SlideShare uma empresa Scribd logo

Encontro de Segurança do Dominio SC.GOV.BR

Transferir como PPS, PDF
João Rufino de Sales
João Rufino de Sales
1 de 30
Agenda • Introdução/sensibilização – Presidente do CIASC • Apresentações do CTIR GOV – Coordenador e Equipe do CTIR GOV • Debates – CIASC/CTIR GOV / PARTICIPANTES • Encaminhamento de Propostas – Presidente do CIASC • Encerramento
Introdução Evolução CSIRT Brasileiros Cenário Atual Desafios Recomendações
ASSINE A RELAÇÃO DE PRESENÇA Nome completo- identidade – CPF – orgão/ entidade/empresa Acordo de sigilo Acordo de sigilo 1-Eu xxx, identidade, , orgão/entidade/empresa, inscrito(a) no CPF/ MF sob o nº XXX, conforme relação de presença, assumo o compromisso de manter confidencialidade e sigilo sobre todas as informações técnicas e outras relacionadas ao I Encontro de Segurança do Dominio SC.GOV.BR, a que tiver acesso durante o do dia 19/01/2014 2- O presente acordo não é valido para informações publicas 3-Pelo não cumprimento do presente Termo de Confidencialidade e Sigilo, fica o assinantes e participantes cientes de todas as sanções judiciais que poderão advir. Termo de sigilo registrado pelo CIASC sob numero 001/2014-Presidente
Evolução da Internet no Brasil • 1989 Criação e delegação do código de país (ccTLD) “.br” à FAPESP • 1991 Primeira conexão TCP/IP brasileira, realizada entre a FAPESP e o Energy Sciences Network (ESNet) por meio do Fermilab (Fermi National Accelerator Laboratory) • 1995 Criação do CGI.br (Portaria Interministerial MC/MCT nº 147, de 31 de maio) com a missão de coordenar e integrar todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados • 1995 Criação do Registro.br • 1997 Criação do CERT.br (à época NBSO) • 2005 Criação do NIC.br, entidade sem fins lucrativos para executar as diretrizes do CGI.br e prestar serviços para a estabilidade e segurança da Internet no Brasil • Fonte - http://www.nic.br/imprensa/releases/2010/rl-2010-12.htm
CSIRTs Brasileiros 34 times com serviços anunciados ao público
Cenário Atual
Uso de botnets • Uma base muito grande de computadores com software desatualizado/vulnerável sendo ativamente abusada por criminosos Especialmente em países em desenvolvimento • Uso de botnets: –  DDoS –  Extorsão –  Download de outros tipos de malware –  Furto de informações –  Proxies abertos •  envio de spam •  navegação anônima
Uso de botnets para DDoS • 20 PCs domésticos abusando de Servidores DNS Recursivos Abertos podem gerar 1Gbps –  No Brasil temos mais de 13.000 recursivos abertos no moment (Dados do Measurement Factory passados ao CERT.br semanalmente) • Em março de 2009 foram atingidos picos de 48Gbps –  em média ocorrem 3 ataques de 1Gbps por dia na Internet •  De 2% a 3% do tráfego de um grande backbone é ruído de DDoS • •  Extorsão é o principal objetivo –  mas download de outros malwares, spam e furto de informações também valem dinheiro e acabam sendo parte do payload dos bots • Fonte: Global Botnet Underground: DDoS and Botconomics. Jose Nazario, Ph.D., Head of Arbor ASERT
Outros ataques em rápido crescimento • “  Modems” e roteadores banda larga (CPEs) –  Botnets usadas para ataques diversos •  comprometidos via força bruta (telnet) •  vários modelos permitem reset via WAN – Post na porta TCP/80 –  Comprometimento para alteração do serviço DNS para •  fraudes financeiras •  redirecionamento para obter “cliques” de propaganda •  DDoS •  Dispositivos com sistema Android –   Botnets –   Fraudes e outros tipos de malware •  Sistemas SIP –   Força bruta para realização de ligações internacionais –   Fraude
Foco da maioria dos ataques continua sendo • Serviços Online • •  Grande demanda por e-services • •  Dados sensíveis mais expostos –   por necessidade, comodidade • ou descuido • •  Segurança não é prioridade • •  Impactos não são compreendidos • •  Sistemas críticos conectados à • Internet –   controle de infrasestruturas críticas –   caixas automáticos (ATMs) –   sistemas de imigração e identificação • Clientes/Usuários • •  Internet passou a fazer parte do • dia-a-dia • •  Usuários não são especialistas • •  Grande base –   de dispositivos vulneráveis –   com banda disponível • •  Mais fáceis de atacar • •  Possuem dados de valor –   dados financeiros –   endereços de e-mail válidos –   credenciais de acesso • •  BYOD   Dispositivos podem ser usados para ataques (spam, botnets)
Desafios
Mercado negro (1/2)
Mercado negro (2/2)
Tratamento de incidentes (1/2) • Dificuldade de identificação dos ataques: –   ataques partem de vítimas na maioria absoluta dos casos •  Cenário atual é reflexo direto de: –   aumento da complexidade dos sistemas –   falta de desenvolvedores capacitados para desenvolver com requisitos de segurança –   softwares com muitas vulnerabilidades –   pressão econômica para lançar, mesmo com problemas –   é uma questão de “Economics and Security” http://www.cl.cam.ac.uk/~rja14/econsec.html •  Criminosos estão apenas migrando para onde os negócios estão
