SlideShare uma empresa Scribd logo

Segurança na Internet

Anchises Moraes
Anchises Moraes

O documento discute a segurança na internet, incluindo a necessidade de segurança devido aos riscos crescentes no mundo digital, exemplos de ataques reais a sites famosos, e recomendações para empresas e profissionais de TI melhorarem a segurança.

Internet
1 de 66
Baixar para ler offline
FATEC-SP Setembro / 2007 Anchises M. G. de Paula Segurança na Internet
Agenda Visão Geral de Segurança Porque a necessidade de segurança? Visão Histórica Casos reais Segurança da Informação Segurança Corporativa Security Officer O profissional consciente Recomendações Finais
Visão Geral de Segurança
Porque a necessidade de segurança?
Internet está presente na vida de todos Ferramenta de relacionamento e de Negócios Mudança rápida do ambiente de negócio Dependência crescente da tecnologia Informação é um diferencial competitivo Projetos, bases de dados, estratégias, etc Complexidade das novas tecnologias Convergência Crescimento dos RISCOS no mundo digital Falhas, ataques, fraudes etc. Cenário atual
O mundo virou online
33 milhões de usuários de Internet em 2006. 27,3 milhões de usuários de internet banking 6,0 bilhões de transações bancárias on-line (18,0% do total). 6 milhões de compradores on-line. 10 mil lojas virtuais (Fontes: Folha On-line, Febraban, Camara e-Net) A Internet para o Negócio
Eu preciso de segurança?
A Internet é Insegura Projeto acadêmico-militar Desenvolvimento do TCP/IP - 1973 a 1983 Início do uso comercial da rede – 1990 Crescimento exponencial Protocolos criados sem grande preocupação com segurança Foco em disponibilidade da rede Serviços de rede foram criados vulneráveis (falsificação, sobrecarga de recursos, etc) Facilidade de acesso (qualquer lugar do mundo) Grande quantidade de alvos e atacantes Diversidade de tecnologias Dificuldade em manter sistemas livres de falha Sensação de anonimato e impunidade
Vírus Funcionários insatisfeitos Divulgação de senhas Acessos indevidos Vazamento de informações Fraudes, erros e acidentes Hackers Falhas na segurança física Uso de notebooks Fraudes em e-mail 66% 53% 51% 49% 47% 41% 39% 37% 31% 29% Principais ameaças Fonte: 9a Pesquisa Módulo
77% das empresas brasileiras foram vítimas de algum tipo de invasão; 16% não sabem se foram invadidas; 7% afirmam nunca ter sofrido algum tipo de ataque. Incidência de ataques De 1 a 6 meses Mais de 1 ano Menos de 1 mês Não sabem informar De 6 meses a 1 ano Nunca sofreram 25% 22% 17% 16% 13% 7% Fonte: 9a Pesquisa Módulo
Ataque virtual, prejuízo real Principais prejuízos reportados pelas empresas: fraudes financeiras danos à imagem paradas de serviços perda de contratos roubo de segredos industriais tempo de recuperação em caso de falhas. Perdas Financeiras
R$ 300 milhões de perdas por fraude on- line bancária em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Perdas Financeiras
É fácil atacar Existem hoje à disposição: Milhares de web sites de Hackers sobre ataques e download de ferramentas na Internet Centenas de salas de discussão (mIRC) Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) Milhões de equipamentos vulneráveis (servidores internet e desktops).
Milhares de sites, publicações, tutoriais, e-zines, canais de bate-papo, etc Eventos www.r00t.org/warez.html www.ussrback.com www.rootshell.com www.2600.com www.phrack.com www.astalavista.com É fácil aprender a “hackear”
Ferramentas de Ataque Ferramentas de fácil uso
Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Fraudadores, “Carder” Espião Terrorista Vândalo
Evolução
Ameaças: evolução Década de 80 - ataques individuais e isolados Uso de senhas facilmente comprometidas Compartilhamento de recursos indiscriminado Bugs de segurança nos programas Invasões via conexões dial-up (modens, servidores de acesso vulneráveis ou com usuários comprometidos) phreacking
Ameaças: evolução Década de 90 - ataques sofisticados Sniffers capturam senhas e outras informações Computadores são confundidos por IP spoofing Sessões são desviadas através de connection hijacking Atacantes na maioria amadores (One-click hacker, Script Kid) Vírus Defacements de websites
Ameaças: evolução Ano 2000 - ataques distribuídos DDoS (Distributed Deny of service) – ataques partindo de qualquer lugar, de várias fontes simultâneas Dificuldade crescente em separar acessos válidos de ataques Worms (vermes) infestando usuários e servidores na velocidade da Internet Atacantes se profissionalizam, surge a fraude online
Ameaças: evolução Hoje - ataques a usuários finais Phishing Scan – fraudes online Associadas ao SPAM Keyloggers Bots – hacking se prolifera Hacking for hire Crimes na Internet Guerra eletrônica
Dinheiro é o Motivo Milhões de Cartões de Créditos Laranjas Roubo CD Keys Extorsão Phishing e Pharming Espionagem Industrial Hackers for Hire Milhões de contas de usuários Ad/Spyware Click Fraud Pirataria
Casos Reais
August 17, 1996 Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA)
September 19, 1996 Páginas Invadidas – exemplos clássicos CIA
January 7, 1998 Páginas Invadidas – exemplos clássicos UNICEF
IDG Now 05/02/2001 Histórias de terror
IDG Now 02/03/2001 Histórias de terror
IDG Now 01/09/2003 Histórias de terror
IDG Now 03/10/2003 Histórias de terror
The Register nov/2005 Histórias de terror
Plantão INFO Mar/07 Histórias de terror
BBC maio/2007 Histórias de terror
Financial Times set/2007 Histórias de terror
CSO Online set/2007 Histórias de terror
Spam
Phishing Scam
Phishing Scam
Phishing Scam
Phishing Scam
