- O documento discute princípios básicos de segurança online, incluindo segurança física, senhas, phishing, vírus, engenharia social, confidencialidade, privacidade e autenticação, e redes sociais.
- A segurança é um processo holístico e contínuo, não um produto. Deve incluir proteção contra acesso físico não autorizado, backups regulares, e uso de senhas fortes e únicas.
- Os usuários precisam tomar cuidado com phishing, vírus e malware, revelar pouca informação
4. SECURITY
IS A
PROCESS
NOT A
PRODUCT
Bruce Schneier, 2000
http://www.schneier.com/crypto-gram-0005.html#1
5. IS A
SECURITY
PROCESS
HOLÍSTICO
AL L CO
CI TA GI
SO EN LÓ
BI NO
AM EC
T
CONTINUO
Bruce Schneier, 2000
http://www.schneier.com/crypto-gram-0005.html#1
6. IS A
SECURITY
PROCESS
Bruce Schneier, 2000
http://www.schneier.com/crypto-gram-0005.html#1
7. Resumo
•Segurança
• Física
• Passwords
• Phishing
• Virus, Worms, etc.
• Engenharia Social
• Confidencialidade, Privacidade e
Autenticação
• Redes Sociais
9. Segurança Física
• Localização
• Acesso a instalações e a salas
• Acesso a computadores/servidores
• Acesso a informação confidencial
• Classificação de informação e políticas de
acesso
• Dispositivos de Armazenamento
• CDs, DVDs
• Pen USB
• Discos externos
• Telemóveis, Smartphones e Tablets?!?
11. Segurança Física
•Armazenar informação
em Segurança
• TrueCrypt, FileVault, BitLocker,
etc.
• em especial em dispositivos
amovíveis: discos portáteis,
pens, computadores portáteis,
etc.
•Definir uma política
pessoal de gestão de
informação e de
classificação da mesma
12. Segurança Física
•Backups
•backups, backups e
mais backups
•regularidade
•localização dos
backups
•segurança dos
mesmos
13. DISCO EXTERNO
UM COMPUTADOR
TABLET
PEN DRIVE
SMARTPHONE
...
PERDIDO OU ROUBADO
PERDA FINANCEIRA
QUEBRA PRIVACIDADE
17. Virus, Worms, $
%#3& estranhas
•Proteger o
computador (em
especial com o
Windows ;-))
• Firewalls
• Anti-virus
• Anti-spyware
18. Virus, Worms, $
%#3& estranhas
• Limitar o uso da conta de
administrador
• Programas maliciosos aproveitam-se
das permissões disponíveis
• Injecção e execução de código
facilitada
• Instalar keylogger
• Executar serviços
• Desactivar boot do sistema
• Desactivar anti-vírus
• Executar tarefas comuns com
privilégios limitados
20. Virus, Worms, $
%#3& estranhas
•Instant Messaging
• As ferramentas de IM são
uma das formas de
distribuição e propagação de
vírus
• IRC, MSN Messenger, etc.
• São igualmente uma forma
muito comum para a
distribuição de malware e
vírus
21. Virus, Worms, $
%#3& estranhas
•Redes Sociais
• Twitter, Facebook, ...
• URL shortners
•Distribuição de
malware e de virus
•Compromisso dos
computadores -
Zombies/Botnets
24. Phishing
• Uma forma de enganar os
utilizadores através de sites
e mensagens enganosas
• Redireccionam os
utilizadores para sites que
“imitam” sites originais
com o objectivo de
“roubarem” informação aos
utilizadores
• credenciais de acesso
• outras informações
37. Phishing
• Conselhos
• browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais)
• testar HTTPS
• ver se cadeado está activo
• sem warnings de segurança
• ver detalhes do certificado
• testar form de login
• tentar introdução de credenciais erradas e ver comportamento da aplicação
• nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a
URL do site na barra de endereços do browser web (mesmo com bookmarks)
39. Passwords
•Passwords são como
as CUECAS, porque:
• não as devemos deixar à vista
para que outros as possam ver
• devemos mudá-las com
regularidade
• não as devemos emprestar
(principalmente a estranhos)
40. Passwords
•Política de gestão de
passwords
• Escolha de boas passwords
• Alteração das passwords
• Passwords devem ser
"secretas"
41. was equal to or below six characters.
Password Length Distribution
13
12 1.32%
2.11% 5
4.07%
Passwords
11
3.57%
6
10 26.04%
9.06%
9
12.11%
• A verdade sobre as passwords
Consumer Password Worst Practices 7
8 19.29%
19.98%
Analysis • Estudo realizado pela Imperva
NASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case
2. Recommendation: It should contain a mix of four
to help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp
should not be either the first or last character in the password.
1. Recommendation: It should contain at least eight characters.
• http://www.imperva.com/docs/
The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite
The ADC analysis showed that almost 60% of users
WP_Consumer_Password_Worst_Practices.pdf
current minimal password length requirement is five). A staggering 40% of users chose passwords whose length
was equal to or below six characters.
About 30% the users use only lowercase characters for their passwords and about another
Less than 4% of the users use special characters.
Password Length Distribution Password Length Distribution
13
12 1.32% 3.81% 1.62%
2.11% 5
4.07%
11
3.57%
6
10 26.04%
9.06%
36.94% 41.69%
9
12.11%
7
8 19.29%
19.98% 15.94%
2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASA's recommendations only 0.2% of R
types after evaluating the case letters, lower case
42. Consumer Password Worst Practices
Passwords
3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include
any part of your name or your e-mail address.
