O documento discute a segurança na internet, incluindo a necessidade de segurança devido aos riscos crescentes no mundo digital, exemplos de ataques reais a sites famosos, e recomendações para empresas e profissionais de TI melhorarem a segurança.
2. Agenda
Visão Geral de Segurança
Porque a necessidade de
segurança?
Visão Histórica
Casos reais
Segurança da Informação
Segurança Corporativa
Security Officer
O profissional consciente
Recomendações Finais
5. Internet está presente na vida de todos
Ferramenta de relacionamento e de Negócios
Mudança rápida do ambiente de negócio
Dependência crescente da tecnologia
Informação é um diferencial competitivo
Projetos, bases de dados, estratégias, etc
Complexidade das novas tecnologias
Convergência
Crescimento dos RISCOS no mundo digital
Falhas, ataques, fraudes etc.
Cenário atual
7. 33 milhões de usuários de Internet em
2006.
27,3 milhões de usuários de internet banking
6,0 bilhões de transações bancárias on-line
(18,0% do total).
6 milhões de compradores on-line.
10 mil lojas virtuais
(Fontes: Folha On-line, Febraban, Camara e-Net)
A Internet para o Negócio
9. A Internet é Insegura
Projeto acadêmico-militar
Desenvolvimento do TCP/IP - 1973 a 1983
Início do uso comercial da rede – 1990
Crescimento exponencial
Protocolos criados sem grande preocupação com
segurança
Foco em disponibilidade da rede
Serviços de rede foram criados vulneráveis
(falsificação, sobrecarga de recursos, etc)
Facilidade de acesso (qualquer lugar do mundo)
Grande quantidade de alvos e atacantes
Diversidade de tecnologias
Dificuldade em manter sistemas livres de falha
Sensação de anonimato e impunidade
10. Vírus
Funcionários insatisfeitos
Divulgação de senhas
Acessos indevidos
Vazamento de informações
Fraudes, erros e acidentes
Hackers
Falhas na segurança física
Uso de notebooks
Fraudes em e-mail
66%
53%
51%
49%
47%
41%
39%
37%
31%
29%
Principais ameaças
Fonte: 9a Pesquisa Módulo
11. 77% das empresas
brasileiras foram
vítimas de algum tipo
de invasão;
16% não sabem se
foram invadidas;
7% afirmam nunca ter
sofrido algum tipo de
ataque.
Incidência de ataques
De 1 a 6 meses
Mais de 1 ano
Menos de 1 mês
Não sabem informar
De 6 meses a 1 ano
Nunca sofreram
25%
22%
17%
16%
13%
7%
Fonte: 9a Pesquisa Módulo
12. Ataque virtual, prejuízo real
Principais prejuízos reportados pelas
empresas:
fraudes financeiras
danos à imagem
paradas de serviços
perda de contratos
roubo de segredos industriais
tempo de recuperação em caso de
falhas.
Perdas Financeiras
13. R$ 300 milhões de perdas por fraude on-
line bancária em 2006.
Nos EUA, 2 em cada 5 empresas
paralisadas por hackers vão à falência em
menos de 3 anos depois.
(Fonte: Disaster Recovery Institute)
Perdas Financeiras
14. É fácil atacar
Existem hoje à disposição:
Milhares de web sites de Hackers sobre ataques e
download de ferramentas na Internet
Centenas de salas de discussão (mIRC)
Publicações especializadas para Hackers (e-zines)
e para iniciantes (cursos, revistas, sites)
Milhões de equipamentos vulneráveis
(servidores internet e desktops).
