class: center, middle, title-slide .title[ # Aula 12 - Segurança da Informação (InfoSec) ] .author[ ### Leonardo Mancini ] .date[ ### 2023 ] --- class: inverse middle center # Segurança, privacidade e anonimidade --- # Segurança, privacidade e anonimidade - Internet foi projetada para comunicação e integração de sistemas. + Isso pressupõe visibilidade e transparência. - Os usos contemporâneos não estavam previstos: _home banking_, comunicação pessoal, telefonia... - Governos, organizações privadas e criminosos buscam explorar brechas nos protocolos e nos comportamentos individuas. - _Cyber warfare_ se tornou uma das principais preocupações dos serviços de defesa --- class: inverse ## Mais de 10 milhões de ataques nos EUA por dia .center[ <img src="./imagens/norse.gif" width="600"> ] .footnote[ Fonte: www.norse-corp.com <br> https://cybermap.kaspersky.com/ ] ??? http://digitalattackmap.com --- # Nos últimos 10 dias + Sony confirma vazamento de informações - [PSx BR](https://psxbrasil.com.br/sony-confirma-vazamento-de-informacoes/?feed_id=1727&_unique_id=651dcc10b53c1) + 23andMe User Data Stolen in Targeted Attack on Ashkenazi Jews - [Wired](https://www.wired.com/story/23andme-credential-stuffing-data-stolen/) + ANPD aplica duas advertências a órgão público de São Paulo por vazamento de dados - [Convergência Digital](https://www.convergenciadigital.com.br/Governo/ANPD-aplica-duas-advertencias-a-orgao-publico-de-Sao-Paulo-por-vazamento-de-dados-64424.html?UserActiveTemplate=site&utm_content=buffer2d24e&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer) + 83 parlamentares tiveram dados sigilosos de e-mails e senhas vazados; saiba quem são eles [Estadão](https://www.estadao.com.br/politica/83-parlamentares-tiveram-dados-sigilosos-de-e-mails-e-senhas-vazados-saiba-quem-sao-eles/) --- # Edward Snowden e o PRISM - Em 2013, Snowden mostrou que o governo dos EUA compilam informações de todos os usuários de produtos Microsoft, Google, Facebook, Skype, telefonia celular, etc, através do **PRISM** + Conseguem, ainda, obter e-mails, registros de navegação e busca, chats, etc. de virtualmente qualquer usuário na internet através do Xkeyscore <br> <center> <a href="https://infograficos.estadao.com.br/especiais/snowden/"><img src="https://infograficos.estadao.com.br/especiais/snowden/images/prism%203.jpg" width="350"> </a> </center> ??? --- # Vigilância e Internet + Ainda que nem todos os estados possuam um "PRISM", todos eles desenvolveram algum tipo de ferramentas de vigilância e controle de informações. > "Pagamos pelos benefícios da internet menos em termos financeiros, e mais nas moedas da nossa era: tempo, energia e privacidade"<br>(_Untangling the web, 2007)_ + [Cadastro Base do Cidadão](https://theintercept.com/2019/10/15/governo-ferramenta-vigilancia/) + [Serpro autorizada a vender dados](https://www.convergenciadigital.com.br/Governo/Receita-autoriza-Serpro-a-vender-dados-pessoais-para-terceiros-60060.html) ??? http://infograficos.estadao.com.br/especiais/snowden/revelacoes.html + O trabalho dessas organizações fica mais fácil quando os usuários não têm consciência de sua vulnerabilidade... --- class: inverse, middle, center # Exemplo: Packet sniffing --- # Segurança, privacidade e anonimidade Três conceitos importantes quando tratamos de Segurança na Internet 1. <strong>Privacidade:</strong> Habilidade de indivíduos em proteger a si mesmos e a suas informações pessoais para, assim, se expressar como quiser. 1. <strong>Segurança:</strong> Mecanismos, softwares e técnicas que garantem a proteção de ativos (como dinheiro e informação) e a privacidade 1. <strong>Anonimidade:</strong> Habilidade de manter-se não identificável. É uma das garantias de liberdade de expressão. Google, Facebook e etc. criaram modelos de negócio com base na obtenção de dados de indivíduos. Paises como China, Cuba, Iran, Libia, Malasia, Coreia do Norte, Singapura, Sudão e Síria consideram as ferramentas de proteção de dados ilegais. --- # InfoSec e Jornalismo Jornalistas são alvos comuns de governos e organizações. InfoSec serve para: - Proteger a integridade do