Tratamento de incidentes (2/2) • Mito de que só quem sabe invadir sabe proteger •  A realidade: –   proteger é muito mais difícil que atacar •   especialmente contra ataques ainda não conhecidos –   raríssimos os atacantes que: •  sabem como proteger uma rede ou corrigir um problema •  sabem como funcionam as ferramentas que utilizam –   maioria absoluta utiliza ferramentas disponíveis na Internet –   profissional com sólida formação tem mais sucesso em usar as ferramentas como auxiliares nos processos de análise de risco e proteção da infraestrutura que um invasor •  Os riscos: –   colocar a segurança nas mãos de quem não está preparado –   ter informações confidenciais comprometidas –   ter backdoors e trojans instalados em sua infraestrutura
Desafios para a Melhora do Cenário como um Todo
Desafios (1/2) • Só haverá melhorias quando –   O processo de desenvolvimento de software incluir •   Levantamento de requisitos de segurança •   Testes que incluam casos de abuso (e não somente casos de uso) –  Desenvolvimento seguro de software se tornar parte da formação de projetistas e programadores . Desde a primeira disciplina de programação e permeado em  todas as disciplinas –  Provedores de acesso e serviço, operadoras e administradores de redes em geral forem mais pró-ativos –  Os sistemas para usuários finais forem menos complexos
Desafios (2/2) • Há falta de pessoal treinado no Brasil para lidar com Redes e com segurança em IPv4 –  A falta de pessoal com essas habilidades em IPv6 é ainda mais gritante •  Vencer a cultura de que é melhor investir em tecnologia do que treinamento e implantação de boas políticas –  Quantas instituições realmente implementam tecnologias com base em uma análise de risco? •  Ir além do “compliance” Investir em treinamento e conscientização de usuários finais Convencer os Gestores que o “junior” ou a empresa de marketing que o site pode ser bonitinho mas vai cair rapidinho
Recomendações
Ataques de força bruta • Reduzir o número equipamentos com serviço aberto –  Quanto mais máquinas expostas maior o risco –  Implementar rede de gerência •  Implementar filtragem de origem –  Permitir o acesso apenas de máquinas pré-determinadas •  Mover o serviço para uma porta não padrão –  Medida paliativa, não definitiva –  Permite reduzir a quantidade de ataques •  Elaborar política de senhas •  Permitir acesso somente via chaves públicas •  Aumentar a monitoração
Abuso de máquinas de usuários • Definição de política de uso aceitável •  Monitoração: –  Pró-ativa de fluxos –  Das notificações de abusos •  Ação efetiva junto ao usuário nos casos de: –  Detecção de proxy aberto ou –  Máquina comprometida •  Gerência de saída de tráfego com destino à porta 25/TCP para redução de spam   http://www.antispam.br/admin/porta25/
Acompanhamento de notificações • Criar e-mails da RFC 2142 (security@, abuse@) •  Manter os contatos de Whois atualizados –  O contato técnico deve ser um profissional que: •  tenha contato com as equipes de abuso, ou •  saiba para onde redirecionar notificações e reclamações •  Endereço do grupo de resposta a incidentes de segurança deve ser anunciado junto à comunidade •  Contas que recebem notificações de incidentes/abusos não podem barrar mensagens, pois: –  Antivírus podem impedir a notificação de malware –  Regras anti-spam podem impedir notificações de spam e phishing
Criar um CSIRT • A redução do impacto de um incidente é consequência da: –  Agilidade de resposta –  Redução no número de vítimas •  O sucesso depende da confiabilidade –  Nunca divulgar dados sensíveis nem expor as vítimas •  O papel do CSIRT e dos profissionais de segurança é: –  Auxiliar a proteção da infra-estrutura e das informações –  Prevenir incidentes e conscientizar sobre os problemas –  Responder incidentes –  Retornar o ambiente ao estado de produção •  A pessoa que responde a um incidente é a primeira a entrar em contato com as evidências de um possível crime • –  Seguir políticas e preservar evidências
Dicas para usuários finais (1/3) • Manter computadores e dispositivos móveis seguros: –  com todas as atualizações aplicadas –  com todos os programas instalados com as versões mais recentes •  Usar: –  mecanismos de segurança •  firewall pessoal, antimalware, antiphishing, antispam •  complementos, extensões, plugins –  apenas programas originais –  configurações de segurança já disponíveis •  Instalar aplicativos –   de fontes confiáveis –   bem avaliados pelos usuários –   com permissões coerentes
Dicas para usuários finais (2/3) • Manter postura preventiva –  não acessar sites ou seguir links •  recebidos de mensagens eletrônicas •  em páginas sobre as quais não se saiba a procedência –  não confiar apenas no remetente da mensagem •  ela pode ter sido enviada de: –  máquinas infectadas –  contas falsas ou invadida
Dicas para usuários finais (3/3) quem nunca fez atire a pedra • Proteger contas e senhas –   utilizar: •  grande quantidade de caracteres •  diferentes tipos de caracteres •  números aleatórios –   não utilizar: •  sequências de teclado •  dados pessoais: •   nome, sobrenome, contas de usuário, números de documentos, placas de carros, números de telefones •  informações que possam ser coletadas em blogs e redes sociais •  palavras que façam parte de listas –  nomes de músicas, times de futebol, personagens de filmes,dicionários de diferentes idiomas, etc. •  Trocar regularmente as senhas •  Evitar usar o usuário “administrador”
Leituras Recomendadas
Créditos
Obrigado pela sua atenção Volto daqui a pouco com as propostas ... João Rufino de Sales Presidente do CIASC

