SlideShare ist ein Scribd-Unternehmen logo

Insegurança na Rede: problemas e soluções

elliando dias
elliando dias
TechnologieBusiness
1 von 23
Downloaden Sie, um offline zu lesen
Insegurança na Rede: GSeg UFRGS UFRGS problemas e soluções Vinícius S. Serafim GSeg - UFRGS
GSeg Roteiro UFRGS UFRGS Evolução da Rede Ataques Segurança da Informação Como implementar S.I.? Requisitos para RH Como adquirir conhecimentos? “A grande solução” 2
GSeg Grupo de Segurança - UFRGS UFRGS UFRGS Áreas de Pesquisa Sistemas operacionais seguros Segurança em redes sem fio Injeção de falhas maliciosas Engenharia de segurança Votação digital Coordenador Prof. Raul Fernando Weber 3
GSeg Evolução da Rede UFRGS UFRGS Wireless Dial-up ADSL 4
GSeg Ataques UFRGS UFRGS Motivações Simples curiosidade Notoriedade Lucro Vingança Investigação legal privacidade x possibilidade de investigação 5
GSeg Ataques UFRGS UFRGS Classes de agentes Hackers Crackers Script kids Agentes Alunos Espiões Administradores sem ética Amparados pela lei “Turista acidental” 6
GSeg Ataques UFRGS UFRGS Técnicas mais comuns Monitoramento/cópia de transmissões sniffing ethernet ajuda muito wireless mais ainda Exploração de erros de configuração de serviços e permissões programação (buffer overflow) Negação de serviço Backdoors Varreduras hosts e redes Engenharia social 7
GSeg Ataques UFRGS UFRGS Técnicas mais recentes Gummy Fingerprint Tsutomu Matsumoto (Matemático) Ingredientes: plástico moldável e gelatina incolor Funcionou em 80% dos casos 1 2 3 8
GSeg Ataques UFRGS UFRGS Técnicas mais recentes Pringles & Wireless Crescente disseminação Segurança prevista é muito fraca ... ... e normalmente não é utilizada WellenReiter, Air-Snort 9
GSeg Ataques UFRGS UFRGS Ataques organizados Desenvolvimento Desenvolvimento e teste em ambiente e teste em ambiente controlado controlado Escolha do alvo e Obtenção e testes levantamento de de ferramentas informações Fontes públicas Fontes públicas de informação de informação Privilégios de acesso, Privilégios de acesso, eliminar indícios, eliminar indícios, garantir retorno garantir retorno Aplicação das Exploração dos ferramentas contra Resultados o alvo 1 2 3 4 10
GSeg Segurança da Informação UFRGS UFRGS Garantia dos seguintes requisitos confidencialidade integridade disponibilidade autenticidade irrefutabilidade Tipos NBR ISO/IEC 17799 Física Lógica 11
GSeg Por que investir em S.I.? UFRGS UFRGS Crescente número de ameaças Recursos cada vez mais complexos Ferramentas de ataque mais poderosas Proteger Competitividade Lucratividade Cumprimento de requisitos legais Imagem no mercado 12
GSeg Como implementar S.I.? UFRGS UFRGS Instalar mecanismos Firewalls Sistemas de Detecção de Intrusão (IDS) Controle de troca de senhas O D A ID Monitorar usuários CU Trancar tudo o que não é útil I. S. 13
GSeg Segurança da Informação UFRGS UFRGS Alguns pontos de vista segurança é custo segurança versus facilidade de uso segurança por obscuridade profissionais com conhecimentos limitados usuários ignoram aspectos técnicos segurança x marketing 14
GSeg Segurança da Informação UFRGS UFRGS Os três pilares Segurança Mecanismo Cultura Política 15
GSeg Segurança da Informação UFRGS UFRGS Não é possível provar segurança mas sim o nível de insegurança em um dado instante de tempo Redução e controle de riscos O que é risco? Risco = Impacto x (Ameaça x Vulnerabilidade) Não existe redução 100% Ciência dos riscos 16
GSeg Como implementar S.I.? UFRGS UFRGS Através de que processo garantimos a qualidade de um software? Existe software perfeito? Testes garantem a inexistência de problemas? Engenharia de Segurança Redução de riscos a níveis aceitáveis através da qualificação do processo 17
GSeg Como implementar S.I.? UFRGS UFRGS Acima de tudo a missão da organização Participação de todos Segmentação Níveis de segurança NBR ISO/IEC 17799 Não traz nada de novo, mas organiza e serve como referência Deve-se ter sempre em mãos 18
GSeg Requisitos para RH UFRGS UFRGS Ética!!! Ex-hackers? Autodidata Conhecimentos técnicos Teoria e prática Sempre atualizados 19
GSeg Requisitos para RH UFRGS UFRGS Capacidade para entender a organização Facilidade para interagir com pessoas Iniciativa 20
GSeg Como adquirir conhecimentos? UFRGS UFRGS Internet www.packetstormsecurity.com www.cert.org www.securityfocus.com/online Livros não “Hackers em 24h” Prática 21
GSeg “A grande solução” UFRGS UFRGS A Segurança da Informação tem que ser tratada como item indispensável na formação de recursos humanos ao longo do currículo disciplinas específicas cursos especiais Andrew Yang, 2001 22
GSeg Contatos UFRGS UFRGS GSeg http://www.inf.ufrgs.br/~gseg gseg@inf.ufrgs.br Vinícius S. Serafim serafim@inf.ufrgs.br GNU/Linux 23

