SlideShare ist ein Scribd-Unternehmen logo

Passwords fracas e más práticas

Carlos Serrao
Carlos Serrao

- O documento discute princípios básicos de segurança online, incluindo segurança física, senhas, phishing, vírus, engenharia social, confidencialidade, privacidade e autenticação, e redes sociais. - A segurança é um processo holístico e contínuo, não um produto. Deve incluir proteção contra acesso físico não autorizado, backups regulares, e uso de senhas fortes e únicas. - Os usuários precisam tomar cuidado com phishing, vírus e malware, revelar pouca informação

Technologie
1 von 106
Downloaden Sie, um offline zu lesen
Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão
@pontocom carlos.serrao@iscte.pt carlos.j.serrao@iscte.pt http://www.linkedin.com/in/carlosserrao
QUAL A DIFERENÇA ENTRE UMA GARRAFA DE ÁGUA E UM COMPUTADOR?
SECURITY IS A PROCESS NOT A PRODUCT Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
IS A SECURITY PROCESS HOLÍSTICO AL L CO CI TA GI SO EN LÓ BI NO AM EC T CONTINUO Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
IS A SECURITY PROCESS Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
Resumo •Segurança • Física • Passwords • Phishing • Virus, Worms, etc. • Engenharia Social • Confidencialidade, Privacidade e Autenticação • Redes Sociais
SEGURANÇA FÍSICA
Segurança Física • Localização • Acesso a instalações e a salas • Acesso a computadores/servidores • Acesso a informação confidencial • Classificação de informação e políticas de acesso • Dispositivos de Armazenamento • CDs, DVDs • Pen USB • Discos externos • Telemóveis, Smartphones e Tablets?!?
ESTÁ PROTEGIDO CONTRA “SHOULDER SURFING” ???
Segurança Física •Armazenar informação em Segurança • TrueCrypt, FileVault, BitLocker, etc. • em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc. •Definir uma política pessoal de gestão de informação e de classificação da mesma
Segurança Física •Backups •backups, backups e mais backups •regularidade •localização dos backups •segurança dos mesmos
DISCO EXTERNO UM COMPUTADOR TABLET PEN DRIVE SMARTPHONE ... PERDIDO OU ROUBADO PERDA FINANCEIRA QUEBRA PRIVACIDADE
HIDDEN
VIRUS, MALWARE E OUTROS “BICHOS” ESQUISITOS
Virus, Worms, $ %#3& estranhas •Virus •Worms •Trojans •Keyloggers
Virus, Worms, $ %#3& estranhas •Proteger o computador (em especial com o Windows ;-)) • Firewalls • Anti-virus • Anti-spyware
Virus, Worms, $ %#3& estranhas • Limitar o uso da conta de administrador • Programas maliciosos aproveitam-se das permissões disponíveis • Injecção e execução de código facilitada • Instalar keylogger • Executar serviços • Desactivar boot do sistema • Desactivar anti-vírus • Executar tarefas comuns com privilégios limitados
Virus, Worms, $ %#3& estranhas •E-mail • Emissores • Anexos • Links • Solicitações “esquisitas”
Virus, Worms, $ %#3& estranhas •Instant Messaging • As ferramentas de IM são uma das formas de distribuição e propagação de vírus • IRC, MSN Messenger, etc. • São igualmente uma forma muito comum para a distribuição de malware e vírus
Virus, Worms, $ %#3& estranhas •Redes Sociais • Twitter, Facebook, ... • URL shortners •Distribuição de malware e de virus •Compromisso dos computadores - Zombies/Botnets
BOTNET MARIPOSA 13M COMPUTADORES, 190 PAÍSES STUXNET VIRUS/WORM ATACAR CENTRAIS NUCLEARES
PHISHING
Phishing • Uma forma de enganar os utilizadores através de sites e mensagens enganosas • Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores • credenciais de acesso • outras informações
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
D E A U F R
http://www.bancoxpto.pt ou http://www.banc0xpt0.pt http https
http https
http https
Phishing • Conselhos • browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais) • testar HTTPS • ver se cadeado está activo • sem warnings de segurança • ver detalhes do certificado • testar form de login • tentar introdução de credenciais erradas e ver comportamento da aplicação • nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)
PASSWORDS
Passwords •Passwords são como as CUECAS, porque: • não as devemos deixar à vista para que outros as possam ver • devemos mudá-las com regularidade • não as devemos emprestar (principalmente a estranhos)
Passwords •Política de gestão de passwords • Escolha de boas passwords • Alteração das passwords • Passwords devem ser "secretas"
