Segurança no mundo
Internet
Ameaças, Tendências e Proteção

FATEC-SP
Outubro / 2009


Anchises M. G. de Paula
Agenda

    Visão Geral de Segurança
     – Porque a necessidade
       de segurança?
     – Evolução Histórica
     – Cas...
Visão Geral de Segurança
Porque a necessidade de segurança?
Evolução Histórica
Casos reais




                           ...
Cenário atual


    Internet presente na vida de todos
     – Relacionamento
     – Pessoal e Negócios

    Ambiente de ne...
A Internet para o Negócio


       67 milhões de usuários de Internet
       em 2009
        – 32,5 milhões de usuários de...
A Internet é Insegura


    Projeto inicial sem grande preocupação com a
    segurança
    – Inicialmente um projeto acadê...
Principais ameaças ao negócio



                            Vírus                           66%
        Funcionários insa...
Perdas Financeiras



    R$ 300 milhões de perdas por
    fraude bancária on-line em 2006.


    Nos EUA, 2 em cada 5 emp...
É fácil atacar


    Existem hoje à disposição:
    – Milhares de web sites sobre ataques e download de
      ferramentas ...
É fácil aprender a “hackear”

     Milhares de sites
      – www.rootshell.com
      – www.astalavista.com
      – Google,...
É fácil aprender a “hackear”


     Ferramentas de fácil uso




                                    11

11
Vários tipos de Atacantes


     Hacker
     Cracker
     Script Kid, Lammer, One-click hacker
     Cyber criminosos
     ...
Ameaças: evolução


     Década de 80 - ataques individuais e isolados
     – Senhas comprometidas
     – Invasões via con...
Ameaças: evolução


     Hoje - Cybercrime
     – Crimes financeiros na Internet
     – Ataques a usuários finais
     – P...
Dinheiro é o Motivo


       Fraude em Internet      Click Fraud       Phishing
            Banking                       ...
Páginas Invadidas – exemplos clássicos

     Departamento de Justiça
     (USA)




                      August 17, 1996
...
Páginas Invadidas – exemplos clássicos


     UNICEF




        January 7, 1998


                                       ...
Páginas Invadidas


     Associação de Futebol Argentino (AFA)




        September 14, 2009


                          ...
Páginas Invadidas


     Governo do Mexico




        October 06, 2009


                           19

19
Histórias de terror




     IDG Now
     01/09/2003
                           20

20
Histórias de terror




     IDG Now
     03/10/2003
                           21

21
Histórias de terror




     Plantão INFO
     Mar/07
                           22

22
Histórias de terror




     BBC
     maio/2007
                           23

23
Histórias de terror




     CSO Online
     set/2007
                           24

24
Histórias de terror




     Computerworld
     20/mar/2008
                           25

25
Spam




            26

26
Phishing Scam


     Forma de ataque muito
     comum hoje em dia
     Engana o usuário para
     roubar seus dados e usar...
Phishing Scam




                     28

28
Phishing Scam




                     29

29
Luz no fim do túnel




     IDG Now
     17/08/2007
                           30

30
Luz no fim do túnel




     28/05/2009

                           31

31
Segurança da Informação
Segurança Corporativa
Security Officer
O profissional consciente




                            32
O que é Segurança



      segurança. S. f. 2. Estado, qualidade ou
        condição de seguro. 3. Condição daquele ou
   ...
Para que ter Segurança da Informação



     “A Segurança da Informação deve existir para
      garantir a continuidade do...
O que proteger


     Os dados (informações)
     – Planejamentos, estratégias
     – Bases de dados, cadastros
     – Dad...
Elementos da Segurança Corporativa


     Política de segurança,
     Normas e Procedimentos
     – Análise de riscos

   ...
Legislação e Normas


     Padrões internacionais
     – ISO 27001 (ISO 17799), Cobit, Coso, ITIL
     – Convenção de Buda...
Security Officer




                        38

38
Security Officer


     Profissional responsável pelas atividades relacionada a
     segurança e gestão de risco, tais com...
Profissional de segurança da informação


     Vários campos de atuação:
     – Pesquisa em segurança
          – Vulnerab...
Perfil


     Origem e formação de duas formas distintas:
     – Técnica
        – Profissionais de TI especializados em s...
Ética Profissional


     Comportamento ético é muito
     importante na profissão
     – Cargos de confiança
     – Acess...
Ética Profissional


