@ThiagoDieb
Domínios *.gov.br,
a cruel realidade.
Confraria 0day
29/01/2015
@ThiagoDieb
Quem sou ?
Thiago Dieb
● Entusiasta e curioso em SI
● 12 anos de experiência
● Gerente de Desenvolvimento
● Co...
@ThiagoDieb
Motivação
@ThiagoDieb
Principais falhas
@ThiagoDieb
Injection
SQL Injection é uma das
primeiras falhas a serem
analisadas durante um
rastreamento de
vulnerabilida...
@ThiagoDieb
Injection
@ThiagoDieb
Injection
@ThiagoDieb
Local file download
Vulnerabilidade com nível intermediário.
Normalmente utilizada para baixar arquivos
com co...
@ThiagoDieb
Local file download
@ThiagoDieb
File upload
Menina dos Olhos
de Ouro,
vulnerabilidade
bastante buscada
por possibilitar
diversas ações
secundá...
@ThiagoDieb
File Upload
@ThiagoDieb
File Upload
@ThiagoDieb
Heartbleed
Desta vez o impacto foi muito
grande. Especulações dizem
que a falha foi explorada no
mínimo 2 anos...
@ThiagoDieb
Heartbleed
Outros exemplos:
http://dataprev.gov.br
http://www.cbm.df.gov.br
http://www.catolicavirtual.br
@ThiagoDieb
Shellshock Bash
2014 foi o ano das falhas,
outra vulnerabilidade de
altíssimo nível.
Bug no Bash atingiu um bo...
@ThiagoDieb
A realidade
@ThiagoDieb
Possíveis Causas
● Servidores sem experiência (Devel/Infra)
● Alta imaturidade, principalmente na fase de
test...
@ThiagoDieb
● Departamento de Segurança da Informação
e Comunicações - GSI - PR
● Fiscalização de tecnologia da informação...
@ThiagoDieb
Sugestões de melhoria
● Capacitação técnica dos servidores
(desenvolvimento seguro / teste de intrusão)
● Carg...
@ThiagoDieb
Sugestões de melhoria
● Maior divulgação dos comitês do DSIC
● Entidade de avaliação e monitoramento da
qualid...
@ThiagoDieb
gov.br
@ThiagoDieb
@ThiagoDieb
Obrigado
@ThiagoDieb - thiago@dieb.com.br
Próximos SlideShares
Carregando em…5
×

Palestra - Confraria 0day 2015 - Domínios *.gov.br, a cruel realidade

96 visualizações

Publicada em

Evento: Confraria 0day 2015
Data: 29/01/2015
Palestrante: Thiago Dieb


Não é segredo para ninguém que no Brasil é fácil encontrar sites com falhas de segurança, muito delas bem graves. Entretanto não é muito divulgado a quantidade de sistemas governamentais com fragilidade. Objetivo é relacionar as principais falhas encontradas e no ambiente governamental e suas prováveis causas. É surpreendente a quantidade e variedade presentes nesta situação.

Publicada em: Tecnologia
0 comentários
0 gostaram
Estatísticas
Notas
  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Sem downloads
Visualizações
Visualizações totais
96
No SlideShare
0
A partir de incorporações
0
Número de incorporações
3
Ações
Compartilhamentos
0
Downloads
2
Comentários
0
Gostaram
0
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Palestra - Confraria 0day 2015 - Domínios *.gov.br, a cruel realidade

  1. 1. @ThiagoDieb Domínios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015
  2. 2. @ThiagoDieb Quem sou ? Thiago Dieb ● Entusiasta e curioso em SI ● 12 anos de experiência ● Gerente de Desenvolvimento ● Consultor e professor
  3. 3. @ThiagoDieb Motivação
  4. 4. @ThiagoDieb Principais falhas
  5. 5. @ThiagoDieb Injection SQL Injection é uma das primeiras falhas a serem analisadas durante um rastreamento de vulnerabilidade.
  6. 6. @ThiagoDieb Injection
  7. 7. @ThiagoDieb Injection
  8. 8. @ThiagoDieb Local file download Vulnerabilidade com nível intermediário. Normalmente utilizada para baixar arquivos com configurações do sistema e dados de conexão com banco de dados.
  9. 9. @ThiagoDieb Local file download
  10. 10. @ThiagoDieb File upload Menina dos Olhos de Ouro, vulnerabilidade bastante buscada por possibilitar diversas ações secundárias.
  11. 11. @ThiagoDieb File Upload
  12. 12. @ThiagoDieb File Upload
  13. 13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito grande. Especulações dizem que a falha foi explorada no mínimo 2 anos antes de ser divulgada.
  14. 14. @ThiagoDieb Heartbleed Outros exemplos: http://dataprev.gov.br http://www.cbm.df.gov.br http://www.catolicavirtual.br
  15. 15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas, outra vulnerabilidade de altíssimo nível. Bug no Bash atingiu um boa parte dos servidores com os sistemas operacionais em Linux e Mac/OS.
  16. 16. @ThiagoDieb A realidade
  17. 17. @ThiagoDieb Possíveis Causas ● Servidores sem experiência (Devel/Infra) ● Alta imaturidade, principalmente na fase de teste ● Equipe terceirizada descompromissada com a qualidade do produto ● Grande quantidade de sistemas legados, inclusive com baixo nível de segurança. ● Falta de patrocínio da alta administração sobre o tema de segurança da informação
  18. 18. @ThiagoDieb ● Departamento de Segurança da Informação e Comunicações - GSI - PR ● Fiscalização de tecnologia da informação - TCU ● Governo eletrônico - SISP ● Lei 12.737/212 (Lei Carolina Dieckman) ● Decreto 8.135/2013 (Segurança de dados) Em contrapartida
  19. 19. @ThiagoDieb Sugestões de melhoria ● Capacitação técnica dos servidores (desenvolvimento seguro / teste de intrusão) ● Cargos específicos para área de segurança da informação na AP. ● Maior divulgação e cobrança sobre segurança da informação na AP. ● Política de análise de impacto e risco dos sistemas legados da AP.
  20. 20. @ThiagoDieb Sugestões de melhoria ● Maior divulgação dos comitês do DSIC ● Entidade de avaliação e monitoramento da qualidade dos sites e sistemas da AP. ● Criação do selo de qualificação para os sites e sistemas da AP.
  21. 21. @ThiagoDieb gov.br
  22. 22. @ThiagoDieb
  23. 23. @ThiagoDieb Obrigado @ThiagoDieb - thiago@dieb.com.br

×