was equal to or below six characters. Password Length Distribution 13 12 1.32% 2.11% 5 4.07% Passwords 11 3.57% 6 10 26.04% 9.06% 9 12.11% • A verdade sobre as passwords Consumer Password Worst Practices 7 8 19.29% 19.98% Analysis • Estudo realizado pela Imperva NASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case 2. Recommendation: It should contain a mix of four to help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp should not be either the first or last character in the password. 1. Recommendation: It should contain at least eight characters. • http://www.imperva.com/docs/ The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite The ADC analysis showed that almost 60% of users WP_Consumer_Password_Worst_Practices.pdf current minimal password length requirement is five). A staggering 40% of users chose passwords whose length was equal to or below six characters. About 30% the users use only lowercase characters for their passwords and about another Less than 4% of the users use special characters. Password Length Distribution Password Length Distribution 13 12 1.32% 3.81% 1.62% 2.11% 5 4.07% 11 3.57% 6 10 26.04% 9.06% 36.94% 41.69% 9 12.11% 7 8 19.29% 19.98% 15.94% 2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASA's recommendations only 0.2% of R types after evaluating the case letters, lower case
Consumer Password Worst Practices Passwords 3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address. • A verdade most popular passwords, that are used by a share of 20% of the users, were just that – Almost all of the 5000 sobre as passwords names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The • Estudo realizado pela Imperva following table depicts the top 20 common passwords in the database list: Password Popularity – Top 20 Rank Password Number of Users with Rank Password Number of Users with Password (absolute) Password (absolute) 1 123456 290731 11 Nicole 17168 2 12345 79078 12 Daniel 16409 3 123456789 76790 13 babygirl 16094 4 Password 61958 14 monkey 15294 5 iloveyou 51622 15 Jessica 15162 6 princess 35231 16 Lovely 14950 7 rockyou 22588 17 michael 14898 8 1234567 21726 18 Ashley 14329 9 12345678 20553 19 654321 13984 10 abc123 17542 20 Qwerty 13856
Passwords • Boa password Mínimo(8( caracteres,(com( maíusculas(e( minúsculas,( números(e(outros( caracteres( Única(e(não(reC u<lizada(em( Aleatória( outros(sistemas( Sistema(deve( estar(livre(de( Password( Nunca(estar( apontada/escrita( virus(e(de( em(nenhum(sí<o( spyware( Alterada(de( Desconhecida(de( tempo(a(tempo( terceiros(
Passwords •Software de Gestão de Passwords • Keepass • 1Password • LastPass • ...
SEGURANÇA DE REDES WI-FI
POIS... ... E POR CÁ?
E MAIS... ROUTERS WI-FI DA... THOMPSON, D-LINK, SPEEDTOUCH SSID KEY/PASSWORD
ENGENHARIA SOCIAL
Engenharia Social • Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação • Cuidado com a informação revelada a terceiros • telefonemas • emails • correio tradicional • redes sociais • IM • conversas directas
Engenharia Social •A engenharia social é aplicada da seguinte forma: • Recolha de informações • Desenvolvimento do relacionamento • Exploração do relacionamento • Execução do ataque.
VOCÊ... ... É O ELO MAIS FRACO!!!! (ADEUS?!?)
CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO
Confidencialidade e Privacidade •Porque a Internet é uma rede pública e aberta •Correio electrónico • não é a mesma coisa que correio tradicional • documentos e informação confidencial •Criptografia • transformar informação em claro em informação perceptível apenas para os elementos em comunicação
Autenticação •o endereço de correio electrónico pode ser forjado •a identidade dos utilizadores pode ser roubada/hijacked •como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança
Confidencialidade, Privacidade e Autenticação • Criptografia de Chave Pública • Certificados Digitais • Usar no correio electrónico • nome.apelido@company.com • associado ao uso de um certificado digital • podemos usar certificados digitais gratuítos • Comodo, CA • ou usar a nossa própria autoridade de certificação • permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente
REDES SOCIAIS
Evolução da Web Social 2000 2004 2007 1990s 1999 2003 2006 2002 2005 2008
• Youtube • LinkedIn • Vimeo • Plaxo • Blogger • Wordpress • Feedburner • Deli.cio.us • Flickr • Twitter • Wikipedia
• Lançado em Fevereiro de 2004 • Mark Zuckerberg • + de 800M utilizadores activos • seria o 3º maior país do Mundo
