SlideShare uma empresa Scribd logo

Estratégias de Segurança da Informação

Carlos Eduardo Motta de Castro
Carlos Eduardo Motta de Castro
1 de 22
Baixar para ler offline
CYBER SECURITY Estratégias de Invasão, Forense e Recomendações CISSP (Apresentação CNASI 2016) Carlos Castro Segurança da Informação
Agenda 1. Conceitos 2. Cenários 3. Metodologia de Invasão 4. Forense 5. Recomendações CISSP 6. Encerramento
FraquezasCenários  Bugs em Produtos  Vulnerabilidades em Aplicações  Ambiente Desprotegido  Sistemas Operacionais com Serviços Desatualizados  Diferentes Fronteiras de Exposição  Fraca Proteção Contra Mau Uso  Controles de Acesso  Camadas de Responsabilidade
 Principais Vulnerabilidades (OWASP) FraquezasCenários Vulnerabilidade Descrição Injections (SQL, XML, Buffer Overflow, etc) Injeção de código SQL, Estouro forçado de buffers em memória, etc. Autenticação e Sessões frágeis Processo de autenticação é fraco desde a forma como o usuário é criado XSS (Cross Site Scripting) Código de scripts (javascript, etc) é inserido de maneira arbitrária no navegador do usuário Referências direta a objetos Desenvolvedor expõe objetos (arquivos, etc) que conseguem ser acessados de fora da aplicação Falhas de Configuração Mecanismos para tornar os servidores mais seguros não são habilitados e configurações padrão são usadas Exposição de Informações Sensíveis Informações são apresentadas em texto claro ou trafegam por canais não encriptados Falhas no uso do Controle de Acesso Páginas ou arquivos indevidamente acessados Forjar requisição válida (CSRF) Requisição forjada através de usuário válido Usar componentes com falhas Manter componentes com falhas conhecidas Redirecionamentos não validados Permissão de redirecionamento sem validação
 Preço de Dados Roubados Caiu  46% dos Ataques Originados na China  Aumento Reclamação de Seguro Cyber  Exposição das Ferramentas do Hacking Team  Aumento de Ataques sobre Saúde  Butterfly – Ataques para Ganhos Comerciais  Ataques sobre IoT e Telefones  Sextorsão (fonte: Symantec) 2015 - EVENTOSCenários
 TCP/IP, Sockets e Portas TCP/IPConceitos
 Default Gateway e Protocolo ARP (address resolution protocol) • Descoberta do MAC e Cache ARP ARPConceitos Requerimento  (broadcast) Who has 192.168.116.2? Resposta de 192.168.116.2 90-EF-DD-A1-87-4A
 Bits de Controle (SYN,ACK,RST,FIN,URG,PSH,CWR,ECE) TCP/IPConceitos
 Identificar o Alvo  Buscar o Anonimato  Levantar as Vulnerabilidades  Explorar as Vulnerabilidades  Migrar entre Processos  Escalar Privilégios  Deixar a Porta Aberta e Manter-se Invisível ESTRATÉGIAInvasão
 Identificar o Alvo (levantamento)  Tipos de domínio (aero, edu, biz, firm, gov, info, jobs, ltd, org, store, tel, travel)  Google Search Engine • site:endereço • inurl:palavra • filetype ou ext:extensão • GHDB (Google Hacking DataBase) Ex: site:.gov ext:xlsx inurl:con Estratégias IDENTIFICAR
Estratégias IDENTIFICAR Ex: site:.gov ext:xlsx inurl:con
 Escondendo o IP de Origem  TOR (rede de computadores conectados anonimamente através da infraestrutura da internet – The Onion Router (DeepWeb))  VPN (Virtual Private Network) • IP de origem é mascarado • Escopo de endereçamento do provedor do serviço • Dados encriptados  Linux Tails Estratégias ANONIMATO DEEPWEB ou REDE PRIVADA (VPN) ATACANTE ALVO CONEXÃO NÃO É DIRETA E O IP ORIGEM FICA MASCARADO
 Ação Correta Deve Estar Respaldada por Contrato e Autorização  Invasão  Redes • Exploits (explora vulnerabilidade) • Payloads (código executado através do Exploit) • Man In The Middle (MITM) • Falhas em Serviços  Aplicações • Injections (explora fragilidades do código) • Brute Force TIPOSInvasão
 Levantar as Vulnerabilidades com o NMAP  Explorar as Vulnerabilidades com os Exploits e Payloads • Migrar entre Processos • Escalar Privilégios  Deixar a Porta Aberta Deixando um Componente Instalado  Capturando Usuário e Senha no MITM EXEMPLOInvasão
 Planejar a Investigação  Post-Mortem ou Alive  Preservar Provas  Cadeia de Custódia  Buscar Evidências  Preparar o Laudo  Destruir Cópias PASSOSForense
CUSTÓDIAForense  O que é uma Cadeira de Custódia?  Como Proceder?  Direitos e Cuidados
BUSCAForense  Em Busca de Pistas  Onde Procurar? • Memória • Disco (logs, históricos, etc) • Como Procurar? • FTK, Helix • Volatily, MDD
DUPLICAÇÃOForense
CAUSASCISSP  Razões para Vulnerabilidades • Requisitos não Incluem Segurança • Enfoque em Segurança é mais Recente • Perfil de Segurança X Desenvolvedor • Pressão por Prazos e Concorrência • Funcionalidade Maior que Segurança  Baixa Qualidade no Desenvolvimento  Negligência no Controle de Acessos • Não Segmentação
RecomendaçõesCISSP  Segurança na Aplicação • Autenticação, Validação da Entrada de Dados, Controle de Sessões, Banco de Dados, Evitar Expor Informações Desnecessárias  Controles de Acesso • Restrições no Nível da Aplicação, do Banco e do Sistema Operacional  Atualização Quanto as Ameaças • Virus, Exploits, Injections
PerguntasEncerramento
ContatosEncerramento Carlos Castro forense.digital.com@gmail.com facebook.com/ForenseDigital

