SlideShare uma empresa Scribd logo

Já era para estarmos seguros, não era?

Marcelo de Souza
Marcelo de Souza

Slides da palestra apresentada no dia 27/10/2016 na 16ed do Confraria 0 day - Brasília.

Tecnologia
1 de 24
CONFRARIA 0DAY - 10/2016MARCELO SOUZA JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?
# WHOAMI Not root… :-/ Consultor Fuçador Co-fundador DEFCON Group BSB (dc5561.org) ~15 anos atuando em InfoSec
POR QUE ME PREOCUPAR?
MOTIVAÇÃO Milhões de $$$ investidos em segurança nos ambientes corporativos Incidentes… incidentes… Mais milhões de $$$! Incidentes… Já falei dos milhões??? J
SOLUÇÃO A, B, C… Antivirus Anti- APT App Firewall IDS/IPS Proxy Firewall
”A” NÃO FALA COM ”B” NEM ”C”… Se dependesse da quantidade de soluções de InfoSec, não teríamos mais problemas de InfoSec… Pior de tudo: cada uma funcionando isoladamente (silos) Nosso paradigma está correto?
ESTAMOS PERDIDOS!?!? "A definição de insanidade é fazer a mesma coisa repetidamente e esperar resultados diferentes" - Albert Einstein (!!!) Em resumo: cometemos os mesmos erros há anos… e não adianta botar a culpa no usuário! Software continua mal escrito, vulnerabilidades antigas ainda presentes, ”stupid assumptions”... (!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)
HOW TO SUCK AT INFOSEC? https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/
HOW TO SUCK AT INFOSEC?
”THERE’S NO PATCH FOR THAT…” https://www.schneier.com/blog/archives/2016/10/security_design.html
CENÁRIOS… ...BASEADOS EM FATOS REAIS!
CENÁRIO 1: DUMP DE SENHAS ”Senha forte é bobagem!” NLTM hashes de senhas de 8 caracteres (números e letras min.) à quebradas em < 1 minuto (Rainbow Table de 8GB) mimikatz (2012) rul3z!!! Muitas vezes nem é necessário quebrar hashes (WDigest)
CENÁRIO 1: DUMP DE SENHAS Vídeo (dump LSASS) http://ophcrack.sourceforge.net/tables.php
CENÁRIO 2: ”POWER MALWARE” Vídeo (”Power Malware”)
CENÁRIO 3: RUBBER DUCKY https://www.hak5.org/blog/15-second-password-hack-mr-robot-style
SO WHAT?
NÃO MELHORAMOS NADA?!? Não o bastante! Algumas poucas iniciativas em busca de melhorias Reviravoltas em InfoSec ”pós-Snowden” (2013) TLS ”everywhere”, HSTS, ”cloud fear”... ”APT fear” (não é FUD!) Mudança de mentalidade interessante (~2014/2015) ”vulnerability-centric” à ”threat-centric”
VULN MNGMT X THREAT INTEL https://www.google.com/trends/explore?q=vulnerability%20management,thre at%20intelligence
O QUE FALTA, DOUTOR?
”INCIDENT-CENTRIC” INFOSEC Necessidade de mais uma mudança de paradigma ”vulnerability-centric” à ”threat-centric” à ”incident- centric” Mudança não significa abandonar totalmente o legado Dar a devida importância a Resposta a Incidentes Em outras palavras: ”Vou ser invadido cedo ou tarde, melhor estar preparado!” Pro+Pe+Tec and Situational Awareness to the rescue!
PRO+PE+TEC Preparação para IR: PROcessos, PEssoas e TECnologia Pessoas Tecnologia Processos (!!!) Não, não é uma palestra de vendas!
SITUATIONAL AWARENESS Mecanismos para perceber quando incidentes acontecem e reagir a eles Objetivo principal: auxiliar no tempo de resposta Yahoo levou 2 anos (!!!) pra descobrir o vazamento de 500M contas Necessidade de integração entre as ferramentas de segurança Correlação e contextualização de eventos IOCs + Logs + Tráfego de rede
OBRIGADO!!! BLOG.MARCELOSOUZA.COM CONTATO@MARCELOSOUZA.COM @MARCELO_SZ