Velocidade e impacto Verme Sasser Descoberto em 30/04/04 Explora vulnerabilidade MS04-011 (13/04/04) Impactos: Companhia aérea norte-americana cancelou 40 vôos e atrasou 32 por problemas em seus computadores Sidney (Austrália): 300 mil passageiros afetados em função de atrasos nos trens Hospital Municipal de Lund (Suécia): 5.000 computadores e aparelho de raios-X offline Comissão Européia da União Européia (UE), em Bruxelas: 1.200 máquinas offline Guarda Costeira do Reino Unido: 19 escritórios regionais offline Westpac Bank na Austrália: central de atendimento e escritórios fechados Correios na Tailândia: 1.600 máquinas offline, 400 escritórios fechados. (Fonte: Módulo Security)
Segurança da Informação
segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiarconfiar. 4. Certeza, firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de riscorisco; protegidoprotegido, acautelado, garantido. 8. Em quem se pode confiarconfiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] O que é Segurança
“A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] Para que ter Segurança da Informação
Recursos Hardware e a infra-estrutura Software Os dados armazenados (informações) Documentação e Procedimentos Funcionários Reputação O quê proteger
Fatores que influenciam o planejamento de segurança: Conteúdo da Informação (valor) Competitividade do mercado Grau de conscientização dos riscos Ambiente Comunicações Grau de Exposição Planejamento de Segurança
Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos Ferramentas Tecnológicas Segurança Física
Legislação e Normas Basiléia II, Sarbanes-Oxley, Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) ISO 17799 (BS 7799), Cobit, Coso, ITIL entre outros...
Security Officer
Profissional responsável por: Garantir a disponibilidade, a confidencialidade e a integridade das informações Gerenciar a Segurança Corporativa Definir e divulgar política e normas Implantar e administrar tecnologias de segurança Controlar acessos Identificar, autenticar e autorizar usuários Auditoria Prevenir, impedir e responder a ataques. Apoio à novos projetos Security Officer
Vários campos de atuação: Pesquisa em segurança Vulnerabilidades, ataques, criptografia, etc Estratégia e Gestão de segurança Ferramentas e tecnologias de segurança Firewall, IDS, antivírus, etc Desenvolvimento / Auditoria de código Resposta a incidentes (ataques) Investigação forense Leis, Normas e ética Auditoria Profissional de segurança da informação
Em sua maioria, os profissionais tem origem e formação de duas formas distintas: Técnica Profissionais de TI especializados em segurança Suporte em TI (servidores, redes, etc) Desenvolvimento “ex-hackers” Administrativa (Processual / Auditoria) Gestão de TI, Elaboração de Processos Auditoria, Análise de Riscos Security Officer
Profissional Consciente
Preocupação com segurança A preocupação com segurança deve permear toda a organização Todos os profissionais tem sua parcela de responsabilidade
Preocupação com segurança (Futuros) Profissionais de Tecnologia da Informação Desenvolvedores e arquitetos de software Boas práticas de desenvolvimento seguro Arquitetura de software Controle de versão Testes Administradores de sistemas, BDs e redes Boas práticas de configuração dos equipamentos Atualização constante Monitoração e auditoria Backup, redundância
Atualização Profissional Necessidade de atualização contínua Novas tecnologias Novas ameaças e meios de ataques Como? Listas de discussão Treinamentos e certificações Participar de associações profissionais ISSA, ISACA, OWASP Participação de eventos de qualidade
Ética Profissional Comportamento ético é muito importante na profissão Cargos de confiança Acesso a informações sigilosas Participação de investigações e sindicâncias internas Cuidado com a imagem Atuar eticamente Postura ética: mensagens em listas de discussão, Orkut, etc
Ética Profissional Pecados durante contratação: mentiras sobre qualificações (31%) baixo nível de comunicação (25%) relações com comportamento criminoso (24%) relatos ofendendo o emprego anterior ou revelando uso de drogas (19%)
Recomendações Finais
Recomendações Finais Para a Empresa Manter os sistemas atualizados Segurança como diferencial competitivo Processos, normas e procedimentos Legislação Normas internas “Termo de responsabilidade” Treinamento e Conscientização Análise de riscos
Recomendações finais Para nós (profissionais de TI) Ética Preocupação com segurança Correta instalação e configuração de sistemas Manter os sistemas atualizados Qualidade no desenvolvimento de software Programação segura Segregação de ambientes (produção, desenvolvimento e testes) KISS (Keep it Simple, Stupid) Processos, normas e procedimentos
Recomendações finais Para nós (usuários finais) Manter o micro atualizado (windows update) Antivírus Atualizado Personal Firewall, antispyware, foto de santinho Não acreditar em tudo o que vê Nunca clicar em links e abrir anexo de e-mails suspeitos (ou não explicitamente desejados) Cuidado com senhas Cuidado com micros que você não conhece Cuidado ao instalar softwares estranhos
Referências www.cert.br www.modulo.com.br www.cert.org www.sans.org www.infosyssec.com www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security/default.mspx msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode/default.aspx (Writing Secure Code) www.microsoft.com/athome/security/default.mspx (Security at home) Blogs sobre Segurança http://frankmash.blogspot.com http://www.sysinternals.com/blog http://anchisesbr.blogspot.com http://sdias.spaces.live.com/ http://wagnerelias.com http://www.paesdebarros.com.br
Obrigado !!! Anchises M. G. de Paula Arquiteto de Soluções – VeriSign Diretor de Afiliações – ISSA Brasil Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com www.issabrasil.org
Non-commercial Share Alike (by-nc-sa) This work is licensed under the Creative Commons Attribution- NonCommercial-ShareAlike 2.5 License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Recomendados

CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
TI Safe
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
TI Safe
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
TI Safe
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta Inteligente
Alexandre Freire
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
TI Safe
 
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
TI Safe
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
TI Safe
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
TI Safe
 

Recomendados

CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
CLASS 2018 - Palestra de Thiago Mourao (Security Engineer - Checkpoint)
TI Safe
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
CLASS 2018 - Palestra de Marcelo Branquinho (CEO – TI Safe) e Leonardo Cardos...
TI Safe
 
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
CLASS 2018 - Palestra de Marcelo Branquinho (CEO - TI Safe)
TI Safe
 
Segurança em um Planeta Inteligente
Segurança em um Planeta InteligenteSegurança em um Planeta Inteligente
Segurança em um Planeta Inteligente
Alexandre Freire
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
TI Safe
 
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
CLASS 2018 - Palestra de Herman Augusto Lepikson (Pesquisador Líder em Automa...
TI Safe
 
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
Webinar cci por que nao se deve contratar so cs de ti hibridos para proteg...
TI Safe
 
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
CLASS 2018 - Palestra de Luciano Lima (Head of Presales LatAm – Kaspersky)
TI Safe
 
CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
TI Safe
 
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
TI Safe
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
TI Safe
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
TI Safe
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
TI Safe
 
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
TI Safe
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
TI Safe
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
TI Safe
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
Spark Security
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
Edson Aguilera-Fernandes
 