Recomendados

Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urnaJoão Rufino de Sales
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Luiz Arthur
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 

Recomendados

Relatorio urna
Relatorio urnaRelatorio urna
Relatorio urnaJoão Rufino de Sales
 
39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-rede39145734 minimizando-os-riscos-de-seguranca-da-rede
39145734 minimizando-os-riscos-de-seguranca-da-redeMarco Guimarães
 
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...
Slides - Uma abordagem autonômica para mitigar ciberataques em redes de compu...Luiz Arthur
 
Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Infosec e pentesting - Escolha o seu lado!
Infosec e pentesting - Escolha o seu lado!Leandro Magnabosco
 
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...
Uma Arquitetura Autonômica para Detecção e Reação a Ameaças de Segurança em R...Luiz Arthur
 
Documento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASEDocumento Técnico - Guia de estudos para o exame CASE
Documento Técnico - Guia de estudos para o exame CASETI Safe
 
Artigo cientifico
Artigo cientifico Artigo cientifico
Artigo cientifico Jose Ferreira
 
Detecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditDetecção de ameaças internas com Linux Audit
Detecção de ameaças internas com Linux AuditIvani Nascimento
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker ÉticoFernando Palma
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Acesso à internet de modo seguro
Acesso à internet de modo seguroAcesso à internet de modo seguro
Acesso à internet de modo segurowelber.a
 
Pentest cool
Pentest coolPentest cool
Pentest coolAdilson Da Rocha
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Monografia
MonografiaMonografia
MonografiaOziel Fernandes
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Alcyon Ferreira de Souza Junior, MSc
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
NAPSOL
NAPSOLNAPSOL
NAPSOLLuiz Arthur
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365Alex Andrade Amorim
 
Metodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windowsMetodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windowsData Security
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 
Delusions of-safety-cyber-savvy-ceo
Delusions of-safety-cyber-savvy-ceoDelusions of-safety-cyber-savvy-ceo
Delusions of-safety-cyber-savvy-ceoJoão Rufino de Sales
 
Social media 101
Social media 101Social media 101
Social media 101João Rufino de Sales
 
Cartapastoral 2out2011
Cartapastoral 2out2011Cartapastoral 2out2011
Cartapastoral 2out2011João Rufino de Sales
 
Proteção do Conhecimento
Proteção do ConhecimentoProteção do Conhecimento
Proteção do ConhecimentoJoão Rufino de Sales
 
Ciberwar Lei, Etica
Ciberwar Lei, EticaCiberwar Lei, Etica
Ciberwar Lei, EticaJoão Rufino de Sales
 