Empfohlen

Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Portfolio
PortfolioPortfolio
Portfolioadrigobbo
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 

Empfohlen

Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
Sistemas de Detecção de Intrusão
Sistemas de Detecção de IntrusãoSistemas de Detecção de Intrusão
Sistemas de Detecção de Intrusãoelliando dias
 
Relatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioRelatório de Teste Invasão fícticio
Relatório de Teste Invasão fícticioVitor Melo
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
Portfolio
PortfolioPortfolio
Portfolioadrigobbo
 
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...
Webinar Be Aware - Evoluindo da tradicional prevenção para rápida detecção e ...Symantec Brasil
 
[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azure[Pt br] - 36751 - mitre att&ck - azure
[Pt br] - 36751 - mitre att&ck - azureEnrique Gustavo Dutra
 
Dis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaDis defesa abordagem relacional modelo seguranca
Dis defesa abordagem relacional modelo segurancaRui Gomes
 
Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
Introdução segurança de informação
Introdução segurança de informaçãoIntrodução segurança de informação
Introdução segurança de informaçãoVíctor Leonel Orozco López
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 segurancaMarco Guimarães
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Riscoguest8ae21d
 
Segurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IPSegurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IPFrederico Madeira
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1SITEL IBERICA TELESERVICES
 
Kaspersky 2014
Kaspersky 2014Kaspersky 2014
Kaspersky 2014Bravo Tecnologia
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security TestKleitor Franklint Correa Araujo
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 
Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacaoTati Moura
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 

Weitere ähnliche Inhalte

Was ist angesagt?

Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - ConceitosLuiz Arthur
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Clavis Segurança da Informação
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa terTechBiz Forense Digital
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingVitor Melo
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaSymantec Brasil
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Cisco do Brasil
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades WebEduardo Lanna
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewData Security
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Riscoguest8ae21d
 
Segurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IPSegurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IPFrederico Madeira
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejarGUTS-RS
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewData Security
 

Was ist angesagt? (19)

Seguranca da Informação - Conceitos
Seguranca da Informação - ConceitosSeguranca da Informação - Conceitos
Seguranca da Informação - Conceitos
 
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
Soluções de Segurança da Informação para o mundo corporativo (para cada probl...
 
