Segurança da informação para o ambiente do Sistema Brasileiro de

Transcrição

Segurança da informação para o ambiente do
Sistema Brasileiro de Televisão Digital
Alexandre M. Braga*, Gilmara S. Restani, José Orfeu C. Antonini, Wagner M. da Silva
O diagnóstico e a análise de vulnerabilidades referentes à segurança da informação para o sistema
brasileiro de TV interativa aberta digital são questões que merecem atenção por parte da comunidade de
segurança. Este artigo oferece uma visão geral das questões de segurança da informação alusivas à
proteção dos dados e à privacidade do usuário, e apresenta algumas vulnerabilidades presentes na
cadeia de valor do Sistema Brasileiro de Televisão Digital, destacando as vulnerabilidades encontradas
no receptor de TV digital, cuja evolução tende a ser similar ao ocorrido nos ambientes computacionais
(Internet) e móveis. Ao final deste artigo é apresentado um aparato, composto por método, sistema e
ferramentas, voltado a promover a segurança da informação no ambiente de televisão digital brasileiro.
Palavras-chave: SBTVD. Segurança da informação. Middleware Ginga.
Introdução
Os serviços eletrônicos, virtuais e interativos
estão cada vez mais se popularizando, criando
novas demandas e ampliando o espectro de
consumidores de redes e de plataformas
tecnológicas. Nesse contexto, observa-se que a
utilização do receptor de TV como terminal
eficiente e simples para novos serviços vem
ganhando espaço, através de diversos meios e
modelos de negócios (CASTRO, 2009; IPEA,
2010).
O processo de digitalização introduzido por meio
da TV digital terrestre (TV aberta e gratuita),
como vem ocorrendo no Brasil e no mundo
(TOZETTO, 2010), além de permitir a oferta de
programação em alta definição, com qualidade
de imagem superior à da TV analógica, permite
também a oferta de serviços interativos, como,
por exemplo, governo eletrônico, entretenimento,
comércio eletrônico, entre outros. No Brasil,
vislumbra-se o amadurecimento do mercado da
TV digital terrestre, uma das plataformas que
devem impulsionar a interatividade na TV,
apontando para um cenário de aumento
gradativo da oferta de serviços interativos nos
próximos anos (TELEBRASIL, 2010).
Segundo o Ministério das Comunicações, em
2010 o Sistema Brasileiro de Televisão Digital
(SBTVD) estava presente em 425 cidades,
alcançando aproximadamente 89,5 milhões de
telespectadores. Atualizando os números, em
abril de 2011 a Anatel divulgou que a cobertura
da TV digital interativa corresponde a 480
municípios, com atendimento a uma população
estimada em 90 milhões de habitantes. Segundo
a Associação Nacional de Fabricantes de
Produtos Eletroeletrônicos (Eletros), foram
produzidas no Brasil, em 2010, 6,6 milhões de
TVs integradas (G1, 2011). De 2007 até hoje, já
foram comercializados mais de 10 milhões de
terminais para TV digital, sendo: 8 milhões de
televisores integrados; 1,5 milhão de telefones
celulares; e 500 mil dispositivos com acesso à
TV. Estima-se que 10% dos aparelhos possuam
o middleware Ginga (DTV EM PAUTA, 2011a),
que possibilita a interatividade. A TV por
assinatura, através das diversas plataformas
tecnológicas, DTH (Direct To Home), cabo,
MMDS (Multichannel Multipoint Distribution
Service) ou TVA, constitui também um
importante meio para oferta de serviços
eletrônicos interativos; em março de 2011, havia
aproximadamente 10 milhões de assinantes do
serviço (ANATEL, 2011).
Soma-se
a
isso
o
crescimento
da
comercialização das TVs conectadas por
grandes fabricantes presentes no mercado
nacional, como, por exemplo, Samsung, LG e
Sony, que já embarcam em seus produtos uma
plataforma para aplicativos interativos (DTV EM
PAUTA, 2011b; REDENOTÍCIA, 2011; TERRA,
2010). Cabe ressaltar a oferta de serviços OTT
(Over The Top) para TV que são bastante
difundidos nos Estados Unidos, como, por
exemplo, o Netflix, recentemente lançado no
Brasil (UOL, 2011). Outro ponto importante para
a consolidação da interatividade plena é a
disponibilização da banda larga. O Plano
Nacional de Banda Larga (PNBL) tem como meta
levar a banda larga a 30 milhões de domicílios,
em modo de acesso fixo, e atingir a marca de
aproximadamente 60 milhões de acessos
móveis, até 2014 totalizando 90 milhões de
acessos (MINICOM).
Nesse cenário diversificado de opções para a
disponibilização de serviços interativos para TV,
a questão da segurança da informação não pode
ser negligenciada e deve ser tratada com a
mesma importância que é dada hoje à Internet.
Por tratar-se de um cenário ainda pouco
explorado comercialmente e com utilização
incipiente, não foram encontrados registros de
*Autor a quem a correspondência deve ser dirigida: [email protected].
Cad. CPqD Tecnologia, Campinas, v. 8, n. 1, p. 41-52, jan./jun. 2012
Segurança da informação para o ambiente do Sistema Brasileiro de Televisão Digital
ataques para consulta, nem ferramentas de
mercado voltadas para a proteção de aplicações
interativas em Ginga e TVDi brasileira. Também
não foram encontradas referências bibliográficas
representativas sobre desenvolvimento seguro,
programação segura e documentação técnica
especializada.
Sendo assim, motivado por essa ausência de
documentação técnica especializada e de
ferramentas de mercado voltadas à segurança
da informação no ambiente brasileiro de TV
digital interativa (TVDi), em particular para as
tecnologias da plataforma Ginga (BRAGA;
RESTANI, 2010; GINGA, 2011), o presente
trabalho objetiva auxiliar no entendimento do
processo e da tecnologia envolvida na
disponibilização dos serviços interativos, bem
como discorrer sobre a necessidade de
assegurar a forma de preservação de dados,
