Principios básicos de segurança on-line
-
Upload
carlos-serrao -
Category
Technology
-
view
1.442 -
download
1
Transcript of Principios básicos de segurança on-line
Princípios básicos de segurança on-line Siemens SA
2012.05.11 Carlos Serrão
@pontocom
[email protected]@iscte.pthttp://www.linkedin.com/in/carlosserrao
QUAL A DIFERENÇA ENTRE
UMA GARRAFA DE ÁGUA E
UM COMPUTADOR?
SECURITYIS A
PROCESSNOT A
PRODUCT
Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1
SECURITY IS APROCESS
Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1
HOLÍSTICO
CONTINUO
SOCIAL
AMBIENTAL
TECNOLÓGICO
SECURITY IS APROCESS
Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1
Resumo
•Segurança
• Física
• Passwords
• Phishing
• Virus, Worms, etc.
• Engenharia Social
• Confidencialidade, Privacidade e Autenticação
• Redes Sociais
SEGURANÇA FÍSICA
Segurança Física
• Localização
• Acesso a instalações e a salas
• Acesso a computadores/servidores
• Acesso a informação confidencial
• Classificação de informação e políticas de acesso
• Dispositivos de Armazenamento
• CDs, DVDs
• Pen USB
• Discos externos
• Telemóveis, Smartphones e Tablets?!?
“SHOULDER SURFING”
ESTÁ PROTEGIDO
CONTRA???
Segurança Física
•Armazenar informação em Segurança
• TrueCrypt, FileVault, BitLocker, etc.
• em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc.
•Definir uma política pessoal de gestão de informação e de classificação da mesma
Segurança Física
•Backups
•backups, backups e mais backups
•regularidade
•localização dos backups
•segurança dos mesmos
UM COMPUTADORPEN DRIVE
DISCO EXTERNO
SMARTPHONE
TABLET
...
PERDIDO OU ROUBADO
PERDA FINANCEIRAQUEBRA PRIVACIDADE
HIDDEN
VIRUS, MALWARE E OUTROS “BICHOS”
ESQUISITOS
Virus, Worms, $%#3& estranhas
•Virus
•Worms
•Trojans
•Keyloggers
Virus, Worms, $%#3& estranhas
•Proteger o computador (em especial com o Windows ;-))
• Firewalls
• Anti-virus
• Anti-spyware
Virus, Worms, $%#3& estranhas
•Limitar o uso da conta de administrador
• Programas maliciosos aproveitam-se das permissões disponíveis
• Injecção e execução de código facilitada
• Instalar keylogger
• Executar serviços
• Desactivar boot do sistema
• Desactivar anti-vírus
• Executar tarefas comuns com privilégios limitados
Virus, Worms, $%#3& estranhas
• Emissores
• Anexos
• Links
• Solicitações “esquisitas”
Virus, Worms, $%#3& estranhas
•Instant Messaging
• As ferramentas de IM são uma das formas de distribuição e propagação de vírus
• IRC, MSN Messenger, etc.
• São igualmente uma forma muito comum para a distribuição de malware e vírus
Virus, Worms, $%#3& estranhas
•Redes Sociais
• Twitter, Facebook, ...
• URL shortners
•Distribuição de malware e de virus
•Compromisso dos computadores - Zombies/Botnets
BOTNET MARIPOSA13M COMPUTADORES, 190 PAÍSES
STUXNET VIRUS/WORMATACAR CENTRAIS NUCLEARES
PHISHING
Phishing
• Uma forma de enganar os utilizadores através de sites e mensagens enganosas
• Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores
• credenciais de acesso
• outras informações
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
Phishing quiz
FRAUDE
http://www.bancoxpto.pthttp://www.banc0xpt0.pt ou
http https
http https
http https
Phishing
• Conselhos
• browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais)
• testar HTTPS
• ver se cadeado está activo
• sem warnings de segurança
• ver detalhes do certificado
• testar form de login
• tentar introdução de credenciais erradas e ver comportamento da aplicação
• nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)
PASSWORDS
Passwords
•Passwords são como as CUECAS, porque:
• não as devemos deixar à vista para que outros as possam ver
• devemos mudá-las com regularidade
• não as devemos emprestar (principalmente a estranhos)
Passwords
•Política de gestão de passwords
• Escolha de boas passwords
• Alteração das passwords
• Passwords devem ser "secretas"
Passwords
• A verdade sobre as passwords
• Estudo realizado pela Imperva
• http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf
3< >Imperva White Paper
Consumer Password Worst Practices
AnalysisNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards to help benchmark consumers’ password selection:
