Segurança da informação para o ambiente do Sistema Brasileiro de
Transcrição
Segurança da informação para o ambiente do Sistema Brasileiro de
Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital Alexandre M. Braga*, Gilmara S. Restani, José Orfeu C. Antonini, Wagner M. da Silva O diagnóstico e a análise de vulnerabilidades referentes à segurança da informação para o sistema brasileiro de TV interativa aberta digital são questões que merecem atenção por parte da comunidade de segurança. Este artigo oferece uma visão geral das questões de segurança da informação alusivas à proteção dos dados e à privacidade do usuário, e apresenta algumas vulnerabilidades presentes na cadeia de valor do Sistema Brasileiro de Televisão Digital, destacando as vulnerabilidades encontradas no receptor de TV digital, cuja evolução tende a ser similar ao ocorrido nos ambientes computacionais (Internet) e móveis. Ao final deste artigo é apresentado um aparato, composto por método, sistema e ferramentas, voltado a promover a segurança da informação no ambiente de televisão digital brasileiro. Palavras-chave: SBTVD. Segurança da informação. Middleware Ginga. Introdução Os serviços eletrônicos, virtuais e interativos estão cada vez mais se popularizando, criando novas demandas e ampliando o espectro de consumidores de redes e de plataformas tecnológicas. Nesse contexto, observa-se que a utilização do receptor de TV como terminal eficiente e simples para novos serviços vem ganhando espaço, através de diversos meios e modelos de negócios (CASTRO, 2009; IPEA, 2010). O processo de digitalização introduzido por meio da TV digital terrestre (TV aberta e gratuita), como vem ocorrendo no Brasil e no mundo (TOZETTO, 2010), além de permitir a oferta de programação em alta definição, com qualidade de imagem superior à da TV analógica, permite também a oferta de serviços interativos, como, por exemplo, governo eletrônico, entretenimento, comércio eletrônico, entre outros. No Brasil, vislumbra-se o amadurecimento do mercado da TV digital terrestre, uma das plataformas que devem impulsionar a interatividade na TV, apontando para um cenário de aumento gradativo da oferta de serviços interativos nos próximos anos (TELEBRASIL, 2010). Segundo o Ministério das Comunicações, em 2010 o Sistema Brasileiro de Televisão Digital (SBTVD) estava presente em 425 cidades, alcançando aproximadamente 89,5 milhões de telespectadores. Atualizando os números, em abril de 2011 a Anatel divulgou que a cobertura da TV digital interativa corresponde a 480 municípios, com atendimento a uma população estimada em 90 milhões de habitantes. Segundo a Associação Nacional de Fabricantes de Produtos Eletroeletrônicos (Eletros), foram produzidas no Brasil, em 2010, 6,6 milhões de TVs integradas (G1, 2011). De 2007 até hoje, já foram comercializados mais de 10 milhões de terminais para TV digital, sendo: 8 milhões de televisores integrados; 1,5 milhão de telefones celulares; e 500 mil dispositivos com acesso à TV. Estima-se que 10% dos aparelhos possuam o middleware Ginga (DTV EM PAUTA, 2011a), que possibilita a interatividade. A TV por assinatura, através das diversas plataformas tecnológicas, DTH (Direct To Home), cabo, MMDS (Multichannel Multipoint Distribution Service) ou TVA, constitui também um importante meio para oferta de serviços eletrônicos interativos; em março de 2011, havia aproximadamente 10 milhões de assinantes do serviço (ANATEL, 2011). Soma-se a isso o crescimento da comercialização das TVs conectadas por grandes fabricantes presentes no mercado nacional, como, por exemplo, Samsung, LG e Sony, que já embarcam em seus produtos uma plataforma para aplicativos interativos (DTV EM PAUTA, 2011b; REDENOTÍCIA, 2011; TERRA, 2010). Cabe ressaltar a oferta de serviços OTT (Over The Top) para TV que são bastante difundidos nos Estados Unidos, como, por exemplo, o Netflix, recentemente lançado no Brasil (UOL, 2011). Outro ponto importante para a consolidação da interatividade plena é a disponibilização da banda larga. O Plano Nacional de Banda Larga (PNBL) tem como meta levar a banda larga a 30 milhões de domicílios, em modo de acesso fixo, e atingir a marca de aproximadamente 60 milhões de acessos móveis, até 2014 totalizando 90 milhões de acessos (MINICOM). Nesse cenário diversificado de opções para a disponibilização de serviços interativos para TV, a questão da segurança da informação não pode ser negligenciada e deve ser tratada com a mesma importância que é dada hoje à Internet. Por tratar-se de um cenário ainda pouco explorado comercialmente e com utilização incipiente, não foram encontrados registros de *Autor a quem a correspondência deve ser dirigida: [email protected]. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital ataques para consulta, nem ferramentas de mercado voltadas para a proteção de aplicações interativas em Ginga e TVDi brasileira. Também não foram encontradas referências bibliográficas representativas sobre desenvolvimento seguro, programação segura e documentação técnica especializada. Sendo assim, motivado por essa ausência de documentação técnica especializada e de ferramentas de mercado voltadas à segurança da informação no ambiente brasileiro de TV digital interativa (TVDi), em particular para as tecnologias da plataforma Ginga (BRAGA; RESTANI, 2010; GINGA, 2011), o presente trabalho objetiva auxiliar no entendimento do processo e da tecnologia envolvida na disponibilização dos serviços interativos, bem como discorrer sobre a necessidade de assegurar a forma de preservação de dados, informações e privacidade, tanto dos usuários quanto das empresas e organismos envolvidos, no que