Princípios básicos de segurança on-line Siemens SA

2012.05.11 Carlos Serrão

@pontocom

carlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao

QUAL A DIFERENÇA ENTRE

UMA GARRAFA DE ÁGUA E

UM COMPUTADOR?

SECURITYIS A

PROCESSNOT A

PRODUCT

Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1

SECURITY IS APROCESS

Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1

HOLÍSTICO

CONTINUO

SOCIAL

AMBIENTAL

TECNOLÓGICO

SECURITY IS APROCESS

Bruce Schneier, 2000http://www.schneier.com/crypto-gram-0005.html#1

Resumo

•Segurança

• Física

• Passwords

• Phishing

• Virus, Worms, etc.

• Engenharia Social

• Confidencialidade, Privacidade e Autenticação

• Redes Sociais

SEGURANÇA FÍSICA

Segurança Física

• Localização

• Acesso a instalações e a salas

• Acesso a computadores/servidores

• Acesso a informação confidencial

• Classificação de informação e políticas de acesso

• Dispositivos de Armazenamento

• CDs, DVDs

• Pen USB

• Discos externos

• Telemóveis, Smartphones e Tablets?!?

“SHOULDER SURFING”

ESTÁ PROTEGIDO

CONTRA???

Segurança Física

•Armazenar informação em Segurança

• TrueCrypt, FileVault, BitLocker, etc.

• em especial em dispositivos amovíveis: discos portáteis, pens, computadores portáteis, etc.

•Definir uma política pessoal de gestão de informação e de classificação da mesma

Segurança Física

•Backups

•backups, backups e mais backups

•regularidade

•localização dos backups

•segurança dos mesmos

UM COMPUTADORPEN DRIVE

DISCO EXTERNO

SMARTPHONE

TABLET

...

PERDIDO OU ROUBADO

PERDA FINANCEIRAQUEBRA PRIVACIDADE

HIDDEN

VIRUS, MALWARE E OUTROS “BICHOS”

ESQUISITOS

Virus, Worms, $%#3& estranhas

•Virus

•Worms

•Trojans

•Keyloggers

Virus, Worms, $%#3& estranhas

•Proteger o computador (em especial com o Windows ;-))

• Firewalls

• Anti-virus

• Anti-spyware

Virus, Worms, $%#3& estranhas

•Limitar o uso da conta de administrador

• Programas maliciosos aproveitam-se das permissões disponíveis

• Injecção e execução de código facilitada

• Instalar keylogger

• Executar serviços

• Desactivar boot do sistema

• Desactivar anti-vírus

• Executar tarefas comuns com privilégios limitados

Virus, Worms, $%#3& estranhas

•E-mail

• Emissores

• Anexos

• Links

• Solicitações “esquisitas”

Virus, Worms, $%#3& estranhas

•Instant Messaging

• As ferramentas de IM são uma das formas de distribuição e propagação de vírus

• IRC, MSN Messenger, etc.

• São igualmente uma forma muito comum para a distribuição de malware e vírus

Virus, Worms, $%#3& estranhas

•Redes Sociais

• Twitter, Facebook, ...

• URL shortners

•Distribuição de malware e de virus

•Compromisso dos computadores - Zombies/Botnets

BOTNET MARIPOSA13M COMPUTADORES, 190 PAÍSES

STUXNET VIRUS/WORMATACAR CENTRAIS NUCLEARES

PHISHING

Phishing

• Uma forma de enganar os utilizadores através de sites e mensagens enganosas

• Redireccionam os utilizadores para sites que “imitam” sites originais com o objectivo de “roubarem” informação aos utilizadores

• credenciais de acesso

• outras informações

Phishing quiz

Phishing quiz

Phishing quiz

Phishing quiz

Phishing quiz

Phishing quiz

FRAUDE

http://www.bancoxpto.pthttp://www.banc0xpt0.pt ou

http https

http https

http https

Phishing

• Conselhos

• browser web só para home-banking (sem quaisquer extensões ou plug-ins adicionais)

• testar HTTPS

• ver se cadeado está activo

• sem warnings de segurança

• ver detalhes do certificado

• testar form de login

• tentar introdução de credenciais erradas e ver comportamento da aplicação

• nunca carregar em links nas mensagens de email no que toda ao HB, escrever sempre a URL do site na barra de endereços do browser web (mesmo com bookmarks)

PASSWORDS

Passwords

•Passwords são como as CUECAS, porque:

