Esta palestra aborda a importância da segurança da informação, como podemos atuar na área e mostra algumas das principais técnicas que cyber criminosos utilizam para ganhar acesso a uma empresa. Incluindo algumas medidas de proteção.
3. Quem sou
Daybson Bruno
Information Security Professional
Pentester na Desec Security
Fouder do Projeto Xtreme Security
desec.com.br | xtremesec.com.br
15/04/2016 3
4. Pense e Reflita
Suas informações pessoais não tem preço,
elas são bastante importante pra você.
Porém estão elas realmente seguras ?
15/04/2016 4
5. Segurança da Informação
A Segurança da Informação está relacionada
com a proteção de um conjunto de dados, no
sentido de preservar o valor que possuem,
seja para uma pessoa ou para uma empresa.
15/04/2016 5
6. Por que precisamos de SI?
• Evolução da tecnologia focando a
facilidade de uso
• Aumento do uso de redes e interligação
das aplicações
• Diminuição do nível de conhecimento para
executar ataques avançados
• Aumento da complexidade para
administração de computadores.
15/04/2016 6
7. Princípios Básicos da SI
Confidencialidade :: Define que somente pessoas que tenham as
permissões corretas devem acessar uma determinada informação;
Integridade :: Define que a informação mantenha-se íntegra e
inalterada;
Disponibilidade :: Define que a informação deverá estar sempre
disponível;
Autenticidade :: Define que a informação está sendo enviada
por uma fonte legitima e segura, e não foi interceptada;
Legalidade :: Define se as informação está de acordo com a
legislação do país.
15/04/2016 7
8. Serviços na área de SI
Tem Varias áreas que podemos atuar:
• Hardening (Blindagem de servidores) ;
• Monitoramento e Segurança de redes;
• Penetration Testing;
• Code Review e Desenvolvimento Seguro;
• Perícia Computacional;
15/04/2016 8
9. Ameaças Físicas e Virtuais
15/04/2016 9
Como atuam os Criminosos Cibernéticos.
Quais são algumas de suas técnicas.
E como se proteger deles.
10. Quem são eles?
Indivíduos e organizações criminosas estão sempre em busca de
informações valiosas e buscam obtê-las através de meios inadequados.
Estes indivíduos e organizações são conhecidos como crackers, espiões,
vândalos, ladrões ou terroristas.
A meta é roubar, danificar, destruir e perturbar.
Exemplos: Roubo de Identidade, Fraude Bancária, Extorsão, Espionagem
Industrial, Violação de Privacidade e etc...
15/04/2016 10
11. Google Hacking
Google Hacking é a atividade de usar recursos de busca do site,
visando atacar ou proteger melhor as informações de uma empresa.
As informações disponíveis nos servidores web da empresa
provavelmente estarão nas bases de dados do Google.
Um servidor mal configurado pode expor diversas informações da
empresa no Google. Não é difícil conseguir!
15/04/2016 11
12. Google Hacking
Principais comandos:
Operador Descrição
site: Limita a busca ao site
-site: Exclui sites indicados
inurl: Busca urls
intext: Busca texto nas paginas
intitle: Busca o titulo das paginas
filetype: Busca por extensões
Index of Busca por diretórios sem index
“ftp” Determina o termo exato a ser buscado
17. SHODAN
É um serviço de busca que permite encontrar computadores
e dispositivos conectados à internet.
Por exemplo: Webcams, Roteadores, Smartphones, Tablets,
VoIP, Computadores, Servidores, Sistemas de Vídeo
Conferência e até outros como monitores de bebê e
sistema de refrigeração de prédio.
Ou seja ele é capaz de rastrear qualquer aparelho
conectado à internet, fornecendo detalhes que podem
permitir acesso.
“O Google procura por websites. Shodan por dispositivos”
19. SHODAN
Principais Filtros:
Operador Descrição
net Busca um Ip especifico, ou uma range de IPs
country Filtra por país especifico
city Filtra por cidades especificas
port Permite filtrar por portas especificas
hostname Permite pesquisar por endereço do host
geo Permite pesquisar por coordenadas geográficas
os Permite pesquisar por sistemas operacionais
24. CONTRAMEDIDAS
• Possuir uma boa política referente à publicações de informações na
internet.