tange às possíveis ameaças presentes no cenário da TVDi. Para tanto, o trabalho está dividido em duas partes, além da presente introdução e da conclusão. Uma visão geral do sistema brasileiro de TV interativa aberta digital é apresentada na Seção 1, em que são descritos o cenário social e tecnológico e os componentes da solução, e são ressaltados os elementos do middleware Ginga, presente nos receptores de sinais no SBTVD. Na Seção 2, com o objetivo de discorrer sobre a necessidade de proteger a privacidade e garantir a segurança da informação dos atores do cenário da TVDi aberta, são descritas as questões de segurança da informação (SI) e apresentados os principais desafios, as vulnerabilidades, o método utilizado para o diagnóstico de ameaças em receptor, bem como o sistema e a implementação que contribuem para assegurar a segurança da informação no presente cenário. 1 1.1 Visão geral do SBTVD Cenário social e tecnológico O Brasil, assim como a maioria dos países, ainda apresenta um sistema híbrido, ou seja, analógico-digital. O sinal da TV digital ainda está restrito às capitais do País, com exceção de São Paulo e do Paraná, que possuem uma cobertura mais intensa (DTV EM PAUTA, 2011a). Dados do Ministério das Comunicações apontam para o crescimento da transmissão de sinal digital nas cidades brasileiras abrangendo atualmente um total de 30 milhões de domicílios. Ainda é possível perceber um avanço, mesmo que pequeno, no uso e na exploração da TV digital, principalmente pela intensificação dos trabalhos por parte das operadoras de TV que desejam transmitir a copa do mundo de futebol em 2014 42 (EXAME, 2011). Tal evolução representa para a indústria desse setor números muito positivos, aumentando o interesse e os investimentos na oferta de soluções capazes de atender ao incremento dessa demanda. O crescimento da TVDi pode ser mais bem entendido quando analisado do ponto de vista de sua atratividade para o telespectador, que deixa de ser um agente passivo para se transformar em usuário final. Entre os atrativos da TVDi está está a qualidade superior de áudio e vídeo e do transporte digital dos sinais, permitindo uma recepção mais limpa e menos suscetível a interferências, inclusive em receptores móveis e portáteis. Outro benefício é a maximização da diversidade de programação por meio da utilização de padrões do grupo MPEG (Moving Picture Experts Group). De acordo com Menezes e autores (2009), a digitalização da TV possibilita a convergência entre a TV analógica convencional e os sistemas de informação, constituindo uma nova forma de interação dos usuários com os programas televisivos. Essa mudança de status de telespectador (agente passivo) para usuário (agente ativo) faz surgir um novo cenário, em que a experiência de assistir à televisão é transformada em interatividade viabilizada pelo canal de retorno – porta disponível no receptor para o acesso à Internet. Nesse novo cenário, a TV deixa de ser considerada somente uma fonte de entretenimento e assume uma nova condição: a de provedora de serviços capazes de incrementar a qualidade de vida do usuário. Adicionalmente aos benefícios apresentados anteriormente, a característica potencialmente mais interessante é a possibilidade de acesso a diversos serviços interativos agregados à programação, como, por exemplo, eventos esportivos com câmeras, placar em tempo real, legendas e áudio em vários idiomas; informativos de previsão de tempo, indicativos do mercado financeiro; entre outras possibilidades. Vale ressaltar que todas essas opções seriam disponibilizadas para os canais de TV aberta. Além dessas opções de interatividade, a existência do canal de retorno entre o usuário e a emissora viabiliza a disponibilização de outros serviços que seriam ofertados como uma família de serviços, entre eles: serviços de governo eletrônico pela TV (t-gov), comércio eletrônico pela TV (t-commerce), ensino eletrônico pela TV (t-learning), jogos eletrônicos pela TV (t-games) e conteúdo eletrônico pela TV (t-CoD), com funcionalidades de acesso à informação similares às encontradas na Internet e que possam ser usufruídas pelo usuário por meio do equipamento de TV (BATISTEL; MARIOTTO; SILVA, 2010). O potencial da TV digital para se tornar um dos maiores instrumentos de inclusão digital para grandes parcelas da população, associado à Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital previsão de um aumento de oferta de novos serviços para os próximos anos, faz dos receptores de sinal digital (set-top box) um dos principais alvos de atenção e, por que não dizer, de preocupação no ambiente brasileiro de TVDi, no que se refere à segurança e à privacidade da informação, tanto dos usuários quanto das empresas e dos provedores de serviços. O novo ambiente e o avanço na implantação da TV digital descortinam um cenário com diversas possibilidades, oportunidades e desafios a serem enfrentados, como, por exemplo, a redução do custo do receptor, o conteúdo da programação a ser disponibilizada, o aumento de opções de interatividade, maior abrangência na cobertura da transmissão da sinalização da TV digital no Brasil e, em especial, o desafio de prover a segurança das informações que possam trafegar por esses receptores. A comunidade de segurança da informação, atenta ao cenário da TV digital descrito anteriormente e preocupada com as informações que fluirão pelos dispositivos envolvidos no ambiente da TVDi brasileira, tem desenvolvido ações no sentido de aumentar a proteção do ambiente. 