1. Recommendation: It should contain at least eight characters.
The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com current minimal password length requirement is !ve). A staggering 30% of users chose passwords whose length was equal to or below six characters.
Password Length Distribution
54.07%
626.04%
719.29%8
19.98%
912.11%
109.06%
113.57%
122.11%
131.32%
2. Recommendation: It should contain a mix of four di!erent types of characters – upper case letters, lower case letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or special character, it should not be either the "rst or last character in the password.
The ADC analysis showed that almost 60% of users chose their passwords from within a limited set of characters. About 40% of the users use only lowercase characters for their passwords and about another 16% use only digits. Less than 4% of the users use special characters.
Password Length Distribution
41.69%
15.94%
36.94%
3.81% 1.62%
In fact, after evaluating the passwords against two of NASA's recommendations only 0.2% of Rockyou.com users have a password that could be considered as strong password:
» Eight characters or longer
» Contain a mixture of special characters, numbers and both lower and upper case letters.
������������������������� ����������������������������������������
3< >Imperva White Paper
Consumer Password Worst Practices
AnalysisNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards to help benchmark consumers’ password selection:
1. Recommendation: It should contain at least eight characters.
The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com current minimal password length requirement is !ve). A staggering 30% of users chose passwords whose length was equal to or below six characters.
Password Length Distribution
54.07%
626.04%
719.29%8
19.98%
912.11%
109.06%
113.57%
122.11%
131.32%
2. Recommendation: It should contain a mix of four di!erent types of characters – upper case letters, lower case letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or special character, it should not be either the "rst or last character in the password.
The ADC analysis showed that almost 60% of users chose their passwords from within a limited set of characters. About 40% of the users use only lowercase characters for their passwords and about another 16% use only digits. Less than 4% of the users use special characters.
Password Length Distribution
41.69%
15.94%
36.94%
3.81% 1.62%
In fact, after evaluating the passwords against two of NASA's recommendations only 0.2% of Rockyou.com users have a password that could be considered as strong password:
» Eight characters or longer
» Contain a mixture of special characters, numbers and both lower and upper case letters.
������������������������� ����������������������������������������
Passwords
• A verdade sobre as passwords
• Estudo realizado pela Imperva
4< >Imperva White Paper
Consumer Password Worst Practices
3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address.
