Microsoft PowerPoint - Seguran\347a na Rede - PoP-BA

HORÁ
RIO
ATIVIDADE
14:00
14:20
Abertura do Encontro
14:20
15:20
Segurança da Informação: o que você não pode deixar de saber – Prof.
Dr. Luciano Barreto (DCC/UFBA & CERT.Bahia)
15:20
15:40
CERT.Bahia - quem somos e o que fazemos - Italo Valcy (PoP-BA/RNP
& CERT.Bahia)
15:40
16:00
Coffee-Break
16:00
16:40
Protegendo os direitos humanos na Internet - Caio Almeida (SaferNet)
16:40
17:20
Proteção no Ciberespaço da Rede UFBA - Yuri Alexandro (CPD/UFBA)
17:20
17:30
O DISI - Dia Internacional de Segurança em Informática - Luiz Cláudio
Mendonça (CPD/UFBA)
17:30
18:00
Debate sobre Segurança / Encerramento do evento
Segurança da Informação:
o que você não deve deixar de saber
Luciano Porto Barreto
([email protected])
CERT.Bahia
http://www.pop-ba.rnp.br/Cert/
CPD, PoP-BA/RNP, DCC/LaSiD
Universidade Federal da Bahia
Motivação
• Hoje: (quase) todos
navegando na rede
– Falsa sensação de
segurança...
– (distância)
• De que forma?
– Em geral:insegura,
descompromissada
– (nada acontece)
– Mas os prejuízos
são reais...
Motivação
• Hoje: Todos navegando
na rede
• De que forma?
insegura,
descompromissada
• “Não vai acontecer
comigo...”
• O problema é do
site/empresa, da rede,
do adm da rede (mas
não é nosso!)
Problema 1: vírus – infecção e disseminação
• Vírus:
– Programas maliciosos que procuram se esconder no
computador hospedeiro e, depois, se propagar para
outras máquinas
– Realizam atividades “maliciosas” ou indesejadas
Problema 1: vírus – infecção e disseminação
• Infecção (diversas formas): 1º momento
– Formas de contágio: (portas abertas)
» Pendrive, arquivos, CDs, Internet, Redes sociais ...
– Prevenção: Antivírus (?),
Abrindo qualquer página/arquivo...
•
Propaganda falsa da VoeGol
Ao colocar o cursor do mouse sobre ‘Clique aqui’ verificamos uma possível
referência ao site de cartões virtuais “VoxCards” da iG.
Abrindo qualquer página/arquivo...
• Ao clicar sobre o “Clique aqui” do e-mail Voegol o navegador é
aberto e redirecionado para uma página em branco com a seguinte
solicitação para Download de arquivo.
• Atente ao site de onde o arquivo está sendo obtido
• O formulário é um arquivo executável (arquivo EXE)
Problema 1: vírus – infecção e disseminação
• Infecção (diversas formas): 1º momento
• Disseminação de vírus: 2º momento
– Rede interna e externa
– Problema institucional grave
» Perda de dados, ...
» Chamados para atendimento
» Notificações externas (responsabilização
institucional)
• Solução “fácil” e ruim: formatar a máquina
Consequências: participação involuntária em ataques
• Sim. É fácil tornar-se um atacante...
– Envio de mensagens não solicitadas (spam)
– Ataques em larga escala – Botnets
• Tais condutas podem gerar notificações à
instituição
– Ataques, violação de propriedade intelectual...
– Diversas implicações. ex: recusa de emails
@ufba.br
PC´s de usuários são a principal fonte de SPAM
• http://www.cert.br/stats/sp
am/2010apr/spam.html#contato
1
Telemar Norte
Leste
2
Telesp
3
LocaWeb
4
Brasil Telecom
5
Global Village
Telecom
6
Vivo
7
Claro
8
CTBC Telecom
9
Vivax
10
NET Servicos de
Comunicacao
11
Tim Celular
12
Telefonica Data
13
Embratel
14
Dominio BR
Consultoria em
Informatica
15
Way TV Belo
Horizonte
Problema 3: Prejuízos (pessoal, institucional)
• Pessoal: violação da imagem, intimidade etc.:
» Seus projetos, suas comunicações pessoais, suas
fotos, sua conta bancária, seus exames médicos
(publicados na Internet?)
» Casos reais bastante sérios... (“Crime é virtual, mas
o dano é real”)
Problema 3: Prejuízos (pessoal, institucional)
• Institucional:
»
»
»
»
»
Pessoal necessário para resolver o problema ($$$)
Consumo de recursos da rede (tráfego indesejado)
Serviços indisponíveis, prejuízos concretos
Outras atividades de suporte são prejudicadas
“Fogo amigo” – ataques da rede interna
(responsabilidade direta), difícil de lidar porque o
comum é confiar nas máquinas internas (não é mais
visão atual nas corporações)...
Missão do CERT.Bahia/CPD
• Conscientizar os usuários da Rede UFBA acerca
de suas responsabilidades
– Conscientizar e informar usuários (melhor do que
punir)
– Assessorar órgãos dirigentes
– Propor e implementar políticas de segurança TI
– Interoperar com outros grupos nacionais e
internacionais
– Prestar informações à comunidade em geral
Aspectos institucionais
• Estações, laptops, rede, email, site
web são considerados ferramentas de
trabalho
– Tal qual automóvel de uma empresa
• Prejuízos pessoais e profissionais
– Parte se aplica ao nosso uso doméstico
• Certas práticas tem implicações
jurídicas
– Justa causa por uso indevido de email
– Não é ficção !!!
• Conscientizar, mas, sem alarmismo ou
paranóia ☺
– Outras informações na palestra a seguir
Como ludibriar os usuários ?
• Tentações... (engenharia social)
– Troca de senha
» Email (comum na UFBA), site (Bancos)
Como ludibriar os usuários ?
• Tentações... (engenharia social) – canto da sereia
– Troca de senha
» Email (comum na UFBA), site (Bancos)
Como ludibriar os usuários ?
• Dinheiro fácil
» Casino, loteria, poker etc.
» Oferta: descontos, promoções bancárias
» Você foi o sorteado ! Usuário número 1 milhão !
Como ludibriar os usuários ?
• Morbidez / miséria alheia
– Acidentes, mortes, eventos de comoção popular:
tiroteio em Realengo, Bin Laden, queda voo da Air
France etc.
Como ludibriar os usuários ?
• Curiosidade / Fofoca
» Veja o furo no vestido de casamento da princesa
» Veja você aqui nessa foto !
» Olha a gente naquela festa...
Orkut: scrap com alusão a um vídeo
Youtube: alusão a um vídeo
Ludibriando os usuários
• Conteúdo sexual / Nudez
» Dispensa comentários (e imagens)
» Mas, todos negam...
Boas práticas – Casa/pessoal
• Seja precavido com emails de desconhecidos
– Ao menos, os arquivos/anexos/links
• Não acesse sites suspeitos ou com conteúdo
notadamente ilegal (pedofilia, pirataria)
– Implicações legais (posse)
– Navegador:
» Abertura de abas, solicitação de instalação de
software (verifique com alguém se é necessário
instalar o software e se o mesmo é confiável)
• Leia antes de clicar !!!
– Lembre-se do programa de prêmios da cabine de
Sílvio Santos
» “Você quer trocar sua Ferrari por um pente?”
» (Sim!)
» “Você deseja apagar todos os dados do seu HD?”
Boas práticas – Casa/pessoal
• Não utilize software pirata
(casa ≠ instituição)
– “Mas eu copiei do pendrive do
colega”
• Não instale software
desconhecido em sua máquina
– Certifique a origem (evite
software baixado de redes
ponto-a-ponto)
– “Mas eu tinha anti-vírus”
» Anti-vírus são importantes, mas
falíveis. Não confie cegamente
neles ou outras ferramentas
(analisadores, firewall do
windows etc.)
Boas práticas – Casa/pessoal
• Use nomes de usuário e senhas diferentes
para sites diferentes
– Em geral, sites exigem cadastro.
– Caso suas informações sejam comprometidas
em um site, em outros estão preservados.
– Se preferir, utilize um email temporário.
– Diversos casos recentes de vazamento
– Use emails descartáveis (10 minute mail)
• Use senhas “fortes”
– Problema: senhas pequenas são fáceis de quebrar,
as longas, difíceis de lembrar (anotamos...)
– Importante incluir caracteres incomuns: $+@%!
– Use uma frase pessoal como base e adicione
caracteres especiais em função do nome do site.
Boas práticas - Institucional
• Antes de instalar um ponto de acesso de rede
sem fio, consulte o suporte técnico do CPD
– Você pode estar abrindo brechas de segurança na
rede interna
» Colocar uma escada na janela da cozinha
» Publicizar seu molho de chaves
Boas práticas - resumo
• Atualize o sistema operacional e o antivirus
• Não abra arquivos ou sites de emails duvidosos
– Antes de abrir, antivirus deve verificá-lo
• Escolha senhas fortes (letra+número+caractere)
• Use senhas diferentes para sites diferentes
– Use criptografia no envio da senha
• Evite usar email de trabalho p/ questões pessoais
• Não compre ou faça transações bancárias através
de lan-houses ou computadores públicos
– Deve iniciar com https:// e cadeado deve aparecer
• Cuidado com endereços internet curtos ou
estranhos, emails para mudança de senha
• Mantenha o Bluetooth desligado
• Evite compartilhar arquivos/pastas (Windows)
Considerações finais
• Navegar é preciso, mas é fundamental navegar
com responsabilidade e segurança
• Boas práticas podem ser inicialmente trabalhosas,
mas compensam no longo prazo, pois resolvem
grande parte dos problemas
• Dúvidas ? Sugestões ?
• Muito obrigado !!!
Segurança da Informação:
o que você não deve deixar de saber
Luciano Porto Barreto
([email protected])
CERT.Bahia
http://www.pop-ba.rnp.br/Cert/
CPD, PoP-BA/RNP, DCC/LaSiD
Universidade Federal da Bahia