Recomendados

2011 01-18.campus party 2011
2011 01-18.campus party 20112011 01-18.campus party 2011
2011 01-18.campus party 2011Campus Party Brasil
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisRenato Basante Borbolla
 
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTsTendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTsMauro Risonho de Paula Assumpcao
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 

Recomendados

2011 01-18.campus party 2011
2011 01-18.campus party 20112011 01-18.campus party 2011
2011 01-18.campus party 2011Campus Party Brasil
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Amiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisAmiguinhos virtuais ameaças reais
Amiguinhos virtuais ameaças reaisRenato Basante Borbolla
 
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTsTendências, Tecnicas e soluções no combate aos ataques de APTs e AVTs
Tendências, Tecnicas e soluções no combate aos ataques de APTs e AVTsMauro Risonho de Paula Assumpcao
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...Clavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Kleitor Franklint Correa Araujo
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPFabiano Pereira
 
Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - BackdoorCarlos Henrique Martins da Silva
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Backtrack 4 Rc1 Volcon2
Backtrack 4 Rc1 Volcon2Backtrack 4 Rc1 Volcon2
Backtrack 4 Rc1 Volcon2Mauro Risonho de Paula Assumpcao
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de MalwareRenato Basante Borbolla
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Rodrigo Montoro
 
backdoors
backdoorsbackdoors
backdoorsguest0510c9
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat huntingRodrigo Montoro
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
THE WebSec
THE WebSecTHE WebSec
THE WebSecKelvin Campelo
 
Ulbra teste de intrusao
Ulbra teste de intrusaoUlbra teste de intrusao
Ulbra teste de intrusaoDouglas santos
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 
El presente d
El presente dEl presente d
El presente djairo CUENU
 
