Segurança Na Internet

2.875 visualizações

Publicada em

Palestra ministrada para alunos da FATEC-SP em Out. de 2009 sobre as principais ameaças e tendências de Segurança na Internet, além de algumas dicas de proteção.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.875
No SlideShare
0
A partir de incorporações
0
Número de incorporações
18
Ações
Compartilhamentos
0
Downloads
88
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança Na Internet

  1. 1. Segurança no mundo Internet Ameaças, Tendências e Proteção FATEC-SP Outubro / 2009 Anchises M. G. de Paula
  2. 2. Agenda Visão Geral de Segurança – Porque a necessidade de segurança? – Evolução Histórica – Casos reais Segurança da Informação – Segurança Corporativa – Security Officer – O profissional consciente Recomendações Finais Foto: sxc.hu 2 2
  3. 3. Visão Geral de Segurança Porque a necessidade de segurança? Evolução Histórica Casos reais 3
  4. 4. Cenário atual Internet presente na vida de todos – Relacionamento – Pessoal e Negócios Ambiente de negócio dinâmico – Dependência crescente da tecnologia – Informação é diferencial competitivo – Velocidade na tomada de decisão Tecnologias novas e complexas Crescimento dos RISCOS – Falhas, ataques, fraudes etc. 4 4
  5. 5. A Internet para o Negócio 67 milhões de usuários de Internet em 2009 – 32,5 milhões de usuários de Internet Banking – 8 bilhões de transações bancárias on-line (18,1% do total). – 13 milhões de compradores on- line. – Vendas online vão atingir R$ 10 bilhões em 2009 Fontes: Foto: sxc.hu Folha On-line, Febraban, Camara e-Net, E-bit 5 5
  6. 6. A Internet é Insegura Projeto inicial sem grande preocupação com a segurança – Inicialmente um projeto acadêmico-militar – Surgiu com foco na disponibilidade da rede Grande quantidade de alvos e atacantes – Crescimento exponencial – Diversidade de tecnologias – Dificuldade em manter sistemas livres de falha – Facilidade de acesso (qualquer lugar do mundo) Sensação de anonimato e impunidade Foto: sxc.hu 6 6
  7. 7. Principais ameaças ao negócio Vírus 66% Funcionários insatisfeitos 53% Divulgação de senhas 51% Acessos indevidos 49% Vazamento de informações 47% Fraudes, erros e acidentes 41% Hackers 39% Falhas na segurança física 37% Uso de notebooks 31% Fraudes em e-mail 29% Fonte: 9a Pesquisa Módulo 7 7
  8. 8. Perdas Financeiras R$ 300 milhões de perdas por fraude bancária on-line em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Foto: pptdigital 8 8
  9. 9. É fácil atacar Existem hoje à disposição: – Milhares de web sites sobre ataques e download de ferramentas na Internet – Centenas de salas de discussão (mIRC) – Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) – Milhões de equipamentos vulneráveis (servidores e desktops). 9 9
  10. 10. É fácil aprender a “hackear” Milhares de sites – www.rootshell.com – www.astalavista.com – Google, Youtube Centenas de revistas, livros, tutoriais, e-zines, canais de bate- papo, etc – www.2600.com – www.phrack.org Eventos – www.defcon.org 10 10
  11. 11. É fácil aprender a “hackear” Ferramentas de fácil uso 11 11
  12. 12. Vários tipos de Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Cyber criminosos – Fraudadores, “Carder” Espião Terrorista Vândalo 12 12
  13. 13. Ameaças: evolução Década de 80 - ataques individuais e isolados – Senhas comprometidas – Invasões via conexões dial-up – phreaking Década de 90 - ataques sofisticados – Sniffers, IP spoofing, SPAM, Vírus – Defacements de websites – Atacantes na maioria amadores Ano 2000 - ataques distribuídos – DDoS (Distributed Deny of service) – Worms (vermes) – Atacantes se profissionalizam 13 13
