Evento: Confraria 0day 2015 Data: 29/01/2015 Palestrante: Thiago Dieb Não é segredo para ninguém que no Brasil é fácil encontrar sites com falhas de segurança, muito delas bem graves. Entretanto não é muito divulgado a quantidade de sistemas governamentais com fragilidade. Objetivo é relacionar as principais falhas encontradas e no ambiente governamental e suas prováveis causas. É surpreendente a quantidade e variedade presentes nesta situação.

1. @ThiagoDieb
Domínios *.gov.br,
a cruel realidade.
Confraria 0day
29/01/2015

2. @ThiagoDieb
Quem sou ?
Thiago Dieb
● Entusiasta e curioso em SI
● 12 anos de experiência
● Gerente de Desenvolvimento
● Consultor e professor

3. @ThiagoDieb
Motivação

4. @ThiagoDieb
Principais falhas

5. @ThiagoDieb
Injection
SQL Injection é uma das
primeiras falhas a serem
analisadas durante um
rastreamento de
vulnerabilidade.

6. @ThiagoDieb
Injection

7. @ThiagoDieb
Injection

8. @ThiagoDieb
Local file download
Vulnerabilidade com nível intermediário.
Normalmente utilizada para baixar arquivos
com configurações do
sistema e dados de
conexão com banco
de dados.

9. @ThiagoDieb
Local file download

10. @ThiagoDieb
File upload
Menina dos Olhos
de Ouro,
vulnerabilidade
bastante buscada
por possibilitar
diversas ações
secundárias.

11. @ThiagoDieb
File Upload

12. @ThiagoDieb
File Upload

13. @ThiagoDieb
Heartbleed
Desta vez o impacto foi muito
grande. Especulações dizem
que a falha foi explorada no
mínimo 2 anos antes de ser
divulgada.

14. @ThiagoDieb
Heartbleed
Outros exemplos:
http://dataprev.gov.br
http://www.cbm.df.gov.br
http://www.catolicavirtual.br

15. @ThiagoDieb
Shellshock Bash
2014 foi o ano das falhas,
outra vulnerabilidade de
altíssimo nível.
Bug no Bash atingiu um boa
parte dos servidores com os
sistemas operacionais em
Linux e Mac/OS.

16. @ThiagoDieb
A realidade

17. @ThiagoDieb
Possíveis Causas
● Servidores sem experiência (Devel/Infra)
● Alta imaturidade, principalmente na fase de
teste
● Equipe terceirizada descompromissada com
a qualidade do produto
● Grande quantidade de sistemas legados,
inclusive com baixo nível de segurança.
● Falta de patrocínio da alta administração
sobre o tema de segurança da informação

18. @ThiagoDieb
● Departamento de Segurança da Informação
e Comunicações - GSI - PR
● Fiscalização de tecnologia da informação -
TCU
● Governo eletrônico - SISP
● Lei 12.737/212 (Lei Carolina Dieckman)
● Decreto 8.135/2013 (Segurança de dados)
Em contrapartida

19. @ThiagoDieb
Sugestões de melhoria
● Capacitação técnica dos servidores
(desenvolvimento seguro / teste de intrusão)
● Cargos específicos para área de segurança
da informação na AP.
● Maior divulgação e cobrança sobre
segurança da informação na AP.
● Política de análise de impacto e risco dos
sistemas legados da AP.

20. @ThiagoDieb
Sugestões de melhoria
● Maior divulgação dos comitês do DSIC
● Entidade de avaliação e monitoramento da
qualidade dos sites e sistemas da AP.
● Criação do selo de qualificação para os sites
e sistemas da AP.

21. @ThiagoDieb
gov.br

22. @ThiagoDieb

23. @ThiagoDieb
Obrigado
@ThiagoDieb - thiago@dieb.com.br