     Pecados durante
     contratação:
     – mentiras sobre
       qualificações (31%)
     – baixo ...
Atualização Profissional


     Necessidade de atualização contínua
     – Novas tecnologias
     – Novas vulnerabilidades...
Recomendações Finais




                       45
Recomendações Finais


     Para a Empresa
     – A preocupação com segurança deve
       permear toda a organização
     ...
Recomendações finais


     Para nós (profissionais de TI)
      – Todos temos uma parcela de
        responsabilidade
   ...
Recomendações finais


     (Futuros) Profissionais de TI
      – Desenvolvedores e arquitetos de
        software
       ...
Recomendações finais


     (Futuros) Profissionais de TI
      – Administradores de sistemas, BDs
        e redes
       ...
Recomendações finais


     Para nós (usuários finais)
      –   Manter o micro atualizado (Windows update)
      –   Anti...
Recomendações finais


     Para nós (pais)
     – Computador não é “Tecnlogia acalma
       criança”
     – Manter diálog...
Recomendações finais

     Para nós (filhos)
      – Não confiar no que você recebe pela
        Internet
      – Não fala...
Referências

     www.cert.br                            Blogs sobre Segurança
     www.modulo.com.br                     ...
Obrigado :)




                   Anchises M. G. de Paula
            Analista de Inteligência iDefense – VeriSign

     ...
Próximos SlideShares
Carregando em…5
×

Segurança Na Internet

2.882 visualizações

Publicada em

Palestra ministrada para alunos da FATEC-SP em Out. de 2009 sobre as principais ameaças e tendências de Segurança na Internet, além de algumas dicas de proteção.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
2.882
No SlideShare
0
A partir de incorporações
0
Número de incorporações
18
Ações
Compartilhamentos
0
Downloads
88
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Segurança Na Internet