Principais riscos de segurança • Spam, Spam e mais Spam • Malware instalado por terceiros • Spyware • Worms • Falhas de XSS • Falhas no Flash • Phishing • Reputação/Imagem • Informação Pessoal • Esquemas e Vigarices
7 principais tipos de ataque • “Impersonation” e ataques pessoais direccionados • Infecções com spam e bots • Ataques com base em aplicações sociais • Interligação/Confusão entre a presença pessoal e profissional online • Ataques de XSS e CSRF • Roubo de Identidade • Espionagem industrial
Privacidade nas Redes Sociais? A que custo?
Privacidade • Porquê? • É a vossa informação pessoal • A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação) • Estes terceiros podem manter a vossa informação pelo tempo que quiserem • Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas • Pode originar problemas de segurança • Má imagem, má reputação
82% das crianças têm fotografias online nos EUA, 92% de bebés (0-2 anos) têm fotos online EUA, 92% Nova Zelândia, 91% um terço das crianças Austrália, 84% online têm apenas Canadá, 84% poucas semanas de vida um quarto dos casos, as fotos começam a aparecer antes do nascimento, em ecografia in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
“Hey Sarah”
Facebook e Privacidade • Por defeito, partilha habilitada October 2009 January 2010
Facebook e Privacidade • O que era privado é agora público
Facebook e Aplicações • Aplicações no Facebook que comprometem a privacidade dos utilizadores
Firesheep
Firesheep
Firesheep
O que colocam on-line Pessoal tem consequências a Profissional vários níveis: ...
? ? ?? ? Max Schrems ? ? ? ? ... estudante Austriaco, que processou o Facebook.
Exigiu que o Facebook lhe enviasse toda a informação que tinha sobre ele. Apagou a conta no Facebook. Facebook enviou um CD com informação. Cerca de 2000 páginas com informação pessoal (incluindo mensagens de chat) Delete = Status (deleted) ;-)
http://www.europe-v-facebook.org/
... e tu Google?
! Cookie imortal do Google ! Google regista tudo o que pode ! Google retêm todos os dados indefenidamente ! Google não diz para que necessita dos dados ! Conotações do Google com espionagem? ! Toolbar do Google é spyware ! A cópia de cache do Google é “ilegal” ! Google não é nosso amigo ! O Google é uma bomba relógio em termos de privacidade
! Google Search ! Google Checkout ! Google Images ! Google Docs ! Google Maps ! Google Android ! Google Latitude ! Google Youtube ! Google Earth ! Google Adsense ! Google Chrome ! Google Adwords ! Google Chrome OS ! Google Blogger ! Google Mail ! Google Picasa ! Google Calendars ! ... e mais, muito mais.
O que sabe o Google sobre vocês? Que podem fazer para o impedir?
QUAL É O PRINCIPAL PRODUTO DA
QUAL É O PRINCIPAL PRODUTO DO
VOCÊS!!!!
Conclusões • Ao usarem redes sociais • Sejam discretos • Sejam cépticos • Pensem • Sejam profissionais • Sejam cautelosos • Verifiquem as configurações de privacidade
http://www.reclaimprivacy.org/ This website provides an independent and open tool for scanning your Facebook privacy settings.
Recomendações Facebook • Usem as listas de amigos
Recomendações Facebook • Removam-se dos resultados de pesquisa do Facebook
Recomendações Facebook • Removam-se do Google
Recomendações Facebook • Evitem ser etiquetados/tagged num vídeo ou foto comprometedora
Recomendações Facebook • Protejam os vossos álbuns
Recomendações Facebook • Impeçam as vossas histórias de aparecem na Wall dos seus amigos
Recomendações Facebook • Protejam-se contra histórias publicadas por aplicações na sua Wall
Recomendações Facebook • Tornem a vossa informação de contacto privada
Recomendações Facebook • Evitem posts embaraçosos na vossa Wall
Recomendações Facebook • Mantenham as vossas relações privadas
“Once you post it, You loose it”
Conclusões e Discussão • Verificar quais as principais vulnerabilidades e riscos • Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos) • Browser web: • Usar versões sempre actualizadas (aplica-se igualmente ao SO) • Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking • Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware) • Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas • Em caso de dúvida: hesitar, desconfiar, perguntar
@pontocom carlos.serrao@iscte.pt carlos.j.serrao@iscte.pt http://www.linkedin.com/in/carlosserrao
Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão

Empfohlen

Lightech Valor
Lightech ValorLightech Valor
Lightech Valorfbittar
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Edson Aguilera-Fernandes
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro BennatonLeandro Bennaton
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitAmazon Web Services
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Caderno08
Caderno08Caderno08
Caderno08tecampinasoeste
 
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...http://bvsalud.org/
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 

Empfohlen

Lightech Valor
Lightech ValorLightech Valor
Lightech Valorfbittar
 
Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Tendências de Segurança Cibernética para 2016
Tendências de Segurança Cibernética para 2016Edson Aguilera-Fernandes
 
10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro Bennaton10 minutos de Eleven Paths por Leandro Bennaton
10 minutos de Eleven Paths por Leandro BennatonLeandro Bennaton
 
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitTop five security errors, and how to avoid them - DEM01-S - São Paulo AWS Summit
Top five security errors, and how to avoid them - DEM01-S - São Paulo AWS SummitAmazon Web Services
 
Webinar Segurança de DevOps
Webinar Segurança de DevOpsWebinar Segurança de DevOps
Webinar Segurança de DevOpsTenchi Security
 
Caderno08
Caderno08Caderno08
Caderno08tecampinasoeste
 
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...
Junho na Rede Brasileira de Informação em Ciências da Saúde: Sessão 01 de 04:...http://bvsalud.org/
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazOWASP Brasília
 
Curso segurança na internet
Curso segurança na internetCurso segurança na internet
Curso segurança na internetLuiz Carlos Conceição Silva
 
Segurança da Informação na Internet atual
Segurança da Informação na Internet atualSegurança da Informação na Internet atual
Segurança da Informação na Internet atualcpericao
 
Informação sobre uma internet segura
Informação sobre uma internet seguraInformação sobre uma internet segura
Informação sobre uma internet seguraeddwardfilipe
 
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurançaInternet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurançaW. Gabriel de Oliveira
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Segurança da Internet
Segurança da Internet Segurança da Internet
Segurança da Internet Francisco Pereira
 
Construindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWSConstruindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWSAmazon Web Services LATAM
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Informática aplicada à engenharia i
Informática aplicada à engenharia iInformática aplicada à engenharia i
Informática aplicada à engenharia iDavid Hansen
 
SegurançA Na Internet
SegurançA Na InternetSegurançA Na Internet
SegurançA Na InternetCidadania e Profissionalidade
 
VíRus
VíRusVíRus
VíRusCidadania e Profissionalidade
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Cartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosCartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosClavis Segurança da Informação
 
Internet
InternetInternet
InternetPaulo Santos
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet Joao Carlos
 
Cartilha checklist
Cartilha checklistCartilha checklist
Cartilha checklistGabriel Rebouças
 
Cartilha checklist
Cartilha checklistCartilha checklist
Cartilha checklistGabriel Rebouças
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
 
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Start Link
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 

Weitere ähnliche Inhalte

Ähnlich wie Passwords fracas e más práticas

Segurança da Informação na Internet atual
Segurança da Informação na Internet atualSegurança da Informação na Internet atual
Segurança da Informação na Internet atualcpericao
 
Informação sobre uma internet segura
Informação sobre uma internet seguraInformação sobre uma internet segura
Informação sobre uma internet seguraeddwardfilipe
 
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurançaInternet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurançaW. Gabriel de Oliveira
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3Ademar Freitas
 
Construindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWSConstruindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWSAmazon Web Services LATAM
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos WebSergio Henrique
 
Informática aplicada à engenharia i
Informática aplicada à engenharia iInformática aplicada à engenharia i
Informática aplicada à engenharia iDavid Hansen
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureRubens Guimarães - MTAC MVP
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet Joao Carlos
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQuality Press
 
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Start Link
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 

Ähnlich wie Passwords fracas e más práticas (20)

Curso segurança na internet
Curso segurança na internetCurso segurança na internet
Curso segurança na internet
 
Segurança da Informação na Internet atual
Segurança da Informação na Internet atualSegurança da Informação na Internet atual
Segurança da Informação na Internet atual
 
Informação sobre uma internet segura
Informação sobre uma internet seguraInformação sobre uma internet segura
Informação sobre uma internet segura
 
