O documento discute os riscos à privacidade e segurança dos usuários online, como aplicativos coletando excessivamente dados pessoais e metadados de fotos revelando informações. Também aborda engenharia social, como manipular pessoas para obter dados, e formas de se proteger, como treinamentos e políticas de segurança classificando informações.

1. ATÉ ONDE VAI A INGENUIDADE DOS USUÁRIOS?

2. Renato Basante Borbolla
● Graduando de Segurança da Informação
● Administrador de sistemas Jr – Pentester
Eventos
- Campus Party
- Congresso de Direito e Tecnologia – OAB
- CryptoRave
- Congresso Fecomercio de Crimes Eletrônicos
- Hackertivismo e Perícia Forense em Grandes Eventos
- WTC Intel Connecting
Segurança de Redes e Computação Forense
unevcomputacao.com.br
lionsecurity.net

3. Privacidade
Segurança
Engenharia Social
Geolocalização e Exif (metadados)
Tópicos a serem abordados:

4. ATENÇÃO!
As informações contidas nesta apresentação são
apenas de caráter informativo. O conhecimento e as
técnicas abordadas não visam ensinar como enganar as
pessoas ou obter qualquer tipo de vantagem sobre
outrem.
Todas as informações, teorias e demonstrações
apresentadas tem como objetivo de alertar os erros
cometidos por usuários e tentar corrigir.

5. É a habilidade de uma pessoa em controlar a exposição
disponibilidade de informações e acerca de si.
Privacidade (do Inglês privacy), substantivo feminino:
- Intimidade
- Vida íntima.
O que é Privacidade?

6. Onde você iria buscar informações?

7. Cases#Privacidade

8. Fonte: Terra - http://tecnologia.terra.com.br/noticias/0,,OI4446964-EI12884,00.html

9. Fonte: LinhaDefensiva - http://www.linhadefensiva.org/2013/07/sem-permissao-facebook-
para-android-coleta-numero-do-telefone/

10. Fonte: Brasilpost - http://www.brasilpost.com.br/sam-fiorella/os-insidiosos-termos-de-uso-
do-app-facebook-messenger_b_5651389.html

11. Privacidade
 Permissão para fazer ligações sem intervenção do usuário, possivelmente
causando cobranças adicionais sem necessidade de confirmação;
 Permissão para envio de mensagens SMS sem necessidade de intervenção ou
confirmação;
 Permissão para gravação de áudio com o microfone do celular sem
confirmação do usuário;
 Permissão de uso da câmera para fazer fotos e vídeos sem a confirmação do
usuário;
 Permissão para leitura do histórico de chamadas.
 Permissão para ler dados sobre contatos do usuário armazenados no telefone,
para ver com que freqüência você se comunica com um indivíduo;
 Permissão para receber uma lista de quaisquer apps instalados no aparelho.
Algumas solicitações invasivas do “Facebook Messenger”
Fonte: Olhar Digital - http://olhardigital.uol.com.br/noticia/43433/43433

12.  Divulgação de dados pessoais (encontros com amigos, festas,
eventos, viagens, etc)
 Divulgação de objetos de consumo ou conquistas (carro e emprego
novo, projetos estratégicos, mudança de área, etc)
 Participação em grupos
 Poucos cuidados com a proteção de dados pessoais
 Perfis ou grupos falsos
 Utilização de serviços de geolocation (Tags em fotos, posts no Twitter,
etc)
 Divulgação da localização atual (FourSquare, etc)
Quais os principais problemas
da mídias sociais.

13. Exif (metadados)
São dados variáveis que acompanham o arquivo da foto,
vídeo, etc.
Quando você clica uma foto, não é apenas a imagem que a sua
câmera está registrando, junto com o arquivo da foto, ela
também insere outras informações importantes, como a lente
que você usou, a câmera, velocidade de exposição, abertura
da lente, data, hora de captura e até mesmo a localização via
GPS, caso a sua câmera possua o dispositivo integrado.
Mas o que é Exif?