Recomendados

Utilizando grafos em SegInfo para se divertir e (talvez) lucrar
Utilizando grafos em SegInfo para se divertir e (talvez) lucrarUtilizando grafos em SegInfo para se divertir e (talvez) lucrar
Utilizando grafos em SegInfo para se divertir e (talvez) lucrarMarcelo de Souza
 
The Vision Gap: content trends
The Vision Gap: content trendsThe Vision Gap: content trends
The Vision Gap: content trendsLauren Pope
 
Slideshare Showcase
Slideshare ShowcaseSlideshare Showcase
Slideshare Showcasesanminderbhangu
 
Oracle Sandbox
Oracle SandboxOracle Sandbox
Oracle SandboxDatavail
 
Fineart
FineartFineart
FineartRodrigo Stemann
 
How guidelines support great storytelling
How guidelines support great storytellingHow guidelines support great storytelling
How guidelines support great storytellingLauren Pope
 
Reki
RekiReki
Rekirdorsey
 
Agile content strategy - round 2
Agile content strategy - round 2Agile content strategy - round 2
Agile content strategy - round 2Lauren Pope
 

Recomendados

Utilizando grafos em SegInfo para se divertir e (talvez) lucrar
Utilizando grafos em SegInfo para se divertir e (talvez) lucrarUtilizando grafos em SegInfo para se divertir e (talvez) lucrar
Utilizando grafos em SegInfo para se divertir e (talvez) lucrarMarcelo de Souza
 
The Vision Gap: content trends
The Vision Gap: content trendsThe Vision Gap: content trends
The Vision Gap: content trendsLauren Pope
 
Slideshare Showcase
Slideshare ShowcaseSlideshare Showcase
Slideshare Showcasesanminderbhangu
 
Oracle Sandbox
Oracle SandboxOracle Sandbox
Oracle SandboxDatavail
 
Fineart
FineartFineart
FineartRodrigo Stemann
 
How guidelines support great storytelling
How guidelines support great storytellingHow guidelines support great storytelling
How guidelines support great storytellingLauren Pope
 
Reki
RekiReki
Rekirdorsey
 
Agile content strategy - round 2
Agile content strategy - round 2Agile content strategy - round 2
Agile content strategy - round 2Lauren Pope
 
Spss 17-handleiding2
Spss 17-handleiding2Spss 17-handleiding2
Spss 17-handleiding2vikramrajuu
 
Presentacion calisto 4º eso
Presentacion calisto 4º esoPresentacion calisto 4º eso
Presentacion calisto 4º esoCristina Blanco
 
Agile content strategy
Agile content strategyAgile content strategy
Agile content strategyLauren Pope
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)Cristina Blanco
 
Potential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourismPotential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourismAdmir Pepeljak
 
Technowise 360 Complete Presentation
Technowise 360 Complete PresentationTechnowise 360 Complete Presentation
Technowise 360 Complete PresentationJohn Lawrence Mangcucang
 
Content strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKEContent strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKELauren Pope
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)Cristina Blanco
 
Crexendo Cloud Communications
Crexendo Cloud CommunicationsCrexendo Cloud Communications
Crexendo Cloud Communicationsdouggaylor
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Kleitor Franklint Correa Araujo
 
Current Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and PracticeCurrent Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and PracticeRoberto Soares
 
Take It To The Next Level
Take It To The Next LevelTake It To The Next Level
Take It To The Next LevelGabriel Laet
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiMódulo Security Solutions
 
Curso Marketing Digital Ana Paula Coelho
Curso Marketing Digital Ana Paula CoelhoCurso Marketing Digital Ana Paula Coelho
Curso Marketing Digital Ana Paula CoelhoAna Paula Coelho Barbosa
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Roadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de CybersecRoadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de CybersecFábio Szescsik
 
