SlideShare uma empresa Scribd logo

Análise de vulnerabilidades em ativos de ti

Transferir como PPT, PDF
Módulo Security Solutions
Módulo Security Solutions

O documento discute como detectar fraquezas e backdoors intencionais em ativos de tecnologia da informação que podem facilitar a interceptação de comunicações por agências de inteligência estrangeiras e hackers. Ele propõe uma auditoria multidisciplinar para mapear os ativos, analisar configurações e tráfego de rede, e inspecionar software, firmware e hardware em busca de anomalias ou elementos não documentados que possam permitir o acesso não autorizado às informações.

1 de 27
Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers Análise de Vulnerabilidades em Ativos de TI Paulo Pagliusi, Ph.D., CISM CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Twitter: @ppagliusi pagliusi@procela.com.br www.procela.com.br Evento Ciberdefesa 25Mar2014
Previsão do Tempo... Nuvens cinzentas e carregadas de ciberespionagem se aproximam do território cibernético brasileiro. Está chegando uma procela, ou seja, uma tempestade no mar da Internet, que pode comprometer a segurança de quem navega no ciberespaço nacional. ADVERTÊNCIA: seguir nossas recomendações de boas práticas em Cibersegurança.
Bem vindo a bordo. Sua Cibersegurança no rumo certo.
Cenário Atual: Guerra Fria Cibernética Ameaça Globalizada à Segurança e Privacidade
5 5 5 In God we trust All others we monitor GUERRA FRIA CIBERNÉTICA
6 QUEM É A NSA ? “Crypto City” – Fort Meade, MD NSA - Vista Aérea
7 QUEM É A NSA ? NSA's Utah Data CenterNSA headquarters Fort Meade, Maryland
8 Tipos de Interceptação Satélites, Cabos Submarinos “Five Eyes” Interceptation Vessels http://www.theatlantic.com/international/archive/2013/07/the-creepy-long-standing-practice-of-undersea-cable-tapping/277855/
9 Alvos da Espionagem – Quebra de Paradigma Agências de inteligência conhecidas como “Five Eyes” (EUA, Reino Unido, Canadá, Austrália, N. Zelândia) agem fora do padrão esperado.
10 Espionagem Globalizada – Alvo: Brasil  Snowden: Brasil é alvo prioritário da NSA e agências FYES.  Acesso via backdoors (porta dos fundos) em equipamentos montados no exterior (EUA, China, outros).  Criptografia de operadoras da Internet com vulnerabilidade.
11 QUEBRA DE CRIPTOGRAFIA - HARDWARE MALICIOSO Caso CRYPTO AG (Suíça) com NSA
12 HARDWARE MALICIOSO - CASO SNOWDEN Carregador malicioso Mactans, apresentado por pesquisadores na conferência Black Hat 2013 inocula malware em dispositivos Apple iOS. Equipamentos de computação montados nos EUA já saem de fábrica com dispositivos de espionagem instalados. “New York Times”
13 Empresas com dados investigados pelo PRISM: Microsoft, em 2007. Em 2008, o Yahoo. Em 2009, Google, Facebook e PalTalk. Em 2010, YouTube. Em 2011, o Skype e a AOL. Em 2012, a Apple entrou no programa de vigilância do governo americano – que continua em expansão. http://www.theguardian.com/world/2013/aug/21/edward-snowden-nsa- files-revelations Grandes empresas da Internet
14 Contrato secreto ligava NSA à empresa RSA  NSA firmou contrato secreto de 10 milhões de dólares com a RSA.  Snowden mostrou que agência difundiu fórmula com falhas para geração aleatória de números que criam backdoors em produtos criptografados.  RSA virou mais importante distribuidora da fórmula após incorporá-la na ferramenta Bsafe, usada para aumentar segurança de computadores pessoais e outros produtos. http://br.reuters.com/article/worldNews/idBRSPE9BJ08Q20131220
15 Sua organização usa Skype?  Desde a compra do Skype pela Microsoft, NSA obteve nova capacidade que lhe permitiu triplicar a captura de vídeos através do sistema.  As estimativas mostram Skype com 663 milhões de utilizadores. http://outraspalavras.net/outrasmidias/destaque-outras-midias/como-a- microsoft-abriu-o-skype-a-espionagem/
16 TIPOS DE INTERCEPTAÇÃO GAMES? http://www.theguardian.com/world/2013/dec/09/ns a-spies-online-games-world-warcraft-second-life
17 Avião da Malásia– Possível Ciber sequestro? http://www.itproportal.com/2014/03/12/was-malaysia-airlines-flight-mh370-brought-down-by-a-cyber-attack/