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurançaInternet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
Internet e Segurança - Direito e Tecnologia da Informação - Dicas de segurança
 
Cloud computing-curso-dia3
Cloud computing-curso-dia3Cloud computing-curso-dia3
Cloud computing-curso-dia3
 
Segurança da Internet
Segurança da Internet Segurança da Internet
Segurança da Internet
 
Construindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWSConstruindo um ambiente resiliente para Ransomware com AWS
Construindo um ambiente resiliente para Ransomware com AWS
 
Segurança em Aplicativos Web
Segurança em Aplicativos WebSegurança em Aplicativos Web
Segurança em Aplicativos Web
 
Informática aplicada à engenharia i
Informática aplicada à engenharia iInformática aplicada à engenharia i
Informática aplicada à engenharia i
 
SegurançA Na Internet
SegurançA Na InternetSegurançA Na Internet
SegurançA Na Internet
 
VíRus
VíRusVíRus
VíRus
 
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no AzureGlobal Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
Global Azure Bootcamp - Recursos de Segurança para Aplicações no Azure
 
Cartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicosCartilha de segurança para usuários não-técnicos
Cartilha de segurança para usuários não-técnicos
 
Internet
InternetInternet
Internet
 
Segurança na internet
Segurança na internet Segurança na internet
Segurança na internet
 
Cartilha checklist
Cartilha checklistCartilha checklist
Cartilha checklist
 
Cartilha checklist
Cartilha checklistCartilha checklist
Cartilha checklist
 
Qualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHPQualitypress - Segurança em Aplicações Web com PHP
Qualitypress - Segurança em Aplicações Web com PHP
 
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
Apresentação do Kaspersky Antivirus 2013 e Kaspersky Internet Security 2013
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 

Mehr von Carlos Serrao

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Carlos Serrao
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...Carlos Serrao
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Carlos Serrao
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebCarlos Serrao
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?Carlos Serrao
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011Carlos Serrao
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalCarlos Serrao
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisCarlos Serrao
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.Carlos Serrao
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesCarlos Serrao
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010Carlos Serrao
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)Carlos Serrao
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPCarlos Serrao
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalCarlos Serrao
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010Carlos Serrao
 

Mehr von Carlos Serrao (20)

Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
Prevenir o "ransomware" - Guia da OWASP para prevenção do "ransomware"
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
OWASP Mobile Top 10
OWASP Mobile Top 10OWASP Mobile Top 10
OWASP Mobile Top 10
 
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
Vamos tirar uma selfie? [... como a privacidade morreu e ninguém nos avisou]
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
 
To DRM or not to DRM?
To DRM or not to DRM?To DRM or not to DRM?
To DRM or not to DRM?
 
OWASP presentation on FISTA2011
OWASP presentation on FISTA2011OWASP presentation on FISTA2011
OWASP presentation on FISTA2011
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Segurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes SociaisSegurança e Privacidade em Redes Sociais
Segurança e Privacidade em Redes Sociais
 
OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.OWASP, PT.OWASP, IBWAS'10 & Cia.
OWASP, PT.OWASP, IBWAS'10 & Cia.
 
Is the Web at Risk?
Is the Web at Risk?Is the Web at Risk?
Is the Web at Risk?
 
Owasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidadesOwasp@iscte iul ferramentas-analise_vulnerabilidades
Owasp@iscte iul ferramentas-analise_vulnerabilidades
 
OWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHPOWASP@ ISCTE-IUL, Segurança em PHP
OWASP@ ISCTE-IUL, Segurança em PHP
 
OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010OWASP @ ISCTE-IUL, OWASP Top 10 2010
OWASP @ ISCTE-IUL, OWASP Top 10 2010
 
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
OWASP @ ISCTE-IUL - OWASP Top 10 (v2010)
 
OWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHPOWASP @ ISCTE-IUL, Criptografia em PHP
OWASP @ ISCTE-IUL, Criptografia em PHP
 
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP PortugalOWASP @ ISCTE-IUL, OWASP e OWASP Portugal
OWASP @ ISCTE-IUL, OWASP e OWASP Portugal
 
aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010aula de PED - Academia ISCTE-IUL 2010
aula de PED - Academia ISCTE-IUL 2010
 

