SlideShare ist ein Scribd-Unternehmen logo

Snowden NSA e privacidade online

knowledge_commons
knowledge_commons

O documento discute as revelações de Edward Snowden sobre a NSA, incluindo seu orçamento bilionário para espionagem cibernética e coleta de dados, e fornece dicas sobre como melhor proteger a privacidade online, como usar criptografia e software de código aberto.

Internet
1 von 81
Downloaden Sie, um offline zu lesen
Snowden, NSA e o fim da privacidade Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks
Vamos começar com 3 notícias desta semana
Primeira notícia e que afetou todo mundo
Quem aí ouviu falar
Quem aí ouviu falar no The Heartbleed Bug?
Afetou um monte de sites
Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL
Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL
Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL Foi descrito em um site bonitinho http://heartbleed.com/
Alguém já viu antes uma falha de segurança ser anunciada assim em um site bonitinho com logomarca e tudo o mais?
Quem aí ouviu falar que o Heartbleed Bug? já era explorado em novembro de 2013 ou até antes?
O Neel Mehta, hoje parte da segurança do Google, mostrou ao mundo um problema que já existe há 2 anos em um lindo site da empresa Codenomicon
Porém o chefão da Codenomicon é o Howard A. Schmidt ex chefe de segurança da Microsoft
A Microsoft junto com o Google e outras empresas americanas, colabora (obrigada ou não) com o NSA
Mais uma notícia da 3a feira que mostra que tem mais gente com a pulga atrás da orelha
O presidente da China Xi Jinping disse na 3a feira que o bug Heartbleed afetou 98% da internet e foi projetado pelo NSA
Outra notícia também da 3a feira
Snowden pede novas regras para impedir abusos da NSA
Estas noticias tem cheiro de NSA
O que é este tal de NSA e como é que tem recursos para fazer tanta coisa (ruim)?
O NSA é antigo e já vem espionando há tempos
Mas quem escancarou tudo foi Edward Snowden
Thank you, Edward Snowden
As revelações do Snowden foram estarrecedoras
Nossa privacidade online… já era
Nossa privacidade online… já era
USS Jimmy Carter (SSN-23)
Vamos falar agora porque fazem isto e se tem algum amparo legal
Fazem porque guerra cibernética é bem mais fácil e principalmente mais barata do que a física E vamos provar com números
Edward Snowden, ex contratado da NSA, vazou com detalhes documentos que mapeiam um orçamento bilionário para o NSA, CIA e outras agências
O Washington Post, reviu os documentos e publicou uma detalhada lista de objetivos, tecnologias, dados de recrutamento e outras informações
O Orçamento negro americano US $52.6 bilhões Washington  Post,  agosto  de  2013  
  O orçamento cobre ações de espionagem e contrainteligência Chamado de orçamento negro, engloba mais de uma dúzia de agências que compoem o programa nacional de segurança
CIA, NSA e NRO (National Reconnaissance Office) ficaram com mais de 68% deste orçamento
  Detalhe: O orçamento do National Geospatial-Intelligence Program’s (NGP) cresceu mais de 100% desde 2004
  A CIA recebeu US $14,7 bilhões em 2013 US$ 11,5 bilhões gastos em coletar dados, processamento e análise
  O NSA recebeu US $10,8 bilhões em 2013 US$ 5,6 bilhões gastos em coletar dados, processamento e análise
  O NRO recebeu US $10,8 bilhões em 2013 US$ 8,5 bilhões gastos em coletar dados, processamento e análise
A comunidade de inteligência emprega mais de 107 mil pessoas
Mesmo com todo este dinheiro a guerra cibernética ainda é mais barata do que o uso de armas “convencionais”
Um avião F-22 raptor custa US$ 361 milhões Uma esquadrilha com 60 destes aviões = $ 22 bilhõeshttp://pt.wikipedia.org/wiki/F-22_Raptor
EUA lançaram o navio de guerra mais caro do mundo US$ 7 bilhões (Estadão 05 de janeiro de 2014) Zumwalt    
E o Data Center dos EUA que coleta dados de tudo o que você faz na Internet? http://www.businessinsider.com/pictures-of-the-nsas-utah-data-center-2013-6
Utah Data Center Capaz de tratar dados na ordem de exabytes
Utah Data Center
Utah Data Center
Este Data Center custou entre 1,5 E 1,7 bilhões de dólares ...ou 5 aviões F-22 Raptor ...ou ¼ do Zumwalt
Vamos falar de leis
Dois decretos importantes: CALEA Ato patriótico
