almoçando com a cics desafios da segurança da informação · caso telegram. vazamento de dados...

Almoçando com a CICSDesafios da Segurança da InformaçãoWilson A. Galafassi Jr.

Segurança da Informação (SI)

A Segurança da informação está

diretamente relacionada com a

proteção de um conjunto de

informações, no sentido de

preservar o valor que possuem para

um individuo ou uma organização.

Pilares básicos da SI

Disponibilidade: informação deve estar sempre acessível

Integridade: garantia de que a informação não foi alterada

Confidencialidade: acesso a informação somente por pessoas autorizadas

Requisitos adicionais▪ Autenticidade▪ Legalidade▪ Irretratabilidade

Servidores Galafassi TI99,872% de

disponibilidadedesde 27/06/2005

Melhores práticas da SIDicas para melhorar a gestão

▪ Inventário dos ativos e sua criticidade

▪ Evolução tecnológica

▪ Política da SI: senhas, backups, atualizações...

▪ Controle de acesso (físico e lógico)

▪ Plano Disaster recovery

Melhores práticas da SIControle do usuário

▪ Compreensão dos riscos envolvidos

▪ Monitoramento

▪ Política padrão: NEGAR TUDO

▪ Criar cultura da SI através de treinamentos

Desafios da SI

▪ Invasões

▪ Phishing e engenharia social

▪ Ransonware

▪ Criptografia

▪ Deep Web

▪ Cloud Computing

▪ IOT – Internet das Coisas

Riscos envolvidosInvasões: quem é? onde está o hacker?

▪ De onde vem? Como me “achou”? Quem?

▪ O hacker pode ser qualquer um...

▪ Colaboração do usuário

▪ Brasil é 7º país com mais incidentes

▪ 85% brasileiros foram ou conhecem alguma vítima

▪ Monetização $$$ (ransonware +43% 2018)

▪ ONU: Coréia do Norte roubou 2 bi USD em ataques

VulnerabilidadesPhishing - Ransonware - Engenharia Social

Regra de ouro: DESCONFIAR SEMPRE!!!

VulnerabilidadesExemplos de phishing

VulnerabilidadesExemplos de phishing

VulnerabilidadesExemplos de phishing

VulnerabilidadesExemplos de ransonware

VulnerabilidadesExemplos de ransonware

VulnerabilidadesHoneypot Galafassi TI

VulnerabilidadesHoneypot Galafassi TIORIGEM DAS TENTATIVAS DE ACESSO

VulnerabilidadesHoneypot Galafassi TI

Top Países (origens)1. Brasil: 6.7542. Colombia: 4.4443. Russia: 3.7704. Estados Unidos: 1.8885. China: 1.5116. Sri Lanka: 9347. França: 8328. Malasia: 7199. Holanda: 48910. Spain: 375

25.553 TENTATIVAS DE ACESSO01/07 -> 20/07 2019

VulnerabilidadesAlgumas vulnerabilidades recentes

▪ iMessage da Apple permite a hackers controlarem celular com uma mensagem

▪ Chip presente no Android expõe milhões de dispositivos

▪ Firewall Sonicwall – gerenciamento remoto

▪ Exim – 57% dos servidores de email

Todas elas permitem comprometimento total dos sistemas/dispositivos

VulnerabilidadesNinguém está seguro...

Vídeo: Tesla

Vazamento de dadosUma ameaça seríssima...

▪ Crescimento 133% em 2018 – 4,55 bilhões de registros expostos

▪ 59% das empresas já detectaram algum vazamento

▪ Grandes corporações são mais visadas

▪ Pequenas empresas são vítimas e não sabem

▪ Chantagem: caso banco Inter (2018 100 mil / 2019 1.45 milhão)

▪ Caso Telegram

Vazamento de dadosAlguns dos maiores...

▪ Yahoo: 3 bilhões de contas (2013)

▪ Marriott: 500 milhões de contas (2014 – detectado somente em 2018)

▪ Yahoo: 500 milhões de contas (2014)

▪ AdultFriendFinder: 400 milhões de contas (2016)

▪ MySpace: 360 milhões de contas (2016)

▪ Under Armour: 150 milhões de usuários (a venda na Dark WEB 20.000USD)

▪ Equifax: dados 147 milhões de usuários expostos (2017)

Vazamento de dadosComo consultar se o seu e-mail ou senha foram vazados

Email

https://haveibeenpwned.com/

Senha

https://haveibeenpwned.com/Passwords

Protegendo a privacidadeCriptografia

Conjunto de regras que visacodificar a informação de formaque só o emissor e o receptorconsiga decifrá-la.

Assegura a confidencialidade,autenticidade, integridade eirretratabilidade das informações.

Protegendo a privacidadeCriptografia: aplicações práticas

▪ Transações bancárias e de e-commerce

▪ Arquivos e discos

▪ Certificados digitais

▪ E-mails

▪ Aplicativos de mensagens

▪ Acesso remoto VPN

Protegendo a privacidadeCriptografia: confiabilidade

▪ Caso Daniel Dantas (2008): HDS criptografados PF + FBI

▪ Bloqueio judicial WhatsApp

▪ Apple não desbloqueia Iphones nem com ordem judicial

▪ Método de quebra: bruta força – atualmente impossível

Protegendo a privacidadeCriptografia: Alan Turing

Protegendo a privacidadeDica: teste a força da sua senha

https://password.kaspersky.com/br/

Deep WebA parte invisível da internet

Surface Web: qualquer coisa queum mecanismo de busca (Google,Bing, Yahoo) consegue indexar.

Deep Web: qualquer coisa que ummecanismo de busca não consegueindexar.

Dark Web: ambiente dentro daDeep Web onde o acesso étotalmente anônimo.

Dark WebO que é encontrado lá?

Dark WebO que é encontrado lá?

Cada vez mais...Cloud Computing

▪ Qual a diferença do ambiente local p/ Cloud?

▪ Estou mais seguro na nuvem?

▪ Vantagens e desvantagens da nuvem

▪ Preciso realmente ir pra nuvem?

O que vem por aí...IOT – Internet das Coisas

▪ Bilhões de dispositivos conectados

▪ Cidades e casas inteligentes

▪ Até onde isso é saudável?

▪ Fim da privacidade?

▪ Caso: marca-passos EUA (2017)

O que vem por aí...IOT – Internet das Coisas

Vídeo: Smart House

Como manter-se seguro...Dicas práticas

▪ Atualiza sempre

▪ Backup(s) -> tenha um backup offsite

▪ 2º. Fator de autenticação (whatsapp, facebook, Gmail, instagram, etc)

▪ Fique longe da Dark Web

▪ O HTTPS (cadeado verde) não garante mais nada

▪ Senhas fortes

▪ Evite wifis públicos

Perguntas?

Muito Obrigado!

wilson@galafassi.com.br

www.galafassi.com.br

(54) 99182-8660