Passwords fracas e más práticas

  • 1. Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão
  • 3. QUAL A DIFERENÇA ENTRE UMA GARRAFA DE ÁGUA E UM COMPUTADOR?
  • 4. SECURITY IS A PROCESS NOT A PRODUCT Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  • 5. IS A SECURITY PROCESS HOLÍSTICO AL L CO CI TA GI SO EN LÓ BI NO AM EC T CONTINUO Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  • 6. IS A SECURITY PROCESS Bruce Schneier, 2000 http://www.schneier.com/crypto-gram-0005.html#1
  • 7. Resumo •Segurança • Física • Passwords • Phishing • Virus, Worms, etc. • Engenharia Social • Confidencialidade, Privacidade e Autenticação • Redes Sociais
  • 9. Segurança Física • Localização • Acesso a instalações e a salas • Acesso a computadores/servidores • Acesso a informação confidencial • Classificação de informação e políticas de acesso • Dispositivos de Armazenamento • CDs, DVDs • Pen USB • Discos externos • Telemóveis, Smartphones e Tablets?!?
  • 11. Segurança Física •Armazenar informação em Segurança • TrueCrypt, FileVault, BitLocker, etc. • em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc. •Definir uma política pessoal de gestão de informação e de classificação da mesma
  • 12. Segurança Física •Backups •backups, backups e mais backups •regularidade •localização dos backups •segurança dos mesmos
  • 13. DISCO EXTERNO UM COMPUTADOR TABLET PEN DRIVE SMARTPHONE ... PERDIDO OU ROUBADO PERDA FINANCEIRA QUEBRA PRIVACIDADE
  • 15. VIRUS, MALWARE E OUTROS “BICHOS” ESQUISITOS
  • 16. Virus, Worms, $ %#3& estranhas •Virus •Worms •Trojans •Keyloggers
  • 17. Virus, Worms, $ %#3& estranhas •Proteger o computador (em especial com o Windows ;-)) • Firewalls • Anti-virus • Anti-spyware
  • 18. Virus, Worms, $ %#3& estranhas • Limitar o uso da conta de administrador • Programas maliciosos aproveitam-se das permissões disponíveis • Injecção e execução de código facilitada • Instalar keylogger • Executar serviços • Desactivar boot do sistema • Desactivar anti-vírus • Executar tarefas comuns com privilégios limitados
  • 19. Virus, Worms, $ %#3& estranhas •E-mail • Emissores • Anexos • Links • Solicitações “esquisitas”
  • 20. Virus, Worms, $ %#3& estranhas •Instant Messaging • As ferramentas de IM são uma das formas de distribuição e propagação de vírus • IRC, MSN Messenger, etc. • São igualmente uma forma muito comum para a distribuição de malware e vírus
  • 21. Virus, Worms, $ %#3& estranhas •Redes Sociais • Twitter, Facebook, ... • URL shortners •Distribuição de malware e de virus •Compromisso dos computadores - Zombies/Botnets
  • 22. BOTNET MARIPOSA 13M COMPUTADORES, 190 PAÍSES STUXNET VIRUS/WORM ATACAR CENTRAIS NUCLEARES
  • 24. Phishing • Uma forma de enganar os utilizadores através de sites e mensagens enganosas • Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores • credenciais de acesso • outras informações
  • 31.
  • 32.
  • 33. D E A U F R
  • 34. http://www.bancoxpto.pt ou http://www.banc0xpt0.pt http https
  • 35. http https
  • 36. http https
  • 37. Phishing • Conselhos • browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais) • testar HTTPS • ver se cadeado está activo • sem warnings de segurança • ver detalhes do certificado • testar form de login • tentar introdução de credenciais erradas e ver comportamento da aplicação • nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)
  • 39. Passwords •Passwords são como as CUECAS, porque: • não as devemos deixar à vista para que outros as possam ver • devemos mudá-las com regularidade • não as devemos emprestar (principalmente a estranhos)
  • 40. Passwords •Política de gestão de passwords • Escolha de boas passwords • Alteração das passwords • Passwords devem ser "secretas"
