Infraestruturas críticas (III)

No Público de hoje (negritos meus):

"Quinze milhões de europeus ficaram sem electricidade durante duas horas no dia 4 de Novembro de 2006 devido a um "erro humano" da empresa alemã E.ON, agravado pela falta de investimentos na exploração e fiabilidade das redes energéticas. Este veredicto foi ontem publicado pela UCTE, a associação europeia de 29 operadores de redes de 24 países europeus, que é presidida pelo ex-secretário de Estado português da Energia José Penedos (actual presidente da Rede Eléctrica Nacional).
Dois meses de investigações confirmaram a suspeita de que o problema teve a sua origem numa decisão do operador de distribuição alemão E.ON de desligar uma linha de alta tensão no Norte do país para permitir a passagem de um navio num canal. Esta medida desequilibrou as redes vizinhas, provocando uma sobrecarga nalgumas e um défice de potência noutros. Em reacção a este desequilíbrio, os mecanismos automáticos de reequilíbrio das redes interromperam o aprovisionamento da electricidade na zona oeste, levando a que milhões de pessoas em França, Alemanha, Bélgica, Holanda, Itália e Espanha ficassem às escuras."

No site da UCTE:

30.01.2007 - UCTE releases detailed Final Report on the disturbances of 4 November 2006 with recommendations on standards, procedures, tools and rules

press release, presentation and report

Princípios de projecto

Os princípios de projecto (design principles) desempenham um papel fundamental em segurança (ver por ex. o artigo seminal sobre o tema, Saltzer e Schroeder, The Protection of Information in Computer Systems, secção I.A). Princípio da mediação completa: “Every access to every object must be checked for authority.” i.e., there should be no way to circumvent access control. Ou como uma imagem vale mil palavras:

Segurança na CMU e FCUL

Programas conjuntos Carnegie Mellon Univ. / Faculdade de Ciências da Universidade de Lisboa:

Mestrado em Segurança Informática
Doutoramento em Informática

Informação em:
http://cmuportugal.di.fc.ul.pt/
http://www.icti.cmu.edu/

Infraestruturas críticas (II)

Por cá parece que não são assim tão críticas. A linha de emergência 112 ficou interrompida durante 40 minutos em diversas cidades. Comentário de alguém: "o que aconteceu, aconteceu" (Público, 18/01/2007).

O tamanho da notícia em outros lugares também ilustra a importância que o tema merece:

http://sol.sapo.pt/PaginaInicial/Sociedade/Interior.aspx?content_id=19809
http://www.portugaldiario.iol.pt/noticia.php?id=763136&div_id=291
http://sic.sapo.pt/online/noticias/pais/8678226.htm
http://diariodigital.sapo.pt/news.asp?section_id=9&id_news=258793

Infraestruturas críticas (I)

A segurança informática começou a ser uma preocupação nos meios militares americanos nos anos 60/70. A ênfase nessa altura era na confidencialidade dos dados. Hoje em dia a grande preocupação é a protecção das assim chamadas "infraestruturas críticas": redes de produção e distribuição de electricidade, água, gás, petróleo, hospitais, 112, telecomunicações,... O termo "infraestruturas críticas" (critical infrastructures) surgiu na "Presidential Decision Directive 63" de Maio de 1998. Na Europa as questões de segurança neste domínio estão a ser investigadas em projectos como o CRUTIAL, o IRRIIS e o CI2RCO.

Votação electrónica

Security Analysis of the Diebold AccuVote-TS Voting Machine, Princeton Univ.

Sem comentário.


Segurança de software (I)

Da SecurityFocus Newsletter #362:

The low hanging fruit for vulnerability researchers is no longer found in the operating system, but among common applications and device drivers, say flaw finders.

http://www.securityfocus.com/news/11404

O porquê deste blog...

No meu dia-a-dia de quem faz investigação e ensina segurança e confiabilidade (dependability) de computadores e redes, aparecem-me notícias e curiosidades que gosto de partilhar com colegas e alunos. Este blog serve para ir armazenando e mostrando esses “recortes”.

Miguel Correia

http://www.di.fc.ul.pt/~mpc