1.2 A TV digital e seus componentes Segundo Batistel, Mariotto e Silva (2010), a cadeia de valor dos serviços de TV interativa apresenta as seguintes etapas: produção de conteúdo tradicional (composta por serviços de TV interativa envolvendo conteúdo sob demanda), empacotamento ou inserção de serviços interativos em pacotes de dados, distribuição broadcast e consumo (por parte dos telespectadores, na definição da TV tradicional). Acrescido a essas etapas da TV tradicional, o provimento de serviços de TV interativa requer a complementação das seguintes atividades: provimento de captura, acesso, canal de interatividade e serviços de TV interativa; e desenvolvimento de aplicativos interativos. A Figura 1 mostra de forma sintetizada a arquitetura sistêmica do modelo de TV digital aberta por meio da representação do fluxo de informação. O lado esquerdo da figura representa toda a parte correspondente aos atores pertencentes à cadeia de valor dos Serviços Multiplataforma de TV interativa (SMTVi), responsáveis pela produção de conteúdo, agregação ou provimento do serviço interativo e pela etapa de distribuição. O subsistema de TV digital é responsável pela infraestrutura para as aplicações interativas. Esse conjunto, conforme Figura 1, é denominado Difusão e Acesso e é composto pelos seguintes módulos: codificadores de dados, áudio e vídeo; camada de transporte e codificação de canal; modulação; e transmissão. Vale ressaltar que a parte responsável pela distribuição de conteúdo apresenta duas funções: envio de conteúdo aos receptores de TV (canal de descida) e envio tanto das solicitações dos usuários ao provedor do serviço quanto do conteúdo individualizado do provedor do serviço ao usuário (via canal de retorno). O lado direito da Figura 1 representa o lado do usuário, ou seja, o receptor de TVDi, foco deste trabalho. O set-top box, ou receptor, é responsável pelo consumo do conteúdo ofertado e é composto por módulos necessários para efetuar o processamento e reconstituir as informações originais de áudio, vídeo e dados. Fonte: Braga; Restani (2010b) Figura 1 Fluxo das informações Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 43 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital A Figura 2 apresenta os principais atores que compõem o cenário da TV digital, em que é possível identificar: produção de conteúdo (responsável pelo desenvolvimento de aplicativos interativos e de conteúdo interativo), agregação ou provimento do serviço interativo (responsável pelas atividades de implantação, operação e manutenção do serviço interativo), distribuição (responsável pela transmissão do serviço aos usuários finais) e, por fim, a etapa de consumo do conteúdo, correspondendo aos usuários finais do serviço que utilizam o controle remoto para interação. No que tange à distribuição, cabe ressaltar, na Figura 2, a imagem com diretórios e arquivos, que representa o formato de um carrossel. Nela é representado o conjunto de dados presentes no sistema da radiodifusão, denominado object carousel, em que os dados são transmitidos como um conjunto de objetos de arquivos e diretórios (file e directory objects). O princípio do object carousel é similar a um carrossel e a forma de representação dos arquivos é hierárquica. O conteúdo que será transmitido é o file object, composto por referências (via ponteiros) a outros arquivos ou diretórios. Não há qualquer indicação do significado do dado, ficando a cargo do receptor a sua interpretação. Cada objeto presente no object carousel é transmitido em uma única mensagem, chamada BIOP (Broadcast Inter ORB Protocol). Também é possível identificar, conforme Figura 2, as camadas presentes no receptor: camada de hardware; camada de drivers do dispositivo; camada RTOS (Real-Time Operating System1); camada do middleware, que será detalhada a seguir; e camada de aplicação. 1.3 O middleware brasileiro O middleware do SBTVD, denominado Ginga, é uma camada de software posicionada entre os códigos das aplicações e a infraestrutura de execução (plataforma de hardware e RTOS), conforme Figura 3. O nome Ginga representa uma característica típica do povo brasileiro, que expressa o movimento, a atitude, a flexibilidade e a adaptação – características que são, segundo Soares (2008), inerentes ao middleware brasileiro. O middleware presente no receptor pode ser dividido em três módulos principais, conforme Figura 3: GINGA-CC, GINGA-NCL e GINGA-J, sendo que os dois últimos compõem a camada de serviços específicos e estão separados pelo tipo de aplicações pelas quais são responsáveis. O GINGA-NCL é responsável pelas aplicações declarativas e o GINGA-J, pelas aplicações imperativas. A máquina de aplicações declarativas é baseada em NCL (Nested Context Language) – uma linguagem declarativa para autoria de documentos multimídia – e trata de interpretação semântica do modelo NCM (Nested Context Model). Este último é um modelo conceitual que descreve as estruturas de dados, os eventos e o relacionamento entre esses dados, além de definir as regras de estruturação e as operações sobre os dados para manipulação e atualização das estruturas. O GINGA-J é responsável pela máquina da apresentação imperativa e utiliza a linguagem Java. Ele está dividido em três módulos: a máquina virtual Java; o núcleo e suas APIs; e o módulo responsável pelo suporte às APIs específicas do GINGA-J. Legenda: APIN – API-Núcleo F – Formatador NCL APIE – API-Específica GBP – Gerenciador Base Privada Figura 3 Middleware do SBTVD Já a máquina de execução é responsável pelo processamento do código imperativo e utiliza a linguagem de programação Lua, cuja velocidade de processamento é altamente eficaz e não requer muitos recursos computacionais. A linguagem foi projetada para estender aplicações, dessa forma, ela combina uma sintaxe simples para programação imperativa com construções ativas para descrição de dados fundamentada em tabelas associativas e em semântica extensível. Segundo Soares (2008), Lua é tipificada dinamicamente, ou seja, é uma linguagem que usa variáveis com tipos específicos, além de ser interpretada e possuir ______________________________________________________ 1 Sistema operacional destinado à execução de múltiplas tarefas (multitasking), em que o tempo de resposta a um evento (externo ou interno) é predefinido. Trata-se de sistemas computacionais que podem garantir que todas as funções programadas sejam executadas em um intervalo máximo de tempo definido para cada função, em todo e qualquer momento (CORRÊA, 2008). 