Principios básicos de segurança on-line

Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão

@pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao

QUAL A DIFERENÇA ENTREUMA GARRAFA DE ÁGUA EUM COMPUTADOR?

SECURITY IS APROCESS NOT APRODUCT Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1

IS ASECURITY PROCESS HOLÍSTICO AL L CO CI TA GI SO EN LÓ BI NO AM EC T CONTINUO Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1

IS ASECURITY PROCESS Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1

Resumo•Segurança • Física • Passwords • Phishing • Virus, Worms, etc. • Engenharia Social • Conﬁdencialidade, Privacidade e Autenticação • Redes Sociais

SEGURANÇA FÍSICA

Segurança Física• Localização • Acesso a instalações e a salas • Acesso a computadores/servidores • Acesso a informação conﬁdencial • Classiﬁcação de informação e políticas de acesso• Dispositivos de Armazenamento • CDs, DVDs • Pen USB • Discos externos • Telemóveis, Smartphones e Tablets?!?

ESTÁ PROTEGIDOCONTRA“SHOULDER SURFING” ???

Segurança Física•Armazenar informação em Segurança • TrueCrypt, FileVault, BitLocker, etc. • em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc.•Deﬁnir uma política pessoal de gestão de informação e de classiﬁcação da mesma

Segurança Física•Backups •backups, backups e mais backups •regularidade •localização dos backups •segurança dos mesmos

DISCO EXTERNOUM COMPUTADOR TABLET PEN DRIVE SMARTPHONE ... PERDIDO OU ROUBADO PERDA FINANCEIRA QUEBRA PRIVACIDADE

HIDDEN

VIRUS, MALWARE EOUTROS “BICHOS” ESQUISITOS

Virus, Worms, $%#3& estranhas•Virus•Worms•Trojans•Keyloggers

Virus, Worms, $%#3& estranhas•Proteger o computador (em especial com o Windows ;-)) • Firewalls • Anti-virus • Anti-spyware

Virus, Worms, $%#3& estranhas• Limitar o uso da conta de administrador • Programas maliciosos aproveitam-se das permissões disponíveis • Injecção e execução de código facilitada • Instalar keylogger • Executar serviços • Desactivar boot do sistema • Desactivar anti-vírus • Executar tarefas comuns com privilégios limitados

Virus, Worms, $%#3& estranhas•E-mail • Emissores • Anexos • Links • Solicitações “esquisitas”

Virus, Worms, $%#3& estranhas•Instant Messaging • As ferramentas de IM são uma das formas de distribuição e propagação de vírus • IRC, MSN Messenger, etc. • São igualmente uma forma muito comum para a distribuição de malware e vírus

Virus, Worms, $%#3& estranhas•Redes Sociais • Twitter, Facebook, ... • URL shortners•Distribuição de malware e de virus•Compromisso dos computadores - Zombies/Botnets

BOTNET MARIPOSA 13M COMPUTADORES, 190 PAÍSESSTUXNET VIRUS/WORM ATACAR CENTRAIS NUCLEARES

PHISHING

Phishing• Uma forma de enganar os utilizadores através de sites e mensagens enganosas• Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores • credenciais de acesso • outras informações

Phishing quiz

D E A UF R

http://www.bancoxpto.pt ouhttp://www.banc0xpt0.pt http https

http https

Phishing• Conselhos • browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais) • testar HTTPS • ver se cadeado está activo • sem warnings de segurança • ver detalhes do certiﬁcado • testar form de login • tentar introdução de credenciais erradas e ver comportamento da aplicação • nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)

PASSWORDS

Passwords•Passwords são como as CUECAS, porque: • não as devemos deixar à vista para que outros as possam ver • devemos mudá-las com regularidade • não as devemos emprestar (principalmente a estranhos)