Introdução segurança de informação
Introdução segurança de informaçãoIntrodução segurança de informação
Introdução segurança de informação
 
10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter10 atributos que o seu firewall precisa ter
10 atributos que o seu firewall precisa ter
 
Aplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentestingAplicação de um modelo simplificado das metodologias do pentesting
Aplicação de um modelo simplificado das metodologias do pentesting
 
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e RespostaAmeaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
Ameaças Persistentes Avançadas: Passando da Detecção para a Prevenção e Resposta
 
Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER Conteúdo Técnico Cisco ASA com FirePOWER
Conteúdo Técnico Cisco ASA com FirePOWER
 
(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web(2) O Processo de Gerenciamento de Vulnerabilidades Web
(2) O Processo de Gerenciamento de Vulnerabilidades Web
 
56299593 seguranca
56299593 seguranca56299593 seguranca
56299593 seguranca
 
Curso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - OverviewCurso Plano de Continuidade dos Negócios - Overview
Curso Plano de Continuidade dos Negócios - Overview
 
Aula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do RiscoAula10 TEES UFS Analise e Gestao do Risco
Aula10 TEES UFS Analise e Gestao do Risco
 
Segurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IPSegurança em Redes de Voz Sobre IP
Segurança em Redes de Voz Sobre IP
 
Vale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz EduardoVale Security Conference - 2011 - 5 - Luiz Eduardo
Vale Security Conference - 2011 - 5 - Luiz Eduardo
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1
 
Kaspersky 2014
Kaspersky 2014Kaspersky 2014
Kaspersky 2014
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar [GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
[GUTS-RS] - Testes de Segurança: O que preciso saber para planejar
 
Mobile App Security Test
Mobile App Security TestMobile App Security Test
Mobile App Security Test
 
Curso Security Officer Advanced - Overview
Curso Security Officer Advanced - OverviewCurso Security Officer Advanced - Overview
Curso Security Officer Advanced - Overview
 

Ähnlich wie Insegurança na Rede: problemas e soluções

Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacaoTati Moura
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicosGuilherme Neves
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREFabiano Souza
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Alcyon Ferreira de Souza Junior, MSc
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoArtur Nascimento
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Welington Monteiro
 
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...Rafael Burity
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosAlexandre Prata
 
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistemaRafael Burity
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Filipe Rolo
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1gabrio2022
 
Testes de segurança orientados a valor
Testes de segurança orientados a valorTestes de segurança orientados a valor
Testes de segurança orientados a valor4ALL Tests
 

Ähnlich wie Insegurança na Rede: problemas e soluções (20)

Seguranca da informacao
Seguranca da informacaoSeguranca da informacao
Seguranca da informacao
 
1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos1º webminar sobre ransonware para gestores públicos
1º webminar sobre ransonware para gestores públicos
 
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWAREQUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
QUALIDADE, SEGURANÇA E CONFIABILIDADE DE SOFTWARE
 
Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04Modulo 01 CapíTulo 04
Modulo 01 CapíTulo 04
 
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
Aula 05 - Curso GRATUITO EAD de Desenvolvimento Seguro de Software com Alcyon...
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!Qa test roadsec-bh - testes de segurança, não comece pelo fim!
Qa test roadsec-bh - testes de segurança, não comece pelo fim!
 
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
[Farol UX Santander] Segurança vs UX: Qual relação do usuário com a segur...
 
Risco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dadosRisco aplicado à Privacidade e Proteção de dados
Risco aplicado à Privacidade e Proteção de dados
 
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
Café com Seguro: Riscos Cibernéticos - Guilheme Procopio
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema
[Ifood] Segurança vs UX: Qual relação do usuário com a segurança do sistema
 
Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2Oferta de sensibilização à segurança da informação sys value - v2013.2
Oferta de sensibilização à segurança da informação sys value - v2013.2
 
Offensive security, o que é isso?
Offensive security, o que é isso?Offensive security, o que é isso?
Offensive security, o que é isso?
 