• não as devemos deixar à vista para que outros as possam ver

• devemos mudá-las com regularidade

• não as devemos emprestar (principalmente a estranhos)

Passwords

•Política de gestão de passwords

• Escolha de boas passwords

• Alteração das passwords

• Passwords devem ser "secretas"

Passwords

• A verdade sobre as passwords

• Estudo realizado pela Imperva

• http://www.imperva.com/docs/WP_Consumer_Password_Worst_Practices.pdf

3< >Imperva White Paper

Consumer Password Worst Practices

AnalysisNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards to help benchmark consumers’ password selection:

1. Recommendation: It should contain at least eight characters.

The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com current minimal password length requirement is !ve). A staggering 30% of users chose passwords whose length was equal to or below six characters.

Password Length Distribution

54.07%

626.04%

719.29%8

19.98%

912.11%

109.06%

113.57%

122.11%

131.32%

2. Recommendation: It should contain a mix of four di!erent types of characters – upper case letters, lower case letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or special character, it should not be either the "rst or last character in the password.

The ADC analysis showed that almost 60% of users chose their passwords from within a limited set of characters. About 40% of the users use only lowercase characters for their passwords and about another 16% use only digits. Less than 4% of the users use special characters.

Password Length Distribution

41.69%

15.94%

36.94%

3.81% 1.62%

In fact, after evaluating the passwords against two of NASA's recommendations only 0.2% of Rockyou.com users have a password that could be considered as strong password:

» Eight characters or longer

» Contain a mixture of special characters, numbers and both lower and upper case letters.

������������������������� ����������������������������������������

3< >Imperva White Paper

Consumer Password Worst Practices

AnalysisNASA provides the following Recommendations10 for strong password selection. The ADC used NASA’s standards to help benchmark consumers’ password selection:

1. Recommendation: It should contain at least eight characters.

The ADC analysis revealed that just one half of the passwords contained seven or less characters. (Rockyou.com current minimal password length requirement is !ve). A staggering 30% of users chose passwords whose length was equal to or below six characters.

Password Length Distribution

54.07%

626.04%

719.29%8

19.98%

912.11%

109.06%

113.57%

122.11%

131.32%

2. Recommendation: It should contain a mix of four di!erent types of characters – upper case letters, lower case letters, numbers, and special characters such as !@#$%^&*,;" If there is only one letter or special character, it should not be either the "rst or last character in the password.

The ADC analysis showed that almost 60% of users chose their passwords from within a limited set of characters. About 40% of the users use only lowercase characters for their passwords and about another 16% use only digits. Less than 4% of the users use special characters.

Password Length Distribution

41.69%

15.94%

36.94%

3.81% 1.62%

In fact, after evaluating the passwords against two of NASA's recommendations only 0.2% of Rockyou.com users have a password that could be considered as strong password:

» Eight characters or longer

» Contain a mixture of special characters, numbers and both lower and upper case letters.

������������������������� ����������������������������������������

Passwords

• A verdade sobre as passwords

• Estudo realizado pela Imperva

4< >Imperva White Paper

Consumer Password Worst Practices

3. Recommendation: It should not be a name, a slang word, or any word in the dictionary. It should not include any part of your name or your e-mail address.

Almost all of the 5000 most popular passwords, that are used by a share of 20% of the users, were just that – names, slang words, dictionary words or trivial passwords (consecutive digits, adjacent keyboard keys, and so on). The most common password among Rockyou.com account owners is “123456”. The runner up is “12345”. The following table depicts the top 20 common passwords in the database list:

Password Popularity – Top 20

Rank Password Number of Users with Password (absolute)

1 123456 290731

2 12345 79078

3 123456789 76790

4 Password 61958

5 iloveyou 51622

6 princess 35231

7 rockyou 22588

8 1234567 21726

9 12345678 20553

10 abc123 17542

Rank Password Number of Users with Password (absolute)