Passwords•Política de gestão de passwords • Escolha de boas passwords • Alteração das passwords • Passwords devem ser "secretas"

was equal to or below six characters. Password Length Distribution 13 12 1.32% 2.11% 5 4.07% Passwords 11 3.57% 6 10 26.04% 9.06% 9 12.11% • A verdade sobre as passwordsConsumer Password Worst Practices 7 8 19.29% 19.98%Analysis • Estudo realizado pela ImpervaNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case 2. Recommendation: It should contain a mix of fourto help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp should not be either the first or last character in the password. 1. Recommendation: It should contain at least eight characters. • http://www.imperva.com/docs/ The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite The ADC analysis showed that almost 60% of users WP_Consumer_Password_Worst_Practices.pdf current minimal password length requirement is five). A staggering 40% of users chose passwords whose length was equal to or below six characters. About 30% the users use only lowercase characters for their passwords and about another Less than 4% of the users use special characters. Password Length Distribution Password Length Distribution 13 12 1.32% 3.81% 1.62% 2.11% 5 4.07% 11 3.57% 6 10 26.04% 9.06% 36.94% 41.69% 9 12.11% 7 8 19.29% 19.98% 15.94% 2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASAs recommendations only 0.2% of R types after evaluating the case letters, lower case

Consumer Password Worst Practices Passwords 3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address. • A verdade most popular passwords, that are used by a share of 20% of the users, were just that – Almost all of the 5000 sobre as passwords names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The • Estudo realizado pela Imperva following table depicts the top 20 common passwords in the database list: Password Popularity – Top 20 Rank Password Number of Users with Rank Password Number of Users with Password (absolute) Password (absolute) 1 123456 290731 11 Nicole 17168 2 12345 79078 12 Daniel 16409 3 123456789 76790 13 babygirl 16094 4 Password 61958 14 monkey 15294 5 iloveyou 51622 15 Jessica 15162 6 princess 35231 16 Lovely 14950 7 rockyou 22588 17 michael 14898 8 1234567 21726 18 Ashley 14329 9 12345678 20553 19 654321 13984 10 abc123 17542 20 Qwerty 13856

Passwords• Boa password Mínimo(8( caracteres,(com( maíusculas(e( minúsculas,( números(e(outros( caracteres( Única(e(não(reC u<lizada(em( Aleatória( outros(sistemas( Sistema(deve( estar(livre(de( Password( Nunca(estar( apontada/escrita( virus(e(de( em(nenhum(sí<o( spyware( Alterada(de( Desconhecida(de( tempo(a(tempo( terceiros(

Passwords•Software de Gestão de Passwords • Keepass • 1Password • LastPass • ...

SEGURANÇA DE REDES WI-FI

POIS... ... E POR CÁ?

E MAIS...ROUTERS WI-FI DA... THOMPSON, D-LINK, SPEEDTOUCH SSID KEY/PASSWORD

ENGENHARIA SOCIAL

Engenharia Social• Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação• Cuidado com a informação revelada a terceiros • telefonemas • emails • correio tradicional • redes sociais • IM • conversas directas

Engenharia Social•A engenharia social é aplicada da seguinte forma: • Recolha de informações • Desenvolvimento do relacionamento • Exploração do relacionamento • Execução do ataque.

VOCÊ... ... É O ELO MAIS FRACO!!!! (ADEUS?!?)

CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO

Confidencialidade ePrivacidade•Porque a Internet é uma rede pública e aberta•Correio electrónico • não é a mesma coisa que correio tradicional • documentos e informação confidencial•Criptografia • transformar informação em claro em informação perceptível apenas para os elementos em comunicação

Autenticação•o endereço de correio electrónico pode ser forjado•a identidade dos utilizadores pode ser roubada/hijacked•como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de conﬁança

Confidencialidade,Privacidade e Autenticação• Criptografia de Chave Pública• Certificados Digitais• Usar no correio electrónico • nome.apelido@company.com • associado ao uso de um certificado digital • podemos usar certificados digitais gratuítos • Comodo, CA • ou usar a nossa própria autoridade de certificação • permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente

REDES SOCIAIS

Evolução da Web Social 2000 2004 2007 1990s 1999 2003 2006 2002 2005 2008

• Youtube• LinkedIn• Vimeo• Plaxo• Blogger• Wordpress• Feedburner• Deli.cio.us• Flickr• Twitter• Wikipedia

• Lançado em Fevereiro de 2004• Mark Zuckerberg• + de 800M utilizadores activos • seria o 3º maior país do Mundo

Principais riscos de segurança• Spam, Spam e mais Spam• Malware instalado por terceiros• Spyware• Worms• Falhas de XSS• Falhas no Flash• Phishing• Reputação/Imagem• Informação Pessoal• Esquemas e Vigarices

7 principais tipos de ataque• “Impersonation” e ataques pessoais direccionados• Infecções com spam e bots• Ataques com base em aplicações sociais• Interligação/Confusão entre a presença pessoal e proﬁssional online• Ataques de XSS e CSRF• Roubo de Identidade• Espionagem industrial

Privacidadenas Redes Sociais?A que custo?