informações e privacidade, tanto dos usuários
quanto das empresas e organismos envolvidos,
no que tange às possíveis ameaças presentes no
cenário da TVDi.
Para tanto, o trabalho está dividido em duas
partes, além da presente introdução e da
conclusão. Uma visão geral do sistema brasileiro
de TV interativa aberta digital é apresentada na
Seção 1, em que são descritos o cenário social e
tecnológico e os componentes da solução, e são
ressaltados os elementos do middleware Ginga,
presente nos receptores de sinais no SBTVD.
Na Seção 2, com o objetivo de discorrer sobre a
necessidade de proteger a privacidade e garantir
a segurança da informação dos atores do cenário
da TVDi aberta, são descritas as questões de
segurança da informação (SI) e apresentados os
principais desafios, as vulnerabilidades, o método
utilizado para o diagnóstico de ameaças em
receptor, bem como o sistema e a
implementação que contribuem para assegurar a
segurança da informação no presente cenário.
1
1.1
Visão geral do SBTVD
Cenário social e tecnológico
O Brasil, assim como a maioria dos países, ainda
apresenta um sistema híbrido, ou seja,
analógico-digital. O sinal da TV digital ainda está
restrito às capitais do País, com exceção de São
Paulo e do Paraná, que possuem uma cobertura
mais intensa (DTV EM PAUTA, 2011a). Dados
do Ministério das Comunicações apontam para o
crescimento da transmissão de sinal digital nas
cidades brasileiras abrangendo atualmente um
total de 30 milhões de domicílios. Ainda é
possível perceber um avanço, mesmo que
pequeno, no uso e na exploração da TV digital,
principalmente pela intensificação dos trabalhos
por parte das operadoras de TV que desejam
transmitir a copa do mundo de futebol em 2014
42
(EXAME, 2011). Tal evolução representa para a
indústria desse setor números muito positivos,
aumentando o interesse e os investimentos na
oferta de soluções capazes de atender ao
incremento dessa demanda.
O crescimento da TVDi pode ser mais bem
entendido quando analisado do ponto de vista de
sua atratividade para o telespectador, que deixa
de ser um agente passivo para se transformar
em usuário final. Entre os atrativos da TVDi está
está a qualidade superior de áudio e vídeo e do
transporte digital dos sinais, permitindo uma
recepção mais limpa e menos suscetível a
interferências, inclusive em receptores móveis e
portáteis. Outro benefício é a maximização da
diversidade de programação por meio da
utilização de padrões do grupo MPEG (Moving
Picture Experts Group).
De acordo com Menezes e autores (2009), a
digitalização da TV possibilita a convergência
entre a TV analógica convencional e os sistemas
de informação, constituindo uma nova forma de
interação dos usuários com os programas
televisivos. Essa mudança de status de
telespectador (agente passivo) para usuário
(agente ativo) faz surgir um novo cenário, em que
a experiência de assistir à televisão é
transformada em interatividade viabilizada pelo
canal de retorno – porta disponível no receptor
para o acesso à Internet. Nesse novo cenário, a
TV deixa de ser considerada somente uma fonte
de entretenimento e assume uma nova condição:
a de provedora de serviços capazes de
incrementar a qualidade de vida do usuário.
Adicionalmente aos benefícios apresentados
anteriormente, a característica potencialmente
mais interessante é a possibilidade de acesso a
diversos serviços interativos agregados à
programação, como, por exemplo, eventos
esportivos com câmeras, placar em tempo real,
legendas e áudio em vários idiomas; informativos
de previsão de tempo, indicativos do mercado
financeiro; entre outras possibilidades. Vale
ressaltar que todas essas opções seriam
disponibilizadas para os canais de TV aberta.
Além dessas opções de interatividade, a
existência do canal de retorno entre o usuário e a
emissora viabiliza a disponibilização de outros
serviços que seriam ofertados como uma família
de serviços, entre eles: serviços de governo
eletrônico pela TV (t-gov), comércio eletrônico
pela TV (t-commerce), ensino eletrônico pela TV
(t-learning), jogos eletrônicos pela TV (t-games) e
conteúdo eletrônico pela TV (t-CoD), com
funcionalidades de acesso à informação
similares às encontradas na Internet e que
possam ser usufruídas pelo usuário por meio do
equipamento de TV (BATISTEL; MARIOTTO;
SILVA, 2010).
O potencial da TV digital para se tornar um dos
maiores instrumentos de inclusão digital para
grandes parcelas da população, associado à
previsão de um aumento de oferta de novos
serviços para os próximos anos, faz dos
receptores de sinal digital (set-top box) um dos
principais alvos de atenção e, por que não dizer,
de preocupação no ambiente brasileiro de TVDi,
no que se refere à segurança e à privacidade da
informação, tanto dos usuários quanto das
empresas e dos provedores de serviços.
O novo ambiente e o avanço na implantação da
TV digital descortinam um cenário com diversas
possibilidades, oportunidades e desafios a serem
enfrentados, como, por exemplo, a redução do
custo do receptor, o conteúdo da programação a
ser disponibilizada, o aumento de opções de
interatividade, maior abrangência na cobertura da
transmissão da sinalização da TV digital no Brasil
e, em especial, o desafio de prover a segurança
das informações que possam trafegar por esses
receptores.
A comunidade de segurança da informação,
atenta ao cenário da TV digital descrito
anteriormente e preocupada com as informações
que fluirão pelos dispositivos envolvidos no
ambiente da TVDi brasileira, tem desenvolvido
ações no sentido de aumentar a proteção do
ambiente.
1.2
A TV digital e seus componentes
