O documento discute os riscos à privacidade e segurança dos usuários online, como aplicativos coletando excessivamente dados pessoais e metadados de fotos revelando informações. Também aborda engenharia social, como manipular pessoas para obter dados, e formas de se proteger, como treinamentos e políticas de segurança classificando informações.
2. Renato Basante Borbolla
● Graduando de Segurança da Informação
● Administrador de sistemas Jr – Pentester
Eventos
- Campus Party
- Congresso de Direito e Tecnologia – OAB
- CryptoRave
- Congresso Fecomercio de Crimes Eletrônicos
- Hackertivismo e Perícia Forense em Grandes Eventos
- WTC Intel Connecting
Segurança de Redes e Computação Forense
unevcomputacao.com.br
lionsecurity.net
4. ATENÇÃO!
As informações contidas nesta apresentação são
apenas de caráter informativo. O conhecimento e as
técnicas abordadas não visam ensinar como enganar as
pessoas ou obter qualquer tipo de vantagem sobre
outrem.
Todas as informações, teorias e demonstrações
apresentadas tem como objetivo de alertar os erros
cometidos por usuários e tentar corrigir.
5. É a habilidade de uma pessoa em controlar a exposição
disponibilidade de informações e acerca de si.
Privacidade (do Inglês privacy), substantivo feminino:
- Intimidade
- Vida íntima.
O que é Privacidade?
11. Privacidade
Permissão para fazer ligações sem intervenção do usuário, possivelmente
causando cobranças adicionais sem necessidade de confirmação;
Permissão para envio de mensagens SMS sem necessidade de intervenção ou
confirmação;
Permissão para gravação de áudio com o microfone do celular sem
confirmação do usuário;
Permissão de uso da câmera para fazer fotos e vídeos sem a confirmação do
usuário;
Permissão para leitura do histórico de chamadas.
Permissão para ler dados sobre contatos do usuário armazenados no telefone,
para ver com que freqüência você se comunica com um indivíduo;
Permissão para receber uma lista de quaisquer apps instalados no aparelho.
Algumas solicitações invasivas do “Facebook Messenger”
Fonte: Olhar Digital - http://olhardigital.uol.com.br/noticia/43433/43433
12. Divulgação de dados pessoais (encontros com amigos, festas,
eventos, viagens, etc)
Divulgação de objetos de consumo ou conquistas (carro e emprego
novo, projetos estratégicos, mudança de área, etc)
Participação em grupos
Poucos cuidados com a proteção de dados pessoais
Perfis ou grupos falsos
Utilização de serviços de geolocation (Tags em fotos, posts no Twitter,
etc)
Divulgação da localização atual (FourSquare, etc)
Quais os principais problemas
da mídias sociais.
13. Exif (metadados)
São dados variáveis que acompanham o arquivo da foto,
vídeo, etc.
Quando você clica uma foto, não é apenas a imagem que a sua
câmera está registrando, junto com o arquivo da foto, ela
também insere outras informações importantes, como a lente
que você usou, a câmera, velocidade de exposição, abertura
da lente, data, hora de captura e até mesmo a localização via
GPS, caso a sua câmera possua o dispositivo integrado.
Mas o que é Exif?
21. Segurança da Informação
O que é Segurança?
De acordo com Peixoto (2006, p. 37),
“Segurança é o substantivo feminino que
significa o ato ou efeito de segurar. Também
pode ser sinônimo de confiança, garantia,
firmeza, estabilidade e certeza.”
24. Pragas Virtuais
Vírus de Computador é um software malicioso que vem
sendo desenvolvido por programadores que, infecta o
sistema, faz cópias de si mesmo e tenta se espalhar
para outros computadores, utilizando-se
de diversos meios para causar algum
dano no computador ou mesmo obter
dados não autorizados pela vitima.
O que é Vírus?
25. Como o nome propõe é uma tentativa
de um fraudador tentar "pescar"
informações pessoais de usuários
desavisados ou inexperientes.