  1. 1. Segurança no mundo Internet Ameaças, Tendências e Proteção FATEC-SP Outubro / 2009 Anchises M. G. de Paula
  2. 2. Agenda Visão Geral de Segurança – Porque a necessidade de segurança? – Evolução Histórica – Casos reais Segurança da Informação – Segurança Corporativa – Security Officer – O profissional consciente Recomendações Finais Foto: sxc.hu 2 2
  3. 3. Visão Geral de Segurança Porque a necessidade de segurança? Evolução Histórica Casos reais 3
  4. 4. Cenário atual Internet presente na vida de todos – Relacionamento – Pessoal e Negócios Ambiente de negócio dinâmico – Dependência crescente da tecnologia – Informação é diferencial competitivo – Velocidade na tomada de decisão Tecnologias novas e complexas Crescimento dos RISCOS – Falhas, ataques, fraudes etc. 4 4
  5. 5. A Internet para o Negócio 67 milhões de usuários de Internet em 2009 – 32,5 milhões de usuários de Internet Banking – 8 bilhões de transações bancárias on-line (18,1% do total). – 13 milhões de compradores on- line. – Vendas online vão atingir R$ 10 bilhões em 2009 Fontes: Foto: sxc.hu Folha On-line, Febraban, Camara e-Net, E-bit 5 5
  6. 6. A Internet é Insegura Projeto inicial sem grande preocupação com a segurança – Inicialmente um projeto acadêmico-militar – Surgiu com foco na disponibilidade da rede Grande quantidade de alvos e atacantes – Crescimento exponencial – Diversidade de tecnologias – Dificuldade em manter sistemas livres de falha – Facilidade de acesso (qualquer lugar do mundo) Sensação de anonimato e impunidade Foto: sxc.hu 6 6
  7. 7. Principais ameaças ao negócio Vírus 66% Funcionários insatisfeitos 53% Divulgação de senhas 51% Acessos indevidos 49% Vazamento de informações 47% Fraudes, erros e acidentes 41% Hackers 39% Falhas na segurança física 37% Uso de notebooks 31% Fraudes em e-mail 29% Fonte: 9a Pesquisa Módulo 7 7
  8. 8. Perdas Financeiras R$ 300 milhões de perdas por fraude bancária on-line em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Foto: pptdigital 8 8
  9. 9. É fácil atacar Existem hoje à disposição: – Milhares de web sites sobre ataques e download de ferramentas na Internet – Centenas de salas de discussão (mIRC) – Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) – Milhões de equipamentos vulneráveis (servidores e desktops). 9 9
  10. 10. É fácil aprender a “hackear” Milhares de sites – www.rootshell.com – www.astalavista.com – Google, Youtube Centenas de revistas, livros, tutoriais, e-zines, canais de bate- papo, etc – www.2600.com – www.phrack.org Eventos – www.defcon.org 10 10
  11. 11. É fácil aprender a “hackear” Ferramentas de fácil uso 11 11
  12. 12. Vários tipos de Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Cyber criminosos – Fraudadores, “Carder” Espião Terrorista Vândalo 12 12
  13. 13. Ameaças: evolução Década de 80 - ataques individuais e isolados – Senhas comprometidas – Invasões via conexões dial-up – phreaking Década de 90 - ataques sofisticados – Sniffers, IP spoofing, SPAM, Vírus – Defacements de websites – Atacantes na maioria amadores Ano 2000 - ataques distribuídos – DDoS (Distributed Deny of service) – Worms (vermes) – Atacantes se profissionalizam 13 13
  14. 14. Ameaças: evolução Hoje - Cybercrime – Crimes financeiros na Internet – Ataques a usuários finais – Phishing Scan – fraudes online – Sites falsos – Keyloggers, rootkits – Botnets – Ataques – Hacking for hire – Guerra eletrônica 14 14
  15. 15. Dinheiro é o Motivo Fraude em Internet Click Fraud Phishing Banking e Pharming Laranjas Fraude de Cartões de Créditos Extorsão Ad/Spyware Roubo CD Keys Espionagem Hackers for Hire Industrial Pirataria 15 15
  16. 16. Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA) August 17, 1996 16 16
  17. 17. Páginas Invadidas – exemplos clássicos UNICEF January 7, 1998 17 17
  18. 18. Páginas Invadidas Associação de Futebol Argentino (AFA) September 14, 2009 18 18
  19. 19. Páginas Invadidas Governo do Mexico October 06, 2009 19 19
  20. 20. Histórias de terror IDG Now 01/09/2003 20 20
  21. 21. Histórias de terror IDG Now 03/10/2003 21 21
  22. 22. Histórias de terror Plantão INFO Mar/07 22 22
  23. 23. Histórias de terror BBC maio/2007 23 23
  24. 24. Histórias de terror CSO Online set/2007 24 24
  25. 25. Histórias de terror Computerworld 20/mar/2008 25 25
  26. 26. Spam 26 26
  27. 27. Phishing Scam Forma de ataque muito comum hoje em dia Engana o usuário para roubar seus dados e usar em futuras fraudes financeiras 27 27
  28. 28. Phishing Scam 28 28
  29. 29. Phishing Scam 29 29
  30. 30. Luz no fim do túnel IDG Now 17/08/2007 30 30
  31. 31. Luz no fim do túnel 28/05/2009 31 31
  32. 32. Segurança da Informação Segurança Corporativa Security Officer O profissional consciente 32
  33. 33. O que é Segurança segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, confiar firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, risco protegido garantido. 8. Em quem se pode confiar. 9. confiar Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] 33 33
  34. 34. Para que ter Segurança da Informação “A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] 34 34
  35. 35. O que proteger Os dados (informações) – Planejamentos, estratégias – Bases de dados, cadastros – Dados administrativos Recursos – Hardware e a infra-estrutura – Software Funcionários Imagem e Reputação Foto: sxc.hu 35 35
