Palestra: Segurança em Sistemas, Março de 2014
-
Upload
rodney-mazuqui -
Category
Documents
-
view
248 -
download
1
description
Transcript of Palestra: Segurança em Sistemas, Março de 2014
Organização da Apresentação
• Quem sou eu?;
• Dados e informação;
• Sistemas de informação;
• Segurança;
• Vulnerabilidade;
• Ataques;
• Ferramentas;
• Dicas.
2
Quem sou eu?
• Analista de Suporte;
• Dualtec;
• E-commerce;
• E.M – Hirayuki Enomoto
• Worktech;
• D.E – Região de Jales;
• EFAP – Rede do Saber
3
Quem sou eu?
4
Quem sou eu?
5
Quem sou eu?
6
Quem sou eu?
7
Dados e informação
• Antes de prosseguirmos é necessário deixar claro qual é o conceito que diferencia dados de informação;
8
Dados e informação
• Dados são registros não relacionados ou processados que pertencem a alguma entidade;
9
Dados e informação
• Informação é um conjunto de dados agrupados, processados e organizados de um modo que retorne um conhecimento sobre algo.
10
Sistemas de informação
• Inicialmente o uso de softwares em organizações era restrito a registro de dados e contabilidade;
• Após muito tempo tornou-se uma ferramenta de apoio a decisão;
• Sistemas de informação são compostos por pessoas e softwares;
11
Sistemas de informação
• Um sistema de informação fornece relatórios para: -Classificar melhores clientes; -Selecionar melhores fornecedores; -Monitorar a entrega de produtos; -Detectar problemas em setores de uma organização; -Monitorar a validade do estoque.
12
Sistemas de informação
• Com o uso de um S.I é possível selecionar os melhores clientes para um marketing mais efetivo;
• Evitar perdas de estoque criando promoções de produtos próximos de sua validade;
• Ter um apoio maior na tomada de decisão.
13
Segurança
• Segurança em T.I significa proteger informações, sistemas, recursos e serviços contra desastres, erros e manipulação não autorizada.
14
Segurança
• Exemplos: -Recursos: Link de internet e memória dos computadores; -Serviços: Servidores de sistemas, banco de dados e e-mails; -Desastres: Desabamentos, inundações, atentados e explosões.
15
Segurança
• É dever do profissional de segurança garantir a acessibilidade, integridade e disponibilidade da informação e recursos.
• Acessibilidade = Níveis de acessos corretos.
• Integridade = A informação não contém erros.
• Disponibilidade = O recurso sempre esta sempre disponível para ser acessado.
16
Segurança
• Após os ataques de 11 de setembro diversas empresas deixaram de existir, não só por perderem todos seus funcionários e equipamentos;
• Deve-se considerar planos de contingência não somente para catástrofes, mas para qualquer situação de risco a informação.
17
Segurança
• Alguns exemplos:
18
Analise de catástrofes
Tipo Hardware Humanos Formulários
Incêndio Destruição Morte Destruição
Falta de energia Parado Parado Parado
Motins Roubo Não atendimento Inutilizados
Planos
Tipo Preventivo Corretivo Restaurador
Incêndio Proibir o fumo Uso de extintor Mudar localização
Falta de energia Instalar no-break Acionar gerador Revisar instalações
Motins Identificar lideres Ação conjunta com PM
Remanejar lideranças
Vulnerabilidade
• Variáveis em sessão;
• SSL;
• Hidden, Get e Post;
• Robot.txt;
• Google Dorks;
19
Vulnerabilidade
• Criptografia;
20
LOKD
Vulnerabilidade
• Criptografia;
21
Cifra de César
Normal: A B C D E F G H I J K L M N O P Q R S T U V X Y Z
Cifrado: D E F G H I J K L M N O P Q R S T U V X Y Z A B C
LOKD
Vulnerabilidade
• Internet 2.0;
• Ajax;
• Json;
• Jquery.