Palestra eb 02 07-19
Palestra eb 02 07-19Palestra eb 02 07-19
Palestra eb 02 07-19
TI Safe
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
Anderson Pontes
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
TI Safe
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda
TI Safe
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
TI Safe
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
Symantec Brasil
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
Edkallenn Lima
 
Redes -aula_7_-_seguranca
Redes -aula_7_-_segurancaRedes -aula_7_-_seguranca
Redes -aula_7_-_seguranca
cleitonfcsantos
 
CLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto EnglerCLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto Engler
TI Safe
 
Segurança Na Internet
Segurança Na InternetSegurança Na Internet
Segurança Na Internet
Anchises Moraes
 
Palestra de Marcelo Branquinho no Congresso Rio Automação
Palestra de Marcelo Branquinho no Congresso Rio AutomaçãoPalestra de Marcelo Branquinho no Congresso Rio Automação
Palestra de Marcelo Branquinho no Congresso Rio Automação
TI Safe
 

Mais conteúdo relacionado

Mais procurados

Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
TI Safe
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
gabrio2022
 

Mais procurados (20)

CLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo BranquinhoCLASS 2016 - Palestra Marcelo Branquinho
CLASS 2016 - Palestra Marcelo Branquinho
 
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
CLASS 2018 - Palestra de Marcus Vinícius Gomes Abreu (Analista de Sistemas e ...
 
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
1o relatório anual ti safe sobre incidentes de segurança em redes de automaç...
 
TI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação IndustrialTI Safe - Formação em Segurança de Automação Industrial
TI Safe - Formação em Segurança de Automação Industrial
 
Retrospectiva
RetrospectivaRetrospectiva
Retrospectiva
 
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
CLASS 2018 - Palestra de Jéssica Barbosa Heluany (Engenharia de Aplicação / E...
 
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...Segundo relatório anual sobre incidentes de segurança em redes de automação ...
Segundo relatório anual sobre incidentes de segurança em redes de automação ...
 
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
[CLASS 2014] Palestra Técnica - Silvio Prestes e Daniel Guilize
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012Tendências em Segurança da Informação - 2012
Tendências em Segurança da Informação - 2012
 
Palestra eb 02 07-19
Palestra eb 02 07-19Palestra eb 02 07-19
Palestra eb 02 07-19
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad IndustrialPalestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
Palestra realizada no 2º Congreso Iberoamericano de Ciberseguridad Industrial
 
[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda[CLASS 2014] Palestra Técnica - Felipe Penaranda
[CLASS 2014] Palestra Técnica - Felipe Penaranda
 
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
Pesquisa sobre o Estado da Segurança Cibernética da Infraestrutura Crítica Br...
 
Como garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dadosComo garantir um maior nívelde proteção de dados
Como garantir um maior nívelde proteção de dados
 
Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?Palestra - Segurança da informação: proteção ou transtorno?
Palestra - Segurança da informação: proteção ou transtorno?
 
Redes -aula_7_-_seguranca
Redes -aula_7_-_segurancaRedes -aula_7_-_seguranca
Redes -aula_7_-_seguranca
 
CLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto EnglerCLASS 2016 - Palestra Roberto Engler
CLASS 2016 - Palestra Roberto Engler
 

Semelhante a Segurança na Internet

Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
Vinícius Schmidt
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
Roney Médice
 

Semelhante a Segurança na Internet (20)

Segurança Na Internet
Segurança Na InternetSegurança Na Internet
Segurança Na Internet
 
Palestra de Marcelo Branquinho no Congresso Rio Automação
Palestra de Marcelo Branquinho no Congresso Rio AutomaçãoPalestra de Marcelo Branquinho no Congresso Rio Automação
Palestra de Marcelo Branquinho no Congresso Rio Automação
 
Segurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - DextraSegurança no Desenvolvimento de Aplicações - Dextra
Segurança no Desenvolvimento de Aplicações - Dextra
 
Sistemas de seguranca
Sistemas de segurancaSistemas de seguranca
Sistemas de seguranca
 
[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1[White Paper] TI Safe SCADA Security Testbed v1
[White Paper] TI Safe SCADA Security Testbed v1
 
Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física Unidade 1.1 segurança e segurança física
Unidade 1.1 segurança e segurança física
 