14. Exif (metadados)

15. Exif (metadados)
Ferramenta Online:
http://regex.info/exif.cgi
Exiftool
ou
Exiftoolgui
Forense Pentest

16. Exif (metadados)

17. Exif (metadados)

18. Exif (metadados)

19. Exif (metadados)

20. Como posso proteger
minhas informações?

21. Segurança da Informação
O que é Segurança?
De acordo com Peixoto (2006, p. 37),
“Segurança é o substantivo feminino que
significa o ato ou efeito de segurar. Também
pode ser sinônimo de confiança, garantia,
firmeza, estabilidade e certeza.”

22. Os princípios básicos

23. Vírus de Computador
Como se proteger deles?
É desse jeito?

24. Pragas Virtuais
Vírus de Computador é um software malicioso que vem
sendo desenvolvido por programadores que, infecta o
sistema, faz cópias de si mesmo e tenta se espalhar
para outros computadores, utilizando-se
de diversos meios para causar algum
dano no computador ou mesmo obter
dados não autorizados pela vitima.
O que é Vírus?

25. Como o nome propõe é uma tentativa
de um fraudador tentar "pescar"
informações pessoais de usuários
desavisados ou inexperientes.
Phishing (pescaria)

26. Cases
#Phishing

29. Fraudes

30. Incidentes

31. Malware Brasileiro
Fonte: Linha Defensiva - http://www.linhadefensiva.org/2013/04/virus-altera-boletos-na-web-e-
pagamento-cai-em-conta-indevida/

32. Malware Brasileiro

33. Engenharia Social
É uma técnica cujo o objetivo é obter informações das
pessoas através delas mesmas.
São práticas utilizadas para obter acesso a informações
importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das
pessoas.
Resumindo, Habilidade de Manipular Pessoas

34. Os Alvos de hoje em dia não são mais sistemas..
Engenharia Social
E sim PESSOAS!

35. Engenharia Social
 2 em cada 10 pessoas tem acesso a informações
importantes da empresa após sair da mesma.

36. Engenharia Social
1) Mas porque atacar uma pessoa ao invés de um sistema?
Brute Force
Vulnerabilidades
Sniffar a rede
Malware

37. Engenharia Social
Confiança
Sentir-se seguro
Mesclar as perguntas
Flexível e Sociável
Dinâmico
Criativo
Educado
2) Mas como atacar utilizando a engenharia social?

38. Engenharia Social
Tipos de Engenharia:
DIRETO: Envolvem um conjunto de
tecnologias e meios com intuito de
desestabilizar, assediar e ameaçar
a vítima sem a utilização de
camuflagens.

39. Engenharia Social
Tipos de Engenharia:
INDIRETO: É todo tipo de ataque cujo
real agressor é camuflado. Este tipo
de ataque envolve um conhecimento
mais abrangente, por
envolver técnicas que impedem a
identificação do agressor de
imediato.

40. Engenharia Social
Em qualquer organização, por maior
que seja a sua segurança, sempre
haverá um fator de desequilíbrio
chamado..
“Fator Humano”.

41. Engenharia Social
Medo
Curiosidade
Despreparado
Inocência
Busca por novas amizades
Ansiedade
Traços comportamentais que torna uma presa fácil :
Vaidade pessoal ou profissional
Vontade de ser útil

42. Engenharia Social
Resumindo:
O profissional da arte de enganar pessoas
utiliza-se de técnicas de persuasão e
exploração da ingenuidade dos usuários,
criando um ambiente psicológico perfeito
para seu ataque.
CRIATIVIDADE.Ele tem ALTO PODER de

43. Engenharia Social
Tipos de ataque:
1. Phishing Scan
2. Shoulder Surfing
3. Dumpster Dive
4. Tailgating

44. COMO SE PROTEGER: Treinamentos
Workshops
Estudo de Casos
Classificação de Informação
Pentest
Políticas Rígidas
Segurança da Informação

45. POLITICAS DE SEGURANÇA:
Segurança da Informação
 Segurança da informação deve começar com
uma avaliação dos riscos.
 Quais informações, ou que tipo informação
precisará estar protegida e qual o seu nível
de proteção.
 Quais ameaças ou que tipo de ameaça pode
atingir a empresa.
 Quais prejuízos a empresa teria se um desses
incidentes viesse a acontecer.

46. Obrigado!

47. Dúvidas?