Segundo Batistel, Mariotto e Silva (2010), a
cadeia de valor dos serviços de TV interativa
apresenta as seguintes etapas: produção de
conteúdo tradicional (composta por serviços de
TV interativa envolvendo conteúdo sob
demanda), empacotamento ou inserção de
serviços interativos em pacotes de dados,
distribuição broadcast e consumo (por parte dos
telespectadores, na definição da TV tradicional).
Acrescido a essas etapas da TV tradicional, o
provimento de serviços de TV interativa requer a
complementação das seguintes atividades:
provimento de captura, acesso, canal de
interatividade e serviços de TV interativa; e
desenvolvimento de aplicativos interativos.
A Figura 1 mostra de forma sintetizada a
arquitetura sistêmica do modelo de TV digital
aberta por meio da representação do fluxo de
informação. O lado esquerdo da figura
representa toda a parte correspondente aos
atores pertencentes à cadeia de valor dos
Serviços Multiplataforma de TV interativa
(SMTVi), responsáveis pela produção de
conteúdo, agregação ou provimento do serviço
interativo e pela etapa de distribuição.
O subsistema de TV digital é responsável pela
infraestrutura para as aplicações interativas.
Esse conjunto, conforme Figura 1, é denominado
Difusão e Acesso e é composto pelos seguintes
módulos: codificadores de dados, áudio e vídeo;
camada de transporte e codificação de canal;
modulação; e transmissão.
Vale ressaltar que a parte responsável pela
distribuição de conteúdo apresenta duas funções:
envio de conteúdo aos receptores de TV (canal
de descida) e envio tanto das solicitações dos
usuários ao provedor do serviço quanto do
conteúdo individualizado do provedor do serviço
ao usuário (via canal de retorno).
O lado direito da Figura 1 representa o lado do
usuário, ou seja, o receptor de TVDi, foco deste
trabalho. O set-top box, ou receptor, é
responsável pelo consumo do conteúdo ofertado
e é composto por módulos necessários para
efetuar o processamento e reconstituir as
informações originais de áudio, vídeo e dados.
Fonte: Braga; Restani (2010b)
Figura 1 Fluxo das informações
43
A Figura 2 apresenta os principais atores que
compõem o cenário da TV digital, em que é
possível identificar: produção de conteúdo
(responsável pelo desenvolvimento de aplicativos
interativos e de conteúdo interativo), agregação
ou provimento do serviço interativo (responsável
pelas atividades de implantação, operação e
manutenção do serviço interativo), distribuição
(responsável pela transmissão do serviço aos
usuários finais) e, por fim, a etapa de consumo
do conteúdo, correspondendo aos usuários finais
do serviço que utilizam o controle remoto para
interação.
No que tange à distribuição, cabe ressaltar, na
Figura 2, a imagem com diretórios e arquivos,
que representa o formato de um carrossel. Nela
é representado o conjunto de dados presentes
no sistema da radiodifusão, denominado object
carousel, em que os dados são transmitidos
como um conjunto de objetos de arquivos e
diretórios (file e directory objects).
O princípio do object carousel é similar a um
carrossel e a forma de representação dos
arquivos é hierárquica. O conteúdo que será
transmitido é o file object, composto por
referências (via ponteiros) a outros arquivos ou
diretórios. Não há qualquer indicação do
significado do dado, ficando a cargo do receptor
a sua interpretação. Cada objeto presente no
object carousel é transmitido em uma única
mensagem, chamada BIOP (Broadcast Inter
ORB Protocol).
Também é possível identificar, conforme
Figura 2, as camadas presentes no receptor:
camada de hardware; camada de drivers do
dispositivo; camada RTOS (Real-Time Operating
System1); camada do middleware, que será
detalhada a seguir; e camada de aplicação.
1.3
O middleware brasileiro
O middleware do SBTVD, denominado Ginga, é
uma camada de software posicionada entre os
códigos das aplicações e a infraestrutura de
execução (plataforma de hardware e RTOS),
conforme Figura 3. O nome Ginga representa
uma característica típica do povo brasileiro, que
expressa o movimento, a atitude, a flexibilidade e
a adaptação – características que são, segundo
Soares (2008), inerentes ao middleware
brasileiro.
O middleware presente no receptor pode ser
dividido em três módulos principais, conforme
Figura 3: GINGA-CC, GINGA-NCL e GINGA-J,
sendo que os dois últimos compõem a camada
de serviços específicos e estão separados pelo
tipo de aplicações pelas quais são responsáveis.
O GINGA-NCL é responsável pelas aplicações
declarativas e o GINGA-J, pelas aplicações
imperativas.
A máquina de aplicações declarativas é baseada
em NCL (Nested Context Language) – uma
linguagem
declarativa
para
autoria
de
documentos multimídia – e trata de interpretação
semântica do modelo NCM (Nested Context
Model). Este último é um modelo conceitual que
descreve as estruturas de dados, os eventos e o
relacionamento entre esses dados, além de
definir as regras de estruturação e as operações
sobre os dados para manipulação e atualização
das estruturas. O GINGA-J é responsável pela
máquina da apresentação imperativa e utiliza a
linguagem Java. Ele está dividido em três
módulos: a máquina virtual Java; o núcleo e suas
APIs; e o módulo responsável pelo suporte às
APIs específicas do GINGA-J.
Legenda:
APIN – API-Núcleo
F – Formatador NCL
APIE – API-Específica
GBP – Gerenciador Base Privada
Figura 3 Middleware do SBTVD
Já a máquina de execução é responsável pelo
processamento do código imperativo e utiliza a
linguagem de programação Lua, cuja velocidade
de processamento é altamente eficaz e não
requer
muitos
recursos
computacionais.