Mind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é MobileMind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é MobileLuiz Henrique Barbosa (Cabuloso)
 
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delasPc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delasMarcelo Costa
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsVinicius Oliveira Ferreira
 
Buildout - Sua empregada virtual
Buildout - Sua empregada virtualBuildout - Sua empregada virtual
Buildout - Sua empregada virtualdouglascamata
 

Mais conteúdo relacionado

Destaque

Spss 17-handleiding2
Spss 17-handleiding2Spss 17-handleiding2
Spss 17-handleiding2vikramrajuu
 
Presentacion calisto 4º eso
Presentacion calisto 4º esoPresentacion calisto 4º eso
Presentacion calisto 4º esoCristina Blanco
 
Agile content strategy
Agile content strategyAgile content strategy
Agile content strategyLauren Pope
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)Cristina Blanco
 
Potential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourismPotential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourismAdmir Pepeljak
 
Content strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKEContent strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKELauren Pope
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)Cristina Blanco
 
Crexendo Cloud Communications
Crexendo Cloud CommunicationsCrexendo Cloud Communications
Crexendo Cloud Communicationsdouggaylor
 

Destaque (9)

Spss 17-handleiding2
Spss 17-handleiding2Spss 17-handleiding2
Spss 17-handleiding2
 
Presentacion calisto 4º eso
Presentacion calisto 4º esoPresentacion calisto 4º eso
Presentacion calisto 4º eso
 
Agile content strategy
Agile content strategyAgile content strategy
Agile content strategy
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
Lingua latina per se illustrata: Cap. XVII (Exercitium 4)
 
Potential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourismPotential cambodia’s protected areas for the development of tourism
Potential cambodia’s protected areas for the development of tourism
 
Technowise 360 Complete Presentation
Technowise 360 Complete PresentationTechnowise 360 Complete Presentation
Technowise 360 Complete Presentation
 
Content strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKEContent strategy for information professionals: slides from LIKE
Content strategy for information professionals: slides from LIKE
 
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
Lingua latina per se illustrata: Cap. XVII (Exercitium 2)
 
Crexendo Cloud Communications
Crexendo Cloud CommunicationsCrexendo Cloud Communications
Crexendo Cloud Communications
 

Semelhante a Já era para estarmos seguros, não era?

Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentationBravo Tecnologia
 
Current Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and PracticeCurrent Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and PracticeRoberto Soares
 
Take It To The Next Level
Take It To The Next LevelTake It To The Next Level
Take It To The Next LevelGabriel Laet
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Maurício Harley
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Roadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de CybersecRoadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de CybersecFábio Szescsik
 
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delasPc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delasMarcelo Costa
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsVinicius Oliveira Ferreira
 
Buildout - Sua empregada virtual
Buildout - Sua empregada virtualBuildout - Sua empregada virtual
Buildout - Sua empregada virtualdouglascamata
 
Confraria Security And IT - End Point Security
Confraria Security And IT - End Point SecurityConfraria Security And IT - End Point Security
Confraria Security And IT - End Point SecurityLuis Grangeia
 
Dicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsDicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsGDGFoz
 
Badass XSS: Esqueça o alert e vá para mundo real
Badass XSS: Esqueça o alert e vá para mundo realBadass XSS: Esqueça o alert e vá para mundo real
Badass XSS: Esqueça o alert e vá para mundo realDaniel Marques
 
Engenharia de Software - Conceitos e Modelos de Desenvolvimento
Engenharia de Software - Conceitos e Modelos de Desenvolvimento Engenharia de Software - Conceitos e Modelos de Desenvolvimento
Engenharia de Software - Conceitos e Modelos de Desenvolvimento Sérgio Souza Costa
 
Lidar com Expectativas é a melhor forma de garantir a Experiência
Lidar com Expectativas é a melhor forma de garantir a ExperiênciaLidar com Expectativas é a melhor forma de garantir a Experiência
Lidar com Expectativas é a melhor forma de garantir a ExperiênciaMarcelo Sales
 
