Microsoft PowerPoint - Seguran\347a na Rede - PoP-BA
Transcrição
Microsoft PowerPoint - Seguran\347a na Rede - PoP-BA
HORÁ RIO ATIVIDADE 14:00 14:20 Abertura do Encontro 14:20 15:20 Segurança da Informação: o que você não pode deixar de saber – Prof. Dr. Luciano Barreto (DCC/UFBA & CERT.Bahia) 15:20 15:40 CERT.Bahia - quem somos e o que fazemos - Italo Valcy (PoP-BA/RNP & CERT.Bahia) 15:40 16:00 Coffee-Break 16:00 16:40 Protegendo os direitos humanos na Internet - Caio Almeida (SaferNet) 16:40 17:20 Proteção no Ciberespaço da Rede UFBA - Yuri Alexandro (CPD/UFBA) 17:20 17:30 O DISI - Dia Internacional de Segurança em Informática - Luiz Cláudio Mendonça (CPD/UFBA) 17:30 18:00 Debate sobre Segurança / Encerramento do evento Segurança da Informação: o que você não deve deixar de saber Luciano Porto Barreto ([email protected]) CERT.Bahia http://www.pop-ba.rnp.br/Cert/ CPD, PoP-BA/RNP, DCC/LaSiD Universidade Federal da Bahia Motivação • Hoje: (quase) todos navegando na rede – Falsa sensação de segurança... – (distância) • De que forma? – Em geral:insegura, descompromissada – (nada acontece) – Mas os prejuízos são reais... Motivação • Hoje: Todos navegando na rede • De que forma? insegura, descompromissada • “Não vai acontecer comigo...” • O problema é do site/empresa, da rede, do adm da rede (mas não é nosso!) Problema 1: vírus – infecção e disseminação • Vírus: – Programas maliciosos que procuram se esconder no computador hospedeiro e, depois, se propagar para outras máquinas – Realizam atividades “maliciosas” ou indesejadas Problema 1: vírus – infecção e disseminação • Infecção (diversas formas): 1º momento – Formas de contágio: (portas abertas) » Pendrive, arquivos, CDs, Internet, Redes sociais ... – Prevenção: Antivírus (?), Abrindo qualquer página/arquivo... • Propaganda falsa da VoeGol Ao colocar o cursor do mouse sobre ‘Clique aqui’ verificamos uma possível referência ao site de cartões virtuais “VoxCards” da iG. Abrindo qualquer página/arquivo... • Ao clicar sobre o “Clique aqui” do e-mail Voegol o navegador é aberto e redirecionado para uma página em branco com a seguinte solicitação para Download de arquivo. • Atente ao site de onde o arquivo está sendo obtido • O formulário é um arquivo executável (arquivo EXE) Problema 1: vírus – infecção e disseminação • Infecção (diversas formas): 1º momento • Disseminação de vírus: 2º momento – Rede interna e externa – Problema institucional grave » Perda de dados, ... » Chamados para atendimento » Notificações externas (responsabilização institucional) • Solução “fácil” e ruim: formatar a máquina Consequências: participação involuntária em ataques • Sim. É fácil tornar-se um atacante... – Envio de mensagens não solicitadas (spam) – Ataques em larga escala – Botnets • Tais condutas podem gerar notificações à instituição – Ataques, violação de propriedade intelectual... – Diversas implicações. ex: recusa de emails @ufba.br PC´s de usuários são a principal fonte de SPAM • http://www.cert.br/stats/sp am/2010apr/spam.html#contato 1 Telemar Norte Leste 2 Telesp 3 LocaWeb 4 Brasil Telecom 5 Global Village Telecom 6 Vivo 7 Claro 8 CTBC Telecom 9 Vivax 10 NET Servicos de Comunicacao 11 Tim Celular 12 Telefonica Data 13 Embratel 14 Dominio BR Consultoria em Informatica 15 Way TV Belo Horizonte Problema 3: Prejuízos (pessoal, institucional) • Pessoal: violação da imagem, intimidade etc.: » Seus projetos, suas comunicações pessoais, suas fotos, sua conta bancária, seus exames médicos (publicados na Internet?) » Casos reais bastante sérios... (“Crime é virtual, mas o dano é real”) Problema 3: Prejuízos (pessoal, institucional) • Institucional: » » » » » Pessoal necessário para resolver o problema ($$$) Consumo de recursos da rede (tráfego indesejado) Serviços indisponíveis, prejuízos concretos Outras atividades de suporte são prejudicadas “Fogo amigo” – ataques da rede interna (responsabilidade direta), difícil de lidar porque o comum é confiar nas máquinas internas (não é mais visão atual nas corporações)... Missão do CERT.Bahia/CPD • Conscientizar os usuários da Rede UFBA acerca de suas responsabilidades – Conscientizar e informar usuários (melhor do que punir) – Assessorar órgãos dirigentes – Propor e implementar políticas de segurança TI – Interoperar com outros grupos nacionais e internacionais – Prestar informações