18 “The Mask”– Brasil entre Maiores Alvos  Kaspersky Lab, Moscou, sobre A Máscara: “campanha de espionagem cibernética, iniciada em país de língua espanhola”.  Alvos: agências governamentais, empresas de energia e ativistas em 31 países (Marrocos, Brasil, UK, FR, ES).  Opera sem detecção desde 2007, infectou 380 alvos. Descoberta indica mais países adeptos em espionagem na Internet.  Motivo da descoberta: infectou o próprio software da Kaspersky.  Malware projetado para roubar documentos, chaves de criptografia e assumir o controle total de computadores infectados.  Explora falha no Adobe Flash corrigida em Abr2012. http://www.reuters.com/article/2014/02/10/us-cybersecurity- espionage-mask-idUSBREA191KU20140210
19 Risco de Espionagem Global ao Navegar nas “Águas” da Internet Brasileira... Como se Proteger dos backdoors?
Como detectar fraquezas e backdoors?  Mudança de foco: ao invés de apenas olhar para a segurança da informação tradicional, focar em defesa, ou seja, inteligência e contrainteligência cibernética estratégica.  Foco na consciência situacional em apoio à tomada de decisões.
Análise de vulnerabilidades (backdoors) em ativos de tecnologia da informação - detecção de fraquezas intencionais e backdoors em software, firmware e hardware, inclusive criptográficos, que facilitem interceptação “legal” de agências estatais estrangeiras (ex. legislação americana CALEA para a NSA). Como detectar fraquezas e backdoors?
Auditoria (equipe multidisciplinar): o Mapeamento dos Ativos de TI - do ambiente escopo da auditoria. o Análise da configuração dos ativos. Identificação de meios de acesso ilícitos. o Análise da consistência de dados - análise e interpretação do tráfego de rede do ambiente e dos ativos de TI. o Análise em software, firmware e hardware – compatibilidade entre os instalados nos ativos de TI e os disponibilizados pelo fabricante, identificação e descobrimento de elementos espúrios. Como detectar fraquezas e backdoors?
Anomalias facilitam interceptação: o O ativo de TI armazena informação não documentada em algum lugar? o Há algum componente interno não documentado para esta finalidade? o Os ativos de TI aceitam conexão externa para extração de informação por componente não documentado? o Há no firmware do ativo de TI senha master abrindo funcionalidade não detectada pelo usuário comum? o Há fraqueza no gerador de aleatórios ou em outros aspectos dos algoritmos criptográficos? Identificando Fraquezas nos Ativos de TI
Anomalias facilitam interceptação: o Há indício de malware (ataque direcionado, "cavalos de Tróia" ou ataque embarcado) no firmware? o Há no tráfego de redes do ambiente escopo diferença calculada de timming entre pacotes ou diferença calculada no tamanho dos pacotes de rede, capaz de ativar malwares embarcados no ativo de TI? o Há indício de haver backdoors nos algoritmos criptográficos? Má implementação intencional ou envio ilegal das chaves. Identificando Backdoors nos Ativos de TI
Em duas etapas: o Em laboratório - características físicas e de configuração básicas; o No ambiente de operação - busca por ativação remota, verifica consistência de dados. Resultados a entregar: o Relatório executivo da auditoria – visão gerencial da auditoria nos ativos de TI. o Relatório operacional de riscos – detalhamento dos achados durante auditoria nos ativos de TI. Análise dos Ativos de TI
Capacitação exigida: o Análise em software – equipe com experiência multidisciplinar (engenheiros de sistema, criptólogos, desenvolvedores), capaz de realizar engenharia reversa e análise aprofundada de algoritmos. o Análise em firmware e em hardware - engenheiros e especialistas em eletrônica e sistemas embarcados, equipe especializada em soluções de hardware e firmware, com foco em arquiteturas de segurança. Equipe Necessária: Análise de Backdoors
Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers Análise de Vulnerabilidades em Ativos de TI Paulo Pagliusi, Ph.D., CISM CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Twitter: @ppagliusi pagliusi@procela.com.br www.procela.com.br Muito Obrigado e Bons ventos! Evento Ciberdefesa 25Mar2014

Recomendados

Nsc work
Nsc workNsc work
Nsc work
João Rufino de Sales
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
João Rufino de Sales
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
Requisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadasRequisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadas
João Rufino de Sales
 
Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
Spark Security
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
Spark Security
 
Modelo
ModeloModelo
Modelo
De Sá Sites
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 

Recomendados

Nsc work
Nsc workNsc work
Nsc work
João Rufino de Sales
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
João Rufino de Sales
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
Requisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadasRequisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadas
João Rufino de Sales
 
Panorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das CoisasPanorama de Segurança na Internet das Coisas
Panorama de Segurança na Internet das Coisas
Spark Security
 
Deep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da InternetDeep Web 101 – Vasculhando as profundezas da Internet
Deep Web 101 – Vasculhando as profundezas da Internet
Spark Security
 
Modelo
ModeloModelo
Modelo
De Sá Sites
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
Fabio Leandro
 
Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
Cesar Augusto Pinheiro Vitor
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
Carlos Veiga
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
Humberto Xavier
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Tiago Tavares
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Tiago Tavares
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
Carlos Veiga
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Modern Healthcare Hacking
Modern Healthcare HackingModern Healthcare Hacking
Modern Healthcare Hacking
Arthur Paixão
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
Daybson Bruno
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativo
Dereco Tecnologia
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
Arthur Paixão
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Campus Party Brasil
 
Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
Strong Security Brasil
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
Felipe Perin
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 

Mais conteúdo relacionado

Mais procurados

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
Cesar Augusto Pinheiro Vitor
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
Carlos Veiga
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
Humberto Xavier
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
Jefferson Costa
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Tiago Tavares
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Marco Mendes
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Tiago Tavares
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
Carlos Veiga
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
Modern Healthcare Hacking
Modern Healthcare HackingModern Healthcare Hacking
Modern Healthcare Hacking
Arthur Paixão
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
Daybson Bruno
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
Gilberto Sudre
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativo
Dereco Tecnologia
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
Arthur Paixão
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
Marcio Cunha
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Campus Party Brasil
 
Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
Strong Security Brasil
 

Mais procurados (20)

Palestra Segurança da Informação e Servidores
Palestra Segurança da Informação e ServidoresPalestra Segurança da Informação e Servidores
Palestra Segurança da Informação e Servidores
 
Aula02 conceitos de segurança
Aula02 conceitos de segurançaAula02 conceitos de segurança
Aula02 conceitos de segurança
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades5 isi-riscos, ameacas e vulnerabilidades
5 isi-riscos, ameacas e vulnerabilidades
 
Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”Minicurso – Forense computacional “Análise de redes”
Minicurso – Forense computacional “Análise de redes”
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 
Aula01 introdução à segurança
Aula01 introdução à segurançaAula01 introdução à segurança
Aula01 introdução à segurança
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
Modern Healthcare Hacking
Modern Healthcare HackingModern Healthcare Hacking
Modern Healthcare Hacking
 
[In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos [In]segurança - Falhas Simples e Grandes Impactos
[In]segurança - Falhas Simples e Grandes Impactos
 
Segurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de SegurançaSegurança da Informação e Políticas de Segurança
Segurança da Informação e Políticas de Segurança
 
Guia criptografia-corporativo
Guia criptografia-corporativoGuia criptografia-corporativo
Guia criptografia-corporativo
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
 
[IN]Segurança em Hospitais
[IN]Segurança em Hospitais[IN]Segurança em Hospitais
[IN]Segurança em Hospitais
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na praticaPenetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
Penetration Test (Teste de invasão) – Saiba como ser um Hacker ético na pratica
 
Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
 

Semelhante a Análise de vulnerabilidades em ativos de ti

Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
Felipe Perin
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
Guilherme Neves
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Security
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
Alcyon Ferreira de Souza Junior, MSc
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
Alcyon Ferreira de Souza Junior, MSc
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
Mariana Gonçalves Spanghero
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
Mariana Gonçalves Spanghero
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
Mariana Gonçalves Spanghero
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
Bravo Tecnologia
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016
Alcyon Ferreira de Souza Junior, MSc
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Danilo Alves
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
Rute1993
 
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
Consultcorp Distribuidor F-Secure no Brasil
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança CibernéticaAspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
caugustovitor1
 
Segurança de Software
Segurança de SoftwareSegurança de Software
Segurança de Software
Alexandre Siqueira
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
Andre Henrique
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
Bruno Felipe
 
Fatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetivaFatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetiva
CLEBER VISCONTI
 
Triforsec segurança da informação
Triforsec segurança da informaçãoTriforsec segurança da informação
Triforsec segurança da informação
GeraldaDuarte
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
Fernando Dulinski
 