• Não deixar configurações padrão em servidores web, para que os mesmos
não consigam ser identificados facilmente.
• Sempre analisar as informações disponíveis sobre a empresa em sites
de busca.
• Alertar e treinar os funcionários da empresa com relação a maneira
com que um ataque de engenharia social pode acontecer, e as possíveis
informações que o atacante poderá usar nesse ataque.
• Nunca deixe senhas padrões no seus equipamentos ou sem senha.
15/04/2016 24
25. ENGENHARIA SOCIAL
Podemos considerar a engenharia social como a arte de
enganar pessoas para conseguir informações, as quais não
deviam ter acesso.
15/04/2016 25
27. Ataques – Baseado em Pessoas
• Disfarces
• Representações
• Uso de cargos de alto nível
• Ataques ao serviço de Helpdesk
• Observações
15/04/2016 27
28. Ataques – Baseado em Computadores
Se um usuário encontrar um pendrive no chão da empresa o que ele
faria rapidamente?
O Atacante pode enganar um usuário induzindo-o a instalar um
malware através de um e-mail de uma fonte confiável, usando a
Engenharia Social.
15/04/2016 28
29. Ataques – Baseado em Computadores
Vírus
Este tipo de malware, requer que o usuário execute alguma ação com o
objetivo de ser instalado.
Com isso ele irá realizar alguma atividade ou propagar-se para outro
computador.
Pode ser instalado através de ações como abrir um anexo de e-mail ou
usando um pen-drive.
15/04/2016 29
30. Ataques – Baseado em Computadores
Phishing
Resume-se em fraude eletrônica, é uma técnica de adquirir
informações sigilosas, tais como senhas de Internet Banking e
números de Cartão de Crédito, o método mais comum é enviar um e-
mail a vítima solicitando a confirmação de dados pessoais.
15/04/2016 30
34. Ataques – Baseado em Computadores
SPAM
É o nome dado para as mensagens eletrônicas, e-mails, recados em
redes sociais ou mensagens no celular, que são enviadas a você
sem o seu consentimento.
Em outras palavras, SPAM é um lixo eletrônico, utilizado
principalmente para fazer propagandas.
15/04/2016 34
36. Ataques – Baseado em Lixo.
Dumpster Diving
O que você joga no lixo ?
Muitas pessoas descartam informações importantes para o lixo sem
os devidos cuidados como Senhas, Contratos, Projetos,
Documentações de Sistemas, Relatórios Gerenciais, Plano de
Negócios, Cartas de Banco, Extrato Bancário, Fatura do Cartão de
Crédito, Xerox de Documentos e etc...
15/04/2016 36
37. TENHA TODO O CUIDADO!
Dados Pessoais nas Redes Sociais
Muito cuidado com o tipo de informação que você divulga nas
redes sociais, sem perceber você pode estar sendo monitorado por
alguém mal intencionado, evitar se expor lhe proporciona mais
segurança.
15/04/2016 37
38. TENHA TODO O CUIDADO!
Ambiente fora da Empresa
Cuidado com conversas sobre negócios sensíveis da empresa em
lugares públicos, como bares, restaurantes, eventos, conversas
ao telefone, terceiros ou ate mesmo com amigos e familiares..
15/04/2016 38
39. TENHA TODO O CUIDADO!
Roubo ou Perda de Equipamentos
Equipamentos como Notebooks, Celulares, Pen-Drives, que são
deixados em locais sem segurança podem ser facilmente roubados,
comprometendo às informações armazenadas dentro deles.
15/04/2016 39
40. TENHA TODO O CUIDADO!
Senhas não combina com isso!
15/04/2016 40
41. CONTRAMEDIDAS!
• Nunca trabalhe em assuntos privados em locais públicos.
• Faça o descarte seguro de documentos.
• Mantenha bolsas e documentos pessoais em segurança.
• Tenha cuidado com Shoulder Surfer's.
• Mantenha-se atento aos engenheiros sociais.
15/04/2016 41