O documento discute as revelações de Edward Snowden sobre a NSA, incluindo seu orçamento bilionário para espionagem cibernética e coleta de dados, e fornece dicas sobre como melhor proteger a privacidade online, como usar criptografia e software de código aberto.
7. Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
8. Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
Permite a qualquer um ler a memória de
sistemas protegidos por versões
vulneráveis do OpenSSL
9. Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
Permite a qualquer um ler a memória de
sistemas protegidos por versões
vulneráveis do OpenSSL
Foi descrito em um site bonitinho
http://heartbleed.com/
10. Alguém já viu antes uma falha de
segurança ser anunciada assim
em um site bonitinho com
logomarca e tudo o mais?
11. Quem aí ouviu falar que
o Heartbleed Bug?
já era explorado
em novembro de
2013 ou até antes?
12. O Neel Mehta, hoje parte da
segurança do Google, mostrou ao
mundo um problema que já
existe há 2 anos em um lindo site
da empresa Codenomicon
13. Porém o chefão da Codenomicon
é o Howard A. Schmidt
ex chefe de segurança da
Microsoft
14.
15. A Microsoft junto com o Google e
outras empresas americanas,
colabora (obrigada ou não) com o
NSA
16. Mais uma notícia da 3a feira que
mostra que tem mais gente com
a pulga atrás da orelha
17. O presidente da China Xi Jinping
disse na 3a feira que o bug
Heartbleed afetou 98% da
internet e foi projetado pelo NSA
35.
O orçamento cobre ações de
espionagem e contrainteligência
Chamado de orçamento negro, engloba
mais de uma dúzia de agências que
compoem o programa nacional de
segurança
36. CIA, NSA e NRO (National
Reconnaissance Office) ficaram com
mais de 68% deste orçamento
37.
Detalhe: O orçamento do National
Geospatial-Intelligence Program’s
(NGP) cresceu mais de 100% desde
2004
38.
A CIA recebeu US $14,7 bilhões
em 2013
US$ 11,5 bilhões gastos em coletar
dados, processamento e análise
39.
O NSA recebeu US $10,8 bilhões
em 2013
US$ 5,6 bilhões gastos em coletar
dados, processamento e análise
40.
O NRO recebeu US $10,8 bilhões
em 2013
US$ 8,5 bilhões gastos em coletar
dados, processamento e análise
41. A comunidade de inteligência
emprega mais de 107 mil pessoas
42. Mesmo com todo este dinheiro
a guerra cibernética ainda é
mais barata do que o uso de
armas “convencionais”
43. Um avião F-22 raptor custa
US$ 361 milhões
Uma esquadrilha com 60
destes aviões = $ 22 bilhõeshttp://pt.wikipedia.org/wiki/F-22_Raptor
44. EUA lançaram o navio de
guerra mais caro do mundo
US$ 7 bilhões (Estadão 05 de janeiro de 2014)
Zumwalt
45. E o Data Center dos EUA que
coleta dados de tudo
o que você faz na Internet?
http://www.businessinsider.com/pictures-of-the-nsas-utah-data-center-2013-6
53. CALEA
Exige que operadoras de
telecomunicações e fabricantes de
equipamentos de telecomunicações
modifiquem e projetem seus
equipamentos, instalações e serviços
para garantir que eles tenha
capacidades de vigilância embutidas
54. CALEA
Em 2005 a FCC ampliou sua
aplicação para incluir todo o
tráfego de VoIP e Internet banda
larga.
56. USA PATRIOT Act
Uniting and Strengthening America by
Providing Appropriate Tools Required
to Intercept and Obstruct Terrorism
57. USA PATRIOT Act
Permite, entre outras medidas, que
órgãos de segurança e de inteligência
dos EUA interceptem ligações
telefônicas e e-mails de organizações
e pessoas supostamente envolvidas
com o terrorismo
58. USA PATRIOT Act
Permite, entre outras medidas, que
órgãos de segurança e de inteligência
dos EUA interceptem ligações
telefônicas e e-mails de organizações
e pessoas supostamente envolvidas
com o terrorismo, sem necessidade
de qualquer autorização da Justiça,
sejam estrangeiras ou americanas.
59. Em outubro de 2001, o presidente
George Bush emitiu uma ordem
presidencial secreta que autoriza o
NSA a realizar uma série de
atividades de vigilância no interior
dos Estados Unidos, sem autorização
estatutária nem aprovação do
tribunal, incluindo a vigilância
eletrônica de telefone e de Internet
dos americanos.
60. No início de 2006 o ex-técnico da
AT&T, Mark Klein, mostrou que a
AT&T estava cooperando com a
vigilância ilegal.
As comunicações
eram direcionadas
para salas secretas
da NSA dentro das
operadoras de
telecom.
61. Existem ainda outras leis tais
como:
Protect America Act de 2007
Foreign Intelligence
Surveillance Act (FISA)
Amendments Act de 2008
mas vamos parar por aqui
72. Ficar anônimo tanto quanto
possível
Use Tor para ficar anônimo. Sim, a
NSA está de olho em usuários do
TOR, mas isto os defende. Quanto
menos exposto você estiver, mais
seguro estará
73. Criptografe suas
comunicações
Use TLS. Use IPSEC. De novo,
apesar da NSA visar conexões
criptografadas, você estará muito
mais seguro do que se comunicar
em aberto.
74. Mantenha dados críticos fora
da rede
Se tem algo realmente importante,
use um computador dedicado fora
da internet.
75. Mantenha dados críticos fora
da rede
Se tem algo realmente importante,
use um computador dedicado fora
da internet. Se você precisa mover
dados críticos para um computador
com internet, criptografe o
conteúdo e use um dispositivo USB
76. Suspeite de softwares
comerciais de criptografia
A maioria do produtos de
criptografia fornecidos por grandes
empresas americanas, tem "NSA-
friendly backdoors”.
77. Suspeite de softwares
comerciais de criptografia
A maioria do produtos de
criptografia fornecidos por grandes
empresas americanas, tem "NSA-
friendly backdoors”. Softwares de
código fechado são mais fáceis
para a NSA incluir backdoors do
que software de código aberto
78. Tente usar criptografia de
domínio público compatível
com outras implementações
É mais difícil a NSA colocar um
backdoor no TLS do que no
BitLocker, porque muitos
trabalham com TLS enquanto
BitLocker só precisa ser compatível
com ele mesmo.
80. “Creia na matemática.
Criptografia é sua
amiga.
Use-a bem e faça o
melhor para que nada
possa comprometê-la.
É assim que você
permanecerá seguro
mesmo face à NSA.”
Bruce Schneier
81. Anchises Moraes
Garoa Hacker Clube e Security BSides SP
Luca Bastos
Principal Consultant na ThoughtWorks
Perguntas