22
23
24
Vulnerabilidade
25
Vulnerabilidade
<script type="text/javascript"> function ValidaFormulario() { variavel = document.Formulario; //valida campo do formulario if (variavel.Campo.value == "")
{ alert("O campo " + Formulario.Campo.name + " deve ser preenchido!"); variavel.Campo.focus(); return false; } return true; } </script>
<h:form id="Cadastro"> <h:panelGrid columns="2"> Nome: <h:inputText id="nome" value="#{beanvalida.nome}" required="true" requiredMessage="O campo Nome não pode estar vazio"/> <h:commandButton id="btnCadastro" value="Cadastrar" action="#{beanvalida.validacaocadastro}" /> <h:messages></h:messages> </h:panelGrid> </h:form> 26
27
Ataques
• BotNet ou Rede de Bots
28
Você esta ai?
Sim estou
Ok então
Tchau
Ataques
• Conexão TCP – Bem sucedida e encerrada.
29
Pacote SYN
Pacote SYN
Pacote ACK
Pacote RST
Você esta ai?
Sim estou
Sim estou
Parei de falar com você
Ataques
• Conexão TCP – Tentativa encerrada pelo servidor
30
Pacote SYN
Pacote SYN
Pacote SYN
Time out- Servidor para de se comunicar
Ataques
• Portas de conexões com o servidor por TCP
31
Pacote SYN
Servidor Web
Numero máximo de conexões suportadas de um servidor
Ataques
• Servidor usando uma porta para conexão
32
Servidor Web
Pacote SYN Pacote SYN
Você esta ai? (Sua requisição)
Sim, estou!
Ataques
• Inundação por TCP
33
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (De outro)
DENIAL OF SERVICE
Servidor Web
Ataques
• Pode-se esgotar também os recursos do servidor
34
Pacote SYN Pacote SYN
Você esta ai? (Sua requisição)
Sim, estou! :D
CPU
Servidor Web
Ataques
• Pode-se esgotar também os recursos do servidor
35
Você esta ai? (Sua requisição)
=/
CPU
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Servidor Web
Ataques
• Pode-se esgotar também os recursos do servidor
36
D:
CPU
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Servidor Web
Ataques
• Pode-se esgotar também os recursos do servidor
37
[
CPU
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
X X
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição) Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (Sua requisição)
Você esta ai? (De outro)
DENIAL OF SERVICE
Servidor Web
Ataques
• 3.400 videos HD;
• DDoS;
• Servidores de DNS;
• Existe coisa pior?
38
Ataques
• A previsão do próximo ataque é que ele tenha uma amplificação de 650 vezes mais dados referente ao 400 Gbps.
39
Ataques
• A amplificação por servidores abertos de DNS.
40
Servidores DNS
Servidor Web
Computador
Computador
Ataques
• Como a mídia descreve um ataque.
41
Ataques
• Os próximos slides mostram a situação de uma empresa que possui três prédios com mais de 1Km de distância entre eles.
• Os prédios dos setores de Marketing e Vendas tem acesso restrito a sua própria atividade enquanto o setor financeiro possui acesso ilimitado.
• Deve-se garantir a conexão de internet e entre os setores, além de garantir a segurança da aplicação e da informação.
42
43
44
45
38 U
2 U
2 U
2 U
4 U
8 U
1 U
3 U
Switch CISCO 48 portas
PowerVault 114X, Backup diario em duas fitas
PatchPanel
DELL - NSA 6600 Network Security Appliance – Firewall, FailOver, MULTIWAN
DELL - Servidor de aplicação PowerEdge R720 – Multi Processoadores Intel® Xeon®
Servidor de armazenamento NAS QNAP TS-412U - RAID
Sala dos servidores
O Diagrama mostra como será o rack da sala dos servidores
46
Ataques
• Deve-se considerar o valor do que pretende-se proteger.
47
48
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
• inurl:"ViewerFrame?Mode="
74
Ferramentas
• Back Track Linux agora é Kali Linux;
• SQLMAP, Injeção automática de SQL ;
• Imacros, Complemento para Mozilla;
• Hiren Boot;
75
Dicas
• Princípios de Sistema de Informação;
• Organização, Sistemas e Métodos ;
• Usabilidade;
• Coursera - coursera.org;
76
77
78
79
Perguntas
80
82