HOR RIO 14:00 14:20 14:20 15:20 15:20 15:40 15:40 16:00 16:00 16:40 16:40 17:20 17:20

17:30 17:30 18:00

ATIVIDADE Abertura do Encontro Segurana da Informao: o que voc no pode deixar de saber Prof. Dr. Luciano Barreto (DCC/UFBA & CERT.Bahia) CERT.Bahia - quem somos e o que fazemos - Italo Valcy (PoP-BA/RNP & CERT.Bahia) Coffee-Break Protegendo os direitos humanos na Internet - Caio Almeida (SaferNet) Proteo no Ciberespao da Rede UFBA - Yuri Alexandro (CPD/UFBA) O DISI - Dia Internacional de Segurana em Informtica - Luiz Cludio Mendona (CPD/UFBA) Debate sobre Segurana / Encerramento do evento

Segurana da Informao: o que voc no deve deixar de saber

Luciano Porto Barreto (lportoba@ufba.br) CERT.Bahia http://www.pop-ba.rnp.br/Cert/ CPD, PoP-BA/RNP, DCC/LaSiD Universidade Federal da Bahia

Motivao Hoje: (quase) todos navegando na rede

Falsa sensao de segurana... (distncia)

De que forma?
Em geral:insegura, descompromissada (nada acontece) Mas os prejuzos so reais...

Motivao Hoje: Todos navegando na rede De que forma? insegura, descompromissada No vai acontecer comigo... O problema do site/empresa, da rede, do adm da rede (mas no nosso!)

Problema 1: vrus infeco e disseminao Vrus:

Programas maliciosos que procuram se esconder no computador hospedeiro e, depois, se propagar para outras mquinas Realizam atividades maliciosas ou indesejadas

Problema 1: vrus infeco e disseminao Infeco (diversas formas): 1 momento

Formas de contgio: (portas abertas)
Pendrive, arquivos, CDs, Internet, Redes sociais ...

Preveno: Antivrus (?),

Abrindo qualquer pgina/arquivo...

Propaganda falsa da VoeGol

Ao colocar o cursor do mouse sobre Clique aqui verificamos uma possvel referncia ao site de cartes virtuais VoxCards da iG.

Abrindo qualquer pgina/arquivo...

Ao clicar sobre o Clique aqui do e-mail Voegol o navegador aberto e redirecionado para uma pgina em branco com a seguinte solicitao para Download de arquivo. Atente ao site de onde o arquivo est sendo obtido O formulrio um arquivo executvel (arquivo EXE)

Problema 1: vrus infeco e disseminao Infeco (diversas formas): 1 momento Disseminao de vrus: 2 momento
Rede interna e externa Problema institucional grave
Perda de dados, ... Chamados para atendimento Notificaes externas (responsabilizao institucional)

Soluo fcil e ruim: formatar a mquina

Consequncias: participao involuntria em ataques

Sim. fcil tornar-se um atacante...

Envio de mensagens no solicitadas (spam) Ataques em larga escala Botnets

Tais condutas podem gerar notificaes instituio

Ataques, violao de propriedade intelectual... Diversas implicaes. ex: recusa de emails @ufba.br

PCs de usurios so a principal fonte de SPAM

1 2 3 4 5 6 7 8 9 10 11 12 13 14 Telemar Norte Leste Telesp LocaWeb Brasil Telecom Global Village Telecom Vivo Claro CTBC Telecom Vivax NET Servicos de Comunicacao Tim Celular Telefonica Data Embratel Dominio BR Consultoria em Informatica Way TV Belo Horizonte

http://www.cert.br/stats/sp am/2010apr/spam.html#contato

15

Problema 3: Prejuzos (pessoal, institucional) Pessoal: violao da imagem, intimidade etc.:

Seus projetos, suas comunicaes pessoais, suas fotos, sua conta bancria, seus exames mdicos (publicados na Internet?) Casos reais bastante srios... (Crime virtual, mas o dano real)

Problema 3: Prejuzos (pessoal, institucional) Institucional:

Pessoal necessrio para resolver o problema ($$$) Consumo de recursos da rede (trfego indesejado) Servios indisponveis, prejuzos concretos Outras atividades de suporte so prejudicadas Fogo amigo ataques da rede interna (responsabilidade direta), difcil de lidar porque o comum confiar nas mquinas internas (no mais viso atual nas corporaes)...

