Segurança da Informação

 RC Brasil
 http://www.rcbrasil.com.br
 Rodrigo Ap. F. Tomazini
 rodrigo@rcbrasil.com.br
Segurança da Informação
Segurança da Informação
 Segurança da Informação

 Conjunto de políticas e ações para proteger as

informações (dados) de empresas e pessoas
 Atributos básicos da Segurança da Informação:
 Confidencialidade
 Integridade
 Disponibilidade
 Segurança da Informação

 Mecanismos
 Controles físicos
portas, trancas, blindagens, etc.
 Controles lógicos
criptografia, assinatura digital, controle de acesso,
etc.
 Ameaças
Vírus

Worms Spyware/Keyloggers Cavalo de tróia/Trojans

 Ameaças
http://www.rnp.br/cais/alertas/

Sistemas Desatualizados
 Ameaças

 Falha na validação de usuários

 Problema com formulários de postagem de
arquivos
 Outros bugs no sistema de administração do
site
 Técnicas

 Phishing
 Engenharia social
 O ”hacker pesca o
usuário”
 Enviado por email
através de spam
 Técnicas

 Sniffer
 Técnicas

 DoS
e
 DDoS
 Técnicas

 Spam
 não recebimento de
e-mails, desperdício
de tempo/perda de
produtividade,
aumento de risco com
prejuízos financeiros
 phising, worm,
spyware, conteúdo
ofensivo/impróprio,
propagandas
 Prevenção

 Antivírus (pessoal ou corporativo)

 Atualização de definição de vírus a cada hora

Servidor de
Antivírus Corporativo

Internet
 Prevenção

 Atualização de S.O.
 Atualização de bugs no S.O. diariamente
Ubuntu 8.04 Windows XP Servidor WSUS

Internet

Windows Mirror de
Windows Vista Windows XP Atualizações Linux
Vista
 Prevenção

 Criptografia
SELECT * FROM user WHERE user = 'adm' senha = '1234'

Conexão sem criptografia

Acesso ao Sistema
Dados lidos Servidor Banco
com sucesso! de Dados

Sniffer
52f4aa066a2542f3921fa25210958e81

Conexão sem criptografia

Acesso ao Sistema O que é Servidor Banco
isso?????? de Dados

Sniffer
 Prevenção

 Política de senhas
 Não usar dados pessoais (endereço, nome,
sobrenome, nº documentos, placas de carros, etc)
 Definir senhas com pelo menos 8 caracteres,
utilizando números, letras (maiúsculas e
minúsculas) e símbolos
 Não utilizar a mesma senha em mais de uma
identificação
 Exemplo de senha:
O brasil está crescendo em 2009!
0brEC@9!
 Prevenção

 Política de senhas
 Anote e guarde as senhas em locais seguros caso
tenha dificuldade para memorizá-las.
 Troque as senhas a cada três ou quatro meses
 Nunca divulgue sua senha
 Crie senhas específicas para acesso a sites e lojas,
nunca utilize as mesmas senhas do email ou
bancárias
 Prevenção

 Firewall (estações)
 Mantenha sempre ligado o firewall nas estações de
trabalho
 Remova todos os compartilhamentos e serviços
das estações de trabalho
 Utilize servidores para compartilhar pastas e
impressoras
 Prevenção

 Firewall (rede)
 Aumente a proteção da rede
 Aumente a segurança para os usuários (controles
de acesso minimizam os riscos com engenharia
social)

Internet

”Hacker” acessando estação diretamente

 Prevenção

Internet

Firewall bloqueia acesso direto à estação

”Hacker” precisa que a estação inicie a conexão

Internet

Controle de Acesso Impede que o usuário

caia na armadinha preparada pelo ”Hacker”
 Prevenção

 Sistema de Deteção de Intrusos

 Notifica o administrador toda vez que um incidente
acontece
 Os incidentes podem ser vários como:
 Uso indevido
 Acesso não autorizado
 Ataques diversos (força bruta, DDoS, exploração
de vulnerabilidades) e outros
 Esta ferramenta não aumenta a segurança da rede,
mas fornece ao administrador parâmetros para
poder ajustar mais as políticas de segurança
 Prevenção

 Nenhum dos métodos citados aqui funciona

separadamente
 É necessário que seja definida uma política de
utilização da rede e Internet
 Conscientize o usuário sobre os riscos que ele
corre utilizando a Internet
 Sugestão: Cartilha de Segurança para a
Internet - http://cartilha.cert.br - Ótima
ferramente com dicas e prevenções
 Boas Práticas

 Navegação
 Mantenha atualizado seu navegador
 Desative o uso de programas Java
 Desative o uso de JavaScript
 Permita ActiveX apenas de sites confiáveis
 Permita pop-ups apenas quando necessário
 Realize transações via Web somente em sites
confiáveis
 Acesse sites de bancos digitando o endereço
(nunca acesse por links)
 Boas Práticas

 Emails
 Mantenha atualizado seu cliente de email
 Não clique em links no conteúdo do email
 Desative as opções para executar
automaticamente programas ou arquivos anexados
 Verifique sempre com antivírus os arquivos
anexados
 Nunca confie em emails enviados por amigos (com
links ou arquivos anexados), o email do remetente
pode ser forjado
 Desativar o uso de Java e JavaScript
 Material de Apoio

 www.nic.br
 www.cgi.br
 www.antispam.br
 www.cert.br
 www.rnp.br
Obrigado

FIM