• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Principios básicos de segurança on-line
 

Principios básicos de segurança on-line

on

  • 1,623 views

 

Statistics

Views

Total Views
1,623
Views on SlideShare
1,619
Embed Views
4

Actions

Likes
0
Downloads
18
Comments
0

1 Embed 4

http://www.carlosserrao.net 4

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Principios básicos de segurança on-line Principios básicos de segurança on-line Presentation Transcript

    • Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão
    • @pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao
    • QUAL A DIFERENÇA ENTREUMA GARRAFA DE ÁGUA EUM COMPUTADOR?
    • SECURITY IS APROCESS NOT APRODUCT Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
    • IS ASECURITY PROCESS HOLÍSTICO AL L CO CI TA GI SO EN LÓ BI NO AM EC T CONTINUO Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
    • IS ASECURITY PROCESS Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
    • Resumo•Segurança • Física • Passwords • Phishing • Virus, Worms, etc. • Engenharia Social • Confidencialidade, Privacidade e Autenticação • Redes Sociais
    • SEGURANÇA FÍSICA
    • Segurança Física• Localização • Acesso a instalações e a salas • Acesso a computadores/servidores • Acesso a informação confidencial • Classificação de informação e políticas de acesso• Dispositivos de Armazenamento • CDs, DVDs • Pen USB • Discos externos • Telemóveis, Smartphones e Tablets?!?
    • ESTÁ PROTEGIDOCONTRA“SHOULDER SURFING” ???
    • Segurança Física•Armazenar informação em Segurança • TrueCrypt, FileVault, BitLocker, etc. • em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc.•Definir uma política pessoal de gestão de informação e de classificação da mesma
    • Segurança Física•Backups •backups, backups e mais backups •regularidade •localização dos backups •segurança dos mesmos
    • DISCO EXTERNOUM COMPUTADOR TABLET PEN DRIVE SMARTPHONE ... PERDIDO OU ROUBADO PERDA FINANCEIRA QUEBRA PRIVACIDADE
    • HIDDEN
    • VIRUS, MALWARE EOUTROS “BICHOS” ESQUISITOS
    • Virus, Worms, $%#3& estranhas•Virus•Worms•Trojans•Keyloggers
    • Virus, Worms, $%#3& estranhas•Proteger o computador (em especial com o Windows ;-)) • Firewalls • Anti-virus • Anti-spyware
    • Virus, Worms, $%#3& estranhas• Limitar o uso da conta de administrador • Programas maliciosos aproveitam-se das permissões disponíveis • Injecção e execução de código facilitada • Instalar keylogger • Executar serviços • Desactivar boot do sistema • Desactivar anti-vírus • Executar tarefas comuns com privilégios limitados
    • Virus, Worms, $%#3& estranhas•E-mail • Emissores • Anexos • Links • Solicitações “esquisitas”
    • Virus, Worms, $%#3& estranhas•Instant Messaging • As ferramentas de IM são uma das formas de distribuição e propagação de vírus • IRC, MSN Messenger, etc. • São igualmente uma forma muito comum para a distribuição de malware e vírus
    • Virus, Worms, $%#3& estranhas•Redes Sociais • Twitter, Facebook, ... • URL shortners•Distribuição de malware e de virus•Compromisso dos computadores - Zombies/Botnets
    • BOTNET MARIPOSA 13M COMPUTADORES, 190 PAÍSESSTUXNET VIRUS/WORM ATACAR CENTRAIS NUCLEARES
    • PHISHING
    • Phishing• Uma forma de enganar os utilizadores através de sites e mensagens enganosas• Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores • credenciais de acesso • outras informações
    • Phishing quiz
    • Phishing quiz
    • Phishing quiz
    • Phishing quiz
    • Phishing quiz
    • Phishing quiz
    • D E A UF R
    • http://www.bancoxpto.pt ouhttp://www.banc0xpt0.pt http https
    • http https
    • http https
    • Phishing• Conselhos • browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais) • testar HTTPS • ver se cadeado está activo • sem warnings de segurança • ver detalhes do certificado • testar form de login • tentar introdução de credenciais erradas e ver comportamento da aplicação • nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)
    • PASSWORDS
    • Passwords•Passwords são como as CUECAS, porque: • não as devemos deixar à vista para que outros as possam ver • devemos mudá-las com regularidade • não as devemos emprestar (principalmente a estranhos)
    • Passwords•Política de gestão de passwords • Escolha de boas passwords • Alteração das passwords • Passwords devem ser "secretas"