repórter; - Proteger a fonte; - Garantir que as informações de uma investigação não sejam consultadas, alteradas ou destruídas. Ao mesmo tempo, um jornalista que conheça Infosec é capaz de: - Utilizar novas técnicas de investigação - Mapear fontes não convencionais (individuos e bases de dados) - Contornar limites e barreiras impostas por empresas e governos --- class: inverse, middle, center # Segurança: como redes e dispositivos são atacados? --- # Segurança Há inúmeras maneiras de se explorar fragilidades nas redese nos dispositivos. Depois de um nó identificado, o intruso vai escanear para identificar o que pode ser explorado. - Aplicativos com _malware_ ou desatualizados. - Equipamentos de rede com firmware desatualizado ou com protocolos de criptografia antigos. - Sistemas operacionais antiquados (Windows 95, por exemplo...) ou sem firewall funcionando. - Portas de rede abertas. Manter os sistemas e equipamentos atualizados já limita um número bem considerável de ameaças. --- # Na maioria das vezes, o usuário é o elo fraco. ### Práticas inseguras: - Usar a mesma senha ou mesmo usuário para todos os serviços (e-mail, redes sociais, aplicativos, banco) - Usar senhas fracas (passwords e não passphrases) .center[ https://howsecureismypassword.net/ https://haveibeenpwned.com/Passwords ] - Transmitir senhas por e-mails ou SMS (ou anotar no quadro do Portal...) Dica: usem softwares de gestão de senhas como o LastPass, KeePassXC ou 1Password, ou criem regras para a construção de senhas, como fez o [CryptoSeb](https://cryptoseb.pw/passwords.png) --- # _Social Engineering_ .center[ <iframe width="700" height="400" src="https://www.youtube.com/embed/UBaVek2oTtc" frameborder="0" allow="accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture" allowfullscreen></iframe> ] --- # Tipos de ataque + À __confiabilidade__: Interceptação indevida dos dados em tráfego + À __autenticidade__: Falsificação da identidade do outro dispositivo + À __integridade__: Refere-se à manipulação de elementos do sistema. + À __disponibilidade__: Ataques que visam a indisponibilidade do sistema. ??? Ataques + Ataques sobre o fluxo de informação + Interrupção: ataca a disponibilidade + Interceptação: ataca a confidencialidade + Modificação: ataca a integridade + Fabricação: ataca a autenticidade Passivo - Interceptação, monitoramento, análise de tráfego (origem, destino, tamanho, frequência) Ativo - Adulteração, fraude, reprodução (imitação), bloquei --- # Ataques à rede - Confiabilidade ### Escuta passiva (_sniffing_) .center[ <img src="./imagens/sniffing.png" width="600px" /> ] - Só monitora a subrede - Criptografia impede a leitura de informações --- # Ataques à rede - Autenticidade ### _IP ou DNS Spoofing_ .center[ <img src="./imagens/spoofing.png" width="600px" /> ] - Copia o IP de um cliente da rede. - Enquanto o satura com múltiplos pacotes de informação, estabelece uma conexão com o servidor --- # Ataques à rede - Integridade ### _Man in the Middle_ .center[ <img src="./imagens/900.jfif" width="500px" /> ] - Pode ser através de certificados falsos, scripts adicionados em e-mails ou falsos servidores DNS ??? Desenho de DNS Spoofing --- # Ataques à rede - Disponibilidade ### DDoS - _Distributed Denial of Service_ .center[ <img src="./imagens/ddos.gif" width="500px" /> ] ??? https://www.cloudflare.com/learning/ddos/famous-ddos-attacks/ - O maior - 2018 - Github - No de 2015 The attack traffic was created by injecting JavaScript code into the browsers of everyone who visited Baidu, China’s most popular search engine. Other sites who were using Baidu’s analytics services were also injecting the malicious code; --- # Como empresas se protegem? ###Firewall e filtros São equipamentos e softwares que monitoram o tráfego e filtram o fluxo de dados (pacotes, protocolos, etc.). Estabelecem as regras de circulação de dados e de utilização de serviços. .center[ <img src="./imagens/firewall.png" width="600px" /> ] --- # Como empresas se protegem? ### Restrição de privilégios dos usuários (rede e dispositivos) .center[ <img src="./imagens/administrador.png" width="600"> ]