Confraria 0day 2015 - domínios *.gov.br, a cruel realidade

•

0 likes•256 views

Evento: Confraria 0day 2015 Data: 29/01/2015 Palestrante: Thiago Dieb Não é segredo para ninguém que no Brasil é fácil encontrar sites com falhas de segurança, muito delas bem graves. Entretanto não é muito divulgado a quantidade de sistemas governamentais com fragilidade. Objetivo é relacionar as principais falhas encontradas e no ambiente governamental e suas prováveis causas. É surpreendente a quantidade e variedade presentes nesta situação.

Technology

@ThiagoDieb
Domínios *.gov.br,
a cruel realidade.
Confraria 0day
29/01/2015

@ThiagoDieb
Quem sou ?
Thiago Dieb
● Entusiasta e curioso em SI
● 12 anos de experiência
● Gerente de Desenvolvimento
● Consultor e professor

@ThiagoDieb
Injection
SQL Injection é uma das
primeiras falhas a serem
analisadas durante um
rastreamento de
vulnerabilidade.

@ThiagoDieb
Local file download
Vulnerabilidade com nível intermediário.
Normalmente utilizada para baixar arquivos
com configurações do
sistema e dados de
conexão com banco
de dados.

@ThiagoDieb
File upload
Menina dos Olhos
de Ouro,
vulnerabilidade
bastante buscada
por possibilitar
diversas ações
secundárias.

@ThiagoDieb
Heartbleed
Desta vez o impacto foi muito
grande. Especulações dizem
que a falha foi explorada no
mínimo 2 anos antes de ser
divulgada.

@ThiagoDieb
Heartbleed
Outros exemplos:
http://dataprev.gov.br
http://www.cbm.df.gov.br
http://www.catolicavirtual.br

@ThiagoDieb
Shellshock Bash
2014 foi o ano das falhas,
outra vulnerabilidade de
altíssimo nível.
Bug no Bash atingiu um boa
parte dos servidores com os
sistemas operacionais em
Linux e Mac/OS.

@ThiagoDieb
Possíveis Causas
● Servidores sem experiência (Devel/Infra)
● Alta imaturidade, principalmente na fase de
teste
● Equipe terceirizada descompromissada com
a qualidade do produto
● Grande quantidade de sistemas legados,
inclusive com baixo nível de segurança.
● Falta de patrocínio da alta administração
sobre o tema de segurança da informação

@ThiagoDieb
● Departamento de Segurança da Informação
e Comunicações - GSI - PR
● Fiscalização de tecnologia da informação -
TCU
● Governo eletrônico - SISP
● Lei 12.737/212 (Lei Carolina Dieckman)
● Decreto 8.135/2013 (Segurança de dados)
Em contrapartida

@ThiagoDieb
Sugestões de melhoria
● Capacitação técnica dos servidores
(desenvolvimento seguro / teste de intrusão)
● Cargos específicos para área de segurança
da informação na AP.
● Maior divulgação e cobrança sobre
segurança da informação na AP.
● Política de análise de impacto e risco dos
sistemas legados da AP.

@ThiagoDieb
Sugestões de melhoria
● Maior divulgação dos comitês do DSIC
● Entidade de avaliação e monitoramento da
qualidade dos sites e sistemas da AP.
● Criação do selo de qualificação para os sites
e sistemas da AP.

@ThiagoDieb
Obrigado
@ThiagoDieb - thiago@dieb.com.br

More from Thiago Dieb

Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...

Thiago Dieb

Este projeto de mudança se iniciou com inúmeras incertezas. A reestruturação do Portal deveria ser tanto no visual quanto em seus componentes internos, além de atualização de tecnologia. Contudo, o projeto se apontava como algo impossível de ser executado em meio ao cenário desenhado. Tínhamos um equipe pequena, tempo insuficiente, incertezas por todos os lados do projeto e um fator agravante, o ambiente burocrático de uma Administração Pública. Um dos fatores que tornaram o Projeto uma realidade e em um case de sucesso foi a confiança sobre o processo e a metodologia ágil do Framework Scrum. A sessão trará ao público indagações de como um projeto com diversos problemas pode se tornar uma realidade em 3 semanas, com o minimo de recursos possíveis. Será apresentado inicialmente qual era o ambiente atual, quais as principais incertezas, seguindo como o projeto foi gerenciado e desenvolvido, ao final expondo quais foram os pontos negativos e as lições aprendidas da experiência de como fazer um projeto ágil em um cenário do governo federal.

Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...

Thiago Dieb

WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas

Thiago Dieb

Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress

Thiago Dieb

Evento: 16º Fórum Internacional de Software Livre – Fisl 16 Data: 09/07/2015 Quando se está desenvolvendo, desde do Junior ao Sênior, se você não sabe, não lembra, então qual é a primeira ideia que lhe vem a cabeça?! Os novos detentores do conhecimento, também denominados, buscados da internet possibilitam uma enorme quantidade de acesso a informações. Diante disso, podemos afirmar que muito destes informações não estão corretas por completo, especificamente voltadas para o desenvolvimento de software. Temos diversos exemplos, como tutorias de sites conhecidos e famosos, que por um motivo ou outro deixam de lado um teste de segurança ante de postar, pois eles ensinam aplicar uma camada de segurança que muitas vezes não fazem o que realmente pretendem. Nosso objetivo é expor quais são as falhas, as principais recomendações de correção propostas nos diversos sites, e provar que sua grande maioria não estão totalmente corretos.

Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...

Thiago Dieb

Evento: 16º Fórum Internacional de Software Livre – Fisl 16 Data: 09/07/2015 Segundo dados, 21% dos sites no mundo hoje rodam o wordpress, por essa crescente, hackers estão se especializando em técnicas e falhas voltadas para o wordpress, pois probabilidade de conseguirem uma quantidade maior de alvos com menor esforço é muito grande. Perguntar que não quer calar, o WordPress é seguro ? Avalie nossas considerações e tire suas próprias conclusões. De qualquer maneira apresentaremos as principais vulnerabilidades encontradas. Também mostraremos quais as etapas para alcançar um ótimo nível de segurança em seu CMS.

Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...

Thiago Dieb

Facsenac - De hacker e louco, todo mundo tem um pouco

Thiago Dieb

Meetup WordPress Brasília 2014 - WordPress vs Hacker

Thiago Dieb

Como entregar a apuração das eleições para a TV, rádio e web antes da fonte original dos dados, o TSE. Uma conversa sobre Scala, Node.JS, Socket.IO, Express, Redis, Elastic Search e... Matemática. Esta palestra apresenta os erros e acertos ao escolher as tecnologias que são utilizadas na comunicação pública para informar a sociedade a apuração em tempo real das eleições de forma assertiva, íntegra e confiável em diversas plataformas para assegurar o acesso à informação de todos.

Fisl 16 - Como informar os resultados da eleição antes do tse

Thiago Dieb

Atualmente em uma estrutura Governamental é muito difícil encontrar especificamente uma arquitetura completa elaborada de sistemas e sites web baseados em Drupal. A composição do catálogo de software conta com aproximadamente 21 sites e sistemas com vínculo e utilização do Drupal. Nossa intenção é expor de forma mais ampla a experiência acumulada em alguns anos na administração pública, sobre este tão famoso CMS, relacionando tanto os pontos positivos quanto negativos. de como está sendo os procedimentos de manter, administrar, sustentar e claro desenvolver novas aplicações já se preparando para as futuras tendências.

Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...

Thiago Dieb

Sabemos que não existe aplicação 100% segura, mas sempre há maneiras de evitar problemas. A utilização do ciclo de vida de desenvolvimento seguro de software pode auxiliar bastante, independente da linguagem ou framework, entretanto não é a única solução para todos os problemas. Entender melhor quais são as principais falhas e vulnerabilidades também faz parte do skills de um desenvolvedor. A identificação de problemas ou falhas durantes a construção dos softwares, resulta em mais proteção e segurança. Portanto, é necessário saber quais são as principais técnicas e ferramentas de invasão, como funcionam e quando podem ser utilizadas! Conhecer melhor o adversário permite avaliar nossas fragilidades.

Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...

Thiago Dieb

Minicurso de Lógica e Linguagem Java 6.0

Thiago Dieb

More from Thiago Dieb (12)

Palestra - PHPESTE 2015 - Hacker do bem, quebrando as principais dicas de des...

Scrum Gathering Rio 2015 - Como fazer um portal de 25 milhões de usuários em ...

