Palestra sobre Segurança em Software dada por Paulo de Mendonça Dias no evento IDC Angola CIO Summit 2013. Visite o nosso site: www.infinite.pt e siga-nos nas redes sociais: https://www.facebook.com/infinite.pt http://www.linkedin.com/company/infinite-business-solutions_2 Mais informação sobre o evento: http://bit.ly/16sW5lo

1. Security 2013
Luanda, 30 de Maio de 2013
SEGURANÇA EM SOFTWARE
Paulo de Mendonça Dias
1
“If debugging is the process of removing bugs, then
programming must be the process of putting them in.”
Auditor de Defesa Nacional (Instituto da Defesa Nacional – Ministério da Defesa)
Master of Science in Information Security (Carnegie Mellon University - Pittsburgh, USA)
Mestre em Segurança Informática (Faculdade de Ciências da Universidade de Lisboa)
Engº Informático (Instituto Superior de Informática e Gestão - Lisboa)

2. 2
The Internet:
where men are women, women are men,
and children are FBI agents

3. 3
75 ANOS
38 ANOS
13 ANOS
4 ANOS
3,5 ANOS
35 DIAS
Telefone
Rádio
Televisão
Internet
Facebook
Angry Birds
O MARCO DOS 50 MILHÕES DE UTILIZADORES

4. O QUE TEM ACONTECIDO …
4
 Pequenas e médias empresas como o elo mais fraco
 Autores de Malware são os novos Big Brother
 Mobile, mobile …
 Vulnerabilidades “zero-day” disponíveis no mercado
RESPONSABILIDADES?
Shamoon (discos em empresas de energia no Médio Oriente): “Cutting
Sword of Justice”
DDoS contra bancos: Izz ad-Din al-Qassam Cyber Fighters”
MAS …
… fachada para governos ou para mascarar transações

5. “Security is like sex, one mistake and you have to
support it for the rest of your life.”
5

6. 6
24 milhões de identidades roubadas da Zappos
OSX.Flashback Trojan infeta 600.000 Mac
Contas de LinkedIn expostas.
Empresa processadora de pagamentos (incluindo Visa e
MasterCard) atacada e dados 1,5 milhões de utilizadores
expostos
Servidores de DNS, geridos pelo FBI após ataque do
DNSChanger Trojan, sofrem DoS
Trojan usabo para roubar informação do governo
japonês é descoberto, após 2 anos
Malware para imagens virtuais de VMware®
Ladrões exploram vulnerabilidade nas fechaduras de
conhecido fabricante para assaltar quartos de hotel
Em Maio, CA Comodo legitima
certificado de empresa fictícia.
Decoberto em Agosto
Samsung versão Android™
permite limpar telefone
remotamente
Reuters atacada resultado na
publicação de notícias falsas no
site e twitter

7. GRAUS DE DIFICULDADEf
"The only problem with troubleshooting is that sometimes
trouble shoots back.“
7
8. Reconhecimento
7. DoS Negação de Serviço
6. Website “defacement”
5. Infeção direcionada
4. “Mischief” (do francês mischief,
travessura, infortunio)
3. Acesso a longo prazo
2. Air gap networking
1. Sabotagem
H. Brückner

8. GRAUS DE DIFICULDADE
8

9. 10 PASSOS para a Cibersegurança,
versus "Hey! It compiles! Ship it!“
9
1. Casa e ambiente mobile
2. Formação utilizadores e sensibilização
3. Gestão de incidentes
4. Gestão de risco
5. Privilégios de utilizadores
6. BYOD
7. Monitorização e control
8. Configurações seguras
9. Proteção malware e segurança de rede
10. Segurança de software

10. 20 CONTROLOS MANDATÓRIOS
PARA A CIBERSEGURANÇA
10
1. Inventário de dispositivos autorizados e não autorizados
2. Inventário de software autorizado e não autorizado
3. Configuração segura de hardware e software
4. Análise de vulnerabilidades continuada
5. Proteção de malware
6. Application software security
7. Controlo de dispositivos wireless
8. Capacidade de recuperação de dados
9. Avaliação de competências em segurança e formação para colmatar falhas
10. Configuração segura de dispositivos de rede
11. Limitação e controlo de portos, protocolos e serviços
12. Uso controlado de privilégios de administração
13. Defesa de perímetro
14. Logs, logs, logs, logs …
15. Implementação de política de “need-to-know“
16. Monitorização e controlo de contas
17. Data loss prevention
18. Capacidade de resposta a incidentes
19. Engenharia de segurança de rede
20. Testes de intrusão e exercícios “red team”

11. SOCIAL NETWORK
11
Baseada em relações de confiança
Viral

12. CLOUD COMPUTING
12
 Privacidade: como é feita a gestão da informação e como é acedida
 Propriedade dos dados: como extrair e remover a informação
 Lei do menor esforço: os holofotes estão onde as recompensas são grandes
 Dropbox: contas estiveram abertas por 4 horas
 Compliance: por exemplo, servidores de mail podem violar políticas da empresa
 Infraestrutura: receio de, numa arquitectura virtualizada “multi-tenant”, uma
máquina de um hacker possa explorar uma vulnerabilidade do hypervisor e
ganhar acesso às outras máquinas virtuais
 Encriptação no servidor

13. OBRIGADO!
Let’s stay in touch!
13
PAULO DE MENDONÇA DIAS
pt.linkedin.com/in/paulodemendoncadias
www.infinite.pt
www.facebook.com/infinite.pt