Abdullahi chowdhury presentation slides
Abdullahi chowdhury presentation slidesAbdullahi chowdhury presentation slides
Abdullahi chowdhury presentation slidesInternational Center for Research & Development
 
Future Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with VuzionFuture Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with VuzionVuzion
 

Mais conteúdo relacionado

Mais procurados

Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosAlex Camargo
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações WebCassio Ramos
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraClavis Segurança da Informação
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Clavis Segurança da Informação
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Rodrigo Montoro
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapClavis Segurança da Informação
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Thiago Finardi
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoClavis Segurança da Informação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Clavis Segurança da Informação
 
Ulbra teste de intrusao
Ulbra teste de intrusaoUlbra teste de intrusao
Ulbra teste de intrusaoDouglas santos
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingCristiano Caetano
 

Mais procurados (19)

Segurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultadosSegurança em aplicações web: pequenas ideias, grandes resultados
Segurança em aplicações web: pequenas ideias, grandes resultados
 
Aula 9 - Backdoor
Aula 9 - BackdoorAula 9 - Backdoor
Aula 9 - Backdoor
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
 
Backtrack 4 Rc1 Volcon2
Backtrack 4 Rc1 Volcon2Backtrack 4 Rc1 Volcon2
Backtrack 4 Rc1 Volcon2
 
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerraAprendendo a atacar (e proteger) aplicações web através de jogos de guerra
Aprendendo a atacar (e proteger) aplicações web através de jogos de guerra
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Análise de Malware
Análise de MalwareAnálise de Malware
Análise de Malware
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
Analisando pacotes for fun and packet - Conceito de Network Security Monitori...
 
backdoors
backdoorsbackdoors
backdoors
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Bsides threat hunting
Bsides threat huntingBsides threat hunting
Bsides threat hunting
 
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
Hacking Ético e os Testes de Invasão - UruguaianaTech 2014
 
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - ApresentaçãoDesenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
Desenvolvimento Seguro de Software - 10o Workshop SegInfo - Apresentação
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Ulbra teste de intrusao
Ulbra teste de intrusaoUlbra teste de intrusao
Ulbra teste de intrusao
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 

Destaque

Future Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with VuzionFuture Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with VuzionVuzion
 
Video Marketing Basics - 11 Creative Video Ideas for Realtors
Video Marketing Basics - 11 Creative Video Ideas for RealtorsVideo Marketing Basics - 11 Creative Video Ideas for Realtors
Video Marketing Basics - 11 Creative Video Ideas for RealtorsParadym
 
Softchoice | Encore des imprudences dans le nuage
Softchoice | Encore des imprudences dans le nuageSoftchoice | Encore des imprudences dans le nuage
Softchoice | Encore des imprudences dans le nuageSoftchoice Corporation
 
OpOlympicHacking e o Ocaso do Hacktivismo
OpOlympicHacking e o Ocaso do HacktivismoOpOlympicHacking e o Ocaso do Hacktivismo
OpOlympicHacking e o Ocaso do HacktivismoAnchises Moraes
 
Dynamic Scheduling - Federated clusters in mesos
Dynamic Scheduling - Federated clusters in mesosDynamic Scheduling - Federated clusters in mesos
Dynamic Scheduling - Federated clusters in mesosAaron Carey
 
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016Tyler Price
 
Liminal thinking video
Liminal thinking videoLiminal thinking video
Liminal thinking videoDave Gray
 
The Architecture of Change
The Architecture of ChangeThe Architecture of Change
The Architecture of ChangeLarry Smith
 
[FR] C'est quoi une API ?
[FR] C'est quoi une API ?[FR] C'est quoi une API ?
[FR] C'est quoi une API ?OVHcloud
 
Introduction to the Directory of Open Access journals
Introduction to the Directory of Open Access journalsIntroduction to the Directory of Open Access journals
Introduction to the Directory of Open Access journalsIna Smith
 
Crop residue management in rice based cropping system
Crop residue management in rice based cropping systemCrop residue management in rice based cropping system
Crop residue management in rice based cropping systemP.K. Mani
 