  • 41. was equal to or below six characters. Password Length Distribution 13 12 1.32% 2.11% 5 4.07% Passwords 11 3.57% 6 10 26.04% 9.06% 9 12.11% • A verdade sobre as passwords Consumer Password Worst Practices 7 8 19.29% 19.98% Analysis • Estudo realizado pela Imperva NASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards different types of characters – upper case 2. Recommendation: It should contain a mix of four to help benchmark consumers’ password selection: letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or sp should not be either the first or last character in the password. 1. Recommendation: It should contain at least eight characters. • http://www.imperva.com/docs/ The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com chose their passwords from within a limite The ADC analysis showed that almost 60% of users WP_Consumer_Password_Worst_Practices.pdf current minimal password length requirement is five). A staggering 40% of users chose passwords whose length was equal to or below six characters. About 30% the users use only lowercase characters for their passwords and about another Less than 4% of the users use special characters. Password Length Distribution Password Length Distribution 13 12 1.32% 3.81% 1.62% 2.11% 5 4.07% 11 3.57% 6 10 26.04% 9.06% 36.94% 41.69% 9 12.11% 7 8 19.29% 19.98% 15.94% 2. Recommendation: It should contain a mix of four differentIn fact,of characters – upper passwords against two of NASA's recommendations only 0.2% of R types after evaluating the case letters, lower case
  • 42. Consumer Password Worst Practices Passwords 3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address. • A verdade most popular passwords, that are used by a share of 20% of the users, were just that – Almost all of the 5000 sobre as passwords names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The • Estudo realizado pela Imperva following table depicts the top 20 common passwords in the database list: Password Popularity – Top 20 Rank Password Number of Users with Rank Password Number of Users with Password (absolute) Password (absolute) 1 123456 290731 11 Nicole 17168 2 12345 79078 12 Daniel 16409 3 123456789 76790 13 babygirl 16094 4 Password 61958 14 monkey 15294 5 iloveyou 51622 15 Jessica 15162 6 princess 35231 16 Lovely 14950 7 rockyou 22588 17 michael 14898 8 1234567 21726 18 Ashley 14329 9 12345678 20553 19 654321 13984 10 abc123 17542 20 Qwerty 13856
  • 43. Passwords • Boa password Mínimo(8( caracteres,(com( maíusculas(e( minúsculas,( números(e(outros( caracteres( Única(e(não(reC u<lizada(em( Aleatória( outros(sistemas( Sistema(deve( estar(livre(de( Password( Nunca(estar( apontada/escrita( virus(e(de( em(nenhum(sí<o( spyware( Alterada(de( Desconhecida(de( tempo(a(tempo( terceiros(
  • 44.
  • 45. Passwords •Software de Gestão de Passwords • Keepass • 1Password • LastPass • ...
  • 47. POIS... ... E POR CÁ?
  • 48. E MAIS... ROUTERS WI-FI DA... THOMPSON, D-LINK, SPEEDTOUCH SSID KEY/PASSWORD
  • 50. Engenharia Social • Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação • Cuidado com a informação revelada a terceiros • telefonemas • emails • correio tradicional • redes sociais • IM • conversas directas
  • 51. Engenharia Social •A engenharia social é aplicada da seguinte forma: • Recolha de informações • Desenvolvimento do relacionamento • Exploração do relacionamento • Execução do ataque.
  • 52. VOCÊ... ... É O ELO MAIS FRACO!!!! (ADEUS?!?)
  • 53. CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO
  • 54. Confidencialidade e Privacidade •Porque a Internet é uma rede pública e aberta •Correio electrónico • não é a mesma coisa que correio tradicional • documentos e informação confidencial •Criptografia • transformar informação em claro em informação perceptível apenas para os elementos em comunicação
  • 55. Autenticação •o endereço de correio electrónico pode ser forjado •a identidade dos utilizadores pode ser roubada/hijacked •como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança
  • 56. Confidencialidade, Privacidade e Autenticação • Criptografia de Chave Pública • Certificados Digitais • Usar no correio electrónico • nome.apelido@company.com • associado ao uso de um certificado digital • podemos usar certificados digitais gratuítos • Comodo, CA • ou usar a nossa própria autoridade de certificação • permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente
  • 58. Evolução da Web Social 2000 2004 2007 1990s 1999 2003 2006 2002 2005 2008
  • 59. • Youtube • LinkedIn • Vimeo • Plaxo • Blogger • Wordpress • Feedburner • Deli.cio.us • Flickr • Twitter • Wikipedia
  • 60. • Lançado em Fevereiro de 2004 • Mark Zuckerberg • + de 800M utilizadores activos • seria o 3º maior país do Mundo
  • 61. Principais riscos de segurança • Spam, Spam e mais Spam • Malware instalado por terceiros • Spyware • Worms • Falhas de XSS • Falhas no Flash • Phishing • Reputação/Imagem • Informação Pessoal • Esquemas e Vigarices