A linguagem foi projetada para estender
aplicações, dessa forma, ela combina uma
sintaxe simples para programação imperativa
com construções ativas para descrição de dados
fundamentada em tabelas associativas e em
semântica extensível. Segundo Soares (2008),
Lua é tipificada dinamicamente, ou seja, é uma
linguagem que usa variáveis com tipos
específicos, além de ser interpretada e possuir
______________________________________________________
1
Sistema operacional destinado à execução de múltiplas tarefas (multitasking), em que o tempo de resposta a um evento (externo
ou interno) é predefinido. Trata-se de sistemas computacionais que podem garantir que todas as funções programadas sejam
executadas em um intervalo máximo de tempo definido para cada função, em todo e qualquer momento (CORRÊA, 2008).
44
gerenciamento automático de memória, com
coleta de lixo incremental. Essas características
fazem de Lua uma linguagem ideal para
configuração,
automação
(scripting)
e
prototipagem rápida (geração rápida de
aplicações), bem como uma das linguagens de
script mais eficientes e a mais importante na
área de entretenimento. Ainda segundo Soares
(2008), o middleware brasileiro deve apresentar
as duas máquinas de aplicações (declarativas e
imperativas) nos receptores fixos e móveis,
sendo exigida para os receptores portáteis
apenas a máquina declarativa.
2
A segurança em SBTVD
A
preocupação
em
assegurar
a
confidencialidade, privacidade e proteção dos
dados pessoais nos receptores de TVDi deverá
ser um dos maiores desafios das produtoras de
aplicações, das operadoras de sinais e,
principalmente, dos próprios usuários no novo
cenário da TV digital aberta brasileira. Nesse
sentido, será necessária uma atenção maior de
todos os atores desse cenário e, sobretudo, do
próprio usuário, a fim de proteger suas
informações contra acesso não autorizado, uso
indevido, roubos ou perdas, alteração e, até
mesmo, destruição de dados particulares.
A coleta das informações pelas aplicações dos
fornecedores de produtos/serviços em geral, ao
identificar os usuários quando estiverem
assistindo ou mesmo interagindo com a
programação, deve ser orientada por meio de
políticas de privacidade. O uso das informações
requisitadas deve ser apresentado de maneira
clara ao usuário, identificando sua finalidade e os
novos conteúdos. Se houver necessidade de
armazenamento, os padrões recomendados de
segurança deverão ser observados2, o que
garante
a
confiabilidade,
integridade,
disponibilidade, autenticidade e privacidade das
informações.
O uso de políticas de privacidade é uma forma
de mitigar o risco para a proteção dos dados e
das informações dos usuários, porém, no cenário
da TV digital aberta brasileira são necessárias
outras proteções associadas ao receptor de
TVDi, conforme apresentado a seguir.
2.1
Os desafios à segurança da
informação
O principal desafio na oferta de serviços ao
ambiente de TVDi é conseguir que as aplicações
atendam a requisitos de segurança fortes. Assim,
o receptor digital é o componente fundamental
para o atendimento dessa demanda. O receptor
deve possuir funcionalidades similares aos
equipamentos de computação e comunicação,
assim como uma capacidade computacional
equivalente à de computadores simples, ou de
aparelhos celulares com funcionalidades mais
avançadas, que possam ser estendidas por meio
de programas executados em seu sistema
operacional de forma segura. Além disso, outra
questão importante a ser considerada é a
presença do canal de retorno em alguns
receptores, que viabiliza o acesso irrestrito à
Internet.
Em relação à plataforma de software de TVDi
brasileira, o desafio está em assegurar que os
sistemas de software possuam um grau de
confiabilidade e integridade ao menos igual ao
das plataformas mantidas pelos gigantes da
indústria de software. Segundo Braga e Restani
(2010b), as linguagens de programação
utilizadas na plataforma de TVDi ainda precisam
ser mais bem avaliadas pela comunidade
científica no que tange à definição dos requisitos
de segurança adotados por desenvolvedores
mundiais nas indústrias de software.
É possível afirmar que, embora essas linguagens
não apresentem uma estrutura adequada de
seus requisitos de segurança, elas também não
sofrem, neste momento, do mesmo grau de
exposição às ameaças comuns aos sistemas da
Internet e de computação domiciliar e
corporativa. Para garantir a privacidade e a
segurança das informações dos atores
envolvidos
nesse
novo
ambiente,
são
necessários o conhecimento e o entendimento
das diversas variáveis envolvidas na violação ou
degradação dos quatro princípios básicos da
segurança da informação (confidencialidade,
integridade, disponibilidade e autenticidade,
conhecidos como CIDA). Essas variáveis são
extraídas a partir do levantamento e da
identificação das ameaças, incluindo os tipos de
ataque; dos agentes internos ou externos de
ameaças; das vulnerabilidades; dos riscos
(probabilidade de sucesso da exploração); dos
impactos (extensão dos danos e em quais
variáveis); e dos controles aplicáveis (proteções
e contramedidas).
O receptor brasileiro de TVDi, no que se refere
aos aspectos de segurança, está sujeito à norma
ABNT NBR 15605-2 (em preparação), que
especifica os mecanismos do sistema de
segurança para o sistema brasileiro de televisão
digital terrestre. A norma tem caráter amplo e
não somente trata do controle de conteúdo, das
questões de segurança e de autenticação de
aplicativos
interativos
e
do
canal
de
interatividade,
mas
também
define
os
mecanismos de autenticação dos receptores, dos
dispositivos externos e de usuários.
__________________________________________
2