15. Milhares de sites, publicações, tutoriais, e-zines,
canais de bate-papo, etc
Eventos
www.r00t.org/warez.html
www.ussrback.com
www.rootshell.com
www.2600.com
www.phrack.com
www.astalavista.com
É fácil aprender a “hackear”
19. Ameaças: evolução
Década de 80 - ataques individuais e isolados
Uso de senhas facilmente comprometidas
Compartilhamento de recursos indiscriminado
Bugs de segurança nos programas
Invasões via conexões dial-up (modens,
servidores de acesso vulneráveis ou com usuários
comprometidos)
phreacking
20. Ameaças: evolução
Década de 90 - ataques sofisticados
Sniffers capturam senhas e outras informações
Computadores são confundidos por IP spoofing
Sessões são desviadas através de connection
hijacking
Atacantes na maioria amadores (One-click hacker,
Script Kid)
Vírus
Defacements de websites
21. Ameaças: evolução
Ano 2000 - ataques distribuídos
DDoS (Distributed Deny of service) – ataques
partindo de qualquer lugar, de várias fontes
simultâneas
Dificuldade crescente em separar acessos válidos
de ataques
Worms (vermes) infestando usuários e servidores
na velocidade da Internet
Atacantes se profissionalizam, surge a
fraude online
22. Ameaças: evolução
Hoje - ataques a usuários finais
Phishing Scan – fraudes online
Associadas ao SPAM
Keyloggers
Bots – hacking se prolifera
Hacking for hire
Crimes na Internet
Guerra eletrônica
23. Dinheiro é o Motivo
Milhões de Cartões
de Créditos
Laranjas
Roubo CD Keys
Extorsão
Phishing
e Pharming
Espionagem
Industrial
Hackers for Hire
Milhões de contas de
usuários
Ad/Spyware
Click Fraud
Pirataria
42. Velocidade e impacto
Verme Sasser
Descoberto em 30/04/04
Explora vulnerabilidade MS04-011 (13/04/04)
Impactos:
Companhia aérea norte-americana cancelou 40 vôos e atrasou
32 por problemas em seus computadores
Sidney (Austrália): 300 mil passageiros afetados em função de
atrasos nos trens
Hospital Municipal de Lund (Suécia): 5.000 computadores e
aparelho de raios-X offline
Comissão Européia da União Européia (UE), em Bruxelas: 1.200
máquinas offline
Guarda Costeira do Reino Unido: 19 escritórios regionais offline
Westpac Bank na Austrália: central de atendimento e escritórios
fechados
Correios na Tailândia: 1.600 máquinas offline, 400 escritórios
fechados.
(Fonte: Módulo Security)
44. segurança. S. f. 2. Estado, qualidade ou
condição de seguro. 3. Condição daquele ou
daquilo em que se pode confiarconfiar. 4. Certeza,
firmeza, convicção.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo.
2. Livre de riscorisco; protegidoprotegido, acautelado,
garantido. 8. Em quem se pode confiarconfiar. 9.
Certo, indubitável, incontestável. 10. Eficaz,
eficiente.
[Dicionário Aurélio]
O que é Segurança
45. “A Segurança da Informação deve existir para
garantir a continuidade dos negócios das
empresas e minimizar danos através da
prevenção e redução dos impactos causados por
incidentes de segurança. (...)
Ela possui três componentes básicos:
confidencialidade, integridade e
disponibilidade.”
[BS7799: British Standard Institute, 1995]
Para que ter Segurança da
Informação
46. Recursos
Hardware e a infra-estrutura
Software
Os dados armazenados (informações)
Documentação e Procedimentos
Funcionários
Reputação
O quê proteger
47. Fatores que influenciam o planejamento de
segurança:
Conteúdo da Informação (valor)
Competitividade do mercado
Grau de conscientização dos riscos
Ambiente
Comunicações
Grau de Exposição
Planejamento de Segurança
49. Legislação e Normas
Basiléia II, Sarbanes-Oxley, Novo
Código Civil, Regulamentações do
Banco Central do Brasil (BACEN) e
Conselho de Valores Mobiliários (CVM)
ISO 17799 (BS 7799), Cobit, Coso, ITIL
entre outros...
51. Profissional responsável por:
Garantir a disponibilidade, a confidencialidade e a
integridade das informações
Gerenciar a Segurança Corporativa
Definir e divulgar política e normas
Implantar e administrar tecnologias de segurança
Controlar acessos
Identificar, autenticar e autorizar usuários
Auditoria
Prevenir, impedir e responder a ataques.