Apresentação dissertação
Apresentação dissertaçãoApresentação dissertação
Apresentação dissertação
 
Sistemas da informação1
Sistemas da informação1Sistemas da informação1
Sistemas da informação1
 
Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)Apresentacao clsi 2 (para enviar)
Apresentacao clsi 2 (para enviar)
 
Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011Desenvolvimento Seguro- 2011
Desenvolvimento Seguro- 2011
 
Testes de segurança orientados a valor
Testes de segurança orientados a valorTestes de segurança orientados a valor
Testes de segurança orientados a valor
 

Mehr von elliando dias

Clojurescript slides
Clojurescript slidesClojurescript slides
Clojurescript slideselliando dias
 
Why you should be excited about ClojureScript
Why you should be excited about ClojureScriptWhy you should be excited about ClojureScript
Why you should be excited about ClojureScriptelliando dias
 
Functional Programming with Immutable Data Structures
Functional Programming with Immutable Data StructuresFunctional Programming with Immutable Data Structures
Functional Programming with Immutable Data Structureselliando dias
 
Nomenclatura e peças de container
Nomenclatura e peças de containerNomenclatura e peças de container
Nomenclatura e peças de containerelliando dias
 
Polyglot and Poly-paradigm Programming for Better Agility
Polyglot and Poly-paradigm Programming for Better AgilityPolyglot and Poly-paradigm Programming for Better Agility
Polyglot and Poly-paradigm Programming for Better Agilityelliando dias
 
Javascript Libraries
Javascript LibrariesJavascript Libraries
Javascript Librarieselliando dias
 
How to Make an Eight Bit Computer and Save the World!
How to Make an Eight Bit Computer and Save the World!How to Make an Eight Bit Computer and Save the World!
How to Make an Eight Bit Computer and Save the World!elliando dias
 
A Practical Guide to Connecting Hardware to the Web
A Practical Guide to Connecting Hardware to the WebA Practical Guide to Connecting Hardware to the Web
A Practical Guide to Connecting Hardware to the Webelliando dias
 
Introdução ao Arduino
Introdução ao ArduinoIntrodução ao Arduino
Introdução ao Arduinoelliando dias
 
Incanter Data Sorcery
Incanter Data SorceryIncanter Data Sorcery
Incanter Data Sorceryelliando dias
 
Fab.in.a.box - Fab Academy: Machine Design
Fab.in.a.box - Fab Academy: Machine DesignFab.in.a.box - Fab Academy: Machine Design
Fab.in.a.box - Fab Academy: Machine Designelliando dias
 
The Digital Revolution: Machines that makes
The Digital Revolution: Machines that makesThe Digital Revolution: Machines that makes
The Digital Revolution: Machines that makeselliando dias
 
Hadoop - Simple. Scalable.
Hadoop - Simple. Scalable.Hadoop - Simple. Scalable.
Hadoop - Simple. Scalable.elliando dias
 
Hadoop and Hive Development at Facebook
Hadoop and Hive Development at FacebookHadoop and Hive Development at Facebook
Hadoop and Hive Development at Facebookelliando dias
 
Multi-core Parallelization in Clojure - a Case Study
Multi-core Parallelization in Clojure - a Case StudyMulti-core Parallelization in Clojure - a Case Study
Multi-core Parallelization in Clojure - a Case Studyelliando dias
 

Mehr von elliando dias (20)

Clojurescript slides
Clojurescript slidesClojurescript slides
Clojurescript slides
 
Why you should be excited about ClojureScript
Why you should be excited about ClojureScriptWhy you should be excited about ClojureScript
Why you should be excited about ClojureScript
 
Functional Programming with Immutable Data Structures
Functional Programming with Immutable Data StructuresFunctional Programming with Immutable Data Structures
Functional Programming with Immutable Data Structures
 
Nomenclatura e peças de container
Nomenclatura e peças de containerNomenclatura e peças de container
Nomenclatura e peças de container
 
Geometria Projetiva
Geometria ProjetivaGeometria Projetiva
Geometria Projetiva
 
Polyglot and Poly-paradigm Programming for Better Agility
Polyglot and Poly-paradigm Programming for Better AgilityPolyglot and Poly-paradigm Programming for Better Agility
Polyglot and Poly-paradigm Programming for Better Agility
 
Javascript Libraries
Javascript LibrariesJavascript Libraries
Javascript Libraries
 
How to Make an Eight Bit Computer and Save the World!
How to Make an Eight Bit Computer and Save the World!How to Make an Eight Bit Computer and Save the World!
How to Make an Eight Bit Computer and Save the World!
 