CALEA Communications Assistance for Law Enforcement Act Lei dos grampos nos States aprovada em 1994, na presidência de Bill Clinton
CALEA Exige que operadoras de telecomunicações e fabricantes de equipamentos de telecomunicações modifiquem e projetem seus equipamentos, instalações e serviços para garantir que eles tenha capacidades de vigilância embutidas
CALEA Em 2005 a FCC ampliou sua aplicação para incluir todo o tráfego de VoIP e Internet banda larga.
USA PATRIOT Act Decreto assinado pelo presidente Bush logo depois do 11 de Setembro de 2001
USA PATRIOT Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism
USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo
USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam estrangeiras ou americanas.
Em outubro de 2001, o presidente George Bush emitiu uma ordem presidencial secreta que autoriza o NSA a realizar uma série de atividades de vigilância no interior dos Estados Unidos, sem autorização estatutária nem aprovação do tribunal, incluindo a vigilância eletrônica de telefone e de Internet dos americanos.
No início de 2006 o ex-técnico da AT&T, Mark Klein, mostrou que a AT&T estava cooperando com a vigilância ilegal. As comunicações eram direcionadas para salas secretas da NSA dentro das operadoras de telecom.
Existem ainda outras leis tais como: Protect America Act de 2007 Foreign Intelligence Surveillance Act (FISA) Amendments Act de 2008 mas vamos parar por aqui
Vamos falar agora de tipos de espionagem
Espionagem •  Ativa •  Passiva
Espionagem ativa é aquela tradicional que não escala. Exige muito esforço para um unico alvo Não tem dados antes de começar a espionar
Espionagem passiva é o caminho mais fácil
Espionagem passiva é o caminho mais fácil Porém criptografia é um grande problema
Nos anos 90 o NSA perdeu uma batalha pública para inserir backdoors em todas as tecnologias de criptografia desenvolvidas nos States
Mas não acredite que não exista backdoors no seu programa de email e até no chip do seu celular
Então… o que podemos fazer?
Justamente para ensinar isto estamos fazendo a CryptoRave
Vamos as dicas
Ficar anônimo tanto quanto possível Use Tor para ficar anônimo. Sim, a NSA está de olho em usuários do TOR, mas isto os defende. Quanto menos exposto você estiver, mais seguro estará
Criptografe suas comunicações Use TLS. Use IPSEC. De novo, apesar da NSA visar conexões criptografadas, você estará muito mais seguro do que se comunicar em aberto.
Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet.
Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet. Se você precisa mover dados críticos para um computador com internet, criptografe o conteúdo e use um dispositivo USB
Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”.
Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”. Softwares de código fechado são mais fáceis para a NSA incluir backdoors do que software de código aberto
Tente usar criptografia de domínio público compatível com outras implementações É mais difícil a NSA colocar um backdoor no TLS do que no BitLocker, porque muitos trabalham com TLS enquanto BitLocker só precisa ser compatível com ele mesmo.
Por fim
“Creia na matemática. Criptografia é sua amiga. Use-a bem e faça o melhor para que nada possa comprometê-la. É assim que você permanecerá seguro mesmo face à NSA.” Bruce Schneier
Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks Perguntas

Empfohlen

Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Kembolle Amilkar Esp.
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasVaine Luiz Barreira, MBA
 
Uma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisUma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisVaine Luiz Barreira, MBA
 
Crimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaCrimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaVaine Luiz Barreira, MBA
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Ataques de Dicionário com CUPP
Ataques de Dicionário com CUPPAtaques de Dicionário com CUPP
Ataques de Dicionário com CUPPMauro Duarte
 
Pirataria
PiratariaPirataria
PiratariaBruno Ponces
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 

Empfohlen

Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Cibercrimes - Unic SEMINFO2013
Cibercrimes - Unic SEMINFO2013 Kembolle Amilkar Esp.
 
Crimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasCrimes Digitais e Computacao Forense OAB Campinas
Crimes Digitais e Computacao Forense OAB CampinasVaine Luiz Barreira, MBA
 
Uma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisUma Visao dos Crimes Digitais
Uma Visao dos Crimes DigitaisVaine Luiz Barreira, MBA
 
Crimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaCrimes Digitais e Computacao Forense OAB Uberlandia
Crimes Digitais e Computacao Forense OAB UberlandiaVaine Luiz Barreira, MBA
 
Crimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosCrimes digitais e Seguranca da Informacao OAB Santos
Crimes digitais e Seguranca da Informacao OAB SantosVaine Luiz Barreira, MBA
 
Ataques de Dicionário com CUPP
Ataques de Dicionário com CUPPAtaques de Dicionário com CUPP
Ataques de Dicionário com CUPPMauro Duarte
 
Pirataria
PiratariaPirataria
PiratariaBruno Ponces
 
Investigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseInvestigação de Crimes Digitais - Carreira em Computação Forense
Investigação de Crimes Digitais - Carreira em Computação ForenseVaine Luiz Barreira, MBA
 
Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente segura Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente seguraHaroldo Barbosa
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Tema 09
Tema 09Tema 09
Tema 09Google
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Espionagem e Software Livre
Espionagem e Software LivreEspionagem e Software Livre
Espionagem e Software LivreÁtila Camurça
 
Pirataria Informatica
Pirataria InformaticaPirataria Informatica
Pirataria InformaticaDinarte Santos
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtLuis Bittencourt
 
Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiMódulo Security Solutions
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...Alcyon Ferreira de Souza Junior, MSc
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Alcyon Ferreira de Souza Junior, MSc
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosFernando Battistini
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoEscola de Governança da Internet no Brasil
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5Eduardo Santana
 
Sistemas de seguranca
Sistemas de segurancaSistemas de seguranca
Sistemas de segurancaManuella Veroni
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - ImpactaLuiz Sales Rabelo
 
As pessoas, os dados e a privacidade
As pessoas, os dados e a privacidadeAs pessoas, os dados e a privacidade
As pessoas, os dados e a privacidadeOriginalMy.com
 
Trab intr proteçao e censura
Trab intr proteçao e censuraTrab intr proteçao e censura
Trab intr proteçao e censuraCarlos Eduardo
 
Artigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reaisArtigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reaisVictor Said
 

Weitere ähnliche Inhalte

Was ist angesagt?

Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente segura Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente seguraHaroldo Barbosa
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Vaine Luiz Barreira, MBA
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informaticakreyn
 
Tema 09
Tema 09Tema 09
Tema 09Google
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoLuiz Sales Rabelo
 
Espionagem e Software Livre
Espionagem e Software LivreEspionagem e Software Livre
Espionagem e Software LivreÁtila Camurça
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtLuis Bittencourt
 

Was ist angesagt? (8)

Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente segura Softwares para uma comunicação digital relativamente segura
Softwares para uma comunicação digital relativamente segura
 
Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1Crimes Digitais e Computacao Forense para Advogados v1
Crimes Digitais e Computacao Forense para Advogados v1
 
Pirataria informatica
Pirataria informaticaPirataria informatica
Pirataria informatica
 