44 Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital gerenciamento automático de memória, com coleta de lixo incremental. Essas características fazem de Lua uma linguagem ideal para configuração, automação (scripting) e prototipagem rápida (geração rápida de aplicações), bem como uma das linguagens de script mais eficientes e a mais importante na área de entretenimento. Ainda segundo Soares (2008), o middleware brasileiro deve apresentar as duas máquinas de aplicações (declarativas e imperativas) nos receptores fixos e móveis, sendo exigida para os receptores portáteis apenas a máquina declarativa. 2 A segurança em SBTVD A preocupação em assegurar a confidencialidade, privacidade e proteção dos dados pessoais nos receptores de TVDi deverá ser um dos maiores desafios das produtoras de aplicações, das operadoras de sinais e, principalmente, dos próprios usuários no novo cenário da TV digital aberta brasileira. Nesse sentido, será necessária uma atenção maior de todos os atores desse cenário e, sobretudo, do próprio usuário, a fim de proteger suas informações contra acesso não autorizado, uso indevido, roubos ou perdas, alteração e, até mesmo, destruição de dados particulares. A coleta das informações pelas aplicações dos fornecedores de produtos/serviços em geral, ao identificar os usuários quando estiverem assistindo ou mesmo interagindo com a programação, deve ser orientada por meio de políticas de privacidade. O uso das informações requisitadas deve ser apresentado de maneira clara ao usuário, identificando sua finalidade e os novos conteúdos. Se houver necessidade de armazenamento, os padrões recomendados de segurança deverão ser observados2, o que garante a confiabilidade, integridade, disponibilidade, autenticidade e privacidade das informações. O uso de políticas de privacidade é uma forma de mitigar o risco para a proteção dos dados e das informações dos usuários, porém, no cenário da TV digital aberta brasileira são necessárias outras proteções associadas ao receptor de TVDi, conforme apresentado a seguir. 2.1 Os desafios à segurança da informação O principal desafio na oferta de serviços ao ambiente de TVDi é conseguir que as aplicações atendam a requisitos de segurança fortes. Assim, o receptor digital é o componente fundamental para o atendimento dessa demanda. O receptor deve possuir funcionalidades similares aos equipamentos de computação e comunicação, assim como uma capacidade computacional equivalente à de computadores simples, ou de aparelhos celulares com funcionalidades mais avançadas, que possam ser estendidas por meio de programas executados em seu sistema operacional de forma segura. Além disso, outra questão importante a ser considerada é a presença do canal de retorno em alguns receptores, que viabiliza o acesso irrestrito à Internet. Em relação à plataforma de software de TVDi brasileira, o desafio está em assegurar que os sistemas de software possuam um grau de confiabilidade e integridade ao menos igual ao das plataformas mantidas pelos gigantes da indústria de software. Segundo Braga e Restani (2010b), as linguagens de programação utilizadas na plataforma de TVDi ainda precisam ser mais bem avaliadas pela comunidade científica no que tange à definição dos requisitos de segurança adotados por desenvolvedores mundiais nas indústrias de software. É possível afirmar que, embora essas linguagens não apresentem uma estrutura adequada de seus requisitos de segurança, elas também não sofrem, neste momento, do mesmo grau de exposição às ameaças comuns aos sistemas da Internet e de computação domiciliar e corporativa. Para garantir a privacidade e a segurança das informações dos atores envolvidos nesse novo ambiente, são necessários o conhecimento e o entendimento das diversas variáveis envolvidas na violação ou degradação dos quatro princípios básicos da segurança da informação (confidencialidade, integridade, disponibilidade e autenticidade, conhecidos como CIDA). Essas variáveis são extraídas a partir do levantamento e da identificação das ameaças, incluindo os tipos de ataque; dos agentes internos ou externos de ameaças; das vulnerabilidades; dos riscos (probabilidade de sucesso da exploração); dos impactos (extensão dos danos e em quais variáveis); e dos controles aplicáveis (proteções e contramedidas). O receptor brasileiro de TVDi, no que se refere aos aspectos de segurança, está sujeito à norma ABNT NBR 15605-2 (em preparação), que especifica os mecanismos do sistema de segurança para o sistema brasileiro de televisão digital terrestre. A norma tem caráter amplo e não somente trata do controle de conteúdo, das questões de segurança e de autenticação de aplicativos interativos e do canal de interatividade, mas também define os mecanismos de autenticação dos receptores, dos dispositivos externos e de usuários. __________________________________________ 2 A ABNT NBR 15605-2 (em preparação) especifica os mecanismos do sistema de segurança para o sistema brasileiro de televisão digital terrestre. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 45 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital vez que o ambiente Lua não verifica a integridade nem a autenticidade de arquivos carregados em tempo de execução. Além disso, como nesse contexto não há diferença entre dados e programas, é possível embutir códigos maliciosos em arquivos de dados. A seguir, serão apresentados, de modo sucinto, os tipos mais comuns de vulnerabilidades que tendem a estar presentes no ambiente de TVDi. Em seguida, será demonstrado como a segurança da informação pode ser implementada a partir de ações realizadas no receptor de TVDi. 2.2 TVDi Vulnerabilidades em receptores de • Script cruzado armazenado: esta vulnerabilidade é semelhante ao tradicional XSS (Cross Site Scripting), e é uma das vulnerabilidades mais perigosas das aplicações de Internet. Ela se manifesta quando o programa não valida, filtra ou decodifica a entrada de dados do usuário, e também não a codifica antes de apresentá-la na saída de dados. Um invasor ou atacante pode manipular a aplicação para que um script malicioso executável seja armazenado com os dados. Posteriormente, o script malicioso (em meio aos dados) é lido e incorporado ao conteúdo dinâmico da aplicação, que pode afetar seu uso e funcionamento. • Referência insegura à tabela: na linguagem Lua, essa vulnerabilidade se manifesta no acesso a tabelas mutáveis, ou seja, tabelas cujas referências são compartilhadas e que podem ser alteradas depois e até mesmo durante a execução de uma função, causando comportamentos inconsistentes e incorretos. Nem todas as funções são especificadas para operar de forma direta e segura sobre tabelas mutáveis compartilhadas e, nesse caso, recomenda-se criar uma cópia do dado a ser usado (referência indireta). • Injeção de comandos SQL: de modo geral, os Sistemas de Gerenciamento de Base de Dados (SGBD) usados pelas aplicações interativas instaladas no receptor são acessados remotamente (via Web, rede IP, etc.) e não localmente (no receptor). Contudo, existe a possibilidade de que um SGBD simples seja indevidamente instalado pelo invasor ou atacante no receptor de TVDi, permitindo que seus dados sejam localmente acessados através da biblioteca LuaSQL e tornando as aplicações mais vulneráveis a injeções de comandos SQL indevidos. Braga e Restani (2010b) iniciaram a identificação e catalogação das vulnerabilidades associadas à codificação insegura, de modo particular na linguagem de programação Lua, utilizada nos receptores TVDi com middleware Ginga. As vulnerabilidades são as listadas a seguir: • 46 Injeção de comandos: a execução de códigos arbitrários no receptor de TVDi pode comprometer seriamente o equipamento. A linguagem Lua é do tipo interpretada, e pode expor vulnerabilidade na inserção de comandos do tipo loadstring(), que permite a execução de um trecho de código Lua construído a partir de material digitado pelo usuário; dofile(), o qual permite interpretar a linguagem Lua e considerá-la como uma função auxiliar; e os.execute(), que permite a execução de comando de sistema operacional. Ao utilizar essas rotinas – loadstring(), dofile() e os.execute() –, surge a possibilidade de brechas que permitem ao invasor executar códigos arbitrários no receptor de TVDi, comprometendo o seu funcionamento. • Condição de competição (race condition): situação em que programas/processos em execução concorrem pelo uso simultâneo de um recurso de computação, como, por exemplo, quando uma sequência de operações dependentes do tempo é realizada simultaneamente em diversas linhas de execução (threads) ou em um ambiente de multiprocessamento. Nesse caso, as instruções de uma thread podem ser interrompidas para dar vez à outra thread e, nesse intervalo de tempo, o ambiente da thread suspensa pode ser alterado e se tornar inconsistente. • Corrupção de arquivos e códigos maliciosos: na linguagem de programação Lua, arquivos de dados podem ser lidos de modo que as estruturas de dados sejam carregadas diretamente. Embora esse mecanismo traga simplicidade na persistência e recuperação de dados, traz também problemas de segurança, uma Ainda de forma geral, foram identificados outros tipos de vulnerabilidade crítica em pelo menos um modelo de fabricante, entre eles a falta de isolamento entre as aplicações e os dados de usuários – em termos de sistema operacional, as aplicações não estavam isoladas umas das outras. Na máquina de execução GINGA-NCL, também não há isolamento entre aplicações. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital Outra questão identificada é a necessidade de aprimorar o tratamento no controle de acessos dos usuários com privilégios elevados. Diagnóstico de Vulnerabilidade Testes de Vulnerabilidade 2.3 A segurança da informação a partir do receptor de TVDi B b) seleção do tipo de receptor a ser testado; c) seleção do modo de realização do teste – que pode ser: teste manual, que consiste na inserção de comandos específicos por meio de uma ferramenta; – testes preestabelecidos, que consistem na seleção de testes em uma lista de testes mais comuns; – testes a partir de um acesso remoto; d) injeção dos comandos de teste; – e) execução da varredura e dos testes de vulnerabilidades; f) coleta das respostas e dos resultados dos comandos injetados. C D Insumos G Vulnerabilidades Prevenção contra Ataques Recomendação de Proteção Proteção Automatizada F E Proteção Aplicável Proteções Figura 4 Método para Detecção, Análise e Prevenção de Vulnerabilidades em receptores de TVDi O método O método concebido, denominado