A ABNT NBR 15605-2 (em preparação) especifica os mecanismos do sistema de segurança para o sistema brasileiro de
televisão digital terrestre.
45
vez que o ambiente Lua não verifica a
integridade nem a autenticidade de
arquivos carregados em tempo de
execução. Além disso, como nesse
contexto não há diferença entre dados e
programas, é possível embutir códigos
maliciosos em arquivos de dados.
A seguir, serão apresentados, de modo sucinto,
os tipos mais comuns de vulnerabilidades que
tendem a estar presentes no ambiente de TVDi.
Em seguida, será demonstrado como a
segurança
da
informação
pode
ser
implementada a partir de ações realizadas no
receptor de TVDi.
2.2
TVDi
Vulnerabilidades em receptores de
•
Script
cruzado
armazenado:
esta
vulnerabilidade
é
semelhante
ao
tradicional XSS (Cross Site Scripting), e é
uma das vulnerabilidades mais perigosas
das aplicações de Internet. Ela se
manifesta quando o programa não valida,
filtra ou decodifica a entrada de dados do
usuário, e também não a codifica antes
de apresentá-la na saída de dados.
Um invasor ou atacante pode manipular a
aplicação para que um script malicioso
executável seja armazenado com os
dados. Posteriormente, o script malicioso
(em meio aos dados) é lido e incorporado
ao conteúdo dinâmico da aplicação, que
pode afetar seu uso e funcionamento.
•
Referência insegura à tabela: na
linguagem Lua, essa vulnerabilidade se
manifesta no acesso a tabelas mutáveis,
ou seja, tabelas cujas referências são
compartilhadas e que podem ser
alteradas depois e até mesmo durante a
execução de uma função, causando
comportamentos
inconsistentes
e
incorretos. Nem todas as funções são
especificadas para operar de forma direta
e segura sobre tabelas mutáveis
compartilhadas
e,
nesse
caso,
recomenda-se criar uma cópia do dado a
ser usado (referência indireta).
•
Injeção de comandos SQL: de modo
geral, os Sistemas de Gerenciamento de
Base de Dados (SGBD) usados pelas
aplicações interativas instaladas no
receptor são acessados remotamente (via
Web, rede IP, etc.) e não localmente (no
receptor). Contudo, existe a possibilidade
de que um SGBD simples seja
indevidamente instalado pelo invasor ou
atacante no receptor de TVDi, permitindo
que seus dados sejam localmente
acessados através da biblioteca LuaSQL
e tornando as aplicações mais vulneráveis
a injeções de comandos SQL indevidos.
Braga e Restani (2010b) iniciaram a identificação
e catalogação das vulnerabilidades associadas à
codificação insegura, de modo particular na
linguagem de programação Lua, utilizada nos
receptores TVDi com middleware Ginga.
As vulnerabilidades são as listadas a seguir:
•
46
Injeção de comandos: a execução de
códigos arbitrários no receptor de TVDi
pode
comprometer
seriamente
o
equipamento. A linguagem Lua é do tipo
interpretada, e pode expor vulnerabilidade
na inserção de comandos do tipo
loadstring(), que permite a execução de
um trecho de código Lua construído a
partir de material digitado pelo usuário;
dofile(), o qual permite interpretar a
linguagem Lua e considerá-la como uma
função auxiliar; e os.execute(), que
permite a execução de comando de
sistema operacional. Ao utilizar essas
rotinas
–
loadstring(),
dofile()
e
os.execute() –, surge a possibilidade de
brechas que permitem ao invasor
executar códigos arbitrários no receptor
de TVDi, comprometendo o seu
funcionamento.
•
Condição de competição (race condition):
situação em que programas/processos
em execução concorrem pelo uso
simultâneo
de
um
recurso
de
computação, como, por exemplo, quando
uma
sequência
de
operações
dependentes do tempo é realizada
simultaneamente em diversas linhas de
execução (threads) ou em um ambiente
de multiprocessamento. Nesse caso, as
instruções de uma thread podem ser
interrompidas para dar vez à outra thread
e, nesse intervalo de tempo, o ambiente
da thread suspensa pode ser alterado e
se tornar inconsistente.
•
Corrupção de arquivos e códigos
maliciosos: na linguagem de programação
Lua, arquivos de dados podem ser lidos
de modo que as estruturas de dados
sejam carregadas diretamente. Embora
esse mecanismo traga simplicidade na
persistência e recuperação de dados, traz
também problemas de segurança, uma
Ainda de forma geral, foram identificados outros
tipos de vulnerabilidade crítica em pelo menos
um modelo de fabricante, entre eles a falta de
isolamento entre as aplicações e os dados de
usuários – em termos de sistema operacional, as
aplicações não estavam isoladas umas das
outras. Na máquina de execução GINGA-NCL,
também não há isolamento entre aplicações.
Outra questão identificada é a necessidade de
aprimorar o tratamento no controle de acessos
dos usuários com privilégios elevados.
Diagnóstico de Vulnerabilidade
Testes de
Vulnerabilidade
2.3
A segurança da informação a partir do
receptor de TVDi
B
b) seleção do tipo de receptor a ser testado;
c) seleção do modo de realização do teste –
que pode ser:
teste manual, que consiste na inserção
de comandos específicos por meio de
uma ferramenta;
– testes
preestabelecidos,
que
consistem na seleção de testes em
uma lista de testes mais comuns;
– testes a partir de um acesso remoto;
d) injeção dos comandos de teste;
–
e) execução da varredura e dos testes de
vulnerabilidades;
f) coleta das respostas e dos resultados dos
comandos injetados.
C
D
Insumos
G
Vulnerabilidades
Prevenção contra Ataques
Recomendação
de Proteção
Proteção
Automatizada
F
E
Proteção
Aplicável
Proteções
Figura 4 Método para Detecção, Análise e
Prevenção de Vulnerabilidades em receptores
de TVDi
O método
O método concebido, denominado Método para
Detecção,
Análise
e