Almost all of the 5000 most popular passwords, that are used by a share of 20% of the users, were just that – names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The following table depicts the top 20 common passwords in the database list:
Password Popularity – Top 20
Rank Password Number of Users with Password (absolute)
1 123456 290731
2 12345 79078
3 123456789 76790
4 Password 61958
5 iloveyou 51622
6 princess 35231
7 rockyou 22588
8 1234567 21726
9 12345678 20553
10 abc123 17542
Rank Password Number of Users with Password (absolute)
11 Nicole 17168
12 Daniel 16409
13 babygirl 16094
14 monkey 15294
15 Jessica 15162
16 Lovely 14950
17 michael 14898
18 Ashley 14329
19 654321 13984
20 Qwerty 13856
If a hacker would have used the list of the top 5000 passwords as a dictionary for brute force attack on Rockyou.com users, it would take only one attempt (per account) to guess 0.9% of the users passwords or a rate of one success per 111 attempts. Assuming an attacker with a DSL connection of 55KBPS upload rate and that each attempt is 0.5KB in size, it means that the attacker can have 110 attempts per second. At this rate, a hacker will gain access to one new account every second or just less than 17 minutes to compromise 1000 accounts. And the problem is exponential. After the !rst wave of attacks, it would only take 116 attempts per account to compromise 5% of the accounts, 683 attempts to compromise 10% of accounts and about 5000 attempts to compromise 20% of accounts. The following diagram depicts the expected e"ectiveness of attacks using a small, carefully chosen, attack dictionary:
Accumulated Percent of Dictionary Attack Success
0
5%
10%
15%
20%
135
971
710
7514
3317
9121
4925
0728
6532
2335
8139
3942
9746
55
Number of password tries
Passwords
• Boa password
Password(
Mínimo(8(caracteres,(com(maíusculas(e(minúsculas,(
números(e(outros(caracteres(
Aleatória(
Nunca(estar(apontada/escrita(em(nenhum(sí<o(
Desconhecida(de(terceiros(
Alterada(de(tempo(a(tempo(
Sistema(deve(estar(livre(de(virus(e(de(spyware(
Única(e(não(reCu<lizada(em(
outros(sistemas(
Passwords
•Software de Gestão de Passwords
• Keepass
• 1Password
• LastPass
• ...
SEGURANÇA DE REDES
WI-FI
POIS...... E POR CÁ?
E MAIS...
ROUTERS WI-FI DA...THOMPSON, D-LINK, SPEEDTOUCH
SSID
KEY/PASSWORD
ENGENHARIA SOCIAL
Engenharia Social
• Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação
• Cuidado com a informação revelada a terceiros
• telefonemas
• emails
• correio tradicional
• redes sociais
• IM
• conversas directas
Engenharia Social
•A engenharia social é aplicada da seguinte forma:
•Recolha de informações
•Desenvolvimento do relacionamento
•Exploração do relacionamento
•Execução do ataque.
VOCÊ...
... É O ELO MAIS FRACO!!!!(ADEUS?!?)
CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO
Confidencialidade e Privacidade
•Porque a Internet é uma rede pública e aberta
•Correio electrónico
• não é a mesma coisa que correio tradicional
• documentos e informação confidencial
•Criptografia
• transformar informação em claro em informação perceptível apenas para os elementos em comunicação
Autenticação
•o endereço de correio electrónico pode ser forjado
•a identidade dos utilizadores pode ser roubada/hijacked
•como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança
Confidencialidade, Privacidade e Autenticação
• Criptografia de Chave Pública
• Certificados Digitais
• Usar no correio electrónico
• associado ao uso de um certificado digital
• podemos usar certificados digitais gratuítos
• Comodo, CA
• ou usar a nossa própria autoridade de certificação
• permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente
REDES SOCIAIS
1990s 1999 2000 2002 2003 2004
2005 2006 2007 2008
Evolução da Web Social
• Youtube
• Vimeo
• Plaxo
• Blogger
• Wordpress
• Feedburner
• Deli.cio.us
• Flickr
• Wikipedia
• Lançado em Fevereiro de 2004
• Mark Zuckerberg
• + de 800M utilizadores activos
• seria o 3º maior país do Mundo
Principais riscos de segurança
• Spam, Spam e mais Spam
• Malware instalado por terceiros
• Spyware
• Worms
• Falhas de XSS
• Falhas no Flash
• Phishing
• Reputação/Imagem
• Informação Pessoal
• Esquemas e Vigarices
7 principais tipos de ataque
• “Impersonation” e ataques pessoais direccionados
• Infecções com spam e bots
• Ataques com base em aplicações sociais
• Interligação/Confusão entre a presença pessoal e profissional online
• Ataques de XSS e CSRF
• Roubo de Identidade
• Espionagem industrial
Privacidade nas Redes Sociais?