Unidade 1.1 Segurança e Segurança Física
Unidade 1.1 Segurança e Segurança FísicaUnidade 1.1 Segurança e Segurança Física
Unidade 1.1 Segurança e Segurança Física
 
Engenharia social
Engenharia socialEngenharia social
Engenharia social
 
Sistemas de seguranca
Sistemas de segurancaSistemas de seguranca
Sistemas de seguranca
 
IoE - Internet de Todas as Coisas - Quais os Riscos de Segurança
IoE - Internet de Todas as Coisas - Quais os Riscos de SegurançaIoE - Internet de Todas as Coisas - Quais os Riscos de Segurança
IoE - Internet de Todas as Coisas - Quais os Riscos de Segurança
 
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
O aspecto humano em Cybersecurity: Como transformar as pessoas em sensores at...
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 
Monografia diego dias_0050005813(1)
Monografia diego dias_0050005813(1)Monografia diego dias_0050005813(1)
Monografia diego dias_0050005813(1)
 
Road Show - Arcsight ETRM
Road Show - Arcsight ETRMRoad Show - Arcsight ETRM
Road Show - Arcsight ETRM
 
Segurança dos Sistemas Operativos
Segurança dos Sistemas OperativosSegurança dos Sistemas Operativos
Segurança dos Sistemas Operativos
 
A seguranca dos sistemas operativos
A seguranca dos sistemas operativosA seguranca dos sistemas operativos
A seguranca dos sistemas operativos
 
Defesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e PráticosDefesa Cibernética: Aspectos Concentuais e Práticos
Defesa Cibernética: Aspectos Concentuais e Práticos
 
Hardening: Concepts and Techniques
Hardening: Concepts and TechniquesHardening: Concepts and Techniques
Hardening: Concepts and Techniques
 
Seguranca da informacao - ISSA
Seguranca da informacao - ISSASeguranca da informacao - ISSA
Seguranca da informacao - ISSA
 
Aula import seg
Aula import segAula import seg
Aula import seg
 

Mais de Anchises Moraes

Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Anchises Moraes
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
Anchises Moraes
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
Anchises Moraes
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
Anchises Moraes
 

Mais de Anchises Moraes (20)

Post pandemics threat scenario
Post pandemics threat scenarioPost pandemics threat scenario
Post pandemics threat scenario
 
Como se proteger na internet
Como se proteger na internetComo se proteger na internet
Como se proteger na internet
 
Fatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemiaFatos, mitos e palpites do cenário de segurança pós-pandemia
Fatos, mitos e palpites do cenário de segurança pós-pandemia
 
A Case Study of the Capital One Data Breach
A Case Study of the Capital One Data BreachA Case Study of the Capital One Data Breach
A Case Study of the Capital One Data Breach
 
Vamos caçar bugs!?
Vamos caçar bugs!?Vamos caçar bugs!?
Vamos caçar bugs!?
 
Praticas de gestão de segurança
Praticas de gestão de segurançaPraticas de gestão de segurança
Praticas de gestão de segurança
 
Ciber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home officeCiber crime e desafios de segurança durante uma pandemia e home office
Ciber crime e desafios de segurança durante uma pandemia e home office
 
Cyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de CoronavírusCyber Cultura em tempos de Coronavírus
Cyber Cultura em tempos de Coronavírus
 
Hunting bugs - C0r0n4con
Hunting bugs - C0r0n4conHunting bugs - C0r0n4con
Hunting bugs - C0r0n4con
 
Fintechs e os desafios de segurança
Fintechs e os desafios de segurançaFintechs e os desafios de segurança
Fintechs e os desafios de segurança
 
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 20195 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
5 passos para a Lei Geral de Proteção de Dados (LGPD) - CryptoRave 2019
 
Segurança além do Pentest
Segurança além do PentestSegurança além do Pentest
Segurança além do Pentest
 
Só o Pentest não resolve!
Só o Pentest não resolve!Só o Pentest não resolve!
Só o Pentest não resolve!
 