Tema 09
Tema 09Tema 09
Tema 09
 
Perícia Forense Computacional - Introdução
Perícia Forense Computacional - IntroduçãoPerícia Forense Computacional - Introdução
Perícia Forense Computacional - Introdução
 
Espionagem e Software Livre
Espionagem e Software LivreEspionagem e Software Livre
Espionagem e Software Livre
 
Pirataria Informatica
Pirataria InformaticaPirataria Informatica
Pirataria Informatica
 
Internet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourtInternet luis-fernando-s-bittencourt
Internet luis-fernando-s-bittencourt
 

Ähnlich wie Snowden NSA e privacidade online

7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...Alcyon Ferreira de Souza Junior, MSc
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam SaberAlcyon Ferreira de Souza Junior, MSc
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalAmanda Luz
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallJorge Quintao
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosFernando Battistini
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - ImpactaLuiz Sales Rabelo
 
As pessoas, os dados e a privacidade
As pessoas, os dados e a privacidadeAs pessoas, os dados e a privacidade
As pessoas, os dados e a privacidadeOriginalMy.com
 
Trab intr proteçao e censura
Trab intr proteçao e censuraTrab intr proteçao e censura
Trab intr proteçao e censuraCarlos Eduardo
 
Artigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reaisArtigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reaisVictor Said
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SIFelipe Perin
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneEliézer Zarpelão
 

Ähnlich wie Snowden NSA e privacidade online (20)

Análise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de tiAnálise de vulnerabilidades em ativos de ti
Análise de vulnerabilidades em ativos de ti
 
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
7 Segredos sobre o PenTest e o Softeware Livre que todos deveriam saber - Con...
 
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber 7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
7 Segredos sobre o PenTest e Software Livre que Todos deveriam Saber
 
Proteção e segurança do Sistema Operacional
Proteção e segurança do Sistema OperacionalProteção e segurança do Sistema Operacional
Proteção e segurança do Sistema Operacional
 
Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016Palestra alcyon junior - LatinoWare 2016
Palestra alcyon junior - LatinoWare 2016
 
Café da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWallCafé da manhã 17/05/17 - Apresentação SonicWall
Café da manhã 17/05/17 - Apresentação SonicWall
 
Segurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negóciosSegurança das Informações e Continuidade dos negócios
Segurança das Informações e Continuidade dos negócios
 
Fundamentos de Segurança da Informação
Fundamentos de Segurança da InformaçãoFundamentos de Segurança da Informação
Fundamentos de Segurança da Informação
 
Inf seg redinf_semana5
Inf seg redinf_semana5Inf seg redinf_semana5
Inf seg redinf_semana5
 
Sistemas de seguranca
Sistemas de segurancaSistemas de seguranca
Sistemas de seguranca
 
Guerra cibernética - Impacta
Guerra cibernética - ImpactaGuerra cibernética - Impacta
Guerra cibernética - Impacta
 
As pessoas, os dados e a privacidade
As pessoas, os dados e a privacidadeAs pessoas, os dados e a privacidade
As pessoas, os dados e a privacidade
 
Trab intr proteçao e censura
Trab intr proteçao e censuraTrab intr proteçao e censura
Trab intr proteçao e censura
 
Artigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reaisArtigo crimes virtuais, punições reais
Artigo crimes virtuais, punições reais
 
Crimes digitais
Crimes digitaisCrimes digitais
Crimes digitais
 
ESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICAESPIONAGEM CIBERNÉTICA
ESPIONAGEM CIBERNÉTICA
 
Guerras cibernéticas
Guerras cibernéticasGuerras cibernéticas
Guerras cibernéticas
 
Conscientização sobre SI
Conscientização sobre SIConscientização sobre SI
Conscientização sobre SI
 
Introdução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation OneIntrodução à LGPD - Digital Innovation One
Introdução à LGPD - Digital Innovation One
 