    • was equal to or below six characters. Password Length Distribution 13 12 1.32% 2.11% 5 4.07% Passwords 11 3.57% 6 10 26.04% 9.06% 9 12.11% • A verdade sobre as passwordsConsumer Password Worst Practices 7 8 19.29% 19.98%Analysis • Estudo realizado pela ImpervaNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case 2. Recommendation: It should contain a mix of fourto help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp should not be either the first or last character in the password. 1. Recommendation: It should contain at least eight characters. • http://www.imperva.com/docs/ The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite The ADC analysis showed that almost 60% of users WP_Consumer_Password_Worst_Practices.pdf current minimal password length requirement is five). A staggering 40% of users chose passwords whose length was equal to or below six characters. About 30% the users use only lowercase characters for their passwords and about another Less than 4% of the users use special characters. Password Length Distribution Password Length Distribution 13 12 1.32% 3.81% 1.62% 2.11% 5 4.07% 11 3.57% 6 10 26.04% 9.06% 36.94% 41.69% 9 12.11% 7 8 19.29% 19.98% 15.94% 2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASAs recommendations only 0.2% of R types after evaluating the case letters, lower case
    • Consumer Password Worst Practices Passwords 3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address. • A verdade most popular passwords, that are used by a share of 20% of the users, were just that – Almost all of the 5000 sobre as passwords names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The • Estudo realizado pela Imperva following table depicts the top 20 common passwords in the database list: Password Popularity – Top 20 Rank Password Number of Users with Rank Password Number of Users with Password (absolute) Password (absolute) 1 123456 290731 11 Nicole 17168 2 12345 79078 12 Daniel 16409 3 123456789 76790 13 babygirl 16094 4 Password 61958 14 monkey 15294 5 iloveyou 51622 15 Jessica 15162 6 princess 35231 16 Lovely 14950 7 rockyou 22588 17 michael 14898 8 1234567 21726 18 Ashley 14329 9 12345678 20553 19 654321 13984 10 abc123 17542 20 Qwerty 13856
    • Passwords• Boa password Mínimo(8( caracteres,(com( maíusculas(e( minúsculas,( números(e(outros( caracteres( Única(e(não(reC u<lizada(em( Aleatória( outros(sistemas( Sistema(deve( estar(livre(de( Password( Nunca(estar( apontada/escrita( virus(e(de( em(nenhum(sí<o( spyware( Alterada(de( Desconhecida(de( tempo(a(tempo( terceiros(
    • Passwords•Software de Gestão de Passwords • Keepass • 1Password • LastPass • ...
    • SEGURANÇA DE REDES WI-FI
    • POIS... ... E POR CÁ?
    • E MAIS...ROUTERS WI-FI DA... THOMPSON, D-LINK, SPEEDTOUCH SSID KEY/PASSWORD
    • ENGENHARIA SOCIAL
    • Engenharia Social• Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação• Cuidado com a informação revelada a terceiros • telefonemas • emails • correio tradicional • redes sociais • IM • conversas directas
    • Engenharia Social•A engenharia social é aplicada da seguinte forma: • Recolha de informações • Desenvolvimento do relacionamento • Exploração do relacionamento • Execução do ataque.
    • VOCÊ... ... É O ELO MAIS FRACO!!!! (ADEUS?!?)
    • CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO
    • Confidencialidade ePrivacidade•Porque a Internet é uma rede pública e aberta•Correio electrónico • não é a mesma coisa que correio tradicional • documentos e informação confidencial•Criptografia • transformar informação em claro em informação perceptível apenas para os elementos em comunicação
    • Autenticação•o endereço de correio electrónico pode ser forjado•a identidade dos utilizadores pode ser roubada/hijacked•como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança
    • Confidencialidade,Privacidade e Autenticação• Criptografia de Chave Pública• Certificados Digitais• Usar no correio electrónico • nome.apelido@company.com • associado ao uso de um certificado digital • podemos usar certificados digitais gratuítos • Comodo, CA • ou usar a nossa própria autoridade de certificação • permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente
    • REDES SOCIAIS
    • Evolução da Web Social 2000 2004 2007 1990s 1999 2003 2006 2002 2005 2008
    • • Youtube• LinkedIn• Vimeo• Plaxo• Blogger• Wordpress• Feedburner• Deli.cio.us• Flickr• Twitter• Wikipedia