Ragel talk
Ragel talkRagel talk
Ragel talk
 
A Practical Guide to Connecting Hardware to the Web
A Practical Guide to Connecting Hardware to the WebA Practical Guide to Connecting Hardware to the Web
A Practical Guide to Connecting Hardware to the Web
 
Introdução ao Arduino
Introdução ao ArduinoIntrodução ao Arduino
Introdução ao Arduino
 
Minicurso arduino
Minicurso arduinoMinicurso arduino
Minicurso arduino
 
Incanter Data Sorcery
Incanter Data SorceryIncanter Data Sorcery
Incanter Data Sorcery
 
Rango
RangoRango
Rango
 
Fab.in.a.box - Fab Academy: Machine Design
Fab.in.a.box - Fab Academy: Machine DesignFab.in.a.box - Fab Academy: Machine Design
Fab.in.a.box - Fab Academy: Machine Design
 
The Digital Revolution: Machines that makes
The Digital Revolution: Machines that makesThe Digital Revolution: Machines that makes
The Digital Revolution: Machines that makes
 
Hadoop + Clojure
Hadoop + ClojureHadoop + Clojure
Hadoop + Clojure
 
Hadoop - Simple. Scalable.
Hadoop - Simple. Scalable.Hadoop - Simple. Scalable.
Hadoop - Simple. Scalable.
 
Hadoop and Hive Development at Facebook
Hadoop and Hive Development at FacebookHadoop and Hive Development at Facebook
Hadoop and Hive Development at Facebook
 
Multi-core Parallelization in Clojure - a Case Study
Multi-core Parallelization in Clojure - a Case StudyMulti-core Parallelization in Clojure - a Case Study
Multi-core Parallelization in Clojure - a Case Study
 