à comunidade em geral Aspectos institucionais • Estações, laptops, rede, email, site web são considerados ferramentas de trabalho – Tal qual automóvel de uma empresa • Prejuízos pessoais e profissionais – Parte se aplica ao nosso uso doméstico • Certas práticas tem implicações jurídicas – Justa causa por uso indevido de email – Não é ficção !!! • Conscientizar, mas, sem alarmismo ou paranóia ☺ – Outras informações na palestra a seguir Como ludibriar os usuários ? • Tentações... (engenharia social) – Troca de senha » Email (comum na UFBA), site (Bancos) Como ludibriar os usuários ? • Tentações... (engenharia social) – canto da sereia – Troca de senha » Email (comum na UFBA), site (Bancos) Como ludibriar os usuários ? • Dinheiro fácil » Casino, loteria, poker etc. » Oferta: descontos, promoções bancárias » Você foi o sorteado ! Usuário número 1 milhão ! Como ludibriar os usuários ? • Morbidez / miséria alheia – Acidentes, mortes, eventos de comoção popular: tiroteio em Realengo, Bin Laden, queda voo da Air France etc. Como ludibriar os usuários ? • Curiosidade / Fofoca » Veja o furo no vestido de casamento da princesa » Veja você aqui nessa foto ! » Olha a gente naquela festa... Orkut: scrap com alusão a um vídeo Youtube: alusão a um vídeo Ludibriando os usuários • Conteúdo sexual / Nudez » Dispensa comentários (e imagens) » Mas, todos negam... Boas práticas – Casa/pessoal • Seja precavido com emails de desconhecidos – Ao menos, os arquivos/anexos/links • Não acesse sites suspeitos ou com conteúdo notadamente ilegal (pedofilia, pirataria) – Implicações legais (posse) – Navegador: » Abertura de abas, solicitação de instalação de software (verifique com alguém se é necessário instalar o software e se o mesmo é confiável) • Leia antes de clicar !!! – Lembre-se do programa de prêmios da cabine de Sílvio Santos » “Você quer trocar sua Ferrari por um pente?” » (Sim!) » “Você deseja apagar todos os dados do seu HD?” Boas práticas – Casa/pessoal • Não utilize software pirata (casa ≠ instituição) – “Mas eu copiei do pendrive do colega” • Não instale software desconhecido em sua máquina – Certifique a origem (evite software baixado de redes ponto-a-ponto) – “Mas eu tinha anti-vírus” » Anti-vírus são importantes, mas falíveis. Não confie cegamente neles ou outras ferramentas (analisadores, firewall do windows etc.) Boas práticas – Casa/pessoal • Use nomes de usuário e senhas diferentes para sites diferentes – Em geral, sites exigem cadastro. – Caso suas informações sejam comprometidas em um site, em outros estão preservados. – Se preferir, utilize um email temporário. – Diversos casos recentes de vazamento – Use emails descartáveis (10 minute mail) • Use senhas “fortes” – Problema: senhas pequenas são fáceis de quebrar, as longas, difíceis de lembrar (anotamos...) – Importante incluir caracteres incomuns: $+@%! – Use uma frase pessoal como base e adicione caracteres especiais em função do nome do site. Boas práticas - Institucional • Antes de instalar um ponto de acesso de rede sem fio, consulte o suporte técnico do CPD – Você pode estar abrindo brechas de segurança na rede interna » Colocar uma escada na janela da cozinha » Publicizar seu molho de chaves Boas práticas - resumo • Atualize o sistema operacional e o antivirus • Não abra arquivos ou sites de emails duvidosos – Antes de abrir, antivirus deve verificá-lo • Escolha senhas fortes (letra+número+caractere) • Use senhas diferentes para sites diferentes – Use criptografia no envio da senha • Evite usar email de trabalho p/ questões pessoais • Não compre ou faça transações bancárias através de lan-houses ou computadores públicos – Deve iniciar com https:// e cadeado deve aparecer • Cuidado com endereços internet curtos ou estranhos, emails para mudança de senha • Mantenha o Bluetooth desligado • Evite compartilhar arquivos/pastas (Windows) Considerações finais • Navegar é preciso, mas é fundamental navegar com responsabilidade e segurança • Boas práticas podem ser inicialmente trabalhosas, mas compensam no longo prazo, pois resolvem grande parte dos problemas • Dúvidas ? Sugestões ? • Muito obrigado !!! Segurança da Informação: o que você não deve deixar de saber Luciano Porto Barreto ([email protected]) CERT.Bahia http://www.pop-ba.rnp.br/Cert/ CPD, PoP-BA/RNP, DCC/LaSiD Universidade Federal da Bahia