Palestra ministrada para alunos da FATEC-SP em Out. de 2009 sobre as principais ameaças e tendências de Segurança na Internet, além de algumas dicas de proteção.
2. Agenda
Visão Geral de Segurança
– Porque a necessidade
de segurança?
– Evolução Histórica
– Casos reais
Segurança da Informação
– Segurança Corporativa
– Security Officer
– O profissional consciente
Recomendações Finais
Foto: sxc.hu
2
2
3. Visão Geral de Segurança
Porque a necessidade de segurança?
Evolução Histórica
Casos reais
3
4. Cenário atual
Internet presente na vida de todos
– Relacionamento
– Pessoal e Negócios
Ambiente de negócio dinâmico
– Dependência crescente da tecnologia
– Informação é diferencial competitivo
– Velocidade na tomada de decisão
Tecnologias novas e complexas
Crescimento dos RISCOS
– Falhas, ataques, fraudes etc.
4
4
5. A Internet para o Negócio
67 milhões de usuários de Internet
em 2009
– 32,5 milhões de usuários de
Internet Banking
– 8 bilhões de transações bancárias
on-line (18,1% do total).
– 13 milhões de compradores on-
line.
– Vendas online vão atingir R$ 10
bilhões em 2009
Fontes:
Foto: sxc.hu
Folha On-line, Febraban, Camara e-Net, E-bit
5
5
6. A Internet é Insegura
Projeto inicial sem grande preocupação com a
segurança
– Inicialmente um projeto acadêmico-militar
– Surgiu com foco na disponibilidade da rede
Grande quantidade de alvos e atacantes
– Crescimento exponencial
– Diversidade de tecnologias
– Dificuldade em manter sistemas livres de falha
– Facilidade de acesso (qualquer lugar do
mundo)
Sensação de anonimato e impunidade
Foto: sxc.hu
6
6
7. Principais ameaças ao negócio
Vírus 66%
Funcionários insatisfeitos 53%
Divulgação de senhas 51%
Acessos indevidos 49%
Vazamento de informações 47%
Fraudes, erros e acidentes 41%
Hackers 39%
Falhas na segurança física 37%
Uso de notebooks 31%
Fraudes em e-mail 29%
Fonte: 9a Pesquisa Módulo
7
7
8. Perdas Financeiras
R$ 300 milhões de perdas por
fraude bancária on-line em 2006.
Nos EUA, 2 em cada 5 empresas
paralisadas por hackers vão à
falência em menos de 3 anos
depois.
(Fonte: Disaster Recovery Institute)
Foto: pptdigital
8
8
9. É fácil atacar
Existem hoje à disposição:
– Milhares de web sites sobre ataques e download de
ferramentas na Internet
– Centenas de salas de discussão (mIRC)
– Publicações especializadas para Hackers (e-zines) e para
iniciantes (cursos, revistas, sites)
– Milhões de equipamentos vulneráveis
(servidores e desktops).
9
9
10. É fácil aprender a “hackear”
Milhares de sites
– www.rootshell.com
– www.astalavista.com
– Google, Youtube
Centenas de revistas, livros,
tutoriais, e-zines, canais de bate-
papo, etc
– www.2600.com
– www.phrack.org
Eventos
– www.defcon.org
10
10
13. Ameaças: evolução
Década de 80 - ataques individuais e isolados
– Senhas comprometidas
– Invasões via conexões dial-up
– phreaking
Década de 90 - ataques sofisticados
– Sniffers, IP spoofing, SPAM, Vírus
– Defacements de websites
– Atacantes na maioria amadores
Ano 2000 - ataques distribuídos
– DDoS (Distributed Deny of service)
– Worms (vermes)
– Atacantes se profissionalizam
13
13
14. Ameaças: evolução
Hoje - Cybercrime
– Crimes financeiros na Internet
– Ataques a usuários finais
– Phishing Scan – fraudes online
– Sites falsos
– Keyloggers, rootkits
– Botnets
– Ataques
– Hacking for hire
– Guerra eletrônica
14
14
15. Dinheiro é o Motivo
Fraude em Internet Click Fraud Phishing
Banking e Pharming
Laranjas Fraude de Cartões de
Créditos
Extorsão Ad/Spyware
Roubo CD Keys
Espionagem
Hackers for Hire
Industrial
Pirataria
15
15
16. Páginas Invadidas – exemplos clássicos
Departamento de Justiça
(USA)
August 17, 1996
16
16
33. O que é Segurança
segurança. S. f. 2. Estado, qualidade ou
condição de seguro. 3. Condição daquele ou
daquilo em que se pode confiar. 4. Certeza,
confiar
firmeza, convicção.
seguro. [Do lat. securu.] Adj. 1. Livre de perigo.
2. Livre de risco; protegido, acautelado,
risco protegido
garantido. 8. Em quem se pode confiar. 9.
confiar
Certo, indubitável, incontestável. 10. Eficaz,
eficiente.
[Dicionário Aurélio]
33
33
34. Para que ter Segurança da Informação
“A Segurança da Informação deve existir para
garantir a continuidade dos negócios das
empresas e minimizar danos através da prevenção
e redução dos impactos causados por incidentes
de segurança. (...)
Ela possui três componentes básicos:
confidencialidade, integridade e disponibilidade.”
