1. Quais são as principais categorias de vulnerabilidades encontradas em sistemas
de
computação? Descreva, sucintamente, cada uma delas.
R.: A primeira categoria de vulnerabilidades encontradas em sistemas de computação
são os
Programas Inseguros, cujo projeto é, inerentemente, inseguro no ambiente da Internet, pois,
simplesmente, não havia segurança em mente quando estes foram concebidos. A segunda
categoria são os Programas Mal- Configurados, que possuem facilidades adequadas de
segurança em seu projeto e requerem que estas sejam, devidamente, configuradas, o que nem
sempre é realizado por usuários inexperientes. A terceira categoria são os Programas com
Falhas, os quais possuem projeto de segurança e configurações apropriadas, mas que
possuem falhas de implementação ou codificação que podem ser explorados remotamente.
2. Explique o esquema de criptografia assimétrica e mostre os diferenciais existentes
na
especificação TCPA.
R.: Qualquer pessoa pode enviar uma mensagem confidencial para outra apenas utilizando
chave-pública do destinatário, que é de conhecimento público, à princípio; Não há maiores
preocupações em se esconder a chave-pública pois a mensagem só poderá ser decriptada
com a chave-privada do destinatário. O diferencial da especificação TCPA é que esta chave-
privada se encontra armazenada em "hardware" e pode ser configurada para nunca deixá- lo,
ou seja, o "chip" TCPA impede qualquer acesso não-autorizado à chave-privada do usuário.
3. Explique como funciona a aplicação do TCPA na proteção do sistema de arquivos do
usuário.
R.: Utilizando o TCPA, um usuário pode lacrar uma chave de encriptação mestre, para
um
sistema de arquivos encriptado, em um registrador PCR TCPA. Enquanto o ambiente do
sistema operacional se mantiver inalterado, a chave-mestra do sistema de arquivos encriptado
pode ser obtida do "chip" TCPA. Se, no entanto, um "hacker" atacar com sucesso um cliente e
instalar uma "backdoor" em seu sistema, ou um "software" para a monitoração do teclado, o
sistema TCPA perceberá a alteração no sistema operacional e não liberará a chave-mestra do
sistema de arquivos encriptado, protegendo, então, os arquivos sensíveis contra o ataque.
4. Quais são as principais críticas recebidas e controvérsias apontadas contra o TCPA?
R.: Os críticos afirmam que os principais objetivos do TCPA seriam transferir o controle
do
proprietário do computador para aquele que tenha escrito os "softwares" que o computador
esteja executando e suportar "Digital Rights Management" (DRM). Os críticos apontam as
controvérsias entre as diversas definições de confiança; as máquinas, construídas segundo as
especificações TCPA, serão mais confiáveis do ponto de vista dos vendedores de "software" e
da indústria de conteúdo, mas serão menos confiáveis do ponto de vista dos proprietários
destas máquinas.
5. Se a facilidade TCPA pode parecer tão assustadora, por que não é conveniente desabilitá-la?
R.: Primeiro, podem haver casos em que o uso de TCPA é obrigatório, definido pela
administração estratégica da sua empresa, por exemplo. Se sua empresa não adotar o uso de
aplicativos TCPA, ela corre o risco de ficar isolada se todos as outras empresas usam TCPA.
Neste ambiente hostil, todos os aplicativos TCPA podem ser configurados, remotamente por
seus autores, para rejeitar os dados de aplicativos que não sejam TCPA, como os seus.
Segundo, se a facilidade TCPA for desabilitada, as chaves para decriptar os aplicativos TCPA
e seus arquivos não poderão ser acessadas. Terceiro, pela lógica da evolução dos "softwares",
os aplicativos TCPA serão capazes de agregar maior valor ao seu trabalho e, por competição,
faz-se necessário o uso destes.