Politicas de tic SC final
Politicas de tic SC finalPoliticas de tic SC final
Politicas de tic SC finalJoão Rufino de Sales
 
Olimpiadas
OlimpiadasOlimpiadas
OlimpiadasJoão Rufino de Sales
 

Mais conteúdo relacionado

Mais procurados

Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeSymantec Brasil
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosIvani Nascimento
 
Acesso à internet de modo seguro
Acesso à internet de modo seguroAcesso à internet de modo seguro
Acesso à internet de modo segurowelber.a
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãLuiz Arthur
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoAndre Takegawa
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Luiz Arthur
 
Metodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windowsMetodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windowsData Security
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesmauriciomoda
 

Mais procurados (15)

Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Mecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusosMecanismos de detecção e prevenção de intrusos
Mecanismos de detecção e prevenção de intrusos
 
Acesso à internet de modo seguro
Acesso à internet de modo seguroAcesso à internet de modo seguro
Acesso à internet de modo seguro
 
Pentest cool
Pentest coolPentest cool
Pentest cool
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Monografia
MonografiaMonografia
Monografia
 
Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017Ethical Hacking - Campus Party Brasília 2017
Ethical Hacking - Campus Party Brasília 2017
 
Desafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhãDesafios da cibersegurança - ontem, hoje e amanhã
Desafios da cibersegurança - ontem, hoje e amanhã
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
NAPSOL
NAPSOLNAPSOL
NAPSOL
 
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
Pint of Science - Cibersegurnça x ciberameaças: Até onde você está seguro?
 
Capitulo9788575221365
Capitulo9788575221365Capitulo9788575221365
Capitulo9788575221365
 
Metodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windowsMetodologias e ferramentas forenses utilizadas em ambiente windows
Metodologias e ferramentas forenses utilizadas em ambiente windows
 
artigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redesartigo ferramentas de gerenciamento de redes
artigo ferramentas de gerenciamento de redes
 

Destaque

Destaque (7)

Delusions of-safety-cyber-savvy-ceo
Delusions of-safety-cyber-savvy-ceoDelusions of-safety-cyber-savvy-ceo
Delusions of-safety-cyber-savvy-ceo
 
Social media 101
Social media 101Social media 101
Social media 101
 
Cartapastoral 2out2011
Cartapastoral 2out2011Cartapastoral 2out2011
Cartapastoral 2out2011
 
Proteção do Conhecimento
Proteção do ConhecimentoProteção do Conhecimento
Proteção do Conhecimento
 
Ciberwar Lei, Etica
Ciberwar Lei, EticaCiberwar Lei, Etica
Ciberwar Lei, Etica
 
Politicas de tic SC final
Politicas de tic SC finalPoliticas de tic SC final
Politicas de tic SC final
 
Olimpiadas
OlimpiadasOlimpiadas
Olimpiadas
 

Semelhante a Encontro de Segurança do Dominio SC.GOV.BR

Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_webFavsro Fot
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesCarlos Veiga
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"Symantec Brasil
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfCarlos Gomes
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013GVTech
 
Segurança em Redes Informáticas
Segurança em Redes InformáticasSegurança em Redes Informáticas
Segurança em Redes Informáticasricardoandreia
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeSymantec Brasil
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresfelipetsi
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesQualister
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Symantec Brasil
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informaçãoFabio Leandro
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e OportunidadesMarcio Cunha
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Tiago Tavares
 

Semelhante a Encontro de Segurança do Dominio SC.GOV.BR (20)

Sistema de segurança_web
Sistema de segurança_webSistema de segurança_web
Sistema de segurança_web
 
Aula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de AtaquesAula03 – Códigos Maliciosos e Tipos de Ataques
Aula03 – Códigos Maliciosos e Tipos de Ataques
 
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
WEBINAR BE AWARE - Como responder ao crescimento de ameaças como "Ransomware"
 
Cartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosCartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicos
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Sophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completaSophos Endpoint - Apresentação completa
Sophos Endpoint - Apresentação completa
 
manual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdfmanual_ufcd_1421_segurana_informatica.pdf
manual_ufcd_1421_segurana_informatica.pdf
 
Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013Sophos Endpoint - Ago/2013
Sophos Endpoint - Ago/2013
 
Segurança em Redes Informáticas
Segurança em Redes InformáticasSegurança em Redes Informáticas
Segurança em Redes Informáticas
 
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo ConformidadeBe Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
Be Aware Webinar - Protegendo PDV de ameaças Externas e Garantindo Conformidade
 
