Palestra: Segurança em Sistemas, Março de 2014

82

description

 

Transcript of Palestra: Segurança em Sistemas, Março de 2014

Page 1: Palestra: Segurança em Sistemas, Março de 2014
Page 2: Palestra: Segurança em Sistemas, Março de 2014

Organização da Apresentação

• Quem sou eu?;

• Dados e informação;

• Sistemas de informação;

• Segurança;

• Vulnerabilidade;

• Ataques;

• Ferramentas;

• Dicas.

2

Page 3: Palestra: Segurança em Sistemas, Março de 2014

Quem sou eu?

• Analista de Suporte;

• Dualtec;

• E-commerce;

• E.M – Hirayuki Enomoto

• Worktech;

• D.E – Região de Jales;

• EFAP – Rede do Saber

3

Page 4: Palestra: Segurança em Sistemas, Março de 2014

Quem sou eu?

4

Page 5: Palestra: Segurança em Sistemas, Março de 2014

Quem sou eu?

5

Page 6: Palestra: Segurança em Sistemas, Março de 2014

Quem sou eu?

6

Page 7: Palestra: Segurança em Sistemas, Março de 2014

Quem sou eu?

7

Page 8: Palestra: Segurança em Sistemas, Março de 2014

Dados e informação

• Antes de prosseguirmos é necessário deixar claro qual é o conceito que diferencia dados de informação;

8

Page 9: Palestra: Segurança em Sistemas, Março de 2014

Dados e informação

• Dados são registros não relacionados ou processados que pertencem a alguma entidade;

9

Page 10: Palestra: Segurança em Sistemas, Março de 2014

Dados e informação

• Informação é um conjunto de dados agrupados, processados e organizados de um modo que retorne um conhecimento sobre algo.

10

Page 11: Palestra: Segurança em Sistemas, Março de 2014

Sistemas de informação

• Inicialmente o uso de softwares em organizações era restrito a registro de dados e contabilidade;

• Após muito tempo tornou-se uma ferramenta de apoio a decisão;

• Sistemas de informação são compostos por pessoas e softwares;

11

Page 12: Palestra: Segurança em Sistemas, Março de 2014

Sistemas de informação

• Um sistema de informação fornece relatórios para: -Classificar melhores clientes; -Selecionar melhores fornecedores; -Monitorar a entrega de produtos; -Detectar problemas em setores de uma organização; -Monitorar a validade do estoque.

12

Page 13: Palestra: Segurança em Sistemas, Março de 2014

Sistemas de informação

• Com o uso de um S.I é possível selecionar os melhores clientes para um marketing mais efetivo;

• Evitar perdas de estoque criando promoções de produtos próximos de sua validade;

• Ter um apoio maior na tomada de decisão.

13

Page 14: Palestra: Segurança em Sistemas, Março de 2014

Segurança

• Segurança em T.I significa proteger informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada.

14

Page 15: Palestra: Segurança em Sistemas, Março de 2014

Segurança

• Exemplos: -Recursos: Link de internet e memória dos computadores; -Serviços: Servidores de sistemas, banco de dados e e-mails; -Desastres: Desabamentos, inundações, atentados e explosões.

15

Page 16: Palestra: Segurança em Sistemas, Março de 2014

Segurança

• É dever do profissional de segurança garantir a acessibilidade, integridade e disponibilidade da informação e recursos.

• Acessibilidade = Níveis de acessos corretos.

• Integridade = A informação não contém erros.

• Disponibilidade = O recurso sempre esta sempre disponível para ser acessado.

16

Page 17: Palestra: Segurança em Sistemas, Março de 2014

Segurança

• Após os ataques de 11 de setembro diversas empresas deixaram de existir, não só por perderem todos seus funcionários e equipamentos;

• Deve-se considerar planos de contingência não somente para catástrofes, mas para qualquer situação de risco a informação.