Semelhante a Análise de vulnerabilidades em ativos de ti (20)

Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão CibernéticaPanda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
Panda Adaptive defense 360 - Guia para prevenir a Extorsão Cibernética
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Seminário - Segurança da informação
Seminário - Segurança da informaçãoSeminário - Segurança da informação
Seminário - Segurança da informação
 
Seminario Seguranca da Informação
Seminario Seguranca da InformaçãoSeminario Seguranca da Informação
Seminario Seguranca da Informação
 
Seminario seguranca da informacao
Seminario seguranca da informacaoSeminario seguranca da informacao
Seminario seguranca da informacao
 
Kaspersky executive briefing presentation
Kaspersky executive briefing presentationKaspersky executive briefing presentation
Kaspersky executive briefing presentation
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2Trabalho de tic_-_powerpoint2
Trabalho de tic_-_powerpoint2
 
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
Consultcorp f-secure cyberoam hsc - palestra - Política de Segurança da Inf...
 
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança CibernéticaAspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
Aspectos Técnicos e Regulatórios sobre Internet: Aula 5: Segurança Cibernética
 
Segurança de Software
Segurança de SoftwareSegurança de Software
Segurança de Software
 
Palestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na InternetPalestra: Tendências e Desafios da Segurança na Internet
Palestra: Tendências e Desafios da Segurança na Internet
 
Segurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente VirtualSegurança da Informação: Proteção no ambiente Virtual
Segurança da Informação: Proteção no ambiente Virtual
 
Fatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetivaFatec 2020 Cybersecurity uma visão pratica e objetiva
Fatec 2020 Cybersecurity uma visão pratica e objetiva
 
Triforsec segurança da informação
Triforsec segurança da informaçãoTriforsec segurança da informação
Triforsec segurança da informação
 
Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018Unbroken Apresentação Institucional 2018
Unbroken Apresentação Institucional 2018
 

Mais de Módulo Security Solutions

II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber Manifesto
Módulo Security Solutions
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
Módulo Security Solutions
 
Desafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIRDesafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIR
Módulo Security Solutions
 
Ciberespionagem
Ciberespionagem Ciberespionagem
Ciberespionagem
Módulo Security Solutions
 
Case CGIR JMJ
Case CGIR JMJCase CGIR JMJ
Case CGIR JMJ
Módulo Security Solutions
 
Segurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes SociaisSegurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes Sociais
Módulo Security Solutions
 
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Módulo Security Solutions
 

Mais de Módulo Security Solutions (7)

II Conferência do Cyber Manifesto
II Conferência do Cyber ManifestoII Conferência do Cyber Manifesto
II Conferência do Cyber Manifesto
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Desafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIRDesafios e Resultados da Operação do CGIR
Desafios e Resultados da Operação do CGIR
 
Ciberespionagem
Ciberespionagem Ciberespionagem
Ciberespionagem
 
Case CGIR JMJ
Case CGIR JMJCase CGIR JMJ
Case CGIR JMJ
 
Segurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes SociaisSegurança e Privacidade das Informações na Era das Redes Sociais
Segurança e Privacidade das Informações na Era das Redes Sociais
 
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
Modulo Security - Cidades Inteligentes - Palestra do CONIP SP 2013
 

Último

ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
2m Assessoria
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Gabriel de Mattos Faustino
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
joaovmp3
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
Faga1939
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
Danilo Pinotti
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
Momento da Informática
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
Momento da Informática
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
Momento da Informática
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
WELITONNOGUEIRA3
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
TomasSousa7
 

Último (10)

ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ADSIS - ESTRUTURA DE DADOS II - 52_2024.docx
 
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdfEscola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
Escola Virtual - Fundação Bradesco - ITIL - Gabriel Faustino.pdf
 
Certificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdfCertificado Jornada Python Da Hashtag.pdf
Certificado Jornada Python Da Hashtag.pdf
 
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
PRODUÇÃO E CONSUMO DE ENERGIA DA PRÉ-HISTÓRIA À ERA CONTEMPORÂNEA E SUA EVOLU...
 
Segurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas PráticasSegurança Digital Pessoal e Boas Práticas
Segurança Digital Pessoal e Boas Práticas
 
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdfDESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
DESENVOLVIMENTO DE SOFTWARE I_aula1-2.pdf
 
Logica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptxLogica de Progamacao - Aula (1) (1).pptx
Logica de Progamacao - Aula (1) (1).pptx
 
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdfTOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
TOO - TÉCNICAS DE ORIENTAÇÃO A OBJETOS aula 1.pdf
 
Manual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdfManual-de-Credenciamento ANATER 2023.pdf
Manual-de-Credenciamento ANATER 2023.pdf
 
História da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptxHistória da Rádio- 1936-1970 século XIX .2.pptx
História da Rádio- 1936-1970 século XIX .2.pptx
 

Análise de vulnerabilidades em ativos de ti

  • 1. Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers Análise de Vulnerabilidades em Ativos de TI Paulo Pagliusi, Ph.D., CISM CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Twitter: @ppagliusi pagliusi@procela.com.br www.procela.com.br Evento Ciberdefesa 25Mar2014
  • 2. Previsão do Tempo... Nuvens cinzentas e carregadas de ciberespionagem se aproximam do território cibernético brasileiro. Está chegando uma procela, ou seja, uma tempestade no mar da Internet, que pode comprometer a segurança de quem navega no ciberespaço nacional. ADVERTÊNCIA: seguir nossas recomendações de boas práticas em Cibersegurança.
  • 3. Bem vindo a bordo. Sua Cibersegurança no rumo certo.
  • 4. Cenário Atual: Guerra Fria Cibernética Ameaça Globalizada à Segurança e Privacidade
  • 5. 5 5 5 In God we trust All others we monitor GUERRA FRIA CIBERNÉTICA
  • 6. 6 QUEM É A NSA ? “Crypto City” – Fort Meade, MD NSA - Vista Aérea
  • 7. 7 QUEM É A NSA ? NSA's Utah Data CenterNSA headquarters Fort Meade, Maryland
  • 8. 8 Tipos de Interceptação Satélites, Cabos Submarinos “Five Eyes” Interceptation Vessels http://www.theatlantic.com/international/archive/2013/07/the-creepy-long-standing-practice-of-undersea-cable-tapping/277855/
  • 9. 9 Alvos da Espionagem – Quebra de Paradigma Agências de inteligência conhecidas como “Five Eyes” (EUA, Reino Unido, Canadá, Austrália, N. Zelândia) agem fora do padrão esperado.
  • 10. 10 Espionagem Globalizada – Alvo: Brasil  Snowden: Brasil é alvo prioritário da NSA e agências FYES.  Acesso via backdoors (porta dos fundos) em equipamentos montados no exterior (EUA, China, outros).  Criptografia de operadoras da Internet com vulnerabilidade.
  • 11. 11 QUEBRA DE CRIPTOGRAFIA - HARDWARE MALICIOSO Caso CRYPTO AG (Suíça) com NSA
  • 12. 12 HARDWARE MALICIOSO - CASO SNOWDEN Carregador malicioso Mactans, apresentado por pesquisadores na conferência Black Hat 2013 inocula malware em dispositivos Apple iOS. Equipamentos de computação montados nos EUA já saem de fábrica com dispositivos de espionagem instalados. “New York Times”
  • 13. 13 Empresas com dados investigados pelo PRISM: Microsoft, em 2007. Em 2008, o Yahoo. Em 2009, Google, Facebook e PalTalk. Em 2010, YouTube. Em 2011, o Skype e a AOL. Em 2012, a Apple entrou no programa de vigilância do governo americano – que continua em expansão. http://www.theguardian.com/world/2013/aug/21/edward-snowden-nsa- files-revelations Grandes empresas da Internet
  • 14. 14 Contrato secreto ligava NSA à empresa RSA  NSA firmou contrato secreto de 10 milhões de dólares com a RSA.  Snowden mostrou que agência difundiu fórmula com falhas para geração aleatória de números que criam backdoors em produtos criptografados.  RSA virou mais importante distribuidora da fórmula após incorporá-la na ferramenta Bsafe, usada para aumentar segurança de computadores pessoais e outros produtos. http://br.reuters.com/article/worldNews/idBRSPE9BJ08Q20131220
  • 15. 15 Sua organização usa Skype?  Desde a compra do Skype pela Microsoft, NSA obteve nova capacidade que lhe permitiu triplicar a captura de vídeos através do sistema.  As estimativas mostram Skype com 663 milhões de utilizadores. http://outraspalavras.net/outrasmidias/destaque-outras-midias/como-a- microsoft-abriu-o-skype-a-espionagem/
  • 17. 17 Avião da Malásia– Possível Ciber sequestro? http://www.itproportal.com/2014/03/12/was-malaysia-airlines-flight-mh370-brought-down-by-a-cyber-attack/