11 Nicole 17168

12 Daniel 16409

13 babygirl 16094

14 monkey 15294

15 Jessica 15162

16 Lovely 14950

17 michael 14898

18 Ashley 14329

19 654321 13984

20 Qwerty 13856

If a hacker would have used the list of the top 5000 passwords as a dictionary for brute force attack on Rockyou.com users, it would take only one attempt (per account) to guess 0.9% of the users passwords or a rate of one success per 111 attempts. Assuming an attacker with a DSL connection of 55KBPS upload rate and that each attempt is 0.5KB in size, it means that the attacker can have 110 attempts per second. At this rate, a hacker will gain access to one new account every second or just less than 17 minutes to compromise 1000 accounts. And the problem is exponential. After the !rst wave of attacks, it would only take 116 attempts per account to compromise 5% of the accounts, 683 attempts to compromise 10% of accounts and about 5000 attempts to compromise 20% of accounts. The following diagram depicts the expected e"ectiveness of attacks using a small, carefully chosen, attack dictionary:

Accumulated Percent of Dictionary Attack Success

0

5%

10%

15%

20%

135

971

710

7514

3317

9121

4925

0728

6532

2335

8139

3942

9746

55

Number of password tries

Passwords

• Boa password

Password(

Mínimo(8(caracteres,(com(maíusculas(e(minúsculas,(

números(e(outros(caracteres(

Aleatória(

Nunca(estar(apontada/escrita(em(nenhum(sí<o(

Desconhecida(de(terceiros(

Alterada(de(tempo(a(tempo(

Sistema(deve(estar(livre(de(virus(e(de(spyware(

Única(e(não(reCu<lizada(em(

outros(sistemas(

Passwords

•Software de Gestão de Passwords

• Keepass

• 1Password

• LastPass

• ...

SEGURANÇA DE REDES

WI-FI

POIS...... E POR CÁ?

E MAIS...

ROUTERS WI-FI DA...THOMPSON, D-LINK, SPEEDTOUCH

SSID

KEY/PASSWORD

ENGENHARIA SOCIAL

Engenharia Social

• Na maior parte das vezes, as pessoas são o “Elo Mais Fraco” da segurança de informação

• Cuidado com a informação revelada a terceiros

• telefonemas

• emails

• correio tradicional

• redes sociais

• IM

• conversas directas

Engenharia Social

•A engenharia social é aplicada da seguinte forma:

•Recolha de informações

•Desenvolvimento do relacionamento

•Exploração do relacionamento

•Execução do ataque.

VOCÊ...

... É O ELO MAIS FRACO!!!!(ADEUS?!?)

CONFIDENCIALIDADE, PRIVACIDADE E AUTENTICAÇÃO

Confidencialidade e Privacidade

•Porque a Internet é uma rede pública e aberta

•Correio electrónico

• não é a mesma coisa que correio tradicional

• documentos e informação confidencial

•Criptografia

• transformar informação em claro em informação perceptível apenas para os elementos em comunicação

Autenticação

•o endereço de correio electrónico pode ser forjado

•a identidade dos utilizadores pode ser roubada/hijacked

•como posso ter a garantia que o email/documento foi verdadeiramente produzido/enviado por uma entidade de confiança

Confidencialidade, Privacidade e Autenticação

• Criptografia de Chave Pública

• Certificados Digitais

• Usar no correio electrónico

• nome.apelido@company.com

• associado ao uso de um certificado digital

• podemos usar certificados digitais gratuítos

• Comodo, CA

• ou usar a nossa própria autoridade de certificação

• permite que os colaboradores possam trocar entre si email cifrado, e assinado digitalmente

REDES SOCIAIS

1990s 1999 2000 2002 2003 2004

2005 2006 2007 2008

Evolução da Web Social

• Youtube

• LinkedIn

• Vimeo

• Plaxo

• Blogger

• Wordpress

• Feedburner

• Deli.cio.us

• Flickr

• Twitter

• Wikipedia

• Lançado em Fevereiro de 2004

• Mark Zuckerberg

• + de 800M utilizadores activos

• seria o 3º maior país do Mundo

Principais riscos de segurança

• Spam, Spam e mais Spam

• Malware instalado por terceiros

• Spyware

• Worms

• Falhas de XSS

• Falhas no Flash

• Phishing

• Reputação/Imagem

• Informação Pessoal

• Esquemas e Vigarices

7 principais tipos de ataque

• “Impersonation” e ataques pessoais direccionados

• Infecções com spam e bots

• Ataques com base em aplicações sociais

• Interligação/Confusão entre a presença pessoal e profissional online

• Ataques de XSS e CSRF

• Roubo de Identidade

• Espionagem industrial

Privacidade nas Redes Sociais?

A que custo?

Privacidade

• Porquê?

