almoçando com a cics desafios da segurança da informação · caso telegram. vazamento de dados...
TRANSCRIPT
Almoçando com a CICSDesafios da Segurança da InformaçãoWilson A. Galafassi Jr.
Segurança da Informação (SI)
A Segurança da informação está
diretamente relacionada com a
proteção de um conjunto de
informações, no sentido de
preservar o valor que possuem para
um individuo ou uma organização.
Pilares básicos da SI
Disponibilidade: informação deve estar sempre acessível
Integridade: garantia de que a informação não foi alterada
Confidencialidade: acesso a informação somente por pessoas autorizadas
Requisitos adicionais▪ Autenticidade▪ Legalidade▪ Irretratabilidade
Servidores Galafassi TI99,872% de
disponibilidadedesde 27/06/2005
Melhores práticas da SIDicas para melhorar a gestão
▪ Inventário dos ativos e sua criticidade
▪ Evolução tecnológica
▪ Política da SI: senhas, backups, atualizações...
▪ Controle de acesso (físico e lógico)
▪ Plano Disaster recovery
Melhores práticas da SIControle do usuário
▪ Compreensão dos riscos envolvidos
▪ Monitoramento
▪ Política padrão: NEGAR TUDO
▪ Criar cultura da SI através de treinamentos
Desafios da SI
▪ Invasões
▪ Phishing e engenharia social
▪ Ransonware
▪ Criptografia
▪ Deep Web
▪ Cloud Computing
▪ IOT – Internet das Coisas
Riscos envolvidosInvasões: quem é? onde está o hacker?
▪ De onde vem? Como me “achou”? Quem?
▪ O hacker pode ser qualquer um...
▪ Colaboração do usuário
▪ Brasil é 7º país com mais incidentes
▪ 85% brasileiros foram ou conhecem alguma vítima
▪ Monetização $$$ (ransonware +43% 2018)
▪ ONU: Coréia do Norte roubou 2 bi USD em ataques
VulnerabilidadesPhishing - Ransonware - Engenharia Social
Regra de ouro: DESCONFIAR SEMPRE!!!
VulnerabilidadesExemplos de phishing
VulnerabilidadesExemplos de phishing
VulnerabilidadesExemplos de phishing
VulnerabilidadesExemplos de ransonware
VulnerabilidadesExemplos de ransonware
VulnerabilidadesHoneypot Galafassi TI
VulnerabilidadesHoneypot Galafassi TIORIGEM DAS TENTATIVAS DE ACESSO
VulnerabilidadesHoneypot Galafassi TI
Top Países (origens)1. Brasil: 6.7542. Colombia: 4.4443. Russia: 3.7704. Estados Unidos: 1.8885. China: 1.5116. Sri Lanka: 9347. França: 8328. Malasia: 7199. Holanda: 48910. Spain: 375
25.553 TENTATIVAS DE ACESSO01/07 -> 20/07 2019
VulnerabilidadesAlgumas vulnerabilidades recentes
▪ iMessage da Apple permite a hackers controlarem celular com uma mensagem
▪ Chip presente no Android expõe milhões de dispositivos
▪ Firewall Sonicwall – gerenciamento remoto
▪ Exim – 57% dos servidores de email
Todas elas permitem comprometimento total dos sistemas/dispositivos
VulnerabilidadesNinguém está seguro...
Vídeo: Tesla
Vazamento de dadosUma ameaça seríssima...
▪ Crescimento 133% em 2018 – 4,55 bilhões de registros expostos
▪ 59% das empresas já detectaram algum vazamento
▪ Grandes corporações são mais visadas
▪ Pequenas empresas são vítimas e não sabem
▪ Chantagem: caso banco Inter (2018 100 mil / 2019 1.45 milhão)
▪ Caso Telegram
Vazamento de dadosAlguns dos maiores...
▪ Yahoo: 3 bilhões de contas (2013)
▪ Marriott: 500 milhões de contas (2014 – detectado somente em 2018)
▪ Yahoo: 500 milhões de contas (2014)
▪ AdultFriendFinder: 400 milhões de contas (2016)
▪ MySpace: 360 milhões de contas (2016)
▪ Under Armour: 150 milhões de usuários (a venda na Dark WEB 20.000USD)
▪ Equifax: dados 147 milhões de usuários expostos (2017)
Vazamento de dadosComo consultar se o seu e-mail ou senha foram vazados
https://haveibeenpwned.com/
Senha
https://haveibeenpwned.com/Passwords
Protegendo a privacidadeCriptografia
Conjunto de regras que visacodificar a informação de formaque só o emissor e o receptorconsiga decifrá-la.
Assegura a confidencialidade,autenticidade, integridade eirretratabilidade das informações.
Protegendo a privacidadeCriptografia: aplicações práticas
▪ Transações bancárias e de e-commerce
▪ Arquivos e discos
▪ Certificados digitais
▪ E-mails
▪ Aplicativos de mensagens
▪ Acesso remoto VPN
Protegendo a privacidadeCriptografia: confiabilidade
▪ Caso Daniel Dantas (2008): HDS criptografados PF + FBI
▪ Bloqueio judicial WhatsApp
▪ Apple não desbloqueia Iphones nem com ordem judicial
▪ Método de quebra: bruta força – atualmente impossível
Protegendo a privacidadeCriptografia: Alan Turing
Protegendo a privacidadeDica: teste a força da sua senha
https://password.kaspersky.com/br/
Deep WebA parte invisível da internet
Surface Web: qualquer coisa queum mecanismo de busca (Google,Bing, Yahoo) consegue indexar.
Deep Web: qualquer coisa que ummecanismo de busca não consegueindexar.
Dark Web: ambiente dentro daDeep Web onde o acesso étotalmente anônimo.
Dark WebO que é encontrado lá?
Dark WebO que é encontrado lá?
Cada vez mais...Cloud Computing
▪ Qual a diferença do ambiente local p/ Cloud?
▪ Estou mais seguro na nuvem?
▪ Vantagens e desvantagens da nuvem
▪ Preciso realmente ir pra nuvem?
O que vem por aí...IOT – Internet das Coisas
▪ Bilhões de dispositivos conectados
▪ Cidades e casas inteligentes
▪ Até onde isso é saudável?
▪ Fim da privacidade?
▪ Caso: marca-passos EUA (2017)
O que vem por aí...IOT – Internet das Coisas
Vídeo: Smart House
Como manter-se seguro...Dicas práticas
▪ Atualiza sempre
▪ Backup(s) -> tenha um backup offsite
▪ 2º. Fator de autenticação (whatsapp, facebook, Gmail, instagram, etc)
▪ Fique longe da Dark Web
▪ O HTTPS (cadeado verde) não garante mais nada
▪ Senhas fortes
▪ Evite wifis públicos
Perguntas?