Prevenção
de
Vulnerabilidades em receptores de TV Digital
Interativa Brasileira com middleware Ginga, pode
ser
aplicado
tanto
em
ambiente
de
desenvolvimento como em ambiente de
execução. As etapas que o compõem são
apresentadas e descritas a seguir, conforme
Figura 4.
A primeira etapa consiste na instalação de uma
ferramenta que possibilita a inserção de
comandos no receptor e viabiliza a realização
dos testes de segurança.
Em seguida, tem início a fase de realização dos
testes propriamente dita, subdividida em:
a) seleção do tipo de teste a ser realizado
(Análise Estática de Segurança em
Programas,
Análise
Dinâmica
de
Segurança em Programas ou Teste
Integrado do Receptor);
A
Execução do
Diagnóstico
Receptor
TVDI
O ciclo de vida da implementação da segurança
da informação tem início com a identificação dos
riscos associados aos ativos que compõem o
sistema (ambiente) que se pretende proteger,
sendo que por ativos devem ser compreendidos
todos os componentes humanos, tecnológicos,
documentais e processuais do ambiente.
No caso de segurança para os SMTVi, foram
concebidos método, sistema e ferramentas
visando implementar a segurança da informação
a partir do componente mais vulnerável da
cadeia envolvida no fluxo de informação, o
receptor de TVDi.
2.3.1
Instalação
da Aplicação
Após a realização dos testes, tem início a fase de
diagnóstico de segurança do receptor, em que os
resultados obtidos a partir da inserção dos
comandos são analisados comparativamente
com as informações existentes em uma base de
conhecimento. Para os casos em que for
identificada uma nova vulnerabilidade, não
contemplada na base de conhecimento, é
realizada uma atualização do catálogo de
vulnerabilidades em receptores de TVDi da base,
com, no mínimo, as seguintes informações: teste
realizado, descrição dos comandos de teste,
resultados do teste, valores limiares e descrição
da vulnerabilidade.
Concluída a etapa de diagnóstico, tem início a
fase de aplicação da proteção, visando prevenir a
incidência ou a repetição de exploração das
vulnerabilidades
presentes
no
receptor.
Essa etapa tem início com o envio dos resultados
dos testes realizados na etapa de detecção e
análise de vulnerabilidades ao módulo de
aplicação de controles e proteções. Após o
recebimento das informações sobre as
vulnerabilidades encontradas, tem início a
primeira atividade efetiva de proteção. É
realizada a identificação dos controles que
poderão ser aplicados, a partir do cruzamento
das informações da vulnerabilidade com as
informações presentes na base de conhecimento
de controles de segurança de receptores de
TVDi. Por fim, são identificados quais controles
podem e devem ser aplicados para mitigar ou
eliminar a vulnerabilidade encontrada.
A aplicação dos controles pode ser automática,
para os casos em que tais controles estejam
configurados para execução automática no
receptor de TVDi, ou manual, com a indicação do
controle a ser aplicado pelo usuário.
47
2.3.2
O Método para Detecção, Análise e Prevenção
de Vulnerabilidades em receptores de TV Digital
Interativa Brasileira com middleware Ginga tem
as suas funcionalidades implementadas por meio
de um sistema composto por dois módulos, sete
ferramentas e três bases de dados, conforme
Figura 4.
O Módulo de Detecção, Investigação e
Diagnóstico de Vulnerabilidades (Diagnóstico de
Vulnerabilidade) é constituído das seguintes
ferramentas:
a) AIC: ferramenta de Acesso para
Inserção de Comandos;
b) AESP: ferramenta de Análise Estática de
Segurança em Programas;
c) ADSP: ferramenta de Análise Dinâmica
de Segurança em Programas;
d) TIR: ferramenta de Teste Integrado do
Receptor;
e) IAR: ferramenta de Interface de Acesso
Remoto.
Por sua vez, o Módulo de Tratamento de
Vulnerabilidades e Prevenção contra Ataques
(Prevenção contra Ataques) é composto pelas
seguintes ferramentas:
a) ICA: ferramenta de Identificação de
Controles Aplicáveis;
b) AC: ferramenta de Aplicação de
Controles.
Esses módulos são complementados pelas
seguintes bases de dados: Base de Insumos
para Diagnóstico (Insumos), Catálogo de
Vulnerabilidades em Receptores de TVDi
(Vulnerabilidades) e Base de Controles de
Segurança de Receptores de TVDi (Proteções).
As
bases
de
dados
estão
ilustradas
separadamente apenas para fins didáticos,
sendo implementadas fisicamente em um único
banco de dados centralizador das informações.
2.3.3
Ferramentas concebidas
As ferramentas necessárias no Diagnóstico de
Vulnerabilidade e Prevenção contra Ataques
foram concebidas a partir da constatação de que,
atualmente, os sistemas de software estão cada
vez mais suscetíveis a vulnerabilidades e
questões graves de segurança, uma vez que
nem sempre o processo de desenvolvimento de
software contempla o estabelecimento dos
requisitos de desenvolvimento de software
seguro. As ferramentas são as descritas a
seguir:
• AIC: desenvolvida devido ao fato de que
os receptores de TVDi atuais são
fortemente limitados em memória física,
armazenamento
de
dados
e
processamento de informações. Além
disso, possibilita a entrada de comandos
48
para receptores TVDi por meio do controle
remoto, o qual geralmente é limitado em
opções de comandos. A AIC provê uma
interface independente do canal de retorno
capaz de viabilizar a realização dos testes
necessários para a identificação das
eventuais vulnerabilidades existentes em
receptores de TV digital interativa brasileira
com middleware Ginga.
O sistema
•
AESP: assegura, em ambiente de
desenvolvimento, que os testes realizados
nas linhas de código de programas
desenvolvidos em linguagens NCL/Lua
sejam capazes de identificar as eventuais