Phishing (pescaria)
33. Engenharia Social
É uma técnica cujo o objetivo é obter informações das
pessoas através delas mesmas.
São práticas utilizadas para obter acesso a informações
importantes ou sigilosas em organizações ou sistemas por
meio da enganação ou exploração da confiança das
pessoas.
Resumindo, Habilidade de Manipular Pessoas
34. Os Alvos de hoje em dia não são mais sistemas..
Engenharia Social
E sim PESSOAS!
35. Engenharia Social
2 em cada 10 pessoas tem acesso a informações
importantes da empresa após sair da mesma.
36. Engenharia Social
1) Mas porque atacar uma pessoa ao invés de um sistema?
Brute Force
Vulnerabilidades
Sniffar a rede
Malware
38. Engenharia Social
Tipos de Engenharia:
DIRETO: Envolvem um conjunto de
tecnologias e meios com intuito de
desestabilizar, assediar e ameaçar
a vítima sem a utilização de
camuflagens.
39. Engenharia Social
Tipos de Engenharia:
INDIRETO: É todo tipo de ataque cujo
real agressor é camuflado. Este tipo
de ataque envolve um conhecimento
mais abrangente, por
envolver técnicas que impedem a
identificação do agressor de
imediato.
40. Engenharia Social
Em qualquer organização, por maior
que seja a sua segurança, sempre
haverá um fator de desequilíbrio
chamado..
“Fator Humano”.
42. Engenharia Social
Resumindo:
O profissional da arte de enganar pessoas
utiliza-se de técnicas de persuasão e
exploração da ingenuidade dos usuários,
criando um ambiente psicológico perfeito
para seu ataque.
CRIATIVIDADE.Ele tem ALTO PODER de
44. COMO SE PROTEGER: Treinamentos
Workshops
Estudo de Casos
Classificação de Informação
Pentest
Políticas Rígidas
Segurança da Informação
45. POLITICAS DE SEGURANÇA:
Segurança da Informação
Segurança da informação deve começar com
uma avaliação dos riscos.
Quais informações, ou que tipo informação
precisará estar protegida e qual o seu nível
de proteção.
Quais ameaças ou que tipo de ameaça pode
atingir a empresa.
Quais prejuízos a empresa teria se um desses
incidentes viesse a acontecer.
Privacidade é a habilidade de uma pessoa em controlar a exposição disponibilidade de informações e acerca de si. Relaciona-se com a capacidade de existir na sociedade de forma anônima (inclusive pelo disfarce de um pseudônimo ou por um identidade falsa).
Entendemos que a privacidade é necessária para manter uma sociedade aberta numa era eletrônica. Privacidade não é segredo. Assunto privado é aquele que alguém não quer que todo o mundo saiba. Assunto secreto é alguma coisa que alguém não quer que ninguém saiba. Privacidade é a capacidade de se revelar seletivamente ao mundo.
Confidencialidade - propriedade que limita o acesso a informação tão somente às entidades legítimas, ou seja, àquelas autorizadas pelo proprietário da informação.
Integridade - propriedade que garante que a informação manipulada mantenha todas as características originais estabelecidas pelo proprietário da informação, incluindo controle de mudanças e garantia do seu ciclo de vida (nascimento, manutenção e destruição).
Disponibilidade - propriedade que garante que a informação esteja sempre disponível para o uso legítimo, ou seja, por aqueles usuários autorizados pelo proprietário da informação.
Autenticidade - propriedade que garante que a informação é proveniente da fonte anunciada e que não foi alvo de mutações ao longo de um processo.
como por exemplo, utilizando identificações falsas, carisma e o apelo sentimental a fim de conquistar a confiança da vítima.
Phishing Scan: Tem a função de “pescar" dados de usuários desavisados com mensagens aparentemente reais e, assim, cometer fraudes eletrônicas.
Surfing Houlder: olhar sobre os ombros das pessoas
Dumpster Dive: prática de vasculhar a lixeira
Tailgating: técnica de utilizar a sombra da outra pessoa