Carreira em Segurança da Informação
Carreira em Segurança da InformaçãoCarreira em Segurança da Informação
Carreira em Segurança da Informação
 
IoT Fofoqueiro
IoT FofoqueiroIoT Fofoqueiro
IoT Fofoqueiro
 
Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018Carta de oposição ao Sindpd 2018
Carta de oposição ao Sindpd 2018
 
Como se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de SegurançaComo se tornar um Jedi na área de Segurança
Como se tornar um Jedi na área de Segurança
 
Deep Web e Ciber Crime
Deep Web e Ciber CrimeDeep Web e Ciber Crime
Deep Web e Ciber Crime
 
É possível existir segurança para IoT?
É possível existir segurança para IoT?É possível existir segurança para IoT?
É possível existir segurança para IoT?
 
Hacker Passport Brazil
Hacker Passport BrazilHacker Passport Brazil
Hacker Passport Brazil
 

Segurança na Internet

  • 1. FATEC-SP Setembro / 2007 Anchises M. G. de Paula Segurança na Internet
  • 2. Agenda Visão Geral de Segurança Porque a necessidade de segurança? Visão Histórica Casos reais Segurança da Informação Segurança Corporativa Security Officer O profissional consciente Recomendações Finais
  • 3. Visão Geral de Segurança
  • 4. Porque a necessidade de segurança?
  • 5. Internet está presente na vida de todos Ferramenta de relacionamento e de Negócios Mudança rápida do ambiente de negócio Dependência crescente da tecnologia Informação é um diferencial competitivo Projetos, bases de dados, estratégias, etc Complexidade das novas tecnologias Convergência Crescimento dos RISCOS no mundo digital Falhas, ataques, fraudes etc. Cenário atual
  • 6. O mundo virou online
  • 7. 33 milhões de usuários de Internet em 2006. 27,3 milhões de usuários de internet banking 6,0 bilhões de transações bancárias on-line (18,0% do total). 6 milhões de compradores on-line. 10 mil lojas virtuais (Fontes: Folha On-line, Febraban, Camara e-Net) A Internet para o Negócio
  • 8. Eu preciso de segurança?
  • 9. A Internet é Insegura Projeto acadêmico-militar Desenvolvimento do TCP/IP - 1973 a 1983 Início do uso comercial da rede – 1990 Crescimento exponencial Protocolos criados sem grande preocupação com segurança Foco em disponibilidade da rede Serviços de rede foram criados vulneráveis (falsificação, sobrecarga de recursos, etc) Facilidade de acesso (qualquer lugar do mundo) Grande quantidade de alvos e atacantes Diversidade de tecnologias Dificuldade em manter sistemas livres de falha Sensação de anonimato e impunidade
  • 10. Vírus Funcionários insatisfeitos Divulgação de senhas Acessos indevidos Vazamento de informações Fraudes, erros e acidentes Hackers Falhas na segurança física Uso de notebooks Fraudes em e-mail 66% 53% 51% 49% 47% 41% 39% 37% 31% 29% Principais ameaças Fonte: 9a Pesquisa Módulo
  • 11. 77% das empresas brasileiras foram vítimas de algum tipo de invasão; 16% não sabem se foram invadidas; 7% afirmam nunca ter sofrido algum tipo de ataque. Incidência de ataques De 1 a 6 meses Mais de 1 ano Menos de 1 mês Não sabem informar De 6 meses a 1 ano Nunca sofreram 25% 22% 17% 16% 13% 7% Fonte: 9a Pesquisa Módulo
  • 12. Ataque virtual, prejuízo real Principais prejuízos reportados pelas empresas: fraudes financeiras danos à imagem paradas de serviços perda de contratos roubo de segredos industriais tempo de recuperação em caso de falhas. Perdas Financeiras
  • 13. R$ 300 milhões de perdas por fraude on- line bancária em 2006. Nos EUA, 2 em cada 5 empresas paralisadas por hackers vão à falência em menos de 3 anos depois. (Fonte: Disaster Recovery Institute) Perdas Financeiras
  • 14. É fácil atacar Existem hoje à disposição: Milhares de web sites de Hackers sobre ataques e download de ferramentas na Internet Centenas de salas de discussão (mIRC) Publicações especializadas para Hackers (e-zines) e para iniciantes (cursos, revistas, sites) Milhões de equipamentos vulneráveis (servidores internet e desktops).
  • 15. Milhares de sites, publicações, tutoriais, e-zines, canais de bate-papo, etc Eventos www.r00t.org/warez.html www.ussrback.com www.rootshell.com www.2600.com www.phrack.com www.astalavista.com É fácil aprender a “hackear”
