Principios básicos de segurança on-line

1,552
-1

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,552
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
29
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Principios básicos de segurança on-line

  1. 1. Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão
  2. 2. @pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao
  3. 3. QUAL A DIFERENÇA ENTREUMA GARRAFA DE ÁGUA EUM COMPUTADOR?
  4. 4. SECURITY IS APROCESS NOT APRODUCT Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  5. 5. IS ASECURITY PROCESS HOLÍSTICO AL L CO CI TA GI SO EN LÓ BI NO AM EC T CONTINUO Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  6. 6. IS ASECURITY PROCESS Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  7. 7. Resumo•Segurança • Física • Passwords • Phishing • Virus, Worms, etc. • Engenharia Social • Confidencialidade, Privacidade e Autenticação • Redes Sociais
  8. 8. SEGURANÇA FÍSICA
  9. 9. Segurança Física• Localização • Acesso a instalações e a salas • Acesso a computadores/servidores • Acesso a informação confidencial • Classificação de informação e políticas de acesso• Dispositivos de Armazenamento • CDs, DVDs • Pen USB • Discos externos • Telemóveis, Smartphones e Tablets?!?
  10. 10. ESTÁ PROTEGIDOCONTRA“SHOULDER SURFING” ???
  11. 11. Segurança Física•Armazenar informação em Segurança • TrueCrypt, FileVault, BitLocker, etc. • em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc.•Definir uma política pessoal de gestão de informação e de classificação da mesma
  12. 12. Segurança Física•Backups •backups, backups e mais backups •regularidade •localização dos backups •segurança dos mesmos
  13. 13. DISCO EXTERNOUM COMPUTADOR TABLET PEN DRIVE SMARTPHONE ... PERDIDO OU ROUBADO PERDA FINANCEIRA QUEBRA PRIVACIDADE
  14. 14. HIDDEN
  15. 15. VIRUS, MALWARE EOUTROS “BICHOS” ESQUISITOS
  16. 16. Virus, Worms, $%#3& estranhas•Virus•Worms•Trojans•Keyloggers
  17. 17. Virus, Worms, $%#3& estranhas•Proteger o computador (em especial com o Windows ;-)) • Firewalls • Anti-virus • Anti-spyware
  18. 18. Virus, Worms, $%#3& estranhas• Limitar o uso da conta de administrador • Programas maliciosos aproveitam-se das permissões disponíveis • Injecção e execução de código facilitada • Instalar keylogger • Executar serviços • Desactivar boot do sistema • Desactivar anti-vírus • Executar tarefas comuns com privilégios limitados
  19. 19. Virus, Worms, $%#3& estranhas•E-mail • Emissores • Anexos • Links • Solicitações “esquisitas”
  20. 20. Virus, Worms, $%#3& estranhas•Instant Messaging • As ferramentas de IM são uma das formas de distribuição e propagação de vírus • IRC, MSN Messenger, etc. • São igualmente uma forma muito comum para a distribuição de malware e vírus
  21. 21. Virus, Worms, $%#3& estranhas•Redes Sociais • Twitter, Facebook, ... • URL shortners•Distribuição de malware e de virus•Compromisso dos computadores - Zombies/Botnets
  22. 22. BOTNET MARIPOSA 13M COMPUTADORES, 190 PAÍSESSTUXNET VIRUS/WORM ATACAR CENTRAIS NUCLEARES
  23. 23. PHISHING
  24. 24. Phishing• Uma forma de enganar os utilizadores através de sites e mensagens enganosas• Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores • credenciais de acesso • outras informações
  25. 25. Phishing quiz
  26. 26. Phishing quiz
  27. 27. Phishing quiz
  28. 28. Phishing quiz
  29. 29. Phishing quiz
  30. 30. Phishing quiz
  31. 31. D E A UF R
  32. 32. http://www.bancoxpto.pt ouhttp://www.banc0xpt0.pt http https
  33. 33. http https
  34. 34. http https
  35. 35. Phishing• Conselhos • browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais) • testar HTTPS • ver se cadeado está activo • sem warnings de segurança • ver detalhes do certificado • testar form de login • tentar introdução de credenciais erradas e ver comportamento da aplicação • nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)
  36. 36. PASSWORDS
  37. 37. Passwords•Passwords são como as CUECAS, porque: • não as devemos deixar à vista para que outros as possam ver • devemos mudá-las com regularidade • não as devemos emprestar (principalmente a estranhos)
  38. 38. Passwords•Política de gestão de passwords • Escolha de boas passwords • Alteração das passwords • Passwords devem ser "secretas"
