Palestra - Confraria 0day 2015 - Domínios *.gov.br, a cruel realidade
23
@ThiagoDieb Domínios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015
-
Upload
as-zone -
Category
Technology
-
view
30 -
download
2
Transcript of Palestra - Confraria 0day 2015 - Domínios *.gov.br, a cruel realidade
- 1. @ThiagoDieb Domnios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015
- 2. @ThiagoDieb Quem sou ? Thiago Dieb Entusiasta e curioso em SI 12 anos de experincia Gerente de Desenvolvimento Consultor e professor
- 3. @ThiagoDieb Motivao
- 4. @ThiagoDieb Principais falhas
- 5. @ThiagoDieb Injection SQL Injection uma das primeiras falhas a serem analisadas durante um rastreamento de vulnerabilidade.
- 6. @ThiagoDieb Injection
- 7. @ThiagoDieb Injection
- 8. @ThiagoDieb Local file download Vulnerabilidade com nvel intermedirio. Normalmente utilizada para baixar arquivos com configuraes do sistema e dados de conexo com banco de dados.
- 9. @ThiagoDieb Local file download
- 10. @ThiagoDieb File upload Menina dos Olhos de Ouro, vulnerabilidade bastante buscada por possibilitar diversas aes secundrias.
- 11. @ThiagoDieb File Upload
- 12. @ThiagoDieb File Upload
- 13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito grande. Especulaes dizem que a falha foi explorada no mnimo 2 anos antes de ser divulgada.
- 14. @ThiagoDieb Heartbleed Outros exemplos: http://dataprev.gov.br http://www.cbm.df.gov.br http://www.catolicavirtual.br
- 15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas, outra vulnerabilidade de altssimo nvel. Bug no Bash atingiu um boa parte dos servidores com os sistemas operacionais em Linux e Mac/OS.
- 16. @ThiagoDieb A realidade
- 17. @ThiagoDieb Possveis Causas Servidores sem experincia (Devel/Infra) Alta imaturidade, principalmente na fase de teste Equipe terceirizada descompromissada com a qualidade do produto Grande quantidade de sistemas legados, inclusive com baixo nvel de segurana. Falta de patrocnio da alta administrao sobre o tema de segurana da informao
- 18. @ThiagoDieb Departamento de Segurana da Informao e Comunicaes - GSI - PR Fiscalizao de tecnologia da informao - TCU Governo eletrnico - SISP Lei 12.737/212 (Lei Carolina Dieckman) Decreto 8.135/2013 (Segurana de dados) Em contrapartida
- 19. @ThiagoDieb Sugestes de melhoria Capacitao tcnica dos servidores (desenvolvimento seguro / teste de intruso) Cargos especficos para rea de segurana da informao na AP. Maior divulgao e cobrana sobre segurana da informao na AP. Poltica de anlise de impacto e risco dos sistemas legados da AP.
- 20. @ThiagoDieb Sugestes de melhoria Maior divulgao dos comits do DSIC Entidade de avaliao e monitoramento da qualidade dos sites e sistemas da AP. Criao do selo de qualificao para os sites e sistemas da AP.
- 21. @ThiagoDieb gov.br
- 22. @ThiagoDieb
- 23. @ThiagoDieb Obrigado @ThiagoDieb - [email protected]