  • 17. Atacantes Hacker Cracker Script Kid, Lammer, One-click hacker Fraudadores, “Carder” Espião Terrorista Vândalo
  • 19. Ameaças: evolução Década de 80 - ataques individuais e isolados Uso de senhas facilmente comprometidas Compartilhamento de recursos indiscriminado Bugs de segurança nos programas Invasões via conexões dial-up (modens, servidores de acesso vulneráveis ou com usuários comprometidos) phreacking
  • 20. Ameaças: evolução Década de 90 - ataques sofisticados Sniffers capturam senhas e outras informações Computadores são confundidos por IP spoofing Sessões são desviadas através de connection hijacking Atacantes na maioria amadores (One-click hacker, Script Kid) Vírus Defacements de websites
  • 21. Ameaças: evolução Ano 2000 - ataques distribuídos DDoS (Distributed Deny of service) – ataques partindo de qualquer lugar, de várias fontes simultâneas Dificuldade crescente em separar acessos válidos de ataques Worms (vermes) infestando usuários e servidores na velocidade da Internet Atacantes se profissionalizam, surge a fraude online
  • 22. Ameaças: evolução Hoje - ataques a usuários finais Phishing Scan – fraudes online Associadas ao SPAM Keyloggers Bots – hacking se prolifera Hacking for hire Crimes na Internet Guerra eletrônica
  • 23. Dinheiro é o Motivo Milhões de Cartões de Créditos Laranjas Roubo CD Keys Extorsão Phishing e Pharming Espionagem Industrial Hackers for Hire Milhões de contas de usuários Ad/Spyware Click Fraud Pirataria
  • 25. August 17, 1996 Páginas Invadidas – exemplos clássicos Departamento de Justiça (USA)
  • 26. September 19, 1996 Páginas Invadidas – exemplos clássicos CIA
  • 27. January 7, 1998 Páginas Invadidas – exemplos clássicos UNICEF
  • 37. Spam
  • 42. Velocidade e impacto Verme Sasser Descoberto em 30/04/04 Explora vulnerabilidade MS04-011 (13/04/04) Impactos: Companhia aérea norte-americana cancelou 40 vôos e atrasou 32 por problemas em seus computadores Sidney (Austrália): 300 mil passageiros afetados em função de atrasos nos trens Hospital Municipal de Lund (Suécia): 5.000 computadores e aparelho de raios-X offline Comissão Européia da União Européia (UE), em Bruxelas: 1.200 máquinas offline Guarda Costeira do Reino Unido: 19 escritórios regionais offline Westpac Bank na Austrália: central de atendimento e escritórios fechados Correios na Tailândia: 1.600 máquinas offline, 400 escritórios fechados. (Fonte: Módulo Security)
  • 44. segurança. S. f. 2. Estado, qualidade ou condição de seguro. 3. Condição daquele ou daquilo em que se pode confiarconfiar. 4. Certeza, firmeza, convicção. seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de riscorisco; protegidoprotegido, acautelado, garantido. 8. Em quem se pode confiarconfiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente. [Dicionário Aurélio] O que é Segurança
  • 45. “A Segurança da Informação deve existir para garantir a continuidade dos negócios das empresas e minimizar danos através da prevenção e redução dos impactos causados por incidentes de segurança. (...) Ela possui três componentes básicos: confidencialidade, integridade e disponibilidade.” [BS7799: British Standard Institute, 1995] Para que ter Segurança da Informação
  • 46. Recursos Hardware e a infra-estrutura Software Os dados armazenados (informações) Documentação e Procedimentos Funcionários Reputação O quê proteger
  • 47. Fatores que influenciam o planejamento de segurança: Conteúdo da Informação (valor) Competitividade do mercado Grau de conscientização dos riscos Ambiente Comunicações Grau de Exposição Planejamento de Segurança
  • 48. Elementos da Segurança Corporativa Política de segurança, Normas e Procedimentos Ferramentas Tecnológicas Segurança Física
  • 49. Legislação e Normas Basiléia II, Sarbanes-Oxley, Novo Código Civil, Regulamentações do Banco Central do Brasil (BACEN) e Conselho de Valores Mobiliários (CVM) ISO 17799 (BS 7799), Cobit, Coso, ITIL entre outros...
  • 51. Profissional responsável por: Garantir a disponibilidade, a confidencialidade e a integridade das informações Gerenciar a Segurança Corporativa Definir e divulgar política e normas Implantar e administrar tecnologias de segurança Controlar acessos Identificar, autenticar e autorizar usuários Auditoria Prevenir, impedir e responder a ataques. Apoio à novos projetos Security Officer