    • • Lançado em Fevereiro de 2004• Mark Zuckerberg• + de 800M utilizadores activos • seria o 3º maior país do Mundo
    • Principais riscos de segurança• Spam, Spam e mais Spam• Malware instalado por terceiros• Spyware• Worms• Falhas de XSS• Falhas no Flash• Phishing• Reputação/Imagem• Informação Pessoal• Esquemas e Vigarices
    • 7 principais tipos de ataque• “Impersonation” e ataques pessoais direccionados• Infecções com spam e bots• Ataques com base em aplicações sociais• Interligação/Confusão entre a presença pessoal e profissional online• Ataques de XSS e CSRF• Roubo de Identidade• Espionagem industrial
    • Privacidadenas Redes Sociais?A que custo?
    • Privacidade• Porquê? • É a vossa informação pessoal • A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação) • Estes terceiros podem manter a vossa informação pelo tempo que quiserem • Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas • Pode originar problemas de segurança • Má imagem, má reputação
    • 82% das crianças têm fotografias online nos EUA, 92% de bebés(0-2 anos) têm fotos online EUA, 92% Nova Zelândia, 91% um terço das crianças Austrália, 84% online têm apenas Canadá, 84%poucas semanas de vida um quarto dos casos, as fotos começam a aparecer antes do nascimento, em ecografia in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
    • “Hey Sarah”
    • Facebook e Privacidade• Por defeito, partilha habilitada October 2009 January 2010
    • Facebook e Privacidade• O que era privado é agora público
    • Facebook e Aplicações• Aplicações no Facebook que comprometem a privacidade dos utilizadores
    • Firesheep
    • Firesheep
    • Firesheep
    • O que colocam on-line Pessoaltem consequências a Profissionalvários níveis: ...
    • ? ? ?? ?Max Schrems ? ? ? ? ... estudante Austriaco, que processou o Facebook.
    • Exigiu que o Facebooklhe enviasse toda ainformação que tinhasobre ele.Apagou a conta noFacebook.Facebook enviou um CDcom informação.Cerca de 2000 páginascom informação pessoal(incluindo mensagens dechat)Delete = Status(deleted) ;-)
    • http://www.europe-v-facebook.org/
    • ... e tu Google?
    • ! Cookie imortal do Google! Google regista tudo o que pode! Google retêm todos os dados indefenidamente! Google não diz para que necessita dos dados! Conotações do Google com espionagem?! Toolbar do Google é spyware! A cópia de cache do Google é “ilegal”! Google não é nosso amigo! O Google é uma bomba relógio em termos de privacidade
    • ! Google Search ! Google Checkout! Google Images ! Google Docs! Google Maps ! Google Android! Google Latitude ! Google Youtube! Google Earth ! Google Adsense! Google Chrome ! Google Adwords! Google Chrome OS ! Google Blogger! Google Mail ! Google Picasa! Google Calendars ! ... e mais, muito mais.
    • O que sabe o Google sobre vocês? Que podem fazer para o impedir?
    • QUAL É O PRINCIPAL PRODUTO DA
    • QUAL É O PRINCIPAL PRODUTO DO
    • VOCÊS!!!!
    • Conclusões• Ao usarem redes sociais • Sejam discretos • Sejam cépticos • Pensem • Sejam profissionais • Sejam cautelosos • Verifiquem as configurações de privacidade
    • http://www.reclaimprivacy.org/This website provides an independent and open tool for scanning your Facebook privacy settings.
    • Recomendações Facebook • Usem as listas de amigos
    • Recomendações Facebook • Removam-se dos resultados de pesquisa do Facebook
    • Recomendações Facebook • Removam-se do Google
    • Recomendações Facebook • Evitem ser etiquetados/tagged num vídeo ou foto comprometedora
    • Recomendações Facebook • Protejam os vossos álbuns
    • Recomendações Facebook • Impeçam as vossas histórias de aparecem na Wall dos seus amigos
    • Recomendações Facebook • Protejam-se contra histórias publicadas por aplicações na sua Wall
    • Recomendações Facebook • Tornem a vossa informação de contacto privada
    • Recomendações Facebook • Evitem posts embaraçosos na vossa Wall
    • Recomendações Facebook • Mantenham as vossas relações privadas
    • “Once you post it, You loose it”
    • Conclusões e Discussão• Verificar quais as principais vulnerabilidades e riscos• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos)• Browser web: • Usar versões sempre actualizadas (aplica-se igualmente ao SO) • Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas• Em caso de dúvida: hesitar, desconfiar, perguntar
    • @pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao
    • Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão