Confraria 0day 2015 - domínios *.gov.br, a cruel realidade
23
@ThiagoDieb Domínios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015
-
Upload
thiago-dieb -
Category
Technology
-
view
12 -
download
2
Transcript of Confraria 0day 2015 - domínios *.gov.br, a cruel realidade
@ThiagoDieb
Domínios *.gov.br, a cruel realidade.
Confraria 0day 29/01/2015
@ThiagoDieb
Quem sou ?
Thiago Dieb
● Entusiasta e curioso em SI● 12 anos de experiência● Gerente de Desenvolvimento● Consultor e professor
@ThiagoDieb
Motivação
@ThiagoDieb
Principais falhas
@ThiagoDieb
Injection
SQL Injection é uma das primeiras falhas a serem analisadas durante um rastreamento de vulnerabilidade.
@ThiagoDieb
Injection
@ThiagoDieb
Injection
@ThiagoDieb
Local file download
Vulnerabilidade com nível intermediário. Normalmente utilizada para baixar arquivos com configurações do sistema e dados de conexão com banco de dados.
@ThiagoDieb
Local file download
@ThiagoDieb
File upload
Menina dos Olhos de Ouro, vulnerabilidade bastante buscada por possibilitar diversas ações secundárias.
@ThiagoDieb
File Upload
@ThiagoDieb
File Upload
@ThiagoDieb
Heartbleed
Desta vez o impacto foi muito grande. Especulações dizem que a falha foi explorada no mínimo 2 anos antes de ser divulgada.
@ThiagoDieb
Heartbleed
Outros exemplos:
http://dataprev.gov.brhttp://www.cbm.df.gov.brhttp://www.catolicavirtual.br
@ThiagoDieb
Shellshock Bash
2014 foi o ano das falhas, outra vulnerabilidade de altíssimo nível.Bug no Bash atingiu um boa parte dos servidores com os sistemas operacionais em Linux e Mac/OS.
@ThiagoDieb
A realidade
@ThiagoDieb
Possíveis Causas
● Servidores sem experiência (Devel/Infra)● Alta imaturidade, principalmente na fase de
teste● Equipe terceirizada descompromissada com
a qualidade do produto● Grande quantidade de sistemas legados,
inclusive com baixo nível de segurança.● Falta de patrocínio da alta administração
sobre o tema de segurança da informação
@ThiagoDieb
● Departamento de Segurança da Informação e Comunicações - GSI - PR
● Fiscalização de tecnologia da informação - TCU
● Governo eletrônico - SISP● Lei 12.737/212 (Lei Carolina Dieckman)● Decreto 8.135/2013 (Segurança de dados)
Em contrapartida
@ThiagoDieb
Sugestões de melhoria
● Capacitação técnica dos servidores (desenvolvimento seguro / teste de intrusão)
● Cargos específicos para área de segurança da informação na AP.
● Maior divulgação e cobrança sobre segurança da informação na AP.
● Política de análise de impacto e risco dos sistemas legados da AP.
@ThiagoDieb
Sugestões de melhoria
● Maior divulgação dos comitês do DSIC● Entidade de avaliação e monitoramento da
qualidade dos sites e sistemas da AP.● Criação do selo de qualificação para os sites
e sistemas da AP.
@ThiagoDieb
gov.br
@ThiagoDieb