Recycling of Agricultural Waste in India
Recycling of Agricultural Waste in IndiaRecycling of Agricultural Waste in India
Recycling of Agricultural Waste in Indiatripathi.shantanu
 

Destaque (18)

El presente d
El presente dEl presente d
El presente d
 
Abdullahi chowdhury presentation slides
Abdullahi chowdhury presentation slidesAbdullahi chowdhury presentation slides
Abdullahi chowdhury presentation slides
 
Future Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with VuzionFuture Proof Your Business - Breakfast Meeting with Vuzion
Future Proof Your Business - Breakfast Meeting with Vuzion
 
Video Marketing Basics - 11 Creative Video Ideas for Realtors
Video Marketing Basics - 11 Creative Video Ideas for RealtorsVideo Marketing Basics - 11 Creative Video Ideas for Realtors
Video Marketing Basics - 11 Creative Video Ideas for Realtors
 
Networking for Academic Careers
Networking for Academic CareersNetworking for Academic Careers
Networking for Academic Careers
 
Cisco Managed Security
Cisco Managed SecurityCisco Managed Security
Cisco Managed Security
 
Softchoice | Encore des imprudences dans le nuage
Softchoice | Encore des imprudences dans le nuageSoftchoice | Encore des imprudences dans le nuage
Softchoice | Encore des imprudences dans le nuage
 
Cosmonautas
CosmonautasCosmonautas
Cosmonautas
 
OpOlympicHacking e o Ocaso do Hacktivismo
OpOlympicHacking e o Ocaso do HacktivismoOpOlympicHacking e o Ocaso do Hacktivismo
OpOlympicHacking e o Ocaso do Hacktivismo
 
Dynamic Scheduling - Federated clusters in mesos
Dynamic Scheduling - Federated clusters in mesosDynamic Scheduling - Federated clusters in mesos
Dynamic Scheduling - Federated clusters in mesos
 
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016
SoftwareONE's Guide to Microsoft's Fiscal Year End - 2016
 
Energy trading scenario 2016
Energy trading scenario 2016Energy trading scenario 2016
Energy trading scenario 2016
 
Liminal thinking video
Liminal thinking videoLiminal thinking video
Liminal thinking video
 
The Architecture of Change
The Architecture of ChangeThe Architecture of Change
The Architecture of Change
 
[FR] C'est quoi une API ?
[FR] C'est quoi une API ?[FR] C'est quoi une API ?
[FR] C'est quoi une API ?
 
Introduction to the Directory of Open Access journals
Introduction to the Directory of Open Access journalsIntroduction to the Directory of Open Access journals
Introduction to the Directory of Open Access journals
 
Crop residue management in rice based cropping system
Crop residue management in rice based cropping systemCrop residue management in rice based cropping system
Crop residue management in rice based cropping system
 
Recycling of Agricultural Waste in India
Recycling of Agricultural Waste in IndiaRecycling of Agricultural Waste in India
Recycling of Agricultural Waste in India
 

Semelhante a Estratégias de Segurança da Informação

Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidadescheeshirecat
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareJuliano Padilha
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaDirceu Resende
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativasosmarcorrea
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesClavis Segurança da Informação
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informaçãoSamantha Nunes
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webIgor Carneiro
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...SegInfo
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesAlisson Fuckner
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010clebeer brandao
 

Semelhante a Estratégias de Segurança da Informação (20)

Slides ataques e vulnerabilidades
Slides ataques e vulnerabilidadesSlides ataques e vulnerabilidades
Slides ataques e vulnerabilidades
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
SQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurançaSQL Server ES - Visão geral sobre segurança
SQL Server ES - Visão geral sobre segurança
 
Como funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrimeComo funcionam as ameaças da internet e o cybercrime
Como funcionam as ameaças da internet e o cybercrime
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Aula import seg
Aula import segAula import seg
Aula import seg
 
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes CorporativasAmeaças Digitais Solução Astaro Para Segurança De Redes Corporativas
Ameaças Digitais Solução Astaro Para Segurança De Redes Corporativas
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Segurança em PHP
Segurança em PHPSegurança em PHP
Segurança em PHP
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
Segurança da informação
Segurança da informaçãoSegurança da informação
Segurança da informação
 
Saindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações webSaindo do 0x0 sobre segurança em aplicações web
Saindo do 0x0 sobre segurança em aplicações web
 
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
por Bruno Milreu Filipe "Casos avançados de teste de invasão – Indo além do “...
 