Privacidade• Porquê? • É a vossa informação pessoal • A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identiﬁcação) • Estes terceiros podem manter a vossa informação pelo tempo que quiserem • Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas • Pode originar problemas de segurança • Má imagem, má reputação

82% das crianças têm fotograﬁas online nos EUA, 92% de bebés(0-2 anos) têm fotos online EUA, 92% Nova Zelândia, 91% um terço das crianças Austrália, 84% online têm apenas Canadá, 84%poucas semanas de vida um quarto dos casos, as fotos começam a aparecer antes do nascimento, em ecograﬁa in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html

“Hey Sarah”

Facebook e Privacidade• Por defeito, partilha habilitada October 2009 January 2010

Facebook e Privacidade• O que era privado é agora público

Facebook e Aplicações• Aplicações no Facebook que comprometem a privacidade dos utilizadores

Firesheep

O que colocam on-line Pessoaltem consequências a Proﬁssionalvários níveis: ...

? ? ?? ?Max Schrems ? ? ? ? ... estudante Austriaco, que processou o Facebook.

Exigiu que o Facebooklhe enviasse toda ainformação que tinhasobre ele.Apagou a conta noFacebook.Facebook enviou um CDcom informação.Cerca de 2000 páginascom informação pessoal(incluindo mensagens dechat)Delete = Status(deleted) ;-)

http://www.europe-v-facebook.org/

... e tu Google?

! Cookie imortal do Google! Google regista tudo o que pode! Google retêm todos os dados indefenidamente! Google não diz para que necessita dos dados! Conotações do Google com espionagem?! Toolbar do Google é spyware! A cópia de cache do Google é “ilegal”! Google não é nosso amigo! O Google é uma bomba relógio em termos de privacidade

! Google Search ! Google Checkout! Google Images ! Google Docs! Google Maps ! Google Android! Google Latitude ! Google Youtube! Google Earth ! Google Adsense! Google Chrome ! Google Adwords! Google Chrome OS ! Google Blogger! Google Mail ! Google Picasa! Google Calendars ! ... e mais, muito mais.

O que sabe o Google sobre vocês? Que podem fazer para o impedir?

QUAL É O PRINCIPAL PRODUTO DA

QUAL É O PRINCIPAL PRODUTO DO

VOCÊS!!!!

Conclusões• Ao usarem redes sociais • Sejam discretos • Sejam cépticos • Pensem • Sejam profissionais • Sejam cautelosos • Verifiquem as configurações de privacidade

http://www.reclaimprivacy.org/This website provides an independent and open tool for scanning your Facebook privacy settings.

Recomendações Facebook • Usem as listas de amigos

Recomendações Facebook • Removam-se dos resultados de pesquisa do Facebook

Recomendações Facebook • Removam-se do Google

Recomendações Facebook • Evitem ser etiquetados/tagged num vídeo ou foto comprometedora

Recomendações Facebook • Protejam os vossos álbuns

Recomendações Facebook • Impeçam as vossas histórias de aparecem na Wall dos seus amigos

Recomendações Facebook • Protejam-se contra histórias publicadas por aplicações na sua Wall

Recomendações Facebook • Tornem a vossa informação de contacto privada

Recomendações Facebook • Evitem posts embaraçosos na vossa Wall

Recomendações Facebook • Mantenham as vossas relações privadas

“Once you post it, You loose it”

Conclusões e Discussão• Verificar quais as principais vulnerabilidades e riscos• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos)• Browser web: • Usar versões sempre actualizadas (aplica-se igualmente ao SO) • Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas• Em caso de dúvida: hesitar, desconfiar, perguntar

@pontocomcarlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao

Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão

Principios básicos de segurança on-line

by Carlos Serrão

Accessibility

Categories

Upload Details

Usage Rights

1 Embed 4

Statistics