Pentest conisli07
Pentest conisli07Pentest conisli07
Pentest conisli07
 

Snowden NSA e privacidade online

  • 1. Snowden, NSA e o fim da privacidade Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks
  • 2. Vamos começar com 3 notícias desta semana
  • 3. Primeira notícia e que afetou todo mundo
  • 5. Quem aí ouviu falar no The Heartbleed Bug?
  • 6. Afetou um monte de sites
  • 7. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL
  • 8. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL
  • 9. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL Foi descrito em um site bonitinho http://heartbleed.com/
  • 10. Alguém já viu antes uma falha de segurança ser anunciada assim em um site bonitinho com logomarca e tudo o mais?
  • 11. Quem aí ouviu falar que o Heartbleed Bug? já era explorado em novembro de 2013 ou até antes?
  • 12. O Neel Mehta, hoje parte da segurança do Google, mostrou ao mundo um problema que já existe há 2 anos em um lindo site da empresa Codenomicon
  • 13. Porém o chefão da Codenomicon é o Howard A. Schmidt ex chefe de segurança da Microsoft
  • 14.
  • 15. A Microsoft junto com o Google e outras empresas americanas, colabora (obrigada ou não) com o NSA
  • 16. Mais uma notícia da 3a feira que mostra que tem mais gente com a pulga atrás da orelha
  • 17. O presidente da China Xi Jinping disse na 3a feira que o bug Heartbleed afetou 98% da internet e foi projetado pelo NSA
  • 18. Outra notícia também da 3a feira
  • 19. Snowden pede novas regras para impedir abusos da NSA
  • 20. Estas noticias tem cheiro de NSA
  • 21. O que é este tal de NSA e como é que tem recursos para fazer tanta coisa (ruim)?
  • 22. O NSA é antigo e já vem espionando há tempos
  • 23. Mas quem escancarou tudo foi Edward Snowden
  • 24. Thank you, Edward Snowden
  • 25. As revelações do Snowden foram estarrecedoras
  • 28.
  • 29. USS Jimmy Carter (SSN-23)
  • 30. Vamos falar agora porque fazem isto e se tem algum amparo legal
  • 31. Fazem porque guerra cibernética é bem mais fácil e principalmente mais barata do que a física E vamos provar com números
  • 32. Edward Snowden, ex contratado da NSA, vazou com detalhes documentos que mapeiam um orçamento bilionário para o NSA, CIA e outras agências
  • 33. O Washington Post, reviu os documentos e publicou uma detalhada lista de objetivos, tecnologias, dados de recrutamento e outras informações
  • 34. O Orçamento negro americano US $52.6 bilhões Washington  Post,  agosto  de  2013  
  • 35.   O orçamento cobre ações de espionagem e contrainteligência Chamado de orçamento negro, engloba mais de uma dúzia de agências que compoem o programa nacional de segurança
  • 36. CIA, NSA e NRO (National Reconnaissance Office) ficaram com mais de 68% deste orçamento
  • 37.   Detalhe: O orçamento do National Geospatial-Intelligence Program’s (NGP) cresceu mais de 100% desde 2004
  • 38.   A CIA recebeu US $14,7 bilhões em 2013 US$ 11,5 bilhões gastos em coletar dados, processamento e análise
  • 39.   O NSA recebeu US $10,8 bilhões em 2013 US$ 5,6 bilhões gastos em coletar dados, processamento e análise
  • 40.   O NRO recebeu US $10,8 bilhões em 2013 US$ 8,5 bilhões gastos em coletar dados, processamento e análise
  • 41. A comunidade de inteligência emprega mais de 107 mil pessoas
  • 42. Mesmo com todo este dinheiro a guerra cibernética ainda é mais barata do que o uso de armas “convencionais”
  • 43. Um avião F-22 raptor custa US$ 361 milhões Uma esquadrilha com 60 destes aviões = $ 22 bilhõeshttp://pt.wikipedia.org/wiki/F-22_Raptor
  • 44. EUA lançaram o navio de guerra mais caro do mundo US$ 7 bilhões (Estadão 05 de janeiro de 2014) Zumwalt    
  • 45. E o Data Center dos EUA que coleta dados de tudo o que você faz na Internet? http://www.businessinsider.com/pictures-of-the-nsas-utah-data-center-2013-6