  39. 39. was equal to or below six characters. Password Length Distribution 13 12 1.32% 2.11% 5 4.07% Passwords 11 3.57% 6 10 26.04% 9.06% 9 12.11% • A verdade sobre as passwordsConsumer Password Worst Practices 7 8 19.29% 19.98%Analysis • Estudo realizado pela ImpervaNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case 2. Recommendation: It should contain a mix of fourto help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp should not be either the first or last character in the password. 1. Recommendation: It should contain at least eight characters. • http://www.imperva.com/docs/ The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite The ADC analysis showed that almost 60% of users WP_Consumer_Password_Worst_Practices.pdf current minimal password length requirement is five). A staggering 40% of users chose passwords whose length was equal to or below six characters. About 30% the users use only lowercase characters for their passwords and about another Less than 4% of the users use special characters. Password Length Distribution Password Length Distribution 13 12 1.32% 3.81% 1.62% 2.11% 5 4.07% 11 3.57% 6 10 26.04% 9.06% 36.94% 41.69% 9 12.11% 7 8 19.29% 19.98% 15.94% 2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASAs recommendations only 0.2% of R types after evaluating the case letters, lower case
  40. 40. Consumer Password Worst Practices Passwords 3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address. • A verdade most popular passwords, that are used by a share of 20% of the users, were just that – Almost all of the 5000 sobre as passwords names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The • Estudo realizado pela Imperva following table depicts the top 20 common passwords in the database list: Password Popularity – Top 20 Rank Password Number of Users with Rank Password Number of Users with Password (absolute) Password (absolute) 1 123456 290731 11 Nicole 17168 2 12345 79078 12 Daniel 16409 3 123456789 76790 13 babygirl 16094 4 Password 61958 14 monkey 15294 5 iloveyou 51622 15 Jessica 15162 6 princess 35231 16 Lovely 14950 7 rockyou 22588 17 michael 14898 8 1234567 21726 18 Ashley 14329 9 12345678 20553 19 654321 13984 10 abc123 17542 20 Qwerty 13856
  41. 41. Passwords• Boa password Mínimo(8( caracteres,(com( maíusculas(e( minúsculas,( números(e(outros( caracteres( Única(e(não(reC u<lizada(em( Aleatória( outros(sistemas( Sistema(deve( estar(livre(de( Password( Nunca(estar( apontada/escrita( virus(e(de( em(nenhum(sí<o( spyware( Alterada(de( Desconhecida(de( tempo(a(tempo( terceiros(
  42. 42. Passwords•Software de Gestão de Passwords • Keepass • 1Password • LastPass • ...
  43. 43. SEGURANÇA DE REDES WI-FI
  44. 44. POIS... ... E POR CÁ?
  45. 45. E MAIS...ROUTERS WI-FI DA... THOMPSON, D-LINK, SPEEDTOUCH SSID KEY/PASSWORD
  46. 46. ENGENHARIA SOCIAL
  47. 47. Engenharia Social• Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação• Cuidado com a informação revelada a terceiros • telefonemas • emails • correio tradicional • redes sociais • IM • conversas directas
  48. 48. Engenharia Social•A engenharia social é aplicada da seguinte forma: • Recolha de informações • Desenvolvimento do relacionamento • Exploração do relacionamento • Execução do ataque.
  49. 49. VOCÊ... ... É O ELO MAIS FRACO!!!! (ADEUS?!?)
  50. 50. CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO
  51. 51. Confidencialidade ePrivacidade•Porque a Internet é uma rede pública e aberta•Correio electrónico • não é a mesma coisa que correio tradicional • documentos e informação confidencial•Criptografia • transformar informação em claro em informação perceptível apenas para os elementos em comunicação
  52. 52. Autenticação•o endereço de correio electrónico pode ser forjado•a identidade dos utilizadores pode ser roubada/hijacked•como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança
  53. 53. Confidencialidade,Privacidade e Autenticação• Criptografia de Chave Pública• Certificados Digitais• Usar no correio electrónico • nome.apelido@company.com • associado ao uso de um certificado digital • podemos usar certificados digitais gratuítos • Comodo, CA • ou usar a nossa própria autoridade de certificação • permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente
  54. 54. REDES SOCIAIS
  55. 55. Evolução da Web Social 2000 2004 2007 1990s 1999 2003 2006 2002 2005 2008
  56. 56. • Youtube• LinkedIn• Vimeo• Plaxo• Blogger• Wordpress• Feedburner• Deli.cio.us• Flickr• Twitter• Wikipedia
  57. 57. • Lançado em Fevereiro de 2004• Mark Zuckerberg• + de 800M utilizadores activos • seria o 3º maior país do Mundo
  58. 58. Principais riscos de segurança• Spam, Spam e mais Spam• Malware instalado por terceiros• Spyware• Worms• Falhas de XSS• Falhas no Flash• Phishing• Reputação/Imagem• Informação Pessoal• Esquemas e Vigarices
  59. 59. 7 principais tipos de ataque• “Impersonation” e ataques pessoais direccionados• Infecções com spam e bots• Ataques com base em aplicações sociais• Interligação/Confusão entre a presença pessoal e profissional online• Ataques de XSS e CSRF• Roubo de Identidade• Espionagem industrial
  60. 60. Privacidadenas Redes Sociais?A que custo?