• É a vossa informação pessoal

• A vossa informação pessoal pode ser partilhada com terceiros (inclusive informação de identificação)

• Estes terceiros podem manter a vossa informação pelo tempo que quiserem

• Muitos utilizadores aderem a redes sociais assumindo que as mesmas são privadas

• Pode originar problemas de segurança

• Má imagem, má reputação

82% das crianças têm fotografias online

nos EUA, 92% de bebés (0-2 anos) têm fotos online

in http://tek.sapo.pt/noticias/internet/82_das_criancas_tem_fotos_online_1097367.html

EUA, 92%Nova Zelândia, 91%

Austrália, 84%Canadá, 84%

um terço das crianças online têm apenas

poucas semanas de vidaum quarto dos casos, as

fotos começam a aparecer antes do nascimento, em

ecografia

“Hey Sarah”

October 2009 January 2010

Facebook e Privacidade

• Por defeito, partilha habilitada

Facebook e Privacidade

• O que era privado é agora público

Facebook e Aplicações

• Aplicações no Facebook que comprometem a privacidade dos utilizadores

Firesheep

Firesheep

Firesheep

O que colocam on-line tem consequências a vários níveis:

PessoalProfissional...

Max Schrems... estudante Austriaco, que processou o Facebook.

?????????

Exigiu que o Facebook lhe enviasse toda a informação que tinha sobre ele.

Facebook enviou um CD com informação.

Apagou a conta no Facebook.

Cerca de 2000 páginas com informação pessoal (incluindo mensagens de chat)

Delete = Status (deleted) ;-)

http://www.europe-v-facebook.org/

... e tu Google?

! Cookie imortal do Google! Google regista tudo o que

pode! Google retêm todos os

dados indefenidamente! Google não diz para que

necessita dos dados! Conotações do Google com

espionagem?! Toolbar do Google é spyware! A cópia de cache do Google

é “ilegal”! Google não é nosso amigo! O Google é uma bomba

relógio em termos de privacidade

! Google Search! Google Images! Google Maps! Google Latitude! Google Earth! Google Chrome! Google Chrome OS! Google Mail! Google Calendars

! Google Checkout! Google Docs! Google Android! Google Youtube! Google Adsense! Google Adwords! Google Blogger! Google Picasa! ... e mais, muito mais.

O que sabe o Google sobre vocês?

Que podem fazer para o impedir?

QUAL É O PRINCIPAL PRODUTO DA

QUAL É O PRINCIPAL PRODUTO DO

VOCÊS!!!!

• Ao usarem redes sociais

• Sejam discretos

• Sejam cépticos

• Pensem

• Sejam profissionais

• Sejam cautelosos

• Verifiquem as configurações de privacidade

Conclusões

http://www.reclaimprivacy.org/

This website provides an independent and open tool for scanning your

Facebook privacy settings.

• Usem as listas de amigos

Recomendações Facebook

• Removam-se dos resultados de pesquisa do Facebook

Recomendações Facebook

• Removam-se do Google

Recomendações Facebook

• Evitem ser etiquetados/tagged num vídeo ou foto comprometedora

Recomendações Facebook

• Protejam os vossos álbuns

Recomendações Facebook

• Impeçam as vossas histórias de aparecem na Wall dos seus amigos

Recomendações Facebook

• Protejam-se contra histórias publicadas por aplicações na sua Wall

Recomendações Facebook

• Tornem a vossa informação de contacto privada

Recomendações Facebook

• Evitem posts embaraçosos na vossa Wall

Recomendações Facebook

• Mantenham as vossas relações privadas

Recomendações Facebook

“Once you post it, You loose it”

Conclusões e Discussão

• Verificar quais as principais vulnerabilidades e riscos

• Definir quais as medidas necessárias para a implementação de uma estratégia de mitigação - Backups (locais e remotos)

• Browser web:

• Usar versões sempre actualizadas (aplica-se igualmente ao SO)

• Usar 2 browsers web - 1 para navegação “geral” outro exclusivamente para homebanking

• Manter sempre as ferramentas de segurança actualizadas (anti-virus, firewalls, anti-spyware)

• Usar o e-mail, IM com cuidado e desconfiar de anexos, links e de solicitações desconhecidas

• Em caso de dúvida: hesitar, desconfiar, perguntar

@pontocom

carlos.serrao@iscte.ptcarlos.j.serrao@iscte.pthttp://www.linkedin.com/in/carlosserrao

Princípios básicos de segurança on-line Siemens SA

2012.05.11 Carlos Serrão