Nota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadoresNota de aula seguranca da informacao - redes de computadores
Nota de aula seguranca da informacao - redes de computadores
 
PenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI EngitecPenTest com Kali linux - VI Engitec
PenTest com Kali linux - VI Engitec
 
Testes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidadesTestes de segurança desafios e oportunidades
Testes de segurança desafios e oportunidades
 
Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015Be Aware Symantec Webinar - Wednesday, September 16, 2015
Be Aware Symantec Webinar - Wednesday, September 16, 2015
 
Tendências na segurança da informação
Tendências na segurança da informaçãoTendências na segurança da informação
Tendências na segurança da informação
 
Desafios Futuros e Oportunidades
Desafios Futuros e OportunidadesDesafios Futuros e Oportunidades
Desafios Futuros e Oportunidades
 
192151378 seguranca
192151378 seguranca192151378 seguranca
192151378 seguranca
 
Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016Segurança em aplicativos móveis de comunicação - Cnasi 2016
Segurança em aplicativos móveis de comunicação - Cnasi 2016
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Aula 8.0 - Segurança
Aula 8.0 - SegurançaAula 8.0 - Segurança
Aula 8.0 - Segurança
 

Mais de João Rufino de Sales

Gartners top-10-strategic-technology-trends-for-2018-brazil-v2
Gartners top-10-strategic-technology-trends-for-2018-brazil-v2Gartners top-10-strategic-technology-trends-for-2018-brazil-v2
Gartners top-10-strategic-technology-trends-for-2018-brazil-v2João Rufino de Sales
 
Relatorio de auditoria n 201602722 Ministerio do trabalho e emprego
Relatorio de auditoria n 201602722 Ministerio do trabalho e empregoRelatorio de auditoria n 201602722 Ministerio do trabalho e emprego
Relatorio de auditoria n 201602722 Ministerio do trabalho e empregoJoão Rufino de Sales
 
Revista verde oliva nº 236 previdencia
Revista verde oliva nº 236 previdenciaRevista verde oliva nº 236 previdencia
Revista verde oliva nº 236 previdenciaJoão Rufino de Sales
 
Claudio melo-filho- sem-marca-de-revisa-o_
Claudio melo-filho- sem-marca-de-revisa-o_Claudio melo-filho- sem-marca-de-revisa-o_
Claudio melo-filho- sem-marca-de-revisa-o_João Rufino de Sales
 
2016 cost of data breach study brasil
2016 cost of data breach study brasil2016 cost of data breach study brasil
2016 cost of data breach study brasilJoão Rufino de Sales
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016João Rufino de Sales
 
Requisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadasRequisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadasJoão Rufino de Sales
 
Law w04-global cybersecurity-laws_regulations_and_liability
Law w04-global cybersecurity-laws_regulations_and_liabilityLaw w04-global cybersecurity-laws_regulations_and_liability
Law w04-global cybersecurity-laws_regulations_and_liabilityJoão Rufino de Sales
 
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_world
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_worldMash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_world
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_worldJoão Rufino de Sales
 
Mensagem alusiva 77 anos da Casa Militar de Presidência da República
Mensagem alusiva 77 anos da Casa Militar de Presidência da RepúblicaMensagem alusiva 77 anos da Casa Militar de Presidência da República
Mensagem alusiva 77 anos da Casa Militar de Presidência da RepúblicaJoão Rufino de Sales
 
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...João Rufino de Sales
 
Cartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPCartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPJoão Rufino de Sales
 
A Tecnologia da Informação e a Segurança Pública
A Tecnologia da Informação e a Segurança PúblicaA Tecnologia da Informação e a Segurança Pública
A Tecnologia da Informação e a Segurança PúblicaJoão Rufino de Sales
 

Mais de João Rufino de Sales (20)

Gartners top-10-strategic-technology-trends-for-2018-brazil-v2
Gartners top-10-strategic-technology-trends-for-2018-brazil-v2Gartners top-10-strategic-technology-trends-for-2018-brazil-v2
Gartners top-10-strategic-technology-trends-for-2018-brazil-v2
 
Relatorio de auditoria n 201602722 Ministerio do trabalho e emprego
Relatorio de auditoria n 201602722 Ministerio do trabalho e empregoRelatorio de auditoria n 201602722 Ministerio do trabalho e emprego
Relatorio de auditoria n 201602722 Ministerio do trabalho e emprego
 
Revista verde oliva nº 236 previdencia
Revista verde oliva nº 236 previdenciaRevista verde oliva nº 236 previdencia
Revista verde oliva nº 236 previdencia
 