vulnerabilidades de programação, a partir
de uma base de conhecimento estruturado
nas melhores práticas de programação
segura.
•
ADSP: assim como a AESP, assegura que
os testes realizados nas linhas de código
de
programas
desenvolvidos
em
linguagens NCL/Lua sejam capazes de
identificar as eventuais vulnerabilidades de
programação, a partir de uma base de
conhecimento estruturado nas melhores
práticas de programação segura.
TIR: realiza testes integrados no receptor
de TVDi visando identificar eventuais
vulnerabilidades no hardware do receptor
(por exemplo, na interface de entrada do
equipamento) e/ou nos sistemas de
software (incluindo o sistema operacional)
não cobertas pelos testes realizados pelas
ferramentas AESP e ADSP.
Essas últimas ferramentas (AESP, ADSP e TIR)
não necessitam obrigatoriamente de uma
interface com a ferramenta AIC para serem
executadas, sendo que esta interface somente é
necessária quando o teste a ser realizado não
utilizar o canal de retorno.
• ICA:
identifica,
a
partir
das
vulnerabilidades informadas, os controles
capazes de fornecer a proteção adequada
ao receptor de TVDi, entre os inúmeros
controles existentes e disponíveis no
Repositório de Proteções. Além disso,
essa ferramenta verifica se o controle
identificado
pode
ser
aplicado
automaticamente e, caso não seja
possível, gera um relatório com as
informações
necessárias
a
sua
implementação manual.
•
•
AC: aplica ou realiza os controles e as
proteções automáticas relacionadas às
vulnerabilidades
encontradas
nos
receptores. Essa ferramenta realiza a
aplicação dos controles com a maior
velocidade possível, buscando minimizar a
exposição aos ataques à segurança dos
receptores de TVDi.
Conclusão
Apesar de a TVDi ser pouco explorada
comercialmente e utilizada de maneira incipiente,
o crescente aumento do número de seus
usuários, que é cada vez mais atrativo à indústria
da TV interativa, faz com que as informações
desses usuários – que representam um valioso
acervo para as organizações, em geral, e
também para pessoas mal-intencionadas –
sejam disponibilizadas e circulem no ambiente de
TVDi. No entanto, essas informações devem ser
protegidas por todos os atores envolvidos na
cadeia de valor do SBTVD, uma vez que
caracterizam, acima de tudo, propriedades dos
usuários. Por esse motivo, no ambiente de TVDi,
é necessário garantir a segurança dessas
informações, no que tange a confidencialidade,
integridade, disponibilidade, autenticidade e
privacidade. Atenção especial deve ser dada aos
receptores do SBTVD, cujas funcionalidades
oferecidas por meio do middleware Ginga e da
interface
com
a
Internet
proporcionam
interatividade plena.
Uma questão pouco discutida no Brasil, embora
importante de ser considerada, é a questão da
privacidade dos dados dos usuários nos
diferentes tipos e formas de acesso à Internet e
sua autenticação. De acordo com o comércio
eletrônico varejista nacional (CÂMARA-ENET),
tem sido observado que nem todas as empresas
apresentam uma política de privacidade
facilmente acessível a seus clientes, e isso pode
ser replicado no ambiente de TVDi brasileiro.
Após uma série de testes realizados em
laboratório, é possível afirmar que, em breve, os
receptores de TVDi se tornarão uma fonte
importante de vazamento de informações
privadas em redes públicas e em ambientes de
computação em nuvem, como já vem
acontecendo com os smartphones e como já
ocorreu, e ainda ocorre, com os computadores
de uso pessoal. Apesar disso, ainda não há
registros de ataques relacionados à segurança
da informação no ambiente de TVDi e não há
praticamente literatura a respeito.
Cabe ressaltar, ainda, a urgente necessidade de
se prover segurança aos receptores digitais,
pelos seguintes procedimentos:
a) entrega segura de aplicações;
b) verificação da integridade e da
autenticidade de origem de uma
aplicação a ser instalada no aparelho;
c) gerenciamento
de
privilégios
de
diferentes usuários que possam operar o
receptor;
d) questões vinculadas a vulnerabilidades
na codificação insegura nas linguagens
inseridas no ambiente;
e) isolamento entre aplicações e sistemas
operacionais embarcados;
f) proteção de aplicações e de seu
ambiente de execução nos receptores
TVDi.
A segurança da informação no ambiente do
SBTVD deve ser tratada preventivamente,
conforme exposto neste artigo, sendo que já
existem ações concretas e consistentes para
essa implementação a partir de um dos
componentes desse ambiente: os receptores de
TV digital interativa brasileira equipados com o
middleware Ginga.
Nesse sentido, este artigo apresentou um
aparato – composto por método, sistema e
ferramentas – com o objetivo de promover a
adoção de ações voltadas à segurança da
informação no ambiente de TVDi brasileiro,
destacando ainda a necessidade de duas ações
importantes e imediatas, a saber: a normalização
das políticas de privacidade das organizações
(públicas ou privadas) que atuam nesse
ambiente,
coletando,
manipulando
e/ou
armazenando dados e informações de usuários;
e
o
desenvolvimento
de
instrumentos
tecnológicos que suportem e/ou viabilizem a
implementação
das
normas
e políticas
estabelecidas.
Agradecimentos
Os autores agradecem pelo apoio dado a este
trabalho, desenvolvido no âmbito do Projeto
SMTVi, que contou com recursos do Fundo de
Desenvolvimento
Tecnológico
das
Telecomunicações (FUNTTEL), do Ministério das
Comunicações,
por
meio
do
convênio
no 001/2007.
Referências
AGÊNCIA
NACIONAL
DE
TELECOMUNICAÇÕES (ANATEL). TV por
Assinatura alcança mais de 10 milhões de
domicílios em fevereiro. 28 mar. 2011.
Disponível
em:
<
http://www.anatel.gov.br/Portal/exibirPortalPagina