17

Page 18: Palestra: Segurança em Sistemas, Março de 2014

Segurança

• Alguns exemplos:

18

Analise de catástrofes

Tipo Hardware Humanos Formulários

Incêndio Destruição Morte Destruição

Falta de energia Parado Parado Parado

Motins Roubo Não atendimento Inutilizados

Planos

Tipo Preventivo Corretivo Restaurador

Incêndio Proibir o fumo Uso de extintor Mudar localização

Falta de energia Instalar no-break Acionar gerador Revisar instalações

Motins Identificar lideres Ação conjunta com PM

Remanejar lideranças

Page 19: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

• Variáveis em sessão;

• SSL;

• Hidden, Get e Post;

• Robot.txt;

• Google Dorks;

19

Page 20: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

• Criptografia;

20

LOKD

Page 21: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

• Criptografia;

21

Cifra de César

Normal: A B C D E F G H I J K L M N O P Q R S T U V X Y Z

Cifrado: D E F G H I J K L M N O P Q R S T U V X Y Z A B C

LOKD

Page 22: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

• Internet 2.0;

• Ajax;

• Json;

• Jquery.

22

Page 23: Palestra: Segurança em Sistemas, Março de 2014

23

Page 24: Palestra: Segurança em Sistemas, Março de 2014

24

Page 25: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

25

Page 26: Palestra: Segurança em Sistemas, Março de 2014

Vulnerabilidade

<script type="text/javascript"> function ValidaFormulario() { variavel = document.Formulario; //valida campo do formulario if (variavel.Campo.value == "")

{ alert("O campo " + Formulario.Campo.name + " deve ser preenchido!"); variavel.Campo.focus(); return false; } return true; } </script>

<h:form id="Cadastro"> <h:panelGrid columns="2"> Nome: <h:inputText id="nome" value="#{beanvalida.nome}" required="true" requiredMessage="O campo Nome não pode estar vazio"/> <h:commandButton id="btnCadastro" value="Cadastrar" action="#{beanvalida.validacaocadastro}" /> <h:messages></h:messages> </h:panelGrid> </h:form> 26

Page 27: Palestra: Segurança em Sistemas, Março de 2014

27

Page 28: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• BotNet ou Rede de Bots

28

Page 29: Palestra: Segurança em Sistemas, Março de 2014

Você esta ai?

Sim estou

Ok então

Tchau

Ataques

• Conexão TCP – Bem sucedida e encerrada.

29

Pacote SYN

Pacote SYN

Pacote ACK

Pacote RST

Page 30: Palestra: Segurança em Sistemas, Março de 2014

Você esta ai?

Sim estou

Sim estou

Parei de falar com você

Ataques

• Conexão TCP – Tentativa encerrada pelo servidor

30

Pacote SYN

Pacote SYN

Pacote SYN

Time out- Servidor para de se comunicar

Page 31: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Portas de conexões com o servidor por TCP

31

Pacote SYN

Servidor Web

Numero máximo de conexões suportadas de um servidor

Page 32: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Servidor usando uma porta para conexão

32

Servidor Web

Pacote SYN Pacote SYN

Você esta ai? (Sua requisição)

Sim, estou!

Page 33: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Inundação por TCP

33

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (De outro)

DENIAL OF SERVICE

Servidor Web

Page 34: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Pode-se esgotar também os recursos do servidor

34

Pacote SYN Pacote SYN

Você esta ai? (Sua requisição)

Sim, estou! :D

CPU

Servidor Web

Page 35: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Pode-se esgotar também os recursos do servidor

35

Você esta ai? (Sua requisição)

=/

CPU

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Servidor Web

Page 36: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Pode-se esgotar também os recursos do servidor

36

D:

CPU

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Servidor Web

Page 37: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Pode-se esgotar também os recursos do servidor

37

[

CPU

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

X X

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (Sua requisição)

Você esta ai? (De outro)

DENIAL OF SERVICE

Servidor Web

Page 38: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• 3.400 videos HD;

• DDoS;

• Servidores de DNS;

• Existe coisa pior?

38

Page 39: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• A previsão do próximo ataque é que ele tenha uma amplificação de 650 vezes mais dados referente ao 400 Gbps.

39

Page 40: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• A amplificação por servidores abertos de DNS.

40

Servidores DNS

Servidor Web

Computador

Computador

Page 41: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Como a mídia descreve um ataque.

41

Page 42: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Os próximos slides mostram a situação de uma empresa que possui três prédios com mais de 1Km de distância entre eles.

• Os prédios dos setores de Marketing e Vendas tem acesso restrito a sua própria atividade enquanto o setor financeiro possui acesso ilimitado.