Claudio melo-filho- sem-marca-de-revisa-o_
Claudio melo-filho- sem-marca-de-revisa-o_Claudio melo-filho- sem-marca-de-revisa-o_
Claudio melo-filho- sem-marca-de-revisa-o_
 
Apresentação gas e every ti
Apresentação gas e every tiApresentação gas e every ti
Apresentação gas e every ti
 
2016 cost of data breach study brasil
2016 cost of data breach study brasil2016 cost of data breach study brasil
2016 cost of data breach study brasil
 
Pesquisa 1 WTPIS
Pesquisa 1 WTPISPesquisa 1 WTPIS
Pesquisa 1 WTPIS
 
Evento gsi -ACECO
Evento gsi -ACECOEvento gsi -ACECO
Evento gsi -ACECO
 
Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016Gestão integrada gsidsicabin 24jun2016
Gestão integrada gsidsicabin 24jun2016
 
Raimundo ztec
Raimundo ztecRaimundo ztec
Raimundo ztec
 
Kryptus 1o wtpis v1
Kryptus 1o wtpis v1Kryptus 1o wtpis v1
Kryptus 1o wtpis v1
 
Nsc work
Nsc workNsc work
Nsc work
 
Requisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadasRequisitos sistema GED informações classificadas
Requisitos sistema GED informações classificadas
 
Law w04-global cybersecurity-laws_regulations_and_liability
Law w04-global cybersecurity-laws_regulations_and_liabilityLaw w04-global cybersecurity-laws_regulations_and_liability
Law w04-global cybersecurity-laws_regulations_and_liability
 
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_world
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_worldMash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_world
Mash f03-five infosec-lessons_from_the_great_generals_of_the_ancient_world
 
Mensagem alusiva 77 anos da Casa Militar de Presidência da República
Mensagem alusiva 77 anos da Casa Militar de Presidência da RepúblicaMensagem alusiva 77 anos da Casa Militar de Presidência da República
Mensagem alusiva 77 anos da Casa Militar de Presidência da República
 
Relatório de levantamento 2015
Relatório de levantamento 2015Relatório de levantamento 2015
Relatório de levantamento 2015
 
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...
Credenciamento de Segurança e Tratamento da Informação Classificada na Admini...
 
Cartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESPCartilha Seguranca Cibernetica - FIESP
Cartilha Seguranca Cibernetica - FIESP
 
A Tecnologia da Informação e a Segurança Pública
A Tecnologia da Informação e a Segurança PúblicaA Tecnologia da Informação e a Segurança Pública
A Tecnologia da Informação e a Segurança Pública
 