  • 46. Utah Data Center Capaz de tratar dados na ordem de exabytes
  • 49. Este Data Center custou entre 1,5 E 1,7 bilhões de dólares ...ou 5 aviões F-22 Raptor ...ou ¼ do Zumwalt
  • 52. CALEA Communications Assistance for Law Enforcement Act Lei dos grampos nos States aprovada em 1994, na presidência de Bill Clinton
  • 53. CALEA Exige que operadoras de telecomunicações e fabricantes de equipamentos de telecomunicações modifiquem e projetem seus equipamentos, instalações e serviços para garantir que eles tenha capacidades de vigilância embutidas
  • 54. CALEA Em 2005 a FCC ampliou sua aplicação para incluir todo o tráfego de VoIP e Internet banda larga.
  • 55. USA PATRIOT Act Decreto assinado pelo presidente Bush logo depois do 11 de Setembro de 2001
  • 56. USA PATRIOT Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism
  • 57. USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo
  • 58. USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam estrangeiras ou americanas.
  • 59. Em outubro de 2001, o presidente George Bush emitiu uma ordem presidencial secreta que autoriza o NSA a realizar uma série de atividades de vigilância no interior dos Estados Unidos, sem autorização estatutária nem aprovação do tribunal, incluindo a vigilância eletrônica de telefone e de Internet dos americanos.
  • 60. No início de 2006 o ex-técnico da AT&T, Mark Klein, mostrou que a AT&T estava cooperando com a vigilância ilegal. As comunicações eram direcionadas para salas secretas da NSA dentro das operadoras de telecom.
  • 61. Existem ainda outras leis tais como: Protect America Act de 2007 Foreign Intelligence Surveillance Act (FISA) Amendments Act de 2008 mas vamos parar por aqui
  • 62. Vamos falar agora de tipos de espionagem
  • 64. Espionagem ativa é aquela tradicional que não escala. Exige muito esforço para um unico alvo Não tem dados antes de começar a espionar
  • 65. Espionagem passiva é o caminho mais fácil
  • 66. Espionagem passiva é o caminho mais fácil Porém criptografia é um grande problema
  • 67. Nos anos 90 o NSA perdeu uma batalha pública para inserir backdoors em todas as tecnologias de criptografia desenvolvidas nos States
  • 68. Mas não acredite que não exista backdoors no seu programa de email e até no chip do seu celular
  • 69. Então… o que podemos fazer?
  • 70. Justamente para ensinar isto estamos fazendo a CryptoRave
  • 72. Ficar anônimo tanto quanto possível Use Tor para ficar anônimo. Sim, a NSA está de olho em usuários do TOR, mas isto os defende. Quanto menos exposto você estiver, mais seguro estará
  • 73. Criptografe suas comunicações Use TLS. Use IPSEC. De novo, apesar da NSA visar conexões criptografadas, você estará muito mais seguro do que se comunicar em aberto.
  • 74. Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet.
  • 75. Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet. Se você precisa mover dados críticos para um computador com internet, criptografe o conteúdo e use um dispositivo USB
  • 76. Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”.
  • 77. Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”. Softwares de código fechado são mais fáceis para a NSA incluir backdoors do que software de código aberto
  • 78. Tente usar criptografia de domínio público compatível com outras implementações É mais difícil a NSA colocar um backdoor no TLS do que no BitLocker, porque muitos trabalham com TLS enquanto BitLocker só precisa ser compatível com ele mesmo.
  • 80. “Creia na matemática. Criptografia é sua amiga. Use-a bem e faça o melhor para que nada possa comprometê-la. É assim que você permanecerá seguro mesmo face à NSA.” Bruce Schneier
  • 81. Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks Perguntas