Introdução ao teste de intrusão em redes
Introdução ao teste de intrusão em redesIntrodução ao teste de intrusão em redes
Introdução ao teste de intrusão em redes
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010
 
Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010Modos De OperaçãO Snort Campusparty2010
Modos De OperaçãO Snort Campusparty2010
 
Seguranca Cap09 Tanenbaum
Seguranca Cap09 TanenbaumSeguranca Cap09 Tanenbaum
Seguranca Cap09 Tanenbaum
 

Mais de Carlos Eduardo Motta de Castro

Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da InformacaoPalestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da InformacaoCarlos Eduardo Motta de Castro
 

Mais de Carlos Eduardo Motta de Castro (6)

CNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento SeguroCNASI 2015 - Desenvolvimento Seguro
CNASI 2015 - Desenvolvimento Seguro
 
RNP_SAÚDE_2014
RNP_SAÚDE_2014RNP_SAÚDE_2014
RNP_SAÚDE_2014
 
Palestra PT5 RO
Palestra PT5 ROPalestra PT5 RO
Palestra PT5 RO
 
CNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos ConfiaveisCNASI 2014 - Servicos Confiaveis
CNASI 2014 - Servicos Confiaveis
 
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da InformacaoPalestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao
Palestra pt5 Estrategias de Saude - Desafio da Seguranca da Informacao
 
Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)Laudo Forense Digital (Cenário 4)
Laudo Forense Digital (Cenário 4)
 