A que custo?
Privacidade
• Porquê?
• É a vossa informação pessoal
• A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação)
• Estes terceiros podem manter a vossa informação pelo tempo que quiserem
• Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas
• Pode originar problemas de segurança
• Má imagem, má reputação
82% das crianças têm fotografias online
nos EUA, 92% de bebés (0-2 anos) têm fotos online
in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html
EUA, 92%Nova Zelândia, 91%
Austrália, 84%Canadá, 84%
um terço das crianças online têm apenas
poucas semanas de vidaum quarto dos casos, as
fotos começam a aparecer antes do nascimento, em
ecografia
“Hey Sarah”
October 2009 January 2010
Facebook e Privacidade
• Por defeito, partilha habilitada
Facebook e Privacidade
• O que era privado é agora público
Facebook e Aplicações
• Aplicações no Facebook que comprometem a privacidade dos utilizadores
Firesheep
Firesheep
Firesheep
O que colocam on-line tem consequências a vários níveis:
PessoalProfissional...
Max Schrems... estudante Austriaco, que processou o Facebook.
?????????
Exigiu que o Facebook lhe enviasse toda a informação que tinha sobre ele.
Facebook enviou um CD com informação.
Apagou a conta no Facebook.
Cerca de 2000 páginas com informação pessoal (incluindo mensagens de chat)
Delete = Status (deleted) ;-)
http://www.europe-v-facebook.org/
... e tu Google?
! Cookie imortal do Google! Google regista tudo o que
pode! Google retêm todos os
dados indefenidamente! Google não diz para que
necessita dos dados! Conotações do Google com
espionagem?! Toolbar do Google é spyware! A cópia de cache do Google
é “ilegal”! Google não é nosso amigo! O Google é uma bomba
relógio em termos de privacidade
! Google Search! Google Images! Google Maps! Google Latitude! Google Earth! Google Chrome! Google Chrome OS! Google Mail! Google Calendars
! Google Checkout! Google Docs! Google Android! Google Youtube! Google Adsense! Google Adwords! Google Blogger! Google Picasa! ... e mais, muito mais.
O que sabe o Google sobre vocês?
Que podem fazer para o impedir?
QUAL É O PRINCIPAL PRODUTO DA
QUAL É O PRINCIPAL PRODUTO DO
VOCÊS!!!!
• Ao usarem redes sociais
• Sejam discretos
• Sejam cépticos
• Pensem
• Sejam profissionais
• Sejam cautelosos
• Verifiquem as configurações de privacidade
Conclusões
http://www.reclaimprivacy.org/
This website provides an independent and open tool for scanning your
Facebook privacy settings.
• Usem as listas de amigos
Recomendações Facebook
• Removam-se dos resultados de pesquisa do Facebook
Recomendações Facebook
• Removam-se do Google
Recomendações Facebook
• Evitem ser etiquetados/tagged num vídeo ou foto comprometedora
Recomendações Facebook
• Protejam os vossos álbuns
Recomendações Facebook
• Impeçam as vossas histórias de aparecem na Wall dos seus amigos
Recomendações Facebook
• Protejam-se contra histórias publicadas por aplicações na sua Wall
Recomendações Facebook
• Tornem a vossa informação de contacto privada
Recomendações Facebook
• Evitem posts embaraçosos na vossa Wall
Recomendações Facebook
• Mantenham as vossas relações privadas
Recomendações Facebook
“Once you post it, You loose it”
Conclusões e Discussão
• Verificar quais as principais vulnerabilidades e riscos
• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos)
• Browser web:
• Usar versões sempre actualizadas (aplica-se igualmente ao SO)
• Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking
• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)
• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas
• Em caso de dúvida: hesitar, desconfiar, perguntar
@pontocom
[email protected]@iscte.pthttp://www.linkedin.com/in/carlosserrao
Princípios básicos de segurança on-line Siemens SA
2012.05.11 Carlos Serrão