WordCamp Belo Horizonte 2015 | Hackers vs WordPress – A Rebelião das Máquinas

Flisol DF 2015 - WordPress vs Hacker . blindando seu WordPress

Fisl 16 – Nem tudo o que reluz é ouro. hackeando as principais dicas de desen...

Fisl 16 – WordPress vs Hacker – descubra o que ainda é preciso saber para bl...

Facsenac - De hacker e louco, todo mundo tem um pouco

Meetup WordPress Brasília 2014 - WordPress vs Hacker

Fisl 16 - Como informar os resultados da eleição antes do tse

Drupalcamp SP 2015 - Como uma Empresa Pública pode construir seu legado utili...

Palestra DFJUG #java20 anos - Web Hacking - desenvolva na defesa, jogando no...

Minicurso de Lógica e Linguagem Java 6.0

Recently uploaded

Árvores binárias são uma das estruturas de dados mais fundamentais e poderosas na ciência da computação, essenciais para o entendimento e aplicação de algoritmos eficientes. Elas permitem operações de busca, inserção e remoção em tempos de execução competitivos, especialmente quando estão balanceadas. Uma árvore binária é uma estrutura de dados em que cada nó possui no máximo dois filhos, que são referenciados como subárvore esquerda e subárvore direita. Considerando os conceitos fundamentais de uma árvore binária, defina o conceito de PROFUNDIDADE de uma árvore binária e discuta como essa medida impacta as operações realizadas na estrutura.

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

2m Assessoria

Luís Kitota AWS Discovery Day Ka Solution.pdf

LuisKitota

No mundo digital atual, a informação é considerada uma das principais matérias-primas para o desenvolvimento econômico e social. Com a evolução tecnológica e a disseminação da internet, a quantidade de dados gerados e disponíveis diariamente cresce de forma exponencial. Nesse contexto, a gestão da informação assume um papel fundamental para as organizações, uma vez que permite a captação, armazenamento, processamento, análise e disseminação dos dados de forma estruturada e eficiente. Saes, Danillo Xavier. Gestão da Informação. Maringá-Pr.: UniCesumar, 2019. [Unidade I, p. 16 a 28] Para que possamos construir uma reflexão significativa sobre a gestão da informação no mundo organizacional, vamos realizar a presente atividade em 2 momentos. 1. Defina e diferencie: DADO, INFORMAÇÃO e CONHECIMENTO. 2. Faça uma reflexão sobre o uso da informação no contexto organizacional que está inserido na sociedade do conhecimento, destacando qual a relevância do uso das tecnologias digitais como apoio para a gestão da informação.

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

2m Assessoria

LOGÍSTICA EMPRESARIAL — ATIVIDADE DE ESTUDO 1 Olá, estudante! Iniciamos, agora, a Atividade 1. Prepare-se para colocar em prática os conceitos estudados durante a disciplina! Caso surjam dúvidas, não hesite em contatar os professores da disciplina. Desejamos sucesso na sua atividade! "A gestão da cadeia de abastecimento, também conhecida como Supply Chain Management, envolve as práticas gerenciais necessárias para que todas as empresas agreguem valor ao cliente ao longo de todo o processo, desde a fabricação dos materiais até a distribuição e entrega final dos bens e serviços (MARTINS; LAUGENI, 2015, p. 189). Essa abordagem busca integrar os diversos atores da cadeia, proporcionando uma visão abrangente e contínua de todo o processo produtivo, desde a aquisição da matéria-prima até a entrega ao cliente final. A evolução do supply chain culminou na concepção da cadeia logística integrada. a) Relacione as fases de evolução do Supply Chain Management, apresentando suas principais características. b) Descreva, de forma detalhada, o fluxo de informação da Logística Integrada. c) Quais estratégias as empresas podem adotar para integrar de forma eficaz a tecnologia da informação na cadeia logística?

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

2m Assessoria

A margem de contribuição é uma medida fundamental para entender a lucratividade de um produto, serviço, departamento ou da empresa como um todo. Ela representa o valor que sobra da receita depois de subtrair os custos e despesas variáveis associados à produção ou venda desse produto ou serviço. Essa quantia é chamada de "margem de contribuição" porque é a parte do dinheiro que efetivamente contribui para cobrir os custos fixos e gerar lucro. Fonte: FRAGALLI, Adriana Casavechia; CASTRO, Silvio Cesar de. Custos da Produção. Maringá - PR.: Unicesumar, 2022. Dado o contexto fornecido sobre os Margem de Contribuição dentro de uma empresa, é possível expandir a análise para que seja apurada de diferentes formas dentro de uma organizacional. Essas apurações podem ser (1) Global da Empresa, (2) Global de uma filial, (3) Divisão de Negócios, (4) Departamental, (5) Total por produto e (6) Unitário. Neste sentido, explique como cada uma dessas apurações consiste no contexto prático de margem de contribuição.