  14. 14. Ameaças: evolução Hoje - Cybercrime – Crimes financeiros na Internet – Ataques a usuários finais – Phishing Scan – fraudes online – Sites falsos – Keyloggers, rootkits – Botnets – Ataques – Hacking for hire – Guerra eletrônica 14 14
  15. 15. Dinheiro é o Motivo Fraude em Internet Click Fraud Phishing Banking e Pharming Laranjas Fraude de Cartões de Créditos Extorsão Ad/Spyware Roubo CD Keys Espionagem Hackers for Hire Industrial Pirataria 15 15
  16. 16. Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA) August 17, 1996 16 16
  17. 17. Páginas Invadidas – exemplos clássicos UNICEF January 7, 1998 17 17
  18. 18. Páginas Invadidas Associação de Futebol Argentino (AFA) September 14, 2009 18 18
  19. 19. Páginas Invadidas Governo do Mexico October 06, 2009 19 19
  20. 20. Histórias de terror IDG Now 01/09/2003 20 20
  21. 21. Histórias de terror IDG Now 03/10/2003 21 21
  22. 22. Histórias de terror Plantão INFO Mar/07 22 22
  23. 23. Histórias de terror BBC maio/2007 23 23
  24. 24. Histórias de terror CSO Online set/2007 24 24
  25. 25. Histórias de terror Computerworld 20/mar/2008 25 25
  26. 26. Spam 26 26
  27. 27. Phishing Scam Forma de ataque muito comum hoje em dia Engana o usuário para roubar seus dados e usar em futuras fraudes financeiras 27 27
  28. 28. Phishing Scam 28 28
  29. 29. Phishing Scam 29 29
  30. 30. Luz no fim do túnel IDG Now 17/08/2007 30 30
  31. 31. Luz no fim do túnel 28/05/2009 31 31
  32. 32. Segurança da Informação Segurança Corporativa Security Officer O profissional consciente 32
  33. 33. O que é Segurança segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, confiar firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, risco protegido garantido. 8. Em quem se pode confiar. 9. confiar Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] 33 33
  34. 34. Para que ter Segurança da Informação “A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] 34 34
  35. 35. O que proteger Os dados (informações) – Planejamentos, estratégias – Bases de dados, cadastros – Dados administrativos Recursos – Hardware e a infra-estrutura – Software Funcionários Imagem e Reputação Foto: sxc.hu 35 35
  36. 36. Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos – Análise de riscos Ferramentas Tecnológicas Segurança Física Foto: sxc.hu 36 36
  37. 37. Legislação e Normas Padrões internacionais – ISO 27001 (ISO 17799), Cobit, Coso, ITIL – Convenção de Budapeste Leis e regulamentações locais – PCI, Basiléia II, Sarbanes-Oxley – Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) 37 37
  38. 38. Security Officer 38 38
  39. 39. Security Officer Profissional responsável pelas atividades relacionada a segurança e gestão de risco, tais como: – Gerenciar a Segurança Corporativa – Definir políticas, normas e procedimentos – Implantar e administrar tecnologias de segurança – Controlar acessos de usuários – Auditoria – Prevenir, impedir e responder a ataques 39 39
  40. 40. Profissional de segurança da informação Vários campos de atuação: – Pesquisa em segurança – Vulnerabilidades, ataques, criptografia, etc – Estratégia e Gestão de segurança – Ferramentas e tecnologias de segurança – Firewall, IDS, antivírus, etc – Desenvolvimento / Auditoria de código – Resposta a incidentes (ataques) – Investigação forense – Leis, Normas e ética – Auditoria 40 40
  41. 41. Perfil Origem e formação de duas formas distintas: – Técnica – Profissionais de TI especializados em segurança – Suporte em TI (servidores, redes, etc) – Desenvolvimento – “ex-hackers” – Administrativa (Processual / Auditoria / Leis) – Gestão de TI, Elaboração de Processos – Auditoria, Análise de Riscos – Advogados especializados 41 41
