10.5753/sbseg.2014.20119","DOIUrl":"https://doi.org/10.5753/sbseg.2014.20119","url":null,"abstract":"The insertion of watermarks into proprietary objects is a well-known means of discouraging piracy. It works by embedding into the object some (often surreptitious) data meant to disclose the authorship/ownership of the object. Some promising graph-based watermarking schemes to protect the intellectual property of software have been suggested in the literature, and recent efforts have been endeavored to improve their resilience to attacks. Among the pursued attributes of software watermarking solutions is the one referred to as \"diversity\", which is the ability to encode the intended information in many distinct forms, making it harder for an attacker to find and remove it. We introduce a graph-based scheme which achieves a high level of diversity through randomization, while admitting an efficient, linear-time implementation nonetheless.","PeriodicalId":146489,"journal":{"name":"Anais do XIV Simpósio Brasileiro de Segurança da Informação e de Sistemas Computacionais (SBSeg 2014)","volume":"34 1","pages":"0"},"PeriodicalIF":0.0,"publicationDate":"2014-11-03","publicationTypes":"Journal Article","fieldsOfStudy":null,"isOpenAccess":false,"openAccessPdf":"","citationCount":null,"resultStr":null,"platform":"Semanticscholar","paperid":"124322641","PeriodicalName":null,"FirstCategoryId":null,"ListUrlMain":null,"RegionNum":0,"RegionCategory":"","ArticlePicture":[],"TitleCN":null,"AbstractTextCN":null,"PMCID":"","EPubDate":null,"PubModel":null,"JCR":null,"JCRName":null,"Score":null,"Total":0}
引用次数: 3
首页 上一页 下一页 尾页
0
×
引用
GB/T 7714-2015
复制
MLA
复制
APA
复制
导出至
BibTeX EndNote RefMan NoteFirst NoteExpress
×
提示
您的信息不完整,为了账户安全,请先补充。
现在去补充
×
提示
您因"违规操作"
具体请查看互助需知
我知道了
×
提示
现在去查看 取消
×
提示
确定
请完成安全验证×
相关产品
×
本文献相关产品
联系我们:info@booksci.cn Book学术提供免费学术资源搜索服务,方便国内外学者检索中英文文献。致力于提供最便捷和优质的服务体验。 Copyright © 2023 布克学术 All rights reserved.
京ICP备2023020795号-1
ghs 京公网安备 11010802042870号
Book学术文献互助
Book学术文献互助群
群 号:604180095
Book学术官方微信