[BS7799: British Standard Institute, 1995]
34
34
35. O que proteger
Os dados (informações)
– Planejamentos, estratégias
– Bases de dados, cadastros
– Dados administrativos
Recursos
– Hardware e a infra-estrutura
– Software
Funcionários
Imagem e Reputação
Foto: sxc.hu
35
35
36. Elementos da Segurança Corporativa
Política de segurança,
Normas e Procedimentos
– Análise de riscos
Ferramentas Tecnológicas
Segurança Física
Foto: sxc.hu
36
36
37. Legislação e Normas
Padrões internacionais
– ISO 27001 (ISO 17799), Cobit, Coso, ITIL
– Convenção de Budapeste
Leis e regulamentações locais
– PCI, Basiléia II, Sarbanes-Oxley
– Novo Código Civil, Regulamentações do Banco Central do Brasil
(BACEN) e Conselho de Valores Mobiliários (CVM)
37
37
39. Security Officer
Profissional responsável pelas atividades relacionada a
segurança e gestão de risco, tais como:
– Gerenciar a Segurança Corporativa
– Definir políticas, normas e procedimentos
– Implantar e administrar tecnologias de segurança
– Controlar acessos de usuários
– Auditoria
– Prevenir, impedir e responder a
ataques
39
39
40. Profissional de segurança da informação
Vários campos de atuação:
– Pesquisa em segurança
– Vulnerabilidades, ataques, criptografia, etc
– Estratégia e Gestão de segurança
– Ferramentas e tecnologias de segurança
– Firewall, IDS, antivírus, etc
– Desenvolvimento / Auditoria de código
– Resposta a incidentes (ataques)
– Investigação forense
– Leis, Normas e ética
– Auditoria
40
40
41. Perfil
Origem e formação de duas formas distintas:
– Técnica
– Profissionais de TI especializados em segurança
– Suporte em TI (servidores, redes, etc)
– Desenvolvimento
– “ex-hackers”
– Administrativa (Processual / Auditoria / Leis)
– Gestão de TI, Elaboração de Processos
– Auditoria, Análise de Riscos
– Advogados especializados
41
41
42. Ética Profissional
Comportamento ético é muito
importante na profissão
– Cargos de confiança
– Acesso a informações
sigilosas
– Participação de investigações
e sindicâncias internas
Cuidado com a imagem
– Atuar eticamente
– Postura ética: mensagens em
listas de discussão, Orkut, etc
42
42
43. Ética Profissional
Pecados durante
contratação:
– mentiras sobre
qualificações (31%)
– baixo nível de
comunicação (25%)
– relações com
comportamento
criminoso (24%)
– relatos ofendendo o
emprego anterior ou
revelando uso de
drogas (19%)
43
43
44. Atualização Profissional
Necessidade de atualização contínua
– Novas tecnologias
– Novas vulnerabilidades e ameaças
Como?
– Listas de discussão
– Cursos, treinamentos e certificações
– Participar de associações profissionais
– ISSA, ISACA, OWASP
– Participação em eventos de qualidade
44
44
46. Recomendações Finais
Para a Empresa
– A preocupação com segurança deve
permear toda a organização
– Segurança como diferencial
competitivo
– Análise de riscos
– Segregação de ambientes (produção,
desenvolvimento e testes)
– Atualização dos sistemas
– Processos, normas e procedimentos
– Legislação
– Normas internas
Foto: arquivo pessoal
– “Termo de responsabilidade”
– Treinamento e Conscientização
46
46
47. Recomendações finais
Para nós (profissionais de TI)
– Todos temos uma parcela de
responsabilidade
– Ética
– Preocupação com segurança
– Correta instalação e configuração
de sistemas
– Manter os sistemas atualizados
– Qualidade no desenvolvimento
de software
– KISS (Keep it Simple, Stupid)
Foto: arquivo pessoal
– Processos, normas, procedimentos
47
47
48. Recomendações finais
(Futuros) Profissionais de TI
– Desenvolvedores e arquitetos de
software
– Boas práticas
Arquitetura de software
Controle de versão
Testes
– Desenvolvimento de código seguro
Foto: sxc.hu
48
48
49. Recomendações finais
(Futuros) Profissionais de TI
– Administradores de sistemas, BDs
e redes
– Boas práticas de configuração dos
equipamentos
– Atualização constante
– Monitoração e auditoria
– Backup, redundância
Foto: sxc.hu
49
49
50. Recomendações finais
Para nós (usuários finais)
– Manter o micro atualizado (Windows update)
– Antivírus Atualizado
– Personal Firewall, antispyware, foto de santinho
– Não acreditar em tudo o que vê
– Nunca clicar em links nem abrir anexo de e-mails
suspeitos (ou não explicitamente desejados)
– Cuidado com suas senhas
– Não conte para ninguém
– Use senhas “fortes”
– Cuidado com micros que você não conhece
– Cuidado ao instalar softwares estranhos
50
50
51. Recomendações finais
Para nós (pais)
– Computador não é “Tecnlogia acalma
criança”
– Manter diálogo aberto com os filhos
sobre o uso e riscos da Internet
– Cuidado com seu filho falando com
estranhos
– Cuidado com seu filho falando com
mais velhos
– Manter o computador na sala, onde
pode ser monitorado
– Impor limites
– ex: não pode ver TV nem computador
Foto: sxc.hu
após as 22hs
51
51
52. Recomendações finais
Para nós (filhos)
– Não confiar no que você recebe pela
Internet
– Não falar com estranhos
– Não abrir e-mail de estranhos
– Não clicar em links (de) estranhos
– Não informar dados pessoais
– Cuidado com páginas pessoais,
scraps, blogs
– Cuidado com sua privacidade e de
seus amigos
– Dados, fotos, mensagens
Foto: sxc.hu
52
52
54. Obrigado :)
Anchises M. G. de Paula
Analista de Inteligência iDefense – VeriSign
Anchisesbr at gmail.com
http://anchisesbr.blogspot.com
www.verisign.com
54
54