Misso do CERT.Bahia/CPD Conscientizar os usurios da Rede UFBA acerca de suas responsabilidades

Conscientizar e informar usurios (melhor do que punir) Assessorar rgos dirigentes Propor e implementar polticas de segurana TI Interoperar com outros grupos nacionais e internacionais Prestar informaes comunidade em geral

Aspectos institucionais Estaes, laptops, rede, email, site web so considerados ferramentas de trabalho
Tal qual automvel de uma empresa

Prejuzos pessoais e profissionais

Parte se aplica ao nosso uso domstico

Certas prticas tem implicaes jurdicas

Justa causa por uso indevido de email No fico !!!

Conscientizar, mas, sem alarmismo ou parania

Outras informaes na palestra a seguir

Como ludibriar os usurios ? Tentaes... (engenharia social)

Troca de senha
Email (comum na UFBA), site (Bancos)

Como ludibriar os usurios ? Tentaes... (engenharia social) canto da sereia

Troca de senha
Email (comum na UFBA), site (Bancos)

Como ludibriar os usurios ? Dinheiro fcil

Casino, loteria, poker etc. Oferta: descontos, promoes bancrias Voc foi o sorteado ! Usurio nmero 1 milho !

Como ludibriar os usurios ? Morbidez / misria alheia

Acidentes, mortes, eventos de comoo popular: tiroteio em Realengo, Bin Laden, queda voo da Air France etc.

Como ludibriar os usurios ? Curiosidade / Fofoca

Veja o furo no vestido de casamento da princesa Veja voc aqui nessa foto ! Olha a gente naquela festa...

Orkut: scrap com aluso a um vdeo

Youtube: aluso a um vdeo

Ludibriando os usurios Contedo sexual / Nudez

Dispensa comentrios (e imagens) Mas, todos negam...

Boas prticas Casa/pessoal Seja precavido com emails de desconhecidos

Ao menos, os arquivos/anexos/links

No acesse sites suspeitos ou com contedo notadamente ilegal (pedofilia, pirataria)

Implicaes legais (posse) Navegador:
Abertura de abas, solicitao de instalao de software (verifique com algum se necessrio instalar o software e se o mesmo confivel)

Leia antes de clicar !!!

Lembre-se do programa de prmios da cabine de Slvio Santos
Voc quer trocar sua Ferrari por um pente? (Sim!) Voc deseja apagar todos os dados do seu HD?

Boas prticas Casa/pessoal No utilize software pirata (casa instituio)

Mas eu copiei do pendrive do colega

No instale software desconhecido em sua mquina

Certifique a origem (evite software baixado de redes ponto-a-ponto) Mas eu tinha anti-vrus
Anti-vrus so importantes, mas falveis. No confie cegamente neles ou outras ferramentas (analisadores, firewall do windows etc.)

Boas prticas Casa/pessoal Use nomes de usurio e senhas diferentes para sites diferentes
Em geral, sites exigem cadastro. Caso suas informaes sejam comprometidas em um site, em outros esto preservados. Se preferir, utilize um email temporrio. Diversos casos recentes de vazamento Use emails descartveis (10 minute mail)

Use senhas fortes

Problema: senhas pequenas so fceis de quebrar, as longas, difceis de lembrar (anotamos...) Importante incluir caracteres incomuns: $+@%! Use uma frase pessoal como base e adicione caracteres especiais em funo do nome do site.

Boas prticas - Institucional Antes de instalar um ponto de acesso de rede sem fio, consulte o suporte tcnico do CPD
Voc pode estar abrindo brechas de segurana na rede interna
Colocar uma escada na janela da cozinha Publicizar seu molho de chaves

Boas prticas - resumo Atualize o sistema operacional e o antivirus No abra arquivos ou sites de emails duvidosos
Antes de abrir, antivirus deve verific-lo

Escolha senhas fortes (letra+nmero+caractere) Use senhas diferentes para sites diferentes
Use criptografia no envio da senha

Evite usar email de trabalho p/ questes pessoais No compre ou faa transaes bancrias atravs de lan-houses ou computadores pblicos
Deve iniciar com https:// e cadeado deve aparecer

Cuidado com endereos internet curtos ou estranhos, emails para mudana de senha Mantenha o Bluetooth desligado Evite compartilhar arquivos/pastas (Windows)

Consideraes finais

Navegar preciso, mas fundamental navegar com responsabilidade e segurana Boas prticas podem ser inicialmente trabalhosas, mas compensam no longo prazo, pois resolvem grande parte dos problemas Dvidas ? Sugestes ? Muito obrigado !!!

Segurana da Informao: o que voc no deve deixar de saber

Luciano Porto Barreto (lportoba@ufba.br) CERT.Bahia http://www.pop-ba.rnp.br/Cert/ CPD, PoP-BA/RNP, DCC/LaSiD Universidade Federal da Bahia