Encontro de Segurança do Dominio SC.GOV.BR

  • 1.
  • 2. Agenda • Introdução/sensibilização – Presidente do CIASC • Apresentações do CTIR GOV – Coordenador e Equipe do CTIR GOV • Debates – CIASC/CTIR GOV / PARTICIPANTES • Encaminhamento de Propostas – Presidente do CIASC • Encerramento
  • 4. ASSINE A RELAÇÃO DE PRESENÇA Nome completo- identidade – CPF – orgão/ entidade/empresa Acordo de sigilo Acordo de sigilo 1-Eu xxx, identidade, , orgão/entidade/empresa, inscrito(a) no CPF/ MF sob o nº XXX, conforme relação de presença, assumo o compromisso de manter confidencialidade e sigilo sobre todas as informações técnicas e outras relacionadas ao I Encontro de Segurança do Dominio SC.GOV.BR, a que tiver acesso durante o do dia 19/01/2014 2- O presente acordo não é valido para informações publicas 3-Pelo não cumprimento do presente Termo de Confidencialidade e Sigilo, fica o assinantes e participantes cientes de todas as sanções judiciais que poderão advir. Termo de sigilo registrado pelo CIASC sob numero 001/2014-Presidente
  • 5. Evolução da Internet no Brasil • 1989 Criação e delegação do código de país (ccTLD) “.br” à FAPESP • 1991 Primeira conexão TCP/IP brasileira, realizada entre a FAPESP e o Energy Sciences Network (ESNet) por meio do Fermilab (Fermi National Accelerator Laboratory) • 1995 Criação do CGI.br (Portaria Interministerial MC/MCT nº 147, de 31 de maio) com a missão de coordenar e integrar todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados • 1995 Criação do Registro.br • 1997 Criação do CERT.br (à época NBSO) • 2005 Criação do NIC.br, entidade sem fins lucrativos para executar as diretrizes do CGI.br e prestar serviços para a estabilidade e segurança da Internet no Brasil • Fonte - http://www.nic.br/imprensa/releases/2010/rl-2010-12.htm
  • 6. CSIRTs Brasileiros 34 times com serviços anunciados ao público
  • 8. Uso de botnets • Uma base muito grande de computadores com software desatualizado/vulnerável sendo ativamente abusada por criminosos Especialmente em países em desenvolvimento • Uso de botnets: –  DDoS –  Extorsão –  Download de outros tipos de malware –  Furto de informações –  Proxies abertos •  envio de spam •  navegação anônima
  • 9. Uso de botnets para DDoS • 20 PCs domésticos abusando de Servidores DNS Recursivos Abertos podem gerar 1Gbps –  No Brasil temos mais de 13.000 recursivos abertos no moment (Dados do Measurement Factory passados ao CERT.br semanalmente) • Em março de 2009 foram atingidos picos de 48Gbps –  em média ocorrem 3 ataques de 1Gbps por dia na Internet •  De 2% a 3% do tráfego de um grande backbone é ruído de DDoS • •  Extorsão é o principal objetivo –  mas download de outros malwares, spam e furto de informações também valem dinheiro e acabam sendo parte do payload dos bots • Fonte: Global Botnet Underground: DDoS and Botconomics. Jose Nazario, Ph.D., Head of Arbor ASERT
  • 10. Outros ataques em rápido crescimento • “  Modems” e roteadores banda larga (CPEs) –  Botnets usadas para ataques diversos •  comprometidos via força bruta (telnet) •  vários modelos permitem reset via WAN – Post na porta TCP/80 –  Comprometimento para alteração do serviço DNS para •  fraudes financeiras •  redirecionamento para obter “cliques” de propaganda •  DDoS •  Dispositivos com sistema Android –   Botnets –   Fraudes e outros tipos de malware •  Sistemas SIP –   Força bruta para realização de ligações internacionais –   Fraude
  • 11. Foco da maioria dos ataques continua sendo • Serviços Online • •  Grande demanda por e-services • •  Dados sensíveis mais expostos –   por necessidade, comodidade • ou descuido • •  Segurança não é prioridade • •  Impactos não são compreendidos • •  Sistemas críticos conectados à • Internet –   controle de infrasestruturas críticas –   caixas automáticos (ATMs) –   sistemas de imigração e identificação • Clientes/Usuários • •  Internet passou a fazer parte do • dia-a-dia • •  Usuários não são especialistas • •  Grande base –   de dispositivos vulneráveis –   com banda disponível • •  Mais fáceis de atacar • •  Possuem dados de valor –   dados financeiros –   endereços de e-mail válidos –   credenciais de acesso • •  BYOD   Dispositivos podem ser usados para ataques (spam, botnets)
  • 15. Tratamento de incidentes (1/2) • Dificuldade de identificação dos ataques: –   ataques partem de vítimas na maioria absoluta dos casos •  Cenário atual é reflexo direto de: –   aumento da complexidade dos sistemas –   falta de desenvolvedores capacitados para desenvolver com requisitos de segurança –   softwares com muitas vulnerabilidades –   pressão econômica para lançar, mesmo com problemas –   é uma questão de “Economics and Security” http://www.cl.cam.ac.uk/~rja14/econsec.html •  Criminosos estão apenas migrando para onde os negócios estão
  • 16. Tratamento de incidentes (2/2) • Mito de que só quem sabe invadir sabe proteger •  A realidade: –   proteger é muito mais difícil que atacar •   especialmente contra ataques ainda não conhecidos –   raríssimos os atacantes que: •  sabem como proteger uma rede ou corrigir um problema •  sabem como funcionam as ferramentas que utilizam –   maioria absoluta utiliza ferramentas disponíveis na Internet –   profissional com sólida formação tem mais sucesso em usar as ferramentas como auxiliares nos processos de análise de risco e proteção da infraestrutura que um invasor •  Os riscos: –   colocar a segurança nas mãos de quem não está preparado –   ter informações confidenciais comprometidas –   ter backdoors e trojans instalados em sua infraestrutura