  • 62. 7 principais tipos de ataque • “Impersonation” e ataques pessoais direccionados • Infecções com spam e bots • Ataques com base em aplicações sociais • Interligação/Confusão entre a presença pessoal e profissional online • Ataques de XSS e CSRF • Roubo de Identidade • Espionagem industrial
  • 64. Privacidade • Porquê? • É a vossa informação pessoal • A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação) • Estes terceiros podem manter a vossa informação pelo tempo que quiserem • Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas • Pode originar problemas de segurança • Má imagem, má reputação
  • 65. 82% das crianças têm fotografias online nos EUA, 92% de bebés (0-2 anos) têm fotos online EUA, 92% Nova Zelândia, 91% um terço das crianças Austrália, 84% online têm apenas Canadá, 84% poucas semanas de vida um quarto dos casos, as fotos começam a aparecer antes do nascimento, em ecografia in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
  • 67.
  • 68. Facebook e Privacidade • Por defeito, partilha habilitada October 2009 January 2010
  • 69. Facebook e Privacidade • O que era privado é agora público
  • 70.
  • 71.
  • 72. Facebook e Aplicações • Aplicações no Facebook que comprometem a privacidade dos utilizadores
  • 76.
  • 77.
  • 78. O que colocam on-line Pessoal tem consequências a Profissional vários níveis: ...
  • 79. ? ? ?? ? Max Schrems ? ? ? ? ... estudante Austriaco, que processou o Facebook.
  • 80. Exigiu que o Facebook lhe enviasse toda a informação que tinha sobre ele. Apagou a conta no Facebook. Facebook enviou um CD com informação. Cerca de 2000 páginas com informação pessoal (incluindo mensagens de chat) Delete = Status (deleted) ;-)
  • 82. ... e tu Google?
  • 83. ! Cookie imortal do Google ! Google regista tudo o que pode ! Google retêm todos os dados indefenidamente ! Google não diz para que necessita dos dados ! Conotações do Google com espionagem? ! Toolbar do Google é spyware ! A cópia de cache do Google é “ilegal” ! Google não é nosso amigo ! O Google é uma bomba relógio em termos de privacidade
  • 84. ! Google Search ! Google Checkout ! Google Images ! Google Docs ! Google Maps ! Google Android ! Google Latitude ! Google Youtube ! Google Earth ! Google Adsense ! Google Chrome ! Google Adwords ! Google Chrome OS ! Google Blogger ! Google Mail ! Google Picasa ! Google Calendars ! ... e mais, muito mais.
  • 85. O que sabe o Google sobre vocês? Que podem fazer para o impedir?
  • 86.
  • 87.
  • 88. QUAL É O PRINCIPAL PRODUTO DA
  • 89. QUAL É O PRINCIPAL PRODUTO DO
  • 91. Conclusões • Ao usarem redes sociais • Sejam discretos • Sejam cépticos • Pensem • Sejam profissionais • Sejam cautelosos • Verifiquem as configurações de privacidade
  • 92. http://www.reclaimprivacy.org/ This website provides an independent and open tool for scanning your Facebook privacy settings.
  • 93. Recomendações Facebook • Usem as listas de amigos
  • 94. Recomendações Facebook • Removam-se dos resultados de pesquisa do Facebook
  • 95. Recomendações Facebook • Removam-se do Google
  • 96. Recomendações Facebook • Evitem ser etiquetados/tagged num vídeo ou foto comprometedora
  • 97. Recomendações Facebook • Protejam os vossos álbuns
  • 98. Recomendações Facebook • Impeçam as vossas histórias de aparecem na Wall dos seus amigos
  • 99. Recomendações Facebook • Protejam-se contra histórias publicadas por aplicações na sua Wall
  • 100. Recomendações Facebook • Tornem a vossa informação de contacto privada
  • 101. Recomendações Facebook • Evitem posts embaraçosos na vossa Wall
  • 102. Recomendações Facebook • Mantenham as vossas relações privadas
  • 103. “Once you post it, You loose it”
  • 104. Conclusões e Discussão • Verificar quais as principais vulnerabilidades e riscos • Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos) • Browser web: • Usar versões sempre actualizadas (aplica-se igualmente ao SO) • Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking • Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware) • Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas • Em caso de dúvida: hesitar, desconfiar, perguntar
  • 106. Princípios básicos de segurança on-line Siemens SA 2012.05.11 Carlos Serrão