• Deve-se garantir a conexão de internet e entre os setores, além de garantir a segurança da aplicação e da informação.

42

Page 43: Palestra: Segurança em Sistemas, Março de 2014

43

Page 44: Palestra: Segurança em Sistemas, Março de 2014

44

Page 45: Palestra: Segurança em Sistemas, Março de 2014

45

38 U

2 U

2 U

2 U

4 U

8 U

1 U

3 U

Switch CISCO 48 portas

PowerVault 114X, Backup diario em duas fitas

PatchPanel

DELL - NSA 6600 Network Security Appliance – Firewall, FailOver, MULTIWAN

DELL - Servidor de aplicação PowerEdge R720 – Multi Processoadores Intel® Xeon®

Servidor de armazenamento NAS QNAP TS-412U - RAID

Sala dos servidores

O Diagrama mostra como será o rack da sala dos servidores

Page 46: Palestra: Segurança em Sistemas, Março de 2014

46

Page 47: Palestra: Segurança em Sistemas, Março de 2014

Ataques

• Deve-se considerar o valor do que pretende-se proteger.

47

Page 48: Palestra: Segurança em Sistemas, Março de 2014

48

Page 49: Palestra: Segurança em Sistemas, Março de 2014
Page 50: Palestra: Segurança em Sistemas, Março de 2014
Page 51: Palestra: Segurança em Sistemas, Março de 2014
Page 52: Palestra: Segurança em Sistemas, Março de 2014

52

Page 53: Palestra: Segurança em Sistemas, Março de 2014

53

Page 54: Palestra: Segurança em Sistemas, Março de 2014

54

Page 55: Palestra: Segurança em Sistemas, Março de 2014

55

Page 56: Palestra: Segurança em Sistemas, Março de 2014

56

Page 57: Palestra: Segurança em Sistemas, Março de 2014

57

Page 58: Palestra: Segurança em Sistemas, Março de 2014

58

Page 59: Palestra: Segurança em Sistemas, Março de 2014

59

Page 60: Palestra: Segurança em Sistemas, Março de 2014

60

Page 61: Palestra: Segurança em Sistemas, Março de 2014

61

Page 62: Palestra: Segurança em Sistemas, Março de 2014

62

Page 63: Palestra: Segurança em Sistemas, Março de 2014

63

Page 64: Palestra: Segurança em Sistemas, Março de 2014

64

Page 65: Palestra: Segurança em Sistemas, Março de 2014

65

Page 66: Palestra: Segurança em Sistemas, Março de 2014

66

Page 67: Palestra: Segurança em Sistemas, Março de 2014

67

Page 68: Palestra: Segurança em Sistemas, Março de 2014

68

Page 69: Palestra: Segurança em Sistemas, Março de 2014

69

Page 70: Palestra: Segurança em Sistemas, Março de 2014

70

Page 71: Palestra: Segurança em Sistemas, Março de 2014

71

Page 72: Palestra: Segurança em Sistemas, Março de 2014

72

Page 73: Palestra: Segurança em Sistemas, Março de 2014

73

Page 74: Palestra: Segurança em Sistemas, Março de 2014

• inurl:"ViewerFrame?Mode="

74

Page 75: Palestra: Segurança em Sistemas, Março de 2014

Ferramentas

• Back Track Linux agora é Kali Linux;

• SQLMAP, Injeção automática de SQL ;

• Imacros, Complemento para Mozilla;

• Hiren Boot;

75

Page 76: Palestra: Segurança em Sistemas, Março de 2014

Dicas

• Princípios de Sistema de Informação;

• Organização, Sistemas e Métodos ;

• Usabilidade;

• Coursera - coursera.org;

76

Page 77: Palestra: Segurança em Sistemas, Março de 2014

77

Page 78: Palestra: Segurança em Sistemas, Março de 2014

78

Page 79: Palestra: Segurança em Sistemas, Março de 2014

79

Page 80: Palestra: Segurança em Sistemas, Março de 2014

Perguntas

80

Page 81: Palestra: Segurança em Sistemas, Março de 2014

Contato

Rodney Mazuqui [email protected]

81

Page 82: Palestra: Segurança em Sistemas, Março de 2014

82