  • 52. Vários campos de atuação: Pesquisa em segurança Vulnerabilidades, ataques, criptografia, etc Estratégia e Gestão de segurança Ferramentas e tecnologias de segurança Firewall, IDS, antivírus, etc Desenvolvimento / Auditoria de código Resposta a incidentes (ataques) Investigação forense Leis, Normas e ética Auditoria Profissional de segurança da informação
  • 53. Em sua maioria, os profissionais tem origem e formação de duas formas distintas: Técnica Profissionais de TI especializados em segurança Suporte em TI (servidores, redes, etc) Desenvolvimento “ex-hackers” Administrativa (Processual / Auditoria) Gestão de TI, Elaboração de Processos Auditoria, Análise de Riscos Security Officer
  • 55. Preocupação com segurança A preocupação com segurança deve permear toda a organização Todos os profissionais tem sua parcela de responsabilidade
  • 56. Preocupação com segurança (Futuros) Profissionais de Tecnologia da Informação Desenvolvedores e arquitetos de software Boas práticas de desenvolvimento seguro Arquitetura de software Controle de versão Testes Administradores de sistemas, BDs e redes Boas práticas de configuração dos equipamentos Atualização constante Monitoração e auditoria Backup, redundância
  • 57. Atualização Profissional Necessidade de atualização contínua Novas tecnologias Novas ameaças e meios de ataques Como? Listas de discussão Treinamentos e certificações Participar de associações profissionais ISSA, ISACA, OWASP Participação de eventos de qualidade
  • 58. Ética Profissional Comportamento ético é muito importante na profissão Cargos de confiança Acesso a informações sigilosas Participação de investigações e sindicâncias internas Cuidado com a imagem Atuar eticamente Postura ética: mensagens em listas de discussão, Orkut, etc
  • 59. Ética Profissional Pecados durante contratação: mentiras sobre qualificações (31%) baixo nível de comunicação (25%) relações com comportamento criminoso (24%) relatos ofendendo o emprego anterior ou revelando uso de drogas (19%)
  • 61. Recomendações Finais Para a Empresa Manter os sistemas atualizados Segurança como diferencial competitivo Processos, normas e procedimentos Legislação Normas internas “Termo de responsabilidade” Treinamento e Conscientização Análise de riscos
  • 62. Recomendações finais Para nós (profissionais de TI) Ética Preocupação com segurança Correta instalação e configuração de sistemas Manter os sistemas atualizados Qualidade no desenvolvimento de software Programação segura Segregação de ambientes (produção, desenvolvimento e testes) KISS (Keep it Simple, Stupid) Processos, normas e procedimentos
  • 63. Recomendações finais Para nós (usuários finais) Manter o micro atualizado (windows update) Antivírus Atualizado Personal Firewall, antispyware, foto de santinho Não acreditar em tudo o que vê Nunca clicar em links e abrir anexo de e-mails suspeitos (ou não explicitamente desejados) Cuidado com senhas Cuidado com micros que você não conhece Cuidado ao instalar softwares estranhos
  • 64. Referências www.cert.br www.modulo.com.br www.cert.org www.sans.org www.infosyssec.com www.issa.org www.owasp.org www.microsoft.com/security www.microsoft.com/technet/security/default.mspx msdn.microsoft.com/security (Security Developer Center) msdn.microsoft.com/security/securecode/default.aspx (Writing Secure Code) www.microsoft.com/athome/security/default.mspx (Security at home) Blogs sobre Segurança http://frankmash.blogspot.com http://www.sysinternals.com/blog http://anchisesbr.blogspot.com http://sdias.spaces.live.com/ http://wagnerelias.com http://www.paesdebarros.com.br
  • 65. Obrigado !!! Anchises M. G. de Paula Arquiteto de Soluções – VeriSign Diretor de Afiliações – ISSA Brasil Anchisesbr at gmail.com http://anchisesbr.blogspot.com www.verisign.com www.issabrasil.org
  • 66. Non-commercial Share Alike (by-nc-sa) This work is licensed under the Creative Commons Attribution- NonCommercial-ShareAlike 2.5 License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.