1. @ThiagoDieb Domnios *.gov.br, a cruel realidade. Confraria
0day 29/01/2015
2. @ThiagoDieb Quem sou ? Thiago Dieb Entusiasta e curioso em
SI 12 anos de experincia Gerente de Desenvolvimento Consultor e
professor
3. @ThiagoDieb Motivao
4. @ThiagoDieb Principais falhas
5. @ThiagoDieb Injection SQL Injection uma das primeiras falhas
a serem analisadas durante um rastreamento de vulnerabilidade.
6. @ThiagoDieb Injection
7. @ThiagoDieb Injection
8. @ThiagoDieb Local file download Vulnerabilidade com nvel
intermedirio. Normalmente utilizada para baixar arquivos com
configuraes do sistema e dados de conexo com banco de dados.
9. @ThiagoDieb Local file download
10. @ThiagoDieb File upload Menina dos Olhos de Ouro,
vulnerabilidade bastante buscada por possibilitar diversas aes
secundrias.
11. @ThiagoDieb File Upload
12. @ThiagoDieb File Upload
13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito
grande. Especulaes dizem que a falha foi explorada no mnimo 2 anos
antes de ser divulgada.
14. @ThiagoDieb Heartbleed Outros exemplos:
http://dataprev.gov.br http://www.cbm.df.gov.br
http://www.catolicavirtual.br
15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas,
outra vulnerabilidade de altssimo nvel. Bug no Bash atingiu um boa
parte dos servidores com os sistemas operacionais em Linux e
Mac/OS.
16. @ThiagoDieb A realidade
17. @ThiagoDieb Possveis Causas Servidores sem experincia
(Devel/Infra) Alta imaturidade, principalmente na fase de teste
Equipe terceirizada descompromissada com a qualidade do produto
Grande quantidade de sistemas legados, inclusive com baixo nvel de
segurana. Falta de patrocnio da alta administrao sobre o tema de
segurana da informao
18. @ThiagoDieb Departamento de Segurana da Informao e
Comunicaes - GSI - PR Fiscalizao de tecnologia da informao - TCU
Governo eletrnico - SISP Lei 12.737/212 (Lei Carolina Dieckman)
Decreto 8.135/2013 (Segurana de dados) Em contrapartida
19. @ThiagoDieb Sugestes de melhoria Capacitao tcnica dos
servidores (desenvolvimento seguro / teste de intruso) Cargos
especficos para rea de segurana da informao na AP. Maior divulgao e
cobrana sobre segurana da informao na AP. Poltica de anlise de
impacto e risco dos sistemas legados da AP.
20. @ThiagoDieb Sugestes de melhoria Maior divulgao dos comits
do DSIC Entidade de avaliao e monitoramento da qualidade dos sites
e sistemas da AP. Criao do selo de qualificao para os sites e
sistemas da AP.