  42. 42. Ética Profissional Comportamento ético é muito importante na profissão – Cargos de confiança – Acesso a informações sigilosas – Participação de investigações e sindicâncias internas Cuidado com a imagem – Atuar eticamente – Postura ética: mensagens em listas de discussão, Orkut, etc 42 42
  43. 43. Ética Profissional Pecados durante contratação: – mentiras sobre qualificações (31%) – baixo nível de comunicação (25%) – relações com comportamento criminoso (24%) – relatos ofendendo o emprego anterior ou revelando uso de drogas (19%) 43 43
  44. 44. Atualização Profissional Necessidade de atualização contínua – Novas tecnologias – Novas vulnerabilidades e ameaças Como? – Listas de discussão – Cursos, treinamentos e certificações – Participar de associações profissionais – ISSA, ISACA, OWASP – Participação em eventos de qualidade 44 44
  45. 45. Recomendações Finais 45
  46. 46. Recomendações Finais Para a Empresa – A preocupação com segurança deve permear toda a organização – Segurança como diferencial competitivo – Análise de riscos – Segregação de ambientes (produção, desenvolvimento e testes) – Atualização dos sistemas – Processos, normas e procedimentos – Legislação – Normas internas Foto: arquivo pessoal – “Termo de responsabilidade” – Treinamento e Conscientização 46 46
  47. 47. Recomendações finais Para nós (profissionais de TI) – Todos temos uma parcela de responsabilidade – Ética – Preocupação com segurança – Correta instalação e configuração de sistemas – Manter os sistemas atualizados – Qualidade no desenvolvimento de software – KISS (Keep it Simple, Stupid) Foto: arquivo pessoal – Processos, normas, procedimentos 47 47
  48. 48. Recomendações finais (Futuros) Profissionais de TI – Desenvolvedores e arquitetos de software – Boas práticas Arquitetura de software Controle de versão Testes – Desenvolvimento de código seguro Foto: sxc.hu 48 48
  49. 49. Recomendações finais (Futuros) Profissionais de TI – Administradores de sistemas, BDs e redes – Boas práticas de configuração dos equipamentos – Atualização constante – Monitoração e auditoria – Backup, redundância Foto: sxc.hu 49 49
  50. 50. Recomendações finais Para nós (usuários finais) – Manter o micro atualizado (Windows update) – Antivírus Atualizado – Personal Firewall, antispyware, foto de santinho – Não acreditar em tudo o que vê – Nunca clicar em links nem abrir anexo de e-mails suspeitos (ou não explicitamente desejados) – Cuidado com suas senhas – Não conte para ninguém – Use senhas “fortes” – Cuidado com micros que você não conhece – Cuidado ao instalar softwares estranhos 50 50
  51. 51. Recomendações finais Para nós (pais) – Computador não é “Tecnlogia acalma criança” – Manter diálogo aberto com os filhos sobre o uso e riscos da Internet – Cuidado com seu filho falando com estranhos – Cuidado com seu filho falando com mais velhos – Manter o computador na sala, onde pode ser monitorado – Impor limites – ex: não pode ver TV nem computador Foto: sxc.hu após as 22hs 51 51
  52. 52. Recomendações finais Para nós (filhos) – Não confiar no que você recebe pela Internet – Não falar com estranhos – Não abrir e-mail de estranhos – Não clicar em links (de) estranhos – Não informar dados pessoais – Cuidado com páginas pessoais, scraps, blogs – Cuidado com sua privacidade e de seus amigos – Dados, fotos, mensagens Foto: sxc.hu 52 52
  53. 53. Referências www.cert.br Blogs sobre Segurança www.modulo.com.br www.naopod.com.br www.navegueprotegido.org infosecfeeds.blogspot.com www.cert.org www.sans.org www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode (Writing Secure Code) www.microsoft.com/athome/security (Security at home) 53 53
  54. 54. Obrigado :) Anchises M. G. de Paula Analista de Inteligência iDefense – VeriSign Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com 54 54

×