  61. 61. Privacidade• Porquê? • É a vossa informação pessoal • A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação) • Estes terceiros podem manter a vossa informação pelo tempo que quiserem • Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas • Pode originar problemas de segurança • Má imagem, má reputação
  62. 62. 82% das crianças têm fotografias online nos EUA, 92% de bebés(0-2 anos) têm fotos online EUA, 92% Nova Zelândia, 91% um terço das crianças Austrália, 84% online têm apenas Canadá, 84%poucas semanas de vida um quarto dos casos, as fotos começam a aparecer antes do nascimento, em ecografia in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
  63. 63. “Hey Sarah”
  64. 64. Facebook e Privacidade• Por defeito, partilha habilitada October 2009 January 2010
  65. 65. Facebook e Privacidade• O que era privado é agora público
  66. 66. Facebook e Aplicações• Aplicações no Facebook que comprometem a privacidade dos utilizadores
  67. 67. Firesheep
  68. 68. Firesheep
  69. 69. Firesheep
  70. 70. O que colocam on-line Pessoaltem consequências a Profissionalvários níveis: ...
  71. 71. ? ? ?? ?Max Schrems ? ? ? ? ... estudante Austriaco, que processou o Facebook.
  72. 72. Exigiu que o Facebooklhe enviasse toda ainformação que tinhasobre ele.Apagou a conta noFacebook.Facebook enviou um CDcom informação.Cerca de 2000 páginascom informação pessoal(incluindo mensagens dechat)Delete = Status(deleted) ;-)
  73. 73. http://www.europe-v-facebook.org/
  74. 74. ... e tu Google?
  75. 75. ! Cookie imortal do Google! Google regista tudo o que pode! Google retêm todos os dados indefenidamente! Google não diz para que necessita dos dados! Conotações do Google com espionagem?! Toolbar do Google é spyware! A cópia de cache do Google é “ilegal”! Google não é nosso amigo! O Google é uma bomba relógio em termos de privacidade
  76. 76. ! Google Search ! Google Checkout! Google Images ! Google Docs! Google Maps ! Google Android! Google Latitude ! Google Youtube! Google Earth ! Google Adsense! Google Chrome ! Google Adwords! Google Chrome OS ! Google Blogger! Google Mail ! Google Picasa! Google Calendars ! ... e mais, muito mais.
  77. 77. O que sabe o Google sobre vocês? Que podem fazer para o impedir?
  78. 78. QUAL É O PRINCIPAL PRODUTO DA
  79. 79. QUAL É O PRINCIPAL PRODUTO DO
  80. 80. VOCÊS!!!!
  81. 81. Conclusões• Ao usarem redes sociais • Sejam discretos • Sejam cépticos • Pensem • Sejam profissionais • Sejam cautelosos • Verifiquem as configurações de privacidade
  82. 82. http://www.reclaimprivacy.org/This website provides an independent and open tool for scanning your Facebook privacy settings.
  83. 83. Recomendações Facebook • Usem as listas de amigos
  84. 84. Recomendações Facebook • Removam-se dos resultados de pesquisa do Facebook
  85. 85. Recomendações Facebook • Removam-se do Google
  86. 86. Recomendações Facebook • Evitem ser etiquetados/tagged num vídeo ou foto comprometedora
  87. 87. Recomendações Facebook • Protejam os vossos álbuns
  88. 88. Recomendações Facebook • Impeçam as vossas histórias de aparecem na Wall dos seus amigos
  89. 89. Recomendações Facebook • Protejam-se contra histórias publicadas por aplicações na sua Wall
  90. 90. Recomendações Facebook • Tornem a vossa informação de contacto privada
  91. 91. Recomendações Facebook • Evitem posts embaraçosos na vossa Wall
  92. 92. Recomendações Facebook • Mantenham as vossas relações privadas
  93. 93. “Once you post it, You loose it”
  94. 94. Conclusões e Discussão• Verificar quais as principais vulnerabilidades e riscos• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos)• Browser web: • Usar versões sempre actualizadas (aplica-se igualmente ao SO) • Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas• Em caso de dúvida: hesitar, desconfiar, perguntar
  95. 95. @pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao
  96. 96. Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×