Método para Detecção, Análise e Prevenção de Vulnerabilidades em receptores de TV Digital Interativa Brasileira com middleware Ginga, pode ser aplicado tanto em ambiente de desenvolvimento como em ambiente de execução. As etapas que o compõem são apresentadas e descritas a seguir, conforme Figura 4. A primeira etapa consiste na instalação de uma ferramenta que possibilita a inserção de comandos no receptor e viabiliza a realização dos testes de segurança. Em seguida, tem início a fase de realização dos testes propriamente dita, subdividida em: a) seleção do tipo de teste a ser realizado (Análise Estática de Segurança em Programas, Análise Dinâmica de Segurança em Programas ou Teste Integrado do Receptor); A Execução do Diagnóstico Receptor TVDI O ciclo de vida da implementação da segurança da informação tem início com a identificação dos riscos associados aos ativos que compõem o sistema (ambiente) que se pretende proteger, sendo que por ativos devem ser compreendidos todos os componentes humanos, tecnológicos, documentais e processuais do ambiente. No caso de segurança para os SMTVi, foram concebidos método, sistema e ferramentas visando implementar a segurança da informação a partir do componente mais vulnerável da cadeia envolvida no fluxo de informação, o receptor de TVDi. 2.3.1 Instalação da Aplicação Após a realização dos testes, tem início a fase de diagnóstico de segurança do receptor, em que os resultados obtidos a partir da inserção dos comandos são analisados comparativamente com as informações existentes em uma base de conhecimento. Para os casos em que for identificada uma nova vulnerabilidade, não contemplada na base de conhecimento, é realizada uma atualização do catálogo de vulnerabilidades em receptores de TVDi da base, com, no mínimo, as seguintes informações: teste realizado, descrição dos comandos de teste, resultados do teste, valores limiares e descrição da vulnerabilidade. Concluída a etapa de diagnóstico, tem início a fase de aplicação da proteção, visando prevenir a incidência ou a repetição de exploração das vulnerabilidades presentes no receptor. Essa etapa tem início com o envio dos resultados dos testes realizados na etapa de detecção e análise de vulnerabilidades ao módulo de aplicação de controles e proteções. Após o recebimento das informações sobre as vulnerabilidades encontradas, tem início a primeira atividade efetiva de proteção. É realizada a identificação dos controles que poderão ser aplicados, a partir do cruzamento das informações da vulnerabilidade com as informações presentes na base de conhecimento de controles de segurança de receptores de TVDi. Por fim, são identificados quais controles podem e devem ser aplicados para mitigar ou eliminar a vulnerabilidade encontrada. A aplicação dos controles pode ser automática, para os casos em que tais controles estejam configurados para execução automática no receptor de TVDi, ou manual, com a indicação do controle a ser aplicado pelo usuário. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 47 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital 2.3.2 O Método para Detecção, Análise e Prevenção de Vulnerabilidades em receptores de TV Digital Interativa Brasileira com middleware Ginga tem as suas funcionalidades implementadas por meio de um sistema composto por dois módulos, sete ferramentas e três bases de dados, conforme Figura 4. O Módulo de Detecção, Investigação e Diagnóstico de Vulnerabilidades (Diagnóstico de Vulnerabilidade) é constituído das seguintes ferramentas: a) AIC: ferramenta de Acesso para Inserção de Comandos; b) AESP: ferramenta de Análise Estática de Segurança em Programas; c) ADSP: ferramenta de Análise Dinâmica de Segurança em Programas; d) TIR: ferramenta de Teste Integrado do Receptor; e) IAR: ferramenta de Interface de Acesso Remoto. Por sua vez, o Módulo de Tratamento de Vulnerabilidades e Prevenção contra Ataques (Prevenção contra Ataques) é composto pelas seguintes ferramentas: a) ICA: ferramenta de Identificação de Controles Aplicáveis; b) AC: ferramenta de Aplicação de Controles. Esses módulos são complementados pelas seguintes bases de dados: Base de Insumos para Diagnóstico (Insumos), Catálogo de Vulnerabilidades em Receptores de TVDi (Vulnerabilidades) e Base de Controles de Segurança de Receptores de TVDi (Proteções). As bases de dados estão ilustradas separadamente apenas para fins didáticos, sendo implementadas fisicamente em um único banco de dados centralizador das informações. 2.3.3 Ferramentas concebidas As ferramentas necessárias no Diagnóstico de Vulnerabilidade e Prevenção contra Ataques foram concebidas a partir da constatação de que, atualmente, os sistemas de software estão cada vez mais suscetíveis a vulnerabilidades e questões graves de segurança, uma vez que nem sempre o processo de desenvolvimento de software contempla o estabelecimento dos requisitos de desenvolvimento de software seguro. As ferramentas são as descritas a seguir: • AIC: desenvolvida devido ao fato de que os receptores de TVDi atuais são fortemente limitados em memória física, armazenamento de dados e processamento de informações. Além disso, possibilita a entrada de comandos 48 para receptores TVDi por meio do controle remoto, o qual geralmente é limitado em opções de comandos. A AIC provê uma interface independente do canal de retorno capaz de viabilizar a realização dos testes necessários para a identificação das eventuais vulnerabilidades existentes em receptores de TV digital interativa brasileira com middleware Ginga. O sistema • AESP: assegura, em ambiente de desenvolvimento, que os testes realizados nas linhas de código de programas desenvolvidos em linguagens NCL/Lua sejam capazes de identificar as eventuais vulnerabilidades de programação, a partir de uma base de conhecimento estruturado nas melhores práticas de programação segura. • ADSP: assim como a AESP, assegura que os testes realizados nas linhas de código de programas desenvolvidos em linguagens NCL/Lua sejam capazes de identificar as eventuais vulnerabilidades de programação, a partir de uma base de conhecimento estruturado nas melhores práticas de programação segura. TIR: realiza testes integrados no receptor de TVDi visando identificar eventuais vulnerabilidades no hardware do receptor (por exemplo, na interface de entrada do equipamento) e/ou nos sistemas de software (incluindo o sistema operacional) não cobertas pelos testes realizados pelas ferramentas AESP e ADSP. Essas últimas ferramentas (AESP, ADSP e TIR) não necessitam obrigatoriamente de uma interface com a ferramenta AIC para serem executadas, sendo que esta interface somente é necessária quando o teste a ser realizado não utilizar o canal de retorno. • ICA: identifica, a partir das vulnerabilidades informadas, os controles capazes de fornecer a proteção adequada ao receptor de TVDi, entre os inúmeros controles existentes e disponíveis no Repositório de Proteções. Além disso, essa ferramenta verifica se o controle identificado pode ser aplicado automaticamente e, caso não seja possível, gera um relatório com as informações necessárias a sua implementação manual. • • AC: aplica ou realiza os controles e as proteções automáticas relacionadas às vulnerabilidades encontradas nos receptores. Essa ferramenta realiza a aplicação dos controles com a maior velocidade possível, buscando minimizar a Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital exposição aos ataques à segurança dos receptores de TVDi. Conclusão Apesar de a TVDi ser pouco explorada comercialmente e utilizada de maneira incipiente, o crescente aumento do número de seus usuários, que é cada vez mais atrativo à indústria da TV interativa, faz com que as informações desses usuários – que representam um valioso acervo para as organizações, em geral, e também para pessoas mal-intencionadas – sejam disponibilizadas e circulem no ambiente de TVDi. No entanto, essas informações devem ser protegidas por todos os atores envolvidos na cadeia de valor do SBTVD, uma vez que caracterizam, acima de tudo, propriedades dos usuários. Por esse motivo, no ambiente de TVDi, é necessário garantir a segurança dessas informações, no que tange a confidencialidade, integridade, disponibilidade, autenticidade e privacidade. Atenção especial deve ser dada aos receptores do SBTVD, cujas funcionalidades oferecidas por meio do middleware Ginga e da interface com a Internet proporcionam interatividade plena. Uma questão pouco discutida no Brasil, embora importante de ser considerada, é a questão da privacidade dos dados dos usuários nos diferentes tipos e formas de acesso à Internet e sua autenticação. De acordo com o comércio eletrônico varejista nacional (CÂMARA-ENET), tem sido observado que nem todas as empresas apresentam uma política de privacidade facilmente acessível a seus clientes, e isso pode ser replicado no ambiente de TVDi brasileiro. Após uma série de testes realizados em laboratório, é possível afirmar que, em breve, os receptores de TVDi se tornarão uma fonte importante de vazamento de informações privadas em redes públicas e em ambientes de computação em nuvem, como já vem acontecendo com os smartphones e como já ocorreu, e ainda ocorre, com os computadores de uso pessoal. Apesar disso, ainda não há registros de ataques relacionados à segurança da informação no ambiente de TVDi e não há praticamente literatura a respeito. Cabe ressaltar, ainda, a urgente necessidade de se prover segurança aos receptores digitais, pelos seguintes procedimentos: a) entrega segura de aplicações; b) verificação da integridade e da autenticidade de origem de uma aplicação a ser instalada no aparelho; c) gerenciamento de privilégios de diferentes usuários que possam operar o receptor; d) questões vinculadas a vulnerabilidades na codificação insegura nas linguagens inseridas no ambiente; e) isolamento entre aplicações e sistemas operacionais embarcados; f) proteção de aplicações e de seu ambiente de execução nos receptores TVDi. A segurança da informação no ambiente do SBTVD deve ser tratada preventivamente, conforme exposto neste artigo, sendo que já existem ações concretas e consistentes para essa implementação a partir de um dos componentes desse ambiente: os receptores de TV digital interativa brasileira equipados com o middleware Ginga. Nesse sentido, este artigo apresentou um aparato – composto por método, sistema e ferramentas – com o objetivo de promover a adoção de ações voltadas à segurança da informação no ambiente de TVDi brasileiro, destacando ainda a necessidade de duas ações importantes e imediatas, a saber: a normalização das políticas de privacidade das organizações (públicas ou privadas) que atuam nesse ambiente, coletando, manipulando e/ou armazenando dados e informações de usuários; e o desenvolvimento de instrumentos tecnológicos que suportem e/ou viabilizem a implementação das normas e políticas estabelecidas. Agradecimentos Os autores agradecem pelo apoio dado a este trabalho, desenvolvido no âmbito do Projeto SMTVi, que contou com recursos do Fundo de Desenvolvimento Tecnológico das Telecomunicações (FUNTTEL), do Ministério das Comunicações, por meio do convênio no 001/2007. Referências AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES (ANATEL). TV por Assinatura alcança mais de 10 milhões de domicílios em fevereiro. 