EspecialPesquisa.do?
acao=&tipoConteudoHtml=1&codNoticia=22357>.
Acesso em: jun. 2011.
ASSOCIAÇÃO BRASILEIRA DE NORMAS
TÉCNICAS (ABNT). NBR 15605-2 (em
preparação). Televisão digital terrestre – Tópicos
de Segurança. Parte 2: Mecanismos de
segurança para aplicativos interativos.
49
BATISTEL, A. R.; MARIOTTO F. T.; SILVA, A. F.
Modelos de Negócios Para o Serviço SMTVi.
Campinas:
CPqD-FUNTTEL,
2010.
(PD.30.12.34A.0011A/RT-01-AA).
BRAGA A. M.; RESTANI, G. S. Hacking GINGA:
uma avaliação de segurança da plataforma de
aplicações interativas da TV digital brasileira. In:
X SIMPÓSIO BRASILEIRO EM SEGURANÇA
DA
INFORMAÇÃO
E
DE
SISTEMAS
COMPUTACIONAIS, 2010, Fortaleza, Ceará.
Anais... 2010a.
______. Introdução à segurança de aplicações
para a TV digital interativa brasileira. In:
SIMPÓSIO BRASILEIRO EM SEGURANÇA DA
INFORMAÇÃO E DE SISTEMAS
COMPUTACIONAIS. 2010. Anais... cap. 5,
p. 203-247. 2010b. Disponível em:
<http://www.insert.uece.br/sbseg2010/anais/04_
minicursos/minicurso_05.pdf>.
CASTRO, C. A pesquisa sobre TV Digital no
Brasil – a primeira geração. Sociedade
Brasileira de Estudos Interdisciplinares da
Comunicação – Intercom. Biblicom, ano 1,
v. 1,
jan./fev.
2009.
Disponível
em:
<http://www.intercom.org.br/bibliocom/um/pdf/cos
ettecastro.pdf>. Acesso em: 08 jun. 2011.
CORRÊA, L. A. C. Seleção de Sistemas
Operacionais de Tempo Real para Sistemas
Embarcados. In: V SIMPÓSIO DE EXCELÊNCIA
EM
GESTÃO
E
TECNOLOGIA,
5.,
2008. Proceedings... 2008.
Disponível
em:
<http://www.aedb.br/seget/artigos08/361_SELEC
AO_DE_SISTEMAS_OPERACIONAISSEGeT.pdf>. Acesso em: 27 jun. 2011.
DTV EM PAUTA. O lento avanço da TV digital
no Brasil. 06 jun. 2011a. Disponível em:
<http://dtvempauta.wordpress.com/2011/06/06/olento-avanco-da-tv-digital-no-brasil/>. Acesso em:
06 ago. 2011.
______. Samsung vende 2 milhões de TVs
conectadas em 3 meses. 05 jul. 2011b.
Disponível
em:
<http://dtvempauta.wordpress.com/2011/07/05/sa
msung-vende-2-milhoes-de-tvs-conectadas-em3-meses/>. Acesso em: jul. 2011.
EXAME. Copa de 2014 impulsionará TV Digital
e interativa. 28 abr. 2011. Disponível em:
<http://exame.abril.com.br/tecnologia/noticias/cop
a-de-2014-impulsionara-tv-digital-e-interativa>.
50
Disponível
Data
de
acesso:
GLOBO.COM (G1). Brasil deve vender 17
milhões de conversores para TV digital em
2011.
23
ago.
2011.
Disponível
em:
<http://g1.globo.com/tecnologia/noticia/2011/08/b
rasil-deve-vender-17-milhoes-de-conversorespara-tv-digital-em-2011.html>.
INSTITUTO DE PESQUISA ECONÔMICA
APLICADA (IPEA). Panorama da comunicação
e das telecomunicações no Brasil. CASTRO,
D.; MELO, J. M. de; CASTRO, C. (Org.). v. 3.
Brasília: 2010.
MENEZES, E. et al. Análise da demanda para a
TV Digital Interativa. Projeto Serviços
Multiplataforma de TV Interativa. Campinas:
CPqD-FUNTTEL,
2009.
Versão
AB
(PD.30.12.34A.0008A/RT-01-AB).
CÂMARA
BRASILEIRA
DE
COMÉRCIO
ELETRÔNICO (CÂMARA-ENET). Disponível em:
<http://www.camara-e.net>. Acesso em: 04 abr.
2011.
GINGA.
<http://www.ginga.org.br/>.
2011.
em:
MINISTÉRIO
DAS
COMUNICAÇÕES
(MINICOM). Um Plano Nacional para Banda
Larga: O Brasil em Alta Velocidade. Disponível
em: <http://www.mc.gov.br/images/pnbl/o-brasilem-alta-velocidade1.pdf>.
REDE NOTÍCIA. Sony e SBT: novo canal de
internet vídeo. 28 mar. 2011. Disponível em:
<http://www.redenoticia.com.br/noticia/2011/sony
-e-sbt-novo-canal-de-internet-video/34251>.
Acesso em: jul. 2011
SOARES L. F. G. As múltiplas possibilidades do
middleware Ginga. Revista técnica SBTVD-T.
2008, p. 76-83.
TELEBRASIL. Sistema Brasileiro de Televisão
Digital, p. 177. In: Balanço de Governo 20032010.
Disponível
em:
<
https://i3gov.planejamento.gov.br/textos/livro5/5.5
_Comunicacoes.pdf>. 2010. livro 5, cap. 5.
TERRA. TV conectada da LG traz conteúdo do
Terra integrado. 05 mai. 2010. Atualizado em 06
maio
2010.
Disponível
em:
<http://tecnologia.terra.com.br/noticias/0,,OI4415
362-EI12882,00TV+conectada+da+LG+traz+conteudo+do+Terra
+integrado.html>. Acesso em: jul. 2011.
TOZETTO, C. Mercado para TV digital se amplia
no país. Folha Online, 1o maio 2010. Disponível
em:
<http://www1.folha.uol.com.br/folha/informatica/ul
t124u728509.shtml>. Acesso em: 04 jun. 2011.
UOL. Serviço de aluguel de filmes Netflix
chega ao Brasil. 05 set. 2011. Disponível em:
<http://entretenimento.uol.com.br/ultnot/efe/2011/
09/05/servico-de-aluguel-de-filmes-netflix-chegaao-brasil.jhtm>. Acesso em: 25 out. 2011.
Abstract
The diagnosis and analysis of vulnerabilities related to information security for the open Brazilian digital
interactive TV system are issues that deserve attention by the security community. This article provides
an overview of information security issues alluding to data protection and privacy of the user and presents
some vulnerabilities in the value chain, highlighting the vulnerabilities found in digital TV receiver. It then
presents an apparatus consisting of method, system and tools, aimed at promoting information security in
the Brazilian digital television environment.
Key words: Digital Brazilian television. Information security. Ginga middleware.
51

Segurança da informação para o ambiente do Sistema Brasileiro de

Transcrição

Documentos relacionados

www.procabosbrasil.com.br Capacidades em terminais a cabo para

EzEventForGinga-J - Sites de Eventos via TV Digital Interativa

TV DIGITAL INTERATIVA SENSÍVEL AO CONTEXTO Marcelo

Rádio Controle TG24-8D (Via Rádio Frequência com Cristal de

O Uso da TV Digital na Educação a Distância

saiba mais - Nalba Tech

sportracks

Drogas que substituem a nicotina, uma viagem perigosa

Disponibilizando Objeto de Aprendizagem OBA

Boletim radioescuta da LABRE