DIEGO ARANHA

Diego Aranha é professor da Universidade Estadual de Campinas (Unicamp). Coordenou a primeira equipe de investigadores independentes capaz de detectar e explorar vulnerabilidades no software da urna eletrônica em testes controlados organizados pelo Tribunal Superior Eleitoral. Tem experiência na área de Criptografia e Segurança Computacional, com ênfase em implementação eficiente de algoritmos criptográficos e projeto de primitivas criptográficas para fornecimento de anonimato computacional. É Bacharel em Ciência da Computação pela Universidade de Brasília (2005), Mestre (2007) e Doutor (2011) em Ciência da Computação pela Universidade Estadual de Campinas. Foi doutorando visitante por 1 ano na Universidade de Waterloo, Canadá, e Professor Adjunto por pouco mais de 2 anos no Departamento de Ciência da Computação da Universidade de Brasília.

palestras

  • Roadsec maceió 02/07/2016

Título: Análise de segurança de aplicativos bancários na plataforma Android

O volume de transações bancárias realizadas por dispositivos móveis cresce a cada ano. Nessa palestra, reportamos resultados de uma análise de segurança em aplicativos bancários, sob dois aspectos principais: segurança da conexão SSL/TLS estabelecida e configuração do servidor propriamente dito, com ênfase em ataques clássicos e recentes ao protocolo SSL/TLS, sob perspectiva das melhores práticas de segurança. Os bancos analisados foram Banco do Brasil, Bradesco, Caixa Econômica Federal, Citibank, HSBC, Itaú e Santander. Foi possível montar um ataque de personificação do servidor com sucesso na maioria dos aplicativos e obter informações sigilosas, credenciais de autenticação e dados financeiros. As observações coletadas não se resumiram apenas aos ataques de personificação, mas também a falhas na configuração dos servidores e decisões de projeto questionáveis, como integração com redes sociais. Apesar da ênfase no setor financeiro, as recomendações são aplicáveis a outros tipos de serviço.

  • Roadsec PRO e ROADSEC 2016

Título: Aperfeiçoamento do voto eletrônico no Brasil

O sistema de votação eletrônica no Brasil não satisfaz requisitos mínimos de segurança e transparência. Enquanto o primeiro problema torna o sistema vulnerável a ataques internos e externos, conforme demonstrado nos Testes Públicos de Segurança organizados pelo TSE em 2012, o segundo problema limita a possibilidade de verificação dos resultados por parte da sociedade. O objetivo da palestra é examinar e propor aperfeiçoamentos para os mecanismos de transparência instalados no sistema, com correspondente incremento em segurança.