28 mar. 2011. Disponível em: < http://www.anatel.gov.br/Portal/exibirPortalPagina EspecialPesquisa.do? acao=&tipoConteudoHtml=1&codNoticia=22357>. Acesso em: jun. 2011. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT). NBR 15605-2 (em preparação). Televisão digital terrestre – Tópicos de Segurança. Parte 2: Mecanismos de segurança para aplicativos interativos. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 49 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital BATISTEL, A. R.; MARIOTTO F. T.; SILVA, A. F. Modelos de Negócios Para o Serviço SMTVi. Campinas: CPqD-FUNTTEL, 2010. (PD.30.12.34A.0011A/RT-01-AA). BRAGA A. M.; RESTANI, G. S. Hacking GINGA: uma avaliação de segurança da plataforma de aplicações interativas da TV digital brasileira. In: X SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS, 2010, Fortaleza, Ceará. Anais... 2010a. ______. Introdução à segurança de aplicações para a TV digital interativa brasileira. In: SIMPÓSIO BRASILEIRO EM SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS. 2010. Anais... cap. 5, p. 203-247. 2010b. Disponível em: <http://www.insert.uece.br/sbseg2010/anais/04_ minicursos/minicurso_05.pdf>. CASTRO, C. A pesquisa sobre TV Digital no Brasil – a primeira geração. Sociedade Brasileira de Estudos Interdisciplinares da Comunicação – Intercom. Biblicom, ano 1, v. 1, jan./fev. 2009. Disponível em: <http://www.intercom.org.br/bibliocom/um/pdf/cos ettecastro.pdf>. Acesso em: 08 jun. 2011. CORRÊA, L. A. C. Seleção de Sistemas Operacionais de Tempo Real para Sistemas Embarcados. In: V SIMPÓSIO DE EXCELÊNCIA EM GESTÃO E TECNOLOGIA, 5., 2008. Proceedings... 2008. Disponível em: <http://www.aedb.br/seget/artigos08/361_SELEC AO_DE_SISTEMAS_OPERACIONAISSEGeT.pdf>. Acesso em: 27 jun. 2011. DTV EM PAUTA. O lento avanço da TV digital no Brasil. 06 jun. 2011a. Disponível em: <http://dtvempauta.wordpress.com/2011/06/06/olento-avanco-da-tv-digital-no-brasil/>. Acesso em: 06 ago. 2011. ______. Samsung vende 2 milhões de TVs conectadas em 3 meses. 05 jul. 2011b. Disponível em: <http://dtvempauta.wordpress.com/2011/07/05/sa msung-vende-2-milhoes-de-tvs-conectadas-em3-meses/>. Acesso em: jul. 2011. EXAME. Copa de 2014 impulsionará TV Digital e interativa. 28 abr. 2011. Disponível em: <http://exame.abril.com.br/tecnologia/noticias/cop a-de-2014-impulsionara-tv-digital-e-interativa>. 50 Disponível Data de acesso: GLOBO.COM (G1). Brasil deve vender 17 milhões de conversores para TV digital em 2011. 23 ago. 2011. Disponível em: <http://g1.globo.com/tecnologia/noticia/2011/08/b rasil-deve-vender-17-milhoes-de-conversorespara-tv-digital-em-2011.html>. INSTITUTO DE PESQUISA ECONÔMICA APLICADA (IPEA). Panorama da comunicação e das telecomunicações no Brasil. CASTRO, D.; MELO, J. M. de; CASTRO, C. (Org.). v. 3. Brasília: 2010. MENEZES, E. et al. Análise da demanda para a TV Digital Interativa. Projeto Serviços Multiplataforma de TV Interativa. Campinas: CPqD-FUNTTEL, 2009. Versão AB (PD.30.12.34A.0008A/RT-01-AB). CÂMARA BRASILEIRA DE COMÉRCIO ELETRÔNICO (CÂMARA-ENET). Disponível em: <http://www.camara-e.net>. Acesso em: 04 abr. 2011. GINGA. <http://www.ginga.org.br/>. 2011. em: MINISTÉRIO DAS COMUNICAÇÕES (MINICOM). Um Plano Nacional para Banda Larga: O Brasil em Alta Velocidade. Disponível em: <http://www.mc.gov.br/images/pnbl/o-brasilem-alta-velocidade1.pdf>. REDE NOTÍCIA. Sony e SBT: novo canal de internet vídeo. 28 mar. 2011. Disponível em: <http://www.redenoticia.com.br/noticia/2011/sony -e-sbt-novo-canal-de-internet-video/34251>. Acesso em: jul. 2011 SOARES L. F. G. As múltiplas possibilidades do middleware Ginga. Revista técnica SBTVD-T. 2008, p. 76-83. TELEBRASIL. Sistema Brasileiro de Televisão Digital, p. 177. In: Balanço de Governo 20032010. Disponível em: < https://i3gov.planejamento.gov.br/textos/livro5/5.5 _Comunicacoes.pdf>. 2010. livro 5, cap. 5. TERRA. TV conectada da LG traz conteúdo do Terra integrado. 05 mai. 2010. Atualizado em 06 maio 2010. Disponível em: <http://tecnologia.terra.com.br/noticias/0,,OI4415 362-EI12882,00TV+conectada+da+LG+traz+conteudo+do+Terra +integrado.html>. Acesso em: jul. 2011. TOZETTO, C. Mercado para TV digital se amplia no país. Folha Online, 1o maio 2010. Disponível em: <http://www1.folha.uol.com.br/folha/informatica/ul t124u728509.shtml>. Acesso em: 04 jun. 2011. UOL. Serviço de aluguel de filmes Netflix chega ao Brasil. 05 set. 2011. Disponível em: <http://entretenimento.uol.com.br/ultnot/efe/2011/ 09/05/servico-de-aluguel-de-filmes-netflix-chegaao-brasil.jhtm>. Acesso em: 25 out. 2011. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital Abstract The diagnosis and analysis of vulnerabilities related to information security for the open Brazilian digital interactive TV system are issues that deserve attention by the security community. This article provides an overview of information security issues alluding to data protection and privacy of the user and presents some vulnerabilities in the value chain, highlighting the vulnerabilities found in digital TV receiver. It then presents an apparatus consisting of method, system and tools, aimed at promoting information security in the Brazilian digital television environment. Key words: Digital Brazilian television. Information security. Ginga middleware. Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012 51
Documentos relacionados
EzEventForGinga-J - Sites de Eventos via TV Digital Interativa
documentos hipermídia escritos em linguagem Nested Context Language (NCL) e a sua linguagem de script Lua. NCL é uma linguagem de aplicação EXtensible Markup Language (XML). com facilidades para a ...
Leia mais