  • 17. Desafios para a Melhora do Cenário como um Todo
  • 18. Desafios (1/2) • Só haverá melhorias quando –   O processo de desenvolvimento de software incluir •   Levantamento de requisitos de segurança •   Testes que incluam casos de abuso (e não somente casos de uso) –  Desenvolvimento seguro de software se tornar parte da formação de projetistas e programadores . Desde a primeira disciplina de programação e permeado em  todas as disciplinas –  Provedores de acesso e serviço, operadoras e administradores de redes em geral forem mais pró-ativos –  Os sistemas para usuários finais forem menos complexos
  • 19. Desafios (2/2) • Há falta de pessoal treinado no Brasil para lidar com Redes e com segurança em IPv4 –  A falta de pessoal com essas habilidades em IPv6 é ainda mais gritante •  Vencer a cultura de que é melhor investir em tecnologia do que treinamento e implantação de boas políticas –  Quantas instituições realmente implementam tecnologias com base em uma análise de risco? •  Ir além do “compliance” Investir em treinamento e conscientização de usuários finais Convencer os Gestores que o “junior” ou a empresa de marketing que o site pode ser bonitinho mas vai cair rapidinho
  • 21. Ataques de força bruta • Reduzir o número equipamentos com serviço aberto –  Quanto mais máquinas expostas maior o risco –  Implementar rede de gerência •  Implementar filtragem de origem –  Permitir o acesso apenas de máquinas pré-determinadas •  Mover o serviço para uma porta não padrão –  Medida paliativa, não definitiva –  Permite reduzir a quantidade de ataques •  Elaborar política de senhas •  Permitir acesso somente via chaves públicas •  Aumentar a monitoração
  • 22. Abuso de máquinas de usuários • Definição de política de uso aceitável •  Monitoração: –  Pró-ativa de fluxos –  Das notificações de abusos •  Ação efetiva junto ao usuário nos casos de: –  Detecção de proxy aberto ou –  Máquina comprometida •  Gerência de saída de tráfego com destino à porta 25/TCP para redução de spam   http://www.antispam.br/admin/porta25/
  • 23. Acompanhamento de notificações • Criar e-mails da RFC 2142 (security@, abuse@) •  Manter os contatos de Whois atualizados –  O contato técnico deve ser um profissional que: •  tenha contato com as equipes de abuso, ou •  saiba para onde redirecionar notificações e reclamações •  Endereço do grupo de resposta a incidentes de segurança deve ser anunciado junto à comunidade •  Contas que recebem notificações de incidentes/abusos não podem barrar mensagens, pois: –  Antivírus podem impedir a notificação de malware –  Regras anti-spam podem impedir notificações de spam e phishing
  • 24. Criar um CSIRT • A redução do impacto de um incidente é consequência da: –  Agilidade de resposta –  Redução no número de vítimas •  O sucesso depende da confiabilidade –  Nunca divulgar dados sensíveis nem expor as vítimas •  O papel do CSIRT e dos profissionais de segurança é: –  Auxiliar a proteção da infra-estrutura e das informações –  Prevenir incidentes e conscientizar sobre os problemas –  Responder incidentes –  Retornar o ambiente ao estado de produção •  A pessoa que responde a um incidente é a primeira a entrar em contato com as evidências de um possível crime • –  Seguir políticas e preservar evidências
  • 25. Dicas para usuários finais (1/3) • Manter computadores e dispositivos móveis seguros: –  com todas as atualizações aplicadas –  com todos os programas instalados com as versões mais recentes •  Usar: –  mecanismos de segurança •  firewall pessoal, antimalware, antiphishing, antispam •  complementos, extensões, plugins –  apenas programas originais –  configurações de segurança já disponíveis •  Instalar aplicativos –   de fontes confiáveis –   bem avaliados pelos usuários –   com permissões coerentes
  • 26. Dicas para usuários finais (2/3) • Manter postura preventiva –  não acessar sites ou seguir links •  recebidos de mensagens eletrônicas •  em páginas sobre as quais não se saiba a procedência –  não confiar apenas no remetente da mensagem •  ela pode ter sido enviada de: –  máquinas infectadas –  contas falsas ou invadida
  • 27. Dicas para usuários finais (3/3) quem nunca fez atire a pedra • Proteger contas e senhas –   utilizar: •  grande quantidade de caracteres •  diferentes tipos de caracteres •  números aleatórios –   não utilizar: •  sequências de teclado •  dados pessoais: •   nome, sobrenome, contas de usuário, números de documentos, placas de carros, números de telefones •  informações que possam ser coletadas em blogs e redes sociais •  palavras que façam parte de listas –  nomes de músicas, times de futebol, personagens de filmes,dicionários de diferentes idiomas, etc. •  Trocar regularmente as senhas •  Evitar usar o usuário “administrador”
  • 30. Obrigado pela sua atenção Volto daqui a pouco com as propostas ... João Rufino de Sales Presidente do CIASC