Estratégias de Segurança da Informação

  • 1. CYBER SECURITY Estratégias de Invasão, Forense e Recomendações CISSP (Apresentação CNASI 2016) Carlos Castro Segurança da Informação
  • 2. Agenda 1. Conceitos 2. Cenários 3. Metodologia de Invasão 4. Forense 5. Recomendações CISSP 6. Encerramento
  • 3. FraquezasCenários  Bugs em Produtos  Vulnerabilidades em Aplicações  Ambiente Desprotegido  Sistemas Operacionais com Serviços Desatualizados  Diferentes Fronteiras de Exposição  Fraca Proteção Contra Mau Uso  Controles de Acesso  Camadas de Responsabilidade
  • 4.  Principais Vulnerabilidades (OWASP) FraquezasCenários Vulnerabilidade Descrição Injections (SQL, XML, Buffer Overflow, etc) Injeção de código SQL, Estouro forçado de buffers em memória, etc. Autenticação e Sessões frágeis Processo de autenticação é fraco desde a forma como o usuário é criado XSS (Cross Site Scripting) Código de scripts (javascript, etc) é inserido de maneira arbitrária no navegador do usuário Referências direta a objetos Desenvolvedor expõe objetos (arquivos, etc) que conseguem ser acessados de fora da aplicação Falhas de Configuração Mecanismos para tornar os servidores mais seguros não são habilitados e configurações padrão são usadas Exposição de Informações Sensíveis Informações são apresentadas em texto claro ou trafegam por canais não encriptados Falhas no uso do Controle de Acesso Páginas ou arquivos indevidamente acessados Forjar requisição válida (CSRF) Requisição forjada através de usuário válido Usar componentes com falhas Manter componentes com falhas conhecidas Redirecionamentos não validados Permissão de redirecionamento sem validação
  • 5.  Preço de Dados Roubados Caiu  46% dos Ataques Originados na China  Aumento Reclamação de Seguro Cyber  Exposição das Ferramentas do Hacking Team  Aumento de Ataques sobre Saúde  Butterfly – Ataques para Ganhos Comerciais  Ataques sobre IoT e Telefones  Sextorsão (fonte: Symantec) 2015 - EVENTOSCenários
  • 6.  TCP/IP, Sockets e Portas TCP/IPConceitos
  • 7.  Default Gateway e Protocolo ARP (address resolution protocol) • Descoberta do MAC e Cache ARP ARPConceitos Requerimento  (broadcast) Who has 192.168.116.2? Resposta de 192.168.116.2 90-EF-DD-A1-87-4A
  • 8.  Bits de Controle (SYN,ACK,RST,FIN,URG,PSH,CWR,ECE) TCP/IPConceitos
  • 9.  Identificar o Alvo  Buscar o Anonimato  Levantar as Vulnerabilidades  Explorar as Vulnerabilidades  Migrar entre Processos  Escalar Privilégios  Deixar a Porta Aberta e Manter-se Invisível ESTRATÉGIAInvasão
  • 10.  Identificar o Alvo (levantamento)  Tipos de domínio (aero, edu, biz, firm, gov, info, jobs, ltd, org, store, tel, travel)  Google Search Engine • site:endereço • inurl:palavra • filetype ou ext:extensão • GHDB (Google Hacking DataBase) Ex: site:.gov ext:xlsx inurl:con Estratégias IDENTIFICAR
  • 12.  Escondendo o IP de Origem  TOR (rede de computadores conectados anonimamente através da infraestrutura da internet – The Onion Router (DeepWeb))  VPN (Virtual Private Network) • IP de origem é mascarado • Escopo de endereçamento do provedor do serviço • Dados encriptados  Linux Tails Estratégias ANONIMATO DEEPWEB ou REDE PRIVADA (VPN) ATACANTE ALVO CONEXÃO NÃO É DIRETA E O IP ORIGEM FICA MASCARADO
  • 13.  Ação Correta Deve Estar Respaldada por Contrato e Autorização  Invasão  Redes • Exploits (explora vulnerabilidade) • Payloads (código executado através do Exploit) • Man In The Middle (MITM) • Falhas em Serviços  Aplicações • Injections (explora fragilidades do código) • Brute Force TIPOSInvasão
  • 14.  Levantar as Vulnerabilidades com o NMAP  Explorar as Vulnerabilidades com os Exploits e Payloads • Migrar entre Processos • Escalar Privilégios  Deixar a Porta Aberta Deixando um Componente Instalado  Capturando Usuário e Senha no MITM EXEMPLOInvasão
  • 15.  Planejar a Investigação  Post-Mortem ou Alive  Preservar Provas  Cadeia de Custódia  Buscar Evidências  Preparar o Laudo  Destruir Cópias PASSOSForense
  • 16. CUSTÓDIAForense  O que é uma Cadeira de Custódia?  Como Proceder?  Direitos e Cuidados
  • 17. BUSCAForense  Em Busca de Pistas  Onde Procurar? • Memória • Disco (logs, históricos, etc) • Como Procurar? • FTK, Helix • Volatily, MDD
  • 19. CAUSASCISSP  Razões para Vulnerabilidades • Requisitos não Incluem Segurança • Enfoque em Segurança é mais Recente • Perfil de Segurança X Desenvolvedor • Pressão por Prazos e Concorrência • Funcionalidade Maior que Segurança  Baixa Qualidade no Desenvolvimento  Negligência no Controle de Acessos • Não Segmentação
  • 20. RecomendaçõesCISSP  Segurança na Aplicação • Autenticação, Validação da Entrada de Dados, Controle de Sessões, Banco de Dados, Evitar Expor Informações Desnecessárias  Controles de Acesso • Restrições no Nível da Aplicação, do Banco e do Sistema Operacional  Atualização Quanto as Ameaças • Virus, Exploits, Injections