Insegurança na Rede: problemas e soluções

  • 1. Insegurança na Rede: GSeg UFRGS UFRGS problemas e soluções Vinícius S. Serafim GSeg - UFRGS
  • 2. GSeg Roteiro UFRGS UFRGS Evolução da Rede Ataques Segurança da Informação Como implementar S.I.? Requisitos para RH Como adquirir conhecimentos? “A grande solução” 2
  • 3. GSeg Grupo de Segurança - UFRGS UFRGS UFRGS Áreas de Pesquisa Sistemas operacionais seguros Segurança em redes sem fio Injeção de falhas maliciosas Engenharia de segurança Votação digital Coordenador Prof. Raul Fernando Weber 3
  • 4. GSeg Evolução da Rede UFRGS UFRGS Wireless Dial-up ADSL 4
  • 5. GSeg Ataques UFRGS UFRGS Motivações Simples curiosidade Notoriedade Lucro Vingança Investigação legal privacidade x possibilidade de investigação 5
  • 6. GSeg Ataques UFRGS UFRGS Classes de agentes Hackers Crackers Script kids Agentes Alunos Espiões Administradores sem ética Amparados pela lei “Turista acidental” 6
  • 7. GSeg Ataques UFRGS UFRGS Técnicas mais comuns Monitoramento/cópia de transmissões sniffing ethernet ajuda muito wireless mais ainda Exploração de erros de configuração de serviços e permissões programação (buffer overflow) Negação de serviço Backdoors Varreduras hosts e redes Engenharia social 7
  • 8. GSeg Ataques UFRGS UFRGS Técnicas mais recentes Gummy Fingerprint Tsutomu Matsumoto (Matemático) Ingredientes: plástico moldável e gelatina incolor Funcionou em 80% dos casos 1 2 3 8
  • 9. GSeg Ataques UFRGS UFRGS Técnicas mais recentes Pringles & Wireless Crescente disseminação Segurança prevista é muito fraca ... ... e normalmente não é utilizada WellenReiter, Air-Snort 9
  • 10. GSeg Ataques UFRGS UFRGS Ataques organizados Desenvolvimento Desenvolvimento e teste em ambiente e teste em ambiente controlado controlado Escolha do alvo e Obtenção e testes levantamento de de ferramentas informações Fontes públicas Fontes públicas de informação de informação Privilégios de acesso, Privilégios de acesso, eliminar indícios, eliminar indícios, garantir retorno garantir retorno Aplicação das Exploração dos ferramentas contra Resultados o alvo 1 2 3 4 10
  • 11. GSeg Segurança da Informação UFRGS UFRGS Garantia dos seguintes requisitos confidencialidade integridade disponibilidade autenticidade irrefutabilidade Tipos NBR ISO/IEC 17799 Física Lógica 11
  • 12. GSeg Por que investir em S.I.? UFRGS UFRGS Crescente número de ameaças Recursos cada vez mais complexos Ferramentas de ataque mais poderosas Proteger Competitividade Lucratividade Cumprimento de requisitos legais Imagem no mercado 12
  • 13. GSeg Como implementar S.I.? UFRGS UFRGS Instalar mecanismos Firewalls Sistemas de Detecção de Intrusão (IDS) Controle de troca de senhas O D A ID Monitorar usuários CU Trancar tudo o que não é útil I. S. 13
  • 14. GSeg Segurança da Informação UFRGS UFRGS Alguns pontos de vista segurança é custo segurança versus facilidade de uso segurança por obscuridade profissionais com conhecimentos limitados usuários ignoram aspectos técnicos segurança x marketing 14
  • 15. GSeg Segurança da Informação UFRGS UFRGS Os três pilares Segurança Mecanismo Cultura Política 15
  • 16. GSeg Segurança da Informação UFRGS UFRGS Não é possível provar segurança mas sim o nível de insegurança em um dado instante de tempo Redução e controle de riscos O que é risco? Risco = Impacto x (Ameaça x Vulnerabilidade) Não existe redução 100% Ciência dos riscos 16
  • 17. GSeg Como implementar S.I.? UFRGS UFRGS Através de que processo garantimos a qualidade de um software? Existe software perfeito? Testes garantem a inexistência de problemas? Engenharia de Segurança Redução de riscos a níveis aceitáveis através da qualificação do processo 17
  • 18. GSeg Como implementar S.I.? UFRGS UFRGS Acima de tudo a missão da organização Participação de todos Segmentação Níveis de segurança NBR ISO/IEC 17799 Não traz nada de novo, mas organiza e serve como referência Deve-se ter sempre em mãos 18
  • 19. GSeg Requisitos para RH UFRGS UFRGS Ética!!! Ex-hackers? Autodidata Conhecimentos técnicos Teoria e prática Sempre atualizados 19
  • 20. GSeg Requisitos para RH UFRGS UFRGS Capacidade para entender a organização Facilidade para interagir com pessoas Iniciativa 20
  • 21. GSeg Como adquirir conhecimentos? UFRGS UFRGS Internet www.packetstormsecurity.com www.cert.org www.securityfocus.com/online Livros não “Hackers em 24h” Prática 21
  • 22. GSeg “A grande solução” UFRGS UFRGS A Segurança da Informação tem que ser tratada como item indispensável na formação de recursos humanos ao longo do currículo disciplinas específicas cursos especiais Andrew Yang, 2001 22
  • 23. GSeg Contatos UFRGS UFRGS GSeg http://www.inf.ufrgs.br/~gseg gseg@inf.ufrgs.br Vinícius S. Serafim serafim@inf.ufrgs.br GNU/Linux 23