1. 1. @ThiagoDieb Domnios *.gov.br, a cruel realidade. Confraria 0day 29/01/2015
2. 2. @ThiagoDieb Quem sou ? Thiago Dieb Entusiasta e curioso em SI 12 anos de experincia Gerente de Desenvolvimento Consultor e professor
3. 3. @ThiagoDieb Motivao
4. 4. @ThiagoDieb Principais falhas
5. 5. @ThiagoDieb Injection SQL Injection uma das primeiras falhas a serem analisadas durante um rastreamento de vulnerabilidade.
6. 6. @ThiagoDieb Injection
7. 7. @ThiagoDieb Injection
8. 8. @ThiagoDieb Local file download Vulnerabilidade com nvel intermedirio. Normalmente utilizada para baixar arquivos com configuraes do sistema e dados de conexo com banco de dados.
9. 9. @ThiagoDieb Local file download
10. 10. @ThiagoDieb File upload Menina dos Olhos de Ouro, vulnerabilidade bastante buscada por possibilitar diversas aes secundrias.
11. 11. @ThiagoDieb File Upload
12. 12. @ThiagoDieb File Upload
13. 13. @ThiagoDieb Heartbleed Desta vez o impacto foi muito grande. Especulaes dizem que a falha foi explorada no mnimo 2 anos antes de ser divulgada.
14. 14. @ThiagoDieb Heartbleed Outros exemplos: http://dataprev.gov.br http://www.cbm.df.gov.br http://www.catolicavirtual.br
15. 15. @ThiagoDieb Shellshock Bash 2014 foi o ano das falhas, outra vulnerabilidade de altssimo nvel. Bug no Bash atingiu um boa parte dos servidores com os sistemas operacionais em Linux e Mac/OS.
16. 16. @ThiagoDieb A realidade
17. 17. @ThiagoDieb Possveis Causas Servidores sem experincia (Devel/Infra) Alta imaturidade, principalmente na fase de teste Equipe terceirizada descompromissada com a qualidade do produto Grande quantidade de sistemas legados, inclusive com baixo nvel de segurana. Falta de patrocnio da alta administrao sobre o tema de segurana da informao
18. 18. @ThiagoDieb Departamento de Segurana da Informao e Comunicaes - GSI - PR Fiscalizao de tecnologia da informao - TCU Governo eletrnico - SISP Lei 12.737/212 (Lei Carolina Dieckman) Decreto 8.135/2013 (Segurana de dados) Em contrapartida
19. 19. @ThiagoDieb Sugestes de melhoria Capacitao tcnica dos servidores (desenvolvimento seguro / teste de intruso) Cargos especficos para rea de segurana da informao na AP. Maior divulgao e cobrana sobre segurana da informao na AP. Poltica de anlise de impacto e risco dos sistemas legados da AP.
20. 20. @ThiagoDieb Sugestes de melhoria Maior divulgao dos comits do DSIC Entidade de avaliao e monitoramento da qualidade dos sites e sistemas da AP. Criao do selo de qualificao para os sites e sistemas da AP.
21. 21. @ThiagoDieb gov.br
22. 22. @ThiagoDieb
23. 23. @ThiagoDieb Obrigado @ThiagoDieb - thiago@dieb.com.br