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

2m Assessoria

Programação Orientada a Objetos - 4 Pilares.pdf

SamaraLunas

Boas práticas de programação com Object Calisthenics

Danilo Pinotti

Padrões de Projeto: Proxy e Command com exemplo

Danilo Pinotti

Recently uploaded (8)

ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx

Luís Kitota AWS Discovery Day Ka Solution.pdf

ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx

ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx

Programação Orientada a Objetos - 4 Pilares.pdf

Boas práticas de programação com Object Calisthenics

Padrões de Projeto: Proxy e Command com exemplo

Confraria 0day 2015 - domínios *.gov.br, a cruel realidade

1. @ThiagoDieb Domínios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015

2. @ThiagoDieb Quem sou ? Thiago Dieb ● Entusiasta e curioso em SI ● 12 anos de experiência ● Gerente de Desenvolvimento ● Consultor e professor

3. @ThiagoDieb Motivação

4. @ThiagoDieb Principais falhas

5. @ThiagoDieb Injection SQL Injection é uma das primeiras falhas a serem analisadas durante um rastreamento de vulnerabilidade.

6. @ThiagoDieb Injection

7. @ThiagoDieb Injection

8. @ThiagoDieb Local file download Vulnerabilidade com nível intermediário. Normalmente utilizada para baixar arquivos com configurações do sistema e dados de conexão com banco de dados.

9. @ThiagoDieb Local file download

10. @ThiagoDieb File upload Menina dos Olhos de Ouro, vulnerabilidade bastante buscada por possibilitar diversas ações secundárias.

11. @ThiagoDieb File Upload

12. @ThiagoDieb File Upload

13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito grande. Especulações dizem que a falha foi explorada no mínimo 2 anos antes de ser divulgada.

14. @ThiagoDieb Heartbleed Outros exemplos: http://dataprev.gov.br http://www.cbm.df.gov.br http://www.catolicavirtual.br

15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas, outra vulnerabilidade de altíssimo nível. Bug no Bash atingiu um boa parte dos servidores com os sistemas operacionais em Linux e Mac/OS.

16. @ThiagoDieb A realidade

17. @ThiagoDieb Possíveis Causas ● Servidores sem experiência (Devel/Infra) ● Alta imaturidade, principalmente na fase de teste ● Equipe terceirizada descompromissada com a qualidade do produto ● Grande quantidade de sistemas legados, inclusive com baixo nível de segurança. ● Falta de patrocínio da alta administração sobre o tema de segurança da informação

18. @ThiagoDieb ● Departamento de Segurança da Informação e Comunicações - GSI - PR ● Fiscalização de tecnologia da informação - TCU ● Governo eletrônico - SISP ● Lei 12.737/212 (Lei Carolina Dieckman) ● Decreto 8.135/2013 (Segurança de dados) Em contrapartida

19. @ThiagoDieb Sugestões de melhoria ● Capacitação técnica dos servidores (desenvolvimento seguro / teste de intrusão) ● Cargos específicos para área de segurança da informação na AP. ● Maior divulgação e cobrança sobre segurança da informação na AP. ● Política de análise de impacto e risco dos sistemas legados da AP.

20. @ThiagoDieb Sugestões de melhoria ● Maior divulgação dos comitês do DSIC ● Entidade de avaliação e monitoramento da qualidade dos sites e sistemas da AP. ● Criação do selo de qualificação para os sites e sistemas da AP.

21. @ThiagoDieb gov.br

22. @ThiagoDieb

23. @ThiagoDieb Obrigado @ThiagoDieb - thiago@dieb.com.br

Confraria 0day 2015 - domínios *.gov.br, a cruel realidade

Recommended

Recommended

More Related Content

More from Thiago Dieb

More from Thiago Dieb (12)

Recently uploaded

Recently uploaded (8)

Confraria 0day 2015 - domínios *.gov.br, a cruel realidade