• A verdade most popular passwords, that are used by a share of 20% of the users, were just that –
Almost all of the 5000
sobre as passwords
names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so
on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The
• Estudo realizado pela Imperva
following table depicts the top 20 common passwords in the database list:
Password Popularity – Top 20
Rank Password Number of Users with Rank Password Number of Users with
Password (absolute) Password (absolute)
1 123456 290731 11 Nicole 17168
2 12345 79078 12 Daniel 16409
3 123456789 76790 13 babygirl 16094
4 Password 61958 14 monkey 15294
5 iloveyou 51622 15 Jessica 15162
6 princess 35231 16 Lovely 14950
7 rockyou 22588 17 michael 14898
8 1234567 21726 18 Ashley 14329
9 12345678 20553 19 654321 13984
10 abc123 17542 20 Qwerty 13856
50. Engenharia Social
• Na maior parte das vezes, as
pessoas são o “Elo Mais
Fraco” da segurança de
informação
• Cuidado com a informação
revelada a terceiros
• telefonemas
• emails
• correio tradicional
• redes sociais
• IM
• conversas directas
51. Engenharia Social
•A engenharia social é
aplicada da seguinte
forma:
• Recolha de informações
• Desenvolvimento do
relacionamento
• Exploração do
relacionamento
• Execução do ataque.
54. Confidencialidade e
Privacidade
•Porque a Internet é uma
rede pública e aberta
•Correio electrónico
• não é a mesma coisa que correio
tradicional
• documentos e informação
confidencial
•Criptografia
• transformar informação em claro
em informação perceptível apenas
para os elementos em
comunicação
55. Autenticação
•o endereço de correio
electrónico pode ser
forjado
•a identidade dos
utilizadores pode ser
roubada/hijacked
•como posso ter a garantia
que o email/documento foi
verdadeiramente
produzido/enviado por
uma entidade de confiança
56. Confidencialidade,
Privacidade e Autenticação
• Criptografia de Chave Pública
• Certificados Digitais
• Usar no correio electrónico
• nome.apelido@company.com
• associado ao uso de um certificado
digital
• podemos usar certificados digitais
gratuítos
• Comodo, CA
• ou usar a nossa própria autoridade de
certificação
• permite que os colaboradores possam trocar
entre si email cifrado, e assinado digitalmente
60. • Lançado em Fevereiro de 2004
• Mark Zuckerberg
• + de 800M utilizadores activos
• seria o 3º maior país do Mundo
61. Principais riscos de segurança
• Spam, Spam e mais Spam
• Malware instalado por terceiros
• Spyware
• Worms
• Falhas de XSS
• Falhas no Flash
• Phishing
• Reputação/Imagem
• Informação Pessoal
• Esquemas e Vigarices
62. 7 principais tipos de ataque
• “Impersonation” e ataques pessoais direccionados
• Infecções com spam e bots
• Ataques com base em aplicações sociais
• Interligação/Confusão entre a presença pessoal e profissional online
• Ataques de XSS e CSRF
• Roubo de Identidade
• Espionagem industrial
64. Privacidade
• Porquê?
• É a vossa informação pessoal
• A vossa informação pessoal pode ser partilhada com terceiros (inclusive
informação de identificação)
• Estes terceiros podem manter a vossa informação pelo tempo que quiserem
• Muitos utilizadores aderem a redes sociais assumindo que as mesmas são
privadas
• Pode originar problemas de segurança
• Má imagem, má reputação
65. 82% das crianças têm fotografias online
nos EUA, 92% de bebés
(0-2 anos) têm fotos online
EUA, 92%
Nova Zelândia, 91%
um terço das crianças Austrália, 84%
online têm apenas Canadá, 84%
poucas semanas de vida
um quarto dos casos, as
fotos começam a aparecer
antes do nascimento, em
ecografia
in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
78. O que colocam on-line Pessoal
tem consequências a Profissional
vários níveis: ...
79. ? ? ?? ?
Max Schrems ? ? ? ?
... estudante Austriaco, que processou
o Facebook.
80. Exigiu que o Facebook
lhe enviasse toda a
informação que tinha
sobre ele.
Apagou a conta no
Facebook.
Facebook enviou um CD
com informação.
Cerca de 2000 páginas
com informação pessoal
(incluindo mensagens de
chat)
Delete = Status
(deleted) ;-)
83. ! Cookie imortal do Google
! Google regista tudo o que
pode
! Google retêm todos os
dados indefenidamente
! Google não diz para que
necessita dos dados
! Conotações do Google com
espionagem?
! Toolbar do Google é spyware
! A cópia de cache do Google
é “ilegal”
! Google não é nosso amigo
! O Google é uma bomba
relógio em termos de
privacidade
84. ! Google Search ! Google Checkout
! Google Images ! Google Docs
! Google Maps ! Google Android
! Google Latitude ! Google Youtube
! Google Earth ! Google Adsense
! Google Chrome ! Google Adwords
! Google Chrome OS ! Google Blogger
! Google Mail ! Google Picasa
! Google Calendars ! ... e mais, muito mais.
85. O que sabe o Google sobre vocês?
Que podem fazer para o impedir?
104. Conclusões e Discussão
• Verificar quais as principais vulnerabilidades e riscos
• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação
- Backups (locais e remotos)
• Browser web:
• Usar versões sempre actualizadas (aplica-se igualmente ao SO)
• Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking
• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)
• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações
desconhecidas
• Em caso de dúvida: hesitar, desconfiar, perguntar