Wire 2010 - Entenda Software da Forma Correta
Wire 2010 - Entenda Software da Forma CorretaWire 2010 - Entenda Software da Forma Correta
Wire 2010 - Entenda Software da Forma CorretaFabio Akita
 

Semelhante a Já era para estarmos seguros, não era? (20)

Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Current Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and PracticeCurrent Threads, White/Black Hats and Practice
Current Threads, White/Black Hats and Practice
 
Take It To The Next Level
Take It To The Next LevelTake It To The Next Level
Take It To The Next Level
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
Curso Marketing Digital Ana Paula Coelho
Curso Marketing Digital Ana Paula CoelhoCurso Marketing Digital Ana Paula Coelho
Curso Marketing Digital Ana Paula Coelho
 
Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)Fuzzing com ZAP (Zed Attack Proxy)
Fuzzing com ZAP (Zed Attack Proxy)
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Roadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de CybersecRoadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
Roadsec 2017 - Inteligencia Artificial e o futuro de Cybersec
 
Mind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é MobileMind The Sec - O Cibercrime também é Mobile
Mind The Sec - O Cibercrime também é Mobile
 
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delasPc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
Pc world conheça 11 ameaças na web e saiba o que fazer para ficar livre delas
 
Desenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocêsDesenvolvedores, a Segurança precisa de vocês
Desenvolvedores, a Segurança precisa de vocês
 
Buildout - Sua empregada virtual
Buildout - Sua empregada virtualBuildout - Sua empregada virtual
Buildout - Sua empregada virtual
 
Confraria Security And IT - End Point Security
Confraria Security And IT - End Point SecurityConfraria Security And IT - End Point Security
Confraria Security And IT - End Point Security
 
Dicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOpsDicas de como entrar no mundo do DevSecOps
Dicas de como entrar no mundo do DevSecOps
 
Badass XSS: Esqueça o alert e vá para mundo real
Badass XSS: Esqueça o alert e vá para mundo realBadass XSS: Esqueça o alert e vá para mundo real
Badass XSS: Esqueça o alert e vá para mundo real
 
Engenharia de Software - Conceitos e Modelos de Desenvolvimento
Engenharia de Software - Conceitos e Modelos de Desenvolvimento Engenharia de Software - Conceitos e Modelos de Desenvolvimento
Engenharia de Software - Conceitos e Modelos de Desenvolvimento
 
Lidar com Expectativas é a melhor forma de garantir a Experiência
Lidar com Expectativas é a melhor forma de garantir a ExperiênciaLidar com Expectativas é a melhor forma de garantir a Experiência
Lidar com Expectativas é a melhor forma de garantir a Experiência
 
ANÁLISE PROSPETIVA DOS RISCOS NOVOS E EMERGENTES RELACIONADOS COM A DIGITALIZ...
ANÁLISE PROSPETIVA DOS RISCOS NOVOS E EMERGENTES RELACIONADOS COM A DIGITALIZ...ANÁLISE PROSPETIVA DOS RISCOS NOVOS E EMERGENTES RELACIONADOS COM A DIGITALIZ...
ANÁLISE PROSPETIVA DOS RISCOS NOVOS E EMERGENTES RELACIONADOS COM A DIGITALIZ...
 
Wire 2010 - Entenda Software da Forma Correta
Wire 2010 - Entenda Software da Forma CorretaWire 2010 - Entenda Software da Forma Correta
Wire 2010 - Entenda Software da Forma Correta
 

Último

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfNatalia Granato
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx2m Assessoria
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx2m Assessoria
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploDanilo Pinotti
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsDanilo Pinotti
 

Último (6)

Assessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdfAssessement Boas Praticas em Kubernetes.pdf
Assessement Boas Praticas em Kubernetes.pdf
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 

Já era para estarmos seguros, não era?