  36. 36. Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos – Análise de riscos Ferramentas Tecnológicas Segurança Física Foto: sxc.hu 36 36
  37. 37. Legislação e Normas Padrões internacionais – ISO 27001 (ISO 17799), Cobit, Coso, ITIL – Convenção de Budapeste Leis e regulamentações locais – PCI, Basiléia II, Sarbanes-Oxley – Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) 37 37
  38. 38. Security Officer 38 38
  39. 39. Security Officer Profissional responsável pelas atividades relacionada a segurança e gestão de risco, tais como: – Gerenciar a Segurança Corporativa – Definir políticas, normas e procedimentos – Implantar e administrar tecnologias de segurança – Controlar acessos de usuários – Auditoria – Prevenir, impedir e responder a ataques 39 39
  40. 40. Profissional de segurança da informação Vários campos de atuação: – Pesquisa em segurança – Vulnerabilidades, ataques, criptografia, etc – Estratégia e Gestão de segurança – Ferramentas e tecnologias de segurança – Firewall, IDS, antivírus, etc – Desenvolvimento / Auditoria de código – Resposta a incidentes (ataques) – Investigação forense – Leis, Normas e ética – Auditoria 40 40
  41. 41. Perfil Origem e formação de duas formas distintas: – Técnica – Profissionais de TI especializados em segurança – Suporte em TI (servidores, redes, etc) – Desenvolvimento – “ex-hackers” – Administrativa (Processual / Auditoria / Leis) – Gestão de TI, Elaboração de Processos – Auditoria, Análise de Riscos – Advogados especializados 41 41
  42. 42. Ética Profissional Comportamento ético é muito importante na profissão – Cargos de confiança – Acesso a informações sigilosas – Participação de investigações e sindicâncias internas Cuidado com a imagem – Atuar eticamente – Postura ética: mensagens em listas de discussão, Orkut, etc 42 42
  43. 43. Ética Profissional Pecados durante contratação: – mentiras sobre qualificações (31%) – baixo nível de comunicação (25%) – relações com comportamento criminoso (24%) – relatos ofendendo o emprego anterior ou revelando uso de drogas (19%) 43 43
  44. 44. Atualização Profissional Necessidade de atualização contínua – Novas tecnologias – Novas vulnerabilidades e ameaças Como? – Listas de discussão – Cursos, treinamentos e certificações – Participar de associações profissionais – ISSA, ISACA, OWASP – Participação em eventos de qualidade 44 44
  45. 45. Recomendações Finais 45
  46. 46. Recomendações Finais Para a Empresa – A preocupação com segurança deve permear toda a organização – Segurança como diferencial competitivo – Análise de riscos – Segregação de ambientes (produção, desenvolvimento e testes) – Atualização dos sistemas – Processos, normas e procedimentos – Legislação – Normas internas Foto: arquivo pessoal – “Termo de responsabilidade” – Treinamento e Conscientização 46 46
  47. 47. Recomendações finais Para nós (profissionais de TI) – Todos temos uma parcela de responsabilidade – Ética – Preocupação com segurança – Correta instalação e configuração de sistemas – Manter os sistemas atualizados – Qualidade no desenvolvimento de software – KISS (Keep it Simple, Stupid) Foto: arquivo pessoal – Processos, normas, procedimentos 47 47
  48. 48. Recomendações finais (Futuros) Profissionais de TI – Desenvolvedores e arquitetos de software – Boas práticas Arquitetura de software Controle de versão Testes – Desenvolvimento de código seguro Foto: sxc.hu 48 48
  49. 49. Recomendações finais (Futuros) Profissionais de TI – Administradores de sistemas, BDs e redes – Boas práticas de configuração dos equipamentos – Atualização constante – Monitoração e auditoria – Backup, redundância Foto: sxc.hu 49 49
  50. 50. Recomendações finais Para nós (usuários finais) – Manter o micro atualizado (Windows update) – Antivírus Atualizado – Personal Firewall, antispyware, foto de santinho – Não acreditar em tudo o que vê – Nunca clicar em links nem abrir anexo de e-mails suspeitos (ou não explicitamente desejados) – Cuidado com suas senhas – Não conte para ninguém – Use senhas “fortes” – Cuidado com micros que você não conhece – Cuidado ao instalar softwares estranhos 50 50
  51. 51. Recomendações finais Para nós (pais) – Computador não é “Tecnlogia acalma criança” – Manter diálogo aberto com os filhos sobre o uso e riscos da Internet – Cuidado com seu filho falando com estranhos – Cuidado com seu filho falando com mais velhos – Manter o computador na sala, onde pode ser monitorado – Impor limites – ex: não pode ver TV nem computador Foto: sxc.hu após as 22hs 51 51
  52. 52. Recomendações finais Para nós (filhos) – Não confiar no que você recebe pela Internet – Não falar com estranhos – Não abrir e-mail de estranhos – Não clicar em links (de) estranhos – Não informar dados pessoais – Cuidado com páginas pessoais, scraps, blogs – Cuidado com sua privacidade e de seus amigos – Dados, fotos, mensagens Foto: sxc.hu 52 52
  53. 53. Referências www.cert.br Blogs sobre Segurança www.modulo.com.br www.naopod.com.br www.navegueprotegido.org infosecfeeds.blogspot.com www.cert.org www.sans.org www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode (Writing Secure Code) www.microsoft.com/athome/security (Security at home) 53 53
  54. 54. Obrigado :) Anchises M. G. de Paula Analista de Inteligência iDefense – VeriSign Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com 54 54

×