  • 18. 18 “The Mask”– Brasil entre Maiores Alvos  Kaspersky Lab, Moscou, sobre A Máscara: “campanha de espionagem cibernética, iniciada em país de língua espanhola”.  Alvos: agências governamentais, empresas de energia e ativistas em 31 países (Marrocos, Brasil, UK, FR, ES).  Opera sem detecção desde 2007, infectou 380 alvos. Descoberta indica mais países adeptos em espionagem na Internet.  Motivo da descoberta: infectou o próprio software da Kaspersky.  Malware projetado para roubar documentos, chaves de criptografia e assumir o controle total de computadores infectados.  Explora falha no Adobe Flash corrigida em Abr2012. http://www.reuters.com/article/2014/02/10/us-cybersecurity- espionage-mask-idUSBREA191KU20140210
  • 19. 19 Risco de Espionagem Global ao Navegar nas “Águas” da Internet Brasileira... Como se Proteger dos backdoors?
  • 20. Como detectar fraquezas e backdoors?  Mudança de foco: ao invés de apenas olhar para a segurança da informação tradicional, focar em defesa, ou seja, inteligência e contrainteligência cibernética estratégica.  Foco na consciência situacional em apoio à tomada de decisões.
  • 21. Análise de vulnerabilidades (backdoors) em ativos de tecnologia da informação - detecção de fraquezas intencionais e backdoors em software, firmware e hardware, inclusive criptográficos, que facilitem interceptação “legal” de agências estatais estrangeiras (ex. legislação americana CALEA para a NSA). Como detectar fraquezas e backdoors?
  • 22. Auditoria (equipe multidisciplinar): o Mapeamento dos Ativos de TI - do ambiente escopo da auditoria. o Análise da configuração dos ativos. Identificação de meios de acesso ilícitos. o Análise da consistência de dados - análise e interpretação do tráfego de rede do ambiente e dos ativos de TI. o Análise em software, firmware e hardware – compatibilidade entre os instalados nos ativos de TI e os disponibilizados pelo fabricante, identificação e descobrimento de elementos espúrios. Como detectar fraquezas e backdoors?
  • 23. Anomalias facilitam interceptação: o O ativo de TI armazena informação não documentada em algum lugar? o Há algum componente interno não documentado para esta finalidade? o Os ativos de TI aceitam conexão externa para extração de informação por componente não documentado? o Há no firmware do ativo de TI senha master abrindo funcionalidade não detectada pelo usuário comum? o Há fraqueza no gerador de aleatórios ou em outros aspectos dos algoritmos criptográficos? Identificando Fraquezas nos Ativos de TI
  • 24. Anomalias facilitam interceptação: o Há indício de malware (ataque direcionado, "cavalos de Tróia" ou ataque embarcado) no firmware? o Há no tráfego de redes do ambiente escopo diferença calculada de timming entre pacotes ou diferença calculada no tamanho dos pacotes de rede, capaz de ativar malwares embarcados no ativo de TI? o Há indício de haver backdoors nos algoritmos criptográficos? Má implementação intencional ou envio ilegal das chaves. Identificando Backdoors nos Ativos de TI
  • 25. Em duas etapas: o Em laboratório - características físicas e de configuração básicas; o No ambiente de operação - busca por ativação remota, verifica consistência de dados. Resultados a entregar: o Relatório executivo da auditoria – visão gerencial da auditoria nos ativos de TI. o Relatório operacional de riscos – detalhamento dos achados durante auditoria nos ativos de TI. Análise dos Ativos de TI
  • 26. Capacitação exigida: o Análise em software – equipe com experiência multidisciplinar (engenheiros de sistema, criptólogos, desenvolvedores), capaz de realizar engenharia reversa e análise aprofundada de algoritmos. o Análise em firmware e em hardware - engenheiros e especialistas em eletrônica e sistemas embarcados, equipe especializada em soluções de hardware e firmware, com foco em arquiteturas de segurança. Equipe Necessária: Análise de Backdoors
  • 27. Como detectar fraquezas intencionais e backdoors inclusive criptográficos que facilitam interceptação “legal” de agências estrangeiras e hackers Análise de Vulnerabilidades em Ativos de TI Paulo Pagliusi, Ph.D., CISM CEO Procela Inteligência em Segurança Diretor ISACA-RJ | Presidente CSABR Twitter: @ppagliusi pagliusi@procela.com.br www.procela.com.br Muito Obrigado e Bons ventos! Evento Ciberdefesa 25Mar2014