  • 1. CONFRARIA 0DAY - 10/2016MARCELO SOUZA JÁ ERA PARA ESTARMOS SEGUROS, NÃO ERA?
  • 2. # WHOAMI Not root… :-/ Consultor Fuçador Co-fundador DEFCON Group BSB (dc5561.org) ~15 anos atuando em InfoSec
  • 3.
  • 5. MOTIVAÇÃO Milhões de $$$ investidos em segurança nos ambientes corporativos Incidentes… incidentes… Mais milhões de $$$! Incidentes… Já falei dos milhões??? J
  • 6. SOLUÇÃO A, B, C… Antivirus Anti- APT App Firewall IDS/IPS Proxy Firewall
  • 7. ”A” NÃO FALA COM ”B” NEM ”C”… Se dependesse da quantidade de soluções de InfoSec, não teríamos mais problemas de InfoSec… Pior de tudo: cada uma funcionando isoladamente (silos) Nosso paradigma está correto?
  • 8. ESTAMOS PERDIDOS!?!? "A definição de insanidade é fazer a mesma coisa repetidamente e esperar resultados diferentes" - Albert Einstein (!!!) Em resumo: cometemos os mesmos erros há anos… e não adianta botar a culpa no usuário! Software continua mal escrito, vulnerabilidades antigas ainda presentes, ”stupid assumptions”... (!!!) Ok, não foi ele que disse isso mas vou usar a frase mesmo assim! :-)
  • 9. HOW TO SUCK AT INFOSEC? https://blog.marcelosouza.com/como-ser-um-idiota-em-seginfo-reloaded/
  • 10. HOW TO SUCK AT INFOSEC?
  • 11. ”THERE’S NO PATCH FOR THAT…” https://www.schneier.com/blog/archives/2016/10/security_design.html
  • 13. CENÁRIO 1: DUMP DE SENHAS ”Senha forte é bobagem!” NLTM hashes de senhas de 8 caracteres (números e letras min.) à quebradas em < 1 minuto (Rainbow Table de 8GB) mimikatz (2012) rul3z!!! Muitas vezes nem é necessário quebrar hashes (WDigest)
  • 14. CENÁRIO 1: DUMP DE SENHAS Vídeo (dump LSASS) http://ophcrack.sourceforge.net/tables.php
  • 15. CENÁRIO 2: ”POWER MALWARE” Vídeo (”Power Malware”)
  • 16. CENÁRIO 3: RUBBER DUCKY https://www.hak5.org/blog/15-second-password-hack-mr-robot-style
  • 18. NÃO MELHORAMOS NADA?!? Não o bastante! Algumas poucas iniciativas em busca de melhorias Reviravoltas em InfoSec ”pós-Snowden” (2013) TLS ”everywhere”, HSTS, ”cloud fear”... ”APT fear” (não é FUD!) Mudança de mentalidade interessante (~2014/2015) ”vulnerability-centric” à ”threat-centric”
  • 19. VULN MNGMT X THREAT INTEL https://www.google.com/trends/explore?q=vulnerability%20management,thre at%20intelligence
  • 21. ”INCIDENT-CENTRIC” INFOSEC Necessidade de mais uma mudança de paradigma ”vulnerability-centric” à ”threat-centric” à ”incident- centric” Mudança não significa abandonar totalmente o legado Dar a devida importância a Resposta a Incidentes Em outras palavras: ”Vou ser invadido cedo ou tarde, melhor estar preparado!” Pro+Pe+Tec and Situational Awareness to the rescue!
  • 22. PRO+PE+TEC Preparação para IR: PROcessos, PEssoas e TECnologia Pessoas Tecnologia Processos (!!!) Não, não é uma palestra de vendas!
  • 23. SITUATIONAL AWARENESS Mecanismos para perceber quando incidentes acontecem e reagir a eles Objetivo principal: auxiliar no tempo de resposta Yahoo levou 2 anos (!!!) pra descobrir o vazamento de 500M contas Necessidade de integração entre as ferramentas de segurança Correlação e contextualização de eventos IOCs + Logs + Tráfego de rede