Transcript of Palestra - Confraria 0day 2015 - Domínios *.gov.br, a cruel realidade
- 1. @ThiagoDieb Domnios *.gov.br, a cruel realidade. Confraria
0day 29/01/2015
- 2. @ThiagoDieb Quem sou ? Thiago Dieb Entusiasta e curioso em
SI 12 anos de experincia Gerente de Desenvolvimento Consultor e
professor
- 3. @ThiagoDieb Motivao
- 4. @ThiagoDieb Principais falhas
- 5. @ThiagoDieb Injection SQL Injection uma das primeiras falhas
a serem analisadas durante um rastreamento de vulnerabilidade.
- 6. @ThiagoDieb Injection
- 7. @ThiagoDieb Injection
- 8. @ThiagoDieb Local file download Vulnerabilidade com nvel
intermedirio. Normalmente utilizada para baixar arquivos com
configuraes do sistema e dados de conexo com banco de dados.
- 9. @ThiagoDieb Local file download
- 10. @ThiagoDieb File upload Menina dos Olhos de Ouro,
vulnerabilidade bastante buscada por possibilitar diversas aes
secundrias.
- 11. @ThiagoDieb File Upload
- 12. @ThiagoDieb File Upload
- 13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito
grande. Especulaes dizem que a falha foi explorada no mnimo 2 anos
antes de ser divulgada.
- 14. @ThiagoDieb Heartbleed Outros exemplos:
http://dataprev.gov.br http://www.cbm.df.gov.br
http://www.catolicavirtual.br
- 15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas,
outra vulnerabilidade de altssimo nvel. Bug no Bash atingiu um boa
parte dos servidores com os sistemas operacionais em Linux e
Mac/OS.
- 16. @ThiagoDieb A realidade
- 17. @ThiagoDieb Possveis Causas Servidores sem experincia
(Devel/Infra) Alta imaturidade, principalmente na fase de teste
Equipe terceirizada descompromissada com a qualidade do produto
Grande quantidade de sistemas legados, inclusive com baixo nvel de
segurana. Falta de patrocnio da alta administrao sobre o tema de
segurana da informao
- 18. @ThiagoDieb Departamento de Segurana da Informao e
Comunicaes - GSI - PR Fiscalizao de tecnologia da informao - TCU
Governo eletrnico - SISP Lei 12.737/212 (Lei Carolina Dieckman)
Decreto 8.135/2013 (Segurana de dados) Em contrapartida
- 19. @ThiagoDieb Sugestes de melhoria Capacitao tcnica dos
servidores (desenvolvimento seguro / teste de intruso) Cargos
especficos para rea de segurana da informao na AP. Maior divulgao e
cobrana sobre segurana da informao na AP. Poltica de anlise de
impacto e risco dos sistemas legados da AP.
- 20. @ThiagoDieb Sugestes de melhoria Maior divulgao dos comits
do DSIC Entidade de avaliao e monitoramento da qualidade dos sites
e sistemas da AP. Criao do selo de qualificao para os sites e
sistemas da AP.
- 21. @ThiagoDieb gov.br
- 22. @ThiagoDieb
- 23. @ThiagoDieb Obrigado @ThiagoDieb - thiago@dieb.com.br