Apoio à novos projetos
Security Officer
52. Vários campos de atuação:
Pesquisa em segurança
Vulnerabilidades, ataques, criptografia, etc
Estratégia e Gestão de segurança
Ferramentas e tecnologias de segurança
Firewall, IDS, antivírus, etc
Desenvolvimento / Auditoria de código
Resposta a incidentes (ataques)
Investigação forense
Leis, Normas e ética
Auditoria
Profissional de segurança da
informação
53. Em sua maioria, os profissionais tem origem
e formação de duas formas distintas:
Técnica
Profissionais de TI especializados em segurança
Suporte em TI (servidores, redes, etc)
Desenvolvimento
“ex-hackers”
Administrativa (Processual / Auditoria)
Gestão de TI, Elaboração de Processos
Auditoria, Análise de Riscos
Security Officer
55. Preocupação com segurança
A preocupação com segurança deve permear
toda a organização
Todos os profissionais tem sua parcela de
responsabilidade
56. Preocupação com segurança
(Futuros) Profissionais de Tecnologia da
Informação
Desenvolvedores e arquitetos de software
Boas práticas de desenvolvimento seguro
Arquitetura de software
Controle de versão
Testes
Administradores de sistemas, BDs e redes
Boas práticas de configuração dos equipamentos
Atualização constante
Monitoração e auditoria
Backup, redundância
57. Atualização Profissional
Necessidade de atualização contínua
Novas tecnologias
Novas ameaças e meios de ataques
Como?
Listas de discussão
Treinamentos e certificações
Participar de associações profissionais
ISSA, ISACA, OWASP
Participação de eventos de qualidade
58. Ética Profissional
Comportamento ético é muito importante na
profissão
Cargos de confiança
Acesso a informações sigilosas
Participação de investigações e sindicâncias internas
Cuidado com a imagem
Atuar eticamente
Postura ética: mensagens em listas de discussão,
Orkut, etc
59. Ética Profissional
Pecados durante
contratação:
mentiras sobre
qualificações (31%)
baixo nível de
comunicação (25%)
relações com
comportamento
criminoso (24%)
relatos ofendendo o
emprego anterior ou
revelando uso de
drogas (19%)
61. Recomendações Finais
Para a Empresa
Manter os sistemas atualizados
Segurança como diferencial competitivo
Processos, normas e procedimentos
Legislação
Normas internas
“Termo de responsabilidade”
Treinamento e Conscientização
Análise de riscos
62. Recomendações finais
Para nós (profissionais de TI)
Ética
Preocupação com segurança
Correta instalação e configuração de sistemas
Manter os sistemas atualizados
Qualidade no desenvolvimento de software
Programação segura
Segregação de ambientes (produção,
desenvolvimento e testes)
KISS (Keep it Simple, Stupid)
Processos, normas e procedimentos
63. Recomendações finais
Para nós (usuários finais)
Manter o micro atualizado (windows update)
Antivírus Atualizado
Personal Firewall, antispyware, foto de santinho
Não acreditar em tudo o que vê
Nunca clicar em links e abrir anexo de e-mails suspeitos
(ou não explicitamente desejados)
Cuidado com senhas
Cuidado com micros que você não conhece
Cuidado ao instalar softwares estranhos
65. Obrigado !!!
Anchises M. G. de Paula
Arquiteto de Soluções – VeriSign
Diretor de Afiliações – ISSA Brasil
Anchisesbr at gmail.com
http://anchisesbr.blogspot.com
www.verisign.com www.issabrasil.org
66. Non-commercial Share Alike (by-nc-sa)
This work is licensed under the Creative Commons Attribution-
NonCommercial-ShareAlike 2.5 License. To view a copy of this
license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/
or send a letter to Creative Commons, 543 Howard Street, 5th
Floor, San Francisco, California, 94105, USA.